Una guía completa para entender las acciones de aplicación del RGPD, desde los fundamentos de cómo se imponen las multas hasta las sanciones máximas que pueden enfrentar las organizaciones.

Los fundamentos

Las multas del RGPD son acciones administrativas, no sentencias judiciales. Cualquier infracción del reglamento puede potencialmente resultar en una multa. Estas sanciones son impuestas por las autoridades de protección de datos (APD) de cada estado miembro de la UE. Es importante destacar que las multas son distintas de las indemnizaciones por daños -- cumplen finalidades diferentes y son aplicadas por organismos distintos.

Cómo se calculan las multas

Varios factores influyen en el importe de una multa del RGPD: el alcance y el impacto de la infracción, si fue intencional o negligente, el historial de cumplimiento de la organización, si se vieron afectados datos sensibles y el nivel de cooperación con la APD investigadora.

La sanción máxima es de 20 millones de euros o el 4% de la facturación anual mundial, la cifra que sea mayor. Para los grupos corporativos, la facturación puede calcularse sobre todo el grupo, no solo sobre la entidad individual que cometió la infracción. Si las multas se hacen públicas o no varía según la jurisdicción.

Multas por brechas de datos

Las organizaciones pueden ser multadas específicamente por brechas de datos si sus medidas de seguridad eran inadecuadas. El RGPD también exige que las organizaciones autonotifiquen las brechas graves a la APD correspondiente, y no hacerlo puede resultar en sanciones adicionales.

El proceso de aplicación

Las multas se imponen normalmente tras una investigación de la APD, que generalmente se inicia por una reclamación. Las organizaciones pueden impugnar las multas mediante revisión judicial y, en algunas jurisdicciones, mediante procesos de recurso administrativo.