El RGPD tiene fama de imponer multas cuantiosas y aterradoras. Multas récord como los 1 200 millones de euros de €Meta por la transferencia de datos y los 745 millones de euros de Amazon han sido noticia y han suscitado un sano debate sobre el cumplimiento de la normativa y la privacidad. Pero, ¿qué son las multas del GDPR y cómo funcionan exactamente?
Este blog explica todo lo que hay que saber sobre las multas del RGPD: cómo se emiten y calculan, cómo se pueden impugnar, en qué se diferencian de otros instrumentos de cumplimiento y mucho más. Entremos en materia.
Conceptos básicos
¿Qué es una multa del RGPD?
Las multas del RGPD son actos administrativos, no sentencias. Esto tiene consecuencias importantes sobre cómo funcionan las multas y cómo se pueden impugnar.
En realidad, no hay mucho más que decir. Ya sabe lo que es una multa: infringe una norma, le pillan y tiene que pagar.
¿Cómo se multa con arreglo al RGPD?
Cualquier infracción del GDPR puede dar lugar a una multa. Las organizaciones reciben multas por todo tipo de razones: recopilación ilegal de datos personales, no proteger las transferencias de datos, aplicar una ciberseguridad deficiente, no informar de una violación grave de datos, etc.
El hecho de que pueda ser multado por estas infracciones no significa que vaya a serlo. A veces, las organizaciones se libran con una advertencia y una orden de poner orden en su cumplimiento. Esto suele ocurrir cuando una organización pequeña comete un error honesto sin consecuencias graves para las personas.
¿Quién impone las multas del RGPD?
Las multas del GDPR son emitidas por las autoridades de protección de datos (también conocidas como DPA o autoridades de supervisión).
Las DPA son autoridades administrativas que hacen cumplir el GDPR en su país. Todos los países de la UE y del Espacio Económico Europeo tienen una APD (o varias, en el caso de los Estados federales).
Las APD no se limitan a imponer multas. Por ejemplo, pueden ordenar a una organización que detenga temporalmente una operación que implique el uso de datos personales, o incluso que cierre definitivamente dicha operación. En ocasiones, estas sanciones pueden afectar a las organizaciones más que las multas.
¿Son las multas daños y perjuicios?
Tanto las multas como los daños y perjuicios desempeñan un papel importante en la aplicación del RGPD, pero no son lo mismo.
Los daños y perjuicios y las multas proceden de diferentes autoridades: los tribunales conceden daños y perjuicios y las APD imponen multas relacionadas con el RGPD. Los tribunales y las APD tienen poderes diferentes y ninguno puede hacer el trabajo del otro.
Los daños y perjuicios y las multas también tienen fines diferentes, ya que los daños y perjuicios son una forma de compensación, mientras que las multas son una herramienta de castigo y disuasión.
En la práctica, esto significa que los particulares sólo tienen derecho a reclamar daños y perjuicios cuando el tratamiento indebido de sus datos ha provocado algún tipo de daño (incluidos los "daños inmateriales", como decimos en jerga jurídica). Por otra parte, se puede ser multado por una infracción tanto si se ha causado un daño como si no, del mismo modo que se puede recibir una multa por exceso de velocidad sin haber causado un accidente de tráfico.
Nada de esto es especial para el GDPR, por cierto. Así es como funcionan los daños en las jurisdicciones de derecho civil.
Aspectos prácticos
¿Cómo se calculan las multas del RGPD?
El RGPD incluye una lista de criterios realmente larga y compleja. Por lo tanto, hay que simplificar mucho.
Uno de los principales criterios es el impacto de la infracción. Las multas tienden a ser más elevadas en el caso de infracciones muy perjudiciales e impactantes, por ejemplo, una ciberseguridad deficiente que provoque una violación de datos a gran escala.
Otros criterios importantes son si la infracción es intencionada, si una organización tiene antecedentes de incumplimiento y si la infracción afecta a datos sensibles (en el sentido específico del RGPD, no en el sentido genérico cotidiano).
