Carlos B Fernández. En 2018 el Comité Europeo de Protección de Datos (CEPD) elaboró las Directrices sobre la aplicación y fijación de multas administrativas a efectos del Reglamento 2016/679, WP 253, unas orientaciones para proporcionar una base clara y transparente para la fijación de multas por parte de las autoridades de control, que abordan las circunstancias en las que una multa administrativa sería un instrumento adecuado e interpretan los criterios del artículo 83 del RGPD a este respecto.
En mayo de 2022 adoptó Directrices 04/2022 sobre el cálculo de las sanciones administrativas conforme al Reglamento General de Protección de Datos (RGPD), que abordan la metodología para el cálculo de las multas administrativas. Los dos conjuntos de directrices son aplicables simultáneamente y deben considerarse complementarios.
Según el Comité, el objetivo de estas Directrices es crear puntos de partida armonizados como orientación común, sobre cuya base puede efectuarse el cálculo de las multas administrativas en casos concretos. Sin embargo, es jurisprudencia reiterada (como establecen las sentencias del TJUE asuntos C-189/02 P, C-202/02 P, C-205/02 P a C-208/02 P y C-213/02), que tal orientación no tiene por qué ser tan específica como para permitir que un responsable o encargado realice un cálculo matemático preciso de la multa prevista.
Por ello, en estas Directrices se subraya que el importe final de la multa depende de todas las circunstancias del caso. Por lo tanto, el CEPD prevé la armonización de los puntos de partida y la metodología utilizada para calcular una multa, en lugar de armonizar el resultado.
Con todo, las autoridades de control no están obligadas a seguir todos los pasos aquí previstos si no son aplicables en un caso determinado, ni a proporcionar razonamiento en torno a aspectos de las Directrices que no son aplicables. Sin embargo, su razonamiento debe incluir al menos los factores que llevaron a determinar el nivel de gravedad, el volumen de negocios aplicado y los factores agravantes y atenuantes que se aplicaron.
Por otra parte, y no obstante las presentes Directrices, las autoridades de control siguen estando sujetas a todas las obligaciones procedimentales en virtud del Derecho nacional y de la UE, incluida la obligación de motivar sus decisiones y sus obligaciones en virtud del mecanismo de ventanilla única. En este sentido, aunque las autoridades de control están obligadas a motivar suficientemente sus conclusiones de conformidad con el Derecho nacional y de la Unión, estas directrices no deben interpretarse en el sentido de que exigen a la autoridad de control que indique el importe de partida exacto o cuantifique el impacto preciso de cada circunstancia agravante o atenuante. Además, la mera referencia a las presentes Directrices no puede sustituir al razonamiento que debe exponerse en un caso concreto.
Las orientaciones aquí establecidas se aplican a todos los tipos de responsables y encargados del tratamiento de conformidad con el artículo 4, apartados 7 y 8, del RGPD, excepto las personas físicas cuando no actúan como empresas. Esto no afecta a las facultades de las autoridades nacionales para imponer multas a las personas físicas.
METODOLOGÍA PARA EL CÁLCULO DE LAS MULTAS
1. Consideraciones generales
- Discrecionalidad de las autoridades de control
A pesar de las obligaciones de cooperación y coherencia, el cálculo del importe de la multa queda a discreción de la autoridad de control. El RGPD exige que el importe de la multa sea en cada caso efectivo, proporcionado y disuasorio (artículo 83, apartado 1, del RGPD).
Además, al fijar el importe de la multa, las autoridades de control tendrán debidamente en cuenta una lista de circunstancias que se refieran a las características de la infracción (su gravedad) o al carácter del autor (artículo 83, apartado 2, del RGPD). Por lo tanto, la cuantificación del importe de la multa se basa en una evaluación específica realizada en cada caso, teniendo en cuenta los parámetros incluidos en el RGPD.
- El RGPD no prevé multas mínimas
Por lo que respecta a la conducta que infrinja las normas de protección de datos, el RGPD no prevé una multa mínima. Más bien, el RGPD solo prevé importes máximos en el artículo 83, apartados 4 a 6, del RGPD, en el que se agrupan varios tipos de conducta diferentes. En última instancia, una multa solo puede calcularse ponderando todos los factores expresamente identificados en el artículo 83, apartado 2, letras a) a j), del RGPD, pertinentes para el caso y cualquier otro elemento pertinente, incluso si no se enumeran explícitamente en dichas disposiciones [como exige el artículo 83, apartado 2, letra k), del RGPD tener debidamente en cuenta cualquier otro factor aplicable].
