Desde que en 2018 se impuso la primera multa por infracción del RGPD al Hospital Barreiro-Montijo de Portugal con un monto de 400.000 euros, hasta los 1.200 millones impuestos a Meta Platforms en Irlanda, mucha agua ha pasado bajo el puente. Sin embargo, el incumplimiento de las normas de privacidad no se ha detenido.
De hecho, aún hay mucho desconocimiento respecto a ellas, una prueba es que el artículo 6 del RGPD, acerca de la licitud del tratamiento, es uno de los más infringidos. Por eso, es probable que cualquiera que trate datos personales pueda cometer un error en su procesamiento, llevándolo ante las autoridades de protección de datos.
Y, contando en España con una de las más activas, la verdad es que cualquiera podría ser sancionado, incluso personas físicas. Así que, si estás en esa situación, quizá te estés preguntando ¿con cuánto me podrían multar? En este artículo te lo explicamos, así como el historial de multas en España y la UE, para que puedas hacerte una idea. Veámoslo a continuación:
¿Cuánto es la multa por infracción del RGPD?
Primero, aclaremos que no existe un monto determinado para multar a quien infringe el RGPD. En realidad, lo que sí hay son rangos para establecer la cuantía, conforme a cada caso específico. Porque no es lo mismo multar a quien utiliza datos sin consentimiento, que hacerlo a quien sufrió un ciberataque que afectó a la información personal que guardaba. Como tampoco lo es sancionar a una empresa grande que a una persona física.
Así que para determinar cuánto es la multa que se va a imponer por infringir la privacidad la Agencia Española de Protección de Datos (AEPD) se rige por dos normativas: el RGPD y la LOPD. Estas establecen lo siguiente:
Qué dice el RGPD
El RGPD establece varios criterios que las autoridades de protección de datos pueden utilizar para determinar las multas y son los siguientes:
Rangos de multa
Para la normativa europea existen dos rangos de multas que pueden aplicarse en caso de una infracción al RGPD.
Hasta 10.000.000 de euros o el 2% del volumen de negocio global.
Aplicable, por ejemplo, en los siguientes casos:
- Si usas datos de menores sin el consentimiento de sus padres.
- Si no seudonimizas los datos para evitar la identificación de personas concretas.
- Si tu empresa se encuentra fuera de la UE y no tienes un representante para el tratamiento de datos en los estados miembros.
- Cuando no has elaborado un RAT, pese a que lo requerías.
- Cuando no cooperas con la autoridad de control.
- Cuando no has implementado mecanismos de seguridad para el tratamiento de datos.
- Si no notificas una brecha de seguridad a la autoridad de control o a los interesados.
Hasta 20.000.000 de euros o el 4% del volumen de negocio global.
Podría aplicarse en los siguientes casos:
- Si no cuentas con consentimiento, siendo necesario, o si el consentimiento para tratar datos no fue libre, informado, inequívoco y específico.
- Si recopilas más datos de los que requieres y los guardas por tiempo indefinido.
- Si no permites que el interesado pueda acceder a sus derechos de rectificación, información, supresión, oposición o acceso.
- Si los datos que recopilas se transfieren a terceros países que no tienen una legislación con el mismo nivel de protección de la privacidad que el RGPD y no hay garantías adecuadas.
Naturaleza de la infracción y del tratamiento
Las autoridades tienen en cuenta también qué tanto ha podido afectar a la protección de datos personales la infracción cometida. Por ejemplo, en un tratamiento ilícito, que omite por completo todo tipo de protección, la infracción será más trascendental que si no notificaste a los interesados de una brecha.
Además, se considera el contexto en el que se realiza el tratamiento de datos, como quiénes son y qué posiciones ocupan los encargados o responsables frente a los usuarios. Por ejemplo, si hay una relación de médico-paciente. O si se busca utilizar los datos para poder manipular a las personas a las que le pertenecen.
El alcance del tratamiento
Para las autoridades resultará más grave y, por lo tanto, la multa se elevará, si el tratamiento infractor tiene un mayor alcance. Es decir, si se ha prolongado durante mucho tiempo o si ha abarcado varios territorios.
Finalidad del tratamiento
Otro factor que puede determinar la cuantía de la multa impuesta es el objetivo que perseguía el tratamiento de datos infractor. Así, si su finalidad está más cerca de las actividades principales del negocio como, por ejemplo, la venta de bases de datos para contacto, la multa podría ser mayor que si se trata de una actividad secundaria, como la atención al cliente.
Número de afectados
Cuanto mayor sea el número de personas afectadas por el tratamiento ilícito, más alta será la multa. Y esto incluye no solo a aquellos que en el momento resultaran en riesgo, también a las personas que en un futuro podrían llegar a estarlo.
Daños y perjuicios
Mientras más daños y perjuicios pueda generar el tratamiento a las personas afectadas, más grave se considera la infracción y, por tanto, la multa se incrementa. Por ejemplo, si el tratamiento incluía los datos de la tarjeta de crédito de los usuarios, haciéndolos sujetos de fraude, será mayor el daño que si se trata solo de su correo electrónico.
