Âmbito de aplicação territorial

No que concerne ao âmbito de aplicação territorial, enquanto a Diretiva atribuia enfâse no local onde os dados pessoais eram tratados, para o RGPD releva o local onde o titular dos dados pessoais se encontra. Assim, com o RGPD verificou-se um aumento do escopo de aplicação tanto a nível material como geograficamente, afetando diversas entidades estebelecidas dentro e fora do território da União Europeia.

A Diretiva 95/46/EU consagrava no seu artigo 4.º o âmbito de aplicação territorial, estipulando a aplicabilidade da diretiva a operadores comerciais sediados em países terceiros em determinadas situações, estabelecendo que “cada Estado-Membro aplicará as suas disposições nacionais adotadas por força da presente diretiva ao tratamento de dados pessoais quando: a) o tratamento for efetuado no contexto das atividade de um estabelecimento do responsável pelo tratamento situado no território desse Estado- Membro”, acrescentado na sua alínea b) aplicação da diretiva a responsáveis pelo tratamento não estabelecidos no território da União Europeia por força do direito internacional público e nas situações em que o responsável pelo tratamento não estiver estabelecido no território da União e recorrer a meios, automatizados ou não, situados no território desse Estado-Membro, exceto se esses meios somente forem empregues para trânsito no território da União Europeia.

Não obstante, anteriormente à entrada em vigor do RGPD, as questões relacionadas com a aplicação territorial do regime da proteção de dados instituído pela União Europeia foram debatidas e abordadas no acórdão do Tribunal de Justiça da União Europeia, de 13 de maio de 2014, usualmente designada pela decisão Google Spain91_{, onde foi definido}

que a Diretiva 95/46/CE aplicava-se a uma empresa sediada nos Estados Unidos da América, nomeadamente, à Google Inc..

Por sua vez, o RGPD adotou uma posição acertiva no que concerne à definição do âmbito de aplicação territorial, acabando com as eventuais dificuldades interpretativas de aplicação do quadro normativo da União Europeia no que concerne aos dados pessoais, consagrando a sua aplicação “ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um

subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União”92, sendo que o RGPD aplica-se de igual modo ao “tratamento efetuado por um responsável pelo tratamento ou subcontratante não estabelecido no território da União Europeia, quando as atividades de tratamento estejam relacionadas com: a) oferta de bens ou serviços a esses titulares de dados na União, independentemente da exigência de os titulares dos dados procederem a um pagamento;93 _{b) o controlo do}

seu comportamento94, desde que esse comportamento tenha lugar na União”95, aplicando de igual modo a tratamentos de dados pessoais por um responsável pelo tratamento não estabelecido na União Europeia, mas num lugar em que se aplique o direito de um Estado- Membro.

Por outros palavras, qualquer organização, independemente de onde esteja sediada, poderá estar sujeita ao RGPD se fornecer serviços a titulares de dados que se encontram na União Europeia. Assim, de forma prática é possível afirmar que o focos do âmbito de aplicação territorial do RGPD encontra-se na localização do titular dos dados e não do responsável pelo tratamento ou do subcontratante.

Por sua vez, a redação originária do Regulamento, nomeadamente, do número 2 do artigo 3.º gerou algumas divergências linguísticas, sendo que ab initio estabelecia que o regulamento aplicava-se ao tratamento de dados pessoais de titulares residentes no território da União Europeia. Todavia, o Conselho de Europa publicou uma retificação96 do RGPD que resolveu a questão, passando a estabelecer que o regulamento “aplica-se

92 _{Número 1 do artigo 3.º do Regulamento Geral de Proteção de Dados.}

93 _{Nos termos do considerando 23 do RGPD há que determinar em que medida é evidente a intenção do responsável pelo tratamento}

ou subcontratante de oferecer serviços a titulares de dados em um ou mais Estados-Membros para se apurar se os mesmos oferecem serviços aos titulares de dados que se encontrem na União Europeia.

94 _{O considerando 23 do RGPD define o controlo do comportamento como seguir na internet determinadas pessoas e a “potencial}

utilização subsequente de técnicas de tratamento de dados pessoais que consistem em definir o perfil de uma pessoa singular, especialmente para tomar decisões relativas a essa pessoa ou analisar ou prever as suas preferências, o seu comportamento e as suas atitudes”.

95 _{Número 2 do artigo 3.º do Regulamento Geral de Proteção de Dados.}

ao tratamento de dados pessoais de titulares que se encontrem no território da União”, dissipando eventuais dúvidas sobre a pertinência do local de residência do titular dos dados para a aplicação do RGPD.

O novo âmbito de aplicação territorial constitui uma das mais importantes inovações do RGPD, permitindo que se alcance um tratamento de dados, a nível internacional, mais harmoniozo por parte dos responsáveis pelo tratamento sediados fora ou dentro da União Europeia, permitindo-se assim o mesmo nível de segurança dos dados pessoais no que concerne à utilização de sites, nomeadamente, Google, Facebook, Amazon e aplicações geridas por grandes multinacionais que operam no território europeu. Assim, o RGPD compõe uma autêntica arma ao dispor dos cidadãos europeus na defesa dos seus direitos, protegendo-se cada vez mais o cidadão europeu contra tratamentos ilegítimos dos seus dados pessoais.