- Las multas deben ser efectivas, proporcionales y disuasorias
Por último, el importe final de la multa resultante de esta evaluación debe ser efectivo, proporcionado y disuasorio en cada caso concreto (artículo 83, apartado 1, del RGPD). Cualquier multa impuesta debe tener suficientemente en cuenta todos estos parámetros, sin sobrepasar al mismo tiempo el máximo legal previsto en el artículo 83, apartados 4 a 6, del RGPD.
2. Visión general de la metodología
Teniendo en cuenta estos parámetros, el CEPD ha elaborado la siguiente metodología para calcular las multas administrativas por infracciones del RGPD:
Paso 1. Identificación de las operaciones de tratamiento en el caso y evaluación de la aplicación del artículo 83, apartado 3, del RGPD
Antes de poder calcular una multa sobre la base de la metodología de estas directrices, es importante considerar primero en qué conducta (circunstancias reales relacionadas con el comportamiento) e infracciones (descripciones jurídicas abstractas de lo que es sancionable) se basa la multa.
Por lo tanto, es importante establecer primero: a. Si las circunstancias deben considerarse o no como una (capítulo 3.1) o múltiples conductas sancionables, b. En caso de una conducta, si esta conducta da lugar o no a una o varias infracciones, y c. En caso de una conducta que dé lugar a múltiples infracciones, la imputación de una infracción excluye la atribución de otra infracción o si deben imputarse entre sí.
Paso 2 Encontrar el punto de partida para el cálculo posterior basado en una evaluación de la categorización de las infracciones según su naturaleza; la gravedad de la infracción y el volumen de negocios de la empresa
El CEPD considera que el cálculo de las multas administrativas debe comenzar desde un punto de partida armonizado. Este punto de partida constituye el comienzo del cálculo ulterior, en el que se tienen en cuenta todas las circunstancias del caso y se ponderan, lo que da lugar al importe final de la multa que debe imponerse al responsable o al encargado del tratamiento.
La identificación de los puntos de partida armonizados en estas Directrices no impide ni debe impedir que las autoridades de control evalúen cada caso en función de sus méritos. La multa impuesta a un responsable/encargado del tratamiento puede variar desde cualquier importe hasta el máximo legal de la multa, siempre que dicha multa sea efectiva, disuasoria y proporcionada. La existencia de un punto de partida no impide que la autoridad de control reduzca o aumente la multa (hasta su máximo) si las circunstancias del caso así lo exigen.
En este sentido, el CEPD considera que tres elementos constituyen el punto de partida para el cálculo posterior: la categorización de las infracciones según su naturaleza con arreglo al artículo 83, apartados 4 a 6, del RGPD; la gravedad de la infracción (como se explica en la sección 4.2) y el volumen de negocios de la empresa como un elemento pertinente a tener en cuenta con vistas a imponer una multa efectiva, disuasoria y proporcionada, de conformidad con el artículo 83, apartado 1, del RGPD.
Paso 3. Evaluar las circunstancias agravantes y atenuantes relacionadas con el comportamiento pasado o presente del responsable/encargado del tratamiento y aumentar o disminuir la multa en consecuencia
Siguiendo la estructura del RGPD, después de haber evaluado la naturaleza, gravedad y duración de la infracción, así como su carácter intencional o negligente de la infracción y las categorías de datos personales afectados, la autoridad de control debe tener en cuenta los factores agravantes y atenuantes restantes enumerados en el artículo 83, apartado 2, del RGPD.
Con respecto a la evaluación de estos elementos, los aumentos o disminuciones de una multa no pueden determinarse previamente a través de tablas o porcentajes. A este respecto, el CEPD reitera que la cuantificación real de la multa dependerá de todos los elementos recogidos durante la investigación y de otras consideraciones relacionadas también con anteriores experiencias de multas de la autoridad de control.
Añade el Comité que, en aras de la claridad, cabe señalar que cada criterio del artículo 83, apartado 2, del RGPD, ya sea evaluado con arreglo al capítulo 4 o lo previsto en estas directrices, solo debe tenerse en cuenta una vez como parte de la evaluación general del artículo 83, apartado 2, del RGPD.
