¿Cómo se puede bloquear a los usuarios de GDPR de los sitios con sede en EE.

Esto podría deberse a un malentendido del RGPD. El RGPD se aplica en tres circunstancias:

• Art 3 (1): usted (el controlador de datos) está establecido / vive en la UE.
• Art 3 (2) (a): usted ofrece bienes o servicios a personas en la UE.
• Art 3 (2) (b): supervisa el comportamiento de las personas que se encuentran físicamente en la UE.

Qué no es un factor:

• qué ciudadanía tienen los visitantes de su sitio (véase el considerando 14).
• si se puede acceder a su sitio desde la UE (véase el considerando 23).

La parte crucial es lo que significa "oferta de bienes o servicios". La EDPB ha emitido directrices oficiales sobre la interpretación de este criterio de focalización ( directrices 03/2018 sobre el ámbito territorial del RGPD ). Algunas notas importantes:

• La oferta de bienes o servicios no tiene por qué implicar compensación alguna. El acceso gratuito a un sitio web también puede ser un servicio.
• El RGPD se aplica cuando se dirige a personas que se encuentran actualmente en la UE. Los turistas estadounidenses en la UE están protegidos, los turistas de la UE en los EE. UU. No.
• El momento de ofrecer el servicio importa. Por ejemplo, una persona estadounidense que utiliza un servicio estadounidense no puede reclamar la protección GDPR contra el servicio estadounidense mientras viaja a la UE.
• En lugar de mirar a los usuarios del servicio, deberíamos mirar el mercado objetivo del servicio: si el servicio no atiende a personas en la UE, GDPR no se aplica.
• La pregunta esencial es si el proveedor del servicio “prevé” ofrecer servicios a personas en la UE. ¿El proveedor del servicio tiene la intención de que los interesados ​​de la UE utilicen el servicio?
• Las directrices recopilan una lista no exhaustiva de indicaciones de la jurisprudencia, en particular el caso Pammer y Alpenhof . Un extracto de indicaciones que podría aplicarse GDPR:
  • la UE o los estados miembros se mencionan en la oferta de servicios
  • el sitio web tiene marketing dirigido a una audiencia de la UE
  • la actividad en cuestión es de carácter internacional, por ejemplo, el turismo
  • mencionando datos de contacto especiales para el mercado de la UE
  • utilizando un nombre de dominio de nivel superior asociado con la UE o los estados miembros
  • instrucciones de viaje cuando se visita desde la UE
  • menciones de una clientela internacional que incluye personas / empresas de la UE
  • uso de un idioma o moneda diferente al suyo
  • ofrecer entrega de mercancías a la UE

Por lo tanto, si se aplica el RGPD dependerá del tema de su sitio web y de si tiene la intención de participar en el mercado de la UE (aunque solo sea en línea, incluso si su servicio es gratuito).

Si se aplicara el RGPD, sería cuestionable bloquear a las personas de la UE. También podría ser ilegal, pero no por motivos de GDPR.

Si el RGPD no se aplica, el bloqueo de personas de la UE ya es innecesario.

Sin embargo, el bloqueo geográfico sería una indicación muy clara de que no tiene la intención de ofrecer sus servicios a personas en la UE. No existe una buena jurisprudencia sobre si el bloqueo geográfico es necesario o suficiente. Supongo que el bloqueo geográfico es suficiente (incluso si se puede eludir fácilmente, por ejemplo, con una VPN), pero que no es necesario en primer lugar.

También puede volver a enfatizar que no está apuntando al mercado de la UE al considerar las indicaciones anteriores. Por ejemplo, una tienda web podría aclarar que solo realizan envíos a América del Norte, pero no a nivel internacional.

Nuevamente: la orientación de su sitio web es el factor crucial, no el origen de sus visitantes. Entonces, incluso si hay un visitante ocasional de la UE, eso no significa que tenga que cumplir con GDPR.

No puedes

Primero, California tiene una ley muy similar a la GDPR que se aplica a sus residentes sin importar dónde se encuentren. Esto es diferente del GDPR que se aplica a todas las personas en la UE sin importar dónde residan. Por lo tanto, un residente californiano en Europa está cubierto por ambas leyes y un alemán en Nebraska no está cubierto por ninguna.

En segundo lugar, algunas leyes permiten que las partes acuerden cumplir con diferentes reglas, por ejemplo, las leyes de arbitraje permiten que las partes renuncien a su derecho a utilizar los tribunales. Otros no lo hacen, por ejemplo, usted no puede acordar en un contrato que está bien pasar por un semáforo en rojo. El RGPD (y la ley de California) son explícitos en cuanto a que no se puede contratar, cualquier intento de hacerlo es simplemente nulo (sin efecto) y es en sí mismo un delito.

En tercer lugar, incluso si pudiera bloquear de manera confiable a todas las personas a las que se aplican las leyes, ¿qué hace cuando cambian las circunstancias del usuario que ha permitido? Soy australiano en Australia, por lo que no estoy cubierto por ninguna ley (aunque existen leyes de privacidad australianas que se aplican a mí), si recopila mis datos personales y, 5 años después, me mudo a Austria, el GDPR ahora se aplica a eso. datos.

Como dice “la tecnología ha mejorado enormemente”, también lo han hecho las protecciones legales de privacidad.