Ámbito territorial del RGPD explicado para desarrolladores de apps

1. Criterio de establecimiento (art. 3.1).

2. Criterio de orientación o targeting (art. 3.2).

3. Supuesto de derecho internacional (art. 3.3).

• El «responsable del tratamiento» o «responsable» es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento.

• El «encargado del tratamiento» o «encargado» es la persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable del tratamiento.

• El responsable es quien decide por qué y para qué se recogen los datos personales.

• El encargado es quien ejecuta el tratamiento siguiendo las instrucciones del responsable.

• Un “establecimiento implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables” (Considerando 22 RGPD).

• Un establecimiento no es solo la sede social: puede ser una oficina, filial o incluso la presencia de un solo empleado o de un equipo estable en un país de la UE.

• Lo importante es la conexión entre la actividad de tratamiento y ese establecimiento, por ejemplo, decisiones sobre qué datos recolectar o cómo analizarlos.

📍 Ejemplo 1: Una empresa de EE.UU. abre una oficina en Madrid desde la que decide qué datos recopila su app de fotos y cómo los usa (para mejorar filtros, mejorar ventas de suscripciones o analizar uso de funciones). Aunque los servidores estén en EE.UU., el tratamiento que se efectúe por el uso de la app queda bajo el RGPD porque el tratamiento de datos personales por parte de la empresa estadounidense en relación con las ventas en la UE está indisociablemente ligado a las actividades de la oficina en Madrid.

📍 Ejemplo 2 (contraste): Una empresa canadiense publica una app de juegos disponible en todo el mundo. No tiene oficinas, personal ni operaciones estables en la UE, y todas las decisiones sobre datos se toman desde Canadá. En ese caso, no existe un establecimiento en la Unión, por lo que el art. 3.1 no resulta de aplicación. Es posible que pueda dar lugar a la aplicación del criterio de orientación (art. 3.2) si la app se dirige activamente a usuarios de la Unión. De hecho, este será el siguiente punto que exploraremos.

📍 Ejemplo 3: Una empresa francesa desarrolla una app de fotografía dirigida exclusivamente a usuarios de Latinoamérica (Perú, Colombia y Chile). La app no está disponible en ningún país de la UE y todas las campañas publicitarias se centran en esos países. Aunque los datos se recojan fuera de la UE, su tratamiento (almacenamiento, análisis de uso, mantenimiento de servidores, etc.) se realiza en Francia, bajo la dirección del equipo de desarrollo allí establecido.

En este caso, el RGPD resulta de aplicación porque el tratamiento se realiza en el contexto de un establecimiento en la UE, sin importar dónde viven los usuarios. Es decir, aunque los interesados están fuera de la UE, el Reglamento protege sus datos, tal como establece el Considerando 14, según el cual, la protección del RGPD se aplica a las personas físicas independientemente de su nacionalidad o lugar de residencia.

• La app o web usa idiomas o monedas de la UE (ofrece precios en euros o soporte en español, francés o alemán).

• Se realizan envíos a países de la UE o se aceptan pedidos desde países de la UE.

• Se mencionan en reseñas o campañas a clientes o usuarios con domicilio en algún Estado miembro.

• Se realizan campañas publicitarias o SEO específicas para usuarios de la UE, por ejemplo, anuncios en Facebook segmentados por país de la UE.

• Se utilizan dominios o extensiones como .eu, .fr o .es

📍 Ejemplo: Una app de fitness desarrollada en EE.UU. publica su aplicación en español y francés, permite pagar en euros y hace campañas en redes sociales a España y Francia. Aunque la empresa no tenga sede en la UE, el RGPD sí aplica porque existe una clara intención de ofrecer servicios a usuarios de la Unión.

