Seleccionar página

El Consejo Europeo de Protección de Datos en días pasados dio a conocer las directrices sobre la aplicación extraterritorial del Reglamento General de Protección de Datos (RGPD) de la Unión Europea. 

Es importante destacar que estas Directrices solo están en forma de borrador y hasta el 18 de enero de 2019, se encontrara abiertas a comentarios.

Según el artículo 3 del Reglamento General de Protección de Datos, la ley se aplica a las organizaciones que procesan datos personales en tres circunstancias:

  1. Cuando un controlador o procesador está establecido en la UE y procesa datos personales en el contexto de las actividades de ese establecimiento;
  2. Cuando un controlador o procesador no está establecido en la UE pero procesa datos personales relacionados con la oferta de bienes o servicios a individuos en la UE; o
  3. Cuando un controlador o procesador no está establecido en la UE pero monitorea el comportamiento de los individuos en la UE.

Los aspectos clave de las Directrices son los siguientes:

  • Para los controladores y procesadores ubicados en la Unión Europea, el RGPD se aplica al tratamiento de datos personales independientemente de la ubicación o nacionalidad donde se encuentran los titulares. Por ejemplo, el procesamiento de datos personales por parte de un controlador francés relacionado con clientes en los Estados Unidos está sujeto al Reglamento.
  • Un controlador no perteneciente a la UE no está sujeto al Reglamento, simplemente porque un procesador de datos este ubicado en la UE y procese datos personales en su nombre.
  • Si un controlador sujeto al Reglamento usa un procesador no perteneciente a la Unión Europea no estará directamente sujeto al reglamento debido a este procesamiento.

En particular, las Directrices establecen que “la existencia de una relación entre un controlador y un procesador en la Unión europea no necesariamente activa la aplicación del Reglamento.

  • Con respecto a los controladores o procesadores que no están establecidos en la Unión Europea pero procesan datos personales relacionados con la oferta de bienes o servicios a individuos en la UE, las Directrices confirman que el alcance se define estableciendo si el controlador o el procesador tiene la intención de “objetivo” de las personas en la UE, pues la mera accesibilidad de un sitio web desde la UE, por ejemplo, es insuficiente.
  • Con respecto a los controladores o procesadores que no están establecidos en la UE pero que monitorean el comportamiento de los individuos en la UE, las Pautas reconocen que no siempre la recopilación o análisis en línea de datos personales de personas en la UE se considerará automáticamente como” monitoreo

El objetivo de las Directrices es que estas proporcionen una orientación relacionada con las restricciones a la transferencia de datos personales fuera de la UE a pesar de que pero el borrador no abordó este tema directamente, se  espera que las Pautas se publiquen en forma definitiva para abril de 2019.

Fuente: huntonprivacyblog

Imagen tomada de TheDigitalArtist / 4931 imágenes

Share This