¿Se aplica el RGPD a las empresas de fuera de la UE?

Table of Contents

¿Se aplica el RGPD a las empresas de fuera de la UE?

En 2018, la Unión Europea (UE) lanzó el Reglamento General de Protección de Datos (RGPD). Regula la recopilación y el uso de datos personales por parte de todas las entidades privadas y públicas. El reglamento se aplica exclusivamente a los datos personales de los ciudadanos de la UE. Eso significa que las empresas de fuera de la UE no están exentas. Más bien, en determinadas circunstancias, el RGPD se aplica a las empresas de fuera de la UE.

A continuación, te explicamos las condiciones en las que las empresas de fuera de la UE deben cumplir con el RGPD. Y también, qué pasa si no lo hacen.

Resumen del RGPD

El GDPR es un marco legal ideado por la UE, que entró en pleno vigor en mayo de 2018. Diseñado para proporcionar a los ciudadanos de la UE un mayor control sobre la recopilación y el uso de sus datos en línea, obliga a las empresas a un conjunto de principios y derechos de privacidad consagrados en el reglamento.

Estos incluyen limitar la recopilación de datos a fines esenciales, almacenar datos de forma segura y garantizar que la recopilación de datos sea legal, justa y transparente. Los ciudadanos de la UE también deben dar su consentimiento activo para la recopilación de datos.

La regulación se produjo después de múltiples filtraciones de alto perfil de grandes corporaciones. Los ciudadanos de la UE también expresaron su preocupación por la privacidad, a quienes les preocupaba que sus datos personales se recopilaran en secreto sin su consentimiento.

Es por eso que la UE redactó el GDPR: actualmente, la ley de protección de datos más estricta del mundo.

El RGPD se aplica en todo el mundo

Al igual que Internet es una entidad global, también lo es el RGPD. Al aprovechar el poder de la UE, el RGPD legisla contra el uso indebido de los datos que pertenecen a los ciudadanos de la UE en cualquier parte del mundo. Esto se conoce como un «efecto extraterritorial».

Citando el artículo 3 del RGPD (las secciones relevantes están resaltadas en negrita):

  1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento de un responsable o un encargado del tratamiento en la Unión, con independencia de que el tratamiento tenga lugar en la Unión o no.
  2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que se encuentren en la Unión por parte de un responsable o encargado del tratamiento no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
    a) la oferta de bienes o servicios, independientemente de que se exija o no un pago al interesado, a dichos interesados en la Unión; o
    b) el seguimiento de su comportamiento en la medida en que éste tenga lugar dentro de la Unión.
  3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable del tratamiento no establecido en la Unión, pero en un lugar en el que se aplique el Derecho de los Estados miembros en virtud del Derecho internacional público.

¿Cuándo se aplica el RGPD en los territorios no pertenecientes a la UE?

Como podemos ver en el artículo 3 del RGPD, hay dos ocasiones principales en las que el RGPD demuestra un efecto extraterritorial. Estos son:

Ofrecer bienes y servicios. Dado que los bienes y servicios se comercializan libremente a través de las fronteras territoriales, el RGPD se ocupa principalmente de cómo se utilizan los datos personales de los ciudadanos de la UE en dichas transacciones.

Por ejemplo, si un ciudadano de la UE en Dinamarca puede comprar un producto o servicio de un proveedor en Chicago, entonces el proveedor debe estar de acuerdo con el GDPR. En resumen: cualquier empresa de fuera de la UE que atienda a clientes de la UE debe cumplir con el RGPD.

Las palabras clave aquí son «puede» y «atender». El hecho de que un ciudadano de la UE pueda comprar a una empresa de fuera de la UE no significa que la empresa atienda a los ciudadanos de la UE. Un restaurante en Tokio puede aceptar pedidos a través de Internet. Sin embargo, no comercializan a ciudadanos de la UE y, por lo tanto, están exentos del GDPR.

Monitoreo del comportamiento. El caso más común de que el GDPR afecte la actividad regular en Internet es a través de las cookies. Se trata de pequeñas piezas de software diseñadas para rastrear el uso de un sitio web. Eso se considera datos personales según el GDPR. Por lo tanto, cualquier sitio abierto a los ciudadanos de la UE debe seguir el RGPD al recopilar y utilizar dichos datos.

Eso significa que casi todos los sitios web de Internet deben cumplir con el RGPD. En pocas palabras: sí. Pero no es necesariamente así como funcionan las cosas en la práctica. Si un ciudadano holandés utiliza el sitio web de una librería vietnamita que no cumple con el GDPR, es poco probable que tenga muchas ramificaciones. El GDPR es estricto, pero no tanto.

¿Cuáles son las excepciones al efecto extraterritorial?

Existen dos excepciones principales al efecto extraterritorial del RGPD:

  1. En primer lugar, el RGPD no se aplica a las «actividades puramente personales o domésticas«. Por lo tanto, si tienes un amigo que te escribe desde Francia, no estás obligado a seguir las estrictas reglas de privacidad y consentimiento. Más bien, solo las organizaciones que se dedican a la «actividad profesional o comercial» deben seguir rutinariamente el GDPR. Y aún más, demostrar que lo hacen regularmente.
  2. El GDPR se aplica principalmente a las grandes empresas con más de 250 empleados. Las pequeñas y medianas empresas deben cumplir con el RGPD. Aun así, están liberados de la mayoría de las obligaciones de mantenimiento de registros.

¿Qué ocurre si un país no perteneciente a la UE no cumple con el RGPD?

En caso de que una empresa de fuera de la UE incumpla el RGPD, puede enfrentarse a multas de hasta 20 millones de euros o al 4% de la facturación global anual, lo que sea mayor.

Esa es una suma significativa para cualquier negocio. Incluso puede amenazar con la bancarrota. Por lo tanto, seguir el RGPD no es solo una obligación; Es una necesidad.

Si tienes una empresa fuera de la jurisdicción de la UE, ten cuidado con las obligaciones extraterritoriales a las que está sujeta tu empresa. Asegúrese de seguir al pie de la letra el reglamento cuando recopile y utilice los datos personales de los ciudadanos de la UE.

Sigue habiendo cierto escepticismo sobre cómo se impondrán las multas a las empresas de fuera de la UE. Pero sería imprudente suponer que puede escapar de las consecuencias del incumplimiento.

Conclusión

Esa es la descripción general de cuándo el GDPR es relevante para las empresas de fuera de la UE. En resumen: el RGPD se aplica a las organizaciones no pertenecientes a la UE en dos circunstancias: cuando se ofrecen bienes y servicios y cuando se supervisa el comportamiento.

Fuentes:

https://www.personneltoday.com/hr/how-does-the-gdpr-apply-to-businesses-outside-the-eu/
https://gdpr.eu/companies-outside-of-europe/
https://www.blakemorgan.co.uk/does-the-gdpr-apply-outside-the-eu-uk/

Sales & Support