viernes, 12 de abril de 2019

Ámbito de aplicación territorial del Reglamento UE sobre protección de datos: casos difíciles


Es conocido que entre las innovaciones significativas del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) se encuentran algunas de sus previsiones en relación con el ámbito de aplicación territorial de sus disposiciones, de gran trascendencia, habida cuenta del frecuente carácter transfronterizo de las actividades de encargados, responsables y afectados, en particular cuando se trata de actividades en línea. Es sabido también que en la interpretación de los criterios establecidos en esta materia por el RGPD son de especial interés ciertos pronunciamientos del Tribunal de Justicia en relación con la Directiva que el RGPD deroga, como sus sentencias Google Spain y Weltimo. A todas estas cuestiones ya me he referido en diversas ocasiones en este blog, y con más detalle fuera del mismo (por ejemplo, aquí), incluida la circunstancia de que próximamente está previsto que el TJ se pronuncie sobre aspectos muy relevantes del ámbito territorial del llamado derecho al olvido previsto en el RGPD (aquí).

Entre las Directrices sobre la interpretación del RGPD más relevantes adoptadas por la European Data Protection Board (EDPB) se encuentran precisamente las tituladas Guidelines3/2018 on the territorial scope of the GDPR (Article 3), adoptadas el pasado 16 de noviembre. Por el órgano del que procede y por lo riguroso de su contenido, se trata de un documento de referencia imprescindible en la materia, como –salvando las distancias- sucedía antes con el llamado Grupo del artículo 29 de la Directiva. Más allá del interés de las Directrices en tanto que presentación de un marco general en lo sustancial ya conocido, con la inclusión, eso sí, de algunos ejemplos muy didácticos, puede resultar de interés detenerse en que en ciertas situaciones algunos de los criterios de interpretación que pueden desprenderse de las Directrices parecen requerir precisiones adicionales o matizaciones. Por ejemplo, en lo relativo a la conexión de una interpretación amplia del criterio de que el RGPD se aplica al “tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión” (art. 3.1) con la idea de que al aplicar ese criterio la localización de los afectados es completamente irrelevante (pp. 8-9 de las Directrices), así como en lo que concierne a las pautas de interpretación de los criterios de localización empleados en el artículo 3.2 RGPD, al apreciar si existe en el caso concreto oferta de bienes o servicios a interesados en la Unión. Para plantear estas cuestiones en las siguientes líneas, reproduciré partes del texto de las Directrices en inglés e insertaré seguidamente mis comentarios en español.


Con respecto al artículo 3.1 RGPD, tras destacar que la formulación de esa norma implica, a la luz de la jurisprudencia del TJ en los asuntos Google Spain y Weltimmo, que “with a view to fulfilling the objective of ensuring effective and complete protection, the meaning of “in the context of the activities of an establishment” cannot be interpreted restrictively” (Guidelines, p. 6), lo que implica que la entidad no establecida deba cumplir con el RGPD siempre que exista “an inextricable link between the activities of an EU establishment and the processing of data carried out by a non-EU controller” (Guidelines, p. 7). Hasta aquí, nada que no fuera conocido, en particular a la luz de las dos sentencias recién mencionadas. Ahora bien, en relación con la interpretación de este criterio el EDPB añade lo siguiente.

However, geographical location is not important for the purposes of Article 3(1) with regard to the place in which processing is carried out, or with regard to the location of the data subjects in question. The text of Article 3(1) does not restrict the application of the GDPR to the processing of personal data of individuals who are in the Union. The EDPB therefore considers that any personal data processing in the context of the activities of an establishment of a controller or processor in the Union would fall under the scope of the GDPR, regardless of the location or the nationality of the data subject whose personal data are being processed. This approach is supported by Recital 14 of the GDPR which states that “[t]he protection afforded by this Regulation should apply to natural persons, whatever their nationality or place of residence, in relation to the processing of their personal data.” (Guidelines, p. 7).

