La traducción, el resumen y los comentarios han sido realizados por el autor.
En caso de detectar algún error, agradeceremos que se nos señale.
1. Consideraciones generales
¿Qué multas deben calcularse siguiendo la Guía?
Esta guía es aplicable para la determinación de las multas impuestas a todos los responsables y encargados de tratamientos
excepto a las personas físicas cuando no actúan como empresas (§ 9).
En el caso de que la ley nacional prevea la imposición de multas a órganos de las Administraciones Públicas
(no es el caso de España) la Guía también es aplicable para determinar su cuantía,
salvo el tercer criterio del Paso dos (§ 10).
¿Cuál es la finalidad de la Guía?
Asegurar que las diferentes Autoridades de Control apliquen de manera consistente las
sanciones previstas en el art. 83 del RGPD.
Para ello se describe una metodología general de cálculo y se proporcionan unos valores orientativos.
No obstante, la Guía no proporciona un algoritmo que permita calcular exactamente
la cuantía de la multa (§ 4-5).
La determinación de la cuantía en un caso individual siempre deberá basarse en la evaluación por un ser humano
de todas las circunstancias relevantes de forma que la sanción sea efectiva, proporcionada y disuasoria
para ese caso concreto
(§ 145).
¿Es la Guía vinculante para las Autoridades de Control?
Indudablemente son vinculantes las cuantías máximas fijadas en el RGPD
y la aplicación de los principios de efectividad, proporcionalidad y disuasión, también enunciados en el RGPD.
Suponemos que puede decirse que la Autoridad de Control también está vinculada
a seguir la metodología expuesta en la Guía.
Pero esta metodología es tan flexible (pese a lo que pueda parecer
al lector apresurado; vd. p. ej. el paso tres más abajo) que, en realidad,
la vinculación no tiene las consecuencias que ese lector apresurado podría inferir:
en la práctica, la cuantía
correspondiente a casi cualquier infracción podría ser casi cualquiera.
Como se dice en varios lugares (p. ej. § 69), «la Autoridad de Control conserva su discrecionalidad para utilizar
todo el rango legal, desde cualquier valor hasta el máximo legal,
garantizando que la multa se adapte a las circunstancias del caso.»
En cualquier caso, el razonamiento de la Autoridad de Control debe incluir al menos
los factores que le llevaron a determinar el nivel de importancia, el volumen de negocios considerado
y las circunstancias agravantes y atenuantes aplicadas
(§ 6).
¿Hasta qué punto son aplicables la legislación y la jurisprudencia españolas en la aplicación de la Guía?
Hasta el punto en que colisionen con la legislación de la UE, la jurisprudencia del TJUE
y las decisiones vinculantes del CEPD.
En particular, los conceptos de «empresa» (undertaking)
y «volumen de negocio» (turnover) deben entenderse tal como se definen
en los Tratados y legislación de la UE y en la jurisprudencia del TJUE.
¿Cómo se determina la cuantía de una multa?
La Guía define un procedimiento de cálculo que consta de varios pasos sucesivos.
No obstante, la Autoridad de Control no está obligada a seguir todos ellos si considera que alguno no es aplicable al caso (§ 6),
ni a aplicar el tercer criterio del paso dos si estima que no es necesario (§ 68).
Tampoco está obligada a indicar exactamente el punto de partida (paso dos) o el impacto
de cada circunstancia agravante o atenuante (paso tres)
(§ 7).
¿Cuáles son estos pasos?
Los pasos son los siguientes (§ 17):
Paso dos. Determinar el punto de partida.
Paso tres. Considerar agravantes y atenuantes.
Paso cuatro. Comprobar que no se supera el máximo legal.
Paso cinco. Analizar si la multa es efectiva, proporcionada y disuasoria.
¿Y cuál es el paso uno?
Un paso previo (paso uno) es identificar las operaciones de tratamiento involucradas y determinar si
son constitutivas de una o varias infracciones al RGPD.
Preferimos exponer este paso después de haber explicado los demás.
2. Paso dos: determinar el punto de partida
¿Qué es y cómo se determina el punto de partida?
El punto de partida es la cuantía que correspondería a la infracción
sin tener en cuenta las circunstancias agravantes o atenuantes.
El punto de partida se determina atendiendo a tres criterios sucesivos.
¿Cuáles son esos tres criterios?
Son los siguientes (§ 48):
Categoría según el art. 83.4 a 83.6 del RGPD.
Este criterio proporciona una primera aproximación consistente no en un valor concreto, sino en un rango de posibles cuantías.
