El GDPR es conocido por castigar las violaciones de privacidad de datos con multas elevadas, con algunas sanciones de cientos de millones de euros.

Para evitar violaciones y multas, es esencial que entiendas si tu negocio entra dentro del alcance del GDPR.

¿A quién se aplica el GDPR?

Aunque es legislación de la UE, el GDPR se aplica a cualquier organización que recolecte y procese datos personales de residentes en la UE.

Más específicamente, el GDPR se aplica a:

  • Organizaciones que están basadas en la UE: Las organizaciones con sede en la UE o con una sucursal o subsidiaria en la UE deben cumplir, sin importar dónde se almacenen o utilicen los datos.
  • Organizaciones basadas fuera de la UE que ofrecen bienes/servicios a individuos en la UE: En este caso, no importa si la organización está basada fuera de la UE o si los bienes y servicios se ofrecen de forma gratuita. Lo que importa es si la organización atiende a clientes de la UE. Por ejemplo, si una empresa estadounidense proporciona servicios de tutoría a un público objetivo que reside en Francia, entonces se espera que la empresa estadounidense cumpla con el GDPR.
  • Organizaciones basadas fuera de la UE que están monitoreando el comportamiento en línea de individuos en la UE: En este caso, no importa si la organización está basada fuera de la UE. Si están rastreando cookies o las direcciones IP de personas que visitan su sitio web desde países de la UE, entonces se espera que cumplan con el GDPR.

¿El GDPR se aplica a las empresas de EE.UU.?

Las empresas que no están físicamente ubicadas en la UE aún pueden caer dentro del alcance del GDPR. Eso significa que las empresas de todo el mundo pueden necesitar cumplir con los requisitos del GDPR, incluidas las empresas en los EE.UU.

Ejemplo

Debido a que el alcance del GDPR es relevante para los datos personales de los residentes de la UE, esta legislación puede afectar a empresas de todo el mundo. Sin embargo, muchas empresas subestiman su alcance.

Echemos un vistazo a un ejemplo de una empresa que debe cumplir con el GDPR a continuación. Esto se basa en un ejemplo publicado por la Comisión Europea.

Un proveedor de servicios tiene su sede en los EE.UU. Sus clientes pueden utilizar sus servicios cuando viajan a otros países, incluida la UE. Específicamente dirige sus servicios a individuos en la UE, pero también los proporciona a clientes fuera de la UE. ¿Se aplica el GDPR a esta empresa?

Sí, porque dirige específicamente sus servicios a individuos en la UE. Si no los dirigiera específicamente, entonces no estaría sujeta a las reglas del GDPR.

¿El GDPR se aplica a ciudadanos o residentes de EE.UU.?

El RGPD no se aplica a ciudadanos o residentes de EE.UU., pero ha inspirado leyes de privacidad de datos similares en EE.UU., la más notable es la Ley de Privacidad del Consumidor de California (CCPA).

Al igual que el RGPD para los residentes de la UE, la CCPA ofrece a los residentes de California un mayor conocimiento y control sobre cómo las empresas recopilan y utilizan su información personal.

Preguntas Frecuentes

¿Quiénes son elegibles para el RGPD?

El RGPD se aplica a las empresas que procesan datos personales como parte de las actividades de una de sus sucursales establecidas en la UE, así como a empresas establecidas fuera de la UE que ofrecen bienes/servicios gratuitos o de pago o supervisan el comportamiento de las personas en la UE.

¿A quiénes no se aplica el RGPD?

El RGPD no se aplica a los interesados si están muertos o son una persona jurídica y no se aplica a las personas que procesan datos para fines que no sean su comercio, negocio o profesión.

¿Quiénes están protegidos por el RGPD?

Los residentes de la UE están protegidos por el RGPD.