Para resumir esta cuestión de forma simple y breve, puede decirse que están obligadas a cumplir con la normativa dictada por el Reglamento General de Protección de Datos (RGPD) todas aquellas empresas, entidades o autónomos que operen en la Unión Europea y cuya actividad implique el tratamiento de datos como parte sustancial de la misma.
No obstante, no todas las organizaciones están sometidas a las mismas obligaciones. Por ejemplo, las empresas medianas o pequeñas (PYMES) cuya actividad no implique el uso de datos personales de una manera riesgosa para sus clientes no están obligadas a contratar a un Delegado de Protección de Datos (DPD).
En palabras de la propia Comisión Europea, el RGPD se aplicará siempre en los siguientes casos:
Si su empresa o entidad trata datos personales como parte de las actividades de una de sus sucursales establecidas en la Unión Europea (UE), independientemente del lugar donde sean tratados los datos. Si su empresa está establecida fuera de la UE y ofrece productos o servicios (de pago o gratuitos) u observa el comportamiento de las personas en la UE.
Así, y dado que se ajustan a la anterior descripción, quedan sujetas a cumplir con la normativa de la Ley Orgánica de Protección de Datos y del RGPD las siguientes organizaciones:
Todos los organismos públicos Todas las administraciones públicas Las sociedades mercantiles Los empleados autónomos Los distintos tipos de asociaciones Las comunidades de bienes Las comunidades de propietarios Las entidades sin ánimo de lucro
Aquellas organizaciones cuya sede esté fuere de la Unión Europea pero presten sus servicios dentro de la misma (íntegra o parcialmente) también están obligadas a cumplir con el Reglamento General de Protección de Datos, siempre que, como decíamos, operen con información sensible de sus clientes. Esto aplica tanto a empresas con sede física como a aquellas que solo trabajen vía Internet.