L'RGPD distingeix entre els àmbits d'aplicació material i territorial.
Àmbit material
L'RGPD s'aplica a tots els tractaments totalment o parcialment automatitzats de dades i també als tractaments no automatitzats de dades contingudes o destinades a ser incloses en un fitxer. No obstant això, en els nostres dies els tractaments que tenen un major impacte sobre els drets dels ciutadans són els que es fan per mitjans automàtics, mentre que els totalment manuals són relativament estranys.
L'RGPD no distingeix entre tractaments duits a terme per empreses privades o per autoritats o organismes públics pel que fa a l'aplicabilitat, encara que sí que conté algunes disposicions específiques per a aquests darrers.
Des d'un altre punt de vista, l'RGPD, en el considerant 27, assenyala expressament que no serà aplicable a les persones difuntes, sens perjudici que els estats membres puguin establir normes aplicables als tractaments de les seves dades personals.
Queden exclosos de l'àmbit d'aplicació de l'RGPD els tractaments següents:
-
En l'exercici d'una activitat no compresa en l'àmbit d'aplicació del dret de la Unió. Un exemple d'aquest tipus de tractaments seria els tractaments de dades relacionades amb la seguretat nacional.
-
Els que duen a terme els estats membres, relacionats amb la política exterior i de seguretat comuna de la UE.
-
Els que du a terme una persona física en l'exercici d'activitats exclusivament personals o domèstiques.
Aquesta excepció es refereix als tractaments de dades que les persones fan en el marc de la seva vida personal i familiar i amb fins que podrien descriure's com a particulars. Exemples d'aquest tipus de tractaments serien les agendes personals o l'ús d'algun servei d'emmagatzematge de fotografies en línia, sempre que aquest ús no impliqui l'accés públic a les fotografies emmagatzemades.
-
Per part de les autoritats competents amb fins de prevenció, investigació, detecció o enjudiciament d'infraccions penals, o d'execució de sancions penals, inclosa la de protecció davant amenaces a la seguretat pública i la seva prevenció.
Àmbit territorial
L'RGPD manté un dels criteris usats per la Directiva per establir el seu àmbit territorial d'aplicació.
Es tracta del criteri de l'establiment a la UE.
Segons l'article 3.1, l'RGPD serà aplicable al tractament de dades personals en el context de les activitats d'un establiment del responsable o de l'encarregat a la Unió, independentment que el tractament tengui lloc a la Unió o no. El Reglament és aplicable sempre que existeixi un establiment a la Unió, independentment del país en què estigui localitzat aquest establiment.
Juntament amb el criteri territorial, l'RGPD conté una novetat important, que substitueix el criteri d'ús de mitjans situats en un Estat membre contingut en la Directiva.
El Reglament estableix la seva aplicabilitat a responsables o encarregats que no estan situats en territori de la Unió però que fan activitats de tractament relacionades amb:
-
l'oferta de béns o serveis a aquests interessats a la Unió, independentment de si se'ls en requereix el pagament, o
-
el control del seu comportament, en la mesura en què tengui lloc a la Unió, de dades de persones en la Unió.
Amb aquesta disposició, l'RGPD pretén assegurar la protecció que ofereix a les dades de ciutadans a la Unió sigui quin sigui el lloc des del qual es dugui a terme el tractament d'aquestes dades. Una previsió d'aquest tipus és apropiada a les característiques dels tractaments de dades en el món actual. Avui no és necessària la presència física en un lloc per recollir o processar les dades de les persones. Al món d'Internet, aquestes operacions poden fer-se a distància i, en la pràctica, molts serveis de la societat de la informació estan organitzats de manera que s'ofereixen arreu del món des de la seu central de la companyia.
En aquesta matèria és presumible que siguin aplicables les interpretacions del Tribunal de Justícia de la UE sobre la llei aplicable en contractes transfronterers. En diverses sentències, el Tribunal ha identificat diversos elements com a indicis per establir si l'oferta s'adreça a un país concret. Entre aquests elements estaria l'idioma en què es presenta la pàgina web, la moneda en què es poden retribuir, si escau, els productes i serveis oferts o el fet que es proporcioni un telèfon de contacte corresponent al país en qüestió. En un altre terreny, en la Sentència Google Spain ja esmentada el Tribunal va concedir importància al fet que la publicitat que el motor de cerca oferia a Espanya estava dirigida a usuaris espanyols.
El Reglament demana als responsables i encarregats que es trobin en aquesta situació que designin un representant a la Unió, que serà el punt de contacte amb interessats i autoritats de supervisió i al qual, sens perjudici de les accions contra els representats, podran adreçar-se les mesures correctives que preveu l'RGPD en casos d'incompliment.
Cal entendre que la jurisprudència del TJUE sobre l'àmbit d'aplicació de la Directiva segueix sent vàlida per a l'RGPD a l'hora d'interpretar alguns altres dels conceptes o expressions que utilitza l'article 3.1. En particular, sembla que el Reglament confirma la posició del TJUE en el cas Google Spain. Sentència «Google Spain i Google Inc. contra l'Agència Espanyola de Protecció de Dades (AEPD) i Mario Costeja González» C-131/12.
Cal entendre que la jurisprudència del TJUE sobre l'àmbit d'aplicació de la Directiva segueix sent vàlida per a l'RGPD a l'hora d'interpretar alguns altres dels conceptes o expressions que utilitza l'article 3.1. En particular, sembla que el Reglament confirma la posició del TJUE en el cas Google Spain. Sentència «Google Spain i Google Inc. contra l'Agència Espanyola de Protecció de Dades (AEPD) i Mario Costeja González» C-131/12.