Desde su entrada en vigor el 25 de mayo de 2018, el Reglamento (UE) 2016/679 —más conocido como RGPD— se ha convertido en la norma de referencia en toda la Unión Europea para la protección de datos personales. A diferencia de su antecesora, la Directiva 95/46/CE, el RGPD no requiere transposición a los ordenamientos nacionales: es directamente aplicable en todos los Estados miembros. Este principio de aplicación uniforme garantiza que tanto ciudadanos como empresas estén sometidos a las mismas reglas y derechos, independientemente del país donde residan o ejerzan su actividad.
¿Qué implica la aplicación uniforme del RGPD?
El artículo 288 del Tratado de Funcionamiento de la UE establece que los reglamentos tienen “alcance general, son obligatorios en todos sus elementos y directamente aplicables en cada Estado miembro”. Así, el RGPD tiene un carácter vinculante y homogéneo, asegurando un nivel de protección equivalente en toda la Unión (Considerando 10 del RGPD). Esto no significa que no existan matices nacionales (por ejemplo, en cuestiones laborales o de interés público), pero sí que los principios, derechos y obligaciones son los mismos en Lisboa, Berlín o Helsinki.
Sanciones: el RGPD se aplica… y se sanciona
El Reglamento establece un régimen sancionador estricto, con multas que pueden alcanzar los 20 millones de euros o el 4% del volumen de negocios global anual, lo que sea mayor. Las autoridades nacionales de protección de datos no han dudado en aplicarlo con firmeza. A continuación, algunos ejemplos relevantes fuera de España:
- Irlanda: La DPC (Data Protection Commission) ha sido especialmente activa con grandes tecnológicas. En 2023 impuso una multa récord de 1.200 millones de euros a Meta (Facebook) por transferencias internacionales de datos sin las debidas garantías, en violación del artículo 46 del RGPD.
- Francia: La CNIL sancionó a Google con 150 millones de euros y a Facebook con 60 millones en 2022 por la forma en que gestionaban las cookies, considerando que no ofrecían un mecanismo claro para rechazar su uso (artículos 4.11 y 7 sobre el consentimiento).
- Italia: La Garante per la Protezione dei Dati Personali multó a TIM (Telecom Italia) con 27,8 millones de euros por haber realizado campañas comerciales sin consentimiento y por deficiencias en la gestión de solicitudes de ejercicio de derechos.
- Alemania: La autoridad de Berlín impuso una sanción de 14,5 millones de euros a Deutsche Wohnen, una empresa inmobiliaria, por conservar datos de inquilinos sin base legal durante años (violación del principio de minimización y limitación temporal).
Conclusión: no es una cuestión nacional, es una obligación europea
El RGPD no es un mero formalismo legal. Su alcance y sus consecuencias son reales, y su cumplimiento es supervisado de forma activa por las autoridades nacionales de cada Estado miembro. No cumplirlo puede conllevar sanciones millonarias, independientemente del tamaño de la empresa o el país en el que opere.
Cualquier organización que trate datos personales en Europa —o incluso fuera de ella si dirige sus servicios al mercado europeo— debe entender que el RGPD no es opcional. Es una norma europea de obligado cumplimiento, homogénea, exigente y cada vez más vigilada.