MONOLITH LAW OFFICE+81-3-6262-3248Días de semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Título del artículo: ¿Qué sucede cuando el GDPR se aplica extraterritorialmente? Explicación de los métodos de respuesta

General Corporate

Título del artículo: ¿Qué sucede cuando el GDPR se aplica extraterritorialmente? Explicación de los métodos de respuesta

El GDPR (Reglamento General de Protección de Datos) es una normativa establecida por la Unión Europea que regula la protección y el manejo de la información personal. Si su empresa planea ofrecer productos o servicios dentro de la UE, es posible que el GDPR sea aplicable. Sin embargo, puede que haya quienes no estén seguros de si su empresa cae dentro del ámbito de aplicación del GDPR o, en caso afirmativo, qué medidas deben tomar.

En este artículo, explicaremos el alcance de aplicación del GDPR, qué se debe hacer si este es aplicable y las respuestas que se requieren. También incluimos una sección de preguntas y respuestas sobre la aplicación del GDPR, así que le invitamos a consultarla como referencia.

Ámbito de aplicación del GDPR

Mujer

Las condiciones bajo las cuales se aplica el GDPR están estipuladas en el Artículo 3 “Ámbito geográfico de aplicación” del GDPR. El ámbito de aplicación del GDPR se divide en dos situaciones: cuando hay una base en la UE y cuando no la hay.

El contenido especificado para los casos en que hay una base en la UE es el siguiente:

“Se aplica al tratamiento de datos personales en el contexto de las actividades de una base de un administrador o procesador en la UE, independientemente de si dicho tratamiento tiene lugar dentro de la UE o no”.

Referencia: Comisión de Protección de Datos Personales | “Traducción provisional al japonés del Reglamento General de Protección de Datos (GDPR)[ja]

Esto significa que el GDPR se aplica si hay una base de un administrador o procesador en la UE.

AdministradorQuien determina los fines y medios del tratamiento de datos personales
ProcesadorQuien realiza el tratamiento de datos personales en nombre del administrador

En los casos en que no hay una base en la UE, el ámbito de aplicación incluye las siguientes dos situaciones:

  1. Cuando se ofrecen bienes o servicios a personas dentro de la UE
  2. Cuando se monitorea el comportamiento de personas dentro de la UE

El GDPR impone estrictas restricciones a los países fuera de la UE y, para transferir datos libremente, se requiere una “decisión de adecuación”. La decisión de adecuación es una certificación decidida tras las consultas de la Comisión Europea, otorgada a países o regiones que aseguran un nivel adecuado de protección de datos personales.

Los países o regiones sin una decisión de adecuación deben seguir procedimientos como las SCC o BCR para transferir datos fuera de la UE.

SCC (Cláusulas Contractuales Estándar)Elementos obligatorios que deben incluirse en los contratos de transferencia de información
BCR (Reglas Corporativas Vinculantes)Políticas para proteger los datos personales obtenidos del Espacio Económico Europeo (EEE) y reglas para compartirlos con filiales fuera del EEE

Lo que cambia con la decisión de adecuación es que no es necesario seguir procedimientos como las SCC o BCR.

La decisión de adecuación para Japón se anunció durante la consulta regular de líderes entre Japón y la UE en julio de 2018 (Heisei 30), con el compromiso de avanzar en los esfuerzos para hacer operativo el marco de transferencia de datos personales. Posteriormente, el 23 de enero de 2019 (Heisei 31), Japón recibió la decisión de adecuación, y se emitió un anuncio de bienvenida a la decisión adoptada por la UE y Japón de reconocer mutuamente un nivel equivalente de protección de datos personales.

¿Qué deben hacer las empresas sujetas al GDPR?

¿Qué deben hacer las empresas sujetas al GDPR?

Las empresas sujetas al GDPR deben realizar principalmente dos acciones:

  • Nombrar un representante en la UE/Reino Unido
  • Incluir información específica en la política de privacidad

A continuación, explicaremos cada uno de estos puntos en detalle.

