{"id":10197,"date":"2024-02-26T14:42:39","date_gmt":"2024-02-26T14:42:39","guid":{"rendered":"https:\/\/rgpd.com\/violacao-de-dados\/"},"modified":"2024-06-03T22:53:03","modified_gmt":"2024-06-03T22:53:03","slug":"violacao-de-dados","status":"publish","type":"page","link":"https:\/\/rgpd.com\/pt-pt\/violacao-de-dados\/","title":{"rendered":"Viola\u00e7\u00e3o de dados"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Uma viola\u00e7\u00e3o de dados pessoais \u00e9 uma viola\u00e7\u00e3o da seguran\u00e7a que conduz ao comprometimento de dados pessoais.<\/p>\n\n<p class=\"wp-block-paragraph\">O RGPD regula a forma como os dados pessoais devem ser protegidos contra viola\u00e7\u00f5es de dados, e este artigo ir\u00e1 explorar o tema das viola\u00e7\u00f5es de dados em rela\u00e7\u00e3o ao RGPD.<\/p>\n\n<p class=\"wp-block-paragraph\">A gravidade das viola\u00e7\u00f5es de dados pode variar significativamente.<\/p>\n\n<p class=\"wp-block-paragraph\">Por um lado, a perda acidental de dados pode ocorrer sem inten\u00e7\u00e3o maliciosa e sem o envolvimento de terceiros mal-intencionados.<\/p>\n\n<p class=\"wp-block-paragraph\">Por outro lado, os ataques deliberados de piratas inform\u00e1ticos com o objetivo de obter acesso aos dados ou de os utilizar indevidamente apresentam riscos substanciais. Estas viola\u00e7\u00f5es direccionadas aumentam a probabilidade de divulga\u00e7\u00e3o n\u00e3o autorizada, conduzindo a danos significativos para indiv\u00edduos e organiza\u00e7\u00f5es.<\/p>\n\n<p class=\"wp-block-paragraph\">O RGPD tem um conjunto de requisitos que regem a forma como as empresas devem atuar quando ocorre uma viola\u00e7\u00e3o de dados pessoais.<\/p>\n\n<p class=\"wp-block-paragraph\">Curiosamente, isto tamb\u00e9m exige que a sua empresa tenha a capacidade de identificar uma viola\u00e7\u00e3o de dados quando esta ocorre, para que a possa impedir e atenuar. <\/p>\n\n<p class=\"wp-block-paragraph\">No RGPD, a ignor\u00e2ncia n\u00e3o \u00e9 uma desculpa para o incumprimento. A sua organiza\u00e7\u00e3o deve, por conseguinte, estar atenta \u00e0s viola\u00e7\u00f5es de dados e preparar-se para responder a uma viola\u00e7\u00e3o de dados.<\/p>\n\n<h2 class=\"wp-block-heading\">Como identificar uma viola\u00e7\u00e3o de dados<\/h2>\n\n<p class=\"wp-block-paragraph\">\u00c9 importante ser capaz de identificar uma viola\u00e7\u00e3o de dados porque esta \u00e9 a primeira forma de a prevenir e identificar quando ocorre.<\/p>\n\n<h3 class=\"wp-block-heading\">O que \u00e9 uma viola\u00e7\u00e3o de dados pessoais?<\/h3>\n\n<p class=\"wp-block-paragraph\">No contexto do RGPD, uma viola\u00e7\u00e3o da seguran\u00e7a dos dados pessoais \u00e9 definida da seguinte forma:<\/p>\n\n<p class=\"wp-block-paragraph\">&#8220;Viola\u00e7\u00e3o de dados pessoais&#8221;, uma viola\u00e7\u00e3o da seguran\u00e7a que provoque, de modo acidental ou il\u00edcito, a destrui\u00e7\u00e3o, a perda, a altera\u00e7\u00e3o, a divulga\u00e7\u00e3o ou o acesso, n\u00e3o autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento&#8221;<\/p>\n\n<p class=\"wp-block-paragraph\">Simultaneamente, uma viola\u00e7\u00e3o da seguran\u00e7a dos dados pessoais \u00e9 tamb\u00e9m considerada um incidente de seguran\u00e7a da informa\u00e7\u00e3o. Na norma de seguran\u00e7a da informa\u00e7\u00e3o ISO 27000, um incidente de seguran\u00e7a da informa\u00e7\u00e3o \u00e9 descrito como uma situa\u00e7\u00e3o em que h\u00e1 uma ocorr\u00eancia identific\u00e1vel envolvendo um sistema, servi\u00e7o ou rede. Esta ocorr\u00eancia sugere uma viola\u00e7\u00e3o da pol\u00edtica de seguran\u00e7a da informa\u00e7\u00e3o ou uma falha nas medidas de seguran\u00e7a. Tamb\u00e9m pode ser um caso que n\u00e3o tenha sido reconhecido anteriormente, mas que seja potencialmente significativo para a seguran\u00e7a.