El RGPD empresas fuera UE es una cuestión que afecta directamente a miles de organizaciones en América Latina, Estados Unidos, Asia y el resto del mundo que tratan datos de residentes en el Espacio Económico Europeo (EEE). El Art. 3(2) del RGPD establece expresamente que el reglamento se aplica a organizaciones no establecidas en la UE cuando sus actividades de tratamiento se relacionan con la oferta de bienes o servicios a personas en el EEE o con la monitorización de su comportamiento dentro del EEE. En mayo de 2025, la Comisión de Protección de Datos irlandesa (DPC) impuso una sanción de 530 millones EUR a TikTok por transferir datos de usuarios del EEE a China. En septiembre de 2024, la autoridad neerlandesa multó a Clearview AI con 30,5 millones EUR por recopilar datos biométricos de personas en los Países Bajos sin base legal. Estas sanciones confirman que las autoridades europeas persiguen activamente a organizaciones no europeas que infringen el RGPD.
Puntos Clave
- El Art. 3(2) RGPD da al reglamento alcance extraterritorial: se aplica a cualquier organización del mundo que ofrezca bienes o servicios a personas en el EEE o monitorice su comportamiento.
- Las empresas fuera de la UE sujetas al RGPD deben designar un representante en la UE conforme al Art. 27.
- No existe exención para PYMES en cuanto al ámbito territorial del RGPD.
- Las sanciones por incumplimiento pueden alcanzar los 20 millones EUR o el 4% del volumen de negocio anual global.
- Las empresas en México, Colombia, Chile y otros países de LATAM que venden a clientes europeos o procesan datos para empresas europeas están sujetas al RGPD.
El Art. 3 RGPD: alcance territorial
El artículo 3 del RGPD define su ámbito de aplicación territorial en tres supuestos:
Art. 3(1): Establecimiento en la UE
El RGPD se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión. El concepto de establecimiento es amplio: incluye cualquier actividad real y efectiva, incluso mínima, ejercida mediante una estructura estable, independientemente de su forma jurídica (sucursal, filial, oficina de representación).
Art. 3(2)(a): Oferta de bienes o servicios
El RGPD se aplica a organizaciones no establecidas en la UE que traten datos personales de personas en la Unión cuando las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a dichas personas, independientemente de si se requiere un pago.
Los indicadores que determinan esta oferta incluyen: el uso de una lengua oficial de un Estado miembro, la aceptación de moneda de un Estado miembro (EUR), la mención de clientes o usuarios en la UE, la disponibilidad de un dominio específico de un Estado miembro (.es, .de, .fr) y la oferta de envío a Estados miembros.
Art. 3(2)(b): Monitorización del comportamiento
El RGPD también se aplica cuando las actividades de tratamiento están relacionadas con la monitorización del comportamiento de personas en la Unión, siempre que dicho comportamiento tenga lugar dentro de la UE. Esto incluye el seguimiento mediante cookies, la elaboración de perfiles basados en comportamiento online, la geolocalización a través de aplicaciones y la videovigilancia.
Obligaciones específicas para empresas fuera de la UE
Designación de representante en la UE (Art. 27)
El Art. 27 RGPD obliga a las organizaciones no establecidas en la UE que estén sujetas al Art. 3(2) a designar un representante en la Unión. El representante debe estar establecido en uno de los Estados miembros donde se encuentren los interesados cuyos datos se tratan. Sus funciones incluyen servir de punto de contacto para las autoridades de control y los interesados, mantener el registro de actividades de tratamiento cuando sea obligatorio y cooperar con las autoridades de control en sus actuaciones.
Las excepciones al Art. 27 son limitadas: autoridades públicas, tratamientos ocasionales que no incluyan datos sensibles ni supongan un riesgo elevado.
Base legal para el tratamiento
Las empresas fuera de la UE deben identificar una base legal del Art. 6(1) para cada actividad de tratamiento. Las más habituales son el consentimiento (Art. 6(1)(a)), especialmente para actividades de marketing y analítica, la ejecución de un contrato (Art. 6(1)(b)), cuando se venden bienes o servicios a clientes en el EEE, y el interés legítimo (Art. 6(1)(f)), que requiere la prueba de ponderación en tres partes.
Transparencia e información
El Art. 13 RGPD exige que el responsable proporcione información clara sobre su identidad, las finalidades del tratamiento, la base legal, los destinatarios, las transferencias internacionales, los plazos de conservación y los derechos de los interesados. Esta información debe proporcionarse en un lenguaje claro y sencillo, preferiblemente en la lengua del interesado.
Evaluación de impacto (EIPD)
Cuando el tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas, el Art. 35 RGPD exige una evaluación de impacto relativa a la protección de datos. Esto afecta especialmente a las empresas de tecnología que procesan datos a gran escala, utilizan perfilado o tratan datos sensibles de residentes en el EEE.
Impacto para empresas en América Latina
Las empresas mexicanas, colombianas, chilenas, argentinas y de otros países de América Latina están cada vez más expuestas al RGPD por tres vías principales.
Comercio electrónico transfronterizo: una tienda online en México que vende a clientes en España, con la web en español y aceptando pagos en euros, está claramente dentro del ámbito del Art. 3(2)(a).
Servicios de desarrollo y outsourcing: las empresas de desarrollo de software, BPO y servicios compartidos en LATAM que procesan datos de clientes europeos actúan como encargados del tratamiento sujetos al Art. 28 RGPD.
