Infórmate sobre las distintas sanciones del RGPD y los factores que las autoridades de protección de datos deben considerar antes de imponer una multa.

Sanciones por incumplimiento del RGPD

Es bien sabido que una infracción de las normas de protección de datos puede dar lugar a una multa de hasta 20.000.000 de euros o el 4% del volumen de negocio total anual global. No obstante, esas cuantías son límites a la potestad sancionadora de la autoridad de protección de datos y, hasta la fecha, ninguna autoridad ha sancionado jamás por esa cuantía.

Y no solo eso, la multa no es la única sanción a la que una autoridad de protección de datos puede recurrir y en ocasiones un incumplimiento puede terminar en un simple apercibimiento u orden de actuar de determinada manera.

Una vulneración de las normas de protección de datos puede terminar sin la imposición de una multa administrativa.

Tipos de sanciones del RGPD

Por mandato legal del artículo 58.2 del RGPD, ante un incumplimiento del RGPD una autoridad de protección de datos estará facultada para imponer cualquiera de las siguientes sanciones:

  1. advertencias;
  2. apercibimientos;
  3. órdenes;
  4. la retirada de una certificación; y
  5. multas administrativas.

Una autoridad de protección de datos hará una advertencia cuando detecte que las operaciones de tratamiento previstas pueden dar lugar a un incumplimiento del RGPD.

Si las operaciones del tratamiento ya han infringido o están infringiendo el RGPD, la autoridad de protección de datos podrá sancionar con un apercibimiento, una orden, una multa administrativa o, en su caso, la retirada de una certificación.

Por lo que se refiere a las órdenes, las autoridades de protección de datos pueden ordenar cualquiera de las actuaciones siguientes:

  1. que se atiendan las solicitudes de ejercicio de los derechos del interesado;
  2. que un determinado tratamiento se ajuste al RGPD;
  3. que se comunique una brecha de seguridad de datos personales al interesado;
  4. la limitación temporal o definitiva de un tratamiento, o su prohibición;
  5. la rectificación, supresión o limitación, y su notificación a destinatarios;
  6. que un organismo de certificación no emita una certificación, o la retire;
  7. la suspensión de transferencias internacionales de datos.

No todas las infracciones del RGPD terminan con la imposición de una multa.

En función de la conducta del infractor, una autoridad de protección de datos podrá imponer una multa u otro tipo de sanción, alternativa o adicionalmente.

Factores determinantes del importe de la multa

Según la cuantía que una multa puede alcanzar, se distinguen dos categorías. Por un lado, las multas que pueden alcanzar hasta 10.000.000€, o el 2% de volumen de negocio total anual, si el sancionado es una empresa. Por otro, las multas que pueden llegar hasta 20.000.000€, o el 4% de volumen de negocio total anual, si el sancionado es empresa.

En ambos casos, las cuantías funcionan como límites a la potestad sancionadora de la autoridad de control. En ningún caso una multa superará esa cuantía.

Esto deja a la autoridad de protección de datos un amplio margen o umbral sobre el que moverse a la hora de determinar el importe de la sanción. Así, el artículo 83 del RGPD establece que, al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

b) la intencionalidad o negligencia en la infracción;

c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;

d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;

e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;

f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;

i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;

j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y

k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

Cuadro-resumen de las multas del RGPD

SANCIONES DEL 83.4SANCIONES DEL. 83.5 Y 83.6
Empresas:

  • Hasta 10.000.000€ o,
  • hasta un 2% del vol. de negocio total anual global.
  • Se opta por la de mayor cuantía.
Empresas:

  • Hasta 20.000.000€ o,
  • hasta un 4% del vol. de negocio total anual global.
  • Se opta por la de mayor cuantía.
No empresas:

Multas de hasta 10.000.000€.

No empresas:

Multas de hasta 20.000.000€.

Infracción de artículos:

8, 11, 25-39, 41.4, 42 y 43.

Infracción de artículos:

5, 6, 7, 9, 12 a 22, 44 a 49, 58.1, 58.2 y 85 a 91.

Obligaciones del responsable y encargado:

  • consentimiento de menores;
  • identificación innecesaria del interesado;
  • protección de datos desde el diseño y por defecto;
  • obligaciones de corresponsables;
  • designación de un representante;
  • contratación de encargados;
  • registros de actividades de tratamiento;
  • cooperación con autoridad de control (AC);
  • seguridad de la información;
  • notificación de brechas de seguridad;
  • EIPDs;
  • DPO; y
  • certificación.

Obligaciones de organismos de certificación.

Obligaciones de la autoridad de control.

Principios de protección de datos.

Licitud del tratamiento.

Consentimiento.

Derechos de los interesados.

Transferencias internacionales de datos.

Derecho nacional de tratamientos del cap. IX:

  • libertad de expresión y de información;
  • acceso del público a documentos oficiales;
  • número nacional de identidad;
  • ámbito laboral;
  • interés público;
  • investigación científica o histórica;
  • fines estadísticos;
  • obligaciones de secreto; y
  • iglesias y asociaciones religiosas.

No cumplir poderes correctivos o de investigación de AC.

Sanciones del RGPD a autoridades y organismos públicos

Ante un incumplimiento del RGPD por una entidad privada, una autoridad de protección de datos puede ejercer sus poderes correctivos y sancionar con la sanción que considere más apropiada, siempre que sea proporcional y se observen los criterios desarrollados por el artículo 83.2.

Pero, ¿qué ocurre cuando el infractor es una autoridad o entidad pública?

Cuando la vulneración de la normativa de protección de datos es atribuible a una autoridad o entidad pública, el RGPD establece que las autoridades de protección de datos podrán ejercer sus poderes correctivos y sancionar con una orden, advertencia o apercibimiento, en su caso. No obstante, cuando se trata de imponer una multa, el RGPD deja la puerta abierta a los Estados Miembros para que regulen si se puede o no multar a las entidades públicas establecidas en su territorio.

This will certainly bring different regimes across Europe and there are states such as Spain which has opted to not allow supervisory authorities to impose gdpr fines to public authorities or entities.

Esto ciertamente permite la existencia de diferentes regímenes legales en Europa y, de hecho, hay Estados como el español donde el legislador ha optado por no permitir a las autoridades de protección de datos imponer sanciones a autoridades o entidades públicas.

En su lugar, en España el artículo 77 de la LOPDGDD establece que las vulneraciones de la norma de protección de datos serán sancionadas con un apercibimiento cuando sean cometidas por los responsables o encargados siguientes:

  1. Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
  2. Los órganos jurisdiccionales.
  3. La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
  4. Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.
  5. Las autoridades administrativas independientes.
  6. El Banco de España.
  7. Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
  8. Las fundaciones del sector público.
  9. Las Universidades Públicas.
  10. Los consorcios.
  11. Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.

Quizás también te interese…

Entidades y empresas obligadas a cumplir con el RGPD
Representante del RGPD en la UE. Protección de datos personales y privacidad. Unión Europea
Delegado de protección de datos en el RGPD (DPO - DPD). Cuando debe designarse, requisitos, funciones y salario.
Cómo transferir datos fuera de la UE transferencias internacionales de datos
Principios de protección de datos en el RGPD
Guía del registro de actividades del tratamiento del RGPD
Datos sensibles en el RGPD
Cómo atender los derechos del RGPD
Evaluación de impacto de protección de datos en el RGPD. EIPD o DPIA.
Requisitos de seguridad de la información en el RGPD
Multas y sanciones del rgpd
RGPD y blockchain, problemas y soluciones para el cumplimiento normativo