Las directrices no establecen una fórmula precisa para el cálculo automático de las multas, pero en su lugar, presentan un enfoque estandarizado con el propósito de lograr una mayor coherencia.
La entrada en vigencia del Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018 marcó un punto de inflexión significativo en la regulación de la privacidad de datos en Europa, remodelando el marco normativo de manera integral.
Uno de los cambios más notables fue el refuerzo de las facultades de ejecución otorgadas a las autoridades de protección de datos de los Estados Miembros, acompañado por la introducción de sanciones económicas considerablemente más substanciales que las previas, dirigidas a los responsables y encargados del tratamiento que no cumplieran con el marco normativo.
El método para calcular la cuantía precisa de estas multas, dentro del rango definido por el RGPD, se ha vuelto un asunto de gran relevancia práctica para las empresas, ya que puede tener un impacto sustancial y potencialmente devastador en el desarrollo de sus actividades comerciales.
El RGPD establece que las multas pueden ascender hasta un máximo del 4 por ciento del volumen de negocios anual global de la empresa o 20 millones de euros, optando por la cifra de mayor cuantía. Además, el riesgo de enfrentar sanciones administrativas de índole económica ha experimentado un aumento significativo en años recientes, siendo el año 2022 un año récord tanto en términos de cantidad como de recaudación total de multas impuestas por infracciones al RGPD. Este nuevo panorama ha instado a las empresas a dar prioridad al cumplimiento de las normativas de protección de datos, en reconocimiento de las graves implicaciones económicas y de reputación que pueden derivarse de su incumplimiento.
Las directrices
El 12 de mayo de 2022, el Comité Europeo de Protección de Datos (CEPD) emitió las Directrices 04/2022 acerca del cálculo de multas bajo el RGPD, las cuales fueron actualizadas por última vez el 29 de junio de 2023. Estas directrices complementan las previamente adoptadas por el CEPD en relación con la aplicación y determinación de multas administrativas según el RGPD, que se enfocan en identificar las circunstancias que conllevan la imposición de sanciones. El CEPD ha declarado que el propósito de estas recientes directrices es estandarizar el enfoque empleado por las autoridades de control para calcular la cuantía de las multas, proporcionando a las empresas mayor certidumbre y claridad acerca de los procedimientos para determinar las sanciones.
A pesar de las obligaciones de cooperación y coherencia establecidas en el RGPD, la determinación de la cuantía de las multas sigue siendo discrecional para cada autoridad de control. Estas directrices, no obstante, establecen cinco etapas que las autoridades de control de los Estados Miembros pueden seguir al calcular multas, con el objetivo de promover la coherencia y la uniformidad en los métodos empleados para su cálculo. Sin embargo, es importante destacar que el CEPD ha subrayado que las autoridades no están obligadas a aplicar todas las etapas si no resultan aplicables a una situación específica, ni a justificar la omisión de ciertos aspectos de las directrices.
Los cinco pasos
Las directrices presentan el siguiente esquema de cinco etapas para el cálculo de las multas:
-
Identificación de las operaciones de tratamiento de datos involucradas en el caso en cuestión, con el fin de determinar si deben considerarse como una única infracción o varias, así como para establecer si la infracción da lugar a una o múltiples violaciones. En situaciones donde una infracción resulte en múltiples violaciones, se proporciona orientación sobre cómo determinar si una violación excluye la atribución de otra o si deben imputarse de manera conjunta. El CEPD ofrece ejemplos concretos para discernir entre operaciones de tratamiento separadas y relacionadas, así como para establecer si una violación puede considerarse subordinada a otra. También aborda la noción de unidad de acción, que se produce cuando una acción está sujeta a varias disposiciones legales o, en situaciones especiales, cuando una sola acción infringe múltiples veces la misma disposición legal.
-
Establecimiento del punto de partida para el posterior cálculo de la multa. Los tres elementos que constituyen este punto de partida son:
a. La categorización de infracciones según su naturaleza, ya sea como aquellas que conllevan una multa máxima de 10 millones de euros o el 2 por ciento del volumen de negocios anual de la empresa, o como aquellas sancionables con una multa máxima de 20 millones de euros o el 4 por ciento del volumen de negocios anual de la empresa. b. La gravedad de la infracción, que se determina en función de factores como la naturaleza, alcance y propósito del tratamiento de datos, el número de personas afectadas, el nivel de perjuicio sufrido por estas personas, así como si la infracción fue intencionada o negligente, y las categorías de datos personales afectados. Según el nivel de gravedad obtenido, la autoridad de control establece el importe inicial para el posterior cálculo de la multa, es decir, nivel de gravedad baja (0-10 por ciento del máximo legal aplicable), nivel medio (10-20 por ciento del máximo legal aplicable) y nivel alto (20-100 por ciento del máximo legal aplicable). c. El volumen de negocios de la empresa, ya que este factor puede servir como indicativo del tamaño y el poder económico de las empresas infractoras. El CEPD contempla diversas reducciones y aumentos en la cuantía de la multa en función de este criterio.
-
Evaluación de las circunstancias agravantes y atenuantes, como la existencia de infracciones previas, las medidas adoptadas por el responsable o el encargado del tratamiento para mitigar el daño sufrido por los interesados, el grado de responsabilidad del responsable o el encargado del tratamiento y el nivel de colaboración de la organización con la autoridad de control. El CEPD señala que estas circunstancias constituyen un listado no exhaustivo y permite tener en cuenta otros factores relacionados con el contexto legal, socioeconómico o de mercado en el que opera el responsable o el encargado del tratamiento infractor. Esto podría incluir consideraciones como el beneficio económico derivado de la infracción o la influencia de eventos externos (como pandemias) en la gestión de datos personales.
-
Determinación de los límites legales de las sanciones para las diversas operaciones de tratamiento, asegurando que los incrementos aplicados en función de los pasos anteriores o los siguientes no excedan estos límites máximos. Esta etapa se centra específicamente en los denominados importes «máximos dinámicos» de las multas según el RGPD, que son el 2 por ciento o el 4 por ciento del volumen de negocios anual total de la empresa en el ejercicio anterior. El CEPD ofrece una explicación detallada del concepto de «empresa» en el contexto de la legislación de la Unión Europea, proporciona numerosos ejemplos de diversas estructuras corporativas y explica el método para calcular el volumen de negocios anual total.
-
Evaluación de si la multa calculada cumple con los requisitos de ser eficaz, disuasoria y proporcional, y determinación de si se requiere un ajuste adicional de la multa. Por ejemplo, las autoridades de control pueden considerar la posibilidad de reducir la multa para tener en cuenta su impacto en la viabilidad económica de la empresa y en el contexto social y económico particular. Esto podría aplicarse en situaciones como sectores que atraviesan crisis, un aumento del desempleo en el territorio o el posible deterioro de sectores económicos relacionados.
Cada una de estas etapas incluye referencias a disposiciones legales, jurisprudencia del Tribunal de Justicia de la Unión Europea y ejemplos prácticos. Además, esta versión final de las directrices incorpora un anexo con un cuadro de referencia que ilustra la metodología utilizada para el cálculo de las multas, así como dos ejemplos detallados de su aplicación práctica.
Relevancia para las empresas
Aunque las directrices no proporcionan una fórmula precisa o aritmética para que las empresas determinen la cifra exacta de las multas por infracciones en materia de protección de datos, sí les brindan la oportunidad de comprender los principios que guían a las autoridades de control en la determinación de esos montos. Además, subrayan la importancia de que las empresas colaboren de cerca con las autoridades de control y tomen medidas adecuadas para reducir la probabilidad de enfrentar multas significativas desde el punto de vista financiero.
