Ir al contenido principal

¿Qué pasa si tratamos datos en distintos países de la Unión Europea?

Respuesta

El Reglamento general de protección de datos (RGPD) se aplica en toda la Unión Europea (UE): un conjunto de normas de protección de datos para todos los países. Esto evita que su empresa deba enfrentarse a distintas legislaciones. En algunos ámbitos, los países de la UE pueden especificar detalladamente la aplicación de las normas del RGPD (como normas sobre empleo; el sector de la sanidad pública; normas sobre conciliación entre la libertad de expresión y la protección de datos). El RGPD también introduce el denominado mecanismo «de ventanilla única», que garantiza la cooperación entre las autoridades de protección de datos (APD) para el tratamiento transfronterizo.

Si usted realiza el tratamiento de datos en distintos países, la APD competente (que será la autoridad principal en sus relaciones con otras APD implicadas en la UE) es la APD del país de la UE en el que tenga su establecimiento principal. Se identifica su administración central en la UE como el lugar donde se toman las decisiones sobre los fines y los medios del tratamiento de los datos personales y donde se encuentra el poder para aplicar estas decisiones. Si no cuenta con una administración central en la UE, el establecimiento principal será el lugar donde se realice el ejercicio real y efectivo de las actividades de gestión que determinan las principales decisiones, tales como los fines y los medios del tratamiento.

Si usted efectúa el tratamiento de datos con el fin de dar cumplimiento a una obligación jurídica nacional, solo la APD de ese país de la UE será competente.

Ejemplo

El establecimiento principal de una empresa textil (es decir, su sede central) está en Italia. Tiene comercios satélites en países vecinos, como Malta, Grecia, Francia y Austria. En estos países vecinos, sus comercios satélite crean bases de datos que tratan los datos personales de los clientes para fines de mercadotecnia. Sin embargo, las decisiones sobre «cómo» ponerse en contacto con estos clientes, «cuándo» y «por qué» se toman en la sede central de Italia. Por tanto, en este caso, la decisión del tratamiento de los datos personales para fines de mercadotecnia se considera que se toma en Italia. La APD italiana es la autoridad principal de su empresa.

Referencias

Example

A textile company’s main establishment (that is to say its headquarters) is in Italy. It has satellite shops in neighbouring countries such as Malta, Greece, France and Austria. In those neighbouring countries, its satellite shops set up databases which process customers’ personal data for marketing purposes. However, the decisions on ‘how’ to contact the said customers, ‘when’ and ‘why’ are taken at the headquarters in Italy. Thus, in this case, the decision on the processing of personal data for marketing purposes is deemed to be made in Italy. The Italian DPA is the lead authority for your company/organisation.