Multas por incumplir el RGPD

Blog

Multas por incumplir el RGPD

Desde que se aplicó de forma obligatoria el Reglamento (UE)2016/679 General de Protección de Datos (en adelante, RGPD) el pasado 25 de mayo de 2018, la AEPD ha ido incrementando el número de procedimientos sancionadores contra las empresas incumplidoras de la normativa. En este sentido, la Memoria Anual 2020 (https://www.aepd.es/es/documento/memoria-aepd-2020.pdf) recalca un aumento del 16% de los procedimientos sancionadores entre 2019 y 2020.

En este contexto, es necesario recordar a las empresas la cuantía de las multas RGPD , a quiénes se les pueden imponer y si las multas RGPD pueden graduarse.

¿Cuáles son las multas RGPD?

Las multas RGPD son las siguientes:

  • Multa de hasta 10 millones de euros o hasta el 2% del volumen del negocio total anual global del ejercicio financiero anterior.
  • Multa de hasta 20 millones de euros o hasta el 4% del volumen del negocio total anual global del ejercicio financiero anterior.

Como puede apreciarse, el RGPD establece un sistema dual para fijar la cuantía de las sanciones protección de datos: la multa podrá consistir en una cifra exacta (hasta 10 o 20 millones de euros), o bien podrá calcularse en función de un determinado porcentaje del volumen de negocio total anual global del ejercicio financiero anterior de la empresa sancionada (hasta el 2% o 4%). Se elegirá la opción más gravosa.

¿A quiénes se les pueden imponer las multas RGPD?

Para determinarlo tenemos que irnos a la normativa nacional concreta que, en nuestro caso, es la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD).

De conformidad con la LOPDGDD, los sujetos responsables por el incumplimiento de la normativa sobre protección de datos y, por tanto, a quiénes se les puede imponer las multas RGPD son:

  • Responsables de los tratamientos.
  • Encargados de los tratamientos.
  • Representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la UE.
  • Entidades de certificación.
  • Entidades acreditadas de supervisión de los códigos de conducta.

Se dispone expresamente que el régimen sancionador no será aplicable al Delegado de Protección.

Por otro lado, es importante destacar que, aunque las Autoridades y Organismo públicos (Administraciones Públicas) deben cumplir la normativa sobre protección de datos, el RGPD concede discrecionalidad a los Estados para decidir si son objeto o no de sanciones pecuniarias. En virtud de la LOPDGDD, no serán objeto de sanciones pecuniarias, sino tan sólo de un apercibimiento y comunicación de sus actuaciones al Defensor del Pueblo.

También, respecto a las organizaciones, la AEPD puede sustituir la sanción por un apercibimiento,“en caso de infracción leve” o “si la multa probablemente se impusiera constituyese una carga desproporcionada para una persona física”.

¿Se pueden graduar las multas RGPD?

Sí, se pueden graduar. Al respecto, el RGPD dispone que las autoridades de control deberán valorar las condiciones particulares de cada caso y adecuar la sanción en función de las mismas.

El RGPD establece a título enunciativo un listado de factores de graduación que deben tener en cuenta las autoridades de control a la hora de decidir la cuantía a imponer en cada caso concreto:

  • La naturaleza, gravedad y duración de la infracción teniendo en cuenta el alcance o propósito de la operación de tratamiento así como el número de afectados y el nivel de los daños sufridos.
  • La intencionalidad o negligencia de la infracción.
  • Cualquier medida tomada por el responsable o encargado de tratamiento para paliar los daños y perjuicios ocasionados.
  • El grado de responsabilidad de responsable o encargado de tratamiento en función de las medidas técnicas y organizativas aplicadas a las infracciones anteriores cometidas.
  • Grado de cooperación con la autoridad de control para paliar los daños de la infracción.

Por su parte, la LOPDGDD añade  criterios de graduación, a los ya previstos por el RGPD:

  • El carácter continuado de la infracción.
  • La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
  • Los beneficios obtenidos como consecuencia de la comisión de la infracción.
  • La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
  • La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
  • La afectación a los derechos de los menores.
  • Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
  • El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado.

En el ámbito nacional, la autoridad de control en materia de protección de datos es la Agencia Española de Protección de Datos (AEPD), quien se encargará de aplicar, en su caso, los criterios de graduación e imponer la cuantía definitiva de las multas RGPD.