Importancia (seriousness) de la infracción .
Este criterio determina un subrango del calculado por el primer criterio. Dentro de él la Autoridad de Control fijará un valor.
Volumen anual de negocio de la empresa infractora.
Este criterio modula el valor establecido en el segundo criterio, en general reduciéndola en función del volumen de negocio de la infractora.
Los criterios se aplican sucesivamente, cada uno de ellos sobre el resultado del anterior.
2.1. Paso dos. Primer criterio: Categoría según el art.83.4-83.6 RGPD
¿Cuál es el rango resultante de la aplicación de este criterio?
El límite inferior del rango es 0 €.
El límite superior toma uno de estos dos valores diferentes, establecidos en el RGPD:
Según el art. 83.4 del RGPD, el máximo de estas dos cantidades:
10.000.000 €.
el 2% del volumen de negocio total anual global del ejercicio financiero anterior.
Según el art. 83.5-6 del RGPD, el máximo de estas dos cantidades:
20.000.000 €.
el 4% del volumen de negocio total anual global del ejercicio financiero anterior.
Haciendo unos cálculos elementales, se deduce que:
Si el volumen de negocio es menor o igual que 500 millones €,
el límite superior es fijo para todas las empresas
(10 millones € o 20 millones €).
Si el volumen de negocio es mayor que 500 millones €,
el límite superior será diferente para diferentes empresas, dependiendo de su volumen de negocio.
Siempre será mayor que el límite fijo que acabamos de mencionar y
puede llegar a ser mucho mayor, si el volumen de negocio supera mucho los 500 millones €.
¿Cómo se elige entre estos dos valores del límite superior?
Se elige atendiendo al precepto del RGPD que se ha infringido:
Corresponde el valor del art. 83.4. cuando:
El responsable o el encargado han incumplido alguna de las obligaciones establecidas en los arts. 8, 11 y 25 a 39.
La entidad de certificación ha incumplido alguna de las obligaciones establecidas en los art. 42 y 43.
El organismo de control de códigos de conducta ha incumplido alguna de las obligaciones establecidas en el art. 41.4.
Corresponde el valor del art. 83.5-6 cuando:
Se han infringido los principios básicos para el tratamiento (arts. 5, 6, 7 y 9).
Se han vulnerado los derechos de los interesados (arts. 12 a 22).
Se han infringido las disposiciones relativas a transferencias internacionales de datos (arts. 44 a 49).
Se ha incumplido una resolución de la Autoridad de Control o no se le ha facilitado acceso (art. 58).
Se ha incumplido una obligación adicional impuesta por un Estado con arreglo al capítulo IX.
2.2. Paso dos. Segundo criterio: Importancia de la infracción
¿Qué se entiende por importancia (seriousness) de una infracción?
La Guía agrupa bajo este nombre en los § 51 y ss. algunas de las características de la infracción
que el RGPD menciona explícitamente como factores a tener en cuenta
para determinar la cuantía de la sanción.
Concretamente, se agrupan aquí las circunstancias mencionadas en el art. 83.2(a), 83.2(b) y 83.2(g):
la naturaleza, gravedad (gravity) y duración de la infracción,
teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate
así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
la intencionalidad o negligencia en la infracción;
las categorías de los datos de carácter personal afectados por la infracción.
Las restantes circunstancias mencionadas en el art. 82.2 se consideran agravantes o atenuantes
y serán tenidas en cuenta en el Paso tres.
¿Qué valores puede tomar la importancia de una infracción?
Hay tres niveles de importancia: bajo, medio y alto (§ 60).
¿Cómo se modifica el rango calculado por el primer criterio en función del nivel de gravedad?
El rango se divide en tres subrangos.
A cada nivel se asigna uno de estos subrangos (§ 60).
Concretamente:
Si el nivel es bajo, el rango va de 0 € al 10% del máximo fijado por el criterio uno.
Si el nivel es medio, el rango va del 10% al 20% del máximo fijado por el criterio uno.
Si el nivel es alto, el rango va del 20% al 100% del máximo fijado por el criterio uno.
La Autoridad de Control fijará el punto de partida de la cuantía dentro del rango
correspondiente. Dentro de cada nivel, cuanto más importante sea la infracción, más alto
debería ser el punto de partida (§ 61).
¿Cómo se determina el nivel de importancia de una infracción?
La importancia depende de todos los factores mencionados más arriba (art. 83.2(a), 83.2(b) y 83.2(g) del RGPD).
