Cuando una empresa recibe una notificación de inicio de actuaciones por parte de la Agencia Española de Protección de Datos (AEPD), la primera pregunta que surge es cuánto puede costar la infracción. La respuesta no es sencilla: el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) configuran un sistema escalonado en el que el importe de la sanción nunca es automático, sino el resultado de ponderar múltiples criterios. Entender cómo funciona ese sistema es el primer paso para gestionarlo con diligencia.
Este artículo explica el régimen legal de las sanciones de la AEPD, los dos niveles de multa del artículo 83 del RGPD, la tipología de la LOPDGDD y los factores que pueden agravar o atenuar la cuantía final. No se citan importes de resoluciones concretas porque cada expediente es singular; lo que aquí se describe es el marco normativo aplicable con carácter general.
El artículo 83 del RGPD: dos tramos, dos topes
El artículo 83 del RGPD es la piedra angular del régimen sancionador europeo en materia de protección de datos. Establece que las sanciones deben ser efectivas, proporcionadas y disuasorias (art. 83.1), y fija dos tramos de multa en función de la gravedad de la infracción.
El primer tramo (artículo 83.4 del RGPD) comprende las infracciones de obligaciones aplicables al responsable y al encargado del tratamiento en materia de medidas técnicas y organizativas, de condiciones de los encargados del tratamiento, de registros de actividades de tratamiento, de cooperación con la autoridad de control, de seguridad del tratamiento, de notificación de brechas de seguridad, de evaluación de impacto y de designación del delegado de protección de datos. La multa máxima en este tramo es de 10.000.000 EUR o el 2 % del volumen de negocio anual mundial total del ejercicio financiero anterior, optándose por el importe que sea mayor.
El segundo tramo (artículo 83.5 del RGPD) reserva las sanciones más elevadas para las infracciones más graves: vulneración de los principios básicos del tratamiento (licitud, lealtad, transparencia, limitación de finalidad, minimización, exactitud, limitación del plazo de conservación e integridad y confidencialidad), vulneración de las condiciones para el consentimiento, vulneración de los derechos de los interesados, incumplimiento de las normas sobre transferencias internacionales de datos y desobediencia a las instrucciones u órdenes de la autoridad de control. El techo en este caso asciende a 20.000.000 EUR o el 4 % del volumen de negocio anual mundial total, el importe que sea mayor. El artículo 83.6 también aplica este segundo tramo al incumplimiento de una orden de la autoridad de control dictada conforme al artículo 58.2.
| Tramo | Infracciones típicas | Multa máxima |
|---|---|---|
| Artículo 83.4 RGPD | Medidas de seguridad, registros de actividades, notificación de brechas, DPO, evaluación de impacto, encargados del tratamiento | 10.000.000 EUR o 2 % volumen de negocio mundial (el mayor) |
| Artículo 83.5 RGPD | Principios básicos, consentimiento, derechos de los interesados, transferencias internacionales, incumplimiento de órdenes de la autoridad | 20.000.000 EUR o 4 % volumen de negocio mundial (el mayor) |
Es importante subrayar que estos importes son topes máximos, no sanciones automáticas. La cuantía concreta dentro de cada tramo depende de los criterios de graduación que se analizan más adelante.
La LOPDGDD: tipología tripartita de infracciones
La LOPDGDD completa el marco del RGPD con una tipología propia de infracciones organizada en tres niveles, siguiendo la tradición del derecho sancionador administrativo español. Esta clasificación no sustituye al artículo 83 del RGPD, sino que lo complementa para las infracciones cuya base jurídica se encuentra específicamente en la ley orgánica.
El artículo 72 de la LOPDGDD enumera las infracciones muy graves, entre las que se incluyen, a modo de ejemplo no exhaustivo: el tratamiento de datos vulnerando los principios del artículo 5 del RGPD, el tratamiento sin base jurídica válida cuando los datos pertenecen a categorías especiales (art. 9 RGPD), la vulneración del deber de confidencialidad, el incumplimiento de las obligaciones impuestas a los encargados del tratamiento en perjuicio de los derechos de los interesados, o la transferencia internacional de datos a países sin nivel de protección adecuado sin las garantías exigibles. El plazo de prescripción de estas infracciones es de tres años.
El artículo 73 de la LOPDGDD recoge las infracciones graves, que abarcan conductas como no atender a tiempo o de forma deficiente los derechos de acceso, rectificación, supresión, portabilidad y oposición; no designar representante cuando resulta obligatorio; carecer de registro de actividades de tratamiento; o incumplir el deber de notificación de brechas de seguridad a la AEPD. Prescriben a los dos años.
El artículo 74 de la LOPDGDD tipifica las infracciones leves, que incluyen incumplimientos formales o de menor entidad: no atender a tiempo las solicitudes de derechos de los interesados en supuestos no calificados como graves, no publicar los datos de contacto del delegado de protección de datos, o no comunicar a la AEPD la designación o el cese del DPO. Prescriben al año.
