El Comité Europeo de Protección de Datos aprueba unas
directrices de cálculo de sanciones

El Consejo Europeo de Protección de Datos (CEPD) ha adoptado estas directrices para armonizar la metodología que utilizan las autoridades de control al calcular el importe de la multa. Estas Directrices complementan las Directrices previamente adoptadas sobre la aplicación y fijación de multas administrativas a efectos del Reglamento 2016/679, que se centran en las circunstancias en las que se impone una multa.

Estas Directrices, por tanto, tienen por objeto regular y sentar las bases de la fijación de multas por parte de las autoridades supervisoras a nivel general. Las orientaciones establecidas se aplican a todos los tipos de responsables y encargados del tratamiento de conformidad con el artículo 4, apartados 7 y 8, del RGPD, excepto las personas físicas cuando no actúan como empresas. Esto no afecta a las facultades de las autoridades nacionales para imponer multas a las personas físicas.

Se exigirá que el importe de la multa sea en cada caso efectivo, proporcionado y disuasorio y al fijar el importe de la multa, las autoridades de control tendrán debidamente en cuenta una lista de circunstancias que se refieran a las características de la infracción (su gravedad) o al carácter del autor. Además, el importe de la multa no excederá de los importes máximos previstos en el artículo 83, apartado 4, apartados 5 y 6, del RGPD. Por lo tanto, la cuantificación del importe de la multa se basará en una evaluación específica realizada en cada caso, dentro de los parámetros previstos por el RGPD.

El CEPD ha elaborado estas directrices utilizando una metodología basada en cinco pasos, para calcular las multas administrativas por infracciones del RGPD:

1. Identificar las operaciones de tratamiento en el caso y evaluarse la aplicación del artículo 83.3 del RGPD.
2. Identificar el punto de partida para el cálculo ulterior del importe de la multa evaluando la clasificación de la infracción en el RGPD, evaluando la gravedad de la infracción a la luz de las circunstancias del caso y evaluando el volumen de negocios de la empresa.
3. Evaluar las circunstancias agravantes y atenuantes relacionadas con el comportamiento pasado o presente del responsable/encargado del tratamiento y el aumento o la disminución de la multa en consecuencia.
4. Identificar los máximos legales pertinentes para las diferentes infracciones. Los aumentos aplicados en etapas anteriores o siguientes no podrán superar este importe máximo.
5. Analizar si el importe final calculado cumple los requisitos de eficacia, disuasión y proporcionalidad. La multa puede ajustarse en consecuencia sin exceder sin embargo el máximo legal pertinente.

Las autoridades de control seguirán estando sujetas a todas las obligaciones procedimentales en virtud del Derecho nacional y de la UE, incluida la obligación de motivar sus decisiones y sus obligaciones en virtud del mecanismo de ventanilla única. En este sentido, aunque las autoridades de control están obligadas a motivar suficientemente sus conclusiones de conformidad con el Derecho nacional y de la Unión, las mencionadas directrices no deberán interpretarse en el sentido de que exigen a la autoridad de control que indique el importe de partida exacto o cuantifique el impacto preciso de cada circunstancia agravante o atenuante. Además, la mera referencia a las presentes Directrices no puede sustituir al razonamiento que debe exponerse en un caso concreto.

A excepción de Dinamarca y Estonia, las autoridades de control están autorizadas a imponer multas administrativas, que son vinculantes si no son recurridas. Así, con el tiempo, la práctica administrativa y judicial seguirá desarrollándose.