Si estás leyendo esto, sin duda conoces el GDPR, la ley pionera de la Unión Europea que protege los datos personales de sus residentes.
Las enormes multas impuestas a los gigantes de la tecnología aparecen casi a diario en las noticias, y los 746 millones de euros impuestos a Amazon son lo suficientemente grandes como para que cualquiera se levante y tome nota.
Pero, ¿qué significa esto para usted?
Este artículo desglosa el sistema de sanciones económicas establecido por el RGPD y examina cómo se determinan exactamente estas multas.
¿Cuáles son las multas del RGPD?
La ley ha creado un sistema de dos niveles para las multas del RGPD, basado en la gravedad del incumplimiento:
- Hasta 10 millones de euros, o el 2% de los ingresos anuales mundiales del año anterior - lo que sea más alto
- Hasta 20 millones de euros, o el 4% de los ingresos anuales en todo el mundo, lo que sea más alto.
Ahora bien, eso es mucho dinero, se mire por donde se mire, y estos datos por sí solos son suficientes para preocupar a cualquier empresa.
Sin embargo, estos son los peores escenarios y la multa más pequeña que se ha impuesto hasta ahora ha sido de 28 euros (Privacy Affairs).
¿Qué significan estos niveles del RGPD?
Analicemos las diferencias.
Nivel 1 - Hasta 10 millones de euros o el 2% de los ingresos anuales globales
Este es el nivel más bajo para las infracciones menos graves y se entrega a las empresas que violan el GDPR en las siguientes áreas:
Tipo de organización | Capítulo/Artículo pertinente | Detalles |
Controladores y procesadores de datos | Artículos 8, 11, 25-39, 42 y 43 | Las empresas deben respetar las normas de protección de datos, la justificación legal, etc. |
Organismos de certificación | Artículos 42 y 43 | Los organismos acreditados deben ser transparentes e imparciales. |
Organismos de control de denuncias e infracciones | Artículo 41 | Estos organismos deben seguir los procedimientos establecidos y ser transparentes e imparciales. |
Nivel 2 - Hasta 20 millones de euros o el 4% de los ingresos anuales globales
Este es el nivel más alto para las infracciones más graves, y se entrega a las empresas que violan el RGPD en las siguientes áreas:
Asunto | Capítulo/Artículo pertinente | Detalles |
Principios básicos del tratamiento de datos | Artículos 5, 6 y 9 | El tratamiento de datos debe realizarse de forma lícita, justa y transparente. Los datos sólo pueden tratarse con fines específicos y deben almacenarse de forma segura, precisa y actualizada. |
Condiciones para el consentimiento | Artículo 7 | Las empresas deben disponer de la documentación que demuestre cuándo han obtenido el consentimiento como justificación de las actividades de tratamiento de datos. |
Derechos del interesado | Artículos 12-22 | Las personas deben saber qué datos almacena una empresa y qué hace con ellos. También tienen derecho a exigir esta información, así como a corregirla, borrarla o transferirla si lo solicitan. |
Transferencia de datos a una empresa internacional o a un tercer país. | Artículos 44-49 | Antes de hacerlo, la CE debe decidir que la empresa/país de destino cumple las normas de protección de datos del RGPD. Las transferencias de datos también deben realizarse de forma segura. |
¿Cómo se determinan las multas del RGPD?
Dado que la cuantía de las multas impuestas a las empresas varía tanto, sería fácil pensar que las autoridades de protección de datos (APD) sacan números al azar de un sombrero.
En realidad, las APD utilizan el artículo 83 del RGPD para determinar cuál debe ser la multa. Los factores que se señalan aquí incluyen:
- La naturaleza y la magnitud del incumplimiento
- Las precauciones que la empresa tomó para limitar el riesgo
- Si la empresa notificó a los interesados afectados sobre sus infracciones
- El tipo de datos personales afectados
- El historial de la empresa con respecto a los problemas de privacidad de los datos
- El nivel de cumplimiento de la empresa con su DPA durante el período de remediación
- Cómo respondió la empresa a las advertencias del GDPR
- La intención con respecto al mal uso de los datos, y si hubo negligencia
- Cuánta mitigación existe para limitar el daño causado a los sujetos de los datos
Las multas del RGPD son el último recurso
El propósito de estas sanciones financieras es disuadir a las empresas de ignorar los requisitos del GDPR para los datos personales, no para obligarlas a la liquidación.
Sin embargo, el pago de estas multas es un requisito legal, y los ejecutivos de las empresas que no paguen se arriesgan a ser encarcelados.
Dicho esto, el RGPD considera las multas como un último recurso, y está trabajando para proporcionar mejores directrices que ayuden a las empresas a cumplir con sus responsabilidades en materia de protección de datos.
Y antes de imponer multas, el GDPR emitirá advertencias, reprimendas y órdenes correctivas. Si se adhiere a estas exigencias, debería poder evitar la peor de estas sanciones.
¿Existen sanciones no financieras?
Además de las multas del RGPD, una huelga de la autoridad de protección de datos puede tener otras consecuencias.
En primer lugar, las empresas perderán mucha confianza de los clientes. Casi el 70% de todos los usuarios de Internet a nivel mundial están buscando proactivamente formas de proteger su privacidad en línea(Statista).
En segundo lugar, es lógico que las empresas que incumplan la labor de aplicación del RGPD pierdan negocio, con consecuencias para la prosperidad a largo plazo.
Y, por último, las empresas corren el riesgo de verse afectadas por una prohibición permanente de procesar los datos personales de los residentes de la UE. Dada la importancia de Internet en el mundo moderno, esto podría acabar con ellas por completo.
Cómo evitar las multas del GDPR
Las autoridades de protección de datos son cada vez más sofisticadas y están imponiendo más multas que nunca. Sin embargo, están sobrecargados de trabajo y la aplicación de la normativa sigue siendo incapaz de seguir el ritmo del número de nuevos casos por el momento.
La forma más segura de evitar las multas es cumplir el RGPD.
Dada la escasez de orientaciones oficiales, hemos creado una guía que puede ayudar a las empresas a cumplir los requisitos del RGPD.
¿Por qué no le echa un vistazo y se pone en marcha?
Share
Share
Share
Share
Share