Skip to content

Ámbito de aplicación del Reglamento General de Protección de Datos

El Reglamento General de Protección de Datos (RGPD), aumenta su alcance tanto territorial como materialmente.

Territorialmente se incluyen como sujetos a la normativa los responsables o encargados no establecidos en la Unión Europea (UE), cuando las actividades estén relacionadas con ofertas de bienes y servicios o monitorización de residentes europeos.

Así, el RGPD será aplicable a:

  • Responsables y encargados de tratamiento establecidos en la UE.

Conviene recordar que se entiende actualmente por “establecimiento”. El Tribunal de Justicia de la Unión Europea (TJUE) ha considerado que se produce un tratamiento de datos en un establecimiento en la UE cuando se ejerza cualquier actividad real y efectiva, la más mínima a través de una instalación estable (Caso Weltimmo c. NAIH, C-230/14).

Aquellas organizaciones cuya finalidad sea la de promover y vender publicidad o realizar actividades de marketing dirigidas a ciudadanos de la UE. Este tratamiento deberá estar relacionado y llevado a cabo “en el contexto de las actividades” de los establecimientos de la UE (Caso Google c. AEPD y Mario Costeja).

  • Los no establecidos en la EU pero que dirijan sus actividades o monitoricen datos de interesados de la UE.

Se considera actividad dirigida a residentes europeos la oferta de bienes o servicios, independientemente de si a estos se les requiere su pago. Una simple web que permite acceso a un servicio en la UE no es suficiente para la aplicación del RGPD. Factores como la oferta en el lenguaje del Estado Miembro o mencionando clientes de dichos estados pueden determinar la aplicación del RGPD. El pago de una entidad a un motor de búsqueda para que su oferta aparezca en un determinado país.No obstante, en los casos que creen más dudas se deberá determinar caso por caso

Será considerada monitorización de ciudadanos cuando se produzca el control de su comportamiento, en la medida en que este tenga lugar en la Unión. Este comportamiento puede incluir el tracking de usuarios en internet o el uso de tecnologías para crear perfiles individuales, su comportamiento y actitudes para analizar y/o predecir preferencias personales

Materialmente, el RGPD aplica ahora directamente tanto a responsables como a encargados. Las nuevas obligaciones impuestas a los encargados, y no ya solo las obligaciones derivadas del contrato de encargado de tratamiento, les hacen directamente responsables por cualquier incumplimiento.

La definición de dato personal es más detallada, se incluyen los términos datos de localización, identificador en línea y datos genéticos. Se añade por tanto la localización GPS, y aquellos datos como la IP que permitan nuestra identificación en línea. La reciente sentencia del TJUE C-582/14 Breyer, ha considerado la IP dinámica un dato de carácter personal.

Se incorporan expresamente los datos genéticos y biométricos como datos sensibles que necesitarán una especial protección.

Se incluye la definición del término seudonimización, y recomienda el RGPD que esta medida se incorpore en base a los principios de la privacidad desde el diseño y por defecto. La seudonimización puede ser un instrumento que permita llevar a cabo tratamientos no justificables de otro modo. Los datos seudonimizados se consideran datos personales al permitir la identificación de la persona mediante su interconexión. Esta conexión debe estar protegida mediante mecanismos que aseguren la separación efectiva de los datos para disminuir los riesgos de identificación.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s