Como es conocido, en el Quinto Suplemento del Registro Oficial No. 459 del 26 de mayo del 2021 se publicó la Ley Orgánica de Protección de Datos Personales (LOPDP). La fecha de publicación de este cuerpo normativo resulta de suma importancia en directa referencia al régimen sancionatorio que establece la LOPDP. Aún cuando la LOPDP está publicada y vigente, su disposición transitoria primera establece que “[l]as disposiciones relacionadas con las medidas correctivas y el régimen sancionatorio entrarán en vigencia en dos años contados a partir de la publicación de esta ley en el Registro Oficial.” Por lo tanto, será a partir del 26 de mayo del 2023 que la Autoridad de Protección de Datos Personales –entidad pendiente a ser creada– podrá aplicar las sanciones y medidas correctivas.

Ahora, si bien existe un período para la aplicación de los correctivos y las sanciones y correctivos -que puede parecer ser un plazo largo, pero que no lo es- hacemos un breve análisis de las implicaciones legales de este régimen sancionatorio.

Es fundamental destacar que a nivel de Sudamérica la mayoría de los países ya contaba con una ley de protección de datos personales, y restaban únicamente pocas jurisdicciones, entre esas el Ecuador, que no tenía cuerpo normativo para la materia y menos aún experiencia en estos asuntos de complejidad legal y técnica. Como antecedente a la LOPDP, es importante destacar que en el año 2016 se publicó el Reglamento Europeo de Protección de Datos (RGPD), el cual es aplicable a todos los países que forman parte de la Unión Europea.

Hacemos recuento a esta norma, toda vez que la LOPDP recoge los mismos principios de esta reglamentación avanzada, en donde además se procuró establecer un régimen de sanciones igual. El artículo 83 del RGPD establece las condiciones generales para la imposición de multas administrativas, mismas que van desde 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía hasta 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

A inicios del debate de la LOPDP, al ser una norma que recogía bases del RGPD, se pensó en establecer multas similares, las mismas que iban hasta el 17% del volumen de negocio, lo cual hubiese sido nefasto en consideración a la operación económica empresarial de Ecuador en comparación con la de Europa. Afortunadamente, las multas que se establecieron por medio de la LOPDP se clasificaron en leves y graves, siendo las leves aquellas sancionadas con una multa de entre el 0.1% y el 0.7% calculada sobre su volumen de negocio correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa y las graves entre el 0.7% y el 1% del volumen de negocio correspondiente al ejercicio económico inmediatamente anterior, siendo el volumen de negocio “(…) la cuantía resultante de la venta de productos y de la prestación de servicios realizados por operadores económicos, durante el último ejercicio que corresponda a sus actividades, previa deducción del Impuesto al Valor Agregado y de otros impuestos directamente relacionados con la operación económica.”[1]

Una característica importante de las sanciones de la LOPDP es que estas no se conforman solo por multas, sino que también existe la imposición de medidas correctivas con el objeto de evitar que se siga cometiendo la infracción y que la conducta se produzca nuevamente. De acuerdo con la LOPDP las medidas correctivas pueden comprender, entre otras: el cese del tratamiento, bajo determinadas condiciones o plazos; la eliminación de los datos; y la imposición de medidas técnicas, jurídicas, organizativas o administrativas a garantizar un tratamiento adecuado de datos personales. El incumplimiento de estas medidas es causal para el posterior establecimiento de multas, por lo que violar estas medidas agrava la situación de quién ya, de primera mano, incumplió con la norma.

Se considera que las multas establecidas por la LOPDP son acordes con la economía nacional, pero si tomamos en cuenta que la Autoridad de Protección de Datos Personales se financiará por si sola sobre la base de las multas impuestas, no descartamos que las mismas incrementen, además de tener, posiblemente, a una autoridad muy vehemente.

Es menester recordar que el objetivo primordial de establecer un régimen sancionatorio para el incumplimiento de normativa es que las multas estas sean categóricas, de forma tal que el accionado, o cualquier operador económico del mercado, no las haga costumbre o las incorpore como parte de sus costos en su modelo de negocio, concluyendo que le saldría “más económico” pagar las multas versus el rédito obtenido al incumplir la LOPDP. Al establecer un régimen de sanciones, este debe ser lo suficientemente estricto para evitar incumplimientos, y lo suficientemente proporcional al nivel de la infracción.

En este sentido, advertimos e inquietamos a que los operadores económicos comiencen a tomar las medidas correspondientes para no incumplir la LOPDP y ser objeto de multas, las mismas que creemos serán progresivas, además de causar un evidente impacto económico en cualquier empresa.

[1] Art. 73 LOPDP

Por: Mario Ruiz