El ámbito de aplicación del RGPD experimenta una considerable ampliación respecto a la regulación precedente en materia de tratamiento de datos personales. El nuevo marco se ve ampliado, tanto a nivel geográfico, como en cuanto a la concepción de los datos personales a proteger.
Qué organizaciones se verán afectadas y cuál será el alcance geográfico
El alcance territorial del nuevo RGPD ha experimentado un cambio notable respecto a la normativa anterior.
Por un lado, continúa aplicándose a los encargados o responsables del tratamiento de datos personales establecidos en la UE, entendiéndose como tales aquellas entidades que controlan el uso de los datos o disponen de establecimientos o equipamiento para el procesamiento de datos dentro de la UE.
Sin embargo, el alcance también se amplía a aquellos responsables no establecidos en el espacio europeo, en aquellos casos en los que el tratamiento de datos personales esté relacionado con una oferta de bienes o servicios destinados a la ciudadanía europea, o como consecuencia de la monitorización del comportamiento dentro de la UE.
Teniendo en cuenta esto, se puede deducir que la voluntad de la Comisión Europea ha sido vincular a cualquier empresa o negocio que, de cualquier manera, afecte a la ciudadanía europea.
La voluntad de la Comisión Europea con la nueva normativa de tratamiento de datos personales es vincular a cualquier empresa o negocio que, de cualquier manera, afecte a la ciudadanía europea.
Los sujetos interesados de la protección y los datos de carácter personal
Se considera datos de carácter personal a toda aquella información referente a una persona natural cuya identidad pueda ser determinada de forma directa o indirecta, ya sea por su nombre, número de identificación oficial, geo-localización o identificador online, así como cualquier dato referente a sus características físicas, psicológicas, genéticas, económicas, culturales o de identidad social.
Una especial protección en el tratamiento de datos personales de carácter sensible
Además, el reglamento establece una serie de categorías de datos, que son considerados sensibles y, por tanto, necesitan ser objeto de una protección especial.
Por este motivo se prohíbe explícitamente el tratamiento de datos personales relacionados con el origen étnico o racial, la opinión política, las creencias religiosas o filosóficas, la afiliación sindical, la información genética y los datos de identificación biométrica. Así mismo, está prohibido el tratamiento de toda aquella información relacionada con la salud, la vida sexual o la orientación sexual de los sujetos interesados.
Las únicas excepciones a esta prohibición tienen lugar cuando:
- Ha tenido lugar el consentimiento explícito por parte del sujeto interesado para el tratamiento de sus datos personales.
- El tratamiento de los datos personales es necesario para proteger intereses vitales del interesado.
- Los datos han sido revelados públicamente por el interesado.
- El tratamiento de los datos personales es realizado legítimamente por una organización sin ánimo de lucro.