El Reglamento General de Protección de Datos de la UE no se detiene en las fronteras de Europa. Si tu empresa tiene su sede fuera de la UE pero vende bienes o servicios a personas en Europa, el RGPD puede aplicársete por completo, aunque no tengas oficina, personal ni servidores en ningún punto del bloque. Lo difícil para las empresas extranjeras suele ser reconocer que están sujetas en absoluto y, después, entender en qué consiste realmente el cumplimiento en la práctica.
Tanto si gestionas una tienda en línea, una plataforma de software, una agencia de marketing o un servicio de suscripción, en el momento en que deliberadamente llegas a clientes en la UE puedes asumir un conjunto de obligaciones legales que resultan desconocidas y se aplican con rigor. Las normas y las cifras cambian con el tiempo, así que trátalo como información general de fondo y no como asesoramiento sobre tu caso particular.
¿Se aplica el RGPD a mi empresa?
El RGPD puede alcanzar a una empresa establecida fuera de la UE de dos formas principales, y basta con que se dé una de ellas para estar sujeto. La primera es cuando ofreces bienes o servicios a personas situadas en la UE, les cobres o no. La segunda es cuando controlas el comportamiento de personas en la UE, por ejemplo mediante seguimiento, elaboración de perfiles o analítica vinculada a su actividad en línea.
El mero hecho de tener un sitio web al que puedan acceder los europeos no basta por sí solo. Lo que importa es si te diriges deliberadamente al mercado de la UE. Entre los indicios de que lo haces figuran:
- Ofrecer tus precios en euros o en otra moneda de la UE.
- Facilitar tu sitio o tu contenido en una lengua de la UE que no se usa en tu país de origen.
- Mencionar a clientes de la UE, enviar a países de la UE o usar un dominio de primer nivel de la UE.
- Realizar marketing o publicidad dirigidos a personas de Estados miembros concretos de la UE.
Si algo de esto describe a tu empresa, da por hecho que el RGPD entra en juego y trata en consecuencia los datos personales de tus clientes de la UE. Lo que cuenta es la ubicación de la persona cuyos datos tratas, no su nacionalidad ni el lugar donde esté constituida tu empresa.
Las obligaciones básicas que asumes
El RGPD se asienta en un conjunto de principios que se aplican a todo lo que haces con datos personales: debes tener una base jurídica para tratarlos, usarlos solo con fines claros y limitados, mantenerlos exactos, conservar no más de los que necesitas, no guardarlos más tiempo del necesario y mantenerlos seguros. Estos principios suenan abstractos, pero se traducen en deberes concretos.
- Una base jurídica para cada actividad, como el consentimiento, la ejecución de un contrato o un interés legítimo que puedas documentar.
- Información clara sobre privacidad que indique a las personas quién eres, qué datos recoges, por qué, cuánto tiempo los conservas y con quién los compartes.
- Un consentimiento válido cuando te bases en él: prestado libremente, específico y tan fácil de retirar como de otorgar, algo que importa especialmente para el marketing y muchas cookies.
- El respeto de los derechos individuales, incluidos el acceso, la rectificación, la supresión, la portabilidad y la oposición, normalmente dentro de un plazo establecido.
- Medidas de seguridad adecuadas y un procedimiento para gestionar las violaciones de datos personales, incluida la notificación a los reguladores y a las personas afectadas cuando proceda.
También se espera que lleves un registro de tus actividades de tratamiento y, para los tratamientos de mayor riesgo, que realices una evaluación de impacto relativa a la protección de datos antes de empezar. Cuando tus actividades principales impliquen un tratamiento a gran escala o de datos sensibles, puede que tengas que designar un delegado de protección de datos.
Designar un representante en la UE
Un requisito sorprende a muchas empresas extranjeras. Si el RGPD se te aplica y no tienes ningún establecimiento en la UE, por lo general debes designar por escrito un representante en la UE: una persona o empresa con sede en un Estado miembro donde se encuentren algunos de tus clientes afectados. Este representante actúa como punto de contacto local para los particulares y para las autoridades de protección de datos, y sus datos deben figurar en tu aviso de privacidad.