<\/p>\n\n<p class=\"wp-block-paragraph\">\u00c9 importante notar que apenas os incidentes de seguran\u00e7a da informa\u00e7\u00e3o que envolvem dados pessoais s\u00e3o abrangidos pela defini\u00e7\u00e3o de viola\u00e7\u00e3o de dados pessoais do RGPD.<\/p>\n\n<p class=\"wp-block-paragraph\">Por conseguinte, nem todos os incidentes de seguran\u00e7a da informa\u00e7\u00e3o s\u00e3o considerados viola\u00e7\u00f5es de dados pessoais. Por exemplo, a dete\u00e7\u00e3o de padr\u00f5es de tr\u00e1fego de rede invulgares pode ser classificada como um incidente de seguran\u00e7a, mas n\u00e3o significa necessariamente que tenha havido acesso n\u00e3o autorizado ou divulga\u00e7\u00e3o de dados pessoais. <\/p>\n\n<p class=\"wp-block-paragraph\">Este cen\u00e1rio mostra a necessidade de uma an\u00e1lise cuidadosa para determinar se ocorreu uma viola\u00e7\u00e3o genu\u00edna de dados pessoais, o que \u00e9 importante para compreender e aplicar eficazmente as regras do RGPD.<\/p>\n\n<h3 class=\"wp-block-heading\">Uma variedade de viola\u00e7\u00f5es de dados<\/h3>\n\n<p class=\"wp-block-paragraph\">O objetivo do RGPD \u00e9 proteger os dados pessoais, pelo que evitar viola\u00e7\u00f5es de dados pessoais \u00e9 uma das preocupa\u00e7\u00f5es centrais do regulamento. <\/p>\n\n<p class=\"wp-block-paragraph\">Por conseguinte, deve estar ciente da forma como as viola\u00e7\u00f5es de dados pessoais podem ocorrer na pr\u00e1tica, de modo a poder aplicar medidas adequadas para as prevenir e identificar caso ocorram.<\/p>\n\n<p class=\"wp-block-paragraph\">Um relat\u00f3rio de investiga\u00e7\u00e3o de viola\u00e7\u00f5es de dados da Verizon mostra que 3 em cada 4 viola\u00e7\u00f5es de dados incluem um elemento humano com pessoas envolvidas atrav\u00e9s de erro, utiliza\u00e7\u00e3o indevida de privil\u00e9gios, credenciais roubadas ou engenharia social.<\/p>\n\n<p class=\"wp-block-paragraph\">As viola\u00e7\u00f5es de dados podem ocorrer atrav\u00e9s de v\u00e1rios canais e, muitas vezes, resultam de salvaguardas inadequadas na sua organiza\u00e7\u00e3o, que podem ser mitigadas. <\/p>\n\n<h4 class=\"wp-block-heading\">Tipos de viola\u00e7\u00f5es de dados<\/h4>\n\n<p class=\"wp-block-paragraph\">De seguida, vamos explorar alguns dos principais tipos de viola\u00e7\u00f5es de dados para lhe dar uma ideia de como estas viola\u00e7\u00f5es ocorrem.<\/p>\n\n<h5 class=\"wp-block-heading\">Hacking<\/h5>\n\n<p class=\"wp-block-paragraph\">A pirataria inform\u00e1tica envolve o acesso n\u00e3o autorizado a sistemas de dados atrav\u00e9s da explora\u00e7\u00e3o de vulnerabilidades t\u00e9cnicas nos seus sistemas. <\/p>\n\n<p class=\"wp-block-paragraph\">Normalmente, um hacker identifica pontos fracos na arquitetura de seguran\u00e7a de um sistema, como componentes de software desactualizados, liga\u00e7\u00f5es de rede n\u00e3o seguras ou sistemas mal configurados. Quando os hackers encontram uma vulnerabilidade, utilizam v\u00e1rios m\u00e9todos, como a inje\u00e7\u00e3o de c\u00f3digo malicioso ou a utiliza\u00e7\u00e3o de credenciais roubadas, para contornar as medidas de seguran\u00e7a e infiltrar-se no sistema.