FACUA.org Versión sólo texto  
Imprimir
Imprimir
FACUA.org - España - 11 de octubre de 2017

Todo lo que debemos saber acerca del nuevo Reglamento europeo de Protección de Datos

Será de directa aplicación en la UE a partir del próximo 25 de mayo de 2018, pero cabe una duda: ¿Estarán los usuarios lo suficientemente informados sobre las implicaciones reales de la nueva normativa?

Mucho se ha escrito acerca de si las empresas y las organizaciones estarán preparadas, y llegarán a tiempo para adaptar sus estructuras y cumplir con el Reglamento europeo General de Protección de Datos (RGPD) [1], que será de directa aplicación en la Unión Europea (UE) a partir del próximo 25 de mayo de 2018.

Ahora bien, bastante menos se ha discutido acerca de si los ciudadanos y, por consiguiente, los usuarios y consumidores estarán igualmente preparados en tal fecha para entender las implicaciones reales de esta nueva normativa y, en particular, todo lo necesario respecto al correcto y eficaz ejercicio de sus derechos. De hecho, las autoridades comunitarias, conscientes de esta problemática, ya trabajan en campañas dirigidas a los ciudadanos a fin de que conozcan esta normativa y que puedan contribuir al reforzamiento general de su derecho a la protección de datos en un contexto de eclosión generalizada de la nueva economía de datos europea. [2]

En este sentido, llama la atención que el propio apartado temático sobre el RGPD dispuesto por la Agencia Española de Protección de Datos (AEPD) [3] para general conocimiento del mismo, se centre en las orientaciones y documentos dirigidos a responsables y encargados de tratamiento en orden al debido conocimiento y cumplimiento de aquél, y que, sin embargo, no se integre ningún documento específico dirigido a los ciudadanos.

Ahora bien, ello no significa que la autoridad de control española, a través del Canal diferenciado del Ciudadano [4], no haya previsto ninguna referencia a estas cuestiones. Así, por ejemplo, el documento titulado Protección de Datos: Guía para el Ciudadano [5], se hace una referencia a los derechos de éstos en el marco del RGPD, indicando de forma somera los principales tipos de derechos derivados del mismo y en qué consisten. Sin perjuicio de lo anterior, es muy importante conocer, acceder y utilizar los anteriores recursos informativos.

Al hilo de lo anterior, a continuación, esta publicación pretende exponer los principales aspectos, cuestiones y claves básicas en torno al RGPD, con un enfoque hacia los consumidores y usuarios, lo que puede resultarles de utilidad en lo que concierne al ejercicio práctico de sus derechos, a saber:

1. ¿A qué entidades u organizaciones se aplica el RGPD?

El RGPD será aplicable a los tratamientos sobre los datos de los ciudadanos que residan en la Unión Europea y que realicen los responsables o encargados de tratamiento (empresas, entidades, organizaciones, públicos, privados, etc.) establecidos en la UE (mediante establecimiento permanente o no) [6], con independencia de que el tratamiento tenga lugar en la Unión.

Pero también será aplicable a responsables o encargados no establecidos en la UE, cuando sus actividades de tratamiento sobre datos estén relacionadas con la oferta de bienes y servicios a los ciudadanos de la Unión, al margen de que se requiera pago por ellos o no, o puedan implicar el control sobre su comportamiento en la medida en que éste tenga lugar en la UE [7]. Ello significaría, por ejemplo, que las empresas establecidas fuera de la Unión que ofrezcan sus servicios o productos a través de internet a los europeos deban cumplir con el RGPD.

Para determinar si dicho responsable o encargado ofrece bienes o servicios a interesados que residan en la Unión, debe determinarse si es evidente que éste proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión, considerando que la mera accesibilidad del sitio web en la Unión, de una dirección de correo electrónico u otros datos de contacto, no determinan de forma automática tal intención. Por lo tanto, habrá que conjugar diferentes factores que puedan revelar de forma clara dicha intención o forma de operar respecto a los consumidores.

