rgpd en EE.UU: Cumplimiento simplificado para las empresas

Muchas empresas estadounidenses que operan en línea tienen visitantes en sus sitios web que se encuentran en Europa y otras partes del Espacio Económico Europeo (EEE).

Si usted es una de estas empresas y también realiza un seguimiento del comportamiento en línea de sus usuarios, es posible que esté sujeto al Reglamento General de Protección de Datos (rgpd).

A continuación, explico los requisitos para el cumplimiento de rgpd en EE.UU., por qué su empresa podría entrar en su ámbito legal, hablo con un experto en privacidad de fellow y ofrezco soluciones sencillas de rgpd que le ayudarán a cumplir las obligaciones empresariales necesarias.

Índice

1. ¿Se aplica a EE.UU. la página rgpd ?
2. ¿Cuáles son los rgpd para las empresas estadounidenses?
3. ¿Cómo se rgpd el rgpd en los Estados Unidos?
4. ¿Hay alguna entidad estadounidense exenta del rgpd?
5. ¿Cómo puede Termly ayudar a las empresas estadounidenses a cumplir la normativa?
6. Preguntas Frecuentes sobre el cumplimiento de rgpd en EE.UU.

¿Se aplica a EE.UU. la página rgpd ?

La respuesta corta es sí. El rgpd se aplica a los Estados Unidos de varias maneras.

Encontrará una descripción del ámbito de aplicación extraterritorial de rgpden el artículo 3 del texto.

Las empresas estadounidenses entran dentro de la jurisdicción de la rgpd como responsables del tratamiento de datos o como encargados del tratamiento de datos. En resumen, los controladores de datos son entidades que deciden cómo se utilizan los datos específicos, y los procesadores de datos son entidades que utilizan, almacenan o transfieren esos datos de alguna manera.

Si su sitio web ofrece bienes o servicios a ciudadanos de la UE o del EEE y/o recoge información personal sobre ellos, debe cumplir todos los requisitos comerciales de rgpd.

Además, la rgpd protege a los ciudadanos de EE.UU. como interesados, pero sólo cuando visitan la UE u otros países del EEE. La protección sólo se aplica mientras utilizan internet en esos territorios.

En las siguientes secciones, profundizaré en cómo se aplica la rgpd a las empresas y ciudadanos estadounidenses, entre otros.

Pero primero, es importante explorar las formas adicionales en que el cumplimiento de las leyes de privacidad puede beneficiar a su empresa.

Según Konrad Martin, CEO de Tech Advisors, "el cumplimiento de las leyes de privacidad de datos, como la rgpd, ofrece beneficios prácticos más allá de la mera adhesión legal."

"Esta normativa proporciona una hoja de ruta para salvaguardar los datos personales, permitiendo a las empresas recopilar y utilizar la información de forma eficaz pero responsable".

Martin añade: "He trabajado con clientes que al principio tenían dificultades para cumplir la normativa, pero que, gracias a planteamientos estructurados como políticas de privacidad claras y auditorías periódicas de los datos, no sólo han mejorado su seguridad, sino que han obtenido una ventaja competitiva."

¿Se aplica la rgpd a las empresas estadounidenses?

Sí, la rgpd se aplica a cualquier empresa estadounidense que procese información personal y cumpla alguno de los siguientes requisitos:

1. Proporciona bienes o servicios accesibles a los consumidores en la UE o el EEE, aunque no se requiera ninguna transacción monetaria
2. Supervisa el comportamiento de los usuarios de la UE o del EEE, lo que implica recopilar, utilizar o analizar información sobre dichos usuarios.

La rgpd no impone un umbral de tamaño o ingresos a las empresas como algunas leyes estatales de privacidad de datos de Estados Unidos, en concreto la Ley de Privacidad del Consumidor de California(CCPA) y la Ley de Protección de Datos del Consumidor de Virginia(CDPA).

En cambio, una empresa con sede en Estados Unidos de cualquier tamaño puede considerarse responsable del tratamiento de datos en virtud de la rgpd, que el artículo 4 define como:

"... la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del tratamiento de datos personales..."

En pocas palabras, un responsable del tratamiento de datos es una entidad que decide por qué y cómo se utiliza la información personal.

