As regras de aplicação territorial da LGPD previstas no seu art. 3º adotam a territorialidade e a extraterritorialidade.
Por isso, a LGPD pode ser aplicada a atividades de tratamento de dados pessoais realizadas no território brasileiro e fora dele, de acordo com as seguintes regras:
1) se as operações de tratamento de dados pessoais ocorrerem no território nacional;
2) se a atividade de tratamento de dados tiver entre os seus objetivos a oferta ou o fornecimento de bens ou serviços no Brasil, ou o tratamento de dados de indivíduos localizados no território nacional;
3) e se os dados pessoais objeto do tratamento forem coletados no território nacional.
Destaca-se que não há a fixação da aplicação da LGPD com base na residência ou no domicílio do titular dos dados, mas sim com base na sua localização em qualquer parte do território brasileiro.
De forma diversa das normas de fixação de competência processual (por exemplo, arts. 46/53 do CPC e arts. 69 e 72/73 do CPP) e das normas de aplicação territorial das leis fixadas na Lei de Introdução às Normas do Direito Brasileiro (ex: arts. 7º/8º e 10 do Decreto-Lei nº 4.657/42), que utilizam a expressão “domicílio”, a LGPD faz uso do termo “localizados” para se referir a pessoas (as normas processuais referidas usam a palavra “lugar” ou “local” para mencionar bens, fatos e atos).
Por isso, a localização do titular dos dados pessoais é um dos critérios de definição da incidência da LGPD.
Por exemplo, se um uruguaio atravessar a fronteira com o Brasil por alguns minutos, baixar um aplicativo de uma empresa espanhola em seu smartphone chinês (e, para isso, aceitar o tratamento de seus dados ao concordar com os termos de uso), a LGPD incide sobre essa relação jurídica.
Ainda, o uso da localização da pessoa no momento da ocorrência de uma das atividades de tratamento como um critério de aplicação da lei contém as dificuldades inerentes à definição precisa do local e do início do tratamento. Por exemplo, na internet, é possível alterar a localização do endereço IP por meio de uma rede privada virtual (VPN – Virtual Private Network) – o que é feito não necessariamente para fins ilícitos, mas para objetivos lícitos, como, por exemplo, a própria proteção da segurança e da privacidade online.
Portanto, a identificação do local de tratamento dos dados e a definição da legislação aplicável na proteção dos dados pessoais não é uma tarefa simples e deve ser, por si só, objeto de controvérsias.