Las sanciones por incumplir el RGPD se han convertido en uno de los principales riesgos legales para empresas que tratan datos personales. Así, el RGPD establece un régimen sancionador armonizado y aplicable en toda la Unión Europea. Además, las autoridades de control han impuesto multas relevantes en los últimos años. Por ello, conocer casos reales ayuda a comprender cómo se aplican estas normas y cómo evitar infracciones. En consecuencia, las ideas clave a destacar son:
- Primero, el RGPD prevé sanciones administrativas de hasta 20 millones de euros o el 4 % del volumen de negocio anual global.
- Segundo, las multas se imponen cuando se vulneran obligaciones como la base jurídica del tratamiento o la seguridad de los datos.
- Tercero, varias empresas tecnológicas y de comercio electrónico han sido sancionadas por autoridades europeas.
- Cuarto, las organizaciones deben aplicar medidas técnicas y organizativas adecuadas.
- Quinto, una estrategia de cumplimiento reduce significativamente el riesgo de sanción.
Tabla de contenidos
- Régimen sancionador: sanciones por incumplir el RGPD
- Casos reales de sanciones por incumplir el RGPD
- Cómo evitar sanciones por incumplir el RGPD
- Conclusión
- Preguntas Frecuentes (FAQ)
- Fuentes y recursos:
Régimen sancionador: sanciones por incumplir el RGPD
En primer lugar, el RGPD establece un sistema de sanciones administrativas armonizado en la Unión Europea. Concretamente, el artículo 83 del RGPD regula las multas administrativas aplicables a los responsables y encargados del tratamiento. Así, el citado artículo distingue dos niveles principales de sanciones:
- Hasta 10 millones de euros o el 2 % del volumen de negocio anual global.
- Hasta 20 millones de euros o el 4 % del volumen de negocio anual global.
Por ejemplo, el nivel superior se aplica a infracciones relacionadas con:
- Para comenzar, los principios básicos del tratamiento de datos.
- Seguidamente, los derechos de las personas interesadas.
- A continuación, las transferencias internacionales de datos.
- También, el incumplimiento de órdenes de la autoridad de control.
Además, el artículo 83.2 del RGPD establece criterios para determinar la cuantía de la sanción. Entre ellos destacan:
- Primero, la naturaleza y gravedad de la infracción.
- Segundo, el carácter intencional o negligente.
- Tercero, las medidas adoptadas para mitigar daños.
- Cuarto, el grado de cooperación con la autoridad.
Así pues, en España, estas sanciones se aplican junto con lo previsto en la LOPDGDD.
| Nivel de sanción | Cuantía máxima | Tipo de infracciones |
| Nivel 1 | Hasta 10 millones de euros o el 2 % del volumen de negocio anual global | Incumplimientos de obligaciones del responsable o encargado del tratamiento, como seguridad del tratamiento o registros de actividades |
| Nivel 2 | Hasta 20 millones de euros o el 4 % del volumen de negocio anual global | Infracciones de principios básicos del tratamiento, derechos de los interesados o transferencias internacionales de datos |
| Determinación de la multa | Variable según el caso | La autoridad valora factores como la gravedad de la infracción, la intencionalidad, la cooperación con la autoridad y las medidas adoptadas para mitigar daños |
Casos reales de sanciones por incumplir el RGPD
Las autoridades europeas han impuesto multas relevantes desde la entrada en vigor del RGPD en 2018. A continuación se exponen algunos casos documentados.
| Empresa | Autoridad de control | Motivo principal de la sanción | Importe aproximado |
| CNIL (Francia) | Falta de transparencia en el tratamiento de datos y consentimiento insuficiente para publicidad personalizada | 50 millones de euros | |
| Amazon | CNPD (Luxemburgo) | Publicidad comportamental sin base jurídica válida | 746 millones de euros |
| Data Protection Commission (Irlanda) | Deficiencias en la información facilitada a los usuarios sobre el tratamiento de datos | 225 millones de euros |
Google: sanciones por incumplir el RGPD por falta de transparencia
En 2019, la autoridad francesa de protección de datos (CNIL) sancionó a Google con 50 millones de euros. Así pues, según la CNIL, la empresa no proporcionaba información suficientemente clara sobre el tratamiento de datos personales. Además, el consentimiento obtenido para la personalización de anuncios no cumplía los requisitos del RGPD.
En particular, la autoridad consideró vulnerados:
- Primero, el artículo 5 del Reglamento (UE) 2016/679, relativo a los principios de transparencia.
- Segundo, el artículo 13 del Reglamento (UE) 2016/679, sobre información al interesado.
- Tercero, el artículo 6 del Reglamento (UE) 2016/679, relativo a la licitud del tratamiento.
Este caso mostró la importancia de ofrecer información accesible y comprensible a los usuarios.
Amazon: sanción millonaria por publicidad comportamental
A su vez, en 2021, la autoridad luxemburguesa de protección de datos (CNPD) impuso una multa de 746 millones de euros a Amazon. La sanción se relacionó con el tratamiento de datos personales para fines publicitarios sin una base jurídica válida.
De este modo, según la decisión de la autoridad, el sistema de publicidad comportamental de la empresa no garantizaba adecuadamente la licitud del tratamiento de datos personales para fines publicitarios.
WhatsApp: sanciones por incumplir el RGPD por falta de transparencia
También, en 2021, la autoridad irlandesa de protección de datos impuso a WhatsApp una multa de 225 millones de euros. Esta sanción se debió principalmente a deficiencias en la información facilitada a los usuarios sobre el tratamiento de datos. Así, la autoridad concluyó que la empresa incumplía las obligaciones de transparencia previstas en:
- Primero, el artículo 12 del Reglamento (UE) 2016/679.