Alternativamente, las empresas de EE.UU. pueden considerarse encargados del tratamiento de datos, según la definición del artículo 4:

"... una persona física o jurídica, autoridad pública, agencia u otro organismo que trate datos personales por cuenta del responsable del tratamiento".

El tratamiento de datos en virtud de la rgpd se refiere a la recogida, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, revelación por transmisión, difusión o cualquier otra forma de puesta a disposición de conjuntos de datos personales.

Para aclarar cuándo se aplica la rgpd , a continuación se ofrecen algunos ejemplos hipotéticos de cómo se ven afectadas distintas empresas estadounidenses.

Ejemplo de empresa	¿Está incluido en rgpd?	¿Por qué?
#nº 1: El sitio web de comercio electrónico de una tienda de ropa de Nueva York que envía pedidos a varias grandes ciudades europeas, como París y Berlín.	✅ rgpd Se aplica	Esta empresa vende productos a consumidores de la UE y el EEE y supervisa el comportamiento de los interesados en esas regiones.
#2: Sitio web de una escritora de viajes independiente afincada en Los Ángeles que escribe en francés y acepta encargos de publicaciones de Francia.	✅ rgpd Se aplica	Esta empresa se dirige a los ciudadanos franceses y vigila su comportamiento mientras están en la UE/EEE.
#3: Una cafetería de Chicago que acepta pedidos en línea para entregas en un radio de 3 millas.	❌ rgpd No aplicable	Esta empresa no atiende ni se dirige a consumidores de la UE o del EEE y no controla el comportamiento de los consumidores de esas regiones.
#4: Web que facilita encuentros de intercambio de idiomas en Houston, Texas.	❌ rgpd No aplicable	Esta empresa se dirige a residentes en el área de Houston, no a consumidores de la UE o el EEE. Además, solo vigila el comportamiento de los consumidores de Estados Unidos.

¿Se aplica rgpd a los ciudadanos estadounidenses?

Sí, la rgpd se aplica a los ciudadanos estadounidenses que se encuentren físicamente en un país protegido de la UE o el EEE.

rgpd utiliza el término "interesados" en el artículo 3 para referirse a las personas cuyos datos se tratan, pero no menciona la ciudadanía ni la nacionalidad. Esta omisión significa que el ámbito de aplicación de rgpd no se basa en la nacionalidad, sino en la ubicación, por lo que hay que tener en cuenta dónde se encuentra el interesado cuando se procesa su información.

En la tabla siguiente, he creado ejemplos hipotéticos de cuándo la rgpd protege y cuándo no protege a los ciudadanos estadounidenses.

Ejemplo humano	¿Se puede consultar en rgpd ?	¿Por qué?
Un turista estadounidense visita Francia de vacaciones y utiliza aplicaciones de reparto de comida durante su visita.	✅ rgpd Se aplica	Esta persona se encontraba en una región protegida por rgpd en el momento en que utilizó los servicios de reparto de comida que tienen su sede en la UE.
Un hombre de Nueva York se queda en España con un permiso de trabajo de un año y se da de alta en Netflix mientras vive allí.	✅ rgpd Se aplica	Esta persona se encontraba en un país protegido por rgpd en el momento de darse de alta en Netflix, una empresa que recopila información personal de los usuarios.
Una persona de Boston visita Islandia, que está en el EEE, y sube contenido a su TikTok cuando vuelve a casa.	❌ rgpd No aplicable	Aunque los vídeos utilizados para los TikToks se grabaron en Islandia, los datos se cargan cuando el sujeto se encuentra en Estados Unidos, que no es un país protegido por rgpd.

¿Se aplica la rgpd a los ciudadanos de la UE en EE.UU.?

Ahora es cuando las cosas se ponen interesantes: debido al ámbito de aplicación basado en la localización, si un ciudadano de la UE se encuentra en EE.UU., la rgpd deja de aplicársele.

La ubicación del interesado prevalece sobre su nacionalidad a la hora de determinar la aplicabilidad de rgpd, por lo que el Reglamento no protege a los ciudadanos de la UE que viajan o viven en Estados Unidos.