2. ¿Quién es objeto de la protección dispuesta por el RGPD?

Es curioso que entre las definiciones contenidas en el artículo 4 del RGPD no se defina de forma diferenciada el concepto de interesado y afectado, como si ocurre en la vigente normativa española de protección de datos personales. Al margen de lo anterior, el artículo 1, por relación al artículo 4 del RGPD, establece de forma clara que el Reglamento se refiere a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales, con especial atención a su derecho fundamental a la protección de los datos personales.

Respecto al tratamiento de los datos relativos a empresarios individuales en relación a esta específica condición (y no para entablar una relación con los mismos como personas físicas), o respecto a ciertos datos mínimos e imprescindibles para la localización profesional de personas físicas que presten sus servicios en personas jurídicas, se presume por la norma que concurre un interés legítimo del responsable o encargado de tratamiento que primaría sobre la protección de sus posibles datos personales en virtud del artículo 6.1 f) del RGPD. En este mismo sentido se manifiesta el artículo 12 del Anteproyecto de modificación de la Ley Orgánica de Protección de Datos que, en estos momentos, se está tramitando en España con ocasión de la decisión interna de realizar ciertos ajustes y/o modificaciones a la normativa nacional actual en relación al contenido del RGPD [8].

3. ¿Y qué se entiende por datos de carácter personal?

A estos efectos, por datos personales se entenderá cualquier información sobre una persona física identificada o identificable (el interesado), considerando persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

4. Trazado de perfiles de consumidores y usuarios, ¿dónde están los límites?

Hoy en día el gran valor de los tratamientos sobre los datos personales radica, en gran medida, en lo que se denomina trazado de perfiles, lo que es cada vez más sencillo de realizar a través de la aplicación de múltiples tecnologías, en particular, de tipo emergente en procesos de gestión y manejo de datos (internet de las cosas, algoritmos, inteligencia artificial, Big Data, etc.).

Y es que, tal y como apunta el Considerando 30 del RGPD, las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de cookies, etiquetas de identificación por radiofrecuencia, etc.

Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser aplicadas para elaborar perfiles de las personas físicas e identificarlas. Así, una vez trazado tal perfil se podrán adoptar ciertas actuaciones por parte de los responsables y encargados sobre los usuarios de una forma más certera y personalizada, ya que se les conocerá mucho mejor, pero por el contrario esta información indebidamente utilizada también implica graves y evidentes riesgos para sus derechos pudiendo verse éstos, por ejemplo, afectados por ciertos acuerdos o decisiones que les repercutan jurídicamente a diferente nivel sobre la base de ciertos tratamientos automatizados de sus datos personales.

Por todo ello, y por primera vez a nivel europeo, se introduce en el RGPD una definición (y régimen jurídico asociado) acerca de la elaboración de perfiles, entendiendo por éstos "(…) toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física (…)", en el que los menores de edad son objeto de especial protección frente a la posible elaboración de perfiles de evaluación de personalidad de de usuario. [9]

Lo anterior obliga a responsables y encargados del tratamiento a informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Esta información también deberá ofrecerse al interesado en caso de ejercicio por el mismo de su derecho de acceso en virtud del artículo 15.1 h) del RGPD. Además, el interesado podrá oponerse a la elaboración de un perfil sobre el mismo en los términos del artículo 21 del RGPD, en particular, si los datos personales son tratados con fines de mercadotecnia directa.

Igualmente, como luego también se mencionará, el interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, y que le produzca efectos jurídicos en él o le afecte significativamente de modo similar, salvo en determinados supuestos relacionados en el artículo 22.2 del RGPD, por ejemplo, cuando es necesaria para la celebración o la ejecución de un contrato entre aquél y el responsable del tratamiento, o se basa en el consentimiento explícito del mismo.

Las decisiones automatizadas y la elaboración de perfiles sobre la base de categorías particulares de datos personales únicamente deben permitirse en condiciones específicas.

