Answer
Respuesta
El RGPD se aplica en los casos siguientes:
- su empresa o entidad trata datos personales como parte de las actividades de una de sus sucursales establecidas en la Unión Europea (UE), independientemente del lugar donde sean tratados los datos, o
- su empresa está establecida fuera de la UE y ofrece productos o servicios (de pago o gratuitos) u observa el comportamiento de las personas en la UE.
Si su empresa es una pequeña o mediana empresa (pyme) que trata datos personales según lo descrito arriba debe cumplir el Reglamento. Sin embargo, si el tratamiento de datos personales no constituye la parte principal de su negocio y su actividad no entraña riesgos para las personas, no estará sujeto a algunas obligaciones del RGPD [como el nombramiento de un delegado de protección de datos (DPD)]. Cabe señalar que las «actividades principales» deben incluir actividades en las que el tratamiento de datos forme una parte indisociable de la actividad del responsable o encargado del tratamiento.
Ejemplos
Cuándo se aplica el Reglamento
Usted es una empresa pequeña de enseñanza superior que opera por internet y está establecida fuera de la UE. Su actividad va destinada principalmente a universidades de lengua española y portuguesa de la UE. Ofrece asesoramiento gratuito en varios cursos universitarios y los estudiantes necesitan un nombre de usuario y una contraseña para acceder al material disponible en línea. La empresa ofrece dicho nombre de usuario y contraseña una vez los estudiantes han cumplimentado un formulario de matrícula.
Cuándo no se aplica el Reglamento
Usted es un proveedor de servicios de fuera de la UE que presta servicios a clientes de fuera de la Unión. Sus clientes pueden utilizar sus servicios cuando viajan a otros países, incluida la UE. Siempre que no dirija sus servicios específicamente a personas de la UE no estará sujeto a las normas del RGPD.