El artículo 76 de la LOPDGDD (Sanciones y medidas correctivas) no fija cuantías propias en euros ni se circunscribe a sujetos ajenos al artículo 83 del RGPD; aplica las cuantías de los apartados 4, 5 y 6 de dicho artículo e incorpora criterios de graduación adicionales a los del artículo 83.2 —como el carácter continuado de la infracción, la vinculación de la actividad con el tratamiento o los beneficios obtenidos (art. 76.2)—. El régimen especial para las autoridades públicas —apercibimiento sin multa económica— es el artículo 77, que se desarrolla en el apartado siguiente.
Los once criterios de graduación del artículo 83.2 del RGPD
Dentro de cada tramo, la AEPD no fija la sanción de forma discrecional: está vinculada a los criterios de graduación del artículo 83.2 del RGPD. Estos once criterios son los que determinan en la práctica si la multa se acerca al mínimo o al máximo del tramo.
- Naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o finalidad del tratamiento, así como el número de interesados afectados y el nivel de los daños y perjuicios sufridos.
- Intencionalidad o negligencia en la infracción.
- Medidas tomadas para paliar los daños sufridos por los interesados.
- Grado de responsabilidad teniendo en cuenta las medidas técnicas u organizativas aplicadas.
- Infracciones anteriores cometidas por el responsable o el encargado del tratamiento.
- Grado de cooperación con la autoridad de control para poner remedio a la infracción y mitigar sus posibles efectos negativos.
- Categorías de datos personales afectadas por la infracción (las categorías especiales del art. 9 y los datos relativos a infracciones penales del art. 10 agravan la valoración).
- Forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable notificó la infracción y en qué medida.
- Cumplimiento anterior de las medidas contempladas en el artículo 58.2 del RGPD, cuando estas hubieran sido previamente impuestas al responsable o encargado infractor.
- Adhesión a códigos de conducta aprobados en virtud del artículo 40 del RGPD o a mecanismos de certificación aprobados conforme al artículo 42.
- Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, como consecuencia de la infracción.
La ponderación de estos criterios convierte el proceso sancionador en un análisis individualizado. Dos organizaciones que cometan una misma infracción pueden recibir sanciones muy diferentes en función de su tamaño, su historial de cumplimiento, su actitud durante el procedimiento y las medidas que hayan adoptado para minimizar el impacto sobre los afectados.
Si tu organización está evaluando su nivel de exposición o quiere reducirlo de forma proactiva, en Summum Consultoría acompañamos en la adecuación al RGPD desde un enfoque práctico y adaptado a cada sector, con oficinas en Castilla y León y Canarias.
Factores atenuantes: cómo pueden reducirse las multas
Aunque el artículo 83.2 del RGPD lista tanto factores agravantes como atenuantes de forma conjunta, en la práctica algunos de ellos operan sistemáticamente a favor del infractor si este actúa con diligencia.
Los factores atenuantes más relevantes son:
- Ausencia de intencionalidad: la mera negligencia pesa menos que el dolo. Demostrar que el incumplimiento se debió a un error no intencionado, que se detectó internamente y que se corrigió de forma inmediata, puede rebajar sensiblemente la valoración de gravedad.
- Adopción de medidas correctivas antes de la resolución: implantar controles adicionales, revisar procedimientos o notificar voluntariamente a los afectados son actuaciones que la AEPD valora positivamente.
- Cooperación activa con la AEPD: facilitar el acceso a la documentación requerida, responder con puntualidad a los requerimientos y adoptar las medidas provisionales sugeridas por la agencia durante la instrucción del expediente son señales de buena fe que influyen en la graduación.
- Ausencia de antecedentes: una organización que no tiene infracciones previas en materia de protección de datos parte de una posición más favorable que quien ha sido sancionado con anterioridad.
- Adhesión a códigos de conducta o certificaciones: la participación en esquemas de certificación reconocidos o la adhesión a códigos de conducta aprobados por la AEPD o el Comité Europeo de Protección de Datos (CEPD) puede atenuar la responsabilidad, aunque no la excluye.
- Daño limitado o inexistente a los interesados: cuando la brecha o el incumplimiento no ha causado perjuicios materiales identificables a personas físicas, este criterio puede contribuir a moderar la sanción.
En el extremo opuesto, actúan como factores agravantes la existencia de beneficio económico obtenido gracias a la infracción, la afectación de datos sensibles (salud, ideología, origen racial, datos biométricos), el número elevado de interesados afectados, la reincidencia o el incumplimiento de órdenes previas de la autoridad.
Sanciones para las Administraciones Públicas
El régimen sancionador varía cuando el responsable del tratamiento es una Administración Pública. El artículo 77 de la LOPDGDD establece que, en estos casos, la AEPD no impone multas económicas, sino que emite una resolución de apercibimiento, que se publica en el Boletín Oficial del Estado y puede incluir la orden de adoptar medidas concretas. La responsabilidad disciplinaria del personal infractor puede exigirse adicionalmente por las vías previstas en la normativa de función pública.
