El GDPR de la UE solo se aplicará a los datos personales de las personas dentro de la Unión, mientras que la nacionalidad o residencia habitual de esas personas es irrelevante.
LINK
El alcance extra de GDPR (Continuación)
Cuando los datos de los ciudadanos de la UE se procesan fuera de la UE por empresas que también están fuera de la UE, esto no se considera "en la Unión". Por ejemplo, el GDPR de la UE no será aplicable para una escuela con sede en los Estados Unidos solo porque existe la posibilidad de que uno o varios de sus estudiantes sean ciudadanos de la UE. En este caso, el procesamiento no se lleva a cabo "en la Unión", ni el individuo "en la Unión".
Una de las consecuencias del alcance extraterritorial es que las empresas no establecidas en la UE deben designar a un representante. Ese representante debe tener su sede en un Estado miembro en el que se basan los interesados pertinentes.
Solo se permite una excepción limitada cuando el procesamiento es ocasional, no implica el procesamiento a gran escala de datos personales confidenciales, y es poco probable que el propósito y el resultado del procesamiento sean un riesgo para las personas.
