GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

ARTÍCULO 83 DEL RGPD

La autoridad nacional de control está facultada para imponer multas administrativas

La autoridad nacional de control tiene la facultad de imponer multas administrativas a una empresa que considere que infringe el RGPD, de conformidad con el artículo 83 del RGPD. Sin embargo, siempre existe la posibilidad de que la empresa apele la decisión y proceda con el proceso ante los tribunales. 

¿Cuáles son las condiciones generales para imponer multas administrativas?

De conformidad con el artículo 83, apartado 1, del RGPD, las autoridades de control deben garantizar que la imposición de multas administrativas sea disuasoria, eficaz y proporcionada en cada caso concreto. Estas son las condiciones generales para la imposición de multas administrativas en virtud del RGPD. 

¿Qué infracciones del RGPD pueden dar lugar a una multa administrativa?

En la práctica, en principio, cualquier infracción del RGPD puede dar lugar a una multa administrativa. Sin embargo, no todo el mundo suele hacerlo. La autoridad supervisora revisa la empresa específica y hay muchos factores que juegan un papel en la decisión. Cuanto más grave sea la infracción, mayor será el riesgo de multa administrativa.

What breaches of the GDPR can lead to an administrative fine?

Tanto los responsables como los encargados del tratamiento pueden recibir multas administrativas

Aunque es el controlador quien tiene la mayor responsabilidad del procesamiento de datos personales, los procesadores también tienen una responsabilidad. La autoridad nacional de control podrá imponer multas administrativas tanto a los responsables como a los encargados del tratamiento.

El delegado de protección de datos no puede recibir una multa administrativa

Algunas empresas deben designar a un delegado de protección de datos, que, entre otras cosas, se encarga de verificar que la empresa cumple el RGPD. El delegado de protección de datos también asesorará a la empresa, comprobará los documentos de control interno y estará a disposición de los interesados, tanto internamente para los empleados como externamente para otros interesados. Sin embargo, el delegado de protección de datos no tiene responsabilidad personal y, por lo tanto, la autoridad de control no puede imponerle una multa administrativa. Además, se prohíbe al responsable del tratamiento penalizar al delegado de protección de datos. 

¿Puede combinarse una multa administrativa con varias medidas?

Sí, la autoridad de control tiene derecho a combinar una multa administrativa con varias medidas. En particular, las medidas correctoras establecidas en el artículo 58, apartado 2, del RGPD.

¿Cuál es el importe máximo de las multas administrativas a las que una empresa puede estar sujeta por infracciones del RGPD?

El importe máximo de las multas administrativas a las que puede estar sujeta una empresa en caso de infracción grave del RGPD es de 20 millones EUR o hasta el 4 % del volumen de negocios total anual mundial de la empresa del ejercicio financiero anterior (la más alta de las opciones). 

En el caso de una infracción menor del RGPD, el importe máximo de las multas administrativas a las que puede estar sujeta una empresa es, en cambio, de 10 millones EUR o hasta el 2 % del volumen de negocios total anual mundial de la empresa del ejercicio financiero anterior (la más alta de las opciones). 

¿Puede una autoridad pública u otros agentes públicos ser objeto de una multa administrativa por infracciones del RGPD?

Cada Estado miembro es libre de determinar en su propia legislación nacional si pueden imponerse multas administrativas a las autoridades y organismos públicos establecidos en dicho Estado miembro. Así se establece en el artículo 83, apartado 7, del RGPD. Por lo que se refiere al importe máximo de las multas administrativas a las que pueden estar sujetos los operadores públicos por incumplimiento del RGPD, también corresponde a cada Estado miembro decidir al respecto.

¿Qué constituye una infracción grave del RGPD?

El artículo 83, apartado 5, del RGPD establece lo que constituye una infracción grave del RGPD. En caso de infracción de los siguientes artículos del RGPD, la autoridad de control podrá imponer una multa administrativa de un máximo de 20 millones EUR o de hasta el 4 % del volumen de negocios total anual mundial de la empresa durante el ejercicio financiero anterior:

  1. 5, 6, 7 y 9 del RGPD, en relación con los principios de protección de datos y las condiciones para el consentimiento.
  2. 12-22 del RGPD, de conformidad con los derechos de los interesados
  3. 44-49 RGPD, sobre la transferencia de datos personales a una organización internacional u otro destinatario en un tercer país.
  4. Todas las obligaciones establecidas en el Derecho nacional de los Estados miembros adoptadas en virtud de los artículos 85 a 91 del RGPD.
  5. Incumplimiento de las decisiones de la autoridad de control dictadas en virtud del artículo 58 del RGPD, relativas a:
  • una orden judicial.
  • una restricción temporal o permanente del tratamiento de datos.
  • la decisión de suspender los flujos de datos.
  • falta de acceso a los datos.

¿Qué constituye una infracción menor del RGPD?

El artículo 83, apartado 4, del RGPD establece lo que constituyen infracciones leves del RGPD. En caso de infracción de los siguientes artículos del RGPD, la autoridad de control podrá imponer una multa administrativa de un máximo de 10 millones EUR o de hasta el 2 % del volumen de negocios total anual mundial de la empresa durante el ejercicio financiero anterior:

  1. 8, 11, 25-39, 42 y 43 del RGPD, de conformidad con las obligaciones de los responsables y encargados del tratamiento.
  2. 42 y 43 del RGPD, en relación con las obligaciones del organismo de certificación.
  3. 4 del RGPD, en relación con las obligaciones del organismo de supervisión.

