GDPR: Sanciones por infracciones en materia de protección de datos

CONTENIDO

• GDPR: Éxito para la protección de datos u obstáculo para la inteligencia artificial?
• Las pequeñas empresas lo tienen más difícil
• Persiste el riesgo de sanciones
• Sanciones por infracciones de la protección de datos
• Sanciones del RGPD: visión general del concepto de multa
• ¿Hasta qué punto es vinculante el concepto de multa?
• Resumen de las sanciones del RGPD
• Conclusión: sanciones del GDPR por infracciones de la protección de datos
• En buenas manos con DQS

GDPR: ¿Un éxito para la protección de datos o un obstáculo para la inteligencia artificial?

Las opiniones siguen siendo divergentes sobre si el Reglamento General de Protección de Datos (RGPD) es un éxito para la protección de los datos personales o más bien un obstáculo para la inteligencia artificial (IA) y la digitalización. Esta discrepancia es propia de la naturaleza de las cosas: desde la perspectiva de aquellos para quienes se elaboró el RGPD, la aplicación de la directiva es sin duda un éxito. Los particulares pueden alegrarse de que la manipulación y el tratamiento de sus datos personales estén ahora sujetos a requisitos legales mucho más estrictos que nunca. Y de que hayan recuperado el control sobre sus propios datos, al menos en parte.

Por otro lado, sin embargo, están quienes manejan datos personales en su trabajo diario. Para estas empresas, el nuevo reglamento ha creado una notable cantidad de trabajo adicional en el tratamiento de datos, que es esencial para el cumplimiento - sobre todo el directorio de tratamiento de conformidad con el artículo 30 GDPR. Entre otras cosas, el registro debe proporcionar información sobre el origen y el uso de los datos personales, pero también sobre cómo es un concepto de supresión de datos personales. El nombramiento de un delegado de protección de datos (externo) y la realización inicial de auditorías de protección de datos, por ejemplo, son también cargas adicionales para las organizaciones afectadas.

Las pequeñas empresas lo tienen más difícil

Aquí es donde entra en juego hasta cierto punto la igualdad de trato entre pequeñas y medianas empresas (PYME) y grandes corporaciones, ya que tiende a crear desigualdades como resultado. Sencillamente porque a las pequeñas organizaciones les resulta más difícil tratar los datos personales cumpliendo plenamente el RGPD. Pero aquí también hay ejemplos de buenas prácticas.

Las grandes empresas, por su parte, suelen contar con especialistas adecuados y responsables (externos) de protección de datos que pueden garantizar en gran medida el cumplimiento de la normativa de protección de datos. Los grupos empresariales también suelen disponer de sistemas informáticos más potentes que facilitan la aplicación de las leyes de protección de datos. En las pymes, en cambio, hay cierta falta de claridad sobre en qué casos y cómo se puede aplicar correctamente el GDPR sin la amenaza de sanciones.

Persiste el riesgo de sanciones

El riesgo de ser multado por las autoridades de supervisión por violaciones "inadvertidas" del GDPR también ha aumentado inevitablemente. Esto puede suponer una mayor carga financiera para las microempresas que para las grandes empresas cuando se trata de multas, a pesar de la referencia a la facturación anual. Esto se debe a que cabe suponer que sus reservas financieras son menores.

Esta discrepancia entre grandes y pequeñas empresas convirtió inicialmente la seguridad jurídica esperada en una gran inseguridad jurídica para las pequeñas empresas. Como consecuencia, las empresas muy pequeñas, en particular, exigieron a sus clientes declaraciones de consentimiento a veces innecesarias. Incluso si, según el Reglamento general de protección de datos de la UE, ni siquiera estaban incluidos en el grupo de interesados. Esto se hacía normalmente como obediencia anticipada para evitar infracciones y multas del GDPR. Sin embargo, esta práctica es ahora en gran parte cosa del pasado.

GDPR: Sanciones por violaciones de la protección de datos

En cuanto al nivel de sanciones por incumplimiento de la protección de datos e infracciones del GDPR, ha habido claridad desde octubre de 2019. En ese momento, la Conferencia de Protección de Datos (DSK) presentó su concepto para evaluar una sanción adecuada por violaciones de protección de datos. Desde entonces, el concepto de las autoridades independientes de protección de datos federales y estatales ha regulado la evaluación de las multas del GDPR en los procedimientos contra las empresas. De este modo, las autoridades de control han acordado un procedimiento normalizado para evaluar e imponer multas de forma sistemática, transparente y comprensible.

