Directrices sobre el cálculo de sanciones bajo el RGPD: interesante enfoque de las autoridades alemanas

Desde la aplicación efectiva del RGPD, la cantidad que pueda resultar de imponer una sanción por parte de las autoridades de control ha supuesto un quebradero de cabeza para las empresas y juristas dedicados a la protección de datos. Las autoridades alemanas de protección de datos han publicado unas interesantes directrices que incluyen criterios que podrían suponer una base justa para garantizar que las sanciones que se impongan sean efectivas, proporcionadas y disuasorias.

Aunque el régimen sancionador del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, RGPD) integra unos criterios de proporcionalidad para que las multas administrativas que se impongan tengan la misma efectividad para las grandes empresas que para el pequeño comerciante, la aplicación del mismo en cuanto a su régimen sancionador ha estado envuelto en la sospecha de cierta inseguridad jurídica, al requerir su aplicación una lectura conjunta con las normativa nacionales que lo complementan.

Lo anterior se debe a que, desde un punto de vista del potencial infractor, puede resultar complicado predecir la cantidad por la cual va a ser sancionado y dependerá en gran medida del caso individual que se plantee. En este sentido, recordamos que ante una determinada infracción en lo relativo a tratamientos de datos personales pueden imponerse desde apercibimientos hasta sanciones que pueden llegar a la cantidad de 20.000.000 EUR o, si el infractor fuera una empresa y la cuantía fuera mayor, de una cuantía equivalente al 4% del volumen de negocio total anual del ejercicio financiero anterior.

El Grupo de Trabajo del Artículo 29 publicó el 3 de octubre de 2017 las Directrices sobre la aplicación y la fijación de multas administrativas a efectos del RGPD (WP 253) con el objetivo de establecer un entendimiento común entre las distintas autoridades de protección de datos de la Unión Europea sobre los criterios aplicables para la imposición de sanciones. No obstante, estas directrices WP 253 no garantizan (por sí solas) una aplicación del régimen sancionador del GDPR de forma proporcionada y se precisarían directrices adicionales por parte del Comité Europeo de Protección de Datos (CEPD) en este sentido.

Por su parte, la Conferencia de Autoridades Alemanas de Protección de Datos (German Datenschutzkonferenz –DSK–) ha publicado recientemente unas directrices por las que se propone un sistema para el cálculo de sanciones bajo el RGPD. Es importante precisar que estas directrices no son vinculantes en ningún sentido para las autoridades de protección de datos o tribunales del resto de Estados Miembros ni se aplicarían para incumplimientos que entrañen transferencias internacionales de datos. Así mismo, este sistema sólo se aplicaría cuando el infractor es una empresa, de modo que se excluyen tanto asociaciones como individuos (que quedarían sujetos a un sistema de cálculo distinto).

El DSK parte de la base que el volumen de negocio total anual de una empresa representa un indicador adecuado, apto y justo para garantizar la efectividad, proporcionalidad y efecto disuasorio de las sanciones que se impongan a empresas. De este modo, el DSK adopta un sistema "comprensible, transparente y justo" que toma como referencia el volumen de negocio total anual de las empresas para el cálculo de sanciones en cinco pasos, que se encuentran detallados a continuación:

1. Asignar la empresa a una categoría en base a su tamaño.
2. Determinar el volumen de negocio medio anual de la empresa dentro de su categoría de tamaño.
3. Calcular la cuantía correspondiente diaria.
4. Multiplicar la cuantía diaria por un factor que corresponde a la gravedad de la infracción.
5. Ajustar la cuantía según las circunstancias del caso individual.

Siguiendo las indicaciones anteriores, el DSK considera que lo primero que se debe realizar para valorar el caso concreto e imponer una sanción justa y proporcional a la empresa infractora es clasificar a la misma dentro de un grupo que dependerá de su tamaño. Así mismo, la empresa infractora puede asignarse a un rango de volumen de negocio total anual, que servirá para subcategorizar a la empresa dentro de cada grupo de tamaño (recomendamos consultar las directrices del DSK si el lector quiere informarse sobre los rangos de volumen de negocio total que utilizan las autoridades alemanas para asignar las empresas a cada subcategoría).

A continuación, el DSK calcula el volumen de negocio medio anual de cada subcategoría y lo divide por 365 para determinar la cuantía diaria de volumen de negocio, que representará la cuantía base sobre la que se calculará la correspondiente sanción a la empresa infractora. A dicha cuantía se le multiplica un factor que representa la severidad de la infracción que se comete, distinguiendo entre los casos que establece el artículo 83.4 del RGPD por un lado (con sanciones que ascienden hasta los 10.000.000 EUR o el 2% de volumen de negocio total anual) y los de los artículos 83.5 y 83.6 del RGPD por otro (con sanciones hasta los 20.000.000 EUR o el 4% de volumen de negocio total anual). Finalmente, la cantidad resultante se ajusta en función de las circunstancias individuales del infractor.

De este modo, el DSK hace frente a la necesidad de detallar una metodología justa y proporcional para la imposición de sanciones mientras el CEPD no publique directrices adicionales en este sentido. Si bien recordamos que las directrices del DSK no son vinculantes para el resto de autoridades de control de protección de datos de los Estados Miembros, las mismas podrían representar un sistema adecuado para realizar una primera aproximación a la sanción que se podría imponer a una empresa cuando sea investigada por una autoridad de control. Más aún, es importante destacar que este sistema de cálculo nos puede servir como referencia para aventurar el potencial riesgo que asumimos al contratar con otras empresas, teniendo en cuenta el tamaño que tengan y los tratamientos de datos personales que realizan.