Pero «La evaluación no es un cálculo matemático
en el cual los mencionados factores puedan considerarse individualmente, sino más bien
una evaluación conjunta de las circunstancias concretas del caso, en la que
todos los factores mencionados están entrelazados. Por tanto, al estimar la importancia de una infracción,
esta debe considerarse como un todo.» (§ 59)
Pues vaya... ¿Da al menos la Guía alguna pista o indicación?
Abundantes; y aunque en apariencia se presentan estructuradamente (§ 53-58), no hay que olvidar
lo que acabamos de decir.
¿Cuáles son esas indicaciones?
Resumimos a continuación lo que se expone en los § 53-58 de la Guía,
valga lo que valiere.
Naturaleza de la infracción.
En este sentido, pueden considerarse; el interés protegido por el precepto infringido;
el lugar que ocupa tal precepto en el marco completo de la protección de datos;
y el grado en que la infracción impidió la aplicación efectiva del precepto
y la consecución del objetivo protegido.
Gravedad (gravity) de la infracción.
Se señalan cinco factores indicativos de la gravedad de la infracción:
Naturaleza del tratamiento.
Una característica indicativa de la importancia de la infracción es
el contexto del tratamiento (¿Es una actividad empresarial? ¿Sin ánimo de lucro? ¿Un partido político?...)
Pero cualquier otra característica relevante puede ser tomada en consideración.
Se le puede dar más peso a este factor
cuando la finalidad sea la monitorización, la evaluación de características personales
o la toma de decisiones con efectos negativos sobre el interesado;
cuando haya un claro desequilibrio entre el responsable y el interesado (p. ej.,
este es empleado, alumno o paciente de aquel);
cuando el tratamiento involucre a interasados especialmente vulnerables, p. ej., menores.
Ámbito del tratamiento.
Es decir, ¿el tratamiento tiene ámbito local, nacional o trasnacional? ¿Qué relación
existe entre este ámbito y la asignación de los recursos del responsable?
Cuanto mayor sea el ámbito, mayor peso deberá atribuirse a este factor.
Finalidad del tratamiento.
¿Forma parte el tratamiento de datos de la actividad principal (core activities) del responsable?
Cuanto más forme parte, tanto más graves deberán considerarse las infracciones.
También en otros casos hay que dar mayor peso a este factor; p. ej., si la infracción
se produce en el tratamiento de datos de los trabajadores del responsable o encargado
y afecta significativamente a su dignidad.
Número de interesados real o potencialmente afectados.
Cuanto más alto sea el número, mayor peso puede atribuirse a este factor.
Puede tambien tenerse en cuenta si la infracción es «sistémica».
Para ello se calculará el cociente entre el número de interesados afectados
y el número total de interesados.
Nivel de daños y perjuicios sufridos y alcance de la posible afectación de derechos y libertades individuales.
Este factor es diferente del anterior: p. ej., puede que la infracción afecte a muchos interesados,
pero los daños y prejuicios sufridos por cada uno de ellos sean insignificantes.
Los daños y perjuicios pueden ser físicos, materiales o inmateriales.
Su evaluación se limitará a lo necesario para determinar este factor; la evaluación
detallada e individualizada es, en su caso, competencia de los jueces y tribunales.
Duración de la infracción.
Generalmente, cuanto más haya durado la infracción, más peso se atribuirá a este factor.
Intencionalidad de la infracción.
[Nota: el derecho administrativo español (art. 28.1 LRJSP) habla de dolo y culpa.
El art. 82.2 del RGPD habla de intencionalidad y negligencia. Suponemos que será lo mismo...
salvo mejor criterio del CEPD, claro está.]
Si hay intencionalidad, se atribuirá más peso a este factor.
Según el grado de negligencia, también es posible atribuir peso a este factor o considerarlo neutral.
Categoría de los datos afectados.
¿Se han visto afectados datos de categoría especial (art. 9 RGPD)?
¿Se han visto afectados datos relativos a condenas e infracciones penales (art. 10 RGPD)?
¿Se han visto afectados datos cuya difusión pueda causar perjuicio inmediato al interesado,
p. ej. datos de localización, de comunicaciones privadas, números de identificación nacional,
transacciones financieras, números de tarjetas de crédito,...?
El número de estas categorías afectadas y el grado de sensibilidad de los datos afectados
incrementarán el peso de este factor.
Además, el número de datos relativos al mismo interesado puede también tenerse en cuenta.
2.3. Paso dos. Tercer criterio: Volumen anual de negocio de la empresa infractora.
¿Cómo se modifica la cuantía determinada por el segundo criterio en función del volumen anual de negocio?