De conformidad con el artículo 24 del RGPD, el concepto de DSK sigue siendo una lectura obligada con respuestas importantes para todos los responsables del tratamiento.

La Conferencia de Protección de Datos también subraya que el catálogo de multas para sanciones por infracciones del GDPR está listo para un mayor desarrollo. El trasfondo de ello es la actual coordinación a escala europea con el objetivo de una directriz del Consejo Europeo de Protección de Datos (CEPD). Por consiguiente, el concepto actual de multas no se aplica a la evaluación de multas en casos transfronterizos ni a las orientaciones vinculantes de otras autoridades europeas de protección de datos.

Nota: sobre la Conferencia de Protección de Datos

La Conferencia de Protección de Datos (DSK) está formada por las autoridades independientes de supervisión de protección de datos de los gobiernos federal y estatales. Tiene la tarea de salvaguardar y proteger los derechos fundamentales de protección de datos, lograr una aplicación uniforme del derecho europeo y nacional de protección de datos y abogar conjuntamente por su desarrollo futuro. Esto se consigue, en particular, mediante resoluciones, decisiones, directrices, normalizaciones, declaraciones, comunicados de prensa y especificaciones. Fuente: www.datenschutzkonferenz-online.de

Sanciones del GDPR: una visión general del concepto de multas

La multa máxima por infracciones del GDPR es de 20 millones de euros o el 4% de la facturación anual - lo que sea mayor. La base para calcular las multas del GDPR es, por tanto, el volumen de negocios anual de una empresa. Como primer paso, las organizaciones se dividen en cuatro categorías de tamaño.

1. categorización de las empresas según su clase de tamaño

Cuatro categorías basadas en el volumen de negocios anual de una empresa:

• A: Microempresas con un volumen de negocio anual de hasta 2 millones de euros
• B: Pequeñas empresas con un volumen de negocio anual de más de 2 a 10 millones de euros
• C: Medianas empresas con una facturación anual de más de 10 a 50 millones de euros
• D: Grandes empresas con un volumen de negocio anual superior a 50 millones de euros

Sin embargo, las cuatro categorías de tamaño se subdividen en función de los niveles de facturación dentro de la categoría principal para poder clasificar las organizaciones con más detalle para la evaluación de una multa GDPR en caso de incumplimiento. Ejemplos:

• Una pequeña empresa de la categoría B con un volumen de negocios anual de entre 5 y 7,5 millones de euros pertenece a la categoría B.II
• y una gran empresa con un volumen de negocios anual mundial de entre 200 y 300 millones de euros entra en la categoría D.IV

2. determinación del volumen de negocios medio anual

En el segundo paso, se determina el volumen de negocios medio anual de la subcategoría respectiva. El volumen de negocios medio anual es la base para determinar el valor económico básico. Ejemplos:

• Para la empresa de la categoría de tamaño B.II, el volumen de negocios medio anual se fija en 6,25 millones de euros,
• Para la gran empresa de la categoría D.IV, el volumen de negocios medio anual se fija en 250 millones de euros.

3. determinación del valor de base

Utilizando la fórmula para determinar el valor económico de base, el volumen de negocios medio anual se divide ahora por 360 días. El resultado es una tasa media diaria. Ejemplos:

• La tarifa media diaria para la empresa de la clase de tamaño B.II es de unos 17.361 euros.
• La tarifa media diaria para la gran empresa (D.IV) es de 694.444 euros.

4. multiplicación del valor básico en función de la gravedad de la infracción

Aquí, el concepto de multa utiliza otra tabla para mostrar el factor por el que se multiplica la tarifa media diaria. Los puntos de referencia para determinar el factor para las sanciones GDPR son el grado de gravedad -ligero, medio, pesado o muy pesado- y la categorización en infracciones GDPR formales o materiales. Ejemplos:

• En el caso de una infracción material grave por parte de una empresa de la clase de tamaño B.II, puede aplicarse el factor de 8 a 12 tarifas medias diarias.
• En el caso de una infracción formal leve por parte de una gran empresa de la categoría D.IV, podrá aplicarse un factor de 1 a 2 tarifas medias diarias.

