La aplicación territorial extendida del Gdpr
03 de marzo de 2018Contenido
En la actualidad los cambios legislativos relevantes no se limitan a aquellos producidos en nuestra jurisdicción; en algunas ocasiones la regulación de ciertos asuntos puede tener una repercusión internacional. El 2018 trae consigo la entrada en vigencia de la nueva normativa europea en materia de protección de datos, el Reglamento (UE) 2016/679, mejor conocido como Gdpr, cuya aplicación iniciará el próximo 25 de mayo y reemplazará a la Directiva 95/46/CE. El Gdpr supondrá una extensión del alcance territorial de la regulación europea, la cual aplicará incluso al tratamiento automatizado o no de datos personales cuyos responsables estén localizados fuera de la Unión Europea (UE), e independientemente de que dicho procesamiento tenga lugar fuera de sus estados miembros.
El artículo tercero del Gdpr dispone que éste aplicará al tratamiento de datos personales por parte de organizaciones no establecidas en la UE, cuando éste guarde relación con una de las siguientes actividades: la oferta de bienes o servicios a sujetos localizados en la UE indistintamente de si se requiere un pago a cambio, y el monitoreo de datos comportamentales de interesados ubicados en la UE en cuanto éste se cumpla sobre actividades que se realicen dentro de sus límites.
El alcance territorial de la norma europea más allá de las fronteras de la UE, ha sido objeto de pronunciamiento en vigencia de la actual Directiva 95/46/CE a pesar de que dicha situación no está manifiestamente prevista. El Tribunal de Justicia de la UE aplicó la norma cuando el tratamiento de datos personales fue ejecutado por la matriz (Google Inc.) de una subsidiaria localizada en la UE (Google España), aun cuando el procesamiento de datos se cumpliera fuera de sus límites geográficos y la sede de la matriz también lo estuviera, pues a su juicio había un vínculo inextricable entre las actividades cumplidas por la subsidiaria y la matriz.
La nueva norma es explicita. La oferta de bienes y servicios se refiere, además de la efectiva transacción, a la evidente intención de ofrecerlos, y por ejemplo, según el considerando 23 del Gdpr, circunstancias como permitir la mera accesibilidad a un sitio web o el envío de un correo electrónico no bastarían en principio para determinar dicha intención. Al respecto, habrá que verificar factores como el uso de una lengua o moneda utilizada generalmente en miembros de la UE, o la mención de clientes (a modo de testimonios) localizados allí para revelar que existe el propósito de ofrecer bienes o servicios a otros sujetos en la misma área.
La segunda hipótesis del Gdpr aplicará, conforme su considerando 24, por ejemplo, cuando se haga seguimiento por internet a la ubicación de una persona natural localizada dentro de los límites de la UE, incluyendo el posible uso posterior de dicha información para la elaboración de perfiles sobre quienes se pretendan adoptar decisiones.
No obstante la mención por el Gdpr de solamente algunos ejemplos sobre actividades que serán consideradas para su aplicación más allá de las fronteras de la UE, es posible inferir que la norma pueda llegar a abarcar casos particulares diferentes que en todo caso se adecuen a la descripción general prevista, por lo que corresponderá a cada organización verificar si el procesamiento de datos efectuado por fuera de la UE tiene una incidencia sobre sujetos allí localizados, de manera que se adopten las medidas para cumplir con las obligaciones respectivas.