El RGPD ha nacido con la voluntad de que sus efectos se dejen sentir mucho más allá de las fronteras de la Unión Europea. Tras su entrada en aplicación el pasado 25 de mayo, esto es ya una realidad. Organizaciones a lo largo y ancho del planeta están adaptando sus tratamientos de datos personales y esto está teniendo un impacto muy positivo para la protección de la privacidad a nivel global. Es más, determinar hasta qué punto una empresa no europea debe regirse por el RGPD se ha vuelto un punto clave antes de lanzar nuevos productos y servicios.
Así que la pregunta es ¿Qué empresas y organizaciones no europeas están sujetas al RGPD?
Tenemos que irnos al artículo 3 del RGPD para obtener una respuesta a esta pregunta. Lo reproducimos íntegramente:
Artículo 3
Ámbito territorial
- El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no
- El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
- El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.
El artículo 3 deja claro en su punto 1 que todas las actividades de tratamiento realizadas dentro de la UE, aunque trate datos de ciudadanos no europeos, estarán reguladas por el RGPD. Esto supone un cambio a la Directiva 1995. Por lo tanto, todas aquellas empresas globales con presencia en la Unión Europea tendrán que regirse en la mayoría de las ocasiones por el RGPD.
El segundo punto del artículo 3 no tenía ningún tipo de precedente dentro de la directiva 1995. En aquellos casos en los que el responsable de tratamiento no disponga de sede física en la UE, el RGPD todavía será de aplicación siempre y cuando el uso de datos personales se realice con el fin de ofertar productos y servicios a ciudadanos de la UE, aunque no se realice ninguna transacción comercial.
En este segundo punto se introduce un punto que traerá mucha cola. Se refiere a las actividades de tratamiento que entrañen el control del comportamiento de ciudadanos basándose en sus datos personales. Esto significa que monitorizar el comportamiento de los internautas (páginas que visitan, productos que compran, etc..), una práctica muy común, supondrá la aplicación inmediata del RGPD. En la práctica esto podría hace que todas las páginas webs del mundo que usan algún tipo de cookie de rastreo, la mayor parte, podrían estar bajo el paraguas del RGPD. Esto en la práctica resulta poco viable, dado el volumen de páginas que habría que monitorizar por lo que probablemente se aplique tan solo en casos en los que la monitorización de datos sea más grave y pueda potencialmente causar un perjuicio.
Si una cosa está clara es que tendremos que esperar años antes de saber con seguridad la evolución que el RGPD tomará en la práctica en relación con el ámbito de aplicabilidad. Aquellos con la responsabilidad de discernir el marco legal para las empresas que estén en zonas grises estarán asumiendo un gran riesgo al tomar una decisión. Al final, el principio de proactividad debería ser el que rigiese y llevase a todos los encargados de tratamiento de adoptar una postura garantista hacia los datos personales.
