Artigo 34

Comunicação de uma violação de dados pessoais ao titular dos dados

1. Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada.

2. A comunicação à pessoa em causa a que se refere o n.º 1 do presente artigo deve descrever em linguagem clara e simples a natureza da violação de dados pessoais e conter, pelo menos, as informações e medidas referidas nas alíneas (b), (c) e (d) do n.º 3 do artigo 33.

3. A comunicação ao titular dos dados a que se refere o n.° 1 não é exigida se for preenchida uma das seguintes condições:

(a)

O responsável pelo tratamento tiver aplicado medidas de proteção adequadas, tanto técnicas como organizativas, e essas medidas tiverem sido aplicadas aos dados pessoais afetados pela violação de dados pessoais, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem;

(b)

O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos titulares dos dados a que se refere o n.° 1 já não é suscetível de se concretizar; ou

(c)

se tal implicar um esforço desproporcionado.
Nesse caso, deve ser efectuada uma comunicação pública ou uma medida semelhante através da qual as pessoas em causa sejam informadas de forma igualmente eficaz.

4. Se o responsável pelo tratamento não tiver já comunicado a violação de dados pessoais ao titular dos dados, a autoridade de controlo, tendo considerado a probabilidade de a violação de dados pessoais resultar num elevado risco, pode exigir-lhe que proceda a essa notificação ou pode constatar que se encontram preenchidas as condições referidas no n.° 3.

O que isto significa?

O artigo 34.º do RGPD prevê a obrigação de as organizações notificarem as pessoas em caso de violação de dados pessoais suscetível de implicar um risco elevado para os seus direitos e liberdades.

A obrigação de notificar uma violação de dados à pessoa em causa surge quando a violação de dados pessoais é suscetível de resultar num elevado risco para os direitos e liberdades das pessoas singulares. Nestes casos, as organizações são obrigadas a informar as pessoas afectadas o mais rapidamente possível.

Uma violação de dados pessoais é suscetível de resultar num risco elevado para os direitos e liberdades das pessoas singulares quando pode ter efeitos adversos significativos para as pessoas, como a discriminação, a usurpação de identidade, perdas financeiras ou danos à reputação.

Uma notificação de violação de dados nos termos do artigo 34.º do RGPD deve incluir as informações mencionadas no artigo 33. Isto inclui informações como:

  • Uma descrição da natureza da violação de dados pessoais
  • As categorias e o número aproximado de pessoas afectadas
  • As consequências prováveis da violação de dados pessoais
  • As acções e medidas a tomar pela organização para resolver a violação de dados e atenuar os seus efeitos negativos.

Sim, existem excepções à obrigação de notificação. Uma organização não é obrigada a notificar as pessoas de uma violação de dados pessoais se

  • A organização implementou medidas de proteção técnicas e organizacionais adequadas, como a encriptação, que tornam os dados pessoais ininteligíveis para pessoas não autorizadas.
  • A organização tomou medidas para evitar o elevado risco para os direitos e liberdades dos indivíduos.
  • Em situações em que a notificação direta das pessoas seria excessiva, podem ser utilizados métodos alternativos para as informar publicamente.

Formação de sensibilização

Certifique-se de que toda a sua empresa está equipada com a formação de sensibilização necessária sobre os princípios básicos do RGPD e da segurança informática.

Discover

About