¿Se aplica la LOPD en el extranjero? ¿Deben las empresas ubicadas en terceros países que tratan datos personales de ciudadanos españoles cumplir la LOPD?
En este artículo hablamos de:
Las empresas extranjeras que tratan datos de ciudadanos españoles, ¿deben cumplir la LOPD?
Sí, las empresas ubicadas en el extranjero que tratan datos de ciudadanos españoles, deben cumplir con la LOPD o LOPDGDD, aunque vamos a desarrollar esta respuesta y ver exactamente cuándo se debe aplicar la LOPD en el extranjero.
Primero, debemos diferenciar entre empresas residentes en países dentro de la UE o el EEE (Espacio Económico Europeo) y empresas residentes en terceros países, es decir, países que no pertenecen a la UE o al EEE.
Esta distinción es importante, porque dentro de la UE y del EEE es de aplicación el RGPD y, por extensión, cualquier empresa con base en estos territorios cumple con la LOPD (ya que la ley española es la adaptación del Reglamento europeo de protección de datos).
¿Qué ocurre con las empresas en terceros países? Como decíamos, si tratan datos personales, también deben aplicar y cumplir con la LOPD, puesto que el RGPD se aplica en el extranjero siempre que el tratamiento de datos personales sea parte de las actividades habituales de las sucursales de la empresa establecidas en la UE, con independencia de donde se traten dichos datos, o la empresa ofrezca productos o servicios (de pago o gratuitos), o se dedique a la observación del comportamiento de ciudadanos de la UE.
Cualquier empresa en el extranjero debe aplicar la LOPD, si dirige sus productos o servicios a ciudadanos españoles, u observa su comportamiento (actividades en las que se realiza un tratamiento de datos personales de forma regular), con independencia de si es una gran empresa o una pyme.
Por ejemplo, deben aplicar la LOPD empresas extranjeras como tiendas online, plataformas de email marketing, plataformas de streaming, empresas de análisis de datos que incluyan datos personales, empresas o instituciones educativas, servicios financieros, etc.
¿Deben las empresas extranjeras cumplir todas las obligaciones de la LOPD?
De la misma forma que no todas las empresas españolas tienen que cumplir con todas las obligaciones de la LOPD, las empresas extranjeras tampoco deberán hacerlo, puesto que algunas de estas obligaciones están relacionadas con el tamaño de la empresa (más de 250 empleados), el volumen de datos personales tratados (a gran escala), la regularidad con la que se tratan (sistemáticamente) y los tipos de datos que se tratan (categorías especiales de datos).
Por ejemplo, si el tratamiento de datos personales no es la parte principal de su negocio y el tratamiento que llevan a cabo no supone un riesgo para los derechos y libertades de los interesados, no necesitarán designar un Delegado de Protección de Datos (DPO).
Por lo tanto, las empresas extranjeras que traten datos personales de ciudadanos españoles, deberán determinar qué obligaciones de la LOPD deben cumplir en función de su actividad, el tipo y el volumen de datos que traten.
¿Cómo se aplica la LOPD en el extranjero?
La LOPD en el extranjero se aplica de la misma forma que se aplica a una empresa que resida en España, puesto que, como decíamos en el punto anterior, las obligaciones serán las mismas (teniendo en cuenta el tipo, volumen de datos y otras características de la empresa).
Lo normal es que las empresas que residen fuera de la UE y el EEE y traten datos personales de ciudadanos europeos, observen y cumplan con los requisitos del RGPD, de manera que, como decíamos más arriba, por extensión estarán cumpliendo con la LOPD en el caso de los ciudadanos españoles.
Por lo tanto, estas empresas extranjeras deberán cumplir con:
- La elaboración del registro de actividades de tratamiento (cuando así proceda).
- Realizar análisis de riesgos y, en su caso, la evaluación de impacto de los tratamientos de datos que se vayan a realizar. Y aplicar las medidas técnicas y organizativas necesarias para garantizar la privacidad de los datos.
- Informar a los interesados sobre todo lo relacionado con el tratamiento de sus datos (incluida la identidad del responsable, el plazo de conservación y cómo y dónde ejercer sus derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición).
- Recabar el consentimiento expreso de los interesados para el tratamiento de sus datos (cuando la licitud del mismo no pueda basarse en otros de los supuestos contemplados en los artículos 6 y 9 del RGPD).
- Cuando proceda, firmar los contratos con los encargados del tratamiento.
- Nombrar un DPO (cuando proceda).
- Notificar las brechas de seguridad a la AEPD y los interesados afectados.
- Responder las reclamaciones de derechos de los interesados.
Las empresas extranjeras que vulneren la LOPD ¿pueden ser sancionadas?
Sí, las empresas extranjeras que vulneren la LOPD pueden ser sancionadas por ello, puesto que la AEPD tiene potestad sancionadora en materia de protección de datos en España. Sin ir más lejos, el pasado mes de mayo de 2022, la AEPD impuso a Google una multa de 10 millones de euros por ceder datos a terceros sin legitimación y por obstaculizar el ejercicio del derecho de supresión.
Las cuantías de las sanciones de la LOPD se determinan en función de la gravedad de la infracción cometida, el número de interesados y tipos de datos afectados, la duración del hecho, la intencionalidad y la colaboración o no con la propia AEPD en el proceso de investigación. En concreto, el régimen sancionador de la LOPD establece las siguientes horquillas de sanciones:
- Sanción de hasta 40.000 euros por infracciones leves (art. 74).
- Sanción entre 40.001 y 300.000 euros para infracciones graves (art. 73).
- Sanción entre 300.001 y 20 millones de euros o el 4% de la facturación anual por infracciones muy graves (art. 72).
En conclusión, siempre que se traten datos personales de ciudadanos españoles fuera de España, la LOPD es de aplicación (a través del RGPD).