Estas Directrices complementan las anteriores Directrices del Grupo de Trabajo del artículo 29, sobre la aplicación y la fijación de multas administrativas a efectos del Reglamento 2016/679 (LA LEY 6637/2016) (WP253), de 3 de octubre de 2017, que se centran en las circunstancias en las que se debe imponer una multa e interpretan los criterios del artículo 83 del RGPD (LA LEY 6637/2016) a este respecto. Ambas directrices son aplicables simultáneamente y deben considerarse complementarias.
Objetivo
Las Directrices 04/2022 están destinadas a ser utilizadas por las autoridades de control para garantizar una aplicación y un cumplimiento coherentes del RGPD, y expresan la interpretación común del Comité sobre las disposiciones de su artículo 83.
Su objetivo es adoptar unos puntos de partida armonizados como orientación común, sobre la base de los cuales puede realizarse el cálculo de las multas administrativas en cada caso concreto. Sin embargo, como ha reiterado la jurisprudencia del TJUE, no es necesario que estas orientaciones sean tan específicas como para permitir que un responsable o un encargado del tratamiento hagan un cálculo matemático preciso de la multa esperada, pues el importe final de la multa, como se hace hincapié a lo largo de todo el texto, depende de todas las circunstancias del caso.
Por lo tanto, la finalidad de estas directrices es la armonización de los puntos de partida y la metodología utilizada para calcular una multa, más que la armonización del resultado.
Además, aunque estas Directrices siguen planteamiento paso a paso, las autoridades de supervisión no están obligadas a seguir todos esos pasos si no son aplicables en un caso determinado, ni a razonar los aspectos de las Directrices que no son aplicables.
Por otra parte, y a pesar de estas Directrices, las autoridades de supervisión siguen estando sujetas a todas las obligaciones de procedimiento previstas en la legislación nacional y de la UE, incluido el deber de motivar sus decisiones en virtud del mecanismo de ventanilla única. Sin embargo, estas Directrices no deben interpretarse en el sentido de que exigen a la autoridad de supervisión que indique el importe inicial exacto o cuantifique el impacto preciso de cada circunstancia agravante o atenuante. Por otra parte, la mera referencia a estas Directrices no puede sustituir el razonamiento que debe darse en un caso concreto.
Por otra parte, estas Directrices se revisarán de forma continua, a medida que se desarrollen las prácticas en la UE y el EEE.
Ámbito
Las orientaciones expuestas se aplican a todos los tipos de responsables y encargados del tratamiento con arreglo al artículo 4, apartados 7 y 8 del RGPD (LA LEY 6637/2016), excepto a las personas físicas cuando no actúan como empresas. Ello sin perjuicio de las competencias de las autoridades nacionales para multar a las personas físicas.
De acuerdo con el artículo 83, apartado 7, del RGPD, cada Estado miembro puede establecer las normas sobre la posibilidad de imponer multas administrativas, y en qué medida, a las autoridades y organismos públicos establecidos en ese Estado miembro. Siempre que las autoridades de control tengan esta facultad sobre la base de la legislación nacional, las presentes Directrices se aplican al cálculo de la multa que debe imponerse a las autoridades y organismos públicos, con la excepción del capítulo 4.4. No obstante, las autoridades supervisoras siguen siendo libres de aplicar una metodología similar a la descrita en este capítulo. Además, el Capítulo 6 de estas directrices (relativas al máximo legal y a la responsabilidad corporativa) no es aplicable al cálculo de la multa que debe imponerse a las autoridades y organismos públicos, en caso de que la legislación nacional prevea unos máximos legales diferentes y la autoridad u organismo público no actúe como empresa según la definición del Capítulo 6.2.1.
Las Directrices abarcan tanto los casos transfronterizos como los no transfronterizos.
Las Directrices no son exhaustivas, ni proporcionan explicaciones sobre las diferencias entre los sistemas nacionales de derecho administrativo, civil o penal a la hora de imponer sanciones administrativas en general.
Orientaciones sobre el cálculo de las sanciones
El cálculo del importe de la multa queda a discreción de la autoridad de control, con sujeción a las normas previstas en el RGPD. En este contexto, el RGPD exige que el importe de la multa sea, en cada caso concreto, efectivo, proporcionado y disuasorio (artículo 83, apartado 1, del RGPD).
Además, al fijar el importe de la multa, las autoridades de control tendrán debidamente en cuenta una lista de circunstancias que se refieren a las características de la infracción (su gravedad) o del carácter del autor (artículo 83, apartado 2, del RGPD). Por último, el importe de la multa no superará los importes máximos previstos en los apartados 4 (5) y 6 del artículo 83 del RGPD (LA LEY 6637/2016). La cuantificación del importe de la multa se basa, por tanto, en una evaluación específica realizada en cada caso, dentro de los parámetros previstos por el RGPD.
Teniendo en cuenta lo anterior, la AEPD ha ideado la siguiente metodología, que consta de cinco pasos, para calcular las multas administrativas por infracción del RGPD.
1. En primer lugar, hay que identificar las operaciones de tratamiento realizadas en el caso y evaluar la aplicación del artículo 83, apartado 3, del RGPD (capítulo 3).
2. En segundo lugar, hay que determinar el punto de partida para el cálculo posterior del importe de la multa (capítulo 4). Esto se hace evaluando la calificación de la infracción según el RGPD, evaluando la gravedad de la infracción a la luz de las circunstancias del caso y evaluando el volumen de negocios de la empresa.
3. El tercer paso es la evaluación de las circunstancias agravantes y atenuantes relacionadas con el comportamiento pasado o presente del responsable o el encargado del tratamiento y el aumento o la disminución de la multa en consecuencia (capítulo 5).
4. El cuarto paso consiste en identificar los máximos legales pertinentes para las diferentes infracciones. Los aumentos aplicados en los pasos anteriores o siguientes no pueden superar este importe máximo (capítulo 6).
5. Por último, hay que analizar si el importe final calculado cumple los requisitos de eficacia, disuasión y proporcionalidad. La multa aún puede ajustarse en consecuencia (capítulo 7), pero sin superar el máximo legal correspondiente.
A lo largo de todos los pasos mencionados, hay que tener en cuenta que el cálculo de una multa no es un mero ejercicio matemático. Por el contrario, las circunstancias del caso concreto son los factores determinantes que conducen al importe final, que puede -en todos los casos- variar entre cualquier importe mínimo y el máximo legal.