El presente artículo tiene como objetivo realizar un análisis sobre el ámbito de aplicación del RGPD a empresas ubicadas fuera de la Unión Europea (en adelante UE) según el artículo 3.1. del RGPD, así como examinar si es de aplicación el Capítulo V del RGPD en el caso de las comunicaciones de datos entre corresponsables del tratamiento, especialmente cuando uno de ellos se encuentra ubicado en la UE y el otro corresponsable está ubicado en el extranjero.
I. Ámbito de aplicación territorial del RGPD y el concepto de “establecimiento” a efectos del RGPD.
La cuestión central del presente apartado consiste en determinar si el RGPD resulta aplicable a empresas extranjeras a pesar de que su sede principal se encuentre fuera del territorio de la Unión Europea.
El artículo 3.1. RGPD indica que el Reglamento es de aplicación “al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no”.
Se trata, pues, de un criterio de aplicación extraterritorial dado que el RGPD se aplicará “independientemente de que el tratamiento tenga lugar en la Unión o no”.
No obstante, de la lectura del artículo se deduce que para determinar si el RGPD es aplicable “independientemente de que el tratamiento tenga lugar en la Unión o no” también se debe examinar si el responsable del tratamiento tiene un establecimiento en la UE y si el tratamiento de datos personales se realiza en el contexto de las actividades del mismo.
Analicemos, seguidamente, la definición de estos conceptos.
a) ¿qué se entiende por establecimiento?
Si bien el artículo 4.16 RGPD define el concepto de “establecimiento principal” en la UE, no se proporciona una definición de establecimiento según el artículo 3.1. RGPD. Por este motivo, para lograr definir su concepto debemos acudir a la lectura del considerando 22 RGPD, por el que se establece que:
“un establecimiento implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables. La forma jurídica que revistan tales modalidades ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante a este respecto”.
El EDPB, en las Directrices 3/2018 relativas al ámbito territorial del RGPD (artículo 3), indica que el término de “establecimiento” se extiende a cualquier actividad real y efectiva –aunque sea mínima- ejercida a través de modalidades estables. El EDPB también se refiere a que la mera presencia de un solo empleado o agente de una entidad no perteneciente a la UE en la Unión puede ser suficiente para constituir una instalación estable (que constituye un «establecimiento» a efectos del artículo 3, apartado 1) si ese empleado o agente actúa con un grado suficiente de estabilidad.
Por tanto, se considerará establecimiento toda entidad que lleve a cabo el ejercicio efectivo y real de una actividad a través de una modalidad estable ubicada en la UE, como puede ser, en su caso, una filial de una empresa sita fuera de la UE.
b) ¿qué se debe entender por “el contexto de las actividades?
Una vez determinado si existe un establecimiento en la UE, debe evaluarse si el tratamiento se lleva a cabo en el contexto de las actividades de dicho establecimiento, según el artículo 3.1. RGPD.
El EDPB, en las Directrices 3/2018, indica que la interpretación del concepto de “contexto de las actividades” no debe ser restrictiva ni ser demasiada amplia, puesto que no cualquier actividad empresarial llevada a cabo en la UE justifica por sí misma la aplicación del RGPD. En virtud de ello, debe realizarse un análisis caso por caso, atendiendo a la existencia de un vínculo entre las actividades llevadas a cabo a través de una modalidad estable en la UE y el tratamiento de datos realizado por una entidad no perteneciente a la UE. Si se identifica y existe tal vínculo, se podrá determinar que el RGPD se aplica al tratamiento y a la entidad en cuestión.
Según el EDPB, tanto (i) la relación existente entre un responsable no ubicado en la UE y su establecimiento en la UE, como (ii) la recaudación de ingresos o la realización de actividades económicas que dicho establecimiento pueda llevar a cabo en la UE, pueden ser indicativas de la existencia de un tratamiento de datos personales efectuado “en el contexto de las actividades de un establecimiento en la UE”, en los términos previstos en el artículo 3.1. RGPD.
En conclusión, si un responsable del tratamiento ubicado fuera de la UE ejerce una actividad real y efectiva a través de instalaciones estables en la UE y el tratamiento de datos personales se produce en el contexto de las actividades que desarrolla, puede considerarse que dicho responsable debe cumplir con las disposiciones del RGPD según el artículo 3.1.
Aplicación a un supuesto de hecho concreto:
Imaginemos una empresa con domicilio social en España que es una filial de una empresa que se encuentra en Estados Unidos. La empresa española es la encargada de prestar, a clientes ubicados en la UE, los servicios que presta la empresa norteamericana en otros países. La empresa española contrata a distintos trabajadores, tratando, por tanto, datos personales de los mismos (nóminas, contratos, altas, bajas, etc.). Estos trabajadores cumplen sus funciones laborales en distintos proyectos de ambas empresas. Tanto la empresa española como la empresa norteamericana deciden conjuntamente, entre otros asuntos, sobre los aumentos de salario, los despidos, las valoraciones del desempeño, las políticas internas que deben cumplir los empleados, las contrataciones de nuevo personal, los softwares y aplicaciones que deben utilizar, así como las medidas de protección de la información. En este sentido, y respecto a dichos tratamientos son, por tanto, corresponsables del tratamiento.
