Para establecer la cuantía de las sanciones, se tendrá en cuenta:
- La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la misma, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.
- La intencionalidad o negligencia en la infracción.
- Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados.
- El grado de responsabilidad del encargado del tratamiento de los datos, habida cuenta de las medidas técnicas u organizativas que hayan aplicado para salvaguardar la información.
- Toda infracción anterior cometida por el responsable o el encargado del tratamiento.
- El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción.
- Las categorías de los datos de carácter personal afectados por la infracción.
- La forma en que la autoridad de control ha tenido conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida.
- Que el responsable o el encargado de que se trate, en relación con el mismo asunto, ya haya sido sancionado, entre otras, con una advertencia o apercibimiento al cumplimiento de dichas medidas.
INFRACCIÓN GRAVE
Multa administrativa de hasta 10.000.000€
O en el caso de empresas, de cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, lo que resulte mayor en cuantía.
INFRACCIÓN MUY GRAVE
Multa administrativa de hasta 20.000.000 €
O en el caso de empresas, de cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, lo que resulte mayor en cuantía.