La Conferencia de Autoridades Alemanas de Protección de Datos (German Datenschutzkonferenz o DSK) publicó recientemente un nuevo sistema para el cálculo de las multas administrativas impuestas bajo el RGPD.
El modelo alemán reviste cierta complejidad y supone que las multas serán calculadas siguiendo cinco pasos:
- Asignación de la empresa a un grupo en base a su tamaño
- Determinación del volumen de negocio medio anual de la empresa en función de su grupo
- Cálculo de la cuantía diaria
- Multiplicación de la cuantía diaria según la gravedad de la infracción
- Clasificación de la infracción
1. Asignación de la empresa a un grupo en base a su tamaño
La empresa infractora se clasifica en uno de los cuatro posibles grupos: (A) microempresa, (B) pequeña empresa, (C) mediana empresa y (D) gran empresa. A su vez, se asignará una subcategoría a fin de poder garantizar una clasificación lo más precisa posible.
La clasificación se realiza en función del volumen de negocio mundial de la empresa en el año anterior. Es importante puntualizar que, para los grupos de empresa, el concepto de empresa comprenderá la totalidad de la unidad económica. En definitiva, se utiliza para el cálculo, el concepto de grupo de empresas previsto en la normativa antitrust de la Unión Europea.
2. Determinación del volumen de negocio medio anual de la empresa en función de su grupo
Asimismo, la Conferencia de Autoridades determina cual es el volumen de negocio medio anual de la empresa. Para ello, se asigna una cuantía fija en función del subgrupo en el que la empresa ha sido incluída, siempre que el volumen de negocio del año anterior haya sido menor de 500.000€.
En caso de que el volumen de negocio haya sido superior, se aplicarán directamente los porcentajes previstos en el artículo 83 del RGPD, un 2% o 4% sobre el volumen de negocio.
3.Cálculo de la cuantía diaria
A fin de calcular la cuantía o cuota diaria, se divide el volumen de negocio medio anual de la empresa, que se ha obtenido en el paso anterior, entre 360 días.
4. Multiplicación de la cuantía diaria según la gravedad de la infracción
Las circunstancias de cada caso se utilizan para clasificar la gravedad de la infracción en leve, media, grave y muy grave.
El factor multiplicador se obtiene dependiendo de si la infracción es formal (art. 83.4 RGPD) o material (art. 83.5 y 6 RGPD).
Son ejemplos de infracciones técnicas la falta de formalización del contrato de encargado o corresponsable, la violación de la privacidad desde el diseño y por defecto o la falta de designación de un DPO, etc.
Entre las infracciones materiales se encuentra la vulneración de los derechos de los interesados o la infracción de la base de legitimación del tratamiento de datos personales.
En definitiva, se deberá multiplicar la cuota diaria por el factor multiplicador obtenido, lo cual dará lugar a un rango. Una vez obtenido este rango se calculará la media, que será la base para el cálculo final de la multa.
5. Clasificación de la infracción
En este último paso, se tendrá en cuenta la naturaleza de la infracción y las consecuencias para los interesados, el número de interesados afectados, la extensión del daño sufrido, etc.
Se espera que las consecuencias de este nuevo sistema sean la imposición de sanciones mucho mayores a las empresas puesto que el cálculo del volumen de negocio anual tenderá al alza.
Asimismo, los expertos se cuestionan que el modelo de cálculo basado en los beneficios sea proporcional y es posible que este sistema acabe siendo llevado a los tribunales.