Nombramiento de un representante en la UE/Reino Unido

El artículo 27 del GDPR establece la obligación de designar un representante en la UE o en el Reino Unido cuando se aplica el GDPR fuera de sus fronteras.

El representante mencionado aquí es una persona designada por escrito por el controlador o el procesador, que actúa en nombre del controlador o procesador en relación con sus obligaciones bajo el GDPR.

No todas las empresas que operan dentro de la UE están obligadas a designar un representante. Las empresas exentas de esta obligación son las siguientes (Artículo 27 del GDPR):

  • Empresas cuyas actividades sujetas al GDPR no son ocasionales y que no incluyen el procesamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas penales y delitos, y donde la naturaleza, el alcance, el contexto y los propósitos del procesamiento hacen que el riesgo para los derechos y libertades de las personas físicas sea bajo.
  • Empresas que no son autoridades públicas u organismos públicos.

Referencia: Comisión de Protección de Información Personal | ‘Traducción provisional al japonés del Reglamento General de Protección de Datos (GDPR)[ja]

Inclusión en la política de privacidad

Las empresas sujetas al GDPR deben incluir en su política de privacidad la designación de un representante.

Sanciones por no designar un representante

Disposiciones de sanción

Es importante tener en cuenta que si una empresa se encuentra dentro del ámbito de aplicación del GDPR y no designa un representante, se expone a sanciones. Las multas pueden ascender hasta un máximo de 1,000 euros o el 2% de la facturación global anual de la empresa, aplicándose el monto que resulte mayor (Artículo 84, apartado 4 del GDPR).

Tareas Requeridas de un Representante

Mujer representante

Cuando se aplica el ámbito del GDPR, es fundamental designar un representante. Pero, ¿qué tareas se le exigen a este representante? A continuación, explicaremos en detalle las responsabilidades de un representante.

Gestión de Registros del Artículo 30

Los administradores o procesadores que establecen un representante en países de la UE deben compartir sus registros de procesamiento con el representante. Además, se espera que el representante almacene estos registros de la misma manera que lo haría el administrador o procesador (Artículo 30 del GDPR japonés).

Los contenidos que deben registrarse incluyen los siguientes:

  • Nombres y contactos del administrador, DPO (Oficial de Protección de Datos) y otros.
  • Los propósitos del procesamiento.
  • Las categorías de los sujetos de datos y los tipos de datos que se manejan.
  • El período de almacenamiento.
  • El momento de la eliminación.

El sujeto de datos se refiere a una persona natural identificada o identificable, es decir, la persona a la que se relacionan los datos personales.

En caso de que una autoridad de supervisión lo solicite, estos registros de procesamiento deben estar disponibles para su uso.

Atención a Consultas de Sujetos de Datos o Autoridades de Supervisión

Cuando hay consultas de sujetos de datos o de la autoridad de supervisión, se espera que el representante actúe en lugar del administrador o procesador para responder a los sujetos de datos o a la autoridad de supervisión (Artículo 27(3) del GDPR japonés). Por ejemplo, si un sujeto de datos hace una solicitud, el administrador debe proporcionar la información dentro de un mes (Artículo 12(3) del GDPR japonés). Además, el representante debe cooperar con la autoridad de supervisión y responder a sus solicitudes (Artículo 31 del GDPR japonés).

Preguntas y Respuestas sobre la Aplicación del GDPR

FAQ

A continuación, responderemos a algunas de las preguntas más frecuentes relacionadas con la aplicación del Reglamento General de Protección de Datos (GDPR por sus siglas en inglés).

¿Es necesario cumplir con el GDPR si no se planea expandirse internacionalmente?

En principio, si no se tiene previsto expandirse internacionalmente, no es necesario cumplir con el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés). Sin embargo, incluso si no se realiza una expansión internacional, es importante prestar atención si existe la posibilidad de obtener datos de individuos dentro de la Unión Europea (UE).

Por ejemplo, se pueden considerar situaciones como las siguientes:

  • Operar un sitio de comercio electrónico y recibir consultas o pedidos de individuos dentro de la UE.
  • Obtener identificadores en línea de individuos dentro de la UE, como direcciones IP o cookies, a través de la navegación en el sitio.
  • Adquirir direcciones de correo electrónico al responder a consultas de individuos dentro de la UE.