Sin perjuicio de lo anterior, las decisiones acerca de la elaboración de perfiles de los usuarios deben inspirarse en principios de responsabilidad activa por parte de los responsables de tratamiento que deben observar las medidas más adecuadas en función, entre otros parámetros, del riesgo que ello puede suponer para los derechos de los afectados, debiendo realizar con carácter previo a este tipo de tratamientos evaluaciones de impacto en la protección de datos de los usuarios si se detectara un alto riego para tales derechos o, de forma específica, se pudiera catalogar tal tratamiento como evaluación sistemática y exhaustiva de aspectos personales propios de personas físicas, lo que relaciona de forma directa con el trazado de perfiles.

A estos efectos se debe remitir a lo previsto en el artículo 35 del RGPD que establece el régimen jurídico aplicable a las evaluaciones de impacto en materia de protección de datos personales.

De forma general, y teniendo en cuenta las circunstancias y contexto específicos en los que se tratan los datos personales, el responsable del tratamiento debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles, aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado y se impidan, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o que den lugar a medidas que produzcan tal efecto.

5. El consentimiento del interesado para el tratamiento

Una de las bases que pueden legitimar el tratamiento de los datos de las personas, es su consentimiento, cuya concurrencia deberá demostrar en todo caso el responsable o la empresa con independencia del modo, soporte o formato utilizado a tal efecto, ya tenga carácter “online” u “offline”. Tal consentimiento deberá tener un carácter informado, libre y explícito, pudiendo ser retirado o revocado en cualquier momento, ahora bien, tal retirada no afectará a la licitud del tratamiento previo realizada por el responsable. Y es que, según el artículo 7 del RGPD, deberá ser tan fácil retirar el consentimiento como darlo.

No será posible a partir de la aplicación directa del RGPD los tratamientos de datos basados en consentimientos tácitos de los usuarios, debiendo existir un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto puede incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no es válido, ni implica la existencia de consentimiento del usuario.

Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales.

El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno. Para evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato. Por ejemplo, tener que soportar publicidad por parte de terceros, si ello no es necesario para cumplir los compromisos contractuales del prestador o la empresa derivados del registro en una determinada plataforma.

De igual forma, cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. Así, de acuerdo con la Directiva 93/13/CEE del Consejo, de 5 de abril de 1993, sobre las cláusulas abusivas en los contratos celebrados con consumidores [10], debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas.

Asimismo, se destaca que el RGPD permite a los Estados miembros, si así lo deciden, poder bajar la edad para consentir y disponer de forma autónoma sobre la propia información personal a los 13 años de edad, siendo ésta la opción por la que, inicialmente, se ha decantado el Ejecutivo español a tenor del contenido publicado del Anteproyecto de Ley Orgánica de Protección de Datos Personales. De tal forma que, de prosperar finalmente este proyecto de ley, sin modificación alguna en este apartado, se rebajaría la edad por la que, a día de hoy, los menores españoles pueden consentir al margen de sus representantes legales en lo relativo al tratamiento de sus datos personales y que en la actualidad se establece en 14 años de edad.

En todo caso, conforme al RGPD, por debajo de esta edad, el responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible, imponiéndose la libertad de forma respecto a la prueba del cumplimiento de esta obligación legal de verificación.

6. Los derechos de los usuarios según el RGPD

El RGPD refuerza los derechos de las personas físicas aunque resulta fundamental conocer que derechos incluye de forma específica y cómo operan de forma práctica. Por ello, y sin perjuicio de lo previsto en el punto 4 anterior en lo relativo a los derechos de los interesados en torno a la elaboración o trazado de perfiles, se destacan también los siguientes derechos adicionales:

A) Derecho a que los datos sean solicitados y recogidos atendiendo fines determinados, explícitos y legítimos, de forma que quedará prohibida la posibilidad de que puedan ser utilizados con posterioridad de manera incompatible con dichos fines (principio compatibilidad).

B) Derecho a que los datos sean tratados de manera lícita (deben existir las bases legales del tratamiento que se considere en cada caso: ley, consentimiento explícito del interesado, interés legítimo del responsable, etc.), leal y transparente (principios de la licitud, lealtad y transparencia).