Intencionalidad
Se considera que, si una infracción del RGPD fue realizada con plena conciencia de su ilegalidad y a propósito, merece una sanción mayor por el incumplimiento deliberado de la ley. También puede tomarse en cuenta el nivel de negligencia que se haya tenido al utilizar los datos de manera irregular.
Categoría de datos personales
El uso de los datos especialmente sensibles (de los cuales te hablamos en este artículo) conlleva mayores riesgos para la libertad y los derechos de aquellos a quienes les pertenecen. Por eso, hacerlo fuera de los límites permitidos por la normativa de privacidad, es una infracción mayor, sancionada con una multa más alta.
Volumen de negocios
A la hora de calcular la multa que se impondrá a la empresa o persona infractora, se tiene en cuenta también el volumen y el tamaño de los negocios a nivel global. Así, aunque dos empresas hayan cometido las mismas infracciones, con el mismo nivel de gravedad, no serán multadas con el mismo monto si una es una pequeña empresa y la otra una multinacional.
La razón es que se busca que la sanción impuesta sea proporcional, sin dejar de ser disuasoria para la empresa. Según una directiva del Comité Europeo de Protección de Datos, los rangos de multas pueden ser de la siguiente manera:
- Hasta 500 millones de euros de volumen de negocios: Multa de hasta 20.000.000 de euros.
- Más de 500 millones de euros de volumen de negocios: Multa de hasta el 4% del mismo.
Agravantes y atenuantes
Por otro lado, las autoridades también están obligadas a considerar las siguientes circunstancias agravantes o atenuantes a la hora de determinar la multa:
- Si se han tomado medidas para paliar los riesgos o daños sufridos por las personas afectadas.
- Si el responsable o encargado intentaron cumplir con algunas de sus obligaciones de privacidad.
- Si la empresa ya cometió otras infracciones al RGPD, cuándo y de qué tipo.
- La cooperación que brinde la empresa a las autoridades para mitigar los daños.
- Si la empresa notificó la infracción por iniciativa propia o no.
- Si se cumplieron las medidas previas ordenadas por la autoridad de protección datos respecto al mismo aspecto.
- Si la empresa se encuentra afiliada a un código de conducta o tiene alguna certificación en materia de privacidad.
El criterio de la LOPDGDD
Por su parte, la Ley Orgánica de Protección de Datos, tomando en cuenta los criterios y disposiciones establecidas por el RGPD, establece, en relación con la prescripción, que las multas pueden ubicarse dentro de estos tres rangos:
- Hasta 40.000 euros
- Entre 40.001 euros y 300.000 euros
- Más de 300.000 euros
Pero la cuantía de la multa dependerá de la categoría de la infracción, que puede ser:
Leve
Se sancionan con el primer rango y dentro de estas pueden considerarse las siguientes conductas:
- No permitir el acceso del interesado a la información sobre el tratamiento.
- No notificar a las personas afectadas sobre una brecha de seguridad, cuando así se requiere.
- Notificar de manera inadecuada a la AEPD sobre una brecha de seguridad.
- Que un encargado no cumpla con las instrucciones del responsable para el tratamiento de datos y no se lo notifique.
- No tener un RAT completo, de acuerdo con la normativa.
- No publicar los datos de contacto del delegado de protección de datos, cuando se requiera.
Grave
Se sancionan dentro del segundo rango de multas. Podrían considerarse así las siguientes infracciones al RGPD:
- El tratamiento de datos personales de menores de edad, sin consentimiento de los padres.
- No permitir el acceso a los derechos de protección de datos de manera reiterada.
- No aplicar medidas para garantizar la seguridad de los datos personales.
- No designar un representante del responsable o encargado en la UE.
- No haber firmado un contrato de encargo del tratamiento.
- No tener un RAT.
- Utilizar una certificación de manera fraudulenta.
Muy grave
Este tipo de infracciones se sancionan con multas en el tercer rango dispuesto por la LOPD. Y algunas de ellas pueden ser:
- Tratar datos personales sin consentimiento u otra base legal.
- Obtener el consentimiento de manera inválida.
- Utilizar los datos para fines distintos a los informados al usuario.
- El tratamiento de datos especialmente sensibles.
- La transferencia internacional de datos a países sin garantías adecuadas para el RGPD.
- Impedir la inspección de la AEPD.
- Identificar a las personas que hay detrás de datos que han sido anonimizados.
Multas históricas por infracción del RGPD
Ahora, para que te hagas una idea de cuánto podría ser la multa que te impongan, aquí te enumeramos algunas multas históricas que se han impuesto tanto en la UE como en España por infracción del RGPD.
