El Comité Europeo de Protección de Datos (CEPD) ha publicado un documento con directrices para el cálculo de sanciones del Reglamento General de Protección de Datos. Este documento tiene como objetivo armonizar los criterios usados por las autoridades de protección de datos de los distintos países miembros.
El documento tiene en cuenta tres elementos: la categorización de las infracciones de acuerdo con su naturaleza, la gravedad de las infracciones y la facturación de la empresa u organización infractora.
Las directrices establecen un método de cinco pasos para el cálculo de las sanciones.
Primero, las autoridades nacionales de protección de datos tienen que determinar si el caso en cuestión supone una infracción sancionable. Segundo, las autoridades tienen que partir de una determinada cantidad para calcular la sanción en base al método armonizado del CEPD. Tercero, las autoridades tendrán que considerar las circunstancias agravantes y/o atenuantes que pueden hacer que la cuantía sea mayor o menor. Cuarto, se tiene que asegurar que la cuantía no excede los máximos marcados en el artículo 83 (4)-(6) del RGPD. Y quinto, las autoridades deberán analizar si la cantidad final cumple con el requerimiento de efectividad, efecto disuasorio y proporcionalidad.
Habrá tres niveles de gravedad para cada caso sancionable: baja, media y alta. En los casos de gravedad baja, la sanción no podrá exceder el 10% de la sanción máxima, en los de media irá del 10% al 20% y en los graves irá del 20% al 100%. La cantidad siempre tendrá en cuenta la facturación de la empresa a nivel mundial.
Por ejemplo, una empresa que facture 1000 millones de euros anuales y cometa una sanción categorizada como de gravedad media podría hacer frente a una sanción de entre 2 a 4 millones de euros (del 10% al 20% de 20 millones, que sería la sanción máxima).
Las directrices suponen un paso más en la misión estratégica que se ha marcado el CEPD de reforzar la cooperación entre agencias nacionales de protección de datos para casos transfronterizos.
Las directrices entran ahora en un proceso de consulta pública de 6 semanas de modo que se puedan incorporar las sugerencias de las distintas partes involucradas en las discusiones.