Aunque la rgpd podría no ser aplicable, otras leyes de privacidad estatales de EE.UU. podrían proteger sus datos de forma similar, como por ejemplo:

• Ley de Protección de la Privacidad en Línea de California (CalOPPA)
• Ley de Protección de la Privacidad Infantil en Internet(COPPA)
• Ley de Privacidad del Consumidor de California(CCPA)
• Ley de Protección de Datos de los Consumidores de Virginia (CDPA)

¿Se aplica el rgpd al Gobierno de EE.UU.?

Sí, la rgpd se aplica al Gobierno de Estados Unidos.

Los organismos federales y estatales deben seguir las directrices del reglamento, ya que la rgpd no hace excepciones generales a los organismos gubernamentales o públicos.

Por lo tanto, si el gobierno de EE.UU. tiene como objetivo o procesa los datos personales de usuarios establecidos en la UE o el EEE, se espera que cumpla la rgpd, al igual que ocurre con todos los organismos públicos de fuera de la UE o el EEE.

No obstante, el artículo 2 exime a las administraciones públicas del cumplimiento de determinadas disposiciones del Reglamento siempre que el tratamiento se efectúe por razones de interés público, como la prevención, investigación y persecución de delitos o amenazas para la seguridad pública.

Pero, como EE.UU. no es un Estado miembro de la UE, estas exenciones no son aplicables. En otras palabras, el Gobierno de EE.UU. debe cumplir todas las obligaciones establecidas en rgpd.

¿Cuáles son los rgpd para las empresas estadounidenses?

Ahora que sabe que su empresa estadounidense entra dentro de la jurisdicción de rgpd, puede que se pregunte cómo cumplir todos sus requisitos.

Permítanme desglosarlo en siete sencillos pasos.

Paso 1: Realice una auditoría de privacidad

Para cumplir adecuadamente todos los requisitos de rgpd , recomiendo realizar una auditoría de privacidad para determinar cada dato personal que su sitio web recopila de los usuarios.

• Lleve un registro de los tipos específicos de datos recogidos, como direcciones IP, nombres, direcciones de correo electrónico, etc.
• No olvide incluir las cookies y los rastreadores, que puede encontrar ejecutando su sitio a través de un sitio web escáner de cookies.
• Tenga en cuenta cualquier categoría especial de información que pueda recopilar, como datos personales sensibles.

Aunque este paso no es un requisito legal en rgpd, le facilitará a su empresa garantizar el pleno cumplimiento de la normativa.

Paso 2: Determinar la base jurídica para el tratamiento de la información

Ahora que ya sabe qué datos recoge su sitio web de los usuarios, establezca la base jurídica para el tratamiento de datos, tal como se indica en el capítulo 2, artículo 6, del Reglamento.

Los seis fundamentos jurídicos esbozados por rgpd incluyen:

1. Interés legítimo
2. Consentimiento del interesado
3. Necesidad contractual
4. Interés vital del usuario o de otra persona
5. Obligación legal
6. Interés público o por la directiva del responsable del tratamiento de datos

Debe informar a los consumidores sobre su base jurídica para cada categoría de datos que trate, que puede incluir en su política de privacidad.

Paso 3: Elabore una política de privacidad conforme a rgpd

A continuación, publique una política de privacidad que sus usuarios puedan encontrar, leer y comprender fácilmente.

Según el artículo 13 del capítulo 3 del Reglamento, debe informar a los interesados sobre los detalles de sus prácticas de tratamiento de datos cuando obtenga la información de ellos.

Pero, ¿cuáles son los requisitos para una política de privacidad según rgpd?

Según el artículo 15, su política de privacidad debe incluir los siguientes detalles:

Paso 4: Obtener, rastrear y registrar el consentimiento del usuario

Si el consentimiento es una de las bases jurídicas que utiliza para procesar la información personal, tendrá que obtener, rastrear y registrar las opciones de consentimiento de los interesados para cumplir con la rgpd , como se indica en el capítulo 2, artículo 7.

Para ello, cree un banner de cookies en su sitio web que enlace con un política de cookies y a la política de privacidad y que permita a los usuarios aceptar o rechazar el seguimiento. También debe ofrecer a los usuarios la posibilidad de revocar su consentimiento en cualquier momento.