Existen exenciones limitadas, por ejemplo cuando tu tratamiento es solo ocasional y de bajo riesgo, pero son más estrechas de lo que la gente supone. Designar un representante no elimina tu propia responsabilidad legal —sigues siendo plenamente responsable—, pero no designar uno cuando es obligatorio constituye en sí mismo una infracción sobre la que los reguladores pueden actuar.
Transferir datos fuera de la UE
Para una empresa de fuera de la UE, enviar datos personales desde Europa a tu país de origen es una transferencia que el RGPD regula con cuidado. No puedes simplemente trasladar los datos a donde quieras. Si la UE ha reconocido formalmente que tu país ofrece un nivel adecuado de protección, las transferencias pueden fluir con más libertad. Si no lo ha hecho, por lo general necesitas una garantía aprobada antes de que ningún dato salga de la UE.
- Las cláusulas contractuales tipo, la herramienta más habitual, son modelos de cláusulas contractuales aprobados por la UE que obligan a las partes a proteger los datos.
- Las normas corporativas vinculantes, para transferencias dentro de un grupo de empresas, sujetas a la aprobación del regulador.
- Un conjunto limitado de excepciones concretas para transferencias ocasionales, en las que no debe ampararse como solución rutinaria.
Cada vez más se espera también que evalúes las leyes del país de destino y añadas medidas técnicas u organizativas adicionales cuando las normas locales puedan socavar la protección que se supone deben tener los datos. Esta es un área técnica que cambia a medida que surgen nuevas decisiones y marcos, así que confirma la situación vigente antes de diseñar tus flujos de datos.
Qué ocurre si te equivocas
El RGPD se toma en serio porque las consecuencias son reales. Las autoridades de control de cada Estado miembro pueden investigar, ordenarte que cambies o detengas tu tratamiento e imponer multas administrativas importantes calculadas en función de tu facturación mundial, reservando el tramo más alto a las infracciones más graves. Los particulares también pueden reclamar una indemnización, y los grupos de consumidores o de privacidad actúan cada vez más en su nombre.
Más allá de las multas, las consecuencias prácticas importan: el daño reputacional, la pérdida de confianza de los clientes y el coste de reconstruir los sistemas bajo supervisión regulatoria. Para una empresa extranjera, una actuación de aplicación en la UE también puede alterar las relaciones con los proveedores de pago, las plataformas y los socios europeos de los que dependes para llegar al mercado en primer lugar.
Primeros pasos prácticos
Si sospechas que el RGPD se te aplica, un enfoque estructurado resulta mucho menos intimidante que reaccionar a una reclamación después de los hechos. El objetivo es saber qué datos tienes, por qué los tienes y si cada paso de su tratamiento puede justificarse.
- Mapea tus datos. Determina qué datos personales recoges de personas en la UE, de dónde proceden, a dónde van y quién puede verlos.
- Comprueba tu base jurídica para cada actividad y refuerza tus prácticas de consentimiento y de marketing cuando te bases en ellas.
- Publica un aviso de privacidad claro e implanta un procedimiento sencillo para gestionar las solicitudes de derechos individuales y las violaciones.
- Resuelve las piezas transfronterizas: tu representante en la UE, si es obligatorio, y un mecanismo de transferencia válido para los datos que salgan de la UE.
Como el RGPD interactúa con las distintas leyes nacionales de cada Estado miembro, y con las normas sobre cookies y marketing electrónico, la respuesta correcta a menudo depende exactamente de qué países atiendes y de cómo lo haces.
Hacerlo bien
El RGPD otorga a los europeos derechos sólidos y exigibles sobre sus datos personales, y esos derechos los acompañan ante quienquiera que trate su información, incluida una empresa al otro lado del mundo. Los principios son estables, pero el detalle, los umbrales y las normas de transferencia cambian con el tiempo, y las sanciones por equivocarse pueden ser severas. Como tanto depende de cómo te diriges al mercado de la UE, qué datos manejas y a dónde fluyen, el paso más seguro cuando hay algo importante en juego es hablar con un abogado de protección de datos cualificado que pueda revisar tu situación y confirmar las normas vigentes antes de que decidas cómo proceder.