Se parte de la cuantía fijada por el segundo criterio.
Para cada valor del volumen de negocio la Guía (§ 65-66) define un porcentaje mínimo y un porcentaje máximo.
Aplicando estos porcentajes a la cuantía fijada por el segundo criterio, se obtiene un nuevo rango.
La Autoridad de Control elegirá una nueva cuantía que esté dentro de este nuevo rango.
¿Cuáles son esos porcentajes mínimos y máximos?
Los que aparecen en esta tabla:
Por ejemplo, si en el criterio segundo se fijó una cuantía de 1.000.000€ y el volumen de negocio es de 1.500.000€...
...los porcentajes son los de la primera fila de la tabla: 0,2% y 0,4%;
...el nuevo rango es de 2.000€ a 4.000€;
...y la Autoridad de Control fijará la nueva cuantía dentro de este rango.
¿Y cómo se determinaría el valor concreto dentro del nuevo rango?
La Guía no es demasiado explícita; tanto aquí como en el resto del documento se evita el empleo de fórmulas, bien por
no querer asustar al lector, bien por estimar que en el fondo son inútiles, ya que
la discrecionalidad de la Autoridad de Control es un principio fundamental de la Guía.
Aún más, la Guía exime a la Autoridad de Control de la obligación de
aplicar este tercer criterio si estima que no es necesario (§ 68).
Sin embargo, en los ejemplos (como el ejemplo A de la pg. 47) se insinúa que dentro de cada intervalo
el valor fijado debería ser proporcional al volumen de negocio.
P. ej., en el caso anterior, 1.500.000 está a los 3/4 del intervalo de volúmenes de negocio de la primera fila,
o sea que el valor fijado podría estar a los 3/4 del intervalo de cuantías, o sea, 3.500€.
3. Paso tres: considerar agravantes y atenuantes
¿Qué circunstancias agravantes y atenuantes se pueden tener en cuenta?
Las circunstancias mencionadas en el art. 83.2 del RGPD que no se han tenido ya en cuenta
en el critero segundo del paso dos para determinar la importancia de la infracción.
Concretamente:
Las medidas tomadas por el responsable o encargado para paliar los daños y perjuicios sufridos por los interesados.
El grado de responsabilidad del responsable o del encargado del tratamiento.
Las infracciones anteriores cometidas por el responsable o el encargado.
El grado de cooperación con la Autoridad de Control con el fin de poner remedio a la infracción y mitigar sus efectos adversos.
La forma en que la Autoridad de Control tuvo conocimiento de la infracción.
El cumplimiento de las medidas ordenadas previamente por la Autoridad de Control en relación con el mismo asunto.
La adhesión a códigos de conducta aprobados o a mecanismos de certificación aprobados.
Los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.
...pero esta no es una lista cerrada: «cualquier otro factor agravante o atenuante aplicable
a las circunstancias del caso» (art. 83.2(k) del RGPD).
¿Cómo modifican las agravantes y atenuantes la cuantía fijada en el Paso dos?
El incremento o decremento no puede predeterminarse mediante tablas o procentajes.
La cuantificación de la multa dependerá de todos los elementos de juicio allegados
durante la investigación y de consideraciones adicionales ligadas a la experiencia
previa de la Autoridad de Control en la actividad de imposición de multas (§ 71).
Se admite, incluso, que tras aplicar el incremento o decremento resulte una
cuantía fuera de los rangos calculados en el Paso dos (nota 42, pg. 32).
¿Qué más podemos decir en relación con cada una de estas agravantes y atenuantes?
La Guía dice mucho más (§ 73-111). Resumimos aquí lo que
consideramos más relevante.
Medidas tomadas por el responsable o encargado para paliar los daños y perjuicios. En su caso, serán
consideradas como atenuante, sobre todo si se han tomado pronta, espontánea y eficazmente (§ 76).
Grado de responsabilidad del responsable o del encargado.
Se refiere fundamentalmente al alcance de las medidas de seguridad tomadas en función del riesgo.
En general, si se toma en cuenta será como agravante; solo excepcionalmente será una atenuante,
cuando el responsable o encargado se haya excedido en el cumplimiento de sus obligaciones (§ 81).
Infracciones anteriores.
Si se toman en cuenta serán como agravante. La ausencia de infracciones anteriores
no es una atenuante (§ 94).
Grado de cooperación con la Autoridad de Control.
La falta de cooperación es de por sí una infracción al art. 83.4(a) del RGPD.