Debe mantener un registro preciso de sus opciones de consentimiento mientras utilice sus datos.

Es posible que puedas hacer todo esto por tu cuenta, pero te recomiendo que utilices una solución automatizada, como nuestro Consentimiento de Cookies Manager, para simplificar todo el proceso.

Paso 5: Utilizar acuerdos de tratamiento de datos conformes

Si tiene previsto trabajar con terceras entidades que tengan acceso a los datos de sus usuarios o los procesen, deberá crear y firmar contratos que cumplan los requisitos específicos de rgpd descritos en el capítulo 4, artículo 28.

Estos contratos, también llamados Acuerdos de Tratamiento de Datos, los celebran el responsable del tratamiento y el encargado del tratamiento.

Una APD obliga a un procesador de datos a:

Ambas partes deben aceptar los términos específicos del APD y firmarlo.

Paso 6: Siga las directrices de seguridad y almacenamiento de datos

Las empresas estadounidenses consideradas responsables o encargadas del tratamiento en virtud de la rgpd también deben seguir directrices de seguridad y almacenamiento de datos para garantizar que la información personal de los usuarios se mantiene a salvo de violaciones o filtraciones.

En el artículo 32, el reglamento sugiere las siguientes medidas de seguridad:

• Pseudonimizar y cifrar datos
• Garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de procesamiento.
• Proporcionar la capacidad de restablecer rápidamente la disponibilidad y el acceso a los datos en caso de incidente.
• Implantar un proceso de prueba, valoración y evaluación de la eficacia de las medidas técnicas y organizativas.

El responsable y el encargado del tratamiento son responsables de aplicar los controles y medidas de seguridad adecuados para proteger los derechos de los interesados.

Paso 7: Cumplir todos los requisitos internacionales de transferencia de datos

La Comisión Europea adoptó el Marco de Privacidad de Datos UE-EE.UU. (DPF) el 10 de julio de 2023, que es una decisión de adecuación efectiva en virtud de la rgpd para la transferencia internacional de datos personales a EE.UU.

Las empresas estadounidenses pueden autocertificar voluntariamente ante el Departamento de Comercio que cumplen los principios del DPF, y los datos pueden entonces transferirse de la UE/EEE a EE.UU. de acuerdo con la rgpd.

Cualquier negocio que no se certifique con el Departamento de Comercio debe cumplir las directrices escritas en el Capítulo 5, Artículo 46 de la rgpd para ser considerado conforme.

¿Cómo se rgpd el rgpd en los Estados Unidos?

En EE.UU. y en el resto del mundo, diferentes autoridades de control de los distintos Estados miembros de la UE hacen cumplir la rgpd. Estas personas se denominan Autoridades de Protección de Datos.

Las empresas estadounidenses -o cualquier otra entidad- que cometan una infracción en rgpd están sujetas a multas de hasta 10 millones de euros (12 millones de dólares) o el 2% de sus ingresos brutos anuales del ejercicio fiscal anterior, la cantidad que sea mayor.

Además, si su empresa tiene presencia o activos en la UE o el EEE, como cuentas bancarias, bienes inmuebles o servidores, podrían ser embargados por incumplimiento de rgpd .

Si no tiene activos en la UE o el EEE, debe nombrar a un representante que esté físicamente en la UE para que actúe como enlace. Esta persona se denomina Responsable de Protección de Datos. Si se produce una infracción en rgpd en la que esté implicada su empresa con sede en EE.UU., ésta se convierte en el canal a través del cual se recaudan las multas.

rgpd Multas para las empresas estadounidenses

Las empresas estadounidenses han recibido innumerables multas por incumplimiento de rgpd desde que la normativa entró en vigor hace años.

Los organismos nacionales de control de varios Estados miembros de la UE/EEE disponen de medios legales para imponer multas y sanciones por incumplimiento a empresas situadas fuera de su territorio.

En el cuadro siguiente, destaco algunas de las mayores multas de rgpd impuestas a empresas estadounidenses en los últimos años.

