Puntos clave: sanciones y multas del RGPD
Desde que el RGPD entró en vigor en mayo de 2018, las autoridades europeas de protección de datos han impuesto más de 4.500 millones de euros en multas, con una aplicación de la normativa que se acelera año tras año. Las multas se estructuran en dos niveles: hasta 10 millones de euros o el 2 % de la facturación anual mundial por infracciones de procedimiento (artículo 83(4)), y hasta 20 millones de euros o el 4 % de la facturación anual mundial por infracciones sustantivas (artículo 83(5)). Las organizaciones que mantienen programas de cumplimiento documentados (incluidos registros de tratamientos actualizados, EIPD completadas y un riesgo de proveedores gestionado) se benefician de factores atenuantes conforme al artículo 83(2) del RGPD. Las plataformas alojadas en Suiza como Priverion ayudan a las organizaciones multientidad a centralizar estas obligaciones y demostrar la responsabilidad proactiva ante las autoridades de control.
Definiciones
¿Qué es una multa del RGPD?
Una multa del RGPD es una sanción administrativa impuesta por una autoridad de control conforme a los artículos 83 y 84 del Reglamento General de Protección de Datos (RGPD) por el incumplimiento de las obligaciones de protección de datos. Las multas se calculan según criterios como la naturaleza, la gravedad y la duración de la infracción; el número de interesados afectados; y el grado de cooperación con la autoridad. Fuente: artículo 83 del RGPD
¿Qué es un registro de actividades de tratamiento (registro de tratamientos)?
Un registro de actividades de tratamiento (registro de tratamientos) es un registro obligatorio exigido por el artículo 30 del RGPD que documenta todas las operaciones de tratamiento de datos personales que lleva a cabo un responsable o un encargado del tratamiento. Cada entidad jurídica dentro de un grupo empresarial debe mantener su propio registro de tratamientos.
¿Qué es una evaluación de impacto relativa a la protección de datos (EIPD)?
Una evaluación de impacto relativa a la protección de datos (EIPD) es una evaluación de riesgos exigida por el artículo 35 del RGPD antes de un tratamiento que probablemente entrañe un alto riesgo para los derechos y libertades de las personas. Las Directrices del EDPB sobre protección de datos desde el diseño ofrecen más contexto sobre cuándo se requieren las EIPD.
¿Qué son las cláusulas contractuales tipo (CCT)?
Las cláusulas contractuales tipo (CCT) son condiciones contractuales preaprobadas adoptadas por la Comisión Europea en virtud de la Decisión de Ejecución (UE) 2021/914 de la Comisión que proporcionan garantías adecuadas para las transferencias internacionales de datos conforme al artículo 46(2)(c) del RGPD.
Preguntas frecuentes
¿Cómo se calculan las multas del RGPD?
Las multas del RGPD las calculan las autoridades de control utilizando los criterios establecidos en el artículo 83(2) del RGPD, que enumera 11 factores, entre ellos: la naturaleza, la gravedad y la duración de la infracción; si la infracción fue intencionada o negligente; las medidas adoptadas para mitigar el daño; el grado de cooperación con la autoridad; y cualquier infracción anterior. En junio de 2023, el EDPB adoptó las Directrices 04/2022, que establecen una metodología de cinco pasos para el cálculo armonizado de las multas en los Estados miembros de la UE.
¿Cuál es la multa máxima del RGPD?
La multa máxima del RGPD depende del nivel de la infracción. Las infracciones de nivel 1 (p. ej., no mantener el registro de tratamientos, EIPD inadecuadas) conllevan multas de hasta 10 millones de euros o el 2 % de la facturación anual mundial, optándose por la cuantía superior. Las infracciones de nivel 2 (p. ej., tratamiento ilícito, vulneración de los derechos de los interesados, transferencias internacionales ilegales) conllevan multas de hasta 20 millones de euros o el 4 % de la facturación anual mundial, optándose por la cuantía superior. Estos umbrales se definen en los artículos 83(4) y 83(5) del RGPD.
¿Cuál fue la mayor multa del RGPD impuesta hasta la fecha?
La mayor multa del RGPD hasta la fecha fue la sanción de 1.200 millones de euros impuesta a Meta Platforms Ireland Ltd por la Comisión de Protección de Datos irlandesa en mayo de 2023 por las transferencias ilícitas de datos personales de la UE a Estados Unidos, en infracción del artículo 46 del RGPD. La decisión se adoptó tras una decisión vinculante del Comité Europeo de Protección de Datos.
