¿A quién se aplica el Reglamento de Protección de Datos?

21 de enero de 2025

El Reglamento General de Protección de Datos (RGPD) es una normativa europea que afecta a millones de personas y organizaciones en todo el mundo. Entró en vigor en 2018 y desde entonces ha transformado la forma en que se tratan los datos personales.

Pero una de las preguntas más frecuentes es: ¿a quién se aplica el RGPD? ¿Solo a las grandes empresas? ¿También a autónomos, asociaciones o particulares? ¿Y si mi empresa está fuera de la Unión Europea?

En este artículo resolvemos todas esas dudas y te explicamos de forma clara quiénes están obligados a cumplir el RGPD y en qué situaciones se aplica.

¿Qué es el RGPD y por qué es tan importante?

El RGPD (Reglamento UE 2016/679) es la normativa que regula el tratamiento de datos personales de personas físicas dentro del ámbito de la Unión Europea. Su objetivo principal es garantizar que la información personal se trate de forma segura, legal y transparente, respetando los derechos de los ciudadanos.

Se aplica a cualquier organización que recopile, almacene, procese o utilice datos personales, como nombres, correos electrónicos, teléfonos, direcciones, datos bancarios, información de salud, etc.

El RGPD no solo se aplica dentro de la UE. También afecta a empresas fuera de Europa si ofrecen bienes o servicios a ciudadanos europeos o monitorizan su comportamiento online.

¿A quién se aplica el Reglamento de Protección de Datos?

El RGPD se aplica a todas las personas físicas o jurídicas, públicas o privadas, que realicen un tratamiento de datos personales en los siguientes casos:

• Si el tratamiento se realiza en el contexto de las actividades de un establecimiento en la Unión Europea, independientemente de si el tratamiento tiene lugar o no dentro de la UE.
• Si la persona cuyos datos se tratan reside en la UE, y los datos son tratados por un responsable o encargado fuera de la Unión Europea.

En otras palabras, el RGPD se aplica en función de:

• La ubicación del responsable o del encargado del tratamiento.
• La ubicación del interesado cuyos datos se tratan.
• La naturaleza de los servicios que se ofrecen.

¿A quién se aplica el RGPD en la práctica?

Estos son los principales sujetos obligados a cumplir el RGPD:

1. Empresas y autónomos que tratan datos personales

Cualquier empresa, pyme o autónomo que recopile o gestione datos de clientes, empleados, proveedores, etc., debe cumplir con el RGPD.

Ejemplos:

• Una tienda online que recopila datos de envío y pago.
• Un gabinete de psicología que guarda historiales clínicos.
• Un taller mecánico que anota datos del cliente para presupuestos.

2. Administraciones públicas

Los organismos y entidades del sector público también están obligados a cumplir el RGPD, como ayuntamientos, centros educativos, hospitales públicos, universidades, etc.

3. Asociaciones, fundaciones y ONGs

Estas entidades también manejan datos personales de socios, voluntarios, beneficiarios, etc., y por tanto deben cumplir con el RGPD.

4. Particulares que tratan datos con fines profesionales

El RGPD no se aplica al uso personal o doméstico de datos (por ejemplo, una agenda privada), pero sí cuando un particular trata datos en el marco de una actividad económica, aunque no esté formalmente constituido como empresa.

5. Empresas extranjeras que ofrecen servicios o productos a personas de la UE

Si una empresa está fuera de la Unión Europea, pero ofrece servicios o productos a ciudadanos europeos, también tiene que cumplir con el RGPD.

Ejemplo: una web estadounidense que vende cursos online a usuarios en España.

¿A quién no se aplica el RGPD?

Existen algunas excepciones en las que el RGPD no aplica:

• Personas físicas en el ejercicio de actividades exclusivamente personales o domésticas (como hacer una lista de invitados a una fiesta).
• Fallecidos: el RGPD solo protege datos de personas vivas (aunque la LOPDGDD española regula el acceso a datos de fallecidos por parte de herederos).
• Datos totalmente anonimizados, es decir, aquellos que no pueden vincularse de ninguna forma a una persona identificada o identificable.

¿Qué implica estar obligado a cumplir el RGPD?

Si estás dentro del ámbito de aplicación del RGPD, debes cumplir con una serie de principios y obligaciones:

• Informar correctamente a los interesados (cláusulas informativas y políticas de privacidad).
• Contar con una base legal para el tratamiento (consentimiento, contrato, obligación legal, etc.).
• Garantizar los derechos de los interesados (acceso, rectificación, supresión, oposición, etc.).
• Aplicar medidas de seguridad adecuadas para proteger los datos.
• Registrar las actividades de tratamiento.
• Firmar contratos con proveedores que accedan a datos (encargados del tratamiento).
• Notificar brechas de seguridad a la AEPD cuando sea necesario.
• Designar un Delegado de Protección de Datos (DPD) en ciertos casos.

¿Qué pasa si incumplo el RGPD?

El incumplimiento del RGPD puede dar lugar a:

• Sanciones económicas de hasta 20 millones de euros o el 4 % del volumen de negocio anual global.
• Daños reputacionales y pérdida de confianza de clientes.
• Reclamaciones por parte de usuarios o exclientes.
• Investigaciones y requerimientos por parte de la Agencia Española de Protección de Datos (AEPD).

En resumen, el Reglamento General de Protección de Datos se aplica a todas las organizaciones, empresas y personas que traten datos personales en el contexto de actividades económicas o profesionales, especialmente si afectan a ciudadanos de la UE.

Si tienes una empresa, prestas servicios, gestionas bases de datos o simplemente tratas datos personales con fines no domésticos, es muy probable que el RGPD te afecte directamente.

Si tienes dudas sobre cómo cumplir con la normativa, lo más recomendable es contar con la ayuda de abogados expertos en protección de datos en Granada, que puedan analizar tu caso, ayudarte a implementar las medidas necesarias y evitar sanciones o reclamaciones.