Answer
Resposta
O RGPD é aplicável a:
- uma empresa ou entidade que efetue o tratamento de dados pessoais no âmbito das atividades de uma das suas sucursais estabelecida na UE, independentemente do local onde os dados são tratados; ou
- uma empresa constituída fora da UE que oferece bens/serviços (pagos ou gratuitos) ou controla o comportamento de pessoas na UE.
Se a sua empresa for uma pequena ou média empresa (PME) que efetua o tratamento de dados pessoais conforme descrito acima, tem de cumprir o RGPD. No entanto, se o tratamento de dados pessoais não for uma parte principal do seu negócio e a sua atividade não criar riscos para as pessoas, então algumas obrigações do RGPD não se aplicam a si (por exemplo, a nomeação de um encarregado da proteção de dados (EPD). Importa salientar que as «atividades principais» incluem atividades em que o tratamento de dados é uma parte inextricável da atividade do responsável pelo tratamento ou do subcontratante.
Exemplos
Caso em que o regulamento se aplica
A sua empresa é uma pequena empresa ativa na área do ensino superior que opera na Internet e tem um estabelecimento fora da UE. Dirige a sua atividade sobretudo a universidades de língua espanhola e de língua portuguesa na UE. Oferece aconselhamento gratuito sobre vários cursos universitários, e os estudantes precisam de um nome de utilizador e de uma palavra-passe para acederem ao material em linha. A sua empresa fornece o nome de utilizador e a palavra-passe depois de os estudantes preencherem um formulário de inscrição.
Caso em que o regulamento não se aplica
A sua empresa é uma prestadora de serviços e está sediada fora da UE. Presta serviços a clientes fora da UE. Os clientes podem utilizar os seus serviços quando viajam para outros países, incluindo dentro da UE. Desde que a sua empresa não dirija especificamente os seus serviços a pessoas na UE, não está sujeita às regras do RGPD.