Desde el 10/4/2026, empresas con +50 trabajadores están obligadas a comunicar el responsable del Canal Ético.
logo-audidat-2024.png
NORMIQ
AUDITORÍA SIN COSTE
CONTACTO
CONTACTO
NormIQ

Potestades de investigación de la AEPD: alcance europeo en situaciones globales

En este artículo hablamos sobre:

  • La AEPD enfrenta dificultades para investigar casos fuera de la Unión Europea o del Espacio Económico Europeo.
  • En dos resoluciones recientes, la Agencia archivó procedimientos al no poder atribuir responsabilidades por acciones cometidas fuera de su jurisdicción.
  • Las normativas del RGPD limitan la actuación de la AEPD cuando los actos no implican la oferta de bienes o servicios a ciudadanos de la UE.
  • Estos casos exponen la complejidad de la regulación en el entorno global de internet y las barreras jurisdiccionales en la protección de datos.

Casos recientes: limitaciones jurisdiccionales

La Agencia Española de Protección de Datos (AEPD) ha archivado recientemente dos procedimientos en los que se enfrentó a la imposibilidad de ejercer sus potestades de investigación fuera de España o del Espacio Económico Europeo (EEE). En el primer caso, el expediente EXP202301164, el reclamante denunció a su hermano por la publicación de un vídeo de un procedimiento judicial en YouTube. La AEPD solicitó información a Google Spain, pero esta entidad remitió el caso a Google Ireland, que a su vez señaló que YouTube es gestionado por Google LLC, con sede en Estados Unidos. Ante la falta de jurisdicción para obtener información de una empresa regida por leyes estadounidenses, la AEPD archivó el caso por no poder atribuir responsabilidades.

En el segundo caso, el expediente EXP202304525, la AEPD investigaba un caso de extorsión relacionado con un vídeo sexual del reclamante publicado en una web. La investigación llevó a una dirección IP registrada en Costa de Marfil, y Meta Platforms Ireland indicó que el perfil de Instagram involucrado estaba ubicado fuera de Europa. Al no poder identificar al responsable, la AEPD también archivó este procedimiento.

Ámbito de aplicación del RGPD

Estos casos destacan las limitaciones del Reglamento General de Protección de Datos (RGPD) en cuanto a su ámbito de aplicación. Según el RGPD, la AEPD solo tiene competencias para investigar cuando el responsable o encargado del tratamiento de los datos tenga un establecimiento en la UE o cuando el tratamiento afecte a ciudadanos de la UE en relación con la oferta de bienes o servicios, o el control de su comportamiento dentro de la UE. En los casos analizados, los responsables estaban fuera de este ámbito, lo que dejó a la Agencia sin capacidad efectiva para actuar.

Reflexión sobre las investigaciones de la AEPD

Aunque estos casos podrían generar una sensación de impunidad o falta de diligencia por parte de la AEPD, la realidad es que la Agencia está limitada por el marco legal europeo y sus competencias. Sin embargo, surge la cuestión de por qué la AEPD dedicó esfuerzos a investigar estos casos si, desde el principio, parecían estar fuera de su jurisdicción. Una posible explicación es que la Agencia buscaba descartar la posibilidad de que ciudadanos europeos estuvieran involucrados a través de entidades externas, lo que habría implicado una infracción deliberada de las normativas europeas.

Desafíos de la regulación en internet

Este tipo de conflictos jurisdiccionales no son exclusivos de la AEPD, sino que son inherentes al uso global de internet. Desde sus inicios, la red ha planteado desafíos para los Estados en cuanto a la regulación y aplicación de leyes. Un ejemplo clásico es el caso Yahoo! vs. LICRA en los años 2000, que evidenció las dificultades de imponer regulaciones nacionales en un entorno sin fronteras.

Preguntas abiertas

La archivación de estos casos plantea varias preguntas importantes: ¿Es suficiente crear una cuenta en un país fuera de la UE para escapar de la competencia de la AEPD? ¿No deberían tener las grandes empresas tecnológicas como Google o Meta una mayor obligación de colaborar con las autoridades de los países en los que operan, incluso a través de sus filiales? ¿Podría la AEPD abrir investigaciones de oficio contra estas empresas por vulnerar su deber de colaboración?

El desarrollo de futuras resoluciones de la AEPD será clave para responder a estas preguntas y clarificar cómo la Agencia puede mejorar su capacidad de investigación en un mundo digital cada vez más globalizado y complejo.

Más artículos sobre cumplimiento normativo

¡DESCUBRE AHORA TU NIVEL DE CUMPLIMIENTO!

AUDITORÍA RÁPIDA DE CUMPLIMIENTO NORMATIVO

HACER AUDITORÍA

¡Será un placer ayudarte!

¿Necesitas asesoramiento personalizado?

Si usted introduce su dirección de correo electrónico, dará su autorización para la recepción periódica de nuestra Newsletter en su correo electrónico, consintiendo asimismo el tratamiento de los datos personales facilitados con la citada finalidad. Si usted desea dejar de recibir nuestra Newsletter en su dirección de correo electrónico, puede oponerse en cualquier momento al tratamiento de sus datos con fines informativos remitiendo un mensaje de correo electrónico, con el asunto “BAJA SUSCRIPCIÓN NEWSLETTER”, a la siguiente dirección: info@audidat.com. Puede dirigirse a nosotros para saber qué información tenemos sobre usted, rectificarla, eliminarla y solicitar el traspaso de su información a otra entidad (portabilidad). Para solicitar estos derechos, deberá realizar una solicitud escrita a nuestra dirección, junto con una fotocopia de su DNI: Audidat 3.0, SL · Paseo de la Castellana 182 - 6ª planta C.P. 28046 · Madrid. Dirección de contacto con nuestro Delegado de Protección de Datos: dpd@audidat.comSi entiende que sus derechos han sido desatendidos, puede formular una reclamación en la AEPD (www.aepd.es). Dispone de una información ampliada sobre el tratamiento de sus datos personales en el apartado “Política de Privacidad” de nuestra página web.

¿Necesitas un presupuesto a medida?
Contactar