<\/p>\n\n<h5 class=\"wp-block-heading\">Divulga\u00e7\u00e3o acidental<\/h5>\n\n<p class=\"wp-block-paragraph\">A divulga\u00e7\u00e3o acidental de dados pessoais resulta frequentemente de erro humano. Exemplos t\u00edpicos incluem o envio de e-mails por engano para destinat\u00e1rios incorrectos ou configura\u00e7\u00f5es incorrectas da base de dados que deixam dados privados acess\u00edveis ao p\u00fablico.<\/p>\n\n<h5 class=\"wp-block-heading\">Roubo ou perda f\u00edsica<\/h5>\n\n<p class=\"wp-block-paragraph\">As viola\u00e7\u00f5es de dados podem ocorrer atrav\u00e9s da perda ou roubo de dispositivos como computadores port\u00e1teis, discos r\u00edgidos ou smartphones que armazenam dados pessoais. Isto real\u00e7a a necessidade de medidas de seguran\u00e7a f\u00edsica para al\u00e9m das salvaguardas digitais, como a encripta\u00e7\u00e3o dos discos r\u00edgidos no caso de um dispositivo ser roubado.<\/p>\n\n<h5 class=\"wp-block-heading\">Amea\u00e7as internas<\/h5>\n\n<p class=\"wp-block-paragraph\">As amea\u00e7as internas s\u00e3o uma fonte significativa de viola\u00e7\u00f5es de dados nas organiza\u00e7\u00f5es e representam cerca de 20% dos incidentes de seguran\u00e7a. Ocorrem quando os funcion\u00e1rios ou outras pessoas com acesso leg\u00edtimo \u00e0s informa\u00e7\u00f5es provocam, intencional ou acidentalmente, uma viola\u00e7\u00e3o. Este risco real\u00e7a a import\u00e2ncia da implementa\u00e7\u00e3o de protocolos de seguran\u00e7a internos.<\/p>\n\n<h5 class=\"wp-block-heading\">Ataques de ransomware e malware<\/h5>\n\n<p class=\"wp-block-paragraph\">Os ataques de ransomware e malware s\u00e3o tipos de viola\u00e7\u00f5es em que o software malicioso \u00e9 utilizado para comprometer a seguran\u00e7a do seu sistema. Normalmente, o ransomware encripta os dados, mantendo-os ref\u00e9ns para um resgate, enquanto outros tipos de malware podem extrair informa\u00e7\u00f5es de forma dissimulada. Estes ataques real\u00e7am a necessidade de defesas anti-malware e de actualiza\u00e7\u00f5es regulares do sistema para garantir que o malware n\u00e3o consegue explorar software desatualizado.<\/p>\n\n<h4 class=\"wp-block-heading\">Causas das viola\u00e7\u00f5es de dados<\/h4>\n\n<p class=\"wp-block-paragraph\">Os tipos de viola\u00e7\u00f5es de dados acima mencionados n\u00e3o aconteceriam sem uma combina\u00e7\u00e3o de medidas de seguran\u00e7a inadequadas, erros internos e agentes externos mal-intencionados. De seguida, vamos explorar algumas causas das viola\u00e7\u00f5es de dados.<\/p>\n\n<h5 class=\"wp-block-heading\">Palavras-passe fracas ou reutilizadas<\/h5>\n\n<p class=\"wp-block-paragraph\">Os utilizadores de software criam frequentemente palavras-passe que podem recordar e reutilizar em diferentes contas, deixando-as vulner\u00e1veis a serem comprometidas. As palavras-passe simples ou habitualmente utilizadas s\u00e3o facilmente decifradas, o que constitui um ponto de entrada para os piratas inform\u00e1ticos acederem aos sistemas.