¿Pueden recibir multas del RGPD las pequeñas y medianas empresas?
Sí. Aunque las multas más mediáticas suelen afectar a las grandes empresas tecnológicas, las autoridades de control multan con regularidad a las pequeñas y medianas empresas. Según la IAPP, cada año se imponen cientos de multas inferiores a 100.000 euros en los Estados miembros de la UE por infracciones como registros de tratamientos incompletos, mecanismos de consentimiento de cookies ausentes y la falta de respuesta a las solicitudes de los interesados dentro del plazo de 30 días establecido por el artículo 12(3) del RGPD.
¿Qué factores atenuantes reducen las multas del RGPD?
El artículo 83(2) del RGPD enumera explícitamente los factores atenuantes que las autoridades de control deben tener en cuenta, entre ellos: el grado de responsabilidad teniendo en cuenta las medidas técnicas y organizativas aplicadas conforme a los artículos 25 y 32; cualquier medida adoptada para mitigar el daño sufrido por los interesados; el grado de cooperación con la autoridad de control; y la adhesión a códigos de conducta o mecanismos de certificación aprobados. Mantener un programa de cumplimiento documentado y proactivo (con registros de tratamientos actualizados, EIPD completadas y evaluaciones sistemáticas del riesgo de proveedores) se cita de forma constante como factor atenuante en las decisiones sancionadoras.
¿Cómo afecta el alojamiento de datos en Suiza al cumplimiento del RGPD?
Suiza cuenta con una decisión de adecuación de la UE conforme al artículo 45 del RGPD, lo que significa que los datos personales pueden fluir desde la UE/EEE hacia Suiza sin salvaguardas adicionales como las CCT. Alojar los datos en infraestructura suiza evita los riesgos jurisdiccionales asociados a los proveedores de nube con sede en EE. UU., que siguen estando sujetos a las solicitudes de acceso a los datos del gobierno estadounidense, una preocupación destacada por el Tribunal de Justicia de la UE en la sentencia Schrems II (asunto C-311/18).
¿Cuál es el papel del EDPB en la aplicación del RGPD?
El Comité Europeo de Protección de Datos (EDPB) es un organismo independiente de la UE creado en virtud del artículo 68 del RGPD que garantiza la aplicación coherente del reglamento en todos los Estados miembros. El EDPB emite decisiones vinculantes en los casos transfronterizos, publica directrices sobre el cálculo de las multas y las prioridades de aplicación, y coordina a las autoridades nacionales de control. Sus Directrices 04/2022 sobre el cálculo de las multas son la referencia autorizada sobre cómo se determinan las sanciones.
Estadísticas de aplicación del RGPD
Según los datos recopilados por el GDPR Enforcement Tracker de CMS Law, se han impuesto más de 4.500 millones de euros en multas acumuladas desde mayo de 2018. Los informes anuales del EDPB confirman que los casos de aplicación transfronteriza han aumentado considerablemente, y el mecanismo de ventanilla única produce más decisiones vinculantes cada año. El Informe IAPP-EY sobre gobernanza de la privacidad (2023) reveló que la organización media gasta aproximadamente 2,7 millones de dólares anuales en las operaciones de su programa de privacidad, lo que refleja el creciente coste del cumplimiento, pero también su rentabilidad en comparación con las posibles multas. Según ENISA, las organizaciones con programas maduros de protección de datos sufren un 40 % menos de incidentes de violación de datos, lo que reduce aún más la exposición a sanciones.
Comparación de los niveles de multa del RGPD
| Criterio | Nivel 1 (artículo 83(4)) | Nivel 2 (artículo 83(5)) |
|---|
| Multa máxima | 10 millones de euros o el 2 % de la facturación anual mundial | 20 millones de euros o el 4 % de la facturación anual mundial |
| Se aplica a | Obligaciones de procedimiento/organizativas | Principios fundamentales del tratamiento de datos y derechos de los interesados |
| Ejemplos de infracciones | Registro de tratamientos incompleto, EIPD ausente, medidas de seguridad inadecuadas | Tratamiento ilícito, vulneración de las normas de consentimiento, transferencias internacionales ilegales |
| Artículos clave del RGPD | Artículos 8, 11, 25 a 39, 42, 43 | Artículos 5 a 7, 9, 12 a 22, 44 a 49 |
| Ejemplo de caso emblemático | Diversas multas a pymes (rango de 5.000 a 500.000 euros) | Meta — 1.200 millones de euros (2023, transferencias internacionales) |