¿Sabías que te pueden sancionar por una infracción en protección de datos hasta con 20 millones de euros? El 24 de mayo de 2023, el Comité Europeo de Protección de Datos publicó nuevas directrices para el cálculo de sanciones por infracciones del RGPD. En Gesprodat sabemos la importancia que tienen estos cambios y, por ello, queremos contártelos.
¿Cuál es la labor del Comité Europeo de Protección de Datos (CEPD)?
Garantiza la coherencia en la aplicación del RGPD y la Directiva sobre protección de datos en el ámbito penal de los países miembros. También extiende sus competencias a Liechtenstein, Noruega e Islandia. Además, estimula la cooperación entre todas las autoridades nacionales en materia de protección de datos, como la AEPD en el caso español.
Con estos fines, el CEPD ofrece orientación en forma de directrices, buenas prácticas y recomendaciones.
¿Cómo son las nuevas directrices europeas de cálculo de sanciones?
El documento establece una serie de criterios para la armonización a la hora de que los países que se acogen a él fijen las sanciones de protección de datos. Para hacerlo, considera que deben sopesarse todas las circunstancias en cada caso. Se sugiere que se tengan en cuenta tres pilares fundamentales.
La categorización de la infracción según el RGPD
El artículo 83 del RGPD, en sus apartados 4 y 5, establece dos tipos de sanciones según la naturaleza de la infracción cometida. Para las leves, elige la cantidad más alta entre un máximo de 10 000 000 euros o el 2 % de la facturación anual de la empresa. Por su parte, las graves tienen asignadas unas cantidades máximas de 20 000 000 euros o el 4 % del volumen de negocio de la organización.
Gravedad de la infracción
Se consideran tres niveles de gravedad: bajo, medio y alto. Su calificación la determinan las autoridades de control. Con este fin, han de efectuar una evaluación exhaustiva de las circunstancias del caso concreto. Para llevarla a cabo, tienen en cuenta factores como el alcance, número de afectados, tipo de daño, propósito del tratamiento, etc.
Cálculo de sanciones
Las directrices marcadas por el CEPD fijan los siguientes porcentajes según la calificación del nivel, observando que el resultado sea eficaz, proporcional y disuasorio:
- Nivel bajo: Estas infracciones merecen que se les aplique entre un 0 y el 10 % del máximo legal aplicable.
- Nivel medio: Parten de un intervalo del 10 al 20 % como importe de partida.
- Nivel alto: La autoridad de control puede establecer entre un 20 y el 100 % del máximo exigible.
En el caso de que el infractor sea una empresa, el organismo de control deberá considerar también el volumen de negocio anual:
- Menor de 2 millones de euros: del 0,2 % y el 0,4 % del importe de partida.
- De 2 a 10 millones de euros: entre el 0,3 % y el 2 % de la cuantía de la infracción.
- De 10 a 50 millones de euros: entre el 1,5 y el 10 % de la sanción estándar identificada.
- De 50 a 100 millones de euros: del 8 % al 20 % de la cantidad de partida.
- De 100 a 250 millones de euros: del 15 % a 50 % del importe base.
- De 250 a 500 millones de euros: de 40 % al 100 % de la cantidad de referencia.
Así pues, las nuevas directrices para el cálculo de sanciones que establece el CEPD tienen en cuenta las circunstancias particulares. Sin embargo, como has visto, no dejan de ser multas cuantiosas.
