Ámbito territorial del RGPD

¿Quién tiene derecho a hacer valer los derechos de los interesados del RGPD? ¿Contra quién? Este artículo proporciona una breve descripción del alcance territorial del RGPD.

El Reglamento general de protección de datos (Reglamento (UE) 2016/679, RGPD) es una ley europea que entró en vigor en 2016. El RGPD es un reglamento y, como tal, se aplica general y directamente a todos los estados miembros de la UE (de conformidad con el artículo 288 (2) TFUE). A diferencia de las directivas, el RGPD tiene efectos en todos los estados miembros sin necesidad de ser implementado en la legislación nacional. Ha sido aplicable a todos los estados miembros de la UE desde el 25 de mayo de 2018.

El RGPD garantiza la armonización y la igualdad de estándares de la ley de protección de datos entre los estados miembros. También les permite desviarse de determinadas disposiciones a través de las llamadas cláusulas de apertura. Esto da a los estados miembros de la UE su propio margen regulatorio y la posibilidad de concretar el RGPD adaptando y modificando las disposiciones a su propia legislación nacional.

El ámbito territorial del RGPD se establece en el artículo 3 del RGPD y tiene efectos no solo territoriales sino también extraterritoriales. Además, el GDPR establece reglas uniformes entre empresas ubicadas dentro y fuera de Europa. Se estipula lo siguiente:

Este principio cubre los datos personales que son procesados por las actividades de una sucursal del controlador o procesador dentro de la Unión. Por ejemplo, el RGPD se aplica si una empresa con sede fuera de Europa tiene una sucursal en Europa y procesa datos. Un establecimiento es una presencia fija que realiza una actividad efectiva y real. Por tanto, no basta con disponer de una dirección de buzón de correo o de acceder a la página web de una empresa situada fuera de la UE. La estructura legal del establecimiento es irrelevante.

También cubre el procesamiento de datos de sujetos de datos que no se encuentran en la UE (terceros países). Esto significa que el RGPD también es aplicable si un cliente vive fuera de la Unión (y posiblemente no tiene relación con la UE) y sus datos son procesados por una sucursal en la Unión.

Sin embargo, la aplicación del RGPD también se extiende a los controladores y procesadores en países no pertenecientes a la UE (terceros países). Estas empresas deben designar un representante en la UE.

De acuerdo con la ley del lugar de cumplimiento (lex loci solutionis), el RGPD se aplica si los datos personales de un sujeto de datos ubicado en la UE son procesados ​​deliberadamente por una organización ubicada fuera de Europa y el procesamiento está relacionado con la oferta de bienes o servicios. No importa si se pagan o son gratuitos (artículo 3(2)(a) del RGPD), como los modelos de negocio financiados con publicidad. Sin embargo, la oferta tiene que ser “obviamente deliberada”. No es suficiente, por ejemplo, que el sitio web de una empresa esté en un idioma determinado.

Además, el RGPD tampoco es aplicable si los datos son transmitidos o procesados ​​por un enrutador en la Unión sin conocimiento (mero tráfico de datos).

No se debe tener en cuenta la nacionalidad del interesado, sino su lugar de residencia. El procesamiento de datos personales no está cubierto por el RGPD si el interesado (ciudadano de la UE o ciudadano de un tercer país) no tiene una residencia o domicilio en la UE. Sin embargo, también están protegidos los ciudadanos de terceros países que residan de forma permanente o temporal en la Unión en el momento del tratamiento. Si un ciudadano de la UE se encuentra fuera de la Unión por cualquier motivo y sus datos personales son luego procesados ​​por un controlador o procesador en un tercer país, el GDPR no se aplica.

Además, el RGPD también es aplicable en el caso del seguimiento específico del comportamiento de un interesado en la UE por parte de un responsable o encargado del tratamiento establecido fuera de la UE. Esto se aplica, por ejemplo, al seguimiento de las actividades de Internet mediante cookies, huellas dactilares del navegador, complementos sociales, elaboración de perfiles, etc. El motivo del seguimiento es irrelevante.

Este principio se aplica a los establecimientos que según el derecho internacional están sujetos a la ley de los Estados miembros, en particular los consulados o misiones diplomáticas, barcos, aeronaves, procesamiento de datos por diplomáticos, etc.

Un cambio en el ámbito territorial de aplicación del RGPD no es contractualmente posible, a menos que un estado miembro tenga la opción de concretar el RGPD a través de su propia ley nacional sobre la base de una cláusula de apertura. En este caso, se aplica la ley nacional.

---

• Paal/Pauly/Ernst DS-GVO Art. 3 Rn 1-21.
• Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht 1st edition 2019 | DSGVO Art. 3 Rn. 1-70.