Objeto y ámbito de aplicación del Reglamento General de protección de Datos (RGPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 30/07/2018

A partir del 25 de mayo de 2018, con el comienzo con la aplicación del Reglamento general de protección de datos -en adelante RGPD- ,  se instaura un conjunto único de normas directamente aplicables en todos los Estados miembros.

Objeto del RGPD

El RGPD, establece normas relativas a la protección de datos de carácter personal, tanto desde el punto de vista de los derechos de las personas físicas, como de las obligaciones de las personas y entidades que tratan datos de carácter personal.

Así, atendiendo a lo dispuesto en el artículo 1 del RGPD, el Objeto de esta normativa común es establecer “normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos”.

En relación con el primero de los ámbitos, este mismo precepto, conceptúa el derecho a la protección de datos como un derecho fundamental de las personas,  por ello -y atendiendo precisamente a tal consideración- la finalidad última del Reglamento no es otra que establecer un adecuado sistema tuitivo de este derecho fundamental.

Debemos recordar, que -como se reseña en el 1 Considerando del RGPD- tanto el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea como el artículo 16, apartado 1 del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

Por lo que respecta a la libre circulación de los datos, el apartado 3º del artículo 1, es claro al señalar que no podrá establecerse ninguna restricción a la misma por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de los datos personales. Esta disposición,  evidencia  el designio del legislador de armonizar por un lado, la protección de los derechos y las libertades fundamentales de las personas físicas en relación con las actividades de tratamiento de datos de carácter personal y por otro de garantizar la libre circulación de estos datos entre los Estados miembros.

Esta interpretación encuentra su refuerzo en el Considerando 4º del RGPD en el que expresamente se pone de manifiesto que “El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad.”

Aplicación del RGPD

El  análisis del ámbito de aplicación del RGPD debe de realizarse atendiendo, no solo a la literalidad de los artículos Art. 2 y 3 -relativos al ámbito de aplicación material y territorial respectivamente- , sino también como el contenido de los “Considerandos” que han sido tenidos en cuenta por el Parlamento Europeo y el Consejo para adoptar el Reglamento.

Y es que, si bien es cierto que la norma determina cual es el ámbito de aplicación material y territorial, entendemos que resulta procedente realizar una aproximación analítica al ámbito personal de aplicación del Reglamento. Para ello, debemos atender no solo al conjunto de sus preceptos, sino también a los “considerandos” cuyo objeto es proporcionar a los operadores jurídicos las razones de fondo -de hecho y de derecho- que han llevado al legislador europeo a adoptar las decisiones normativas  que se concretan en la parte dispositiva.

Comenzaremos, analizando el ámbito personal, tanto desde una perspectiva positiva como negativa.

La protección otorgada por el Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales.  

Desde un punto de vista negativo, debemos tener en cuenta que el RGPD no regula el tratamiento de datos personales relativos a personas jurídicas, señalándose expresamente en el considerando 14 que tampoco resultará aplicable los datos de las empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto.

Por otra parte, y atendiendo a lo dispuesto en el considerando 27, la disposiciones del Reglamento norma no resultarán de aplicación a la protección de los datos personales de personas fallecidas, siendo los Estados miembros los que resultan competentes para establecer la normativa reguladora del tratamiento de los datos de aquellas.

 Por lo que respecta al ámbito territorial de aplicación, resulta necesario atender a lo dispuesto en el artículo 3 por cuanto que -como veremos- a través de este precepto se atribuye al Reglamento un efecto “extramuros” de las fronteras comunitarias.

Así, con el claro propósito de evitar que las personas físicas pueda verse privadas de la protección que otorga el RGPD  por el hecho de que el responsable del tratamiento (o el encargado) estén ubicados fuera del territorio comunitario, o por la circunstancia de que el tratamiento se realizase fuera de la Unión,  el citado artículo 3 extiende los efectos tuitivos del Reglamento más allá del territorio europeo.

En este sentido, el precepto es claro al señalar que el Reglamento se aplica:

- “ al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.”

