| Informe | 2009-0454 |
| Enlace | 📋 |
El informe jurídico 0454/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) a una compañía domiciliada en Nueva York que opera una página web en España. La compañía permite a los usuarios registrarse para descargar diseños e imágenes, y trata una variedad de datos personales, incluyendo logs de servidores, direcciones IP, cookies, y datos de redes sociales.
El artículo 2.1 de la LOPD establece que esta ley se aplica cuando el tratamiento de datos se realiza en territorio español, cuando la legislación española es aplicable por normas de Derecho Internacional Público, o cuando el responsable del tratamiento no está establecido en la Unión Europea pero utiliza medios situados en España, salvo que estos medios se utilicen únicamente con fines de tránsito.
El artículo 3.1 del Reglamento de desarrollo de la LOPD, aprobado por el Real Decreto 1720/2007, refuerza esta disposición, indicando que si el responsable del tratamiento no está establecido en la UE y utiliza medios en España, debe designar un representante en territorio español.
La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, establece que los Estados miembros deben aplicar sus disposiciones nacionales a cualquier tratamiento de datos personales cuando el responsable del tratamiento no esté establecido en la UE pero utilice medios situados en su territorio, salvo que estos medios se utilicen solo para tránsito.
El Grupo de Trabajo del artículo 29 de la UE, en su documento de trabajo de 2002, aclara que los «medios» incluyen cualquier conjunto de instrumentos o aparatos utilizados para el tratamiento de datos, como servidores y terminales. La Directiva no define específicamente «medios», pero se entiende que incluye cualquier herramienta utilizada para el tratamiento de datos, ya sea automatizada o no.
El documento del Grupo de Trabajo también especifica que no toda interacción entre un usuario de la UE y un sitio web fuera de la UE implica la aplicación de la legislación europea sobre protección de datos. Para que se aplique, el responsable del tratamiento debe tener una intención particular y ser activo en el tratamiento de datos personales. Esto implica que el responsable debe determinar qué datos se recogen, almacenan, transfieren, etc., y con qué objetivo.
En el caso planteado, la compañía utiliza cookies y otras herramientas para recoger y tratar datos personales, lo que implica el uso de medios (ordenadores de los usuarios) situados en territorio español. Por lo tanto, la normativa española de protección de datos es aplicable a la actividad de la compañía. Además, la empresa debe designar un representante establecido en España, conforme al artículo 3.1.c del Reglamento de desarrollo de la LOPD.
En resumen, el informe concluye que la LOPD es aplicable a la actividad de la compañía estadounidense que opera en España, debido al uso de medios situados en territorio español para el tratamiento de datos personales. La empresa debe cumplir con la normativa española y designar un representante en España.