¿Se me aplica el RGPD si mi sitio está fuera de la UE?

Si procesa datos personales de personas en la UE, incluso si su empresa está en EE. UU., Brasil o cualquier otro lugar, se aplica el RGPD. Ejemplos: un sitio de comercio electrónico australiano que realiza envíos a Francia, una empresa SaaS estadounidense con clientes de la UE, un blog personal que tiene lectores de la UE que se suscriben a un boletín informativo. El principio territorial es la ubicación del interesado, no la del responsable del tratamiento.

¿Cuál es la diferencia entre un responsable del tratamiento y un encargado del tratamiento?

El responsable del tratamiento decide por qué y cómo se procesan los datos (Facebook, su banco). El procesador procesa datos en nombre del controlador (el proveedor de envío de correo electrónico del banco). El RGPD impone obligaciones diferentes a cada uno. La mayoría de las empresas actúan como controladores de sus clientes y procesadores de los servicios que brindan a otras empresas.

¿El RGPD exige los banners de cookies?

Los banners de cookies son requeridos principalmente por la Directiva de privacidad electrónica (una ley independiente y más antigua de la UE), que requiere consentimiento para las cookies no esenciales. El RGPD establece el estándar sobre cómo debe ser el consentimiento válido: informado, específico, otorgado libremente y fácilmente revocado. Juntos produjeron la realidad del cartel de las galletas. El Reglamento ePrivacy que sustituirá a la directiva lleva años en un limbo legislativo.

¿Puede una VPN ayudarme con los derechos GDPR?

Una VPN no le otorga derechos GDPR; se basan en la residencia, no en lo que el destino ve como su IP. Los residentes de la UE tienen derechos GDPR desde cualquier lugar desde el que se conecten; Los usuarios fuera de la UE no obtienen derechos GDPR al conectarse a través de una VPN de la UE. La ley sigue a la persona, no al paquete.

¿Qué pasa si mi empresa recibe una queja del RGPD?

La DPA local investiga. Si encuentran una infracción, las sanciones pueden incluir advertencias, prohibiciones de procesamiento, remediación obligatoria y multas. La mayoría de los casos se resuelven mediante el diálogo y la remediación en lugar de multas. Las multas de miles de millones de euros de alto perfil implican violaciones repetidas por parte de procesadores muy grandes después de múltiples intercambios regulatorios.

Explicación del RGPD: la regulación de la privacidad de Europa y por qué reformuló Internet

El RGPD (el Reglamento general de protección de datos) está en vigor en toda la Unión Europea desde 2018 y sus efectos se manifiestan en cada sitio web que visitas: banners de cookies, opciones de eliminación de cuentas, herramientas de exportación de datos y el derecho al olvido. La ley no es perfecta y su aplicación ha sido desigual, pero sigue siendo la regulación de privacidad más importante del mundo.

El cuerpo completo del artículo se proporciona en inglés a continuación.

El Reglamento General de Protección de Datos (GDPR) entró en vigor el 25 de mayo de 2018, reemplazando la antigua Directiva de Protección de Datos de la UE de 1995 con una regulación única que se aplica directamente en cada estado miembro. Regula cómo las organizaciones procesan los datos personales de las personas en la UE y el EEE. El alcance territorial es amplio: cualquier empresa que procese datos de residentes de la UE está sujeta al RGPD, independientemente de dónde tenga su sede la empresa.

Qué se considera datos personales

La definición de "datos personales" del RGPD es más amplia que la mayoría de las leyes nacionales: cualquier información relacionada con una persona física identificada o identificable. Nombres, correos electrónicos, IP, cookies, ID de dispositivos, datos de ubicación, fotografías, patrones de comportamiento. Incluso las identificaciones seudónimas cuentan si el seudónimo puede vincularse a un individuo a través de otros datos disponibles. El obstáculo es si alguien pudo identificar a la persona, no si alguien lo ha intentado.

Las seis bases legales

El procesamiento de datos personales requiere una base legal, una de las siguientes:

Consentimiento: el interesado ha dado un consentimiento explícito, informado y libremente revocable permiso
Contrato: el procesamiento es necesario para ejecutar un contrato con el interesado (entrega de un pedido, cumplimiento de una suscripción)
Obligación legal: requerido por la ley (registros fiscales, lucha contra el blanqueo de dinero)
Intereses vitales — necesario para proteger la vida de una persona
Tarea pública — con fines de interés público llevada a cabo por una autoridad oficial
Lintereses legítimos — los intereses del responsable del tratamiento o de un tercero, en equilibrio con los derechos y libertades del interesado

Se decide la elección del fundamento por el responsable del tratamiento y divulgados en la política de privacidad. "Consentimiento" se convirtió en la palabra principal debido a los carteles de cookies, pero es solo una de las seis bases, y los reguladores de la UE han dejado claro que el consentimiento no es apropiado como solución alternativa para el procesamiento que debería estar bajo contrato o intereses legítimos. días:

Derecho de acceso: obtenga una copia de todos sus datos personales e información sobre cómo se procesan
Derecho de rectificación: corrija los datos inexactos
Derecho de eliminación (derecho al olvido): solicitud eliminación bajo condiciones específicas
Derecho a la restricción del procesamiento: pausar el procesamiento mientras se resuelven las disputas
Derecho a la portabilidad de los datos: recibir sus datos en un formato legible por máquina y transmitirlos a otro controlador
Derecho a oponerse: particularmente a dirigir marketing
Derechos relacionados con la toma de decisiones automatizada — impugnar decisiones tomadas íntegramente por medios automatizados
Derecho a estar informado — avisos de privacidad claros y accesibles

Sanciones contundentes

La característica que acapara titulares del RGPD: multas hasta 20 millones de euros o el 4% de los ingresos anuales globales, lo que sea mayor. La DPC irlandesa multó a Meta con 1.200 millones de euros en 2023 por transferencias de datos no autorizadas en Estados Unidos, y la misma agencia ya les había multado con 405 millones de euros por el procesamiento de datos de menores por parte de Instagram. Amazon recibió una multa de 746 millones de euros por parte de Luxemburgo. Las sanciones son lo suficientemente grandes como para que la mayoría de las multinacionales se tomen en serio el cumplimiento.

