¿Me aplica el RGPD? A nivel de protección de datos, esta es la primera pregunta que las empresas extracomunitarias deben plantearse. Es habitual encontrar compañías que bien no apliquen el RGPD (“total, es un problema europeo”) o que lo apliquen completamente en todos sus procesos (“que si no me pueden sancionar”). Por ello, es fundamental entender en qué casos aplica el RGPD y tomar las medida oportunas, pues ni es un problema europeo, ni hay que tenerle miedo.

A este respecto, el pasado 12 de noviembre, el Comité Europeo de Protección de Datos (el “CEPD”) emitía la Guía 3/2018 relativa al ámbito territorial del RGPD (la “Guía”), tras su publicación para consulta pública el pasado 23 de noviembre de 2018. La Guía analiza los supuestos en los que el RGPD, bajo su artículo 3, resulta de aplicación a responsables y encargados del tratamiento. De forma muy resumida:


*Dejando a un lado la aplicación del RGPD en virtud de Derecho internacional público.

Antes de analizar estos supuestos, es importante recordar que el artículo 3 aspira a determinar si un tratamiento concreto cae en el ámbito del RGPD, más que una entidad. Esto es, un responsable del tratamiento situado, por ejemplo, en EE.UU. puede llevar a cabo ciertos tratamientos sometidos al RGPD y otros no, sin que a efectos legales la aplicación del RGPD se contagie al conjunto de la compañía.

A) Criterio de establecimiento (ex. Art. 3.1 RGPD):

El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

(el subrayado es nuestro)

  • Responsable / encargado: aplica a tratamientos tanto de responsables como de encargados. Es importante tener en cuenta que el hecho de establecer una relación responsable – encargado no implica la aplicación automática del RGPD por el hecho de que uno de los dos esté situado en la UE (tener un encargado en la UE no implica que sea un establecimiento del responsable “no UE”):
    • Responsable “no UE” – Encargado en UE: importante destacar que al encargado se le aplicarán las obligaciones que el RGPD prevé para los encargados (la Guía las enumera) y que, al responsable, no tiene por qué aplicarle el RGPD.
    • Responsable UE – Encargado “no UE”: vía el contrato de encargo del tratamiento (y, en su caso, las cláusulas contractuales tipo C2P), el encargado se someterá a los principios generales del RGPD.
  • El concepto de “establecimiento“: es un concepto amplio que implica “el ejercicio de manera efectiva y real de una actividad a través de modalidades estables” (considerando 22 RGPD) y en el que la forma jurídica del mismo (esto es, una sucursal, filial, etc.) no es un factor determinante. Ello implica realizar un análisis caso por caso: tener o no un empleado, una sucursal o un agente en la UE no es determinante, pero se debe valorar. Por otro lado, que la entidad tenga una página web accesible desde la UE no implica la existencia de “establecimiento” en la UE.
  • en el contexto de las actividades de dicho establecimiento”: de nuevo, un concepto muy amplio. A estos efectos, el CEPD ofrece dos criterios: (i) si la actividad entre la sociedad “no UE” y el establecimiento está relacionada de forma indisociable (es decir, si existe una fuerte conexión entre las actividades de ambas, incluso cuando el establecimiento no lleve a cabo el tratamiento correspondiente –criterio ya aplicado desde el caso Google C-131/12–); y (ii) si, a raíz de dicho nexo indisociable, se genera beneficio en el establecimiento de la UE (es decir, si hay un nexo económico entre las actividades del establecimiento y la sociedad “no UE”, aunque puedan dedicarse a distintas actividades).

B) Criterio de dirección (targeting) (ex. Art. 3.2 RGPD):

“El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.”

(el subrayado es nuestro)

Cuando el Criterio de Establecimiento no resulte de aplicación, entra en juego el artículo 3.2 RGPD y el criterio de dirección (además de no aplicar el conocido one-stop shop):

  • Interesados que residan en la Unión: esto es, la nacionalidad no es relevante a estos efectos (véase el considerando 14 a este respecto). Los interesados deben encontrarse en la UE y el responsable dirigir intencionalmente sus productos o servicios a los mismos. Es decir, se excluyen aquellos casos donde el responsable no pretende dirigirse a la UE, pero de forma inadvertida o accidental acaba ocurriendo (e.g. el servicio prestado únicamente a estadounidenses en EE.UU. que el usuario utiliza de viaje por vacaciones en la UE). El responsable debe configurar su negocio para dirigirse a la UE, ya sea ofreciendo productos o servicios o para controlar el comportamiento de sus residentes.
  • Oferta de bienes o servicios: con independencia de que haya precio o contraprestación. A este respecto, resultan especialmente importantes los indicios que pueden dar lugar a entender que los bienes o servicios se dirigen a la UE (véase el considerando 23 a este respecto). Por ejemplo, que se haga referencia a algún país de la UE, la naturaleza internacional del servicio, datos de contacto en la UE, el idioma o la moneda aceptada (euro), etc. A más indicios, mayor riesgo de aplicación del art. 3.2(a) RGPD.
  • Control / monitorización / observación de comportamiento en la medida en que este comportamiento tenga lugar en la UE: a este respecto, en línea con el considerando 24 RGPD. El mismo, indica que “para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes”. Aunque se centra en el “seguimiento en Internet”, esto no quita otros tipos de monitorización (e.g. vía pulseras, móviles, etc.). Esta observación incluye el marketing comportamental, videovigilancia, perfilado, monitorización con cookies, geolocalización a efectos de publicidad, etc.

No hay que olvidar que, cuando el artículo 3.2 RGPD resulta de aplicación, el responsable o encargado tiene que nombrar un representante —que no es lo mismo que, ni puede serlo, un delegado de protección de datos— en uno de los Estados miembros en que estén los interesados cuyos datos personales se traten en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado (véase el artículo 27 RGPD). La Guía también analiza esta figura y sus obligaciones.

Además, la Guía indica que los encargados situados fuera de la UE y sin establecimiento en la UE quedarán sometidos al RGPD cuando su responsable lo esté bajo el 3.2. RGPD.

En conclusión, a la hora de tratar datos personales, las entidades situadas fuera de la Unión Europea deben preguntarse: