Quién debe cumplir el RGPD

Quién debe cumplir el RGPD2019-07-07T16:25:45+00:00

En esta sección podrás informarte de quién debe cumplir el RGPD y determinar a qué tratamientos de datos personales debes aplicarlo.

Artículos relacionados:

¿Cuándo aplica el RGPD?

Deberás cumplir el RGPD en esos tratamientos en que cumulativamente des una respuesta positiva tanto al ámbito de aplicación material del Reglamento como al ámbito de aplicación territorial.

El tratamiento que realices recaerá dentro del ámbito de aplicación material cuando trates datos personales, salvo que puedas acogerte a una de las excepciones del artículo 2.2.

El tratamiento recaerá dentro del ámbito de aplicación territorial cuando:

  • trates datos personales en el contexto de las actividades de un establecimiento en la Unión, o
  • no contando con un establecimiento en la UE, trates datos personales de interesados que se encuentren en la Unión, bien ofreciéndoles bienes o servicios o bien controlando su comportamiento en la Unión.

El ámbito de aplicación territorial se puede subdividir en 3 supuestos. El supuesto 1, que alcanza empresas u organizaciones que tienen un establecimiento en la UE, el supuesto 2, que afecta a esas empresas que no tienen un establecimiento en la Unión y el supuesto 3, que comprende esos casos en que el Derecho de un Estado Miembro se aplica en virtud de las normas de Derecho internacional público, como las embajadas o los buques.

Aplicación material. Tratamiento de datos personales

El RGPD se aplica a los tratamientos de datos personales cuando se hagan por medios automatizados o parcialmente automatizados. También se aplica el RGPD a esos tratamientos no automatizados siempre y cuando tengas previsto incluirlos en un fichero.

Se entiende por “fichero” todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

La definición clave sin embargo es la de dato personal. En pocas palabras, el Reglamento define los datos personales como toda la información acerca de una persona que esté identificada o pueda llegar a identificarse en un momento posterior:

Se entiende por “datos personales” toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Tratamientos de datos personales exceptuados

El Reglamento no se aplica a los tratamientos de datos personales siguientes:

1) Tratamientos en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión

Esto incluye tratamientos con motivo de la seguridad pública o seguridad y defensa nacional.

2) Tratamientos por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE

Se refiere a las actividades relacionadas con la política exterior y la seguridad común de la UE.

3) Tratamientos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas

Esta excepción incluye todas esas actividades puramente domésticas o personales que realizas como persona física y, por tanto, sin conexión alguna con una actividad profesional o comercial. Es el caso, por ejemplo, de la correspondencia, la llevanza de un repertorio de direcciones y la actividad en las redes sociales o en línea relacionada con esas actividades.

Si usas los datos personales con fines exclusivamente domésticos o personales no debes cumplir con el RGPD

No obstante, el Reglamento sí se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con esas actividades personales o domésticas.

4) Tratamientos por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

La razón es que estos tratamientos está regulados por otra norma, la Directiva LEDP, del inglés “Law Enforcement Data Protection Directive”.

Aplicación territorial 1. Cuándo un responsable o encargado con establecimiento en la UE debe cumplir el RGPD

El artículo 3.1 del RGPD establece:

El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

Por lo tanto, deberás aplicar y cumplir el RGPD en esos tratamientos de datos personales que lleves a cabo en el contexto de las actividades de un establecimiento que tengas en la Unión.

“En el contexto de las actividades” y “establecimiento” son dos conceptos sobre los que se ha pronunciado el TJUE y el Comité Europeo de Protección de Datos y que debes conocer para determinar si las actividades de tratamiento proyectadas caen bajo el paraguas de aplicación del RGPD.

Paso 1: Verifica si tienes un establecimiento en la Unión

El considerando 22 indica que “un establecimiento implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables. La forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto”.

El concepto de establecimiento se aparta totalmente de la acepción mercantilista, que considera el lugar donde la sociedad esté registrada o tenga su centro de actividad. En su lugar, el establecimiento “se extiende a cualquier actividad real y efectiva, aun mínima, ejercida mediante una instalación estable” (Weltimmo v NAIH, C-230/14, p.31).

¿Y cuando existe una instalación estable? Pues no se exige demasiado. Puede bastar, por ejemplo, con tener un agente en dicho país, un empleado o un representante.

En Weltimmo v. NAIH el Tribunal argumentó los siguientes elementos eran indicativos de la existencia un establecimiento:

  1. La designación de un representante en Hungría;
  2. La apertura de una cuenta bancaria;
  3. El uso de un apartado de correos en dicho país.

Paso 2: Verifica si tratas los datos en el contexto de las actividades de ese establecimiento

Ya has verificado que tratas datos personales y que tienes un establecimiento o “instalación estable” en la Unión. Ahora, para saber si ese tratamiento debe cumplir el RGPD, debes verificar si los datos son tratados en el contexto de las actividades de ese establecimiento en la UE.

El hecho de tener un establecimiento en el territorio de la Unión no implica per se que ya te verás obligado a aplicar el RGPD. Únicamente deberás aplicar el Reglamento cuando la actividad que realice el establecimiento localizado en la Unión esté indisociablemente ligada con la actividad que desarrolla la empresa fuera de la UE.

Que la actividad esté indisociablemente ligada es una cuestión que debe ser analizada caso por caso. En el asunto Google, el TJUE resolvió que la actividad de promoción y venta de espacios publicitarios de la filial Google Spain estaba indisociablemente ligada a la actividad de motor de búsqueda de la principal, Google Inc., pues era necesaria para que la actividad de motor de búsqueda fuese económicamente rentable y esta, a su vez, era la que permitía a la actividad publicitaria existir (vid. Google Spain SL, Google Inc. v. AEPD, Mario Costeja González, C-131/12, p. 56):

En efecto, en tales circunstancias, las actividades del gestor del motor de búsqueda y las de su establecimiento situado en el Estado miembro de que se trate están indisociablemente ligadas, dado que las actividades relativas a los espacios publicitarios constituyen el medio para que el motor de búsqueda en cuestión sea económicamente rentable y dado que este motor es, al mismo tiempo, el medio que permite realizar las mencionadas actividades.

El de la rentabilidad económica es un criterio fuertemente indicativo de que puede, en efecto, existir una conexión indisociable. No obstante, este no es el único criterio y es una cuestión que debe valorarse caso por caso.

Por lo que se refiere a la nacionalidad o la ciudadanía de los interesados, no se trata de criterios relevantes para el Reglamento y no influyen en nada para determinar si el RGPD se aplica a un tratamiento, como tampoco es relevante el lugar donde se traten los datos.

Finalmente, tampoco la mera existencia de una relación responsable-encargado activa automáticamente las obligaciones del RGPD, especialmente en esos casos en que el responsable está establecido fuera de la UE y emplea a un encargado de la Unión.

Si eres responsable o encargado de un tratamiento, deberás cumplir el RGPD cuando realices el tratamiento en el contexto de las actividades de un establecimiento en la Unión.

Aplicación territorial 2. Cuándo una organización sin establecimiento en la UE debe cumplir el RGPD

Si has previsto o realizas un tratamiento con datos personales y has comprobado que no cuentas con un establecimiento en la UE, aún es posible que te veas obligado a cumplir el RGPD si ofreces tus bienes o servicios a interesados en la Unión o controlas su comportamiento en la Unión.

Artículo 3.2 del RGPD:

El presente Reglamento se aplica al tratamiento de datos personales de interesados que se encuentran en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:

a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o

b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

Paso 1: Verifica si ofreces bienes o servicios a interesados en la Unión

Para que te aplique este supuesto, debes de dirigir la oferta de bienes o servicios a personas físicas que se encuentren en el territorio de la UE. Lo relevante es que proyectes esa oferta de bienes o servicios en el territorio de la Unión, siendo intrascendente la nacionalidad o ciudadanía de los interesados.

Para determinar si proyectas tu oferta de bienes o servicios a interesados en la UE, es necesario observar si los distintos factores que concurren en el servicio revelan la intención de proyectar la oferta sobre un Estado Miembro de la Unión.

Según el considerando 23 del RGPD, la mera accesibilidad del sitio web, de una dirección de correo electrónico u otros datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país donde resida el responsable del tratamiento, no basta para determinar dicha intención.

Hay factores, como el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que se encuentran en la Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer bienes o servicios a interesados en la Unión.

El Comité Europeo de Protección de Datos recomienda seguir la jurisprudencia del TJUE sobre el Reglamento 44/2001 (Bruselas I), acerca del concepto “dirigir la actividad” para determinar si un responsable o encargado ofrece sus bienes o servicios a interesados en la Unión. Además destaca, con carácter indicativo, los siguientes factores:

  • La designación de la UE o un Estado Miembro
  • El pago a un motor de búsqueda para mostrar tu web a consumidores de la UE, o dirigir campañas de marketing a un país de la UE
  • La naturaleza internacional de la actividad
  • Direcciones o teléfonos específicos para ser contactados desde un país de la UE
  • El uso de dominios territoriales distintos al del país de residencia del responsable (.de, .eu, etc.)
  • Dar instrucciones para viajar del país de la UE al país donde se presta el servicio
  • Mencionar clientela de la UE
  • Usar un lenguaje o moneda distinta a la del país del comerciante
  • Ofrecer la entrega de los bienes en Estados Miembros de la UE

Si concurren varias de las situaciones anteriores u otras que te llevan a concluir que proyectas tus bienes o servicios a uno o varios Estados Miembros de la UE y, en el contexto de esa actividad tratas datos personales, este tratamiento deberá cumplir el RGPD, independientemente de donde tengas el equipo para tratar los datos o el tercer país en que estés establecido.

Finalmente, el hecho de que medie o se exija pago es irrelevante para aplicar este criterio.

Paso 2: Verifica si controlas su comportamiento en la Unión

El considerando 24 del RGPD estipula:

El tratamiento de datos personales de los interesados que se encuentran en la Unión por un responsable o encargado no establecido en la Unión debe ser también objeto del presente Reglamento cuando esté relacionado con la observación del comportamiento de dichos interesados en la medida en que este comportamiento tenga lugar en la Unión. 

Para determinar si la actividad de tratamiento controla el comportamiento de los interesados, el mismo considerando indica que  “debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.”

A modo de ejemplo, el Comité Europeo de Protección de Datos lista las siguientes:

  • Publicidad basada en el comportamiento
  • Actividades de geolocalización, especialmente con fines de marketing
  • Seguimiento online con cookies u otras técnicas de seguimiento como la huella digital
  • Dietas personalizadas y servicios online de análisis de salud
  • CCTV
  • Estudios de mercado y otros estudios sobre el comportamiento basados en perfiles de personas
  • Monitorización o informes periódicos sobre el estado de salud de un individuo

Aplicación territorial 3. Tratamientos donde aplica el Derecho de un Estado Miembro en virtud del Derecho internacional público

El artículo 3.3 establece que el RGPD se aplica al tratamiento de datos personales por parte de un responsable que, no establecido en la Unión, se encuentre en un lugar donde se aplique el Derecho de un Estado Miembro en virtud del Derecho internacional público.

Así ocurre, como pone de relieve el considerando 25, en el caso de las misiones diplomáticas o las oficinas consulares. Y lo propio puede decirse para los buques, que son gobernados por la ley del país donde estén abanderados.

Preguntas frecuentes acerca de quién debe cumplir el RGPD

Plana y llanamente, sí. No existe ninguna excepción en el RGPD en cuanto a su aplicación a las pequeñas y medianas empresas salvo en el caso de la obligación de llevar un registro de las actividades de tratamiento, no estando obligadas las empresas que reúnan ciertas condiciones y siempre que el tratamiento no entrañe riesgos para los derechos y libertades de los interesados. Fuera de ese caso, una pyme debe cumplir el RGPD en toda su extensión.

Un autónomo también debe cumplir el RGPD. No existe ninguna excepción en cuanto a su aplicación a estos profesionales salvo por lo que se refiere a las obligaciones de llevar un registro de las actividades de tratamiento y la obligación de realizar evaluaciones de impacto del tratamiento de clientes para médicos, profesionales de la salud y abogados. Fuera de esos casos, todo autónomo debe cumplir el RGPD en toda su extensión.

Un particular no deberá cumplir el RGPD siempre y cuando trate los datos personales con fines puramente personales o domésticos.

Este es el caso, por ejemplo, del tratamiento de datos de contacto de familiares y amigos, o las interacciones y acceso a datos personales de otras personas en redes sociales.

Como cualquier otra entidad, un gobierno también se verá obligado por el RGPD en la medida en que trate datos personales en el contexto de las actividades de un establecimiento en la UE o proyecte sus bienes o servicios a interesados que se encuentren en la Unión, o monitorice su comportamiento.

Pueden existir requisitos especiales para entidades de la Administración Pública en el Derecho nacional relevante.

Lo relevante en este caso no es si la relación es b2b o b2c, sino si se tratan o no datos personales. Si transfieres datos de tus clientes a otra compañía, o mantienes un fichero con datos identificativos (por ejemplo direcciones de contacto o números de teléfono) de empleados de esa otra empresa, estarás tratando datos personales.

Como cualquier otra organización, el RGPD también se aplicará a una escuela siempre y cuando trate datos personales en el contexto de las actividades de un establecimiento en la UE o proyecte sus bienes o servicios a interesados que se encuentren en la Unión, o monitorice su comportamiento.

Por ejemplo, si una escuela establecida en un país tercero como EEUU ofrece programas especiales específicamente dirigidos a candidatos de un Estado Miembro de la UE, necesitará aplicar el RGPD a ese tratamiento.

