Quem pode exercer os direitos do titular dos dados? Contra quem? Este artigo fornece uma breve visão geral do escopo geográfico de aplicação do RGPD.

RGPD: Âmbito de aplicação territorial

O que é o Regulamento Geral sobre a Proteção de Dados (RGPD)?

O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho sobre a Proteção de Dados (RGPD) ou, em inglês, GDPR, é um regulamento do direito europeu e entrou em vigor no ano de 2016. Porém, devido ao período de transição de 2 anos, o RGPD foi implementado em 25 de maio de 2018 com aplicação geral e imediata em todos os Estados-membros da União Europeia (UE). Ou seja, sem a necessidade de implementação através das leis nacionais dos Países-membros da UE.

O RGPD prima pela harmonização e uniformização dos padrões de proteção de dados entre os países-membros da UE. Além disso, permite que cada qual adeque e modifique determinadas regras do RGPD, podendo concretizá-las de acordo com suas leis nacionais vigentes, através das chamadas “cláusulas abertas”.

Âmbito de aplicação territorial do RGPD

O âmbito de aplicação territorial do RGPD está regulamentado no artigo 3 do RGPD e tem efeitos territoriais e extraterritoriais. Os estabelecimentos que se encontrem tanto dentro ou fora do território europeu e realizem o tratamento de dados pessoais devem cumprir regras uniformizadas sobre proteção de dados. A regulamentação do escopo geográfico do RGDP se dá da seguinte forma:

Princípio do estabelecimento (§ 1)

O tratamento de dados pessoais é realizado pelas atividades de uma sucursal do responsável pelo tratamento ou do subcontratante na União. Por exemplo, aplica-se o RGPD quando uma empresa fora da Europa possui uma filial na União Europeia e processa dados. O estabelecimento é uma instalação fixa que realiza uma atividade efetiva e real. Não basta apenas ter um endereço para correspondências ou simplesmente que o site da empresa provenha de um servidor de fora da UE. A forma jurídica do estabelecimento é irrelevante.

Também se inclui o tratamento de dados pessoais de titulares de dados que não estejam na UE (países terceiros). Isso significa que o RGPD também é aplicável, caso o cliente resida fora da União (e possivelmente não possua quaisquer relações com a UE) e seus dados sejam processados por uma filial que se encontra na União.

Princípio da localização do mercado - Proteção para processamento de dados realizados fora da UE (§ 2)

A aplicação do RGPD se estende aos responsáveis e a seus subcontratantes não integrantes dos países-membros da União (países terceiros). As empresas, nessa situação, devem nomear um representante na UE. O RGPD será aplicado, caso uma organização sediada fora da Europa processe intencionalmente os dados pessoais de titulares que estejam localizados na UE e esse processamento estiver relacionado à oferta de bens ou serviços (independentemente de serem pagos ou gratuitos, como por exemplo, modelo de negócios financiado por anúncios (artigo 3, § 2 a)). Entretanto, é necessário que a oferta tenha se dado de forma “clara e proposital”, o que significa que não basta que o site da companhia esteja traduzido em uma determinada língua. O RGPD também não é aplicável, por exemplo, se os dados forem transmitidos ou processados por um roteador na União sem que haja conhecimento prévio (mero tráfego de dados).

A cidadania do titular dos dados não deve ser levada em consideração, mas sim, o local de sua permanência. O tratamento de dados pessoais é excluído se a pessoa (cidadãos da UE ou pessoas de um país terceiro) não tiver residência ou estadia na UE. Dessa forma, também são protegidos os cidadãos nacionais de países terceiros que permanecem na União de forma permanente ou temporária durante o tratamento dos dados. Por exemplo, se um cidadão europeu estiver fora da União por qualquer motivo e seus dados pessoais estiverem sendo processados por um controlador ou subcontratante do responsável de um país terceiro no momento do processamento dos dados, o GDPR não será aplicado.

Além disso, aplica-se também o RGPD aos casos de monitoramento do comportamento do titular dos dados que se encontre na UE, por meio de um estabelecimento do responsável ou subcontratante que não estejam situados na Europa. Como exemplo, aplica-se aos casos de controle de atividades da Internet, tais como utilização de Cookies, Impressões digitais do navegador, Plug-Ins sociais, Perfilhamento (Profiling), entre outros.

Princípio da aplicação devido a disposições de direito público internacional (§ 3)

o RGPD também é aplicável em tratamentos de dados realizados por estabelecimentos do responsável, que, apesar de estarem situados fora do EU, são submetidos às leis nacionais dos países-membros da União por força de regras estabelecidas pelo direito internacional público, especialmente consulados, representações diplomáticas, navios, aviões , tratamento de dados realizados por diplomatas etc.

A princípio, não é possível que o âmbito de aplicação territorial do RGPD seja alterado por disposição contratual, a menos que o país-membro da UE tenha essa possibilidade expressa no RGPD e, assim, puder realizar essa alteração por meio de sua própria lei nacional. Nesse caso, será aplicada a lei nacional do país.


Fontes:

  • Paal/Pauly/Ernst DS-GVO Art. 3 Rn 1-21.
  • Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht 1. Auflage 2019 | DSGVO Art. 3 Rn. 1-70.
escrito por Ani Karini Muniz Schiebert (Humboldt Law Clinic Internetrecht, Berlin)
em
licenciado sob: Licença Creative Commons Atribuição 4.0 Internacional

Foto da capa adaptada para: “aerial photography of buildings” por Mohit (licença Unsplash)