El régimen sancionador del Reglamento General de Protección de Datos (RGPD) ha sido uno de los puntos que más atención ha recibido del nuevo reglamento europeo. Se trata de un régimen sancionador muchísimo más severo que el que contemplaba la antigua LOPD pudiendo llegar, en los casos más graves, a multas de 20 millones de euros o el 4% de la facturación anual de una empresa (cifra que puede llegar a los cientos de millones de euros en empresas multinacionales).

Sin embargo, la Agencia Española de Protección de Datos, en boca de su Adjunto a la Dirección D. Jesús Rubí Navarrete, ha querido matizar esta aparente mayor dureza del RGPD respecto a la legislación anterior. Según Rubí, las cifras astronómicas del nuevo régimen sancionador han provocado que la gente pierda de vista que el nuevo reglamento contempla “un montón de medidas correctivas que evitarán una sanción para todos aquellos que hayan sido diligentes y hayan documentado cómo han tratado de hacer correctamente la adaptación al reglamento”.

Rubí Navarrete, hablando en el marco de una reciente Jornada informativa sobre la aplicación práctica de la nueva LOPDGDD y el RGPD, destacó la importancia de los “sistemas de cumplimiento que complementan o que son previos al régimen sancionador” en el RGPD. Estos sistemas tienen como objetivo que las sanciones sean un último recurso ya que “si se ha cometido un error puntual, se puede hacer una advertencia o un apercibimiento para que se tome una medida correctiva concreta”.

“Como regla general, no se va a ir a la aplicación del régimen sancionador salvo que haya una desidia absoluta en lo que se refiere al cumplimiento de esta normativa.”

Para facilitar el cumplimiento de la normativa sin tener que acudir al régimen sancionador, la ley prevé que los ciudadanos puedan dirigirse al mismo tiempo a la agencia y al propio responsable de tratamiento (a su Delegado de Protección de Datos si lo hubiese) para que éste trate de darle una solución práctica a la incidencia en un plazo no mayor de dos meses. Esto no significa que la AEPD no vaya a abrir una investigación si lo cree oportuno, pero sí da la oportunidad al responsable de tratamiento de solucionar el problema evitando una sanción, algo que con la anterior regulación estaba más enfocado a la sanción.

Estos sistemas de resolución de conflictos entre interesados y responsables de tratamiento pueden hacer que estas incidencias se solucionen de un modo mucho más rápido y sin necesidad de imponer sanciones. “En un porcentaje muy elevado de reclamaciones que se plantean que tengan que ver, por ejemplo, con la rectificación del acceso a la información, publicidad no deseada u otros casos concretos, se remite a estos responsables, se exige que den una contestación, que acrediten que se ha contestado a esta persona y, si se resuelve el problema, pues normalmente, salvo que se vea que haya un reiteración del problema en una determinada compañía, se puede evitar la sanción”, declaró Rubí sobre el nuevo régimen sancionador. Eso sí, “si se percibe una repetición sistemática de los mismos errores, habrá que ir a hacer una investigación en profundidad de que pasa en esa empresa”, advirtió el adjunto a la dirección de la AEPD.

Todos estos procedimientos que promueve el reglamento de soluciones amistosas son procedimientos que se han puesto en marcha de una manera intensiva a partir del 25 de mayo, cuando empezó la aplicación efectiva de este reglamento.

Por lo tanto, es muy importante subrayar que, a pesar de lo espectacular de las cifras del régimen sancionador del RGPD, lo más importante es poder demostrar la voluntad de diligencia y la documentación de los procedimientos a la hora de evitar una sanción.