Novedad significativa del Reglamento
(UE) 2016/679 es su enfoque en lo relativo al ámbito de aplicación territorial de
la legislación europea sobre protección de datos, en la medida en que modifica algunos
de los criterios utilizados en la Directiva 95/46/CE, con el propósito de
establecer un régimen mejor adaptado al entorno de la sociedad de la
información, en el que resulta habitual el tratamiento de datos personales en
el marco de la comercialización de bienes y servicios a distancia, con
frecuencia por responsables establecidos en terceros Estados. El nuevo
Reglamento en su artículo 3 mantiene el criterio –objeto de interpretación en
la conocida sentencia Google Spain del
Tribunal de Justicia- según el cual su normativa es aplicable al tratamiento de
datos personales en el contexto de un establecimiento del responsable o del
encargado en la Unión, con independencia de dónde tenga lugar el tratamiento.
Por el contrario, con respecto a los responsables y encargados no establecidos
en la UE, el Reglamento abandona el criterio recogido en el artículo 4 de la Directiva
95/46/CE. Como refleja también el artículo 3 LOPD, la Directiva hacía depender
la legislación aplicable del lugar de situación de los medios –automatizados o
no– a los que se recurriera para el tratamiento de datos personales, mientras
que el Reglamento sustituye ese enfoque por otro basado en que el responsable establecido
en un tercer Estado dirija su oferta de bienes o servicios a la Unión o
controle en la Unión el comportamiento de interesados.
I. Introducción
A diferencia de su antecedente el artículo
4 de la Directiva 95/46/CE, titulado “Derecho nacional aplicable”, el artículo
3 del Reglamento aparece referido al “Ámbito territorial”. Esta diferencia se
explica porque como consecuencia de la unificación resultante de la adopción de
las normas en un Reglamento pierde importancia la determinación de la
legislación de qué Estado miembro es aplicable en materia de protección de
datos personales. En todo caso, ambas normas coinciden en su función esencial,
consistente en la determinación del ámbito espacial de aplicación de la
legislación europea sobre protección de datos personales (lo que resulta
también determinante del sometimiento a la competencia de alguna autoridad de
control de un Estado miembro, en línea con lo señalado en la entrada previa
relativa a la competencia), si bien la Directiva cumplía esa función
determinando el ámbito territorial de las legislaciones nacionales de
transposición mientras que el nuevo régimen va referido al alcance territorial
de las normas del nuevo Reglamento. La trascendencia de esa función y la
importancia de estas disposiciones se vincula con las significativas
diferencias existentes a nivel mundial en los estándares de tutela en materia
de protección de datos personales y el elevado nivel de protección que
caracteriza a la legislación europea.
Esa función común que desempeñan
explica las semejanzas estructurales entre el artículo 4.1 de la Directiva
95/46/CE y el artículo 3 del Reglamento (UE) 2016/679. Ambos parten de una
clasificación tripartita y prevén como primer criterio determinante del
sometimiento a la legislación europea el que el tratamiento de datos personales
tenga lugar en el contexto (marco) de las actividades de un establecimiento del
responsable o del encargado en la Unión (un Estado miembro). Como criterio
alternativo, tanto el Reglamento como la Directiva contemplan su aplicación
cuando el responsable esté establecido en un lugar en que el Derecho de los
Estados miembros es de aplicación en virtud del Derecho internacional público.
Por último, se fijan en ambos casos cuáles son los otros criterios que
determinan en qué medida la legislación europea es aplicable cuando el
responsable o encargado del tratamiento no está establecido en la Unión
Europea, cuestión en la que sí se aprecian importantes diferencias entre el
Reglamento y la Directiva.
II. Tratamiento en el contexto de las
actividades de un establecimiento en la Unión: determinación del
establecimiento
En
lo relativo al sometimiento a la legislación europea cuando el tratamiento de
datos personales se produce en el contexto de las actividades de un
establecimiento en la Unión, las innovaciones son menores. Básicamente, el Reglamento
hace referencia expresa no sólo al “responsable” sino también al “encargado”
del tratamiento, así como a la circunstancia de que este criterio de aplicación
opera “independientemente de que el tratamiento tenga lugar en la Unión o no”,
junto con la sustitución del término “marco” por “contexto”. Por otra parte, se
elimina la referencia a las situaciones en las que un mismo responsable del
tratamiento esté establecido en el territorio de varios Estados miembros, como
consecuencia de que el Reglamento sustituye para las cuestiones objeto de
unificación a las legislaciones de todos los Estados miembros.