C) Derecho a que los datos recabados por parte de los responsables y encargados de tratamiento sean los adecuados, pertinentes y limitados a lo necesario en relación con los fines informados (principio de la minimización de datos).

D) Derecho a la exactitud y actualización de los datos, es decir, que los datos recabados sean exactos y, si fuera necesario, que se actualicen, adoptándose por el responsable o el encargado todas las medidas razonables para que aquéllos se supriman o rectifiquen por relación a los fines de tratamiento informados (principio de exactitud).

E) Derecho a que la información personal conservada se limite al tiempo estrictamente necesario atendiendo a los fines de tratamiento y la legalidad aplicable (principio de la limitación del plazo de conservación).

F) Derecho a que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (principio de la integridad y confidencialidad).

G) Derecho a la comunicación de una violación de la seguridad de los datos personales: Por relación a lo dispuesto en el párrafo anterior y en los supuestos descritos en el artículo 34 del RGPD, los interesados afectados deberán ser informados de aquéllas violaciones o brechas de la seguridad información personal que les hubiera supuesto un alto riesgo a sus derechos.

H) Derecho a que el responsable del tratamiento adopte todas las medidas técnicas, organizativas y de seguridad necesarias para garantizar que el RGPD se cumple, siendo capaz de demostrarlo, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, incluyendo la revisión y actualización de las medidas que hubiera podido adoptar cuando sea necesario (principio de responsabilidad proactiva/activa).

I) Derecho a la información: Este derecho se estructura a través de un sistema de capas o niveles (enfoque de información multinivel) de forma que en el momento de la recogida y obtención de los datos se informarán de ciertos extremos de forma más resumida y, en un momento posterior, se ampliará y detallará la información al usuario en un medio más adecuado para su presentación y comprensión, distinguiéndose los supuestos en que la información es directamente aportada o no por el propio interesado. Éste es el sentido del artículo 13 del RGPD, habiéndose elaborado por las autoridades de control en España un documento conjunto que pretende orientar a los responsables de tratamiento en torno al correcto cumplimiento de sus correlativos deberes informativos. [11]

J) Derecho a ser específicamente informado de los supuestos de transferencias internacionales basadas en lo dispuesto en el artículo 49.1 in fine del RGPD.

K) Derecho de acceso: El usuario tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales descritos en el artículo 14 del RGPD. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento y podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Además, cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

L) Derecho a la rectificación: El usuario tendrá derecho además de rectificar sus datos inexactos, a que se completen los datos personales incompletos, inclusive mediante una declaración adicional (artículo 16 RGPD).

M) Derecho de supresión (derecho al olvido): El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, estando obligado a hacerlo en los supuestos descritos en el artículo 17.2 del RGPD.

Además, si los datos objeto de supresión se hubieran hecho públicos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos (por ejemplo, medidas para evitar la indexación de esta información desde los principales buscadores de internet).

Ahora bien, el ejercicio de este derecho, como del resto, está sujeto a posibles límites, al no tener carácter absoluto, como por ejemplo cuando prime el derecho a la libertad de expresión o de información.

N) Derecho de oposición: El interesado podrá oponerse al tratamiento de sus datos personales: 1) Cuando por motivos relacionados con tu situación personal, deba cesar el tratamiento de sus datos salvo que se acredite un interés legítimo, o sea necesario para el ejercicio o defensa de reclamaciones por parte del responsable de tratamiento; 2) Cuando el tratamiento tenga por objeto la mercadotecnia directa.

Ñ) Derecho a no ser objeto (y a oponerse) a ciertas decisiones individuales automatizadas, incluida la elaboración de perfiles: El usuario tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o le afecte. Se exceptúa lo anterior cuando: 1) Sea necesario para la celebración o ejecución de un contrato; 2) Esté permitido por el Derecho de la UE o de los Estados miembros, con medidas adecuadas para salvaguardar los derechos y libertades del titular de los datos; 3) Exista consentimiento explícito del titular de los datos. Todo ello en coherencia a lo dispuesto en el artículo 22 del RGPD y adoptándose especiales cautelas para ciertas categorías de datos personales dispuestas en el artículo 9 del RGPD.