<\/p>\n\n<p class=\"wp-block-paragraph\">Uma vez que os hackers tenham comprometido uma palavra-passe reutilizada, v\u00e1rias contas ficar\u00e3o vulner\u00e1veis ao acesso dos hackers. <\/p>\n\n<h5 class=\"wp-block-heading\">Ataques de phishing<\/h5>\n\n<p class=\"wp-block-paragraph\">Um ataque de phishing \u00e9 uma t\u00e9cnica enganosa em que um cibercriminoso se faz passar por outra pessoa para que a v\u00edtima realize um ato, por exemplo, revelar informa\u00e7\u00f5es sens\u00edveis. Um ataque de phishing \u00e9 frequentemente efectuado atrav\u00e9s do envio de mensagens de correio eletr\u00f3nico que imitam uma pessoa de confian\u00e7a e induzem o destinat\u00e1rio a clicar numa liga\u00e7\u00e3o maliciosa ou a fornecer dados pessoais. <\/p>\n\n<p class=\"wp-block-paragraph\">A fraude do CEO \u00e9 um exemplo de um ataque de phishing em que os hackers estabelecem uma identidade falsa de uma figura de confian\u00e7a como o CEO, que depois pede \u00e0 v\u00edtima, muitas vezes um empregado, para transferir dinheiro, fazer uma compra em seu nome ou revelar informa\u00e7\u00f5es secretas. <\/p>\n\n<p class=\"wp-block-paragraph\">O famoso esquema do &#8220;Pr\u00edncipe Nigeriano&#8221; \u00e9 outro exemplo de um ataque de phishing. Neste caso, o &#8220;pr\u00edncipe nigeriano&#8221; pede ajuda para transferir uma grande soma de dinheiro e recompensa-o falsamente (a v\u00edtima) com uma pequena taxa. <\/p>\n\n<h5 class=\"wp-block-heading\">Vulnerabilidades de software<\/h5>\n\n<p class=\"wp-block-paragraph\">O software est\u00e1 a desenvolver-se rapidamente e o software que utiliza todos os dias acrescenta continuamente novas funcionalidades, actualiza\u00e7\u00f5es de desempenho, etc., para garantir que funciona sem problemas e se integra bem nos sistemas de que depende. <\/p>\n\n<p class=\"wp-block-paragraph\">A sua empresa utiliza muito software, o que exige um trabalho significativo para garantir que tudo funciona em conjunto, mantendo as actualiza\u00e7\u00f5es de software. <\/p>\n\n<p class=\"wp-block-paragraph\">Esta situa\u00e7\u00e3o conduz frequentemente a software desatualizado ou n\u00e3o corrigido, que \u00e9 propenso a viola\u00e7\u00f5es, uma vez que os atacantes podem explorar estas fraquezas.<\/p>\n\n<h5 class=\"wp-block-heading\">Erro humano<\/h5>\n\n<p class=\"wp-block-paragraph\">O erro humano \u00e9 a causa de 1 em cada 10 viola\u00e7\u00f5es de dados, de acordo com o Relat\u00f3rio de Investiga\u00e7\u00f5es de Viola\u00e7\u00e3o de Dados da Verizon. <\/p>\n\n<p class=\"wp-block-paragraph\">Os trabalhadores est\u00e3o expostos a mudan\u00e7as tecnol\u00f3gicas significativas e espera-se que fa\u00e7am mais em menos tempo em ambientes de trabalho de ritmo acelerado. Por conseguinte, erros como o envio de dados para destinat\u00e1rios incorrectos ou o tratamento incorreto da informa\u00e7\u00e3o acontecem diariamente nas organiza\u00e7\u00f5es.<\/p>\n\n<p class=\"wp-block-paragraph\">\u00c9 por isso que a <a href=\"https:\/\/rgpd.com\/pt-pt\/formacao-de-sensibilizacao\/\" data-type=\"page\" data-id=\"6950\">forma\u00e7\u00e3o de sensibiliza\u00e7\u00e3o<\/a> dos trabalhadores para a forma\u00e7\u00e3o de sensibiliza\u00e7\u00e3o, a ciberseguran\u00e7a e a conformidade \u00e9 uma medida organizacional comummente utilizada para aumentar a seguran\u00e7a.<\/p>\n\n<h5 class=\"wp-block-heading\">Medidas de seguran\u00e7a inadequadas<\/h5>\n\n<p class=\"wp-block-paragraph\">A falta de uma infraestrutura de seguran\u00e7a abrangente, incluindo uma seguran\u00e7a de rede deficiente, forma\u00e7\u00e3o insuficiente dos funcion\u00e1rios e controlos de acesso fracos, aumenta a vulnerabilidade a v\u00e1rias amea\u00e7as.