En España
La AEPD es, desde hace varios años, una de las autoridades de protección de datos más activas de Europa. Así, desde 2019, ha impuesto 1.191 sanciones por infracción del RGPD, cuyas multas suman más de 126 millones de euros. Destacando las siguientes:
En 2022 esta empresa fue sancionada con 10 millones euros en multa por una infracción al RGPD considerada muy grave. Lo que hacía era compartir los datos personales de sus usuarios con el Proyecto Lumen sin su consentimiento.
Además, no les permitía oponerse a dicho tratamiento, ni se les informaba del mismo en las políticas de privacidad. Tampoco posibilitaba que se solicitara la supresión de su información, llevándolos por una serie de formularios laberínticos, desalentándolos de terminar el procedimiento.
Vodafone
Un año antes, Vodafone recibió una multa total de 8.15 millones de euros por sus acciones de mercadotecnia agresivas, comunicándose inclusive con usuarios que están incluidos en la Lista Robinson.
Esta sanción, en realidad, fue una suma de cuatro multas impuestas por infringir no solo el RGPD, sino también la Ley de la Sociedad de la Información y la Ley General de Telecomunicaciones. Y su cuantía aumentó debido a que, hasta la fecha de la resolución, la compañía ya había sido sancionada más de 50 veces por las mismas acciones.
The Phone House
A finales de 2024, la AEPD emitió una sanción por 6.5 millones de euros en contra de The Phone House, debido a una brecha de seguridad sucedida en 2021 que expuso los datos de hasta 13 millones de personas. Según la autoridad, la compañía no tomó las medidas de seguridad suficientes para proteger la información de sus usuarios y empleados.
Endesa
En 2023, Endesa Energía fue multada con 6.1 millones de euros por parte de la AEPD por facilitar el acceso a los datos personales de sus clientes por parte de terceros, exponiéndolos a spam telefónico. Los afectados fueron 6 millones de clientes, de los cuales se obtuvo tanto datos de identificación como de consumo de energía y electricidad.
La empresa también falló en su respuesta ante la brecha, demorándose en tomar acciones frente a ella y en informar a la AEPD y a los usuarios.
Caixabank
Caixabank es otra de las empresas que ha sido sancionada múltiples veces por la AEPD. Sin embargo, la multa más alta por infracción del RGPD ha sido la de 6 millones de euros, que se le impuso en 2021.
Esta constituyó la suma de dos sanciones: una, leve, relacionada con la información que debía entregar a los usuarios sobre el tratamiento de los datos y, otra, muy grave, ligada al consentimiento y a la cesión de datos a terceros. La multa, además, se elevó por la negativa del banco a asumir su responsabilidad y a cooperar con la autoridad.
Aquí tenemos un caso reciente de una sanción a la famosa marca de moda, por infracción del RGPD en unos simples emails y que les costó 20.000€. Lo analizamos en nuestro canal de YouTube:
En Europa
Por otro lado, en Europa, las sanciones desde 2018 han sumado ya más de 5.977 millones de euros, destacando especialmente las siguientes:
Meta
La autoridad de protección de datos irlandesa (DPC) sancionó en 2023 con 1.200 millones de euros a Meta Platforms Inc. ¿La razón? Haber continuado transfiriendo datos de sus usuarios a EE.UU. pese a que no existe un marco legal adecuado a las normas de la UE en materia de privacidad.
Amazon
En 2021, Amazon se hizo acreedora de una multa de 746 millones de euros impuesta por la autoridad de protección de datos de Luxemburgo. Los motivos estaban relacionados con la ingente cantidad de datos que la compañía estadounidense utilizaría para afinar sus tácticas comerciales.
En este caso fue una empresa del grupo Meta la que recibió en 2022 una multa de 405 millones de euros por una infracción del RGPD: Instagram. Según la DPC, la compañía venía utilizando la información personal de menores sin el consentimiento de sus padres.
Meta
También en 2023 Meta recibió una multa por una infracción del RGPD. En total fueron 390 millones de euros impuestos por la DPC por la poca claridad al informar al usuario sobre el tratamiento de datos. Asimismo, utilizó la base legal contractual para recopilar datos que luego utilizó para enviarles publicidad dirigida.
TikTok
Ese mismo año y también por parte de la DPC, TikTok fue sancionada por la DPC con 345 millones de euros. El motivo fue que la compañía china no trataba adecuadamente los datos personales de menores, permitiendo que sus cuentas fueran públicas por defecto.
Conclusión
Aunque no todas las sanciones por infracción del RGPD son iguales, sí resultan considerables para la empresa que las tiene que afrontar. Al fin y al cabo, es el objetivo que tienen estas multas: tratar de disuadirte de continuar con actividades contrarias a la protección de datos personales.
Si quieres evitar que tu empresa llegue a ser multada de esta forma, solicita asesoría legal experta en privacidad para adecuarte a la normativa de privacidad. Esta guía también te servirá para afrontar procesos sancionadores de la manera menos lesiva posible. Pide una cita con nuestros abogados expertos en protección de datos personales.
Foto de Jakub Żerdzicki en Unsplash