En este sentido, las directrices señalan como circunstancias a tener el cuenta:
- Las medidas adoptadas por el responsable o encargado del tratamiento para mitigar los daños sufridos por los interesados
- El grado de responsabilidad del responsable o encargado del tratamiento
- Las infracciones anteriores que se pudieran haber cometido por parte del responsable o encargado del tratamiento
- El marco temporal de las infracciones anteriores, teniendo en cuenta:
a. El momento en que tuvo lugar la infracción anterior y considerando que cuanto más tiempo haya transcurrido entre una infracción anterior y la infracción actualmente investigada, menor será su importancia. Sin embargo, dado que las infracciones cometidas hace mucho tiempo podrían seguir siendo de interés a la hora de evaluar el «registro de seguimiento» del responsable o encargado del tratamiento, no deben fijarse plazos de prescripción fijos para este fin. Por la misma razón, cabe señalar que las infracciones del RGPD, ya que serán más recientes, deben considerarse más pertinentes que las infracciones de las disposiciones nacionales adoptadas para la aplicación de la Directiva 95/46/CE.
b. Que las infracciones anteriores del objeto mismo o diferente del objeto investigado podrían considerarse «relevantes».
c. Otras consideraciones, como el hecho de que los requisitos de la Directiva y del RGPD pueden diferir (si la legislación nacional permite que la autoridad de control tenga en cuenta dichas infracciones).
- El grado de cooperación con la autoridad de control para subsanar la infracción y mitigar los posibles efectos adversos de la infracción- La forma en que la autoridad de control tuvo conocimiento de la infracción
- El cumplimiento de medidas previamente ordenadas en relación con el mismo tema
- La adhesión a códigos de conducta aprobados o a mecanismos de certificación aprobados
- Otras circunstancias, como «cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso», es decir, todas las consideraciones motivadas relativas al contexto socioeconómico en el que opera el responsable o encargado del tratamiento, las relativas al contexto jurídico y las relativas al contexto del mercado.
Paso 4. Identificación de los máximos legales pertinentes para las diferentes operaciones de tratamiento. Los aumentos aplicados en pasos anteriores o siguientes no pueden exceder esta cantidad
El RGPD no etiqueta sumas fijas a infracciones específicas. En cambio, la norma establece importes máximos globales, siguiendo la tradición general de la legislación de la UE en materia de sanciones ya establecida por otros actos jurídicos.
En este sentido, las directrices consideran que los importes del artículo 83, apartados 4 a 6, del RGPD constituyen el máximo legal y prohíben a las autoridades de control imponer multas que, en su resultado, superen los importes máximos aplicables.
Para determinar el máximo legal correcto, debe tenerse en cuenta el artículo 83, apartado 3, del RGPD, cuando proceda. Por lo tanto, cada autoridad de control debe asegurarse de que estos importes máximos no se superen al calcular las multas basadas en estas Directrices. Dependiendo del caso individual, diferentes cantidades máximas pueden llegar a ser relevantes.
Paso 5 Analizar si el importe final de la multa calculada cumple los requisitos de efectividad, disuasión y proporcionalidad, tal como exige el artículo 83, apartado 1, del RGPD, aumentando o disminuyendo la multa en consecuencia
Se exige que la multa administrativa impuesta por las infracciones del RGPD a que se refiere el artículo 83, apartado 4—6 serán, en cada caso concreto, eficaces, proporcionados y disuasorios. En otras palabras, el importe de la multa impuesta se debe adaptar a la infracción cometida en su contexto específico.
A estos efectos, el CEPD considera que corresponde a las autoridades de control verificar si el importe de la multa cumple estos requisitos, o si son necesarios nuevos ajustes del importe.
Esta evaluación abarca la totalidad de la multa impuesta y todas las circunstancias del caso, incluida, por ejemplo, la acumulación de múltiples infracciones, aumentos y disminuciones por circunstancias agravantes y atenuantes y circunstancias financieras/socioeconómicas. Sin embargo, corresponde a la autoridad de control velar por que las mismas circunstancias no se cuenten dos veces. En caso de que estos ajustes merezcan un aumento de la multa, dicho aumento puede, por definición, no exceder el máximo legal indicado.
Como consecuencia particular del principio de proporcionalidad, la autoridad de control puede considerar, de conformidad con el Derecho nacional, reducir aún más la multa sobre la base del principio de incapacidad de pago. Cualquier reducción de este tipo requiere circunstancias excepcionales.
Flexibilidad y evaluación periódica
En estas directrices se esboza un método general para el cálculo de las multas y facilitarán una mayor armonización y transparencia en la práctica de multas de las autoridades de control. Sin embargo, este método general no debe ser malinterpretado como una forma de cálculo automático o aritmético. La fijación individual de una multa debe basarse siempre en una evaluación humana de todas las circunstancias pertinentes del caso y debe ser eficaz, proporcionada y disuasoria en relación con ese caso concreto.