Publicación de la guía de aplicación de las sanciones del Reglamento General de Protección de Datos

Con el objetivo de lograr un planteamiento coherente de la imposición de multas administrativas del Reglamento General de Protección deDatos (RGPD), el Grupo de Trabajo del artículo 29 ha elaborado las Directrices que deben utilizar las autoridades de control, en le caso de España, la Agencia Española de Protección de Datos. Se han creado criterios de evaluación previstos en el artículo 83, apartado 2, del RGPD.

Una vez que se ha determinado que existe una infracción del Reglamento a partir de la apreciación de los hechos del caso, la autoridad de control competente debe identificar las medidas correctivas más apropiadas para abordar dicha infracción. El artículo 83, apartado 2, establece una lista de criterios que las autoridades de control deben usar para determinar si ha de imponerse una multa y la cuantía de la misma.

Los criterios que deben evaluarse para determinar el grado de sanción de hasta 20 millones de euros son los siguientes:

a) la naturaleza, gravedad y duración de la infracción

El número de interesados

El propósito del tratamiento

Los daños y perjuicios sufridos por los interesados

La duración de la infracción

b) la intencionalidad o negligencia en la infracción

c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;

d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;

e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;

f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;

i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;

j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42;

k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

La práctica de aplicar multas administrativas de forma coherente en la Unión Europea es un arte en evolución. Las autoridades de control deben adoptar medidas que actúen conjuntamente para mejorar la coherencia de forma continua.

Pincha aquí para acceder al documento completo en español