Desde su entrada en vigor en 2018, una de las preguntas más formuladas sobre el RGPD ha sido: ¿se aplica fuera de la Unión Europea? Y, más concretamente: ¿se aplica a las empresas estadounidenses?
En este artículo, responderemos a esta pregunta y explicaremos qué deben hacer las empresas estadounidenses para cumplir la normativa (y evitar las multas).
En la mayoría de los casos, sí.
El RGPD tiene un alcance extraterritorial, lo que significa que también puede aplicarse fuera de la Unión Europea. El reglamento está pensado para proteger a los usuarios europeos, por lo que puede extenderse también a las empresas extranjeras.
Para ser más precisos, para que el RGPD se aplique a sus empresas estadounidenses, debe cumplir al menos uno de los siguientes requisitos:
He aquí un ejemplo práctico, extraído de las directrices de la Junta Europea de Protección de Datos .:
Una empresa emergente establecida en Estados Unidos, sin presencia comercial ni establecimiento en la UE, ofrece una aplicación de cartografía urbana para turistas. La aplicación procesa los datos personales relativos a la ubicación de los clientes que utilizan la aplicación, con el fin de ofrecer publicidad dirigida a lugares de visita, restaurantes, bares y hoteles. La aplicación está disponible para los turistas mientras visitan Nueva York, San Francisco, Toronto, París y Roma. La empresa estadounidense se dirige específicamente a personas de la Unión (concretamente de París y Roma) ofreciéndoles sus servicios cuando están en la Unión. El tratamiento de los datos personales de los interesados establecidos en la UE, junto con la oferta del servicio, entra en el ámbito de aplicación del RGPD. Además, al tratar los datos de localización de los interesados para ofrecerles publicidad dirigida, las actividades de tratamiento también están relacionadas con el seguimiento del comportamiento de las personas en la Unión. Por lo tanto, el tratamiento de la puesta en marcha en Estados Unidos también entra en el ámbito de aplicación del RGPD.
Para una explicación más completa, vea este vídeo.
Por lo tanto, es un error pensar que, al ser el RGPD una normativa europea, no afecta en absoluto a las empresas estadounidenses.
Como dijimos anteriormente, el ámbito de aplicación extraterritorial puede permitir que las autoridades europeas de protección de datos apliquen el RGPD fuera de la Unión Europea.
La aplicación de la ley puede llevarse a cabo de diferentes maneras.
La más “aterradora” es, sin duda, las multas: pueden alcanzar hasta 20 millones de euros (20 millones de euros) o el 4% del volumen de negocios anual a nivel mundial (lo que sea mayor). Pero quizá sean igualmente preocupantes las demás sanciones posibles: amonestaciones oficiales (para las primeras infracciones), auditorías periódicas de protección de datos y daños y perjuicios por responsabilidad civil.
Para que su empresa estadounidense cumpla con el RGPD, estos son algunos de los pasos a seguir:
En iubenda, adoptamos un enfoque integral del cumplimiento de la ley de datos. Construimos soluciones teniendo en cuenta las normativas más estrictas, ofreciéndole todas las opciones de personalización que necesite. De este modo, le ayudaremos a cumplir con sus obligaciones legales, a reducir el riesgo de litigios y a proteger a sus clientes, generando confianza y credibilidad.
Puede echar un vistazo a nuestro conjunto de soluciones para el cumplimiento del RGPD aquí.