- Segundo, el artículo 13 del Reglamento (UE) 2016/679.
- Tercero, el artículo 14 del Reglamento (UE) 2016/679.
Este caso evidencia que la transparencia sigue siendo uno de los aspectos más vigilados por las autoridades de control.
Cómo evitar sanciones por incumplir el RGPD
Las sanciones por incumplir el RGPD pueden evitarse mediante una estrategia de cumplimiento adecuada. En este sentido, el propio reglamento establece diversas obligaciones orientadas a prevenir infracciones en materia de protección de datos.
Aplicar medidas técnicas y organizativas
En primer lugar, las empresas deben garantizar la seguridad del tratamiento. De este modo, el artículo 32 del RGPD exige aplicar medidas técnicas y organizativas apropiadas para proteger los datos personales. Entre ellas se encuentran:
- Primero, cifrado o seudonimización de datos.
- Segundo, capacidad de garantizar confidencialidad e integridad.
- Tercero, evaluaciones periódicas de seguridad.
Realizar evaluaciones de impacto cuando sea necesario
Además, el RGPD prevé la obligación de realizar evaluaciones de impacto relativas a la protección de datos. El artículo 35 del RGPD establece que esta evaluación es obligatoria cuando un tratamiento pueda implicar alto riesgo para los derechos y libertades de las personas. Por ejemplo, suele ser necesaria cuando se utilizan tecnologías nuevas o se realizan perfiles automatizados.
Designar un delegado de protección de datos
En determinados casos, las organizaciones deben designar un Delegado de Protección de Datos (DPD). Esta obligación se regula en el artículo 37 del RGPD. De este modo, el delegado supervisa el cumplimiento normativo y actúa como punto de contacto con la autoridad de control.
Mantener una política de cumplimiento continuo para evitar sanciones por incumplir el RGPD
Finalmente, el cumplimiento del RGPD no debe entenderse como una actuación puntual. En consecuencia, es recomendable implementar, entre otros aspectos:
- Primeramente, auditorías periódicas de protección de datos.
- Seguidamente, formación del personal.
- A continuación, políticas internas documentadas.
- Igualmente, procedimientos de gestión de brechas de seguridad.
De esta forma, las empresas reducen significativamente el riesgo de infracciones.
Conclusión
Las sanciones por incumplir el RGPD ponen de manifiesto la importancia del cumplimiento de la normativa de protección de datos para cualquier organización que trate datos personales. Además, los casos reales muestran que las autoridades europeas aplican el reglamento de forma activa.
Por ello, implementar una estrategia de cumplimiento normativo basada en el RGPD y en la LOPDGDD resulta fundamental para reducir riesgos legales. En Legal Veritas analizamos el cumplimiento de tu organización y te ayudamos a implementar medidas adecuadas conforme al RGPD y a la normativa española de protección de datos.
Este contenido está redactado con carácter meramente informativo, sin suponer asesoramiento especializado. Por ello, si tu empresa trata datos personales y quieres reducir el riesgo de sanciones en materia de protección de datos, es recomendable realizar una revisión jurídica especializada. Contacta con nuestro equipo de expertos para que estudiemos tu caso.
Preguntas Frecuentes (FAQ)
El artículo 83 del RGPD establece dos niveles de multas administrativas. Así, el nivel superior puede alcanzar 20 millones de euros o el 4 % del volumen de negocio anual global, eligiéndose la cifra más elevada. Además, las autoridades deben tener en cuenta criterios como la gravedad de la infracción o el grado de cooperación del responsable.
En España, la autoridad competente es la Agencia Española de Protección de Datos (AEPD). Esta entidad ejerce funciones de control conforme al artículo 57 del RGPD y a la LOPDGDD. Por ello, entre sus competencias se encuentra investigar infracciones, imponer sanciones administrativas y emitir resoluciones vinculantes. Además, la AEPD puede adoptar medidas correctivas, como ordenar la suspensión de un tratamiento de datos.
La cooperación con la autoridad puede influir en la cuantía de la sanción. El artículo 83.2 del RGPD establece que la cooperación con la autoridad de control es uno de los criterios para determinar la multa. Sin embargo, la cooperación no elimina automáticamente la responsabilidad. En todo caso, puede considerarse un elemento atenuante junto con otras circunstancias, como la adopción de medidas correctivas.
Sí, ya que el RGPD se aplica a cualquier organización que trate datos personales, independientemente de su tamaño. No obstante, el artículo 83.1 del RGPD establece que las sanciones deben ser efectivas, proporcionadas y disuasorias. Por ello, las autoridades valoran circunstancias como la capacidad económica de la empresa y la gravedad de la infracción. En la práctica, las pequeñas empresas también pueden recibir multas si incumplen la normativa.
Fuentes y recursos:
- RGPD: Reglamento (UE) 2016/679, Reglamento General de Protección de Datos.
- LOPDGDD: Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales.
- Data Protection Commission (Irlanda), decisión contra WhatsApp Ireland Ltd., 2021: Sanción a WhatsApp.
- Commission Nationale pour la Protection des Données (CNPD), decisión contra Amazon Europe Core S.à r.l., 15 de julio de 2021: Sanción a Amazon.
Riesgos de la IA generativa: ¿están seguros tus datos corporativos en los prompts?
Deja una respuesta