Más allá de estos ajustes puntuales,
lo cierto es que si bien el Reglamento viene a confirmar los elementos básicos
de la interpretación previa de este criterio –como las precisiones en el
considerando 22 en el sentido de que un establecimiento “implica el ejercicio
de manera efectiva y real de una actividad a través de modalidades estables”
sin que sea un factor determinante “la forma jurídica que revistan tales
modalidades”- , los aspectos más controvertidos de su aplicación, en particular
su proyección con respecto a entidades cuyo establecimiento responsable de la
prestación del servicio que lleva a cabo el tratamiento se encuentra en un
tercer Estado –en los términos de la STJ en el asunto Google Spain-, perderán buena parte de su trascendencia en el nuevo
régimen, pues esas situaciones quedarán comprendidas típicamente en el ámbito
de aplicación de la legislación europea en virtud del nuevo criterio recogido
en el artículo 3.2.
En todo caso, cabe recordar que conforme
al criterio desarrollado por el Tribunal de Justicia en su sentencia Google Spain (aps. 55 y 56), cabe
apreciar que el tratamiento se produce “en el marco de las actividades” de un
establecimiento cuando las actividades del responsable (típicamente la
prestación del servicio de motor de búsqueda, red social…) situado en un tercer
Estado “están indisociablemente ligadas” a la de su establecimiento situado en
el Estado miembro de que se trate. Ese vínculo indisociable puede existir
aunque el establecimiento en la UE no participe en el tratamiento de datos, por
ejemplo, cuando ese establecimiento sirve para obtener fondos aunque los mismos
no financien directamente la prestación del servicio, de modo que tal vínculo
puede estar presente aunque la relación económica entre ambas actividades no
sea particularmente directa. En todo caso, como ha puesto de relieve el Grupo de Trabajo del
artículo 29 para llevar a cabo esa valoración se impone un análisis casuístico,
que con el nuevo Reglamento pierde parte de su importancia, como consecuencia
del nuevo enfoque del criterio alternativo de aplicación territorial
introducido en el artículo 3.2 del Reglamento.
III. Aplicación a responsables o encargados
no establecidos en la Unión
Aunque
en su considerando 14, el Reglamento parte de que la protección que establece
en materia de datos personales “debe aplicarse a las personas físicas,
independientemente de su nacionalidad o de su lugar de residencia”, lo cierto
es que, cuando el tratamiento no se produce en el contexto de las actividades
de un establecimiento en la Unión, la protección se limita a los interesados
que residen en la Unión y se requiere una conexión adicional con la Unión, lo
que resulta de gran relevancia desde la perspectiva de evitar una injustificada
aplicación extraterritorial de la legislación europea en la materia, así como
para asegurar una eficaz tutela en el contexto de global de Internet, en el que
con frecuencia la prestación de servicios de la sociedad de la información se
lleva a cabo por prestadores establecidos en terceros Estados.
El artículo 4.1.c) de la Directiva,
como tercer criterio determinante del ámbito de aplicación de la legislación
europea, hace referencia a que el responsable “recurra, para el tratamiento de
datos personales, a medios, automatizados o no, situados” en la Unión salvo que
se utilicen solamente con fines de tránsito. Este criterio ha servido para
considerar que en el entorno electrónico implica la aplicación del régimen de
protección europeo a los supuestos en los que el responsable establecido en el
extranjero utiliza servidores ubicados en la UE a los cuales acceden sus
usuarios –de los que típicamente recabará datos para su empleo con fines
publicitarios– o incluso cuando cabe entender que los propios ordenadores de
los afectados mediante la implantación de cookies o mecanismos similares. En todo
caso, se trata de un criterio ideado antes del desarrollo de la sociedad de la
información, por lo que resulta apropiado su sustitución por lo dispuesto ahora
en el artículo 3.2 del Reglamento, según el cual:
“El presente Reglamento
se aplica al tratamiento de datos personales de interesados que residan en la
Unión por parte de un responsable o encargado no establecido en la Unión,
cuando las actividades de tratamiento estén relacionadas con:
a) la oferta de bienes o
servicios a dichos interesados en la Unión, independientemente de si a estos se
les requiere su pago, o
b) el control de su
comportamiento, en la medida en que este tenga lugar en la Unión.”
Esta nueva disposición refleja una
evolución en gran medida se corresponde con el propósito de hacer depender la
aplicación de la legislación en esta materia de que el responsable dirija la
actividad en el marco del cual tiene lugar el tratamiento al Estado de la
residencia del interesado. Se trata de un enfoque que facilita el sometimiento
a la legislación europea (y a la competencia de las autoridades de control de
sus Estados miembros) de quienes no se encuentran establecidos en la Unión,
pero tratan datos de residentes en la Unión en circunstancias en las que es
apropiado que queden sometidos a la legislación europea. De cara a la
interpretación de este criterio no cabe desconocer que puede resultar de
utilidad la jurisprudencia del Tribunal de Justicia relativa a la concreción
del criterio de que la actividad comercial vaya dirigida al Estado de la
residencia habitual del consumidor, en el marco del artículo 15.1.c) Reglamento
44/2001 o 17.1.c) Reglamento 1215/2012 y del artículo 6.1.c) del Reglamento
593/2008 o Reglamento Roma I.
Salvando las distancias, como que
estas últimas disposiciones presuponen la celebración de un contrato, lo que no
es el caso en el marco del artículo 3 del Reglamento general de protección de
datos, cabe entender que la idea de que la mera accesibilidad de un sitio web
en la Unión no equivale a la existencia de una oferta de bienes o servicios en
la Unión es aplicable en este ámbito, de modo que no basta esa circunstancia
para la actividad quede comprendida en el ámbito de aplicación de la
legislación europea. Asimismo, los criterios de vinculación establecidos con
carácter indicativo –no exhaustivo- por el Tribunal de Justicia en los asuntos
acumulados Pammer y Hotel Alpenhof pueden resultar
típicamente relevante en este contexto. Esa sentencia desautorizó las
desafortunadas precisiones incluidas en la Declaración del Consejo y de la
Comisión adoptada al aprobar el Reglamento 44/2001 -reiterada en el
considerando 24 del Preámbulo Reglamento Roma I con respecto a su art. 6-, que
si bien rechazaba el criterio de la mera accesibilidad, señalaba que “la lengua
o la divisa utilizada por un sitio de Internet no constituye un elemento
pertinente” para concretar el país al que la actividad va dirigida.
En concreto, en la interpretación
del Reglamento sobre este particular resulta punto de partida obligado su
considerando 24, según el cual resulta preciso determinar “si es evidente que
el responsable o el encargado proyecta ofrecer servicios a interesados en uno o
varios de los Estados miembros de la Unión”. Además de aclarar que la mera accesibilidad
en la Unión “o el uso de una lengua
generalmente utilizada en el tercer país donde resida el responsable del
tratamiento” no basta para determinar dicha intención, se limita a mencionar
como factores, entre otros, que pueden revelar esa intención del responsable el
uso de una lengua o una moneda utilizada generalmente en uno o varios Estados
miembros con la posibilidad de encargar bienes y servicios en esa lengua, o la
mención de clientes o usuarios que residen en la Unión.
De la STJ de 7 de diciembre de 2010,
C‑585/08
y C‑144/09,
Pammer y Hotel Alpenhof, cabe
recordar que el Tribunal partió de que entre los indicios relevantes a ese fin
se encuentran, en primer lugar, “todas las expresiones manifiestas de la
voluntad de atraer a los consumidores de dicho Estado miembro” (ap. 80), como
la mención de que ofrece sus servicios o sus bienes en ese Estados miembro
designado específicamente o la publicidad en medios que facilitan el
conocimiento de su sitio por consumidores domiciliados en ese Estado miembro.
Ahora bien, la conclusión de que un sitio va dirigido al Estado miembro del
domicilio del consumidor también puede alcanzarse en situaciones en las que no
cabe apreciar expresiones manifiestas de la voluntad de atraer a los
consumidores de ese país, pues el Tribunal considera que otros indicios pueden
ser relevantes para apreciar esa circunstancia. Entre esos indicios, los
apartados 83 y 84 y el fallo de la Sentencia enumeran con carácter no
exhaustivo: el carácter internacional de la actividad de que se trate; la
mención de números de teléfono con indicación del prefijo internacional; la
utilización de un nombre de dominio de primer nivel geográfico distinto al del
Estado miembro en que está establecido el vendedor o la utilización de nombres
de dominio de primer nivel genéricos o neutros en lo que se refiere a la
localización de su titular (como “.com” o “.eu”); la descripción de itinerarios
desde otro u otros Estados miembros al lugar de la prestación del servicio; la
mención de una clientela internacional formada por clientes domiciliados en diferentes
Estados miembros con testimonios de dichos clientes; el empleo de lenguas o
divisas que no se corresponden con las empleadas habitualmente en el Estado
miembro a partir del cual ejerce su actividad el profesional o empresario. En
lo relativo a los posibles indicios, una aportación adicional de la Sentencia
es la aclaración de que ciertos elementos no son relevantes a esos efectos
(aps. 77, 78 y 91). En concreto, el Tribunal señalaba entre esos elementos la
mención en el sitio web de la dirección electrónica o postal del vendedor, la
indicación de su número de teléfono sin prefijo internacional o la utilización
de una determinada lengua cuando es la lengua del empresario o profesional, lo
que se corresponde con alguna de las indicaciones del mencionado considerando
23 del nuevo Reglamento.
Con carácter alternativo, el
artículo 3.2.b) del Reglamento se refiere a su aplicación cuando el tratamiento
de datos de interesados que residan en la Unión esté relacionado “con el
control de su comportamiento, en la medida en que este tenga lugar en la Unión”.
Cabe entender que se tratará de situaciones comprendidas en ocasiones también en el apartado
a), pues tal control con frecuencia tiene lugar en el marco del ofrecimiento al
interesado de ciertos servicios, aunque sean gratuitos, en particular en
relación con el empleo de archivos o programas informáticos que almacenan y permiten el acceso a información en el
equipo de usuario -como es el caso de las cookies o chivatos-, de gran
importancia práctica para facilitar la navegación y la prestación eficiente de
ciertos servicios en la Red, pero que constituyen un instrumento básico del
éxito de la llamada publicidad “comportamental” y plantean especiales riesgos
en relación con el tratamiento de información personal sobre los usuarios de
Internet (como puso de relieve el Grupo de Trabajo sobre protección de datos
personales creado en virtud del artículo 29 Directiva 95/46/CE en su Dictamen
2/2010 sobre publicidad comportamental en línea). El considerando 24 del
Reglamento se limita a señalar que este criterio resulta operativo si se puede
considerar que una actividad de tratamiento controla el comportamiento de los
interesados, para lo que “debe evaluarse si las personas físicas son objeto de
un seguimiento en internet, inclusive el potencial uso posterior de técnicas de
tratamiento de datos personales que consistan en la elaboración de un perfil de
una persona física con el fin, en particular, de adoptar decisiones sobre él o
de analizar o predecir sus preferencias personales, comportamientos y actitudes”.
IV. Acciones de indemnización
Una reflexión adicional desde la
perspectiva del Derecho aplicable merece lo relativo a las acciones de
indemnización, donde el nuevo Reglamento establece la obligación del
responsable o encargado de indemnizar los daños y perjuicios que pueda sufrir
una persona como consecuencia de un tratamiento en infracción de sus normas,
proporcionando indicaciones sobre la necesidad de una interpretación amplia del
concepto de daños y perjuicios; así como que el responsable o encargado debe
quedar exento “si demuestra que no es en modo alguno responsable de los daños y
perjuicios”; así como la responsabilidad solidaria quienes hayan participado en
la misma operación de tratamiento y sean responsables de cualquier daño o
perjuicio causado por dicho tratamiento (art. 82 y cdo. 146).
Al margen de estas disposiciones y
de la unificación en el seno de la UE de las normas de protección de datos cuya
infracción resulta presupuesto del derecho a indemnización, subsisten
importantes diferencias en las legislaciones nacionales en este ámbito. Por lo
tanto, en relación con el ejercicio de este tipo de acciones en situaciones
transfronterizas pueden plantearse complejas cuestiones de determinación del
Derecho aplicable, para las que lamentablemente el Derecho de la UE no
proporciona una respuesta, debido a que se trata de una materia excluida del
Reglamento Roma II, relativo a la ley aplicable a las obligaciones extracontractuales,
conforme a su artículo 1.2.g). Por lo tanto, a esta cuestión continúan siendo
de aplicación las normas nacionales, en el caso de España, el artículo 10.9 Cc.