- al tratamiento de datos personales de interesados que se encuentren en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:

a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o

b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

Pero, ¿cuándo podemos considerar que un responsable del tratamiento cuenta con un establecimiento en la Unión? Y en el caso de que ni el responsable, ni el encargado estén establecidos en territorio comunitario, ¿cómo determinar si las actividades de tratamiento están relacionadas con la oferta de bienes y servicios del interesado o con en el control del comportamiento de este?

Contestar a estas cuestiones no resulta baladí, ya que la concurrencia de estos circunstancias determinará si el Reglamento resulta o no aplicable. Veamos pues cual ha sido el criterio del legislador europeo en relación con estos extremos:

- Atendiendo al contenido del considerando 22, el término “establecimiento” implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables. En este sentido, expresamente se determina que la forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto.

 - Por otra parte, como hemos señalado, en los casos en que el responsable o encargado no estén establecidos en la Unión, debe determinarse si aquel ofrece servicios o bienes a interesados en uno o varios de los Estados miembros de la Unión.

Pues bien, cabe destacar que el hecho de que desde la Unión pudiera accederse a la web del responsable o encargado, o la circunstancia de que se pudieran conocer datos de contacto del mismo, no supondrá “per se” motivo suficiente para considerar que se está tratando de realizar esa oferta de bienes y servicios. Ahora bien, existen determinado factores como el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros, o la mención de clientes o usuarios que  residen en la Unión  que -como nos indican el considerando 24- pueden revelar que responsable del tratamiento proyecta ofrecer bienes o servicios a interesados en la Unión.

- Por último, para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, deberá evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.

 En definitiva, en  modo alguno podemos obviar que -como ya se ponía de manifiesto en los  considerandos de la Directiva 95/46 derogada - el hecho de que el responsable del tratamiento de datos esté establecido en un país tercero no debe obstaculizar la protección de las personas contemplada en el RGPD.

En relación al ámbito material de aplicación del Reglamento, nuevamente debemos de realizar un doble análisis atendiendo en primer lugar, al aspecto positivo y en segundo término, a aquellas actividades de tratamiento que -por diferentes razones- no son reguladas por la norma comunitaria.

 El artículo 2 del Reglamento determina que este será de aplicación tanto al tratamiento total o parcialmente automatizado de datos personales, como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

Este precepto señala algo que quizás pueda resultar obvio, y es que la protección que otorga el Reglamento a las personas debe de aplicarse tanto al tratamiento automatizado de datos personales, como a su tratamiento manual. En este sentido, el considerando 15 determina que “ a fin de evitar que haya un grave riesgo de elusión, la protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas.”

Pues bien, la exigencia de que los derechos inherentes a la protección de datos resulten aplicables no solo al tratamiento automatizado, sino también al denominado tratamiento “manual” pudiera llevar a pensar que cualquier tipo de aproximación o utilización de datos de terceras personas constituye “tratamiento” . Sin embargo, la jurisprudencia ha señalado que únicamente los tratamientos de datos no automatizados quedarán comprendidos en el ámbito de protección de la normativa en la medida que los datos de carácter personal se encuentren contenidos en un fichero estructurado.

Así, la Audiencia Nacional ha señalado en diversas ocasiones ( SAN, sec. 1ª, de 9-7-2009, rec. 274/2008 ) que "para que una actuación manual sobre datos personales (recogida, grabación, conservación, elaboración, modificación, bloqueo etc...) tenga la consideración de tratamiento de datos sujeto al sistema de protección de la LOPD es necesario, según criterio reiterado de la Sala, que dichos datos estén contenidos o destinados a ser contenidos en un fichero, esto es, en un conjunto estructurado u organizado de datos con arreglo a criterios determinados.

Si no es así el tratamiento manual de datos personales quedará fuera del ámbito de aplicación del RGPD, no será un "tratamiento de datos personales" según el concepto normativo que la citada Ley proporciona.”

