Artigo 33

Notificação de uma violação de dados pessoais à autoridade de controlo

1. Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo competente nos termos do artigo 55.°, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada dos motivos do atraso.

2. O subcontratante notifica o responsável pelo tratamento sem demora injustificada após ter conhecimento de uma violação de dados pessoais.

3. A notificação referida no n.° 1 deve, pelo menos:

(a)

Descrever a natureza da violação dos dados pessoais incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registos de dados pessoais em causa;

(b)

Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto onde possam ser obtidas mais informações;

(c)

Descrever as consequências prováveis da violação de dados pessoais;

(d)

Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos;

4. Caso, e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, estas podem ser fornecidas por fases, sem demora injustificada.

5. O responsável pelo tratamento documenta quaisquer violações de dados pessoais, compreendendo os factos relacionados com as mesmas, os respetivos efeitos e a medida de reparação adotada. Essa documentação deve permitir à autoridade de controlo verificar o cumprimento do disposto no presente artigo.

O que isto significa?

Para lidar com uma violação de dados pessoais, o Responsável pelo tratamento deve primeiro ser capaz de reconhecer uma violação.

Uma violação da segurança da RGPD é uma violação que leva à destruição acidental ou ilegal, perda, alteração, ou divulgação não autorizada, ou acesso não autorizado a dados pessoais transmitidos, armazenados ou de outro modo tratar.

Apenas os eventos que conduzam à destruição acidental ou ilegal, perda, alteração ou divulgação ou acesso não autorizado a dados pessoais são abrangidos pela definição da RGPD de violação de dados pessoais.

Por exemplo, pode ocorrer uma violação de dados pessoais quando o software do Responsável pelo tratamento não estiver suficientemente seguro para permitir o acesso de estranhos aos dados pessoais (por exemplo, pirataria informática).

Contudo, também pode ser o próprio tratamento dos dados pessoais pelo Responsável pelo tratamento que pode causar uma violação, por exemplo, se o Responsável pelo tratamento revelar ou modificar os dados pessoais sem autorização.

Outro exemplo, o Responsável pelo tratamento pode também ilegalmente ou, como resultado de um evento imprevisto (por exemplo, incêndio ou inundação), não ter acesso aos dados pessoais ou acabar por destruir os dados pessoais.

Exemplos de violações de dados pessoais:

  1. Outras pessoas para além do(s) Responsável pelo tratamento(eis) autorizado(s) têm acesso (não autorizado(s) aos dados pessoais. Estas podem ser ambas as pessoas fora ou dentro da organização do Responsável pelo tratamento.
  2. Os empregados do Responsável pelo tratamento modificam ou apagam acidentalmente dados pessoais.
  3. As pessoas não autorizadas podem ter acesso a dados pessoais – por exemplo, número de identificação nacional, detalhes de cartão de crédito, etc.
  4. Os empregados podem transmitir, sem conhecimento ou com conhecimento de causa, dados pessoais de um cidadão/cliente a outro cidadão/cliente – ou mesmo a várias outras pessoas envolvidas.
  5. A falta de encriptação do website do Responsável pelo tratamento, por exemplo um login de cliente, poderia resultar no acesso directo aos dados do cliente por parte de uma ou mais pessoas não autorizadas.

Quando uma violação não é tratada de forma adequada e atempada, pode causar danos físicos, materiais ou imateriais a pessoas, por exemplo

  • uma perda de controlo sobre os seus dados ou restrição dos seus direitos,
  • discriminação,
  • roubo ou fraude de identidade,
  • perda financeira,
  • remoção não autorizada da pseudonimização,
  • danos à reputação,
  • perda da confidencialidade das informações abrangidas pelo segredo profissional.

Geralmente, é necessário comunicar todas as violações de dados pessoais à Autoridade de Protecção de Dados. Não é necessária notificação se for improvável que a violação dos dados pessoais ponha em risco os direitos ou liberdades das pessoas singulares.

Um risco para os direitos e liberdades das pessoas singulares inclui:

  • Discriminação.
  • Roubo ou fraude de identidade.
  • Perda financeira.
  • Prejuízo para a reputação.
  • Perda de confidencialidade dos dados ou qualquer outra desvantagem económica ou social significativa para a pessoa a quem os dados dizem respeito.

O Responsável pelo tratamento deve avaliar a probabilidade de a violação constituir um risco para os direitos dos indivíduos em causa imediatamente após tomar conhecimento da violação.

Deve-se ter sempre em conta os seguintes factores na avaliação do risco para os direitos e liberdades das pessoas em causa, resultante de uma violação de dados pessoais:

  • O tipo de quebra de segurança, incluindo se houve perda de dados, quebra de confidencialidade ou quebra de integridade;
  • A natureza e extensão dos dados;
  • O risco de que os sujeitos dos dados possam ser identificados;
  • Consequências que a violação pode ter sobre as pessoas em causa;
  • Se a violação envolve sujeitos de dados específicos (por exemplo, se são crianças ou pessoas vulneráveis);
  • o número de pessoas singulares afectadas;

O Responsável pelo tratamento deve documentar todos violações de dados pessoais, incluindo os factos da violação de dados pessoais, os seus efeitos e as medidas correctivas tomadas.

Neste contexto, é irrelevante se o Responsável pelo tratamento é obrigado a notificar a violação à Autoridade de Protecção de Dados.

Esta obrigação de documentação visa permitir à Autoridade de Protecção de Dados verificar se a obrigação de notificar determinadas violações foi cumprida.

A documentação deve conter informações sobre a violação,

incluindo os factos da violação, os seus efeitos e a reparação

medidas. Os requisitos de documentação também podem ser os seguintes.

  • Data e hora da violação
  • O que aconteceu durante a violação?
  • Qual é a causa da violação?
  • Quais (tipos de) dados pessoais são afectados pela violação?
  • Quais são as consequências da violação para as pessoas em causa?
  • Que medidas correctivas foram tomadas?
  • Já notificou a Autoridade de Protecção de Dados?

Curso GDPR

Aprenda os conceitos básicos do RGPD no curso Introdução ao RGPD de 1 hora: Os factos básicos para os funcionários.

Discover

About