Protección de datos

RGPD: Protección de Datos Personales dentro y fuera de la Unión Europea

por Carlos García Monío, en Madrid a 4 de junio de 2018

Uno de los mayores interrogantes que plantea la aplicación efectiva de la normativa en materia de protección de datos de carácter personal es precisamente la delimitación del ámbito de aplicación de la norma desde el punto de vista territorial. De esta manera, la determinación de este criterio es una cuestión que ha suscitado problemas a la hora de conocer con certeza quienes son los sujetos responsables del tratamiento de datos de las personas físicas conforme a las reglas dispuestas en un determinado ordenamiento jurídico (ya sea nacional o supranacional) y, también, en lo referente a la atribución de la competencia de supervisión a una cierta Autoridad de Control nacional o a cualesquiera otras.

Imagen: www.helpsystems.com

En el ámbito territorial de los Estados miembros de la Unión Europea, el ámbito territorial de la normativa debe ser observado desde una doble perspectiva, debido a la coexistencia de dos normas con ámbitos de aplicación parcialmente coincidentes: la normal nacional y la norma emanada de las Instituciones europeas. En el caso español, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal contempla la posibilidad de aplicación de sus preceptos en el artículo segundo, al disponer que «Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

  • a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.
  • b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.
  • c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito».

 

Se opera, por tanto, con un triple criterio alternativo de determinación que contempla, a su vez, tres puntos de conexión basados, respectivamente en el concepto de establecimiento del responsable de los datos, la eventual remisión de las normas convencionales de origen internacional y la situación de los medios materiales empleados en el tratamiento.

Junto a ello, es preciso tener en cuenta las disposiciones contenidas en el nuevo Reglamento General de Protección de Datos (en lo sucesivo, RGPD), de aplicación general y directa para los Estados miembros de la Unión tras su reciente entrada en vigor. El nuevo Reglamento, fiel a la premisa de garantizar la libre circulación de datos en el seno del mercado interior de la Unión mientras mantiene un estándar común de protección para todos los ciudadanos europeos, se basa en la consideración de que la protección dispensada ha de ser observada en relación a todos los ciudadanos europeos, con independencia de su nacionalidad o lugar de residencia. Teniendo en cuenta esta premisa y partir de la misma, la determinación del ámbito de aplicación territorial del RGPD se efectúa en su artículo 3, y de una manera análoga a la que anteriormente se ha comentado que emplea la normativa nacional española, se recoge un triple criterio de aplicabilidad de la norma europea. Así, siendo coincidente con la prioridad que se otorga al criterio del establecimiento del responsable de los datos personales, se contempla otros dos desvinculados del lugar de residencia del responsable: la relación del tratamiento de los datos con los interesados en el mismo que sean residentes en el interior de la Unión y la remisión que puedan hacer las normas internacionales de naturaleza convencional a la normativa de un particular Estado miembro. De esta forma, el citado artículo tercero del Reglamento General establece en sus tres apartados que:

1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:

– la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o

– el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

Imagen: www.clickdealer.co.uk

Una primera cuestión a abordar en el comentario de este precepto es el concepto de residencia de los interesados a los que se refieren los datos personales. Como consecuencia del empleo de este término por parte del RGPD, surgen ciertas dudas de naturaleza interpretativa acerca de los supuestos de mera estancia, presencia o tránsito de las personas físicas en el ámbito espacial de aplicación del Reglamento. Es decir, la contraposición del concepto legal de residencia con aquellas otras situaciones de mero hecho en las que se pudieran encontrar las personas físicas con independencia de su situación jurídica o administrativa en relación a un determinado Estado miembro conforme a su propio ordenamiento interno.

