Conocer el ámbito de aplicación del RGPD es fundamental, especialmente para aquellas empresas de terceros países que operan en la UE, así como para los propios ciudadanos de la UE, que deben saber que las empresas u organizaciones que tratan sus datos personales están obligadas a cumplir el RGPD, incluso si no están establecidas físicamente en la UE. En este artículo repasamos cuál es el ámbito de aplicación del RGPD.
En este artículo hablamos de:
¿Qué artículos regulan el ámbito de aplicación del RGPD?
El ámbito de aplicación del RGPD está regulado en sus artículos 2 y 3, de la misma manera que el ámbito de aplicación de la LOPD está recogido en su artículo 2, con el que comparte, al menos en su primer apartado (y cómo veremos en el siguiente punto) la misma redacción.
Por su parte, y dado que es el punto de partida del RGPD, su artículo 1 establece el objeto del Reglamento, que nos dice que en él se establecen las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y las normas relativas a la libre circulación de tales datos, con el objetivo de proteger los derechos y libertades fundamentales de las personas físicas y de permitir la libre circulación de los datos personales dentro de la UE.
Volviendo a la aplicación del RGPD, este distingue entre el ámbito de aplicación material y el ámbito de aplicación territorial.
Ámbito de aplicación material del RGPD
El ámbito de aplicación material del RGPD se regula en el artículo 2 y nos dice que el RGPD es de aplicación directa a cualquier tratamiento total o parcialmente automatizado de datos personales, así como a cualquier tratamiento no automatizado de datos personales que estén destinados a ser incluidos en un fichero.
Para entender a qué se refiere el RGPD con los conceptos de tratamiento de datos y fichero, debemos acudir a las definiciones que hace el propio Reglamento en su artículo 4:
- Por tratamiento de datos se entiende cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de ellos, como pueden ser, por ejemplo, la recogida, el registro, el almacenamiento, la adaptación, la consulta, el uso, etc.
- Por fichero se entiende todo conjunto de datos personales estructurado, accesible con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica. Por ejemplo, una base de datos con fichas de clientes o fichas de empleados.
Ámbito de aplicación territorial del RGPD
En cuanto al ámbito de aplicación territorial del RGPD, se regula en el artículo 3, que establece dónde es de aplicación el RGPD, así como bajo qué criterios es de aplicación para entidades que no están establecidas en la UE, pero operan en ella.
En concreto, el RGPD se aplica a las actividades de tratamiento realizadas por un responsable del tratamiento o encargado del tratamiento, con independencia de que el tratamiento tenga lugar en la Unión o no. Es decir, si los datos personales de ciudadanos de la UE son tratados en un tercer país, como puede ser EE. UU., el RGPD es de aplicación.
Así mismo, el RGPD también es de aplicación al tratamiento de datos personales de ciudadanos residentes en la UE por parte de un responsable o encargado del tratamiento no establecido en la UE, cuando las actividades de tratamiento estén relacionadas con:
- La ofertas de bienes o servicios a ciudadanos de la Unión, con independencia de que sean de pago o no.
- El control de su comportamiento (por ejemplo, la elaboración de perfiles).
Además, el RGPD se aplica al tratamiento de datos personales por parte de un responsable que esté establecido fuera de la UE, pero en un lugar en el que sea de aplicación el Derecho de los Estados miembros en virtud del Derecho Internacional público.
Es decir, que el RGPD es de obligado cumplimiento para aquellas entidades que vendan o presten servicios a ciudadanos de la UE, incluso cuando estas entidades no se encuentran establecidas en la Unión. Así mismo, también deben cumplirlo aquellas entidades que lleven a cabo alguna actividad de seguimiento, monitorización o estudio del comportamiento de ciudadanos de la UE (por ejemplo, las páginas web que emplean cookies).
Cabe señalar que si los tratamientos que realizan estas entidades fuera de la UE no forman parte principal del negocio y la actividad de la entidad no entraña riesgos para los derechos y libertades de las personas, no será necesario cumplir con algunas de las obligaciones del RGPD, como por ejemplo, designar un Delegado de Protección de Datos, aunque sí que deberán nombrar un representante en la UE para atender las cuestiones relacionadas con la protección de datos de los ciudadanos de la Unión y de cualquier requerimiento de las autoridades de control de los Estados miembros.
Ámbitos en los que no es de aplicación el RGPD
El apartado 2 del artículo 2 del RGPD establece los ámbitos excluidos de la aplicación del Reglamento, en concreto no se aplicará:
- En el ejercicio de actividades que no estén incluidas en el ámbito de aplicación del Derecho de la UE.
- Por los Estados miembros cuando realicen actividades del capítulo 2 del Título V del Tratado de la UE, que son aquellas relativas a las disposiciones específicas sobre política exterior y seguridad común.
- Por las personas físicas cuando estén relacionadas con actividades personales o domésticas (como puede ser tener una agenda de teléfonos y direcciones o instalar una cámara de videovigilancia en el interior de casa).
- Por las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales.
- A personas jurídicas.
- A personas fallecidas.
Finalmente, cabe señalar que el ámbito de aplicación del RGPD está recogido por la LOPD en términos muy similares, tal y como decíamos al principio.