El Reglamento General de Protección de Datos (RGPD) establece el siguiente baremo.

Hasta 10.000.000 euros o de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior (si se trata de una empresa), optándose por la de mayor cuantía, si se trata del incumplimiento de las obligaciones:

a) Del responsable y encargado sobre:

– consentimiento de niños;

– tratamiento de datos que no requieren identificación;

– sus obligaciones generales;

– seguridad de los datos personales;

– evaluación de impacto relativa a la protección de datos;

– delegados de protección de datos; o

– mecanismos de certificación.

b) De los organismos de certificación.

c) De la autoridad de control.

Hasta 20.000.000 euros o de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior (si se trata de una empresa), optándose por la de mayor cuantía, en caso de incumplimiento de:

– los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento;

– las disposiciones sobre derechos de los interesados;

– las disposiciones en materia de transferencia internacional de datos personales;

– toda obligación en virtud del Derecho de los Estados miembros que se adopte en relación a situaciones específicas del tratamiento (deber de secreto, libertad de expresión, interés público, ámbito laboral….);

– una resolución o limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control.

– las resoluciones de la autoridad de control.

Graduación de las sanciones

La imposición de las sanciones debe realizarse atendiendo los siguientes criterios de graduación:

– la naturaleza, gravedad y duración de la infracción;

– la intencionalidad o negligencia en la infracción;

– cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;

– el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado;

– toda infracción anterior cometida por el responsable o el encargado del tratamiento;

– el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;

– las categorías de los datos de carácter personal afectados por la infracción;

– la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;

– cuando las medidas correctoras hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;

– la adhesión a códigos de conducta o a mecanismos de certificación;

– el carácter continuado de la infracción;

– la vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal;

– los beneficios obtenidos como consecuencia de la comisión de la infracción;

– la posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción;

– la existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente; y

– cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

Aprovecha las ofertas que, con motivo del Día europeo de la Protección de Datos, ofrece Lefebvre, como es el Claves Prácticas “Kit de herramientas para el delegado de protección de datos” en formato electrónico.

También podría interesarte el ebook gratuíto “Desafíos de la protección de datos en 2022”. Esta publicación, significativa y sobresaliente, invita a reflexionar sobre los temas clave en materia de protección de datos.