Uno de los aspectos más controvertidos de la legislación europea sobre protección de datos personales es el relativo a su ámbito de aplicación espacial, en particular con respecto a los supuestos en los que el responsable del tratamiento se encuentra establecido en un tercer Estado, lo que es frecuente en el caso de servicios de uso generalizado en la Red como buscadores o redes sociales. Para garantizar que el estándar de protección de la UE no deja de aplicarse cuando el responsable del tratamiento tiene su establecimiento en un Estado tercero, se prevé que la aplicación de la ley del Estado miembro en cuyo territorio se encuentren situados los medios -automatizados o no- a los que recurra el responsable para el tratamiento de datos personales, salvo que los utilice con fines de mero tránsito -arts. 4.1.c) Directiva 95/46/CE, 2.1.c) LOPD y 3.1.c) RPD -. Fundamental en la interpretación del significado del artículo 4.1.c) ha sido la labor del llamado Grupo de trabajo sobre protección de datos, creado en virtud del artículo 29 Directiva 95/46/CE (GTPD), por lo que su nuevo Dictamen 8/2010 sobre la ley aplicable reviste especial importancia en la medida en que propone la revisión de la situación actual para superar las carencias que derivan de la redacción actual del mencionado artículo 4.1.c) y de sus consecuencias conforme a los criterios previamente establecidos por el GTPD.
Aunque es cierto que el GTPD había señalado ya previamente que el concepto “recurrir” utilizado en el artículo 4.1.c) Directiva 95/46/CE presupone un determinado tipo de actividad emprendida por el responsable y su intención de tratar datos personales, de modo que no todo “recurso” a “medios” dentro de la UE llevaría a la aplicación de la Directiva , lo cierto es que su criterio, confirmado en reiteradas ocasiones (y seguido en España por la Agencia Españolala UE (más exactamente de la correspondiente legislación nacional de transposición) en los diversos supuestos en los que los titulares de sitios web o los prestadores de servicios a través de Internet que no estén establecidos en la UE emplean dispositivos para la recogida activa de datos procedentes de los ordenadores u otros dispositivos de los usuarios situados en Estados miembros, como, por ejemplo, los supuestos en los que la captación de datos tiene lugar mediante la colocación de un archivo de texto (del tipo de las cookies) en el disco duro del usuario así como cuando el sitio web envía con el propósito de recoger y tratar información personal herramientas como los JavaScripts al ordenador del usuario que permiten a servidores remotos ejecutar aplicaciones en el ordenador del usuario.
Se trata de un planteamiento que lleva a exigir el cumplimiento de la legislación europea en situaciones en las que la conexión con la UE es escasa y su aplicación excesiva, entre otros motivos porque abarca supuestos en los que el tratamiento de datos puede ser meramente accidental. Lo que representa una notable evolución en este Dictamen del GTPD es que concluye que el criterio basado en el uso de medios en la UE ha demostrado conducir a consecuencias indeseables, pero sobre todo que aboga porque en la revisión de la legislación de la UE sobre protección de datos personales se tenga en cuenta que no resulta apropiado que ese criterio opere tal como está previsto en la actualidad. En concreto, el GTPD destaca que una sustancial mejora de la situación vendría representada por la inclusión de un requisito que subordinara la aplicación de la legislación europea a que el responsable del tratamiento dirija su actividad a personas situadas en la UE. A