Cabe entender que una interpretación estricta del planteamiento de que la localización de los afectados por el tratamiento es en todo caso completamente irrelevante en la interpretación del artículo 3.1 RGPD puede en ocasiones conducir a resultados inadecuados.

De hecho, podría llegar a resultar contradictorio con los fundamentos del artículo 3 según las propias Directrices:

“Article 3 of the GDPR reflects the legislator’s intention to ensure comprehensive protection of EU data subjects’ rights and to establish, in terms of data protection requirement, a level playing field for companies active on the EU markets, in a context of worldwide data flows.” (Guidelines, p. 3, con las negritas añadidas por mí).

En particular, podrá ser así en situaciones en las que el establecimiento en la UE relevante sea un “establecimiento secundario” del responsable y los afectados por el tratamiento estén localizados en terceros Estados. No cabe desconocer que la sentencia Google Spain iba referida a un responsable cuyo establecimiento principal estaba en un tercer Estado (si bien el tratamiento tenía lugar “en el contexto de las actividades de” su filial española), pero que además era un tratamiento de datos en el que millones de afectados se localizaban en la UE. La exigencia de cierta vinculación entre los afectados por el tratamiento y la UE como presupuesto para que estos puedan hacer valer sus derechos ha sido ya puesta de relieve, en situaciones en las que el establecimiento principal del responsable no se localiza en la UE, por la jurisprudencia española, si bien en relación con el anterior marco normativo. Cabe reseñar a este respecto la sentencia de la Audiencia Nacional (Sala de lo Contencioso Administrativo – Secc. 1ª) de 31 de octubre de 2017, desestimando  el recurso contra la resolución del Director de la AEPD 11 de diciembre de 2015 por la que se denegaba una persona residente en el extranjero y sin “vinculaciones” con la UE suficientes (Fdto. de Dcho. Quinto) la posibilidad de ejercitar su derecho al olvido en España frente a Google Inc.

En relación con el criterio de aplicación establecido en el artículo 3.2 RGPD –“targeting criterion” (Guidelines, p. 12)-, basado en que el responsable o encargado no establecido en la UE dirija sus actividades a la UE, algunas de las cuestiones que cabe suscitar al hilo de los casos expuestos en las Guidelines son las siguientes. No cabe dudar de que la jurisprudencia del TJ en relación con el uso del criterio de las actividades dirigidas en el ahora artículo 17.1.c) del Reglamento 1215/2012 (RBIbis) y en el artículo 6 del Reglamento Roma I (RRI), en especial, de momento, su conocida sentencia en los asuntos Hotel Alpenhof y Pammer, es relevante a estos efectos. En todo caso, conviene no perder de vista que la aplicación de estas normas requiere la presencia de ciertas circunstancias a las que en principio no se subordina la aplicación del RGPD en virtud del artículo 3.2. Basta tener en cuenta que esas normas del RBIbis y RRI exigen la previa celebración de un contrato entre el consumidor y el profesional, así como que, por ejemplo, el régimen de protección del artículo 6 RRI no es aplicable cuando se trate de contratos de prestación de servicios en los que los servicios deban prestarse al consumidor exclusivamente en un país distinto al de su residencia habitual.

El decimocuarto ejemplo de las Guidelines (pág. 17) dice lo siguiente:

Example 14: A Swiss University in Zurich is launching its Master degree selection process, by making available an online platform where candidates can upload their CV and cover letter, together with their contact details. The selection process is open to any student with a sufficient level of German and English and holding a Bachelor degree. The University does not specifically advertise to students in EU Universities, and only takes payment in Swiss currency.
As there is no distinction or specification for students from the Union in the application and selection process for this Master degree, it cannot be established that the Swiss University has the intention to target students from a particular EU member states. The sufficient level of German and English is a general requirement that applies to any applicant whether a Swiss resident, a person in the Union or a student from a third country. Without other factors to indicate the specific targeting of students in EU member states, it therefore cannot be established that the processing in question relates to the offer of an education service to data subject in the Union, and such processing will therefore not be subject to the GDPR provisions.
The Swiss University also offers summer courses in international relations and specifically advertise this offer in German and Austrian universities in order to maximise the courses’ attendance. In this case, there is a clear intention from the Swiss University to offer such service to data subjects who are in the Union, and the GDPR will apply to the related processing activities.