Empresa	Penalti	Año de emisión	Ejecutado por	¿Por qué?
Google Con sede en California	60 millones de euros (66 millones de dólares)	2021	CNIL de Francia	No ofrece a los usuarios formas adecuadas y sencillas de rechazar las cookies en YouTube.
Facebook (Meta) Con sede en California	60 millones de euros (66 millones de dólares)	2021	CNIL de Francia	No ha proporcionado a los usuarios medios adecuados y sencillos para rechazar las cookies de Facebook.
Instagram (Meta) Con sede en California	405 millones de euros (403 millones de dólares)	2022	Comisario irlandés de Protección de Datos	Violación de las normas relativas al tratamiento de datos de menores sin base jurídica. Situación: en curso
IA Clearview	20 millones de euros (22 millones de dólares)	2022	Regulador italiano de la privacidad	Tratamiento de datos biométricos y de geolocalización sin una base jurídica adecuada. Estado: en curso

Algunas empresas -como muchos sitios de noticias estadounidenses- bloquean activamente sus sitios web a los usuarios de la UE para evitar multas, pero se arriesgan a perder clientes permanentemente(Reuters).

Una cosa es cierta: el incumplimiento de rgpd puede salir caro a las empresas estadounidenses que operan en la UE o el EEE.

Evite las sanciones siguiendo las directrices y obligaciones empresariales que marca la normativa, que empiezan por publicar una política de privacidad conforme a rgpd e implantar en su sitio web los controles y directrices adecuados rgpd gestión del consentimiento .

¿Hay alguna entidad estadounidense exenta del rgpd?

Algunas entidades estadounidenses están totalmente exentas de la rgpd y no tienen que preocuparse por cumplir las distintas facetas de esta normativa.

En concreto, las entidades estadounidenses que no suministran bienes o servicios a consumidores de la UE o el EEE ni supervisan sus comportamientos no tienen que cumplir la normativa.

En otras palabras, si su sitio web no interactúa con nadie de la UE o el EEE, no tiene que preocuparse por cumplir la normativa rgpd.

Según el artículo 30, parte 5 del texto, las empresas que emplean a menos de 250 personas no tienen que seguir algunos de los requisitos de mantenimiento de registros que establece la ley. Sin embargo, no se trata de una exención total y no exime a las pequeñas empresas de los pasos indicados anteriormente.

¿Cómo puede Termly ayudar a las empresas estadounidenses a cumplir la normativa?

Termlypuede ayudar a las empresas estadounidenses a cumplir plenamente la normativa rgpd. ¿Mi parte favorita? Puede gestionarlo todo cómodamente en un solo lugar directamente desde su panel de control de Termly .

Nuestro sitio Generador de Política de Privacidad incluye todas las cláusulas, formulaciones e información pertinentes que exige la normativa. Todo lo que tiene que hacer es responder a unas sencillas preguntas de opción múltiple sobre su empresa, y el sistema genera una póliza con el formato adecuado y conforme a la normativa basándose en sus respuestas.

Vea a continuación una captura de pantalla de nuestro sitio Generador de Política de Privacidad.

También proporcionamos una plataformagestión del consentimiento (CMP) que puede utilizar para cumplir todos los requisitos de consentimiento de rgpd , como obtener y registrar las opciones de consentimiento de sus usuarios de la UE y del EEE.

A continuación, vea un ejemplo de cómo configurar nuestro banner de consentimiento para el cumplimiento de rgpd , que puede configurar en función de la ubicación regional de sus usuarios.

TermlyMasha Komnenic, Directora de Privacidad Global, ayuda a garantizar que nuestro equipo jurídico y nuestros expertos en privacidad de datos revisen nuestros generadores de políticas, plantillas y herramientas. Las actualizamos con regularidad para que puedas estar al día de las nuevas y cambiantes leyes de privacidad de datos.

Preguntas Frecuentes sobre el cumplimiento de rgpd en EE.UU.

A continuación me he tomado la molestia de responder a algunas de las preguntas más frecuentes que nos hacen sobre rgpd en Estados Unidos.

¿Cómo afecta la rgpd a las empresas estadounidenses?

rgpd afecta a las empresas estadounidenses porque se aplica a cualquier sitio web que recoja información personal y tenga consumidores de la UE o el EEE, independientemente de la ubicación de la empresa.

