Nuevo sistema de cálculo de multas de protección de datos

Share on linkedin
Share on email
Share on whatsapp
Share on facebook
Share on twitter

La Conferencia de Autoridades Alemanas de Protección de Datos (German Datenschutzkonferenz o DSK) publicó recientemente un nuevo sistema para el cálculo de las multas administrativas impuestas bajo el RGPD. 

El modelo alemán reviste cierta complejidad y supone que las multas serán calculadas siguiendo cinco pasos:

  • Asignación de la empresa a un grupo en base a su tamaño
  • Determinación del volumen de negocio medio anual de la empresa en función de su grupo
  • Cálculo de la cuantía diaria
  • Multiplicación de la cuantía diaria según la gravedad de la infracción
  • Clasificación de la infracción

1. Asignación de la empresa a un grupo en base a su tamaño

La empresa infractora se clasifica en uno de los cuatro posibles grupos: (A) microempresa, (B) pequeña empresa, (C) mediana empresa y (D) gran empresa. A su vez, se asignará una subcategoría a fin de poder garantizar una clasificación lo más precisa posible. 

La clasificación se realiza en función del volumen de negocio mundial de la empresa en el año anterior. Es importante puntualizar que, para los grupos de empresa, el concepto de empresa comprenderá la totalidad de la unidad económica. En definitiva, se utiliza para el cálculo, el concepto de grupo de empresas previsto en la normativa antitrust de la Unión Europea.

2. Determinación del volumen de negocio medio anual de la empresa en función de su grupo

Asimismo, la Conferencia de Autoridades determina cual es el volumen de negocio medio anual de la empresa. Para ello, se asigna una cuantía fija en función del subgrupo en el que la empresa ha sido incluída, siempre que el volumen de negocio del año anterior haya sido menor de 500.000€.

En caso de que el volumen de negocio haya sido superior, se aplicarán directamente los porcentajes previstos en el artículo 83 del RGPD, un 2% o 4% sobre el volumen de negocio.

3.Cálculo de la cuantía diaria

A fin de calcular la cuantía o cuota diaria, se divide el volumen de negocio medio anual de la empresa, que se ha obtenido en el paso anterior, entre 360 días.

4. Multiplicación de la cuantía diaria según la gravedad de la infracción

Las circunstancias de cada caso se utilizan para clasificar la gravedad de la infracción en leve, media, grave y muy grave.

El factor multiplicador se obtiene dependiendo de si la infracción es formal (art. 83.4 RGPD) o material (art. 83.5 y 6 RGPD).

Son ejemplos de infracciones técnicas la falta de formalización del contrato de encargado o corresponsable, la violación de la privacidad desde el diseño y por defecto o la falta de designación de un DPO, etc.

Entre las infracciones materiales se encuentra la vulneración de los derechos de los interesados o la infracción de la base de legitimación del tratamiento de datos personales.

En definitiva, se deberá multiplicar la cuota diaria por el factor multiplicador obtenido, lo cual dará lugar a un rango. Una vez obtenido este rango se calculará la media, que será la base para el cálculo final de la multa.

5. Clasificación de la infracción

En este último paso, se tendrá en cuenta la naturaleza de la infracción y las consecuencias para los interesados, el número de interesados afectados, la extensión del daño sufrido, etc. 

Se espera que las consecuencias de este nuevo sistema sean la imposición de sanciones mucho mayores a las empresas puesto que el cálculo del volumen de negocio anual tenderá al alza.

Asimismo, los expertos se cuestionan que el modelo de cálculo basado en los beneficios sea proporcional y es posible que este sistema acabe siendo llevado a los tribunales.

Comparte este artículo

Comparte

Share on linkedin
Share on email
Share on whatsapp
Share on facebook
Share on twitter
Toda organización debería tener un programa de protección de datos para asegurarse que cumple con el Reglamento General de Protección de Datos y evitar posibles sanciones. En esta guía explicamos cómo en 6 sencillos pasos puedes conseguir que tu programa de protección de datos sea todo un éxito.

Artículo redactado por:

Pedro Simón

Doctor en Derecho y Especialista en RGPD

Doctor en Derecho con mención internacional, que cuenta con una amplia experiencia docente como profesor en diversas instituciones (UdG, UOC, UNIR, ICAB) y que ha investigado ampliamente sobre el derecho digital, es autor de publicaciones como El régimen constitucional del derecho al olvido digital y El reconocimiento del derecho al olvido digital en España y en la UE: Efectos tras la STJUE de 13 de mayo de 2014.

Artículos relacionados

Newsletter

¿Quieres recibir todas las noticias sobre el RGPD? Suscríbete a nuestro boletín y recibe contenido exclusivo.

Webinars gratuitos

Multas por RGPD

webinar gratuito Multas por RGPD Analizamos las multas de Glovo, Juasapp y Equifax 08/07/2020 16:00h Cualquier organización puede estar expuesta a ser sancionada por incumplir

REGÍSTRATE AHORA »