Pero la cooperación puede considerarse como atenuante cuando el responsable o encargado
«durante la fase de investigación ha respondido a las peticiones de la Autoridad de Control
de forma que como resultado ha limitado significativamente el impacto en los derechos individuales» (§ 97).
Forma en que la Autoridad de Control tuvo conocimiento de la infracción.
Si tuvo conocimiento mediante una reclamación o una investigación de oficio, ello no es agravante ni atenuante.
Pero si tuvo conocimiento porque el infractor la comunico a la Autoridad de Control (sin estar
obligado a ello), puede ser atenuante.
Cumplimiento de las medidas ordenadas previamente por la Autoridad de Control.
Se refiere únicamente a las medidas relativas al mismo asunto.
Si estas medidas no se han cumplido adecuadamente, ello de por sí constituye una infracción diferente,
o bien puede considerarse como agravante. Por el contrario, si el cumplimiento
ha ido más allá de lo estrictamente ordenado, puede considerarse como atenuante.
Adhesión a códigos de conducta aprobados o a mecanismos de certificación aprobados.
Esta adhesión puede considerarse como atenuante. Por el contrario, si se
incumplió el código o lo previsto en la certificación, y el incumplimiento fue relevante para la infracción,
puede considerarse agravante.
Beneficios financieros obtenidos o las pérdidas evitadas a través de la infracción.
En los ejemplos 7c y 7d (pg. 32-33) queda claro que la obtención de beneficios gracias
a la infracción es una circunstancia agravante.
Cualquier otro factor agravante o atenuante.
La Guía menciona los contextos socioeconómico, jurídico y de mercado
(para ello se remite a la decisión 3/2022 del CEPD en el caso Meta-Facebook);
y circunstancias excepcionales, como una pandemia.
4. Paso cuatro: Comprobar que no se supera el máximo legal
¿En qué consiste este paso?
Tras el Paso tres es posible que la cuantía de la multa supere los topes fijados en el art. 84.4 y 84.5-6 del RGPD
(Paso dos, primer criterio).
Por tanto, es necesario que la Autoridad de Control compruebe que la cuantía no supera estos topes y,
en su caso, la reduzca (§ 113).
¿Y ya está?
Parece que sí. Sin embargo, al hablar de este Paso la Guía expone algunas
consideraciones relevantes acerca de los conceptos de «empresa» (undertaking)
y «volumen de negocio» (turnover), que sistemáticamente quizás
deberían haberse presentado bajo el Paso dos, primer criterio.
¿Qué es una empresa (undertaking) para el RGPD?
El RGPD se remite a la legislación previa de la UE.
Así que la Guía resume aquí la doctrina consolidada en el derecho de la Unión:
«El concepto de empresa (undertaking) comprende cualquier entidad que
ejerza una actividad económica con independencia del estatuto jurídico
de dicha entidad y de su modo de financiación»;
por tanto, es una unidad económica. Además, esta unidad económica (SEU)
puede englobar varias personas jurídicas o físicas,
siempre que estas no tomen sus decisiones libremente, sino de la forma que determine
la sociedad dominante (§ 121-126).
¿Y qué importancia tiene eso para la determinación de la cuantía de la multa?
Mucha. Pues la multa se impondrá teniendo en cuenta el volumen de negocio combinado (§ 120).
Y la Autoridad de Control puede declarar responsable a la sociedad dominante (§ 127).
¿Qué se entiende por «anterior» en «ejercicio financiero anterior»?
Según la jurisprudencia del TJUE, la fecha relevante es la de la resolución sancionadora de la Autoridad de Control.
No es la fecha de la infracción ni la de la posible sentencia del Tribunal.
En el caso de tratamientos transfronterizos, la fecha relevante será la de la resolución definitiva de
la Autoridad de Control principal (§ 131).
5. Paso cinco: Analizar si la multa es efectiva, proporcionada y disuasoria
¿En qué consiste este paso?
El art. 83(1) del RGPD preceptúa que las sanciones deben ser
efectivas, proporcionadas y disuasorias.
En este paso la Autoridad de Control debe verificar que la cuantía fijada en el paso anterior cumple
estos requisitos (§ 132).
¿Y qué debe hacer para ello?
En general, verificará si la multa:
Es previsible que cumpla los objetivos para los que se impone (eficiencia).
No excede los límites de lo que es apropiado y necesario para ello (proporción).
Es previsible que tenga un efecto disuasorio real en el infractor y en potenciales infractores (disuasión).