O) Derecho a la portabilidad de los datos: El usuario tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado en los términos y condiciones descritas en el artículo 20 del RGPD. Al ejercer su derecho a la portabilidad de los datos, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

P) Derecho a la limitación del tratamiento: En base a este derecho, el usuario podrá:

1) Solicitar al responsable que suspenda el tratamiento de datos cuando: se impugne la exactitud de los datos, mientras se verifica dicha exactitud por el responsable; el interesado ha ejercitado su derecho de oposición al tratamiento de datos, mientras se verifica si los motivos legítimos del responsable prevalecen sobre el interesado;

2) Solicitar al responsable que conserve sus datos personales cuando: el tratamiento de datos sea ilícito y el interesado se oponga a la supresión de sus datos y solicite en su lugar la limitación de su uso; el responsable ya no necesita los datos para los fines del tratamiento pero el interesado si los necesite para la formulación, ejercicio o defensa de reclamaciones.

Cuando el tratamiento de datos personales se haya limitado por el responsable, dichos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro. Todo interesado que haya obtenido la limitación del tratamiento será informado por el responsable antes del levantamiento de dicha limitación.

Q) Derecho a indemnización: Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos (artículo 82 RGPD).

Como se observa, se pretende dar mayor control a los ciudadanos sobre el control de su información personal, pero ello no será posible si no existe suficiente información a los mismos, o si, obteniéndola, los usuarios no adoptan asimsimo una actitud de responsabilidad proactiva en la adecuada protección y defensa de sus propios derechos, y los de sus representados, en particular, los de aquéllos menores de edad a su cargo.

__________

Noemí Brito es directora de Derecho Digital en Legistel y Responsable IT GRC en Comtrust.


[1] Norma accesible desde el siguiente enlace web: https://www.boe.es/doue/2016/119/L00001-00088.pdf

[2] Interesante remitirse a esta declaración oficial de la Comisión Europea: http://europa.eu/rapid/press-release_STATEMENT-17-1436_es.htm?locale=FR

[3] Sección web accesible desde el siguiente enlace: http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php

[6] Según el Considerando 22 del RGPD: “(…) Todo tratamiento de datos personales en el contexto de las actividades de un establecimiento de un responsable o un encargado del tratamiento en la Unión debe llevarse a cabo de conformidad con el presente Reglamento, independientemente de que el tratamiento tenga lugar en la Unión. Un establecimiento implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables. La forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto. (…)”.

[7] Según el Considerando 23 del RGPD “(…) Con el fin de garantizar que las personas físicas no se vean privadas de la protección a la que tienen derecho en virtud del presente Reglamento, el tratamiento de datos personales de interesados que residen en la Unión por un responsable o un encargado no establecido en la Unión debe regirse por el presente Reglamento si las actividades de tratamiento se refieren a la oferta de bienes o servicios a dichos interesados, independientemente de que medie pago. Para determinar si dicho responsable o encargado ofrece bienes o servicios a interesados que residan en la Unión, debe determinarse si es evidente que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión. Si bien la mera accesibilidad del sitio web del responsable o encargado o de un intermediario en la Unión, de una dirección de correo electrónico u otros datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país donde resida el responsable del tratamiento, no basta para determinar dicha intención, hay factores, como el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer bienes o servicios a interesados en la Unión (…)”.

[9] Véase el Considerando 38 del RGPD: https://www.boe.es/doue/2016/119/L00001-00088.pdf

[10] Norma accesible desde el siguiente enlace web: https://www.boe.es/buscar/doc.php?id=DOUE-L-1993-80526

[11] Puede consultarse el documento o guía del deber de informar conforme al RGPD a través del siguiente enlace web: http://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/modeloclausulainformativa.pdf