Que multas são aplicadas aos operadores do site por violação da proteção de dados?

Mario Steinberg Atualizado em 21.10.2020
3 min.
multas da GDPR
Última actualização em 21.10.2020

Em 14.10.2019, a Conferência dos Supervisores Independentes de Protecção de Dados do Governo Federal e dos Länder (DSK) publicou um Conceito para a fixação de multas em processos contra empresas. Agora está finalmente claro o que os operadores de websites devem esperar no caso de violações da protecção de dados. 

Informações básicas sobre o belo conceito da DSK

É do conhecimento geral que as violações do GDPR podem resultar em multas de até dez milhões de euros ou dois por cento do volume de negócios anual realizado a nível mundial. No caso de infracções mais graves, a sanção pode mesmo ser duplicada. No entanto, até agora não ficou claro até que ponto uma multa poderia ser elevada num caso individual específico. O conceito da DSK agora muda isso e fornece às autoridades de supervisão de proteção de dados alemãs uma base de cálculo uniforme e concreta. Além disso, o conceito pretende claramente ter um efeito preventivo geral nas empresas e tornar claro que são de esperar elevadas multas se os requisitos da GDPR não forem cumpridos.

Como o conceito é apenas um modelo e não uma lei, ele diz respeito apenas a processos de multa contra empresas iniciados pelas autoridades alemãs de supervisão da protecção de dados. Não tem um efeito vinculativo no que diz respeito à fixação de multas pelos tribunais.

Além disso, o conceito pode ser cancelado, alterado ou ampliado pela DSK a qualquer momento. Além disso, é apenas uma solução provisória enquanto se aguarda a adopção final das orientações sobre a metodologia de fixação de multas pelo Comité Europeu de Protecção de Dados. Resta saber, portanto, como se desenvolve a situação em matéria de multas.

cálculo da coima da GDPR

Como é calculada a multa?

O conceito da DSK prevê um procedimento de cinco etapas para o cálculo da coima específica:

Passo 1:

Para uma classificação mais concreta, cada classe de tamanho é dividida em três subgrupos (A.I a A.III, B.I a B.III, etc.).

Classificação de acordo com o volume de negócios anual:

Grupo A: até 2 milhões de euros
Grupo B: 2 a 10 milhões de euros
Grupo C: 10 a 50 milhões de euros
Grupo D: mais de 50 milhões de euros

Passo 2:

É determinado o faturamento médio anual do subgrupo em que a empresa foi colocada.

Passo 3:

O valor econômico básico é determinado. Esta é a base para a determinação posterior da coima e corresponde ao volume médio de negócios anual do subgrupo em que a empresa foi colocada, dividido por 360 (dias) e arredondado para a casa antes do ponto decimal.

Quarto passo:

Um multiplicador é derivado da gravidade da violação da protecção de dados. Neste sentido, a gravidade da violação é classificada como leve, média, grave ou muito grave com base nas circunstâncias factuais concretas do caso individual. 

O catálogo de critérios que descreve estas possíveis circunstâncias pode ser encontrado no Art. 83 (2) GDPR. Estes incluem, por exemplo, a natureza e duração da violação, o número de pessoas afectadas, a extensão dos danos, a forma de cooperação com a autoridade de supervisão e também se foram obtidos benefícios financeiros directos como resultado da violação. 

Também é feita uma distinção entre infracções "formais" (Art. 83 § 4 GDPR) e "materiais" (Art. 83 ABs. 5 e 6 GDPR). Dependendo do tipo e gravidade da violação da proteção de dados, o fator para violações formais é entre 1 e 6, para violações materiais entre 1 e 12; para violações muito graves, o fator pode ser ainda maior em cada caso.

Passo cinco:

O valor básico é finalmente ajustado com base em todas as outras circunstâncias que falam a favor e contra a pessoa em questão. Estas incluem em circunstâncias particulares relacionadas com o perpetrador e outras circunstâncias, tais como um longo período de processo ou a ameaça de insolvência da empresa.

GDPR multa - um exemplo de cálculo 

No final, o procedimento de cinco etapas descrito acima não é tão complicado como parece no início. Aqui está um exemplo concreto:

Vamos supor que um trabalhador independente teve um volume de negócios de 80.000 euros no ano anterior. Isto coloca-o no subgrupo (mais baixo) A.I (volume de negócios anual de 0 a 700.000 euros; nível 1), o volume de negócios anual médio é portanto de 350.000 euros (nível 2) e o valor económico de base é de 972 euros (nível 3).

Vamos ainda assumir que se trata de uma falsa declaração de privacidade no site do trabalhador independente. Isto é uma violação do Art. 83 § 5 lit. b) GDPR. Como a gravidade da violação deve ser classificada como "leve", o fator pode ser "apenas" 2 (nível 4) na opinião da autoridade de controle de proteção de dados; na opinião da autoridade de controle de proteção de dados, um ajuste não é apropriado (nível 5).

A multa ascenderia assim a 1.944 euros.

Conclusão

O conceito de multa da DSK torna agora claro que mesmo violações relativamente menores da protecção de dados resultarão em multas relevantes. Por conseguinte, todas as empresas devem verificar ou ter verificado o mais rapidamente possível se cumprem todos os requisitos de protecção de dados, tais como uma faixa correta do cookiede acordo com o regulamento. Isto porque as autoridades de protecção de dados não agem por acaso, mas principalmente quando lhes são comunicadas violações de protecção de dados. E, na prática, estes relatórios vêm frequentemente de clientes ou concorrentes insatisfeitos que querem prejudicar os seus concorrentes desta forma.

Artigos relacionados

Comentários sobre este artigo

Escreve um comentário

O teu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados com * .