📍 Ejemplo de no aplicación del art. 3.2(a): Una app de juegos canadiense se publica en todo el mundo, pero sin campañas, idioma o soporte específico para Europa y las decisiones sobre datos se toman exclusivamente en Canadá. En este caso, aunque es accesible desde la UE, la app no activa el RGPD por ausencia de intención dirigida.

• Uso de cookies, SDKs, o identificadores para analizar la actividad dentro de la app o para la elaboración de perfiles con dichos datos.

• Geolocalización o seguimiento GPS o Wi-Fi.

• Publicidad personalizada o analítica de comportamiento (por ejemplo, Firebase Analytics, Meta Ads, etc.).

• Seguimiento mediante wearables o dispositivos conectados (IoT).

• Monitorización de salud, sueño, alimentación o deporte.

📍 Ejemplo 1 – Monitorización digital (app de meditación): Una empresa de EE.UU. desarrolla una app de meditación gratuita que recopila datos de uso y ubicación para personalizar recomendaciones y mostrar anuncios según la actividad del usuario. Aunque no tenga sede en la UE, ni cobre por el servicio, está observando el comportamiento de usuarios en Europa, por lo que el RGPD aplica (art. 3.2.b).

📍 Ejemplo 2 – Monitorización física y digital (colchón inteligente): Una empresa tecnológica estadounidense fabrica un colchón inteligente con sensores e inteligencia artificial capaz de analizar los patrones de sueño del usuario y ajustar automáticamente la temperatura o la firmeza para optimizar el descanso.

La empresa comercializa el producto también en la Unión Europea, con envíos a varios países y con posibilidad de pago en euros.

Además, ofrece una aplicación móvil disponible en varios países de la UE, que permite configurar su colchón, revisar registros del sueño, detectar ronquidos y monitorizar indicadores de salud como la frecuencia cardíaca.

Para ofrecer estas funciones, la app recoge y analiza datos de salud, comportamiento, geolocalización e identificadores del dispositivo con fines de personalización y mejora del servicio.

Aunque la empresa no tenga un establecimiento en la UE, al tratar datos de salud y comportamiento de usuarios de la Unión está realizando un seguimiento dentro de la UE, por lo que el RGPD aplica (art. 3.2.b).

📍 Ejemplo: Una aplicación móvil del Consulado de España en Venezuela recopila datos personales de ciudadanos que solicitan citas o gestiones consulares.

Aunque el consulado se encuentra fuera del territorio de la Unión, el tratamiento está sujeto al RGPD, ya que aplica la legislación de un Estado miembro en virtud de Derecho internacional público.

En otras palabras, los usuarios pueden estar físicamente en un país tercero, pero el tratamiento sigue regulado por el RGPD.

• Si el art. 3 aplica significa que las disposiciones del RGPD rigen plenamente sobre las operaciones de tratamiento de datos personales.

• Un mismo desarrollador puede tener unas operaciones de tratamiento bajo el RGPD y otras no. Se analiza caso por caso.

• Si no estás establecido en la Unión, pero estás sujeto al RGPD por el art. 3.2 debes designar por escrito un representante en la UE (Considerando 80).

Este representante actuará en tu nombre con respecto a las obligaciones que te incumben en virtud del RGPD (ver exenciones art. 27.2 RGPD).

• Cumplir el art. 3 no evita tener que respetar además las normas de transferencia internacional de datos (Cap. V RGPD).

• Publicar tu app con campañas de marketing específicas o segmentadas hacia usuarios de la UE es suficiente para activar la aplicación del RGPD.

• Usar SDKs o herramientas de analítica que monitorizan el comportamiento de usuarios de la UE (por ejemplo, analítica, publicidad o seguimiento de eventos) te coloca dentro de su ámbito territorial de aplicación..

• Si tienes equipo en la UE que decide sobre los datos de la app, no importa dónde proceses los datos: estarás dentro del ámbito del RGPD igualmente.

• El RGPD no se aplica automáticamente a toda tu empresa por defecto. Se analiza operación por operación en función del contexto del tratamiento.