¿Qué sanciones pueden apl... de datos?
Ver Indice
»

Última revisión
07/10/2024

datos

940 - ¿Qué sanciones pueden aplicarse por infringir la normativa de protección de datos?

Tiempo de lectura: 10 min

Tiempo de lectura: 10 min

Relacionados:

Vademecum: datos

Fecha última revisión: 07/10/2024

Resumen:

El RGPD y la LOPDGDD establecen multas administrativas por incumplir las obligaciones relativas a protección de datos. Estas sanciones pueden ser de:

  • 10.000.000 euros como máximo o un 2 % del volumen de negocio total anual global en el caso de una empresa.
  • 20.000.000 euros como máximo o un 4 % del volumen de negocio total anual global en el caso de una empresa.

Al imponer una multa administrativa se tienen en cuenta algunos criterios como la naturaleza, gravedad y duración de la infracción, intencionalidad o negligencia en la infracción, medidas tomadas por el responsable para paliar los daños, grado de responsabilidad, etc.


Para conocer qué medidas se pueden imponer en materia de protección de datos es imprescindible acudir al art. 76 de la LOPDGDD que, a su vez, nos remite al art. 83 del RGPD, en este sentido, se prevé lo siguiente:

1. En cuanto a las sanciones previstas:

- El apartado 4 del mencionado artículo 83 sanciona con multas administrativas de 10.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, las siguientes infracciones:

• El incumplimiento de las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43 del RGPD. Estos preceptos se refieren a las obligaciones relativas a los consentimientos de niños en relación con servicios de la sociedad de la información, a los tratamientos que no requieren identificación, a la protección de datos desde el diseño y por defecto, a la representación y cooperación, a los registros, las que afectan al EIPD, al DPD, a los procedimientos de certificación, etc. 

Las obligaciones de los organismos de certificación a tenor de los artículos 42 y 43 del RGPD.

Las obligaciones del organismo de supervisión a tenor del artículo 41, apartado 4, del RGPD, que establece la obligación de tomar medidas oportunas en caso de infracción del código de conducta por un responsable o encargado del tratamiento, incluida la suspensión o exclusión de este, debiendo informar de las mismas y de su razonamiento a la autoridad de control competente.

- El apartado 5 del mencionado artículo 83 sanciona, con multas administrativas de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, las siguientes infracciones:

• No respetar los principios básicos para el tratamiento de datos, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9 del RGPD

• No respetar los derechos de los interesados a tenor de los artículos 12 a 22 del RGPD.

• No cumplir las obligaciones en relación a las transferencias de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los artículos 44 a 49 del RGPD.

• No cumplir con las obligaciones impuestas en virtud del derecho de los Estados miembros que se adopten con arreglo al capítulo IX del RGPD, que regula aquellas situaciones específicas de tratamiento.

• El incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, del RGPD o el no facilitar acceso, en incumplimiento del artículo 58, apartado 1, del RGPD.

- El apartado 6 del mencionado artículo 83 sanciona el incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58.2 del RGPD, «con multas administrativas de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía». En relación a este artículo, es conveniente recordar los poderes correctivos de las autoridades de control —en el caso español, la AEPD— recogidos en el art. 58.2 del RGPD:

«2. Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

a) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento;

b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

c) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;

d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;

e) ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales; f) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;

g) ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los artículos 16, 17 y 18 y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo a al artículo 17, apartado 2, y al artículo 19;

h) retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida con arreglo a los artículos 42 y 43, u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación;

i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;

j) ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional».

A TENER EN CUENTA. Las infracciones previstas en estos apartados se recogen de manera más pormenorizada en el apartado correspondiente a las infracciones

2. En cuanto a los criterios en la imposición de multas administrativas, el artículo 83.2 del RGPD configura las siguientes normas:

- Las multas se impondrán atendiendo a las circunstancias de cada caso individual.

- Las multas podrán imponerse a título adicional o sustitutivo de las medidas acordadas por la autoridad de control en virtud de su poder correctivo (medidas señaladas en el art. 58.2 del RGPD).

- Se deberá tener en cuenta al decidir la imposición de la multa:

• La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.

• La intencionalidad o negligencia en la infracción.

• Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados.

• El grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 («Protección de datos desde el diseño y por defecto») y 32 del RGPD («Seguridad del Tratamiento»).

• Toda infracción anterior cometida por el responsable o el encargado del tratamiento.