<\/p>\n\n<p class=\"wp-block-paragraph\">Tanto as pequenas como as grandes empresas t\u00eam dificuldade em aplicar medidas de seguran\u00e7a adequadas. Como j\u00e1 foi referido, a velocidade do desenvolvimento, a escala do processamento de dados, as complexidades organizacionais, a taxa de mudan\u00e7a e a falta de talento em mat\u00e9ria de seguran\u00e7a da informa\u00e7\u00e3o, de or\u00e7amentos e de sensibiliza\u00e7\u00e3o para a quest\u00e3o fazem com que as organiza\u00e7\u00f5es adoptem medidas de seguran\u00e7a inadequadas.<\/p>\n\n<p class=\"wp-block-paragraph\">As pequenas empresas precisam frequentemente de adquirir conhecimentos sobre seguran\u00e7a e consideram a implementa\u00e7\u00e3o e a manuten\u00e7\u00e3o dispendiosas. Para as grandes empresas, a dimens\u00e3o da organiza\u00e7\u00e3o pode tornar complicado garantir a seguran\u00e7a em todos os cantos.<\/p>\n\n<h4 class=\"wp-block-heading\">Exemplos de viola\u00e7\u00f5es de dados pessoais<\/h4>\n\n<p class=\"wp-block-paragraph\">Nas sec\u00e7\u00f5es anteriores, explor\u00e1mos os tipos de viola\u00e7\u00f5es de dados e algumas das causas que permitiriam a ocorr\u00eancia de tais viola\u00e7\u00f5es.<\/p>\n\n<p class=\"wp-block-paragraph\">Para uma melhor compreens\u00e3o do conceito de viola\u00e7\u00e3o de dados pessoais, tal como definido pelo RGPD, podem ser utilizados os seguintes exemplos como ilustra\u00e7\u00e3o:<\/p>\n\n<ul class=\"wp-block-list\">\n<li>Uma pessoa n\u00e3o autorizada, dentro ou fora da empresa, acede a dados pessoais a que n\u00e3o deveria ter acesso.<\/li>\n\n\n\n<li>Um funcion\u00e1rio altera ou elimina acidentalmente informa\u00e7\u00f5es pessoais, o que conduz a uma perda involunt\u00e1ria de dados.<\/li>\n\n\n\n<li>Algu\u00e9m tem acesso a dados pessoais, como n\u00fameros de seguran\u00e7a social ou informa\u00e7\u00f5es de cart\u00f5es de cr\u00e9dito, devido a uma viola\u00e7\u00e3o do servidor da empresa.<\/li>\n\n\n\n<li>Um empregado partilha informa\u00e7\u00f5es privadas sobre um cliente com outra pessoa, por engano ou propositadamente, o que conduz a uma divulga\u00e7\u00e3o n\u00e3o autorizada.<\/li>\n\n\n\n<li>A perda ou roubo de dispositivos como computadores port\u00e1teis ou smartphones que cont\u00eam dados pessoais n\u00e3o encriptados permite o acesso n\u00e3o autorizado aos dados pessoais armazenados nos dispositivos.<\/li>\n\n\n\n<li>Os dados pessoais s\u00e3o enviados por engano para a pessoa errada por correio eletr\u00f3nico ou correio tradicional.<\/li>\n\n\n\n<li>Um ataque cibern\u00e9tico, como phishing ou malware, rouba dados pessoais dos sistemas da empresa.<\/li>\n\n\n\n<li>Os dados pessoais s\u00e3o acidentalmente expostos num s\u00edtio Web p\u00fablico devido a erros de codifica\u00e7\u00e3o ou de configura\u00e7\u00e3o.<\/li>\n\n\n\n<li>Um funcion\u00e1rio visualiza dados pessoais sem uma raz\u00e3o comercial v\u00e1lida, violando as pol\u00edticas internas de acesso aos dados.<\/li>\n\n\n\n<li>Os dados pessoais s\u00e3o eliminados de forma insegura, por exemplo, os registos em papel n\u00e3o s\u00e3o destru\u00eddos adequadamente, pelo que algu\u00e9m pode encontrar dados pessoais no contentor de lixo fora do edif\u00edcio.<\/li>\n<\/ul>\n\n<p class=\"wp-block-paragraph\">Estes exemplos s\u00e3o apenas algumas das in\u00fameras formas como os dados pessoais podem ser comprometidos e conduzir a uma viola\u00e7\u00e3o de dados.