Así mismo, se aplicará al tratamiento de datos personales de interesados que residan en la Unión Europea por parte de un responsable o encargado no establecido en la UE, cuando las actividades de tratamiento estén relacionadas con (i) la oferta de bienes o servicios a dichos interesados en la UE, o (ii) el control de su comportamiento, en la medida en que este tenga lugar en la Unión Europea.
También cuando el responsable esté en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del derecho internacional público.
Se entenderá que constituye establecimiento el ejercicio de manera efectiva y real de una actividad a través de modalidades estables, siendo indiferente la forma jurídica, ya sea una sucursal o una filial con personalidad jurídica.
La Directiva 95/46/CE y su trasposición al ordenamiento español (LOPD 15/1999 y RDLOPD 1720/2007), solo contemplaban la aplicación extraterritorial, al tratamiento de datos por una compañía ubicada fuera de la Unión, siempre y cuando se utilicen medios ubicados en un Estado miembro. La aplicación extraterritorial del Reglamento está en línea con los objetivos del Mercado Único Digital, encaminados a que las autoridades europeas tengan mecanismos más eficaces para fiscalizar y controlar la actividad comercial de las empresas que se dirigen a consumidores europeos y, que operan desde fuera de la Unión Europea.
Las Compañías ubicadas físicamente en territorio de la Unión Europea deberán adecuar el tratamiento de datos conforme al nuevo Reglamento, mientras que las Compañías ubicadas fuera de la UE deberán analizar si el tratamiento de datos que llevan a cabo está relacionado con: (i) la oferta de bienes o servicios a interesados residentes en la UE (independientemente de que medie pago), (ii) el control de su comportamiento, en la medida en que este tenga lugar en la Unión Europea.