Los sitios web estadounidenses que ofrecen productos a residentes en la UE y el EEE o los que vigilan el comportamiento de los usuarios en esos territorios regionales deben cumplir todas las obligaciones establecidas en rgpd, o podrían enfrentarse a multas importantes por infringir el reglamento.

¿Cuándo deben cumplir las empresas estadounidenses la normativa rgpd?

Las empresas estadounidenses deben cumplir la rgpd cuando ofrecen bienes o servicios a consumidores de la UE o el EEE o vigilan su comportamiento en línea.

El rgpd explica su ámbito territorial en el artículo 3 del texto.

¿Cuál es el equivalente estadounidense de rgpd?

El equivalente estadounidense de la rgpd es la CCPA o Ley de Privacidad del Consumidor de California. Se inspiró en la rgpd, y ambas leyes protegen los datos personales de los consumidores.

La rgpd se aplica a las empresas que recogen datos de usuarios del EEE (Espacio Económico Europeo), mientras que la CCPA se aplica a las empresas que recogen datos de residentes en California.

¿Se aplica rgpd a los sitios web estadounidenses?

Sí, la rgpd se aplica a los sitios web estadounidenses que recogen datos personales de residentes en el EEE. Los datos personales incluyen cualquier información identificativa, como nombres, información de contacto y detalles del dispositivo. El incumplimiento de rgpd puede acarrear multas y sanciones legales, incluso para los sitios web estadounidenses.

¿Qué son los datos personales en EE.UU. según rgpd?

rgpd define los datos personales como cualquier información que pueda identificar a una persona, directa o indirectamente, como nombres, números de identificación, datos de localización o identificadores en línea. Esta definición se aplica a las empresas de Estados Unidos y de otras partes del mundo.

¿Qué ocurre si las empresas estadounidenses no cumplen la rgpd?

Si las empresas estadounidenses no cumplen la rgpd y la infracción no es intencionada, podrían recibir una multa de hasta 10 millones de euros (12 millones de dólares) o el 2% de sus ingresos brutos anuales del año anterior, la cantidad que sea mayor. Las infracciones intencionadas están sujetas a multas de hasta 20 millones de euros o el 4% de sus ingresos anuales.

También debe detener las prácticas de recopilación de datos que no cumplían con la rgpd y remediar la situación.

¿Qué organización puede sancionar a las empresas estadounidenses por incumplimiento?

Las autoridades de supervisión de los distintos Estados miembros de la UE hacen cumplir la rgpd en EE.UU. Si incumple la normativa, puede necesitar un representante físico en la UE o el EEE que actúe como enlace.

Las empresas entran en la jurisdicción de rgpd si procesan información personal sobre un individuo dentro de la UE/EEE, lo que significa que puede afectar a empresas, ciudadanos y gobiernos federales y estatales de Estados Unidos.

Dado que rgpd protege a los interesados en función de su ubicación en el momento del tratamiento de la información, este reglamento puede aplicarse a cualquier persona que se encuentre en un país de la UE o del EEE, independientemente de su nacionalidad o estatus de ciudadanía.

Evite las multas de rgpd utilizando las plataformas gratuitas Generador de Política de Privacidad y gestión del consentimiento de Termlypara cumplir adecuadamente la normativa.

Escrito por Josh Langeland, CIPM

Josh Langeland es ingeniero especializado en privacidad y licenciado en Informática por la Universidad de Minnesota. Le apasiona utilizar la tecnología para respetar la privacidad de los usuarios y se desenvuelve con soltura en la intersección entre la tecnología compleja y la legislación en materia de privacidad, en constante evolución.

Leer todas las publicaciones de Josh Langeland, CIPM

Revisado por Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha Komnenic es asesora jurídica y directora de Privacidad Global Termly, y se licenció en Derecho por la Universidad de Belgrado. Está especializada en la implementación, supervisión y auditoría del cumplimiento normativo de las empresas en materia de privacidad (HIPAA, PIPEDA, Directiva sobre privacidad electrónica, rgpd, CCPA, POPIA, LGPD).

Leer todas las publicaciones revisadas por Masha Komnenic CIPP/E, CIPM, CIPT, FIP