5. ajuste del valor de base

El valor de base se ajusta en función de todas las demás circunstancias a favor y en contra del interesado. En este paso, se consideran de nuevo todas las circunstancias relacionadas con la infracción que pueden influir en el valor básico - por ejemplo, si una empresa está amenazada de insolvencia.

¿Hasta qué punto es vinculante el concepto de multa?

Sigue siendo vinculante, ya que el concepto de DSK "se refiere a la evaluación de multas en procedimientos contra empresas dentro del ámbito de aplicación del Reglamento general de protección de datos". Esto significa que el concepto es la directriz actual para las autoridades alemanas de supervisión y protección de datos y los responsables de protección de datos de los estados federales en caso de infracciones de la protección de datos personales y datos sensibles.

Cualquiera que estudie detenidamente el concepto de sanción se dará cuenta de que los autores han puesto cierto cuidado en crear categorías y clasificaciones lo más "justas" posible. Al mismo tiempo, sin embargo, el paso 5 también va en la dirección de la relativización. Pero, sobre todo, la Conferencia de Protección de Datos deja claro de forma inequívoca que los tribunales no están necesariamente vinculados por el concepto a la hora de determinar el nivel de una multa por delito contra la protección de datos.

El concepto de multas tampoco se aplica cuando se trata de informes de casos transfronterizos. En general, la propia DSK admite que las directrices no son exhaustivas y que la concreción de la metodología para fijar las multas se reserva para las directrices de la BEPD, que aún no se han elaborado.

Por lo tanto, a la hora de determinar una sanción adecuada para las infracciones del RGPD, deben tenerse en cuenta muchos factores, cada uno de los cuales debe considerarse individualmente. He aquí un breve resumen:

• Gravedad y duración de la violación de datos
• Tipo de daño causado
• Número de personas afectadas
• Intención de la empresa
• Medidas de limitación del daño
• Número de infracciones individuales del GDPR
• Infracciones reiteradas del GDPR
• Cooperación / ocultación por parte de la empresa
• Motivos para la reducción de la sanción

Las sanciones del GDPR de un vistazo

En general, el Reglamento General de Protección de Datos (RGPD) puede considerarse un éxito (parcial) después de tres años. Los particulares han recuperado cierto control sobre sus datos personales. El precio por ello es bastante bajo: tener que marcar unas cuantas casillas más en internet y dar así su consentimiento al tratamiento de sus datos. En este sentido, un particular puede ahora contrarrestar más eficazmente una violación de la protección de datos.

Las empresas, por su parte, tienen que hacer un cierto esfuerzo adicional para evitar sanciones por infracciones. Sin embargo, el esfuerzo requerido variará en función del sector y del tamaño de la organización. En principio, las pequeñas empresas tienen que hacer el mismo esfuerzo que las grandes, por ejemplo en lo que respecta a las medidas técnicas y organizativas (MTO). Esto se interpreta a veces como una desigualdad de trato encubierta.

En Alemania, el concepto de multas de la Conferencia de Protección de Datos es una guía buena y, sobre todo, concreta de las dimensiones financieras de las sanciones del RGPD. Sin embargo, a la luz de la normativa europea pendiente sobre multas, el concepto sufrirá cambios en un futuro previsible. El concepto contiene debilidades o ambigüedades en los siguientes aspectos, entre otros:

• ¿Todas las infracciones del GDPR tienen que ser objeto de multa? ¿Se suprimirá la opción de emitir primero una advertencia?
• ¿Se mantendrá el principio de proporcionalidad?
• ¿Cómo se tratan los casos especiales, por ejemplo las organizaciones con un volumen de negocios negativo?
• ¿Son suficientemente específicos los pasos 4 y 5 del concepto?
• ¿Cómo se tiene en cuenta el enfoque caso por caso requerido por el artículo 83 del RGPD?