El comportamiento de una organización tras una infracción también es importante. Las multas son más bajas cuando las organizaciones colaboran con la investigación y se esfuerzan por corregir sus errores antes de que llegue la multa. Esto anima a las organizaciones a colaborar con las APD para lograr el cumplimiento en lugar de librar una guerra legal contra la aplicación de la ley.
Por último, pero no por ello menos importante, el sentido común desempeña un papel crucial. Un error honesto de una pequeña empresa no recibe el mismo trato que el incumplimiento intencionado de una multinacional.
¿Cuál es el importe máximo de las multas del RGPD?
Las multas tienen un límite máximo de 10 millones de euros o del 2% del volumen de negocios anual mundial, si este último es superior. Estos límites se duplican en caso de infracciones graves, como la recopilación ilegal de datos sensibles: así, los máximos reales son de 20 millones de euros o el 4% de la facturación mundial anual.
Ese 4% puede ser una cifra enorme para las empresas, ya que puede calcularse sobre la base del volumen de negocios de grupos empresariales enteros. Así es como Meta obtuvo su multa récord de 1.200 millones de euros: la cantidad se calculó sobre el volumen de negocios de todo el grupo Meta, aunque el caso era (nominalmente) sólo contra Meta Platforms Ireland.
¿Son públicas las multas?
Las distintas jurisdicciones tienen normas diferentes. Algunas autoridades publican la mayoría o la totalidad de sus decisiones, mientras que otras no lo hacen. Por ejemplo, algunas autoridades tratan la publicación como un castigo adicional que sólo puede infligirse cuando es apropiado. Otras restringen la publicación de la decisión hasta que ya no puede impugnarse; por eso aún no podemos leer la motivación de la multa de 746 euros de Amazon.
¿Se puede ser multado por una violación de datos?
Sí, se puede. Pero no se multa automáticamente por una violación de datos.
El RGPD exige a las organizaciones que apliquen una seguridad adecuada, no una seguridad perfecta. Solo le multarán si no ha hecho lo suficiente para proteger los datos. Por el contrario, pueden multarle por aplicar una seguridad deficiente aunque no se produzca una violación de los datos.
También merece la pena mencionar que las organizaciones deben notificar por sí mismas las violaciones graves de datos a las APD (y en algunos casos, incluso a las personas afectadas). El incumplimiento de esta obligación es motivo de multa.
El procedimiento
¿Cómo se imponen las multas del RGPD?
Las multas del RGPD las imponen las APD tras una investigación. Las APD pueden investigar denuncias o iniciar una investigación por voluntad propia. En la práctica, la mayoría de las investigaciones siguen a una denuncia.
Las multas no solo están reguladas por el RGPD, sino también por el Derecho administrativo nacional. El procedimiento para imponer una multa cambia de un país a otro, al igual que los derechos y el papel de las partes en la investigación.
El procedimiento para los casos transfronterizos es más complicado porque puede implicar a varias APD.
¿Cómo se impugnan las multas del RGPD?
El destinatario de una multa tiene derecho a que un tribunal revise la multa. Este es un principio básico del Derecho administrativo y se aplica en todas las jurisdicciones de la UE.
El procedimiento para impugnar una multa varía mucho de una jurisdicción a otra. Por ejemplo, a veces se puede interponer un recurso administrativo además de la revisión judicial (pero nunca puede sustituirla). Esto significa que el destinatario de una multa puede hacerla revisar no sólo por un tribunal, sino también por un órgano administrativo con potestad para anular la decisión de la APD.
En Simple Analytics nos preocupamos por la privacidad. Por eso hacemos todo lo posible por explicar el GDPR y la ley de privacidad a todo el mundo, sin jerga legal.
Si a usted también le importa la privacidad, ¿por qué no prueba nuestra herramienta de análisis web? Hemos creado Simple Analytics pensando en la innovación, la privacidad del usuario y la facilidad de uso. Simple Analytics no recopila datos personales de sus visitantes y viene con un nuevo Asistente de Inteligencia Artificial para proporcionarle exactamente la información que desea.
Si esto le parece bien, pruebe Simple Analytics durante dos semanas.