Adicionalmente a lo anterior, el RGPD difiere tanto de la normativa europea predecesora al mismo (y que estaba constituida esencialmente por la Directiva 95/46, de 24 de octubre) como de la normal nacional española, en lo que se refiere a la regulación de los puntos de conexión relativos al lugar en el que se lleva a cabo concretamente el tratamiento de los datos de carácter personal. De esta manera, el RGPD será obligatoriamente aplicable en los supuestos en los que el encargado del tratamiento se encuentre establecido en alguno de los Estados miembros, aunque el tratamiento materialmente se lleve a cabo en el territorio de algún otro tercer Estado. Particularmente, la nueva norma europea prescinde del criterio del lugar en que se ubiquen los medios materiales con los que el tratamiento se haya de realizar y lo sustituye por el del lugar en que se encuentren los interesados a los que se dirigen los bienes y servicios derivados de la concreta actividad económica desarrollada por el responsable. Este cambio de perspectiva deriva del propósito declarado por parte del legislador europeo de garantizar la protección efectiva de los ciudadanos europeos evitando que determinados operadores económicos pudieran sustraerse a la observancia de sus disposiciones acogiéndose a la norma correspondiente al lugar en que eventualmente hubieran podido ubicar los medios materiales, equipos o instalaciones empleados en el tratamiento de los datos. Al objeto de clarificar este nuevo criterio, el propio Reglamento prevé que será necesario atender a la proyección de la oferta de ciertos bienes o servicios a las personas residentes en el interior de la Unión. Para ello, si bien no basta la mera accesibilidad a través de un determinado sitio web perteneciente al responsable o encargado del tratamiento  de sus respectivos datos de contacto existen otros factores relevantes mediante los cuales se puede revelar la intención de dirigir la oferta comercial a los residentes europeos como pueden ser, a título de ejemplo, el empleo de una lengua generalmente aceptada en uno o varios Estados miembros para realizar esta oferta, la utilización de una moneda admitida en estos mismos países para realizar la transacción prevista o , incluso, la mención directa a ciertos colectivos de personas residentes en el territorio de la Unión que pudieran resultar previsibles adquirentes o usuarios de la proyectada oferta. Rige, por tanto, la especificidad de la oferta en relación a los posibles receptores de la misma, sin ser necesario que los mismos sean clientes actuales de la empresa que desarrolle la actividad económica y sí tan solo que puedan ser considerados como potenciales adquirentes o usuarios de los bienes o servicios ofertados por parte de dicho operador económico.

Este no es el único supuesto en que procedería la vinculación de los operadores económicos que no cuenten con establecimiento, sede o filial, en el interior de la Unión europea a las prescripciones del RGPD; ya que el mismo texto contempla la posibilidad de que sus disposiciones resulten aplicables en el caso de que, sin existir oferta actual de bienes o servicios, la actividad de tratamiento de los datos obtenidos se encuentre relacionada con «el control del comportamiento de los interesados residentes, en la medida en que éste tenga lugar en la Unión». Esta alusión al «control del comportamiento» de los interesados habrá que entenderla referida, en realidad, a la observación del comportamiento de dichos interesados. A tenor del RGPD, para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, deberá evaluarse si las personas físicas son objeto de un seguimiento más o menos continuo en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.

Con esta nueva inclusión, el RGPD parece dirigirse de manera primordial a la industria del marketing digital y a la elaboración de «perfilados» para el envío de comunicaciones electrónicas comerciales personalizadas en función del tratamiento automatizado de los datos obtenidos de los clientes o usuarios. Y ello, como se ha apuntado, con independencia del lugar de establecimiento de la empresa u organización que desarrolle la actividad económica y, así mismo, del lugar en que efectivamente se centralice el tratamiento de los datos obtenidos.

Por último, para completar una visión global de los principios de territorialidad y afectación personal del tratamiento para determinar la aplicabilidad del RGPD en función del ámbito espacial en el que se ubican los prestadores de servicios y las personas físicas interesadas en el tratamiento de sus datos personales es imprescindible hacer constar que, también el RGPD, regula las transferencias internacionales de datos personales. A esta cuestión se refiere, en particular, el frecuente uso por parte de los responsables de los datos personales de soluciones de tercero para el almacenamiento masivo y procesamiento de los datos obtenidos como consecuencia del desarrollo de las actividades económicas relacionadas con los mismos datos personales. De esta manera, el alcance de las disposiciones del RGPD y el impacto de su entrada en vigor sobrepasa el ámbito territorial que se contempla en el artículo 3 del RGPD para extenderse también a las políticas de cumplimiento de las empresas proveedoras de estos servicios de almacenamiento y procesamiento situadas fuera del Espacio Económico Europeo.