El Comité Europeo de Protección de Datos publica un informe sobre la aplicación territorial del RGPD.
El último informe publicado por el Comité Europeo de Protección de Datos (EDPB) clarifica los casos en los que un determinado tratamiento de datos se encuentra bajo el ámbito de aplicación del RGPD conforme al artículo 3. Con el RGPD, el criterio de “establecimiento” (1) alcanza un ámbito más amplio y se añade uno adicional: “targeting” u objetivo (2).
De esta forma, el RGPD se aplicará en las siguientes circunstancias:
- -Tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la UE, con independencia del lugar de tratamiento.
El término de establecimiento abarca cualquier actividad real y efectiva respaldada por acuerdos permanentes, aunque sea mínima, incluidas aquellas desarrolladas de forma exclusiva mediante internet que cuentan con un único agente o empleado en la UE.
El concepto de “en el contexto de” hace referencia a aquellos casos en los que un establecimiento en la UE lleve a cabo actividades que estén unidas de manera intrínseca e indisoluble a las actividades del responsable o encargado fuera de la UE, también si se generan ingresos a través de las mismas e independientemente de que incluya o no tratamiento de datos personales.
EDPB destaca que el hecho de que un responsable no establecido en la UE contrate un encargado establecido en la UE no implica que el responsable esté bajo el contexto de un establecimiento en la UE y por tanto automáticamente bajo los requisitos del RGPD, pues el encargado únicamente provee un servicio, lo cual no califica como actividad inextricablemente unida.
- -Tratamiento de datos personales de interesados que residan en la UE por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios, independientemente de si media pago, o el control de su comportamiento.
Para este punto, el EDPB puntualiza que sólo se tendrá en cuenta la presencia de los sujetos en la UE, independientemente de su nacionalidad o situación legal, en el momento temporal exacto en el que la actividad correspondiente tenga lugar. EDPB enfatiza que este criterio no se aplicará si la oferta y el tratamiento se dirige a un único individuo.
Para determinar la oferta de bienes y servicios se valorará la intención real de dirigirse a usuarios de la UE, con elementos como referencias a Estados Miembros, uso de buscadores de la UE, campañas de marketing, direcciones o teléfonos específicos, dominios web, monedas aceptadas y opciones de idioma. El control de comportamiento será tanto por internet como por otros medios como dispositivos inteligentes.
- -Además, también procederá la aplicación cuando se realice un tratamiento de datos personales por parte de un responsable que no esté establecido en la UE sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.
