Datos Personales, RGPD

El ámbito territorial del Reglamento General de Protección de Datos (criterio del “establecimiento”)

Contenido

El artículo 3 del Reglamento General de Protección de Datos (RGPD) define su ámbito de aplicación territorial sobre la base de dos criterios principales: el criterio del «establecimiento», según el artículo 3 (1), y el criterio de la «selección de destinatarios» según el artículo 3 (2) de este ordenamiento.

Cuando se cumpla uno de estos dos criterios, se aplicarán las disposiciones del RGPD al tratamiento de datos personales por parte del responsable[1] o encargado[2] en cuestión. Asimismo, el artículo 3, apartado 3, confirma la aplicación del RGPD al tratamiento en el que se aplica la legislación del Estado miembro en virtud del derecho internacional público.

Los responsables o encargados no establecidos en la Unión Europea (UE o Unión) que realicen actividades de tratamiento incluidas en el artículo 3, apartado 2, deben designar un representante en la UE.

Criterio del “establecimiento”

El artículo 3(1) dispone que el RGPD se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

Cabe destacar que el artículo 3, apartado 1, del RGPD hace referencia no solo al establecimiento de un responsable del tratamiento, sino también al establecimiento de un encargado del tratamiento. Como resultado, el tratamiento de datos personales por parte de un encargado también puede estar sujeto a la legislación de la UE en virtud de que dicho encargado tenga un establecimiento ubicado dentro de la UE.

Para determinar si el tratamiento de datos personales entra o no dentro del alcance del RGPD de conformidad con el artículo 3, apartado 1, el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) recomienda analizar el caso bajo la existencia o presencia de los siguientes elementos:

  1. Un “establecimiento en la Unión”

Si bien la noción de “establecimiento principal” se define en el artículo 4(16) del RGPD, el RGPD no proporciona una definición de “establecimiento” a efectos del artículo 3. Sin embargo, el Considerando 22 del RGPD aclara que un establecimiento implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables, agregando que “la forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto.”

Por lo tanto, con el objeto de determinar si una entidad establecida fuera de la Unión tiene un establecimiento en un Estado miembro, deben considerarse tanto el grado de estabilidad de los acuerdos como el ejercicio efectivo de actividades en ese Estado miembro, a la luz de la naturaleza específica de las actividades y la prestación de los servicios de que se trate. Al respecto, deben tenerse en cuenta las siguientes consideraciones:

  • El hecho de que la entidad fuera de la UE responsable del tratamiento de datos no tenga una sucursal o filial en un Estado miembro no impide que tenga un establecimiento allí en el sentido de la ley de protección de datos de la UE.
  • No es posible concluir radicalmente que la entidad fuera de la UE tenga un establecimiento en la Unión simplemente porque el sitio web de la empresa es accesible en la Unión.
  • Si un responsable o encargado del tratamiento establecido fuera de la Unión ejerce «una actividad real y efectiva, aunque sea mínima, mediante «acuerdos estables», independientemente de su forma jurídica (por ejemplo, filial, sucursal, oficina…), en el territorio de un Estado miembro, puede considerarse que este responsable o encargado tiene un establecimiento en ese Estado miembro.

2. Tratamiento de datos personales realizado “en el contexto de las actividades de” un establecimiento

El EDPB considera que, a efectos del artículo 3, apartado 1 del RGPD, el significado de “tratamiento en el contexto de las actividades de un establecimiento de un responsable o encargado” no debe interpretarse de manera restrictiva. Algunas hipótesis en las cuales puede señalarse que un tratamiento es efectuado “en el contexto de las actividades de” un establecimiento, son los siguientes:

  • Relación entre un responsable o encargado de datos fuera de la Unión y un establecimiento local en la Unión: El artículo 3, apartado 1 del RGPD, confirma que no es necesario que el tratamiento de datos en cuestión sea realizado “por” el propio establecimiento de la UE. El responsable o encargado estará sujeto a las obligaciones bajo el RGPD siempre que el tratamiento se lleve a cabo «en el contexto de las actividades» del establecimiento local en la UE.

Las actividades de un establecimiento en un Estado miembro y las actividades de tratamiento de datos de un responsable o encargado de datos establecido fuera de la UE pueden estar intrínsecamente vinculadas y, por lo tanto, pueden desencadenar la aplicabilidad del RGPD, incluso si ese establecimiento local no está tomando realmente ningún papel en el propio tratamiento de datos.

Por tal motivo, si un análisis caso por caso de los hechos demuestra que existe un vínculo inherente entre las actividades de un establecimiento de la UE y el tratamiento de datos llevado a cabo por un responsable fuera de la UE, el RGPD se aplicará a ese tratamiento por parte del responsable fuera de la UE, ya sea que el establecimiento de la UE desempeñe o no un papel en ese tratamiento de datos.

