Multas Por Incumplimiento

Los procesadores de datos y los controladores pueden recibir multas administrativas por incumplimiento por parte de las autoridades supervisoras. Estas multas pueden asignarse conjuntamente o en lugar de otras medidas impuestas por las autoridades.

Los procesadores de datos sólo son responsables cuando no han cumplido con las obligaciones de GDPR específicas de los procesadores o cuando han incumplido las instrucciones del controlador de datos.

Los controladores de datos, por otra parte, son responsables como consecuencia de los daños causados ​​por el incumplimiento del GDPR. Las reclamaciones contra un procesador bajo GDPR deben proporcionar más que información sobre incumplimiento general y prueba de daño, pero también prueba de que los procesadores han violado un deber legal específico o una obligación contractual.

Si se establece un incumplimiento, es el turno de los controladores y procesadores demonstrar que no son responsables del daño. En la situación en que están atrapados en la misma acción jurídica, la responsabilidad puede dividirse entre ellos de acuerdo a su participación en el daño. La única condición para ello es que el sujeto de datos está totalmente compensado. Si una de las partes (controladora o procesadora) pagara la totalidad de la indemnización al interesado, tendrá derecho a devolver la parte por la que no es responsable. No es obligatorio que se apliquen multas, sino más bien discrecionales.

El enfoque elegido para las multas es de dos niveles, dependiendo de la gravedad, duración y naturaleza de la infracción:

Nivel 1
2% del volumen de ingreso anual de la empresa, o 10 millones de euros, el que sea mayor. Esto se aplicará, por ejemplo, en situaciones en las que la empresa no pueda demostrar una seguridad adecuada, no haya designado un DPO o no haya establecido un acuerdo sobre el procesador de datos.

O

Nivel 2
4% del volumen de ingreso anual de la empresa, o 20 millones de euros, el que sea mayor. Esta multa se aplica si se han infringido los derechos de los sujetos de datos, como la situación en la que se procesaron sus datos sin una base jurídica.

Por lo que respecta a las autoridades públicas, son los Estados Miembros quienes determinan en qué medida deben ser objeto de multas administrativas.