Ejemplo de cómo calcular el importe de la multa administrativa cuando es máxima

¿La multa administrativa no debe ser superior al 4 % del volumen de negocios total anual mundial de la empresa durante el ejercicio anterior o a 20 millones de euros? La respuesta corta a la pregunta es que depende. La cantidad más alta se toma como punto de partida.

Measures that companies need to take to comply with GDPR

Ejemplo 1

Si una empresa tiene un volumen de negocios anual mundial total del ejercicio anterior equivalente a 1 000 millones EUR, hasta un 4 % de este importe equivale a 40 millones EUR, es decir, más de 20 millones EUR. Por lo tanto, el importe máximo de la multa administrativa en este caso será de 40 millones EUR.

What is the definition of anonymised data?

Ejemplo 2

En cambio, si la empresa tiene un volumen de negocios anual mundial total del ejercicio anterior equivalente a 300 millones EUR, 20 millones EUR es superior al 4 % del volumen de negocios anual global de la empresa. En tales casos, la multa administrativa máxima será de 20 millones EUR.

¿Qué factores tiene en cuenta la autoridad de control antes de decidir sobre una multa por infracción del RGPD?

La autoridad de control tiene en cuenta muchos factores diferentes en su decisión sobre la imposición de una multa administrativa en caso de incumplimiento del RGPD, y cuál debe ser el importe en tales casos. 

Realizan una evaluación caso por caso basada en las circunstancias del caso, teniendo en cuenta, en particular:

  1. la duración, naturaleza y gravedad de la infracción;
  2. la naturaleza, el alcance y la finalidad del tratamiento;
  3. el número de interesados afectados por la infracción, incluidos los daños sufridos por los interesados como consecuencia de la infracción;
  4. si la infracción se cometió intencionadamente o por negligencia o negligencia grave;
  5. las medidas adoptadas por la empresa para minimizar los daños causados por la infracción a los interesados;
  6. el grado de responsabilidad de la empresa, teniendo en cuenta las medidas de seguridad técnicas y organizativas aplicadas por la empresa;
  7. si la empresa ha infringido previamente el RGPD;
  8. la medida en que la empresa coopera con la autoridad de control para resolver la situación y mitigar los posibles efectos adversos de la infracción;
  9. las categorías de datos personales afectados por la infracción;
  10. el modo en que la autoridad de control tuvo conocimiento de la infracción, en particular si la empresa notificó la infracción a la autoridad de control y en qué medida se aplicó en tales casos;
  11. Si la autoridad de control ha ordenado previamente medidas correctoras contra la empresa de conformidad con el artículo 58, apartado 2, del RGPD sobre el mismo asunto, y si la empresa ha actuado de conformidad con estas medidas.
  12. Si la empresa ha aplicado códigos de conducta aprobados de conformidad con el artículo 40 del RGPD.
  13. Si la empresa ha aplicado mecanismos de certificación aprobados de conformidad con el artículo 42 del RGPD.
  14. cualquier otro factor atenuante o agravante aplicable a las circunstancias del caso. Por ejemplo, si la infracción ha dado lugar, directa o indirectamente, a que la empresa obtenga un beneficio financiero o ha evitado una pérdida financiera.

¿Qué significa si una infracción se comete intencionalmente o por negligencia?

La autoridad de control evalúa si la infracción se ha producido intencionadamente o por negligencia. Si ha ocurrido debido a la intención, es peor que si sucedió por negligencia, y a menudo conduce a sanciones más severas. Por lo tanto, puede ser útil conocer la diferencia entre estos dos conceptos: 

Intención

Si una empresa tiene el conocimiento y es consciente de que la empresa no cumple con las reglas del RGPD, la infracción se ha producido debido a la intención. Por ejemplo, si una empresa procesa información de tarjetas de crédito y sabe que la seguridad no es suficiente, pero decide no hacer nada al respecto.

Negligencia

El incumplimiento es cuando una empresa no tiene conocimiento o intención detrás de la violación del RGPD. En cambio, la compañía ha fallado en su deber legal de cuidado.

Las multas administrativas no están disponibles para los interesados

Cuando una empresa está sujeta a una multa administrativa, el importe debe pagarse a la autoridad de control, es decir, al Estado. No se trata de una cantidad que pueda compartirse con los interesados. Por otra parte, los interesados tienen derecho a reclamar daños y perjuicios. Pero esto no es algo que la autoridad supervisora afirme. En cambio, en tales casos, el interesado debe entablar una acción civil contra la empresa. 

MÁS SOBRE RGPD

Prohibition

La autoridad nacional de control puede prohibir a una empresa llevar a cabo un tipo específico de tratamiento. Esto significa que el tratamiento debe cesar. Alternativamente, se puede ordenar a la empresa que cumpla con condiciones específicas sobre cómo se llevará a cabo el procesamiento. 

Want to learn more?

Read more
Scroll al inicio