  • Recaudación de ingresos en la UE por parte de un establecimiento local: La recaudación de ingresos en la UE por parte de un establecimiento local, en la medida en que dichas actividades puedan considerarse «intrínsecamente o indisolublemente vinculadas» al tratamiento de datos personales que se lleva a cabo fuera de la UE y de individuos en la UE, puede ser indicativo de tratamiento por parte de un responsable o encargado fuera de la UE que se lleva a cabo «en el contexto de las actividades del establecimiento de la UE», y puede ser suficiente para dar lugar a la aplicación del RGPD a dicho tratamiento.

El EDPB recomienda que las organizaciones no pertenecientes a la UE realicen una evaluación de sus actividades de tratamiento de datos, primero determinando si se están procesando datos personales y, en segundo lugar, identificando posibles vínculos entre la actividad para la cual se están tratando los datos y las actividades de cualquier presencia de la organización en la Unión. Si se identifica dicho vínculo, la naturaleza de este vínculo será clave para determinar si el RGPD se aplica al tratamiento en cuestión, y debe evaluarse en relación con los elementos enumerados anteriormente.

3. Aplicación del RGPD al establecimiento de un responsable o un encargado en la Unión

El RGPD se aplica al tratamiento de datos en el contexto de las actividades de un establecimiento en la UE “independientemente de si el tratamiento tiene lugar en la Unión o no”. Es la presencia, a través de un establecimiento, de un responsable o encargado de datos en la UE y el hecho de que se lleva a cabo un tratamiento en el contexto de las actividades de este establecimiento lo que desencadena la aplicación del RGPD a sus actividades de tratamiento. Por lo tanto, el lugar de tratamiento no es relevante para determinar si el procesamiento, realizado en el contexto de las actividades de un establecimiento de la UE, está dentro del alcance del RGPD.

El texto del artículo 3, apartado 1 del RGPD, no restringe la aplicación de este ordenamiento al tratamiento de datos de personas físicas que se encuentran en la Unión. El EDPB considera que cualquier tratamiento de datos personales en el contexto de las actividades de un establecimiento de un responsable o encargado en la Unión entraría dentro del ámbito de aplicación del RGPD, independientemente de la ubicación o la nacionalidad de los interesados cuyos datos personales están siendo procesados.

4. Aplicación del criterio de establecimiento al responsable y al encargado

Respecto a esta condición, el EDPB aborda lo relativo al tratamiento de un responsable en la UE que emplea un encargado no sujeto al RGPD y el tratamiento efectuado en el contexto de las actividades de un establecimiento de un encargado en la UE.

De manera general, puede señalarse que, aunque el RGPD reconoce que los requisitos para establecer la relación entre un responsable y un encargado no varían en función de la ubicación geográfica de su establecimiento, el EDPB considera que cuando se trata de la identificación de las diferentes obligaciones derivadas de la aplicabilidad del RGPD, el tratamiento por parte de cada entidad debe considerarse por separado.

El RGPD prevé disposiciones u obligaciones diferentes que se aplican a los responsables y encargados de datos y, como tal, si un responsable o encargado de datos estuviera sujeto al RGPD según el artículo 3(1) del RGPD, las obligaciones relacionadas se les aplicarían respectivamente y por separado.

En este contexto, un encargado en la UE no debe ser considerado como un establecimiento de un responsable de datos en el sentido del artículo 3(1) del RGPD simplemente en virtud de su condición de encargado. A menos que entren en juego otros factores, el establecimiento de la UE del encargado no se considerará un establecimiento con respecto al responsable.

Cuando un encargado esté establecido en la Unión, deberá cumplir con las obligaciones impuestas a los encargados por el RGPD (las «obligaciones del encargado del RGPD»). Si el responsable que instruye al encargado también se encuentra en la Unión, ese responsable deberá cumplir con las obligaciones impuestas a los responsables por el RGPD (las «obligaciones del responsable del RGPD»).

Por su parte, el responsable del tratamiento sujeto al RGPD debe asegurarse de que el encargado del tratamiento no sujeto al RGPD cumpla las obligaciones, regidas por un contrato u otro acto jurídico en virtud del Derecho de la UE o de los Estados miembros, a que se refiere el artículo 28, apartado 3.

Finalmente, un responsable «fuera de la UE» no está sujeto al RGPD simplemente porque elige usar un encargado en la Unión. Al instruir a un tratamiento en la Unión, el responsable no sujeto al RGPD no estaría llevando a cabo un tratamiento «en el contexto de las actividades del encargado en la Unión». El tratamiento se lleva a cabo en el contexto de las propias actividades del responsable; el encargado simplemente proporciona un servicio de tratamiento.

Referencias

  • European Data Protection Board (November 2019), Guidelines 3/2018 on the territorial scope of the GDPR (Article 3).
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).

[1] El “responsable del tratamiento” o “responsable” se encuentra definido en el artículo 4(7) del RGPD como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento” de los datos personales.

[2] El “encargado del tratamiento” o “rencargado” se define en el artículo 4(8) del RGPD como la “persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.