Dicho esto, el cumplimiento varía enormemente. El DPC de Irlanda maneja casos que involucran a la mayoría de los gigantes tecnológicos estadounidenses porque tienen su sede en Dublín y ha sido criticado por su lento procesamiento. Otras DPA (Alemania, Francia, Italia) tienden a actuar más rápido en casos más pequeños.

Reglas de transferencia de datos

Una de las disposiciones más importantes del RGPD: los datos pueden salir de la UE solo hacia países con una protección "adecuada" o bajo salvaguardias específicas. Las sentencias Schrems I (2015) y Schrems II (2020) del Tribunal de Justicia Europeo invalidaron sucesivos marcos de transferencia de datos entre EE. UU. y la UE porque las leyes de vigilancia de EE. UU. no brindan una protección equivalente al RGPD. El actual Marco de Privacidad de Datos (2023) está en vigor, pero ya está siendo cuestionado.

La consecuencia práctica: muchas empresas mantienen la residencia de datos solo en la UE para los usuarios de la UE, y los proveedores de nube de EE. UU. ofrecen almacenamiento en la región de la UE que contractualmente no se transfiere fuera.

Lo que realmente cambió el RGPD

Los efectos visibles:

Banners de cookies. Ahora omnipresente, en su mayoría doloroso, a menudo con un patrón oscuro. La Directiva de privacidad electrónica subyacente (más antigua que el RGPD) ya los exigía; La aplicación del RGPD los hizo universales.
Políticas de privacidad. Más largas, más específicas, con períodos de retención y bases legales divulgadas.
Eliminación de cuenta. Cada servicio importante ahora ofrece un botón de autoservicio para eliminar mis datos.
Exportación de datos. El derecho a los datos la portabilidad condujo a formatos de exportación estandarizados (Google Takeout, descarga de Facebook).
Divulgación obligatoria de violaciones. Dentro de las 72 horas posteriores a tener conocimiento de una violación de datos personales.
DPO (Oficial de protección de datos) requisitos para organizaciones que procesan a escala.

La onda internacional Effects

GDPR se convirtió en una plantilla. La CCPA de California (2020), la LGPD de Brasil (2020), la Ley DPDP de la India (2023) y decenas de otras leyes nacionales tomaron prestada su estructura. Las multinacionales a menudo estandarizan prácticas equivalentes al RGPD a nivel mundial porque operar bajo regulaciones fragmentadas es más costoso que la más estricta. El resultado: las reglas de privacidad que todos deben cumplir en algún lugar se han convertido en reglas de privacidad que todos brindan en todas partes.

Preguntas frecuentes

¿Se me aplica el RGPD si mi sitio está fuera de la UE?: Si procesa datos personales de personas en la UE, incluso si su empresa está en EE. UU., Brasil o cualquier otro lugar, se aplica el RGPD. Ejemplos: un sitio de comercio electrónico australiano que realiza envíos a Francia, una empresa SaaS estadounidense con clientes de la UE, un blog personal que tiene lectores de la UE que se suscriben a un boletín informativo. El principio territorial es la ubicación del interesado, no la del responsable del tratamiento.
¿Cuál es la diferencia entre un responsable del tratamiento y un encargado del tratamiento?: El responsable del tratamiento decide por qué y cómo se procesan los datos (Facebook, su banco). El procesador procesa datos en nombre del controlador (el proveedor de envío de correo electrónico del banco). El RGPD impone obligaciones diferentes a cada uno. La mayoría de las empresas actúan como controladores de sus clientes y procesadores de los servicios que brindan a otras empresas.
¿El RGPD exige los banners de cookies?: Los banners de cookies son requeridos principalmente por la Directiva de privacidad electrónica (una ley independiente y más antigua de la UE), que requiere consentimiento para las cookies no esenciales. El RGPD establece el estándar sobre cómo debe ser el consentimiento válido: informado, específico, otorgado libremente y fácilmente revocado. Juntos produjeron la realidad del cartel de las galletas. El Reglamento ePrivacy que sustituirá a la directiva lleva años en un limbo legislativo.
¿Puede una VPN ayudarme con los derechos GDPR?: Una VPN no le otorga derechos GDPR; se basan en la residencia, no en lo que el destino ve como su IP. Los residentes de la UE tienen derechos GDPR desde cualquier lugar desde el que se conecten; Los usuarios fuera de la UE no obtienen derechos GDPR al conectarse a través de una VPN de la UE. La ley sigue a la persona, no al paquete.
¿Qué pasa si mi empresa recibe una queja del RGPD?: La DPA local investiga. Si encuentran una infracción, las sanciones pueden incluir advertencias, prohibiciones de procesamiento, remediación obligatoria y multas. La mayoría de los casos se resuelven mediante el diálogo y la remediación en lugar de multas. Las multas de miles de millones de euros de alto perfil implican violaciones repetidas por parte de procesadores muy grandes después de múltiples intercambios regulatorios.