La entrada en vigor del nuevo Reglamento Europeo de Protección de Datos, el pasado 25 de mayo de 2016, aunque no aplicable hasta dentro de dos años, esto es, hasta el 25 de mayo de 2018, supone un cambio drástico respecto a la actual normativa del derecho a la protección de datos personales de las personas físicas.
Así, uno de los cambios más significativos o que, sin duda, más darán que hablar, es el ámbito territorial de aplicación del nuevo Reglamento Europeo de Protección de datos y es que, será aplicable para el tratamiento de datos personales de todos los ciudadanos europeos (personas físicas), con independencia de que el tratamiento se lleve a cabo por una empresa que se encuentre ubicada en la Unión Europea o fuera de ésta (ya sea, porque ofrece al ciudadano europeo sus bienes o servicios o porque hace un seguimiento de su conducta). Es decir, las empresas, estén o no físicamente dentro de la Unión Europea, que ofrezcan sus bienes y servicios en Europa, aunque estos sean gratuitos y/o controlen el comportamiento de las personas físicas residentes en Europa, deberán cumplir con la nueva normativa.
Además, el Reglamento Europeo de Protección de Datos, también será de aplicación directa para todas las empresas que se encuentren dentro de la Unión Europea, traten o no datos personales de ciudadanos europeos.
Actualmente, para que nuestra normativa sea de aplicación a empresas que tratan datos de ciudadanos españoles, es necesario que la empresa que realiza el tratamiento tenga, al menos, un establecimiento permanente en España. Acordemonos del caso de Google y la discusión que ha habido siempre sobre si le es de aplicación la normativa española o no, por tener una sede comercial en España.
Comparativa del ámbito territorial aplicable actualmente sobre el derecho fundamental a la protección de datos personales y el recogido por el nuevo Reglamento Europeo de Protección de Datos.
1.- Actualmente
Nuestra actual legislación establece en su artículo 3.1 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal:
1. Se regirá por el presente reglamento todo tratamiento de datos de carácter personal:
a) Cuando el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento, siempre que dicho establecimiento se encuentre ubicado en territorio español.
2.- A partir del 25 de mayo de 2018
El nuevo Reglamento Europeo de Protección de Datos, de obligado cumplimiento para todos los Estados miembros de la Unión Europea a partir del 25 de mayo de 2018, establece en su artículo 3:
El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.