Modelo de multas para el GDPR: Lo que dice Bitkom

En principio, Bitkom acoge con satisfacción la intención de la DSK de normalizar la práctica supervisora. Sin embargo, Bitkom cree que el modelo debe ser adaptado. Esencialmente, Bitkom critica el enfoque de las sanciones centrado en los ingresos. Esto podría llevar a una "contradicción en la evaluación de las infracciones graves cometidas por pequeñas empresas y las infracciones leves cometidas por grandes empresas".

La asociación del sector señala una serie de puntos que, en su opinión, no reciben suficiente atención en el concepto de multa:

• Utilizar el volumen de negocios como criterio principal para calcular el importe de la multa no parece tener sentido. Deben incluirse otros factores en el cálculo básico y deben mencionarse las medidas sancionadoras adicionales, por ejemplo en virtud del art. 58 del GDPR, así como las normativas nacionales.
• Se echa en falta una descripción más detallada del juicio discrecional, el principio de oportunidad y otras "herramientas" que deban aplicarse. El concepto de multas también plantea cuestiones constitucionales.
• La proporcionalidad de las sanciones (por ejemplo, las multas) no está garantizada de forma coherente.
• El enfoque en el caso individual estipulado en el artículo 83, apartado 2, del RGPD queda casi reducido al absurdo por el concepto.
• El concepto se refiere a las empresas, pero es necesario explicar cómo se aplica a las autoridades de control privadas que no están obligadas a tener una forma jurídica o corporativa. Esto incluye, por ejemplo, a las asociaciones.
• No se da suficiente espacio a la cooperación y asistencia de la empresa en cuestión.

Conclusión: sanciones del RGPD por infracciones de la protección de datos

Para la mayoría de las organizaciones, el GDPR no supone un gran reto debido a los recursos disponibles. Desde la perspectiva actual, puede decirse que el caos pronosticado al principio no se ha materializado, y tanto las advertencias como las multas del GDPR impuestas por las autoridades de supervisión tras las infracciones de protección de datos se han mantenido inicialmente por debajo de las expectativas (negativas) millonarias.

El énfasis está en "inicialmente" - porque el importe de las multas impuestas en Alemania está aumentando significativamente. En 2021, totalizaron más de 1.200 millones de euros con bastante más de 400 multas impuestas. En comparación: en 2020, se impusieron en Alemania multas por un total de unos 170 millones de euros con 340 sanciones. El líder en 2021 fue Amazon con 746 millones de euros.

Todavía hay quejas, especialmente de asociaciones, de que el GDPR podría resultar una desventaja para las empresas que confían en la inteligencia artificial y la digitalización avanzada. Es importante estar atentos a la evolución en este sentido.

En buenas manos con DQS

Por lo tanto, las empresas que quieran ir sobre seguro y evitar multas deberían hacer comprobar el estado de sus medidas de protección de datos por una organización independiente como DQS para determinar el estado de sus medidas de protección de datos. La base para ello es la norma internacional ISO 27701 para la gestión de la protección de datos.

El camino pasa por la implantación de un sistema de gestión de la seguridad de la información (SGSI) conforme a la norma ISO 27001 directamente a la ampliación según ISO 27701 y, por tanto, a la protección de datos. La certificación posterior puede confirmar que se cumplen los requisitos del GDPR. La solución ideal para cumplir los requisitos legales del GDPR.

DQS Deutsche Gesellschaft zur Zertifizierung von Managementsystemen fue fundada en 1985 como la primera certificadora de sistemas de gestión de Alemania. Siempre hemos sido la única gran organización de certificación centrada en los sistemas y procesos de gestión. En 1986, emitimos el primer certificado en Alemania conforme a la norma ISO 9001la norma más importante del mundo para sistemas de gestión.

Con nuestras auditorías, perseguimos el objetivo de proporcionar a nuestros clientes impulsos para el potencial de mejora, más allá de la mera evaluación de la conformidad con las normas. Para ello, empleamos como auditores a especialistas autónomos altamente cualificados y a directivos con experiencia relevante en el sector. Nuestra pretensión empieza donde acaban las listas de comprobación de auditorías. Créanos.

Experiencia y confianza

Nuestros textos y folletos están redactados exclusivamente por expertos en normas internas y auditores de sistemas de gestión con una larga trayectoria. Si tiene alguna pregunta sobre el contenido y nuestras auditorías, envíenos un correo electrónico a willkommen@dqs.de.