Como bien indicábamos en nuestro anterior post, el RGPD diferencia entre ámbito de aplicación material y territorial. Una vez hablado del ámbito de aplicación material, toca ahora hablar del territorial.
En el artículo 3.1 del RGPD indica: “El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no”.
Para aclarar qué debemos entender por establecimiento, acudimos al considerando 22, donde un establecimiento implicará el ejercicio de manera efectiva y real de una actividad a través de modalidades estables, siendo indiferente la forma jurídica que revistan tales modalidades, esto es sucursal, filial etcétera.
Por otro lado, el artículo 3.2 RGPD dice “El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:.
a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
A este respecto, será necesario determinar si efectivamente el responsable o encargado proyecta ofrecer servicios a interesados, debido a que la mera accesibilidad del sitio web, de una dirección de correo electrónico, u otros datos de contacto no basta para determinar dicha intención. Serán factores indicativos de tal pretensión, como ejemplifica el propio Reglamento, el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la Unión.
b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
En este sentido, habrá que atender si las personas físicas son objeto de un seguimiento en internet, e incluso el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin particular de adoptar decisiones sobre él, o de predecir sus preferencias, comportamientos personales y actitudes.
Por último el artículo 3.3 establece que: “el presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público». Incluidas misiones diplomáticas u oficina consular de un Estado miembro (considerando 25).