El planteamiento adoptado en este ejemplo parece responder a una interpretación relativamente estricta del criterio de las actividades dirigidas. Parece entender que el que no vaya específicamente dirigido a la UE (“there is no distinction or specification for students from the Union”) resulta determinante para apreciar que no se cumple el requisito. Pero, en el escenario descrito, el de un responsable del tratamiento que es una universidad suiza y recaba datos de posibles estudiantes internacionales a través de una página web en inglés, es fácilmente previsible que un porcentaje significativo de los interesados procedan de la UE. De hecho, no será raro que de su experiencia de años anteriores la universidad en cuestión sepa que ya es así y que, por ejemplo, un 30% de los estudiantes interesados proceden de la UE. ¿Cabe seguir sosteniendo que no dirige sus actividades a la UE? Y, en particular, si se trata de una universidad suiza que ofrece cursos a distancia y la página web no va dirigida específicamente a residentes en la UE pero de media el 30% de los que se inscriben en sus cursos en alemán e inglés son estudiantes residentes en la UE y que los cursan en el Estado miembro de la UE en el que residen. ¿Habría alguna duda de que realiza una oferta de bienes o servicios a interesados en la Unión? De hecho, en el marco del artículo 6 RRI cabría sostener que la ley aplicable a esos contratos será la del Estado miembro de la UE de la residencia habitual del consumidor o, por lo menos, que en todo caso el consumidor no podrá ser privado de la protección que le proporcionen las disposiciones imperativas de la ley de ese Estado miembro, en virtud de lo dispuesto en el artículo 6 RRI.

             El decimotercer ejemplo de las Guidelines (págs. 16-17) dice lo siguiente:

Example 13: A private company based in Monaco processes personal data of its employees for the purposes of salary payment. A large number of the company’s employees are French and Italian residents. In this case, while the processing carried out by the company relates to data subjects in France and Italy, it does not takes place in the context of an offer of goods or services. Indeed human resources management, including salary payment by a third-country company cannot be considered as an offer of service within the meaning of Art 3(2)a. The processing at stake does not relate to the offer of goods or services to data subjects in the Union (nor to the monitoring of behaviour) and, as a consequence, is not subject to the provisions of the GDPR, as per Article 3.
This assessment is without prejudice to the applicable law of the third country concerned.

En la medida en que los trabajadores afectados por el tratamiento, residentes en Italia y Francia, realicen su trabajo habitualmente en Mónaco, puede entenderse el resultado alcanzado. Ahora bien, ¿si la empresa no está “based” in Mónaco sino en EEUU y tiene cientos de trabajadores residentes en la UE que prestan servicios de teletrabajo? En las situaciones típicas si tiene cientos de trabajadores en la UE, tendrá uno o varios establecimientos en la UE, de modo que la aplicación del RGPD resultará de lo previsto en su artículo 3.1. Ahora bien, ese puede no ser el caso si todos los trabajadores residentes en la UE llevan a cabo actividades propias de teletrabajo. En un escenario como este la aplicación del criterio recogido en el ejemplo 13, y la no aplicación del RGPD, puede resultar difícil de justificar. No cabe desconocer que, en virtud del artículo 8 RRI, en el marco del RRI, esos contratos de trabajo se regirán por la ley del Estado miembro de la UE en el que el trabajador realiza su trabajo o, por lo menos, el trabajador no podrá ser privado de la protección que le proporcionen las disposiciones imperativas de la ley de ese Estado miembro, en virtud de lo dispuesto en el artículo 8 RRI.