Como es sabido, la “sombra” del ámbito de aplicación territorial del RGPD no alcanza únicamente a las entidades ubicadas en la Unión Europea sino que podría extenderse también hacia aquellas otras entidades que, aun no estándolo, bien (i) ofrezcan sus bienes y servicios a interesados que se encuentren en la Unión Europea, o bien (ii) controlen el comportamiento de tales interesados, en la medida en que dicho control tenga lugar en la Unión Europea.

Por tanto, tal y como se verá a continuación y dado el extenso ámbito de aplicación del RGPD, para aquellas entidades que no guardan vínculo alguno con la Unión Europea (en el sentido que analizaremos a continuación), no es cuestión baladí valorar las posibles consecuencias que pudieran derivarse del hecho de no disponer de un establecimiento en territorio europeo. En este sentido, aprovecharemos las siguientes líneas para analizar brevemente por qué las entidades no europeas sujetas al RGPD que carezcan de establecimiento en la Unión Europea podrían verse en una posición de desventaja con respecto a aquellas que sí disponen de tal establecimiento.

En primer lugar, para poder comprender en su totalidad el quid del artículo, es importante tener claro el concepto de Autoridad de Control Principal* (“ACP“). La ACP será aquella autoridad de control europea que asuma la responsabilidad principal sobre el tratamiento transfronterizo** de datos personales llevado a cabo en el contexto de las actividades (i) de establecimientos en más de un Estado miembro, o (ii) de un único establecimiento, de un responsable o un encargado del tratamiento en la Unión Europea. Entre las principales funciones de una ACP encontramos, por ejemplo, la de efectuar una investigación por una posible infracción del RGPD o de gestionar una notificación recibida en conexión con una violación de la seguridad de los datos personales, que afecten a un tratamiento transfronterizo.

Dejando de lado el mecanismo a través del cual podría llegar a determinarse a qué autoridad en concreto le correspondería el rol de ACP, tema que abordaremos en otro artículo, parece claro que para poder “tener” una ACP –una vez haya sido identificada− se deben cumplir dos requisitos previos:

  • Tener (al menos) un establecimiento en la Unión Europea; y
  • Llevar a cabo un tratamiento transfronterizo de datos personales.

Por lo tanto, y una vez perfilados el concepto y las funciones de una ACP, se empiezan a vislumbrar las potenciales consecuencias que pudieran derivarse para aquellas entidades sujetas al RGPD pero que, a falta de un establecimiento en la Unión Europea, no podrán elegir a una única autoridad europea como ACP. Dado que el mecanismo de cooperación y coherencia contemplado por el RGPD aplica exclusivamente respecto de aquellas entidades que cuenten con al menos un establecimiento en la Unión Europea, el sistema de “ventanilla única” (one-stop-shop) no podrá activarse para aquellas empresas extranjeras que carezcan de establecimiento en la Unión Europea. Por tanto, los escenarios a los que podría llegar a enfrentarse una entidad que comparta esas características son variados, por ejemplo y a efectos ilustrativos:

  • Varias autoridades de protección de datos de distintas jurisdicciones de la Unión Europea pueden llevar a cabo investigaciones paralelas y, en su caso, imponer sanciones distintas, derivadas de un determinado tratamiento de datos realizado por una entidad en cada una de esas jurisdicciones. En resumidas cuentas, un mismo hecho puede ser objeto de varias sanciones por distintas autoridades; o
  • En aquellos casos en los que se llega a producir una violación de la seguridad de los datos personales que afecta a individuos en varias jurisdicciones de la Unión Europea, la entidad en cuestión tendrá la obligación de notificar el incidente a todas las autoridades de protección de datos en los Estados miembros donde hayan sujetos afectados. Este último caso podría resultar especialmente preocupante y perjudicial para la compañía, teniendo en cuenta el estrecho plazo de 72 horas que el RGPD prevé para la notificación de una brecha a la autoridad de control.

En conclusión, con el RGPD y el mecanismo de “ventanilla única” que se regula en el mismo, se añade un nuevo factor a tener en cuenta por la empresas a la hora de valorar los posibles efectos de disponer, o no, de un establecimiento en la Unión Europea. Esto quiere decir que, al margen de otras cuestiones de índole fiscal, laboral, contable, etc., las entidades no europeas deberán también factorizar en su decisión todas aquellas implicaciones que pudieran contemplarse desde una perspectiva de protección de datos, en función de la decisión que se tome.


* El extinto Grupo de Trabajo del Artículo 29 publicó hace unos años una Guía para determinar la identificación de la Autoridad de Control Principal de un responsable o un encargado del tratamiento (disponible aquí). En línea con lo indicado en este artículo, el mecanismo para identificar a dicha ACP se estudiará de forma pormenorizada en artículos posteriores.

** Tratamiento transfronterizo se encuentra definido en el artículo 4 (23) del RGPD: “a) el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o b) el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro.” (negrita y subrayado añadido).