El Tribunal Supremo en sus sentencias de fecha 19 de septiembre y 1 de octubre de 2008 fija una doctrina interpretativa del concepto de fichero. En la primera sentencia citada se señala, respecto al contenido de los artículos 1 y 2 de la derogada Directiva 95/46 CE "la redacción de esa Directiva, por lo que se refiere a la definición de ficheros en los términos expuestos, no presenta ninguna duda interpretativa, como tampoco lo hace el citado artículo 3.b) de la Ley Orgánica 15/1999, de 13 de diciembre. No está de más en todo caso destacar que la redacción inicial de la Ley Orgánica 5/92, en concreto en su Exposición de Motivos, se establecía que "la Ley se nuclea en torno a lo que convencionalmente se denominan ficheros de datos" y que es la existencia de unos ficheros, y la utilización que de ellos pudiera hacerse, la que justifica la necesidad de la nueva frontera de intimidad y del honor, añadiendo que la Ley concibe los ficheros desde una perspectiva dinámica de tal forma que los concibe no sólo como un mero depósito de datos, sino también, y sobre todo, como la globalidad de procesos o aplicaciones informáticas que se lleva a cabo con los datos almacenados y que son susceptibles si llegasen a conectarse entre sí, de configurar el perfil personal a que antes se refiere dicha Exposición de Motivos."

Por su parte en la sentencia de 1 de octubre de 2008, tras referirse a los considerandos 15 y 27 de la Directiva 95/46 , se añade "la propia Directiva 95/46 refiere el ámbito de la protección que regula al tratamiento del dato, y en relación tanto con los tratamientos automatizados como respecto a los que no lo estén, siempre que en este caso los datos estén contenidos o se destinen a encontrarse contenidos en un fichero, entendido éste como un archivo estructurado según criterios específicos relativos a las personas que permitan acceder fácilmente a los datos personales."

En este mismo sentido, el considerando 15 del RGPD señala que “ los ficheros o conjuntos de ficheros, así como sus portadas, que no estén estructurados con arreglo a criterios específicos, no deben entrar en el ámbito de aplicación del presente Reglamento” . En consecuencia, la acumulación o depósito de datos de forma no estructurada, sin atender a un criterio de ordenación que pudiera permitir la búsqueda e identificación de los datos de una persona, no resultaría sometido al régimen tuitivo establecido en el RGPD.

 Desde una perspectiva negativa -y atendiendo a lo dispuesto en el apartado 2º del citado artículo 2- el Reglamento no resulta aplicable al tratamiento de datos personales:

  1. en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
  2. por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;

Conforme  se indica en los apartados a) y b) reproducidos, las actividades relativas a la seguridad nacional en tanto que resultan ser actividades excluidas del ámbito del Derecho de la Unión no estarían sometidas a las disposiciones del Reglamento. Asimismo, esta norma tampoco se aplicaría al tratamiento de datos de carácter personal por los Estados miembros en el ejercicio de las actividades relacionadas con la política exterior y de seguridad común de la Unión.

       c.efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;

Resulta necesario señalar que la Audiencia Nacional Sala ha declarado con reiteración (SAN 12 de mayo de 2011, Rec. 31/2010) en el derecho a la protección de datos de carácter personal quedan incluidos los datos de los profesionales individuales, como se deriva del artículo 2 del RD 1720/2007, de 21 de diciembre, y así se puso de manifiesto por el Tribunal Supremo en la Sentencia de 20 de febrero de 2007

 En este  mismo sentido se ha pronunciado la Audiencia Nacional en SSAN de 28 de abril de 2015 y de 12 de mayo de 2011 en las que ha tratado el problema de la aplicación o no de la normativa sobre protección de datos a aquellos supuestos referidos a personas físicas, pero que lleven a cabo una actividad mercantil o profesional, considerando que:

  " (...)no puede concluirse que los empresarios individuales y profesionales estén en todo caso y en su conjunto excluidos del ámbito de protección de la LOPD, sino que se hace necesario diferenciar, aunque la línea divisoria sea difusa, cuando un dato del empresario o profesional, se refiere a la vida privada de la persona y cuando a la empresa o profesión, pues solo en el primer caso cabe aplicar la protección de la LO 15/1999.

