Última revisión
datos
120 - ¿Cuál es el ámbito de aplicación del Reglamento General de Protección de Datos?
Relacionados:
Vademecum: datos
Fecha última revisión: 09/10/2024
El RGPD se aplica al tratamiento total o parcialmente automatizado de datos personales y al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero, excluyendo ciertos tratamientos como el ejercicio de actividades exclusivamente personales o domésticas, actividades del capítulo 2 del título V del Tratado de la Unión Europea y el tratamiento de datos efectuados en el ejercicio de una actividad no incluida en la esfera de aplicación del derecho de la Unión Europea. El ámbito de aplicación territorial del RGPD se establece en el artículo 3 del RGPD.
Ámbito de aplicación material del RGPD
Artículo 2 del RGPD
«1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
2. El presente Reglamento no se aplica al tratamiento de datos personales:
a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;
c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;
d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.
3. El Reglamento (CE) n.º 45/2001 es de aplicación al tratamiento de datos de carácter personal por parte de las instituciones, órganos y organismos de la Unión. El Reglamento (CE) n.º 45/2001 y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos de carácter personal se adaptarán a los principios y normas del presente Reglamento de conformidad con su artículo 98.
4. El presente Reglamento se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE, en particular sus normas relativas a la responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15».
En síntesis, el RGPD es de aplicación al tratamiento total o parcialmente automatizado de datos personales y al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
Sin embargo, no se aplicará al tratamiento de datos personales efectuados:
- En el ejercicio de una actividad no incluida en la esfera de aplicación del derecho de la Unión Europea.
- Por los Estados miembros cuando ejerciten actividades del capítulo 2 del título V del Tratado de la Unión Europea.
- Por una persona física que esté ejerciendo actividades únicamente personales o domésticas.
- Por autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales.
CUESTIÓN
¿Cuáles son las actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE?
Las actividades del capítulo II del título V del Tratado de la Unión Europea son las relativas a las disposiciones específicas sobre política exterior y de seguridad común (artículos 23 a 46).
Ámbito de aplicación territorial del RGPD
Artículo 3 del RGPD
«1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que se encuentren en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público».
Es decir, el RGPD se aplica a los siguientes supuestos de tratamiento de datos personales:
- En el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
- En el caso de interesados que se encuentren en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
- Oferta de bienes o servicios a dichos interesados en la Unión.
- Control de su comportamiento.
- En el caso de que el responsable, aun no estando establecido en la Unión, esté en un lugar donde el derecho de los Estados miembros sea de aplicación en virtud del derecho internacional público.
Si bien, el considerando 24 del RGPD entiende que el tratamiento de datos personales de los interesados que se encuentran en la Unión por un responsable o encargado no establecido en la Unión tiene que ser objeto del citado reglamento cuando «(...) esté relacionado con la observación del comportamiento de dichos interesados en la medida en que este comportamiento tenga lugar en la Unión. Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes».
No obstante, a estos efectos, el considerando 23 del referido texto legal especifica que para resolver si el responsable o encargado del tratamiento ofrece bienes o servicios a interesados que se encuentran en la Unión, debe determinarse si «(...) es evidente que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión. Si bien la mera accesibilidad del sitio web del responsable o encargado o de un intermediario en la Unión, de una dirección de correo electrónico u otros datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país donde resida el responsable del tratamiento, no basta para determinar dicha intención, hay factores, como el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer bienes o servicios a interesados en la Unión».
CUESTIONES
1. ¿A qué se refiere el RGPD con el término «establecimiento»?
En el considerando 22 de la RGPD se precisa que el establecimiento:
«(...) implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables. La forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto».
2. ¿Qué se entiende por bienes o servicios?
Según el Diccionario del Español Jurídico de la RAE:
- Bien: cosa que puede ser susceptible de apropiación. Se incluyen todas las cosas o elementos patrimoniales, corporales e incorporales, susceptibles de adquisición y transmisión.
- Servicios: prestación que satisface alguna necesidad humana y que no consiste en la producción de bienes materiales.
Además, se refieren a los citados conceptos en los siguientes artículos del RGPD:
- Representantes de responsables o encargados del tratamiento no establecidos en la Unión (artículo 27 del RGPD).
- Evaluación de impacto relativa a la protección de datos (artículo 35 del RGPD).
3. ¿Qué actividades se comprenden dentro de la expresión «actividades personales o domésticas»?
El reglamento que nos ocupa en su considerando 18 expone que «(...) no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial. Entre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades. No obstante, el presente Reglamento se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades personales o domésticas».