La UE sienta las bases para el cálculo de multas en materia de protección de datos

Publicado el 28th septiembre 2023

Las directrices no definen una fórmula para el cálculo automático de las multas, pero establecen un método común a efectos de armonización

European parliament empty assembly room

La aplicación del Reglamento General de Protección de Datos (RGPD) a partir del 25 de mayo de 2018 marcó un hito significativo en la regulación de la protección de datos en Europa, reformando el marco normativo de la privacidad.

Uno de los cambios más destacados fue el fortalecimiento de las competencias de ejecución otorgadas a las autoridades de protección de datos de los Estados Miembros, junto con la introducción de sanciones económicas considerablemente más elevadas que las anteriormente previstas para aquellos responsables y encargados del tratamiento que no cumpliesen con el marco normativo.

La fórmula para determinar el importe específico de estas multas dentro de la horquilla establecida por el RGPD se ha convertido en un tema de gran importancia práctica para las empresas ya que éste puede ser sustancial y potencialmente devastador para el desarrollo del negocio.

El RGPD establece que las multas pueden alcanzar hasta un máximo del 4 por ciento del volumen de negocios global anual de la empresa o de 20 millones de euros, optándose por la cifra de mayor cuantía. Además, el riesgo de enfrentarse a sanciones administrativas de carácter económico ha aumentado significativamente en los últimos años, siendo el año 2022 un año récord tanto en número como en cantidad recaudada por multas impuestas por infracciones del RGPD. Este nuevo panorama ha impulsado a las empresas a priorizar en su agenda el cumplimiento de la normativa de protección de datos, conscientes de las graves consecuencias económicas y reputacionales que pueden derivar de su incumplimiento.

Las directrices

El 12 de mayo de 2022 el Comité Europeo de Protección de Datos (CEPD) publicó las Directrices 04/2022 sobre el cálculo de las multas bajo el RGPD  las cuales fueron actualizadas por última vez el 29 de junio de 2023. Estas directrices complementan las previamente adoptadas por el CEPD sobre la aplicación y determinación de multas administrativas en virtud del RGPD, que se centran en determinar las situaciones que conllevan la imposición de sanciones. El CEPD ha declarado que el objetivo de estas recientes directrices es armonizar la metodología utilizada por las autoridades de control para calcular el importe de las multas, proporcionando a las empresas mayor seguridad y claridad sobre cómo se determinan las sanciones.

Sin perjuicio de las obligaciones de cooperación y coherencia establecidas en el RGPD, la determinación del importe de las multas queda siempre a discreción de cada autoridad de control. Con estas directrices, el CEPD establece  cinco pasos para que las autoridades de control de los Estados Miembros puedan calcular multas, buscando así promover la coherencia y la armonización en la metodología utilizada en su cálculo. No obstante, el CEPD ha subrayado que las autoridades no están obligadas a seguir todos los pasos si no son aplicables a un caso específico, ni a justificar por qué no han aplicado ciertos aspectos de las directrices.

Los cinco pasos

Las directrices establecen el siguiente esquema de cinco pasos para el cálculo de las multas:

Paso uno

Identificar las operaciones de tratamiento de datos del supuesto en cuestión para determinar si deben considerarse como una única conducta sancionable o múltiples conductas sancionables, así como para fijar si la conducta sancionable da lugar a una o varias infracciones. En situaciones en las que una conducta resulte en múltiples infracciones, se explica cómo se debe determinar si la imputación de una infracción excluye la atribución de otra infracción o si deben imputarse las infracciones de manera conjunta.

El CEPD ofrece ejemplos prácticos que ayudan a diferenciar entre operaciones de tratamiento separadas y vinculadas, así como a establecer si una infracción puede considerarse subsidiaria de otra. Además, aborda la cuestión de la unidad de acción, que se presenta cuando una conducta está sujeta a varias disposiciones legales o, en casos especiales, cuando una sola acción infringe varias veces la misma disposición legal.