Monitorización digital: cualquier empresa LATAM que utilice herramientas de analítica, cookies de seguimiento o publicidad programática dirigida a usuarios en el EEE cae dentro del Art. 3(2)(b).
Dado que ningún país latinoamericano (salvo Argentina) cuenta con una decisión de adecuación de la Comisión Europea, las transferencias de datos desde el EEE hacia LATAM deben basarse en cláusulas contractuales tipo (CCT) u otro mecanismo del Art. 46 RGPD. Esto añade una capa de complejidad adicional que las empresas deben gestionar proactivamente.
Sanciones a empresas fuera de la UE
Las autoridades europeas han demostrado que la aplicación extraterritorial del RGPD no es teórica:
TikTok (530 millones EUR, DPC, mayo 2025): la DPC irlandesa sancionó a TikTok Technology Limited por transferir ilegalmente datos de usuarios del EEE a China y por deficiencias en la transparencia hacia los usuarios.
Clearview AI (30,5 millones EUR, autoridad neerlandesa, septiembre 2024): la autoridad de protección de datos de los Países Bajos multó a la empresa estadounidense por recopilar ilegalmente datos biométricos de personas en los Países Bajos sin base legal alguna.
Meta/Facebook (1.200 millones EUR, DPC, mayo 2023): la mayor sanción RGPD hasta la fecha, impuesta a Meta por transferir datos de usuarios europeos a Estados Unidos sin las garantías adecuadas.
Google LLC (50 millones EUR, CNIL, enero 2019): la autoridad francesa sancionó a Google por falta de transparencia y ausencia de consentimiento válido en la personalización de publicidad.
El ritmo de aplicación se ha intensificado: el GDPR Enforcement Tracker registró más de 1.200 decisiones formales de aplicación solo en el primer trimestre de 2026.
Guía práctica de cumplimiento para empresas fuera de la UE
Paso 1: Determinar si el RGPD le aplica
Evalúe si su organización ofrece bienes o servicios a personas en el EEE (indicadores: lengua, moneda, envío, dominio) o monitoriza su comportamiento (cookies, analítica, perfilado). Si la respuesta es afirmativa a cualquiera de las dos preguntas, el RGPD se aplica.
Paso 2: Designar un representante en la UE
Si no tiene establecimiento en la UE, designe un representante conforme al Art. 27 en el Estado miembro relevante. Documente la designación y publique los datos de contacto del representante en su política de privacidad.
Paso 3: Establecer la base legal y las políticas de transparencia
Identifique la base legal para cada tratamiento. Redacte una política de privacidad conforme al Art. 13 RGPD, accesible desde su sitio web. Implemente mecanismos de consentimiento conformes para las actividades que lo requieran.
Paso 4: Formalizar los contratos con encargados
Si actúa como encargado del tratamiento para empresas europeas, formalice contratos de encargo conformes al Art. 28. Si actúa como responsable con encargados fuera del EEE, implemente las CCT correspondientes.
Paso 5: Designar un DPO si procede
El Art. 37 RGPD exige la designación de un delegado de protección de datos cuando las actividades principales del responsable o del encargado impliquen un seguimiento regular y sistemático de interesados a gran escala, o el tratamiento a gran escala de datos sensibles.
Gestionar el cumplimiento del RGPD desde fuera de la UE añade complejidad operativa significativa. Legiscope permite a organizaciones no europeas gestionar su programa de cumplimiento de forma centralizada, incluyendo la documentación del representante en la UE, los contratos de encargo y las evaluaciones de impacto.
FAQ
¿Se aplica el RGPD a empresas en México que venden a clientes europeos?
Sí. Si una empresa mexicana ofrece bienes o servicios a personas en el EEE --por ejemplo, una tienda online accesible en español europeo, que acepta pagos en euros o envía productos a España–, está sujeta al RGPD en virtud del Art. 3(2)(a). Debe cumplir todas las obligaciones del RGPD, incluida la designación de un representante en la UE (Art. 27), la información al interesado (Art. 13) y la formalización de CCT para las transferencias de datos.
¿Existe alguna exención del RGPD para pequeñas empresas fuera de la UE?
No existe exención por tamaño en relación con el ámbito territorial del RGPD. El Art. 30(5) exime a organizaciones con menos de 250 empleados de la obligación de mantener un registro de actividades de tratamiento, pero solo para tratamientos no habituales y de bajo riesgo. Una PYME fuera de la UE que trate datos de personas del EEE necesita igualmente una base legal, una política de privacidad, contratos de encargo y, si procede, CCT para las transferencias.
¿Qué es el representante en la UE y cuándo es obligatorio?
El Art. 27 RGPD obliga a las organizaciones no establecidas en la UE sujetas al Art. 3(2) a designar un representante en un Estado miembro donde se encuentren los interesados. El representante actúa como punto de contacto para la AEPD u otras autoridades de control y para los interesados. La obligación se exceptúa para autoridades públicas y para tratamientos ocasionales que no incluyan datos sensibles ni supongan un riesgo para los derechos de los interesados.
¿Pueden las autoridades europeas sancionar a empresas que no tienen presencia en la UE?
Sí. Las autoridades europeas han impuesto sanciones millonarias a empresas sin presencia física en la UE: Clearview AI (EE.UU., 30,5 millones EUR), TikTok (China, 530 millones EUR). La ejecución práctica de estas sanciones puede ser más compleja, pero las autoridades disponen de mecanismos de cooperación internacional y la sanción afecta a la capacidad de la empresa de operar en el mercado europeo.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
