El Comité Europeo de Protección de Datos publicó las Guías 3/2018, que proponen nuevos lineamientos sobre la aplicación territorial del Reglamento General de Protección de Datos.
El Comité Europeo de Protección de Datos (CEPD) publicó la versión final de sus Guías 3/2019 sobre la aplicación territorial del Reglamento General de Protección de Datos (GDPR). Esta nueva versión de las Guías es el resultado de los comentarios y las contribuciones que recibió el CEPD luego de una consulta pública. Las Guías esclarecen la aplicabilidad del GDPR para empresas, dentro o fuera de la Unión Europea (UE).
El artículo 3 fija el alcance territorial del GDPR de la siguiente manera:
1. El Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la UE, independientemente de que el tratamiento tenga lugar en la UE.
2. El Reglamento se aplica al tratamiento de datos personales de interesados que residan en la UE por parte de un responsable o encargado no establecido en la UE, cuando las actividades de tratamiento estén relacionadas con:
2.a. la oferta de bienes o servicios a dichos interesados en la UE, independientemente de si a estos se les requiere su pago, o
2.b. el control de su comportamiento, en la medida en que este tenga lugar en la UE.
3. El Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la UE sino en un lugar donde el Derecho de los Estados miembros se aplique en virtud del Derecho Internacional Público.
Es importante que las compañías realicen una cuidadosa evaluación de sus actividades de procesamiento, ya sean responsables (quien determina los fines y medios del tratamiento) o encargadas (quien procesa datos en nombre del responsable) de procesar datos personales, a fin de determinar si su accionar es alcanzado por el GDPR. Este ejercicio debe ser practicado especialmente por aquellas compañías que ofrecen bienes o servicios a nivel internacional.
El alcance territorial del GDPR se analiza en base a tres criterios: (i) establecimiento (Artículo 3.1), (ii) direccionamiento o targeting (Artículo 3.2) y (iii) derecho internacional público (Artículo 3.3).
Los tres criterios pueden ser resumidos de la siguiente forma:
- Criterio del Establecimiento. La aplicación de este criterio debe ser realizada, en primer lugar, identificando qué rol cumple la compañía; es decir, si es responsable o encargada del tratamiento de datos personales. Una vez asignado dicho rol, la empresa debe evaluar si realiza actividades en el contexto de un establecimiento dentro de la UE –entendiéndose por “establecimiento” el ejercicio efectivo de actividades a través de un modelo estable de negocios en la UE–. Es importante recordar que este análisis es realizado independientemente del lugar donde se realiza el tratamiento efectivo de los datos personales o, incluso, de la ubicación o nacionalidad del titular de los datos.
- Criterio de Direccionamiento o Targeting. Este escenario se origina a partir de ciertas actividades de tratamiento de datos personales realizadas por una compañía que se encuentra establecida fuera de la UE. Estas actividades comprenden: (a) el ofrecimiento de bienes o servicios a titulares de datos dentro de la UE o (b) el monitoreo del comportamiento de los titulares de datos dentro de la UE. El monitoreo de los titulares de datos puede incluir actividades como publicidad orientada a partir del comportamiento del titular, seguimiento en línea (cookies) y encuestas de mercado. Este criterio de direccionamiento o targeting se enfoca no solo en el tratamiento de los datos personales sino también en la actividad a la cual dicho tratamiento se encuentra vinculada. El análisis es realizado en función de cada caso particular.
Si luego de haber evaluado sus actividades una compañía concluye que encuadra en este criterio, entonces tendrá la obligación de nombrar a un representante dentro de la UE.
- Criterio de Derecho Internacional Público. Este criterio aplica, por ejemplo, al tratamiento de datos personales llevado cabo por embajadores o cónsules de Estados miembros, ubicados fuera del territorio de la UE.
La aplicación del GDPR debe ser estudiada caso por caso, ya que una misma compañía puede estar bajo la órbita del GDPR para una parte –y no para la totalidad– de sus actividades de tratamiento de datos personales. Finalmente, es interesante destacar que el CEPD sostiene que cuando el tratamiento de datos personales cae bajo la órbita de GDPR, por su aplicación territorial, todas las disposiciones del GDPR son aplicables a dicho tratamiento.
Opinión
PASBBA
opinión
ver todosNORDELTA S.A.
Alfaro Abogados
Berton Moreno IP Law
Eskenazi Corp