El Comité Europeo de Protección de Datos emite directrices para calcular las multas administrativas del RGPD

24-05-2022 — AR/2022/063

El Comité Europeo de Protección de Datos ha abierto una consulta pública sobre las directrices para calcular el importe de las multas administrativas por infracciones del Reglamento General de Protección de Datos.

El Comité Europeo de Protección de Datos (CEPD) publicó, el 12-5-2022, su borrador de Directrices 04/2022,1 para homogeneizar los criterios de las autoridades de supervisión para calcular el importe de la multa.

Estas directrices, puestas a consulta pública, complementan las directrices del Grupo de Trabajo del Artículo 29 (WP253)2 del 3-10-2017, sobre la aplicación y determinación de las multas administrativas a efectos del Reglamento General de Protección de Datos (RGPD),3 que se centran en las circunstancias relevantes para imponer una multa.

Criterios del CEPD

El CEPD subraya que el cálculo de una multa no es un mero ejercicio matemático.

Conforme al RGPD, es necesario considerar las circunstancias que concurren singularmente en cada caso para calcular el importe final y, para ello, propone seguir cinco pasos en la determinación de la sanción:

Paso 1:Identificación de las operaciones de tratamiento y determinación de la existencia de una o varias infracciones.

Paso 2: Determinación del punto de partida para el cálculo de la multa, para lo que es necesario evaluar:

    • por un lado, la gravedad de la infracción según las circunstancias del caso, y
    • por otro, el volumen de negocios de la empresa.

Paso 3: Consideración y aplicación de los factores agravantes o atenuantes que pueden aumentar o disminuir el importe.

Entre los factores atenuantes, el CEPD atribuye especial importancia a:

    • el cumplimiento de los códigos de conducta, y
    • la cooperación con el regulador.

Entre los factores agravantes, el CEPD subraya la necesidad de tener en cuenta los beneficios económicos derivados de la infracción o infracciones cometidas.

Paso 4: Determinación del importe máximo de la multa contemplando los límites definidos en el RGPD.

La cifra final, tras aplicar las circunstancias agravantes, no debe superar dichos límites.

Paso 5:Análisis de si el importe final calculado cumple los requisitos de eficiencia, disuasión y proporcionalidad, o si son necesarios otros ajustes.

El CEPD considera que es justo tener en cuenta el tamaño de la empresa y su volumen de negocios para asegurarse de que la multa resulta proporcionada.

Plazo de la consulta pública

Las directrices están abiertas a consulta pública hasta el 27-6-2022.


1 European Data Protection Board, «Guidelines 04/2022 on the calculation of administrative fines under the GDPR», versión 1.0, aprobadas el 12-5-2022.
2 Grupo de trabajo del artículo 29: «Directrices sobre la aplicación y la fijación de multas administrativas a efectos del Reglamento 2016/679», 3-10-2017.
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.