En este contexto empresarial, ¿debe la empresa norteamericana cumplir con las disposiciones del RGPD?
El EDPB, en las Directrices 3/2018, establece enfoque triple para determinar si el tratamiento de datos personales está incluido dentro del ámbito de aplicación del artículo 3.1. RGPD:
- Determinar quién es responsable del tratamiento en relación con una operación del tratamiento según el artículo 4.7. RGPD.
- Determinar si tiene un establecimiento en la UE.
- Determinar si el tratamiento en cuestión se lleva a cabo en el contexto de las actividades del establecimiento.
A continuación, trasladaremos dicho triple enfoque al caso anteriormente planteado:
A la luz del análisis del triple enfoque al caso planteado, se puede determinar que el tratamiento de los datos personales queda sujeto al ámbito de aplicación territorial del artículo 3.1 del RGPD, resultando, por tanto, aplicables las disposiciones del RGPD a la empresa norteamericana.
II. Transferencias internacionales de datos entre corresponsables
Una vez determinada la aplicación del RGPD a un responsable del tratamiento ubicado fuera de la UE, ¿es de aplicación también el Capítulo V sobre transferencias internacionales de datos?
De conformidad con las Directrices del EDPB 5/2021 sobre la interacción entre la aplicación del artículo 3 y las disposiciones sobre transferencias internacionales de conformidad con el capítulo V del RGPD el EDPB ha venido a indicar que para que exista una transferencia deben cumplirse tres criterios acumulativos:
- Un responsable o encargado del tratamiento («exportador») está sujeto al RGPD para el tratamiento en cuestión.
- El exportador divulga por transmisión o pone de otro modo los datos personales objeto de este tratamiento a disposición de otro responsable, corresponsable o encargado del tratamiento («importador»).
- El importador se encuentra en un tercer país, independientemente de si este está o no sujeto al RGPD para el tratamiento de que se trate de conformidad con el artículo 3, o constituye una organización internacional.
En caso de que se cumplan conjuntamente estos tres criterios, se tratará de una transferencia internacional en la cual serán aplicables las disposiciones Capítulo V del RGPD.
Veamos si estos tres criterios son de aplicación al caso anteriormente planteado sobre los corresponsables del tratamiento sobre los datos de los trabajadores (empresa norteamericana y empresa española).
De lo anterior se concluye que se cumplen de forma acumulativa los tres criterios, lo cual suponea que es de aplicación el Capítulo V del RGPD, independientemente de que al importador se le aplique el art. 3 del RGPD.
A estos efectos conviene recordar la sanción impuesta hace un año por parte de la Autoridad de Control Holandesa (Autoriteit Persoonsgegevens) a Uber Technologies Inc. y a su filial en la UE, Uber B.V., por realizar transferencias internacionales sin ninguna de las garantías exigidas por el Capítulo V del RGPD aun siendo la sociedad americana sujeto obligado de conformidad con el art. 3 RGPD.
Uber consideraba que aplicar el artículo 3 y las disposiciones del Capítulo V del RGPD de manera simultánea era innecesario. En su planteamiento, Uber argumentaba que el artículo 3 prevalecía jerárquicamente sobre el Capítulo V y éste último solamente funcionaba en aquellos supuestos en los que el sujeto quedaba fuera del ámbito de aplicación territorial del RGPD. Por tanto, según manifestaron, si ya cumplían con las disposiciones del RGPD no debían de aplicar todo el conjunto de obligaciones sobre transferencias internacionales del Capítulo V. Dicha interpretación resultó rechazada por la Autoridad de Control, que señaló expresamente que ambas disposiciones no son excluyentes en tanto que el Capítulo V del RGPD es complementario al alcance territorial del artículo 3 RGPD.
La Autoridad de Control viene a indicar que las transferencias entre corresponsables amparadas por el artículo 3 no están excluidas de las disposiciones del RGPD sobre transferencias internacionales previstas en el capítulo V. Asimismo, la Autoridad de Control hace referencia a que cuando los datos personales se procesan dentro de la UE, no solamente están protegidos por el RGPD, sino que también se encuentran protegidas por otras normativas nacionales de los Estados miembros. En este, sentido, en caso de que se transfieran datos a un país fuera de la UE se deben aplicar mecanismos que contrarresten la dificultad de hacer cumplir las obligaciones que se establecen en la normativa de la UE por parte de las empresas extranjeras. Por tanto, el Capítulo V funciona como una salvaguarda adicional y un marco legal más amplio para no socavar el nivel adecuado de protección de los datos cuando se aplique normativa de fuera de la UE.
En conclusión, las comunicaciones de datos entre corresponsables, cuando uno de ellos se encuentra fuera de la UE, aun siendo sujeto obligado en virtud del tratamiento de datos personales realizado “en el contexto de las actividades de un establecimiento del responsable en la Unión”, también deben tener en consideración las transferencias internacionales de datos y cumplir, por tanto, con las garantías del Capítulo V del RGPD.