Para ello puede modificar la cuantía fijada en el paso anterior, sin llegar a superar nunca el máximo
legal del Paso dos, criterio uno.
¿Dice la Guía algo más concreto?
Sí:
Con respecto a la proporción, es posible reducir en la cuantía de la multa
si es tal que pone en riesgo la viabilidad económica de la empresa.
Para ello habrá que tener el cuenta el derecho de la Unión ya establecido en relación a multas
impuestas por infracción de otras normas (§ 140).
Con respecto a la disuasión, es posible incrementar la cuantía de la multa
si la Autoridad de Control estima que no es suficientemente disuasoria,
respetando siempre los topes del art. 84.4-6 del RGPD (§ 144).
6. Un ejemplo de elaboración propia
¿Podríamos ver un ejemplo de aplicación de esta metodología a un caso?
Lo intentaremos. La Guía proporciona varios ejemplos parciales para cada paso.
Aquí expondremos un ejemplo, inspirado en un caso real, en el que se aplicarán los pasos del dos al cinco.
¿Cuál es ese caso real?
Este.
En resumen: Sophie et Voila SL confeccionó un traje de boda para A.A.A.
Posteriormente publicó en su canal de Instagram una fotografía en la que aparecía
A.A.A. vestida con este traje. A juicio de la Autoridad de Control,
las imágenes eran identificables y el objetivo era cobrar las ventas
de los trajes de boda adquiridos por A.A.A.
La Autoridad de Control estimó que se había producido una infracción del art. 6 del RGPD
pues se había realizado un tratamiento sin consentimiento válido del interesado.
Estimó que concurría la circunstancia de intencionalidad.
En la resolución no se expresan más circunstancias ni se explicita el razonamiento
seguido para fijar la cuantía de la multa, que se fue de 10.000€.
¿Cómo se justificaría esta cuantía conforme a la metodología de la Guía?
Muy fácilmente. Partimos de la tipificación realizada por la Autoridad de Control:
se ha producido realmente una infracción del art. 6 del RGPD.
Paso dos, primer criterio. Precepto vulnerado.
Es el art. 6 del RGPD. Le corresponde por tanto el rango del art. 83.5-6. No consta el volumen de negocio de la sancionada,
pero es razonable suponer que es inferior a 500 millones €.
El rango aplicable es pues de 0 a 20 millones €.
Paso dos, segundo criterio. Nivel de importancia de la infracción.
La resolución considera que concurre intencionalidad [la resolución la considera como circunstancia agravante,
pero la metodología de la Guía exige considerarla en este paso previo,
como determinante del nivel de importancia de la infracción].
Podemos decir pues que la infracción no es leve, y establecemos el nivel en «medio».
El rango va del 10 al 20% del anterior, por tanto, de 2 millones € a 4 millones €.
Dentro de este rango la Autoridad de Control elige un valor: p. ej. puede estimar que la intencionalidad
de por sí hace que la importancia, aun siendo de nivel medio, se acerque al nivel grave
y fijar un valor de 3,5 millones €.
Paso dos, tercer criterio. Modulación por el volumen de negocio.
No consta el volumen de negocio, pero podemos suponer que será bastante inferior a 2 millones €.
Por tanto los porcentajes aplicables son 0,2-0,4% y el nuevo rango es de 7.000 a 14.000€.
La Autoridad fija un valor en la mitad inferior: 10.000€.
Paso tres. Agravantes y atenuantes.
La resolución no considera otras circunstancias, por lo que la cuantía se mantiene en 10.000€.
Paso cuatro. Comprobar que no se supera el máximo legal
Obviamente no se supera.
Paso cinco. Analizar si la multa es efectiva, proporcionada y disuasoria.
En cuanto a la proporción, no parece que la multa ponga en peligro la viabilidad de la empresa.
En cuanto a la disuasión, no parece que su importe sea despreciable teniendo en cuenta el volumen
de negocio y beneficio que pueden suponerse razonablemente para la empresa.
Por tanto, la cuantía no se modifica.
Y así hemos justificado conforme a la Guía la cuantía de 10.000€.
Nótese que la Guía no exige que el razonamiento aquí expuesto detalladamente figure en la resolución.
¿Y podríamos justificar una cuantía inferior?
También muy fácilmente. Partimos de nuevo de la tipificación realizada por la Autoridad de Control:
se ha producido realmente una infracción del art. 6 del RGPD.
Paso dos, primer criterio. Precepto vulnerado.
El rango aplicable es de 0 a 20 millones €.
