Iubenda logo
Genera tus documentos

Documentación

Tabla de contenidos

¿Se aplica el RGPD a las empresas estadounidenses?

Desde su entrada en vigor en 2018, una de las preguntas más formuladas sobre el RGPD ha sido: ¿se aplica fuera de la Unión Europea? Y, más concretamente: ¿se aplica a las empresas estadounidenses?

En este artículo, responderemos a esta pregunta y explicaremos qué deben hacer las empresas estadounidenses para cumplir la normativa (y evitar las multas).

Does the GDPR apply to US companies?

¿Se aplica el RGPD a los Estados Unidos?

En la mayoría de los casos, sí.

El RGPD tiene un alcance extraterritorial, lo que significa que también puede aplicarse fuera de la Unión Europea. El reglamento está pensado para proteger a los usuarios europeos, por lo que puede extenderse también a las empresas extranjeras.

Para ser más precisos, para que el RGPD se aplique a sus empresas estadounidenses, debe cumplir al menos uno de los siguientes requisitos:

  1. Su empresa tiene sede en la UE (tenga en cuenta que esto se aplica incluso en el caso de una sucursal de la UE);
  2. no tiene sede en la UE, pero ofrece bienes o servicios (incluso de forma gratuita) a usuarios con sede en la UE;
  3. no tiene sede en la UE, pero controla el comportamiento de los usuarios con sede en la UE.

He aquí un ejemplo práctico, extraído de las directrices de la Junta Europea de Protección de Datos .:

Una empresa emergente establecida en Estados Unidos, sin presencia comercial ni establecimiento en la UE, ofrece una aplicación de cartografía urbana para turistas. La aplicación procesa los datos personales relativos a la ubicación de los clientes que utilizan la aplicación, con el fin de ofrecer publicidad dirigida a lugares de visita, restaurantes, bares y hoteles. La aplicación está disponible para los turistas mientras visitan Nueva York, San Francisco, Toronto, París y Roma. La empresa estadounidense se dirige específicamente a personas de la Unión (concretamente de París y Roma) ofreciéndoles sus servicios cuando están en la Unión. El tratamiento de los datos personales de los interesados establecidos en la UE, junto con la oferta del servicio, entra en el ámbito de aplicación del RGPD. Además, al tratar los datos de localización de los interesados para ofrecerles publicidad dirigida, las actividades de tratamiento también están relacionadas con el seguimiento del comportamiento de las personas en la Unión. Por lo tanto, el tratamiento de la puesta en marcha en Estados Unidos también entra en el ámbito de aplicación del RGPD.

Para una explicación más completa, vea este vídeo.

¿Cómo puede afectar el RGPD a las empresas estadounidenses?

Por lo tanto, es un error pensar que, al ser el RGPD una normativa europea, no afecta en absoluto a las empresas estadounidenses.

Como dijimos anteriormente, el ámbito de aplicación extraterritorial puede permitir que las autoridades europeas de protección de datos apliquen el RGPD fuera de la Unión Europea.

La aplicación de la ley puede llevarse a cabo de diferentes maneras.

La más “aterradora” es, sin duda, las multas: pueden alcanzar hasta 20 millones de euros (20 millones de euros) o el 4% del volumen de negocios anual a nivel mundial (lo que sea mayor). Pero quizá sean igualmente preocupantes las demás sanciones posibles: amonestaciones oficiales (para las primeras infracciones), auditorías periódicas de protección de datos y daños y perjuicios por responsabilidad civil.

Requisitos del RGPD para las empresas estadounidenses: cómo cumplirlos

Para que su empresa estadounidense cumpla con el RGPD, estos son algunos de los pasos a seguir:

  1. Tener una base legal: el RGPD exige que tenga al menos una base legal para el tratamiento de los datos del usuario.
  2. Adquirir un consentimiento verificable: Mientras que las legislaciones estadounidenses suelen permitir la recogida y el tratamiento de datos personales sin el consentimiento del usuario, el RGPD exige que se recoja un consentimiento “libremente dado, específico, informado y explícito” mediante una acción clara de “opt-in”.
  3. Mantenga registros claros relacionados con el consentimiento: el GDPR también otorga a los usuarios un derecho específico a retirar el consentimiento y, por lo tanto, debe ser tan fácil retirar el consentimiento como darlo. Debido a que el consentimiento bajo el GDPR es un tema tan importante, es vital que documentes y mantengas registros claros relacionados con el consentimiento.
  4. Nombrar a un responsable de la protección de datos (DPO): si tiene su sede fuera de la UE, es posible que siga necesitando un representante europeo para garantizar que su empresa cumple con el RGPD. Sin embargo, el nombramiento de un DPO no siempre es obligatorio, y debe cumplir requisitos específicos (puede leerlos aquí).
  5. Llevar a cabo una evaluación de impacto de la protección de datos (DPIA): cuando se cumplan determinadas condiciones, y en los casos en los que la actividad de tratamiento de datos pueda suponer un alto riesgo para los usuarios, el RGPD exige que se realice una Evaluación de Impacto sobre la Protección de Datos (EIPD).

Cómo puede ayudar iubenda a cumplir con el RGPD

En iubenda, adoptamos un enfoque integral del cumplimiento de la ley de datos. Construimos soluciones teniendo en cuenta las normativas más estrictas, ofreciéndole todas las opciones de personalización que necesite. De este modo, le ayudaremos a cumplir con sus obligaciones legales, a reducir el riesgo de litigios y a proteger a sus clientes, generando confianza y credibilidad.

Puede echar un vistazo a nuestro conjunto de soluciones para el cumplimiento del RGPD aquí.

About us

iubenda

GDPR compliance for your site, app and organization

www.iubenda.com