• El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción.

• Las categorías de los datos de carácter personal afectados por la infracción.

• La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida.

• El cumplimiento de las medidas indicadas en el artículo 58.2 del RGPD cuando hayan sido ordenadas previamente contra el responsable o el encargado en relación con el mismo asunto.

• La adhesión a códigos de conducta o a mecanismos de certificación

• Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción. En este sentido, el art. 76.2 de la LOPDGDD añade los siguientes factores:

«a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.

e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.

f) La afectación a los derechos de los menores.

g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.

h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado».

3. En relación al concurso en la comisión de infracciones, añade el apartado 3 del artículo 83 del RGPD que, si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del RGPD, la cuantía total de la multa administrativa no debe ser superior a la cuantía prevista para las infracciones más graves.

CUESTIÓN

¿Puede eximirse de responsabilidad a una empresa si la brecha de seguridad fuese provocada por la actuación negligente de una empleada?

No, el Tribunal Supremo en su STS n.º 188/2022, de 15 de febrero, ECLI:ES:TS:2022:543, señala que: «No basta con diseñar los medios técnicos y organizativos necesarios también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que también responderá por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso», y recuerda que las personas jurídicas responden por la actuación de sus empleados o trabajadores.

Otras aclaraciones que recoge el artículo 83 del RGPD en la ejecución del sistema sancionador son:

  • El ejercicio de la autoridad de control en materia sancionadora estará sujeto al respeto del derecho a la tutela judicial efectiva y a las garantías procesales de conformidad con el derecho de la UE y de los EE. MM.
  • Si no hubiera un régimen sancionador en materia de protección de datos establecido por el derecho de un Estado miembro podrá aplicarse el artículo 83 del RGPD, quedando la incoación de la multa en manos de la autoridad de control competente y su imposición corresponderá a los tribunales nacionales competentes. 

Si bien el cálculo del importe de la multa queda a discreción de la autoridad de control, con sujeción a las normas previstas en el RGPD, con el fin de armonizar la metodología que utilizan estas autoridades al calcular el importe de la multa, el Consejo Europeo de Protección de datos (CEPD) ha adoptado, el 24 de mayo de 2023, las Directrices 04/2022 sobre el cálculo de las multas bajo el RGPD. Dicha metodología consiste en cinco pasos:

  • Paso 1.- Identificación de las operaciones de tratamiento en el caso y evaluación de la aplicación del art. 83.3 del RGPD. Esto es, el primer paso consiste en identificar la conducta e infracciones en que se basa la multa, teniendo en cuenta que pueden darse casos de infracciones concurrentes. Por lo tanto, es importante establecer primero:
    • Si las circunstancias deben considerarse o no como una o múltiples conductas sancionables.
    • En caso de una conducta, si esta conducta da lugar o no a una o varias infracciones.
    • En caso de una conducta que dé lugar a múltiples infracciones, la imputación de una infracción excluye la atribución de otra infracción o si deben imputarse entre sí.
  • Paso 2.- Encontrar el punto de partida para el cálculo posterior basado en una evaluación de:
    • La clasificación en el art. 83, apartados 4 a 6, del RGPD.
    • La gravedad de la infracción con arreglo al art. 83.2 letras a), b) y g) del RGPD.
    • El volumen de negocios de la empresa como un elemento pertinente a tener en cuenta con vistas a imponer una multa efectiva, disuasoria y proporcionada, de conformidad con el art. 83.1 del RGPD.
  • Paso 3.- Evaluar las circunstancias agravantes y atenuantes relacionadas con el comportamiento pasado o presente del responsable/encargado del tratamiento y aumentar o disminuir la multa en consecuencia.
  • Paso 4.- Identificación de los máximos legales pertinentes para las diferentes operaciones de tratamiento. Los aumentos aplicados en pasos anteriores o siguientes no pueden exceder esta cantidad.
  • Paso 5.- Analizar si el importe final de la multa calculada cumple los requisitos de efectividad, disuasión y proporcionalidad, tal como exige el art. 83.1 del RGPD y aumentando o disminuyendo la multa en consecuencia.

A TENER EN CUENTA. A lo largo de los pasos mencionados, debe tenerse en cuenta que el cálculo de una multa no es un mero ejercicio matemático. Más bien, las circunstancias del caso específico son los factores determinantes que conducen a la cantidad final, que puede ser, en todos los casos, cualquier cantidad hasta el máximo legal e incluido.