¿Qué multas se imponen a los operadores de sitios web por violaciones de la protección de datos?

Mario Steinberg Actualizado por última vez el 21.10.2020
3 min.
RGPD  multas
Actualizado por última vez el 21.10.2020

El 14.10.2019, la Conferencia de Supervisores Independientes de Protección de Datos del Gobierno Federal y de los Länder (DSK) publicó una Concepto para fijar las multas en los procedimientos contra las empresas. Ahora está finalmente claro qué multas deben esperar los operadores de sitios web en caso de infracciones a la protección de datos. 

Información básica sobre el buen concepto del DSK

Se sabe que las violaciones de RGPD hasta diez millones de euros o el dos por ciento del volumen de negocios anual logrado en todo el mundo pueden imponerse como sanción. En el caso de infracciones más graves, el riesgo es incluso doble. Sin embargo, hasta la fecha no ha quedado claro cuál podría ser el importe de una multa en un caso concreto. El concepto del DSK ahora cambia esto y proporciona a las autoridades supervisoras de protección de datos alemanas una base uniforme y concreta para el cálculo. Además, el concepto tiene obviamente por objeto tener un efecto preventivo general en las empresas y dejar claro que cabe esperar multas elevadas si RGPD no se cumplen los requisitos de la directiva.

Como el concepto es sólo un modelo y no una ley, sólo se refiere a los procedimientos de multa contra empresas iniciados por las autoridades de supervisión de la protección de datos de Alemania. No tiene un efecto vinculante en lo que respecta a la fijación de multas por los tribunales.

Además, el concepto puede ser cancelado, cambiado o ampliado por el DSK en cualquier momento. Además, es sólo una solución provisional a la espera de la adopción definitiva de las directrices sobre la metodología para el establecimiento de multas por el Comité Europeo de Protección de Datos. Por lo tanto, queda por ver cómo se desarrolla la situación en cuanto a las multas.

RGPD  cálculo de las multas

¿Cómo se calcula la multa?

El concepto de DSK prevé un procedimiento de cinco pasos para calcular la multa específica:

Paso 1:

Para una clasificación más concreta, cada clase de tamaño se divide en tres subgrupos (A.I a A.III, B.I a B.III, etc.).

Clasificación según el volumen de negocios anual:

Grupo A: hasta 2 millones de euros
Grupo B: 2 a 10 millones de euros
Grupo C: 10 a 50 millones de euros
Grupo D: más de 50 millones de euros

Paso 2:

Se determina el promedio de facturación anual del subgrupo en el que se ha colocado la empresa.

Paso 3:

Se determina el valor económico básico. Esta es la base para la posterior determinación de la multa y corresponde al promedio de facturación anual del subgrupo en el que se colocó la empresa, dividido por 360 (días) y redondeado al lugar anterior al punto decimal.

Paso cuatro:

El multiplicador se deriva de la gravedad de la violación de la protección de datos. A este respecto, la gravedad de la violación se clasifica en leve, media, grave o muy grave sobre la base de las circunstancias concretas de cada caso. 

El catálogo de criterios que describen estas posibles circunstancias se encuentra en el Art. 83 2 (RGPD). Entre ellas figuran, por ejemplo, la naturaleza y duración de la violación, el número de personas afectadas, el alcance de los daños, la forma de cooperación con la autoridad supervisora y también si se obtuvieron beneficios financieros directos como resultado de la violación. 

También se hace una distinción entre las infracciones "formales" (párrafo 4 RGPD del artículo 83) y "materiales" (párrafos 5 y 6 RGPD del artículo 83). Según el tipo y la gravedad de la violación de la protección de datos, el factor para las violaciones formales se sitúa entre 1 y 6, para las violaciones materiales entre 1 y 12; para las violaciones muy graves el factor puede ser aún mayor en cada caso.

Paso cinco:

El valor básico se ajusta finalmente sobre la base de todas las demás circunstancias que hablan a favor y en contra de la persona en cuestión. Entre ellas se incluyen circunstancias particulares relativas al autor y otras circunstancias, como un largo período de procedimientos o la amenaza de insolvencia de la empresa.

RGPD Muy bien - Un ejemplo de cálculo 

Al final, el procedimiento de cinco pasos descrito anteriormente no es tan complicado como suena al principio. He aquí un ejemplo concreto:

Supongamos que un trabajador autónomo tuvo un volumen de negocios de 80.000 euros en el año anterior. Esto lo coloca en el (más bajo) subgrupo A.I (volumen de negocios anual de 0 a 700.000 euros; nivel 1), el promedio de volumen de negocios anual es, por lo tanto, de 350.000 euros (nivel 2) y el valor económico básico es de 972 euros (nivel 3).

Asumamos además que es una falsa declaración de privacidad en el sitio web del autónomo. Esto es una violación del Art. 83 (5) lit. b RGPD). Dado que la gravedad de la infracción debe clasificarse como "leve", el factor puede ser "sólo" 2 (nivel 4) en opinión de la autoridad de supervisión de la protección de datos; un ajuste no es apropiado en opinión de la autoridad de supervisión de la protección de datos (nivel 5).

La multa ascendería así a 1.944 euros.

Conclusión

El concepto de multa del DSK ahora deja claro que incluso violaciones relativamente menores de la protección de datos resultarán en multas relevantes. Por lo tanto, todas las empresas deben comprobar o hacer comprobar lo antes posible si cumplen con todos los requisitos de protección de datos, como una banner de la cookie correcta...de acuerdo con los reglamentos. Esto se debe a que las autoridades de protección de datos no actúan por casualidad, sino principalmente cuando se les informa de las violaciones de la protección de datos. Y en la práctica, estos informes a menudo provienen de clientes o competidores insatisfechos que quieren perjudicar a sus competidores de esta manera.

Artículos relacionados

Comentarios sobre este artículo

Escribe un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con * marcado.