Hola. Hoy vamos a hablar de la aplicación material y territorial del Reglamento General de Protección de Datos. El Reglamento General de Protección de Datos se aplica cuando existe un tratamiento de datos personales relacionados con personas que sean residentes en la Unión Europea, o también cuando este tratamiento es llevado a cabo por empresas u organizaciones situadas dentro de la Unión Europea. Dentro de esta aplicación del reglamento, tenemos que hacer una diferencia entre aplicación material, que hablaba en el artículo 2, y aplicación territorial. Por lo que refiere a la aplicación material, el artículo 2 nos dice que el reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales que sean contenidos o sean destinados a ser incluidos en un fichero. Por ello, debemos diferenciar que el Reglamento General de Protección de Datos se va a aplicar cuando sea cualquier tratamiento automatizado, o bien cuando este tratamiento no sea automatizado, pero los datos personales vayan a ser incluidos, o ya sean incluidos, dentro de un fichero. Hay algunas excepciones que se ven reguladas en el artículo 2.2 y en los considerandos del Reglamento General de Protección de Datos. ¿Cuándo no se aplica el Reglamento General de Datos, aunque exista un tratamiento de datos? No se aplica a los datos de personas fallecidas, los datos de personas jurídicas, cuando se llevan a cabo tratamiento de los datos por parte de una persona física, pero que lo está haciendo en el ejercicio de actividades puramente personales o domésticas. Y luego, encontramos también las excepciones cuando este tratamiento lo hacen los Estados por temas de seguridad nacional o seguridad comunitaria, o bien, cuando nos encontramos ante las autoridades competentes y están tratando los datos con fines de una persecución criminal. Aquí tenemos dos ejemplos de cuándo aplicar. Uno aplica, por ejemplo, si una empresa con un establecimiento en la Unión Europea ofrece sus servicios como agencia de viajes, y en este contexto, está tratando datos personales de personas físicas, luego el reglamento aplica. ¿Cuándo no se aplicaría? Cuando una persona utiliza su libreta de direcciones para organizar un viaje con sus amigos. En este caso, caería debajo del paraguas de la excepción personal o doméstica. Pasamos ahora en el ámbito territorial. El ámbito territorial, regulado en el artículo 3, nos dice que el reglamento se va a aplicar al tratamiento de los datos personales, contenido en las actividades de un establecimiento del responsable o del encargado, esté situado en el territorio de la Unión Europea. Independientemente de que el tratamiento de estos datos tenga lugar en la propia Unión Europea o no, simplemente con el establecimiento dentro del territorio de la Unión, ya aplicaría el reglamento. Por otro lado, el artículo 3.2 nos dice que también se aplicará este reglamento cuando exista un tratamiento de datos personales de los interesados que residan en la Unión Europea por parte de un responsable o encargado, que no hace falta que tenga establecimiento en la Unión, siempre que estas actividades de tratamiento estén relacionadas con ofertas de bienes o servicios que se hagan a estos ciudadanos residentes en la Unión Europea cuando están en la Unión Europea, o cuando se controle su comportamiento, cuando se monitorice su comportamiento, siempre que esta monitorización tenga lugar dentro del territorio de la Unión Europea. Vamos a poner ejemplos de aplicación territorial. Una empresa con un establecimiento en la Unión Europea que ofrece, la misma empresa que hablamos antes, sus servicios de agencia de viaje, en este contexto, tratará estos datos personales de personas físicas. Da igual, sean residentes o no en la Unión Europea, será una aplicación. Otro ejemplo, podemos ver una empresa que tiene el establecimiento en Japón, pero está ofreciendo sus bienes a personas físicas residentes de la Unión Europea, que no tienen por qué comprar los bienes, simplemente con que ofrezcan estos bienes, ya aplicaría el reglamento. Y por último, podríamos poner el ejemplo de una empresa, por ejemplo, de redes sociales con sede en Estados Unidos, que controla el comportamiento de la actividad de las personas físicas que tienen residencia en la Unión Europea, cuando están usando dicha aplicación dentro de la Unión Europea, entonces, el reglamento también aplica, y es por ello que hablamos y decimos que el Reglamento General de Protección de Datos tiene extraterritorialidad, porque puede ser aplicado más allá de el territorio de la Unión Europea.
