Que multas os operadores de websites enfrentam por violações de protecção de dados?

Mario Steinberg Última atualização em 21.10.2020
3 min.
multas da GDPR
Última atualização em 21.10.2020

Em 14 de Outubro de 2019, a Conferência das Autoridades Independentes de Protecção de Dados da Federação e dos Länder (DSK) publicou um conceito para a determinação de multas em processos contra empresas. Agora está finalmente claro o que os operadores de websites podem esperar em caso de violações da protecção de dados. 

Informações básicas sobre o conceito de multa do DSK

É do conhecimento geral que as violações do GDPR podem resultar em multas de até dez milhões de euros ou dois por cento do volume de negócios anual realizado a nível mundial. No caso de infracções mais graves, a sanção pode mesmo ser duplicada. No entanto, até agora não ficou claro até que ponto uma multa poderia ser elevada num caso individual específico. O conceito da DSK agora muda isso e fornece às autoridades de supervisão de proteção de dados alemãs uma base de cálculo uniforme e concreta. Além disso, o conceito pretende claramente ter um efeito preventivo geral nas empresas e tornar claro que são de esperar elevadas multas se os requisitos da GDPR não forem cumpridos.

Como o conceito é apenas um modelo e não uma lei, ele diz respeito apenas a processos de multa contra empresas iniciados pelas autoridades alemãs de supervisão da protecção de dados. Não tem efeito vinculativo na determinação de multas pelos tribunais.

Além disso, o conceito pode ser revogado, alterado ou ampliado pela DPA a qualquer momento. Além disso, é apenas uma solução provisória até à adopção final das Directrizes sobre a Metodologia para a fixação de multas pelo Conselho Europeu para a Protecção de Dados. Resta saber, portanto, como se desenvolverá a situação com multas.

cálculo da coima da GDPR

Como é calculada a multa?

O conceito da DSK prevê um procedimento de cinco etapas para o cálculo da coima específica:

Passo 1:

A empresa é atribuída a uma das quatro classes de tamanho (A a D) com base no seu volume de negócios total a nível mundial no ano anterior, sendo cada uma delas subdividida em três subgrupos (A.I a A.III, B.I a B.III, etc.) para uma classificação mais específica.

Classificação de acordo com o volume de negócios anual:

Grupo A: até 2 milhões de euros
Grupo B: de 2 a 10 milhões de euros
Grupo C: de 10 a 50 milhões de euros
GrupoD: mais de 50 milhões de euros

Passo 2:

É determinado o faturamento médio anual do subgrupo em que a empresa foi classificada.

Passo 3:

O valor econômico básico é determinado. Esta é a base para a determinação posterior da coima e corresponde ao faturamento médio anual do subgrupo em que a empresa foi classificada, dividido por 360 (dias) e arredondado para a posição pré-decimal.

Quarto passo:

Um multiplicador é derivado da gravidade da violação da proteção de dados. A este respeito, o grau de severidade é classificado como leve, médio, severo ou muito severo, com base nas circunstâncias específicas de cada caso. 

O catálogo de critérios que descreve estas possíveis circunstâncias pode ser encontrado no Art. 83 (2) GDPR. Estes incluem, por exemplo, a natureza e duração da violação, o número de pessoas afectadas, a extensão dos danos, a forma de cooperação com a autoridade de supervisão e também se foram obtidos benefícios financeiros directos como resultado da violação. 

Também é feita uma distinção entre infracções "formais" (Art. 83 § 4 GDPR) e "materiais" (Art. 83 ABs. 5 e 6 GDPR). Dependendo do tipo e gravidade da violação da proteção de dados, o fator para violações formais é entre 1 e 6, para violações materiais entre 1 e 12; para violações muito graves, o fator pode ser ainda maior em cada caso.

Quinto passo:

O valor básico é finalmente ajustado com base em todas as outras circunstâncias que falam a favor e contra a pessoa em questão. Estas incluem, em particular, circunstâncias relacionadas com o infractor e outras circunstâncias, tais como uma longa duração do processo ou uma insolvência iminente da empresa.

GDPR multa - um exemplo de cálculo 

No final, o processo de cinco etapas descrito não é tão complicado quanto parece. Aqui está um exemplo concreto:

Vamos supor que um trabalhador independente teve um volume de negócios de 80.000 euros no ano anterior. Isto coloca-o no subgrupo (mais baixo) A.I (volume de negócios anual de 0 a 700.000 euros; nível 1), o volume de negócios anual médio é portanto de 350.000 euros (nível 2) e o valor económico de base é de 972 euros (nível 3).

Vamos ainda assumir que se trata de uma falsa declaração de privacidade no site do trabalhador independente. Isto é uma violação do Art. 83 § 5 lit. b) GDPR. Como a gravidade da violação deve ser classificada como "leve", o fator pode ser "apenas" 2 (nível 4) na opinião da autoridade de controle de proteção de dados; na opinião da autoridade de controle de proteção de dados, um ajuste não é apropriado (nível 5).

Isto faria a multa de 1.944 euros.

Conclusão

Com o conceito de multa da DSK, é agora claro que mesmo violações relativamente insignificantes da protecção de dados resultarão em multas relevantes. Portanto, todas as empresas devem verificar ou ter verificado o mais rapidamente possível se cumprem devidamente todos os requisitos de protecção de dados, tais como um banner de cookies correcto. Isto acontece porque as autoridades de protecção de dados não se tornam activas por acaso, mas principalmente quando lhes são comunicadas violações da protecção de dados. E estes relatórios vêm muitas vezes na prática de clientes ou concorrentes insatisfeitos que querem fazer alguns danos aos seus concorrentes desta forma.

Artigos relacionados

Comentários sobre este artigo

Escreve um comentário

O teu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados com *.