Esta distinción no significa que las entidades públicas queden exentas de responsabilidad real: el apercibimiento público y la obligación de corregir el incumplimiento bajo supervisión de la AEPD constituyen consecuencias significativas, especialmente para organizaciones que gestionan grandes volúmenes de datos de ciudadanos.
El procedimiento sancionador: de las diligencias previas a la resolución
Entender el proceso sancionador ayuda a identificar los momentos clave en los que la actitud del investigado puede influir en el resultado. La AEPD puede iniciar actuaciones de oficio (por propia iniciativa, a partir de noticias públicas o información de terceros) o a instancia de denuncia de un interesado.
El procedimiento típico incluye las siguientes fases:
- Diligencias previas o actuaciones de investigación: la AEPD recaba información para determinar si existen indicios de infracción. En esta fase puede requerir documentación al investigado, quien está obligado a colaborar.
- Acuerdo de inicio del procedimiento sancionador: si los indicios son suficientes, se notifica al interesado el inicio del expediente, con descripción de los hechos imputados y la calificación jurídica provisional.
- Trámite de audiencia y alegaciones: el investigado puede presentar alegaciones, aportar pruebas y proponer medidas correctoras. Este es el momento más crítico para ejercer los factores atenuantes.
- Propuesta de resolución: el instructor emite una propuesta que incluye la calificación definitiva y la sanción propuesta.
- Resolución: la AEPD dicta resolución con la sanción definitiva, que puede ser impugnada ante la Audiencia Nacional.
Las infracciones prescriben según su gravedad —tres años las muy graves, dos las graves y un año las leves— conforme a los arts. 72 a 74 de la LOPDGDD; el art. 78 regula la prescripción de las sanciones en función de su cuantía.
Contar con asesoramiento especializado desde las primeras diligencias marca la diferencia entre una respuesta reactiva y una estrategia de defensa sólida. Desde Summum Consultoría acompañamos a organizaciones de Castilla y León y Canarias tanto en la prevención como en la respuesta ante procedimientos de la AEPD.
Preguntas frecuentes
¿Puede la AEPD imponer medidas correctoras además de la multa?
Sí. El artículo 58.2 del RGPD otorga a la AEPD un abanico amplio de poderes correctivos que van más allá de la multa: advertencias y apercibimientos, órdenes de atender las solicitudes de los interesados, limitación temporal o definitiva del tratamiento (incluida su prohibición), orden de rectificación o supresión de datos, suspensión de flujos transfronterizos de datos, y retiro de certificaciones. La multa puede ser la medida principal o puede combinarse con cualquiera de estas. En ocasiones, la AEPD opta por imponer únicamente medidas correctoras sin multa económica cuando la infracción es de escasa gravedad o el infractor ha actuado con especial diligencia.
¿Cómo influye el tamaño de la empresa en la sanción?
El tamaño de la empresa incide de dos formas. En primer lugar, el tope de las multas se calcula sobre el volumen de negocio anual mundial, lo que significa que, en términos absolutos, una empresa grande puede recibir una multa mucho mayor que una pyme por la misma infracción. En segundo lugar, los criterios de graduación valoran el grado de responsabilidad teniendo en cuenta las medidas técnicas y organizativas implementadas: una empresa grande con más recursos se espera que tenga implantados controles más robustos, y su incumplimiento puede valorarse más negativamente que el de una micropyme con medios limitados. En cualquier caso, ninguna empresa queda exenta del cumplimiento.
¿Qué ocurre si la misma conducta infringe varios preceptos del RGPD?
El artículo 83.3 del RGPD establece que, cuando un responsable o encargado infrinja varias disposiciones del reglamento mediante el mismo tratamiento o tratamientos vinculados entre sí, la multa total no puede superar el importe correspondiente a la infracción más grave. Esto evita la acumulación ilimitada de sanciones por un mismo hecho, aunque no impide que la concurrencia de varias infracciones se tenga en cuenta como factor agravante en la valoración de la gravedad del conjunto.
¿Tener un DPO reduce las sanciones?
Tener un delegado de protección de datos (DPO) correctamente designado y con funciones reales no elimina automáticamente la responsabilidad sancionadora, pero contribuye positivamente de varias formas: facilita la detección temprana de incumplimientos, permite adoptar medidas correctoras antes de que la AEPD actúe, y acredita ante la autoridad que la organización ha tomado en serio sus obligaciones en materia de protección de datos. En el marco de los criterios del artículo 83.2 del RGPD, estos elementos pueden operar como atenuantes. Eso sí, un DPO que existe solo sobre el papel sin funciones reales no solo no atenúa, sino que podría agravar la situación si la AEPD detecta que la figura es meramente formal.