Por otro lado, si la misma escuela no ofrece ningún programa especial para candidatos de la UE pero recibe candidaturas de interesados de la Unión, no se verá obligado por el RGPD pues el servicio no se dirige a los interesados de un Estado Miembro de la Unión.

Como cualquier otra compañía, sí. En la medida en que trate datos personales en el contexto de las actividades de un establecimiento en la UE o proyecte sus bienes o servicios a interesados que se encuentren en la Unión, o monitorice su comportamiento.

El RGPD no tiene en consideración la forma legal de la entidad u organización, ergo también se aplicará a una escuela siempre y cuando trate datos personales en el contexto de las actividades de un establecimiento en la UE o proyecte sus bienes o servicios a interesados que se encuentren en la Unión, o monitorice su comportamiento.

Mientras el Reino Unido sea un Estado Miembro de la Unión sí, el RGPD forma parte de su ordenamiento jurídico. Cuando salga de la Unión, el RGPD dejará de formar parte del Derecho anglosajón y será reemplazado por una versión del RGPD del gobierno sajón.

Para más información acerca de cómo afectará el Brexit al RGPD, te animo a consultar las guías de la ICO aquí.

Por otro lado, el alcance extraterritorial del RGPD europeo podrá seguir afectando a empresas anglosajonas cuando tengan un establecimiento en la Unión y traten datos personales en el contexto de las actividades de ese establecimiento, o bien, no teniendo ningún establecimiento en la Unión, ofrezcan sus bienes o servicios a interesados que se encuentren en la Unión o monitoricen su comportamiento.

No, salvo que la compañía tenga un establecimiento en la Unión y trate datos personales en el contexto de las actividades de ese establecimiento, o bien, no teniendo ningún establecimiento en la Unión, ofrezca sus bienes o servicios a interesados que se encuentren en la Unión o monitorice su comportamiento. Si la compañía incurre en cualquiera de esas dos situaciones entonces sí, ese tratamiento sí deberá cumplir el RGPD.

El RGPD tiene un alcance territorial que supera las fronteras de la Unión. Esto quiere decir que el RGPD se aplicará a esos responsables o encargados del tratamiento sitos en Australia siempre que tengan un establecimiento en la Unión y traten datos personales en el contexto de las actividades de ese establecimiento, o bien, no teniendo ningún establecimiento en la Unión, ofrezcan sus bienes o servicios a interesados que se encuentren en la Unión o monitoricen su comportamiento. Si la organización o entidad incurre en cualquiera de esas dos situaciones entonces ese tratamiento deberá cumplir el RGPD.

El RGPD tiene un alcance territorial que supera las fronteras de la Unión. Esto quiere decir que el RGPD se aplicará a esos responsables o encargados del tratamiento sitos en Suiza siempre que tengan un establecimiento en la Unión y traten datos personales en el contexto de las actividades de ese establecimiento, o bien, no teniendo ningún establecimiento en la Unión, ofrezcan sus bienes o servicios a interesados que se encuentren en la Unión o controlen su comportamiento. Si la organización o entidad incurre en cualquiera de esas dos situaciones entonces ese tratamiento deberá cumplir el RGPD.

El RGPD tiene un alcance territorial que supera las fronteras de la Unión. Esto quiere decir que el RGPD se aplicará a esos responsables o encargados del tratamiento sitos en Canadá siempre que tengan un establecimiento en la Unión y traten datos personales en el contexto de las actividades de ese establecimiento, o bien, no teniendo ningún establecimiento en la Unión, ofrezcan sus bienes o servicios a interesados que se encuentren en la Unión o controlen su comportamiento. Si la organización o entidad incurre en cualquiera de esas dos situaciones entonces ese tratamiento deberá cumplir el RGPD.

Quizás también te interese…

Entidades y empresas obligadas a cumplir con el RGPD
Representante del RGPD en la UE. Protección de datos personales y privacidad. Unión Europea
Delegado de protección de datos en el RGPD (DPO - DPD). Cuando debe designarse, requisitos, funciones y salario.
Cómo transferir datos fuera de la UE transferencias internacionales de datos
Principios de protección de datos en el RGPD
Guía del registro de actividades del tratamiento del RGPD
Datos sensibles en el RGPD
Cómo atender los derechos del RGPD
Evaluación de impacto de protección de datos en el RGPD. EIPD o DPIA.
Requisitos de seguridad de la información en el RGPD
Multas y sanciones del rgpd
RGPD y blockchain, problemas y soluciones para el cumplimiento normativo