CEPD: Metodología de cinco pasos para la imposición de sanciones
El pasado 16 de mayo de 2022, el Comité Europeo de Protección de Datos (en adelante, CEPD) publicó el borrador Directrices 04/2022 sobre el cálculo de las multas administrativas en virtud del RGPD con el objeto de armonizar los criterios utilizados por las diferentes autoridades de control para calcular el importe de las multas impuestas por incumplimiento del Reglamento General de Protección de Datos (en adelante, RGPD). De esta forma, el CEPD propone seguir una metodología común de cinco pasos en la imposición de sanciones.
Marco Legal
Tal y como señala el CEPD, el cálculo del importe de una multa administrativa queda a criterio de la autoridad de control, con sujeción a las normas previstas en el RGPD:
-En este sentido, el RGPD exige que la imposición de multas sea efectiva, proporcionada y disuasoria.
-Por otro lado, el RGPD establece que al fijar el importe de la multa importe de la multa, las autoridades de control han de tener en cuenta una serie de circunstancias como la gravedad de la infracción o las características del infractor (su carácter negligente o intencional).
-Por último, el RGPD establece unos importes máximos para el cálculo de las multas a imponer por las diferentes autoridades de control.
Metodología de cinco pasos
Para armonizar el cálculo de las multas a nivel europeo, el CEPD propone que las autoridades de protección de datos apliquen una metodología que consta de los siguientes cinco pasos:
- Identificar las operaciones de tratamiento y evaluar la aplicación del artículo 83, apartado 3, del RGPD
Tal y como indica el CEPD, las diferentes autoridades de control deben considerar qué conductas e infracciones dan lugar ala imposición de multas.
En el borrador de sus directrices, el CEPD, destaca el artículo 83.3. del RGPD, por el cual si un responsable o un encargado del tratamiento infringe varias disposiciones del RGPD mediante la misma operación de tratamiento o vinculadas, el importe total de la multa administrativa no puede superar el importe máximo que se aplica a la infracción más grave.
En este sentido, el CEPD establece que las autoridades de control han de determinar:
-Si los hechos han de considerarse como una o varias conductas sancionables;
-Si la conducta sancionable da lugar a una o más infracciones; y
-En caso de una conducta que dé lugar a múltiples infracciones, si se debería multar al infractor una o múltiples veces.
- Encontrar el punto de partida para el cálculo de la multa
El CEPD considera que las autoridades de protección de datos deben tener en cuenta los siguientes tres elementos para establecer el punto de partida:
-La categorización de las infracciones en virtud del artículo 83, apartados 4 a 6, del RGPD; es decir, si la infracción encaja dentro del nivel inferior de infracciones enumeradas en el artículo 83.4 (sancionadas hasta con 10 millones de euros), o dentro del nivel superior de infracciones enumeradas en los artículos 83.5 y 6 (sancionadas con hasta 20 millones de euros).
-La gravedad de la infracción, que se ha de determinar teniendo en cuenta los elementos del 83.2. (naturaleza, intencionalidad, categorías de datos tratados etc.)
-El volumen de negocios de la empresa
- Evaluar si se aplican circunstancias agravantes y atenuantes
Una vez determinado el punto de partida para el cálculo del monto de la multa, el CEPD indica que las autoridades de control han de valorar las circunstancias, teniendo en cuenta si sería aplicable algún agravante o atenuante respecto a la infracción cometida; agravantes y atenuantes que han de ser revisados siguiendo el listado de elementos ya comentados, que se encuentran regulados en el artículo 83.2.
- Determinar la multa máxima a imponer
Tal y como hemos adelantado, ha de determinarse si la infracción entraría dentro del 83.4 (nivel inferior de sanciones) o del artículo 83.5 y 83.6 (nivel superior):
-Las infracciones comprendidas en el artículo 83, apartado 4, del RGPD están sujetas a una multa máxima de 10 millones (que el CEPD denomina máximo estático) o, en el caso de una empresa, hasta el 2 % del volumen de negocio total anual global del ejercicio financiero anterior (lo que el CEPD denomina máximo dinámico), el que sea mayor; y
-Las infracciones comprendidas en los artículos 83, apartados 5 y 6, del RGPD están sujetas a una multa máxima (máximo estático) de 20 000 000 EUR o, en el caso de una empresa, a un máximo (máximo dinámico) de hasta el 4 % del volumen de negocio total anual global del ejercicio financiero anterior, el que sea mayor.
- Analizar si el importe final calculado cumple los requisitos de eficacia, disuasión y proporcionalidad.
El último paso de la metodología propuesta por el CEPD, supone evaluar si el importe final calculado cumple los requisitos de eficacia, disuasión y proporcionalidad.
La autoridad de control podrá ajustar la multa con objeto de obtener que la misma cumpla con los requisitos de eficacia, disuasión y proporcionalidad, siempre, que la subida de ésta no supere los límites establecidos en el artículo 83.
El borrador de estas directrices está abierto para consulta pública, hasta el 27 de junio de 2022.
Carlos Cuesta Hernández, Senior Privacy Counsel, Legal Army