A Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018) adota no art. 3º os critérios da territorialidade e da extraterritorialidade para definir a sua aplicação no espaço:
"Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I - a operação de tratamento seja realizada no território nacional;
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional".
O GDPR da União Europeia também adota no seu art. 3º os critérios da territorialidade e da extraterritorialidade.
Esses critérios foram levados em consideração em uma decisão recente da autoridade de proteção de dados da Finlândia, sobre o descumprimento do direito de acesso aos dados.
Na aplicação do direito de acesso aos dados, a autoridade de proteção de dados da Finlândia (Office of the Data Protection Ombudsman) decidiu, em 24 de junho de 2021, condenar a Nissan Nordic Europe ao cumprimento de obrigação de fazer (sem impor multa ou outra sanção), consistente na modificação de suas práticas para observar integralmente o art. 15 do GDPR (direito de acesso do titular de dados) e os prazos estabelecidos no art. 12 do GDPR para o fornecimento as informações requeridas pelo titular.
O caso envolveu um titular domiciliado na Dinamarca, que apresentou reclamação à autoridade nacional de proteção de dados dinamarquesa, que notificou o controlador para apresentar todos os dados requeridos por aquele. Este se comprometeu a apresentar todas as informações em dois meses, mas descumpriu parcialmente o prazo e não entregou os registros de gravações das chamadas telefônicas. Tendo em vista que a administração das empresas do controlador é sediada na França (Nissan Automotive Europe), mas que as decisões sobre os dados de titulares localizados na Dinamarca compete à sede da empresa na Finlândia (Nissan Nordic Europe), a questão foi remetida para a adoção de providências da autoridade finlandesa.
O controlador justificou a demora em virtude da necessidade de verificação de dados de terceiros identificáveis nas gravações, a fim de identificar e fornecer apenas os dados pessoais do titular que requisitou as informações, sem causar incidentes com dados de outras pessoas. Porém, a autoridade nacional da Finlândia concluiu que o controlador não pode se negar a fornecer os dados ao titular, de forma escrita (com a degravação dos áudios) ou por meio eletrônico (com o fornecimento das gravações), protegidos os dados pessoais de terceiros.