Paso dos

Establecer el punto de partida para el cálculo posterior del importe de la multa. Los tres elementos que constituyen el punto de partida son los siguientes:

  1. La categorización de infracciones según su naturaleza, esto es, aquellas que conllevan una multa máxima de 10 millones de euros o el 2 por ciento del volumen de negocios anual de la empresa, y aquellas que son sancionables con una multa máxima de 20 millones de euros o el 4 por ciento del volumen de negocios anual de la empresa.
  2. La gravedad de la infracción en función de si ésta es baja, media o alta. Para ello, se analizan factores como la naturaleza, el alcance o la finalidad del tratamiento de datos, el número de personas afectadas, el nivel de perjuicio sufrido por estas personas, así como si la infracción fue intencionada o negligente y las categorías de datos personales afectados. En función del nivel de gravedad obtenido, la autoridad de control establece el importe inicial para el cálculo posterior de la multa (es decir, nivel de gravedad baja, 0-10 por ciento del máximo legal aplicable; nivel medio, 10-20 por ciento del máximo legal aplicable; y nivel alto, 20-100 por ciento del máximo legal aplicable).
  3. El volumen de negocios de la empresa por ser éste un factor que puede ser indicativo del tamaño y del poder económico de las empresas infractoras. El CEPD contempla distintas disminuciones y aumentos del importe de la multa en base a este criterio.

Paso tres

Evaluar las circunstancias agravantes y atenuantes, como por ejemplo la existencia de infracciones previas, las medidas adoptadas por el responsable o el encargado del tratamiento para mitigar el daño sufrido por los interesados, el grado de responsabilidad del responsable o del encargado del tratamiento y el grado de cooperación de la organización con la autoridad de control.

El CEPD señala que las circunstancias agravantes y atenuantes de la gravedad de la infracción constituyen un listado numerus apertus y permite considerar cualesquiera otros factores relacionados con el contexto legal, socioeconómico o de mercado en el que opere el responsable o encargado del tratamiento infractor. Por ejemplo, se puede considerar el beneficio económico obtenido como resultado de la infracción o la influencia de eventos ajenos (entre otros, pandemias) en la manera de tratar datos personales.

Paso cuatro

Determinar los máximos legales de las sanciones para las distintas operaciones de tratamiento, de modo que los incrementos aplicados en base a lo establecido en los pasos anteriores o en el siguiente no puedan superar estos importes máximos.

Este paso se centra específicamente en los denominados importes "máximos dinámicos" de las multas con arreglo al RGPD, que son el 2 por ciento o el 4 por ciento del volumen de negocios anual total de la empresa en el ejercicio anterior. El CEPD ofrece una explicación detallada sobre el concepto de "empresa" en el contexto de la legislación de la Unión Europea, proporciona numerosos ejemplos de diversas estructuras corporativas y explica el método para calcular el volumen de negocios anual total.

Paso cinco

Evaluar si la multa calculada cumpliría los requisitos de eficacia, disuasión y proporcionalidad, y determinar si es necesario un nuevo ajuste de la multa. Por ejemplo, las autoridades de control pueden considerar la posibilidad de reducir la multa para tener en cuenta su impacto en la viabilidad económica de la empresa y en el contexto social y económico particular. Esto podría incluir situaciones como un sector experimentando una crisis, un aumento del desempleo en el territorio o el potencial deterioro de sectores económicos relacionados.

Cada paso incluye referencias a artículos de la ley, jurisprudencia del Tribunal de Justicia de la Unión Europea y numerosos ejemplos prácticos. Esta versión final de las directrices también incorpora un anexo con un cuadro de referencia que ilustra la metodología utilizada para el cálculo de las multas, así como dos ejemplos detallados de aplicación práctica.

Relevancia para el ámbito empresarial

A pesar de que las directrices no establecen un método de cálculo automático o aritmético que permita a las empresas conocer la cifra concreta de las multas por infracciones en materia de protección de datos, sí les da la oportunidad de comprender los principios que guían a las autoridades de control en la determinación de dichos importes. Además, enfatizan la importancia de que las empresas colaboren estrechamente con las autoridades de control y tomen medidas adecuadas para reducir la probabilidad de enfrentarse a multas de cuantía elevada.

Comentario de Osborne Clarke

Pese a las notables divergencias en cómo las distintas autoridades de control determinan la imposición de multas, consideramos que estas directrices tienen un valor potencial en fomentar una mayor coherencia en el cálculo de las multas, muy especialmente en infracciones de protección de datos de carácter transfronterizo, además de permitir que las empresas puedan anticipar y gestionar de una manera más eficiente los incumplimientos relacionados con la privacidad de los datos.

Compartir

* This article is current as of the date of its publication and does not necessarily reflect the present state of the law or relevant regulation.

Contacte con uno de nuestros expertos

Interested in hearing more from Osborne Clarke?