Paso dos, segundo criterio. Nivel de importancia de la infracción.
La resolución considera que concurre intencionalidad.
Pero también podría considerar que ha habido un único afectado, que el ámbito es simplemente
una cuenta de Instagram, y que la duración ha sido de una hora (todo ello se menciona en las
alegaciones, aunque no se recoge en los fundamentos de la resolución). Por tanto,
podría considerarse que el nivel de importancia es «leve».
El rango va entonces del 0 al 10% del anterior, por tanto, de 0 a 2 millones €.
Dentro de este rango la Autoridad de Control elige un valor, p. ej. 500.000 €.
Paso dos, tercer criterio. Modulación por el volumen de negocio.
El nuevo rango es de 1.000 a 2.000€.
Dado el pequeño tamaño de la infractora, la Autoridad de Control elige el valor inferior: 1.000€.
Paso tres. Agravantes y atenuantes.
La resolución no considera otras circunstancias, por lo que la cuantía se mantiene en 1.000€.
Paso cuatro. Comprobar que no se supera el máximo legal
Obviamente no se supera.
Paso cinco. Analizar si la multa es efectiva, proporcionada y disuasoria.
Dese por reproducido el análisis anterior
Por tanto, la cuantía final es 1.000€.
¿Y podríamos justificar una cuantía superior?
Es igual de fácil:
Paso dos, segundo criterio. Nivel de importancia de la infracción.
La resolución considera que concurre intencionalidad.
También podría haber considerado los daños y perjuicios sufridos por el interesado: su honor
se ha visto gravemente afectado. También que el ámbito del tratamiento es muy amplio, pues
cualquiera podía acceder a la cuenta de Instagram. Por todo ello, podría haber estimado que el
nivel de importancia era «alto». La cuantía estaría entre los 4 millones € y los 20 millones €.
La Autoridad de Control elige el valor medio: 12 millones €.
Paso dos, tercer criterio. Modulación por el volumen de negocio.
El nuevo rango es de 24.000 a 48.000€.
La Autoridad de Control elige el valor medio: 36.000€.
Paso tres. Agravantes y atenuantes.
Entre las restantes circunstancias, el RGPD menciona
«las pérdidas evitadas a través de la infracción».
En este caso la infractora evitó una pérdida económica (el impago del traje) gracias a la infracción.
Por tanto, concurre una agravante y la cuantía se incrementa en un 25% y queda fijada en 45.000€.
En los restantes pasos esta cuantía no se modifica. La cuantía final es 45.000€.
7. La identificación de la infracción o las infracciones: el paso uno
¿Cuál es la finalidad del Paso uno?
Identificar las operaciones de tratamiento involucradas y determinar (§ 24):
Si deben ser consideradas como una sola conducta o como varias conductas diferentes.
En el caso de una conducta, si esta conducta constituye una o varias infracciones.
En el caso de varias infracciones, si la consideración de una de ellas impide la
consideración de otra, o bien todas ellas pueden objeto de sanción.
Es decir, se trata de determinar si existe concurso de normas o de infracciones, y de qué tipo.
¿En qué se basa la Guía para dar las directrices que deben seguirse en el Paso Uno?
¿Cuándo debe considerarse que las operaciones involucradas constituyen una sola conducta sancionable?
Una conducta unitaria consta de varias partes que se realizan con una voluntad unitaria
y están relacionadas contextual, espacial y temporalmente de forma tan estrecha que, desde un punto
de vista objetivo, podrían considerarse como una conducta coherente.
El contexto se refiere en especial a la identidad de interesados, finalidad y naturaleza del tratamiento.
No debe suponerse en principio que esta relación estrecha existe; en cualquier caso, deberá evaluarse caso a caso (§ 28).
La Guía proporciona ejemplos para mostrar en qué consiste esta unidad de conducta.
Supongamos una entidad financiera que solicita un informe a una agencia de calificación crediticia, lo recibe y lo almacena.
Aunque la recogida del dato y su almacenamiento son dos operaciones, deben considerarse en este caso como una sola conducta
(Ejemplo 1a, pg. 12).
Supongamos ahora que la Autoridad de Control detecta en una misma inspección que cierto responsable
no tiene implementadas las adecuadas medidas de seguridad; no informa a sus empleados de sus
derechos relativos al tratamiento de sus datos personales; y no ha notificado una reciente
brecha de seguridad. Son claramente varias conductas diferentes, y cada una de ellas será
castigada por separado
(Ejemplo 3, pg. 16).
