¿A qué multas se enfrentan los operadores de sitios web por violaciones de la protección de datos?

Mario Steinberg Última actualización 21.10.2020
3 min.
RGPD  multas
Última actualización 21.10.2020

El 14 de octubre de 2019, la Conferencia de Autoridades Independientes de Protección de Datos de la Federación y de los Länder (DSK) publicó un concepto para la evaluación de las multas en los procedimientos contra las empresas. Por fin está claro qué multas pueden esperar los operadores de sitios web en caso de infracción de la protección de datos. 

Información básica sobre el fino concepto del DSK

Se sabe que las violaciones de RGPD hasta diez millones de euros o el dos por ciento del volumen de negocios anual logrado en todo el mundo pueden imponerse como sanción. En el caso de infracciones más graves, el riesgo es incluso doble. Sin embargo, hasta la fecha no ha quedado claro cuál podría ser el importe de una multa en un caso concreto. El concepto del DSK ahora cambia esto y proporciona a las autoridades supervisoras de protección de datos alemanas una base uniforme y concreta para el cálculo. Además, el concepto tiene obviamente por objeto tener un efecto preventivo general en las empresas y dejar claro que cabe esperar multas elevadas si RGPD no se cumplen los requisitos de la directiva.

Como el concepto es sólo un modelo y no una ley, sólo se refiere a los procedimientos de multa contra las empresas iniciados por las autoridades alemanas de supervisión de la protección de datos. No tiene ningún efecto vinculante en la determinación de las multas por parte de los tribunales.

Además, el concepto puede ser revocado, modificado o ampliado por la DPA en cualquier momento. Además, es sólo una solución provisional hasta la adopción definitiva de las Directrices sobre la metodología para la fijación de multas por parte del Consejo Europeo de Protección de Datos. Por lo tanto, queda por ver cómo evolucionará la situación de las multas.

RGPD  cálculo de las multas

¿Cómo se calcula la multa?

El concepto de DSK prevé un procedimiento de cinco pasos para calcular la multa específica:

Paso 1:

La empresa se asigna a una de las cuatro clases de tamaño (de la A a la D) en función de su volumen de negocios total a nivel mundial en el año anterior, cada una de las cuales se subdivide en tres subgrupos (de la A.I a la A.III, de la B.I a la B.III, etc.) para una clasificación más específica.

Clasificación según el volumen de negocio anual:

GrupoA: hasta 2 millones de euros
Grupo B: de 2 a 10 millones de euros
Grupo C: de 10 a 50 millones de euros
GrupoD: más de 50 millones de euros

Paso 2:

Se determina el volumen de negocios medio anual del subgrupo en el que se clasificó la empresa.

Paso 3:

Se determina el valor económico básico. Esta es la base para la determinación posterior de la multa y corresponde al volumen de negocios medio anual del subgrupo en el que se clasificó la empresa, dividido por 360 (días) y redondeado al decimal superior.

Cuarto paso:

Un multiplicador se deriva de la gravedad de la violación de la protección de datos. A este respecto, el grado de gravedad se clasifica como leve, medio, grave o muy grave en función de las circunstancias específicas de cada caso. 

El catálogo de criterios que describen estas posibles circunstancias se encuentra en el Art. 83 2 (RGPD). Entre ellas figuran, por ejemplo, la naturaleza y duración de la violación, el número de personas afectadas, el alcance de los daños, la forma de cooperación con la autoridad supervisora y también si se obtuvieron beneficios financieros directos como resultado de la violación. 

También se hace una distinción entre las infracciones "formales" (párrafo 4 RGPD del artículo 83) y "materiales" (párrafos 5 y 6 RGPD del artículo 83). Según el tipo y la gravedad de la violación de la protección de datos, el factor para las violaciones formales se sitúa entre 1 y 6, para las violaciones materiales entre 1 y 12; para las violaciones muy graves el factor puede ser aún mayor en cada caso.

Paso 5:

El valor básico se ajusta finalmente en función de todas las demás circunstancias que hablan a favor y en contra del interesado. Se trata, en particular, de circunstancias relacionadas con el delincuente y otras circunstancias, como una larga duración del procedimiento o una insolvencia inminente de la empresa.

RGPD Muy bien - Un ejemplo de cálculo 

Al final, el proceso de cinco pasos descrito no es tan complicado como parece en un principio. He aquí un ejemplo concreto:

Supongamos que un autónomo ha facturado 80.000 euros en el año anterior. Esto le sitúa en el subgrupo (más bajo) A.I (volumen de negocios anual de 0 a 700.000 euros; nivel 1), el volumen de negocios anual medio es por tanto de 350.000 euros (nivel 2) y el valor económico básico es de 972 euros (nivel 3).

Asumamos además que es una falsa declaración de privacidad en el sitio web del autónomo. Esto es una violación del Art. 83 (5) lit. b RGPD). Dado que la gravedad de la infracción debe clasificarse como "leve", el factor puede ser "sólo" 2 (nivel 4) en opinión de la autoridad de supervisión de la protección de datos; un ajuste no es apropiado en opinión de la autoridad de supervisión de la protección de datos (nivel 5).

Esto haría que la multa fuera de 1.944 euros.

Conclusión

Con el concepto de multa de la DSK, ahora está claro que incluso las violaciones relativamente insignificantes de la protección de datos darán lugar a multas relevantes. Por lo tanto, todas las empresas deberían comprobar o hacer comprobar lo antes posible si cumplen adecuadamente con todos los requisitos de protección de datos, como por ejemplo un banner de cookies correcto. Esto se debe a que las autoridades de protección de datos no entran en acción por casualidad, sino principalmente cuando se les informa de violaciones de la protección de datos. Y estos informes suelen provenir en la práctica de clientes insatisfechos o de competidores que quieren hacer algo de daño a sus competidores de esta manera.

Artículos relacionados

Comentarios sobre este artículo

Escribe un comentario

La dirección de correo electrónicotu no se publicará. Los campos obligatorios están marcados con *.