Esta tarea de diferenciación puede basarse en dos criterios distintos y complementarios:

Uno , el criterio objetivo de la clase y la naturaleza de los datos tratados, según estén en conexión y se refieran a la esfera íntima y personal o a la esfera profesional de la actividad.

Otro, el de la finalidad del tratamiento y circunstancias en que éste se desarrolla, criterio éste que operaría en aquellos casos en que alguno de los datos profesionales coincidiera con los datos particulares del profesional o empresario (por ej. coincidencia de domicilio privado con el de la empresa, o cuando no se pueda acreditar si una deuda es de la empresa o si es personal del interesado).”

Atendiendo al contenido del considerando 18 del RGPD, entre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades. No obstante, el Reglamento si resultará de aplicación a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades personales o domésticas.

 d. por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

Con respecto a las actividades de tratamiento destinadas a tales fines, debemos de señalar que son objeto de regulación específica debiendo regirse por  la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo.

Por último, en relación con el análisis del ámbito material de aplicación del Reglamento , resulta necesario realizar una serie de precisiones:

En primer lugar, el RGPD resultará de aplicación sin perjuicio de la aplicación de la Directiva 2000/31/CE, norma esta cuyo objetivo es contribuir al correcto funcionamiento del mercado interior garantizando la libre circulación de los servicios de la sociedad de la información entre los Estados miembros.

Por otra parte, aunque el tratamiento de datos de carácter personal por parte de las instituciones, órganos y organismos de la Unión se regula por las disposiciones del Reglamento (CE) n.o 45/2001, el tratamiento de datos realizado por las citadas instituciones deberá de adaptarse a los principios y normas del presente Reglamento de conformidad con su artículo 98.

Asimismo, debemos tener en cuenta que aunque el Reglamento se aplica, entre otras, a las actividades de los tribunales y otras autoridades judiciales, en virtud del Derecho de la Unión o de los Estados miembros pueden especificarse las operaciones de tratamiento y los procedimientos de tratamiento en relación con el tratamiento de datos personales por los tribunales y otras autoridades judiciales.

No hay versiones para este comentario

Datos personales
Protección de datos
Tratamiento de datos personales
Persona física
Derechos fundamentales
Responsable del tratamiento
Persona jurídica
Actividades de tratamiento de datos
Tratamiento manual de datos
Residencia
Personalidad jurídica
Tratamiento automatizado de datos
Grabación
Empresario individual
Actividad mercantil
Amenazas
Encargado del tratamiento
Ejecución de las sanciones

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Pertenece al Grupo

Incluídos en este concepto

Documentos relacionados
Ver más documentos relacionados
  • Reglamento General de Protección de Datos (RGPD)

    Orden: Administrativo Fecha última revisión: 30/07/2018

    El nuevo Reglamento General de Protección de Datos de la Unión Europea, conocido como «Reglamento General de Protección de Datos» (RGPD), entró en vigor el 25 de mayo de 2016, a pesar de que su aplicación plena ha comenzado el 25 de mayo d...

  • Principio de licitud en el RGPD

    Orden: Administrativo Fecha última revisión: 19/06/2018

    Como se deduce de la literalidad del articulo reproducido, el denominado “principio de licitud” se encuentra referenciado junto con los principios de transparencia y lealtad. Ahora bien, esta reseña unificada no impide que pueda ser objeto de an...

  • Comunidad de propietarios y protección de datos

    Orden: Civil Fecha última revisión: 30/06/2016

    En cuanto a las obligaciones de la comunidad de propietarios en relación con la protección de datos es preciso tener en cuenta la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, cuyo objeto es garantizar ...

  • Glosario de definiciones del RGPD

    Orden: Administrativo Fecha última revisión: 18/06/2018

    El RGPD proporciona -en su artículo 4- la definición de los sobre los que se gravita la regulación de la protección de datos de carácter personal. Así, los distintos operadores jurídicos, la ciudadanía, los poderes públicos, tienen a su alc...

  • Condiciones del consentimiento en el RGPD

    Orden: Administrativo Fecha última revisión: 18/06/2018

    El “consentimiento del interesado” es definido por el RGPD como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tr...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados