Es conocido
que entre las innovaciones significativas del Reglamento (UE) 2016/679 General
de Protección de Datos (RGPD) se encuentran algunas de sus previsiones en
relación con el ámbito de aplicación territorial de sus disposiciones, de gran
trascendencia, habida cuenta del frecuente carácter transfronterizo de las
actividades de encargados, responsables y afectados, en particular cuando se
trata de actividades en línea. Es sabido también que en la interpretación de
los criterios establecidos en esta materia por el RGPD son de especial interés
ciertos pronunciamientos del Tribunal de Justicia en relación con la Directiva
que el RGPD deroga, como sus sentencias Google
Spain y Weltimo. A todas estas
cuestiones ya me he referido en diversas ocasiones en este blog, y con más
detalle fuera del mismo (por ejemplo, aquí),
incluida la circunstancia de que próximamente está previsto que el TJ se
pronuncie sobre aspectos muy relevantes del ámbito territorial del llamado
derecho al olvido previsto en el RGPD (aquí).
Entre las
Directrices sobre la interpretación del RGPD más relevantes adoptadas por la
European Data Protection Board (EDPB) se encuentran precisamente las tituladas Guidelines3/2018 on the territorial scope of the GDPR (Article 3), del pasado 16 de noviembre. Por el órgano del que procede y por lo riguroso de su
contenido, se trata de un documento de referencia imprescindible en la materia,
como –salvando las distancias- sucedía antes con algunos de los documentos en esta materia del llamado Grupo del artículo
29 de la Directiva. Más allá del interés de las Directrices en tanto que
presentación de un marco general en lo sustancial ya conocido, con la
inclusión, eso sí, de algunos ejemplos muy didácticos, puede resultar de
interés detenerse en que en ciertas situaciones algunos de los criterios de interpretación
que pueden desprenderse de las Directrices parecen requerir precisiones
adicionales o matizaciones. Por ejemplo, en lo relativo a la conexión de una
interpretación amplia del criterio de que el RGPD se aplica al “tratamiento de
datos personales en el contexto de las actividades de un establecimiento del
responsable o del encargado en la Unión” (art. 3.1) con la idea de que al
aplicar ese criterio la localización de los afectados es completamente
irrelevante (pp. 8-9 de las Directrices), así como en lo que concierne a las
pautas de interpretación de los criterios de localización empleados en el
artículo 3.2 RGPD, al apreciar si existe en el caso concreto oferta de bienes o
servicios a interesados en la Unión. Para plantear estas cuestiones en las
siguientes líneas, reproduciré partes del texto de las Directrices en inglés e
insertaré seguidamente mis comentarios en español.
Con respecto
al artículo 3.1 RGPD, tras destacar que la formulación de esa norma implica, a
la luz de la jurisprudencia del TJ en los asuntos Google Spain y Weltimmo,
que “with a view to fulfilling the
objective of ensuring effective and complete protection, the meaning of “in the
context of the activities of an establishment” cannot be interpreted
restrictively” (Guidelines, p. 6),
lo que implica que la entidad no establecida deba cumplir con el RGPD siempre
que exista “an inextricable link between
the activities of an EU establishment and the processing of data carried out by
a non-EU controller” (Guidelines,
p. 7). Hasta aquí, nada que no fuera conocido, en particular a la luz de las
dos sentencias recién mencionadas. Ahora bien, en relación con la
interpretación de este criterio el EDPB añade lo siguiente.
However, geographical location is not important for the purposes of
Article 3(1) with regard to the place in which processing is carried out, or
with regard to the location of the data subjects in question. The text of
Article 3(1) does not restrict the application of the GDPR to the processing of
personal data of individuals who are in the Union. The EDPB therefore considers
that any personal data processing in the context of the activities of an
establishment of a controller or processor in the Union would fall under the
scope of the GDPR, regardless of the location or the nationality of the data
subject whose personal data are being processed. This approach is supported by
Recital 14 of the GDPR which states that “[t]he protection afforded by this
Regulation should apply to natural persons, whatever their nationality or place
of residence, in relation to the processing of their personal data.” (Guidelines, p. 7).
Cabe entender
que una interpretación estricta del planteamiento de que la localización de los
afectados por el tratamiento es en todo caso completamente irrelevante en la
interpretación del artículo 3.1 RGPD puede en ocasiones conducir a resultados
inadecuados.
De hecho, podría
llegar a resultar contradictorio con los fundamentos del artículo 3 según las
propias Directrices:
“Article 3 of the GDPR reflects the legislator’s intention to ensure
comprehensive protection of EU data
subjects’ rights and to establish, in terms of data protection requirement,
a level playing field for companies active on
the EU markets, in a context of worldwide data flows.” (Guidelines, p. 3, con las negritas añadidas por mí).
En particular,
podrá ser así en situaciones en las que el establecimiento en la UE relevante
sea un “establecimiento secundario” del responsable y los afectados por el
tratamiento estén localizados en terceros Estados. No cabe desconocer que la
sentencia Google Spain iba referida a
un responsable cuyo establecimiento principal estaba en un tercer Estado (si
bien el tratamiento tenía lugar “en el contexto de las actividades de” su
filial española), pero que además era un tratamiento de datos en el que
millones de afectados se localizaban en la UE. La exigencia de cierta vinculación
entre los afectados por el tratamiento y la UE como presupuesto para que estos
puedan hacer valer sus derechos ha sido ya puesta de relieve, en situaciones en
las que el establecimiento principal del responsable no se localiza en la UE,
por la jurisprudencia española, si bien en relación con el anterior marco
normativo. Cabe reseñar a este respecto la sentencia de la Audiencia Nacional (Sala
de lo Contencioso Administrativo – Secc. 1ª) de 31 de octubre de 2017,
desestimando el recurso contra la
resolución del Director de la AEPD 11 de diciembre de 2015 por la que se denegaba a una persona residente en el extranjero y sin “vinculaciones” con la UE
suficientes (Fdto. de Dcho. Quinto) la posibilidad de ejercitar su derecho al
olvido en España frente a Google Inc.
En relación
con el criterio de aplicación establecido en el artículo 3.2 RGPD –“targeting criterion” (Guidelines, p. 12)-, basado en que el responsable
o encargado no establecido en la UE dirija sus actividades a la UE, algunas de
las cuestiones que cabe suscitar al hilo de los casos expuestos en las Guidelines son las siguientes.
No cabe dudar de que la jurisprudencia del TJ en relación con el uso del criterio de las actividades dirigidas en el ahora artículo 17.1.c) del Reglamento 1215/2012 (RBIbis) y en el artículo 6 del Reglamento Roma I (RRI), en especial, de momento, su conocida sentencia en los asuntos Hotel Alpenhof y Pammer, es relevante a estos efectos. En todo caso, conviene no perder de vista que la aplicación de estas normas requiere la presencia de ciertas circunstancias a las que en principio no se subordina la aplicación del RGPD en virtud del artículo 3.2. Basta tener en cuenta que esas normas del RBIbis y RRI exigen la previa celebración de un contrato entre el consumidor y el profesional, así como que, por ejemplo, el régimen de protección del artículo 6 RRI no es aplicable cuando se trate de contratos de prestación de servicios en los que los servicios deban prestarse al consumidor exclusivamente en un país distinto al de su residencia habitual.
No cabe dudar de que la jurisprudencia del TJ en relación con el uso del criterio de las actividades dirigidas en el ahora artículo 17.1.c) del Reglamento 1215/2012 (RBIbis) y en el artículo 6 del Reglamento Roma I (RRI), en especial, de momento, su conocida sentencia en los asuntos Hotel Alpenhof y Pammer, es relevante a estos efectos. En todo caso, conviene no perder de vista que la aplicación de estas normas requiere la presencia de ciertas circunstancias a las que en principio no se subordina la aplicación del RGPD en virtud del artículo 3.2. Basta tener en cuenta que esas normas del RBIbis y RRI exigen la previa celebración de un contrato entre el consumidor y el profesional, así como que, por ejemplo, el régimen de protección del artículo 6 RRI no es aplicable cuando se trate de contratos de prestación de servicios en los que los servicios deban prestarse al consumidor exclusivamente en un país distinto al de su residencia habitual.
El
decimocuarto ejemplo de las Guidelines (pág. 17) dice lo
siguiente:
Example 14: A Swiss University in Zurich is launching its Master degree selection
process, by making available an online platform where candidates can upload
their CV and cover letter, together with their contact details. The selection
process is open to any student with a sufficient level of German and English
and holding a Bachelor degree. The University does not specifically advertise
to students in EU Universities, and only takes payment in Swiss currency.
As there is no distinction or specification for students from the Union
in the application and selection process for this Master degree, it cannot be
established that the Swiss University has the intention to target students from
a particular EU member states. The sufficient level of German and English is a
general requirement that applies to any applicant whether a Swiss resident, a
person in the Union or a student from a third country. Without other factors to
indicate the specific targeting of students in EU member states, it therefore
cannot be established that the processing in question relates to the offer of
an education service to data subject in the Union, and such processing will
therefore not be subject to the GDPR provisions.
The Swiss University also offers summer courses in international
relations and specifically advertise this offer in German and Austrian
universities in order to maximise the courses’ attendance. In this case, there
is a clear intention from the Swiss University to offer such service to data
subjects who are in the Union, and the GDPR will apply to the related
processing activities.
El
planteamiento adoptado en este ejemplo parece responder a una interpretación
relativamente estricta del criterio de las actividades dirigidas. Parece
entender que el que no vaya específicamente dirigido a la UE (“there is no distinction or specification
for students from the Union”) resulta determinante para apreciar que no se
cumple el requisito. Pero, en el escenario descrito, el de un responsable del
tratamiento que es una universidad suiza y recaba datos de posibles estudiantes
internacionales a través de una página web en inglés, es fácilmente previsible
que un porcentaje significativo de los interesados procedan de la UE. De hecho,
no será raro que de su experiencia de años anteriores la universidad en
cuestión sepa que ya es así y que, por ejemplo, un 30% de los estudiantes
interesados proceden de la UE. ¿Cabe seguir sosteniendo que no dirige sus
actividades a la UE? Y, en particular, si se trata de una universidad suiza que
ofrece cursos a distancia y la página web no va dirigida específicamente a
residentes en la UE pero de media el 30% de los que se inscriben en sus cursos
en alemán e inglés son estudiantes residentes en la UE y que los cursan en el
Estado miembro de la UE en el que residen. ¿Habría alguna duda de que realiza
una oferta de bienes o servicios a interesados en la Unión? De hecho, en el
marco del artículo 6 RRI cabría sostener que la ley aplicable a esos contratos
será la del Estado miembro de la UE de la residencia habitual del consumidor o,
por lo menos, que en todo caso el consumidor no podrá ser privado de la
protección que le proporcionen las disposiciones imperativas de la ley de ese
Estado miembro, en virtud de lo dispuesto en el artículo 6 RRI.
El decimotercer ejemplo de las Guidelines
(págs. 16-17) dice lo
siguiente:
Example 13: A private company based in Monaco processes personal data of its
employees for the purposes of salary payment. A large number of the company’s
employees are French and Italian residents. In this case, while the processing
carried out by the company relates to data subjects in France and Italy, it
does not takes place in the context of an offer of goods or services. Indeed
human resources management, including salary payment by a third-country company
cannot be considered as an offer of service within the meaning of Art 3(2)a.
The processing at stake does not relate to the offer of goods or services to
data subjects in the Union (nor to the monitoring of behaviour) and, as a
consequence, is not subject to the provisions of the GDPR, as per Article 3.
This assessment is without prejudice to the applicable law of the third
country concerned.
En la medida
en que los trabajadores afectados por el tratamiento, residentes en Italia y
Francia, realicen su trabajo habitualmente en Mónaco, puede entenderse el
resultado alcanzado. Ahora bien, ¿si la empresa no está “based” in Mónaco sino
en EEUU y tiene cientos de trabajadores residentes en la UE que prestan
servicios de teletrabajo? En las situaciones típicas si tiene cientos de
trabajadores en la UE, tendrá uno o varios establecimientos en la UE, de modo que
la aplicación del RGPD resultará de lo previsto en su artículo 3.1. Ahora bien,
ese puede no ser el caso si todos los trabajadores residentes en la UE llevan a
cabo actividades propias de teletrabajo. En un escenario como este la
aplicación del criterio recogido en el ejemplo 13, y la no aplicación del RGPD,
puede resultar difícil de justificar. No cabe desconocer que, en virtud del
artículo 8 RRI, en el marco del RRI, esos contratos de trabajo se regirán por
la ley del Estado miembro de la UE en el que el trabajador realiza su trabajo o,
por lo menos, el trabajador no podrá ser privado de la protección que le
proporcionen las disposiciones imperativas de la ley de ese Estado miembro, en
virtud de lo dispuesto en el artículo 8 RRI.