La Guía establece que en algunos casos
debe también postularse la unidad de conducta, aunque estrictamente haya varias diferenciadas,
especialmente cuando
las circunstancias configuran una infracción del mismo precepto, iterativa y de la misma naturaleza,
formando una sucesión de eventos próximos en el tiempo y en el espacio (§ 40).
Como ejemplo de ello (Ejemplo 2, pg. 15) se aduce el caso de un responsable que
careciendo de base de legitimación envía diferentes oleadas de correos promocionales
a lo largo de un mismo día.
¿Qué importancia tiene esto para la determinación de la cuantía de la multa?
En el caso de que se estime que las operaciones constituyen varias conductas,
y estas sean sancionables, las multas se impondrán a cada conducta de forma independiente, aunque se
impongan en la misma resolución sancionadora; y, por tanto, su suma puede exceder los
topes fijados en el art. 83.4-6 del RGPD (§ 45).
Si las operaciones involucradas constituyen una sola conducta, y esta conducta está penada en varios preceptos, ¿cuáles se aplicarán?
Hay que distinguir dos situaciones:
Se aplica uno solo de estos preceptos
y se puede imponer una sola sanción (en la doctrina española se suele describir esta situación con la expresión «concurso de normas»).
Se aplican todos ellos y se pueden imponer varias sanciones
(en la doctrina española se suele describir esta situación con la expresión «concurso ideal de infracciones»).
¿Como se determina si hay concurso de normas o concurso ideal de infracciones?
En el derecho penal español rige el siguiente principio: si el hecho lesiona distintos bienes jurídicos,
hay concurso ideal de delitos; en otro caso, hay concurso de normas.
Una regla análoga parece enunciarse en la Guía: el concurso ideal se produce
«pricipalmente cuando cada norma persigue una finalidad diferente» (§ 38).
Ello se concreta en que no son aplicables los principios de especialidad, subsidiariedad y consunción.
Si alguno de estos principios es aplicable, entonces hay concurso de normas.
¿Como se determina la norma aplicable en caso de concurso de normas?
Aplicando los principios mencionados (§ 32-37).
Principio de especialidad: la norma más específica es preferida a la más general, cuando ambas
persiguen el mismo objetivo.
Principio de subsidiariedad: la norma que podríamos llamar 'de mayor importancia' es preferida a la de
'importancia secundaria'. Esta preferencia puede establecerse explícitamente en una de ellas.
La Guía cita el caso de la Directiva 2022/2555 de ciberseguridad, que excluye la imposición
de multas por infracción de su art. 34.3 si se impone una multa en virtud del art. 58.2 del RGPD.
Principio de consunción: cuando una norma pena un paso preliminar, debe aplicarse la norma que pena la infracción final.
¿Cómo se determina la cuantía en el caso de concurso ideal de infracciones?
Se impondrá cada multa en la cuantía que le corresponda, pero la suma de ellas deberá
respetar lo dispuesto en el art. 83.3 del RGPD:
«Si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente,
para las mismas operaciones de tratamiento u operaciones vinculadas,
diversas disposiciones del presente Reglamento, la cuantía total de la multa administrativa
no será superior a la cuantía prevista para las infracciones más graves.»
8. Comentario final
¿Qué utilidad puede tener la Guía para la Autoridad de Control?
Como ya se ha mencionado,
la Guía establece una metodología general de cálculo. Por lo tanto,
proporciona una útil orientación para el ejercicio de la potestad sancionadora
de la Autoridad de Control.
Por el contrario, la Guía no exime a la Autoridad de Control de la obligación
de explicitar las razones que justifiquen cada resolución. En particular, la mera referencia
a la Guía no puede reemplazar al razonamiento seguido en un caso concreto
(§ 7).
¿Qué utilidad puede tener la Guía para una empresa investigada?
Quizás pudiera decirse que el uso de la Guía va en pro de la seguridad
jurídica.
Pero habría que matizar o relativizar esta afirmación:
En el Paso dos, como vemos visto, el nivel de importancia se determina de forma muy flexible;
y los rangos de las cuantías correspondientes a cada nivel son muy amplios.
En el Paso tres la Autoridad de Control efectúa discrecionalmente la modificación
de la cuantía en función de las circunstancias agravantes y atenuantes,
abstenéndose la Guía de enunciar regla alguna.
Por último, en el Paso cinco de la metodología la Autoridad de Control
deberá comprobar si la multa es efectiva, proporcional y disuasoria;
y si estima que no lo es, deberá ajustar la cuantía de la forma que estime conveniente.
