El objeto del RGPD es la protección de los derechos y libertades fundamentales de las personas físicas, y la libre circulación de datos personales en territorio de la UE, no pudiendo ser restringida ni prohibida.
La protección se otorga a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, y en relación con el tratamiento de sus datos personales.
¿Qué ocurre entonces con la excepción establecida por nuestro RLOPD en su artículo 2.2 para los ficheros de contactos profesionales?
2.2. (RLOPD)
Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales
Por el momento todo apunta a que dicha excepción no operará con el RGPD, ya que el mismo establece, no será de aplicación a las personas jurídicas y en particular a las empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto (considerando 14 del RGPD). Por tanto, todo apunta a que el mismo también será aplicable a las personas físicas que presten servicios en aquellas, ya que la excepción únicamente opera sobre nombre y la forma y los datos de contacto.
Por tanto, si el RGPD no establece esta distinción en el objeto o ámbito de aplicación debemos entender que hasta tanto en cuanto exista un pronunciamiento del Comité o la Comisión los datos personales de los contactos profesionales quedarán dentro del ámbito de aplicación del RGPD.
El ámbito de aplicación Material se encuentra regulado en el art. 2, y en los considerandos 14 a 21 y 27.
Artículo 2: Ámbito de aplicación material
- El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
- El presente Reglamento no se aplica al tratamiento de datos personales:
- en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
- por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;
- efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;
- por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.
Al igual que en la normativa española el RGPD será aplicable tanto al tratamiento automatizado como al tratamiento manual, siempre y cuando estos últimos estén estructurados con arreglo a unos criterios específicos de organización.
Por otro lado, también se mantienen las mismas actividades de exclusión que en la normativa española como las actividades domésticas o las destinadas a la seguridad nacional. A este respecto merece especial atención el considerando 18 del RGPD que establece como actividades personales o domésticas la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades domésticas.
Asimismo, al igual que nuestra normativa, en el considerando 27 se excluye del ámbito de aplicación a las personas fallecidas.
El ámbito de aplicación Territorial se encuentra regulado en el art. 3, y en los considerandos 22 a 25.
Artículo 3: Ámbito territorial
- El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
- El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
- la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
- el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
- El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.
Con el fin de garantizar que las organizaciones no europeas puedan evitar la aplicación de la normativa de protección de datos simplemente por encontrarse fuera de la UE, el RGPD introduce una nueva disposición para considerar aplicable el mismo a las organizaciones o empresas extranjeras que ofrezcan productos o servicios a ciudadanos europeos. De esta manera se reemplaza el criterio de medios por el de servicios.
Recientemente tribunales y reguladores de la Unión Europea han manifestado su apoyo a una interpretación amplia de la norma relativa a la aplicabilidad de la ley europea que incorpora el RGPD. En efecto, el Tribunal de Justicia de la Unión Europea (TJUE) en su decisión de mayo de 2014 (conocido como el caso “Costeja” de Google España o el derecho al olvido) estableció la aplicación de la Directiva 95/46 pese a que el negocio del buscador no se encontraba ubicado en España, debido a que el tratamiento de datos en cuestión se encontraba relacionado con dicho negocio de búsqueda para venta de espacios publicitarios por Google España. Del mismo modo, la Autoridad de control de privacidad Belga (mayo de 2015) emitió una recomendación en la que aclaró que la legislación belga aplica a las actividades de Facebook en Bélgica sin tener en cuenta los argumentos de Facebook acerca del tratamiento de los datos realizado en suelo Irlandés. Igualmente, en octubre de 2015 el TJUE dictaminó en el caso “Weltimmo” que el concepto de establecimiento en virtud de la actual Directiva sobre Protección de Datos debe interpretarse en sentido amplio, de tal forma que las actividades mínimas en un Estado miembro pueden producir la aplicación de la ley local de dicho Estado miembro.
De esta manera si una organización no establecida en la UE está procesando los datos personales de ciudadanos de la UE en actividades relacionadas con la oferta de productos o servicios a dichas personas, o realizando un seguimiento, monitorización y estudio del comportamiento (como por ejemplo el seguimiento a través de Cookies) deberá cumplir plenamente con el contenido del RGPD.
Analizando los elementos de aplicación del Derecho de la Unión, nos encontramos que el considerando 23 del RGPD relativo a las ofertas de productos y servicios establece lo siguiente:
“si dicho responsable o encargado ofrece bienes o servicios a interesados que residan en la Unión, debe determinarse si es evidente que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión. Si bien la mera accesibilidad del sitio web del responsable o encargado o de un intermediario en la Unión, de una dirección de correo electrónico u otros datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país donde resida el responsable del tratamiento, no basta para determinar dicha intención, hay factores, como el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer bienes o servicios a interesados en la Unión”.
Por otro lado, para determinar si existe monitorización o seguimiento del comportamiento de la persona el considerando 23 del RGPD establece lo siguiente:
“debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes”. La redacción parece por tanto estar diseñada principalmente para incluir al sector del marketing digital o comportamental (aunque habrá otros servicios a los que podrá ser aplicable) los cuales crean perfiles de acuerdo con el comportamiento que se produce por un dispositivo utilizado por persona física para el envío de publicidad personalizada.”
Será por tanto aplicable el RGPD a toda empresa extranjera que, aunque no tenga “equipos informáticos o medios” situados en la UE (como se requiere en virtud de la Directiva de protección de datos), realiza una actividad real orientada de forma deliberada a personas o ciudadanos ubicados en la UE.
Finalmente, como veremos más adelante, para estos casos será necesario designar un representante en la Unión Europea que atienda las cuestiones relacionadas con la Protección de Datos de los titulares de los datos o interesados europeos, así como cualquier requerimiento de las Autoridades de Control.