Incluso si se obtienen datos personales de individuos dentro de la UE sin intención, no se está obligado a cumplir con el GDPR si no se cae dentro del ámbito geográfico de aplicación. No obstante, es importante recordar que es necesario cumplir con el GDPR si se tiene una base en la UE o, incluso sin tenerla, si se cumple con alguna de las siguientes dos condiciones:

  1. Si se ofrece bienes o servicios a individuos dentro de la UE.
  2. Si se monitoriza el comportamiento de individuos dentro de la UE.

¿Qué medidas son necesarias al lanzar un sitio de comercio electrónico transfronterizo que incluye a la UE?

Al lanzar un sitio de comercio electrónico transfronterizo que incluye a la UE, existe la posibilidad de adquirir información personal dentro de la UE. La información que se puede obtener incluye:

  • Nombre
  • Dirección de correo electrónico
  • Dirección postal
  • Información de tarjeta de crédito
  • Información de compras
  • Datos de ubicación
  • Dirección IP y Cookie ID

Si se adquiere esta información, se considera datos personales según lo establecido por el GDPR, por lo que debe tratarse de acuerdo con las normas del GDPR.

Lo primero sería revisar y actualizar la política de privacidad y el aviso de privacidad para cumplir con el GDPR.
Artículo relacionado: ¡Explicamos los puntos clave para crear una política de privacidad compatible con el GDPR!

Además, siga los siguientes pasos:

  1. Establecer una política de cookies y obtener el consentimiento para el uso de cookies de los visitantes que acceden al sitio de comercio electrónico por primera vez
  2. Obtener el consentimiento para el “tratamiento de datos personales” cuando se adquiera información personal
  3. Implementar medidas de seguridad para proteger los datos personales y prevenir fugas
  4. Designar un representante

Además, revise las reglas internas según sea necesario y cree manuales para cumplir con el GDPR o revise el contenido de los contratos con proveedores externos.

¿En qué se diferencian el GDPR y el UK GDPR?

El UK GDPR es el Reglamento General de Protección de Datos del Reino Unido. El UK GDPR entró en vigor el 1 de enero de 2021 (2021年1月1日) como consecuencia de la salida del Reino Unido de la Unión Europea. El GDPR es una regulación de la UE y no se aplica en el Reino Unido.

El UK GDPR se aplica en los siguientes casos:

  1. Cuando se ofrecen bienes o servicios a personas dentro del territorio británico.
  2. Cuando se monitoriza el comportamiento de personas que se encuentran en el territorio británico.

Si se desarrollan negocios tanto en el Reino Unido como en la UE, es necesario cumplir tanto con el GDPR como con el UK GDPR.

Resumen: Consulte a un experto si tiene problemas con el ámbito de aplicación del GDPR

Hombre experto

Si su empresa tiene una base en la UE o, incluso si no la tiene, ofrece productos o servicios a personas dentro de la UE o supervisa el comportamiento de las personas, entonces está sujeta al ámbito de aplicación del GDPR. Las empresas sujetas al GDPR deben designar un representante en la UE y especificar esto en su política de privacidad.

Si no designa un representante, podría enfrentarse a sanciones económicas significativas. Las empresas que operan o planean expandirse en la UE deben designar un representante para cumplir con el GDPR.

Si no está seguro de si su empresa está sujeta al ámbito de aplicación del GDPR, se recomienda consultar a un experto en derecho internacional.

Presentación de medidas por parte de nuestro despacho

El despacho de abogados Monolith cuenta con una amplia experiencia en IT, especialmente en Internet y derecho. En los últimos años, el negocio global ha crecido exponencialmente, y la necesidad de revisiones legales por parte de expertos ha aumentado significativamente. Nuestro despacho ofrece soluciones en el ámbito del derecho internacional.

Áreas de práctica de Monolith Law Office: Asuntos legales internacionales y negocios en el extranjero[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Volver arriba