Según el CEPD, la armonización del cálculo de las multas administrativas debe partir desde la ponderación de "todas las circunstancias del caso" para alcanzar el "importe final de la multa que debe imponerse".
El Comité Europeo de Protección de Datos publica nuevas directrices para calcular las sanciones por infracciones: hasta 20 millones
|
05/8/2023 06:30
|
Actualizado: 06/8/2023 11:50
|
El Comité Europeo de Protección de Datos (CEPD) ha anunciado la publicación de una nueva serie de directrices por las que se adoptarán nuevos criterios para cuantificar las sanciones que conllevan las infracciones del Reglamento General de Protección de Datos (RGPD) y la Directiva de protección de datos en el ámbito penal en la Unión Europea y el Espacio Económico Europeo.
De acuerdo al documento, que puede leerse en inglés y español (traducción no oficial), la armonización del cálculo de las multas administrativas debe partir desde la ponderación de «todas las circunstancias del caso» para alcanzar el «importe final de la multa que debe imponerse al responsable o al encargado del tratamiento», identificando tres consideraciones en principio: la categorización de las infracciones según el RGPD, la gravedad de la infracción y el volumen de negocios de la empresa.
El artículo 83 del RGPD establece que las infracciones pueden tipificarse en dos categorías: punibles en virtud de su apartado 4 y punibles en virtud de sus apartados 5 y 6. La primera se castiga con una multa máxima de 10 millones de euros o del 2 % del volumen de negocios anual de la empresa, mientras que la segunda tiene el doble, es decir, un máximo de 20 millones de euros o del 4 % del volumen de negocios anual de la empresa; se toma en cuenta la cifra que sea mayor en ambos casos.
En cualquier caso, la cuantificación final del importe quedará a discreción de la autoridad de control, que debe buscar que sea efectivo, proporcionado y disuasorio y seguir lo previsto en las directrices y en el RGPD.
Naturaleza y gravedad de la infracción
La naturaleza, la gravedad y la duración de la infracción, así como la naturaleza, el alcance o la finalidad del tratamiento que da lugar a la infracción en cuestión, se toman en cuenta con un sentido abstracto, reza el documento, haciendo referencia de nuevo al artículo 83. También se calcula el número de afectados y el daño que sufren a raíz de la susodicha infracción.
Este último punto refiere a los interesados concretos que sufren la vulneración del derecho a la privacidad y a la protección, pero también a los interesados potenciales dentro de la evaluación, teniendo una relación proporcional con la gravedad de la infracción, especialmente si se detecta que la irregularidad es «sistémica».
En cuanto al daño, que puede ser moral, físico y no físico, además de afectar los derechos y libertades personales, se toma en cuenta limitándose a lo «funcionalmente necesario», de manera separada del número de víctimas y «sin solaparse con las actividades de las autoridades judiciales encargadas de determinar las diferentes formas de daño individual».
Al referirse a la naturaleza de la infracción, el documento apunta al interés que se pretende proteger, la aplicación efectiva de la disposición y el cumplimiento del objetivo pretendido; en este sentido, mientras más perjudique la infracción a estas consideraciones, mayor será la multa.
En cuanto a la gravedad, se toma en cuenta la funcionalidad del tratamiento de datos de acuerdo a la actividad de los responsables del mismo, como lo podrían ser una empresa o una organización sin fines de lucro. Esto da pie al análisis del mayor o menor riesgo que implica este tratamiento. y la función del responsable, tomando en cuenta la vulnerabilidad de los afectados .
Por eso es importante definir el propósito del tratamiento y si forma parte de las actividades básicas de su responsable, tomando en cuenta que las irregularidades serán más graves mientras más se acerquen el tratamiento a esta actividad principal .
El análisis del alcance del tratamiento, que puede ser e local, nacional o transfronterizo, es útil para hablar de un «factor de riesgo real»: «Cuanto mayor sea el alcance del tratamiento, más peso podrá atribuir la autoridad de control a este factor». Lo mismo aplica a la duración de la infracción, que da pie a un resultado más grave mientras más se extienda en el tiempo.
Otros factores de importancia en este sentido son el carácter intencional o negligente, tomando en cuenta «tanto el conocimiento como la voluntad en relación con las características de un delito», y las categorías de datos personales afectadas de acuerdo a los artículos 9 y 10 del RGPD, así como los datos fuera del ámbito de aplicación de estos artículos cuya difusión causa daños o dificultades inmediatas al interesado.
Entre estas categorías pueden entrar los datos de localización, datos sobre comunicación privada, números de identificación nacionales o datos financieros, como resúmenes de transacciones o números de tarjetas de crédito. En la evaluación de la gravedad de la infracción se tomará en cuenta la sensibilidad de estos datos, así como la cantidad de datos comprometidos.
Clasificación de la gravedad y cálculo del importe de la sanción
El documento del CEPD resalta que la apreciación de la gravedad de una infracción de protección de datos «no es un cálculo matemático en el que los factores antes mencionados se consideren individualmente, sino una evaluación exhaustiva de las circunstancias concretas del caso, en la que todos los factores mencionados están interrelacionados».
Sin embargo, establece tres niveles de gravedad: bajo, medio y alto. Algo que deben considerar las autoridades de control sin perjuicio de la imposición o no de una multa. Además, la determinación del importe de partida puede ser objeto de revisión por el CEPD y sus miembros y pueden adaptarse cuando sea necesario.
Una infracción nivel bajo de gravedad merecerá que la autoridad de control determine el importe de partida para su posterior cálculo entre el 0 y el 10 % del máximo legal aplicable. Por su lado, el nivel medio de gravedad conllevará un importe de partida de entre el 10 % y el 20 % del máximo legal aplicable. Finalmente, un alto nivel de gravedad permitirá a la autoridad de control determinar un importe de partida de entre el 20 y el 100 % del máximo legal aplicable.
Sin embargo, para cumplir con el efecto buscado de proporcionalidad y disuasión de las multas administrativas según el RGPD, las autoridades de control deberán tomar en cuenta además el volumen de negocios anual de la empresa culpable de la infracción.
Si este es de menos de 2 millones de euros, podrán calcular sobre la base de una suma entre el 0,2 % y el 0,4 % del importe de partida identificado; si tienen un volumen de negocios de entre 2 y 10 millones de euros, será entre el 0,3 % y el 2 % del importe de partida, pero aumentará hasta un rango entre el 1,5 % y el 10 % del importe de partida identificado si el volumen de negocios anual es de entre 10 y 50 millones de euros.
Las multas serán más gravosas a partir de este punto: la autoridad de control calculará sobre la base de una suma entre el 8 % y el 20 % del importe de partida identificado si se trata de una empresa con un volumen de negocios anual desde los 50 hasta los 100 millones de euros; de entre el 15 % y el 50 % del importe de partida si el volumen es de entre 100 y 250 millones; de entre el 40 % y el 100 % del importe de partida si es de entre 250 y 500 millones.
Finalmente, en el caso de las empresas con un volumen de negocios anual superior a 500 millones, las autoridades de control podrán considerar proceder sin un ajuste del importe de partida identificado, ya que estas «superarán el máximo legal estático y, por lo tanto, el tamaño de la empresa ya se refleja en el máximo legal dinámico utilizado para determinar el importe de partida para un cálculo posterior basado en la evaluación de la gravedad de la infracción».
Noticias Relacionadas:
