El Nuevo Régimen Sancionador del RGPD y la LOPDGDD:

Tradicionalmente, las normativas de protección de datos en Europa presentaban desafíos en cuanto a su cumplimiento efectivo, especialmente por parte de los grandes actores digitales a nivel global. La Unión Europea, consciente de esta situación y del impacto a gran escala de las infracciones, introdujo un cambio radical con el Reglamento General de Protección de Datos (RGPD). Una de las novedades más significativas de este reglamento es su robusto régimen sancionador, complementado en España por la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD).

Hasta la llegada del RGPD, la preocupación en la Unión Europea era palpable. Los incumplimientos en la normativa de protección de datos, con casos resonantes de grandes proveedores de internet como Google y Facebook llegando a los titulares diariamente, parecían no encontrar una respuesta disuasoria efectiva en las multas impuestas por los estados miembros.

El sentir generalizado era que para las grandes tecnológicas, la ganancia económica obtenida al infringir la normativa superaba con creces el costo de las multas impuestas. Tomemos el caso de España, donde la sanción máxima de 600.000 euros resultaba irrisoria en comparación con los ingresos astronómicos de estos gigantes digitales

Esta realidad impulsó un extenso debate en el Parlamento Europeo sobre la necesidad de adecuar el régimen sancionador a la magnitud de los desafíos actuales. Se buscaba un sistema que pudiera abordar tanto tratamientos de datos a pequeña escala como las operaciones masivas de los grandes operadores de internet.

El enfoque del régimen sancionador establecido por el RGPD marca un punto de inflexión. Tomando inspiración del derecho de la competencia (derecho antitrust), se introduce una nueva forma de sancionar: la posibilidad de que la multa se calcule como un porcentaje de la facturación global anual de la empresa infractora.

Según la gravedad de la infracción, este porcentaje puede oscilar entre el 2% y el 4% de la facturación total anual a nivel mundial. Para ilustrar la magnitud de este cambio, pensemos en el 2% de la facturación global de Google o el 4% de la facturación de Facebook o Amazon. Estamos hablando de cifras que alcanzan miles de millones de euros o dólares, un contraste abismal con el antiguo tope de 600.000 euros en España. Estas nuevas sanciones sí poseen un carácter disuasorio real, ejerciendo una presión patrimonial significativa para asegurar el cumplimiento.

Si bien el objetivo primordial de la normativa de protección de datos no es recaudatorio, la existencia de sanciones económicas elevadas se considera fundamental para garantizar su observancia.

Para comprender en detalle este régimen sancionador, es crucial remitirse a los artículos 83 y 84 del RGPD. En líneas generales, se establecen dos categorías principales de multas administrativas:

• Una primera escala, con multas de hasta 10 millones de euros o, para empresas, hasta el 2% del volumen de negocio total anual (aplicándose la de mayor cuantía). Esta categoría abarca infracciones relacionadas con las obligaciones del responsable y del encargado del tratamiento (artículos 8, 11, 25, 39, 42 y 43), las obligaciones de los organismos de certificación (artículos 42 y 43) y las obligaciones de la autoridad de control (artículo 40).
• Una segunda escala, con multas de hasta 20 millones de euros o, para empresas, hasta el 4% del volumen de negocio total anual del ejercicio financiero anterior (aplicándose la de mayor cuantía). Esta categoría incluye infracciones relativas a los principios básicos del tratamiento (incluidas las condiciones de consentimiento, artículos 5, 6, 7 y 9), los derechos de los interesados (artículos 12 al 22), las transferencias de datos personales a terceros países u organizaciones internacionales, las obligaciones impuestas por los estados miembros en virtud del capítulo XI, y el incumplimiento de resoluciones o limitaciones temporales o definitivas del tratamiento, o la suspensión de flujos de datos (como en el caso de la sentencia Schrems II).

En el contexto español, la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) aterrizó y especificó el régimen sancionador delineado por el RGPD. Esta ley nacional detalla con precisión los actores que pueden ser objeto de sanción, abarcando a los responsables y encargados del tratamiento de datos, los representantes de estos cuando no tienen sede en la Unión Europea (como aquellas empresas radicadas fuera de la UE), las entidades de certificación y los organismos acreditados para supervisar el cumplimiento de los códigos de conducta.

Además, la LOPDGDD divide las infracciones en tres tipos: muy graves, graves y leves, detallando en sus artículos 72, 73 y 74 las conductas específicas que se encuadran en cada categoría. Esta tipificación resulta de gran utilidad para las autoridades competentes a la hora de aplicar las sanciones.

Implicaciones para Argentina y Europa:

Para el público europeo, este nuevo régimen sancionador representa una mayor garantía de protección de sus datos personales. Las empresas que operan en la Unión Europea, independientemente de su lugar de establecimiento, deben tomarse muy en serio el cumplimiento del RGPD, ya que las sanciones pueden tener un impacto financiero significativo.

Para Argentina, aunque no esté directamente sujeta al RGPD, es importante observar estas tendencias. El RGPD se ha convertido en un estándar de facto a nivel global, influyendo en las legislaciones de protección de datos en otras regiones. Las empresas argentinas que traten datos de ciudadanos europeos o que tengan presencia en el mercado europeo deben conocer y cumplir con estas normativas para evitar sanciones. Además, la robustez del régimen sancionador del RGPD puede servir como un punto de referencia interesante para el debate y la posible reforma de la legislación de protección de datos en Argentina.

En conclusión, el RGPD ha introducido un régimen sancionador mucho más contundente y adaptado a la realidad de la economía digital global. Las multas basadas en un porcentaje de la facturación anual representan un cambio paradigmático con el objetivo de disuadir eficazmente el incumplimiento de la normativa de protección de datos, especialmente por parte de las grandes multinacionales. Tanto para los ciudadanos europeos como para las empresas y legisladores de otras regiones, como Argentina, este nuevo enfoque marca un hito importante en la protección de la privacidad en la era digital.

ialexartis@gmail.com