<\/p>\n\n<h3 class=\"wp-block-heading\">Impacto das viola\u00e7\u00f5es de dados nas pessoas<\/h3>\n\n<p class=\"wp-block-paragraph\">As repercuss\u00f5es de uma viola\u00e7\u00e3o de dados podem ter um impacto significativo nas pessoas afectadas, desde pequenos inconvenientes a situa\u00e7\u00f5es graves que alteram a sua vida. A natureza da viola\u00e7\u00e3o de dados, as categorias de dados pessoais comprometidos e as pessoas afectadas desempenham um papel importante na determina\u00e7\u00e3o da gravidade das consequ\u00eancias. <\/p>\n\n<p class=\"wp-block-paragraph\">Os exemplos seguintes ilustram alguns dos resultados negativos de uma viola\u00e7\u00e3o de dados:<\/p>\n\n<h4 class=\"wp-block-heading\">Tratamento m\u00e9dico incorreto<\/h4>\n\n<p class=\"wp-block-paragraph\">Uma viola\u00e7\u00e3o dos dados de sa\u00fade pode levar a um tratamento m\u00e9dico incorreto se informa\u00e7\u00f5es cr\u00edticas como alergias ou detalhes de medica\u00e7\u00e3o forem alterados, podendo causar complica\u00e7\u00f5es de sa\u00fade graves.<\/p>\n\n<h4 class=\"wp-block-heading\">Fraude financeira<\/h4>\n\n<p class=\"wp-block-paragraph\">A exposi\u00e7\u00e3o de dados financeiros pessoais pode conduzir a fraudes financeiras, em que as v\u00edtimas podem perder dinheiro devido a transac\u00e7\u00f5es n\u00e3o autorizadas ou \u00e0 usurpa\u00e7\u00e3o de identidade.<\/p>\n\n<h4 class=\"wp-block-heading\">Perda de emprego<\/h4>\n\n<p class=\"wp-block-paragraph\">Se os registos confidenciais de emprego forem expostos ou adulterados, podem perder-se oportunidades de carreira, despedimentos sem justa causa e afetar significativamente o modo de vida de uma pessoa.<\/p>\n\n<h4 class=\"wp-block-heading\">Roubo de identidade<\/h4>\n\n<p class=\"wp-block-paragraph\">Uma consequ\u00eancia comum e grave das viola\u00e7\u00f5es de dados pessoais \u00e9 a usurpa\u00e7\u00e3o de identidade, em que a identidade da v\u00edtima \u00e9 utilizada para actividades ilegais, o que pode levar a complica\u00e7\u00f5es legais para o indiv\u00edduo ou problemas semelhantes.<\/p>\n\n<h4 class=\"wp-block-heading\">Chantagem e extors\u00e3o<\/h4>\n\n<p class=\"wp-block-paragraph\">A exposi\u00e7\u00e3o de informa\u00e7\u00f5es pessoais pode levar a chantagem e extors\u00e3o, especialmente se os dados inclu\u00edrem fotos comprometedoras, mensagens ou informa\u00e7\u00f5es que o indiv\u00edduo deseja manter privadas.<\/p>\n\n<h4 class=\"wp-block-heading\">Consequ\u00eancias jur\u00eddicas<\/h4>\n\n<p class=\"wp-block-paragraph\">Por vezes, as pessoas encontram-se numa situa\u00e7\u00e3o em que t\u00eam de se submeter a batalhas legais para limpar o seu nome ou corrigir actividades fraudulentas que foram feitas utilizando a sua identidade. Infelizmente, isto pode acabar por custar-lhes muito dinheiro em despesas legais.<\/p>\n\n<h4 class=\"wp-block-heading\">Danos \u00e0 reputa\u00e7\u00e3o<\/h4>\n\n<p class=\"wp-block-paragraph\">A divulga\u00e7\u00e3o de informa\u00e7\u00f5es pessoais sens\u00edveis, como as prefer\u00eancias sexuais, pode conduzir ao estigma social, prejudicando a reputa\u00e7\u00e3o pessoal e profissional de um indiv\u00edduo.<\/p>\n\n<h4 class=\"wp-block-heading\">Riscos de seguran\u00e7a futuros<\/h4>\n\n<p class=\"wp-block-paragraph\">Os dados roubados podem ser utilizados para fins criminosos, o que coloca as pessoas em maior risco de cibercriminalidade e de seguran\u00e7a pessoal.<\/p>\n\n<h2 class=\"wp-block-heading\">RGPD e viola\u00e7\u00f5es de dados pessoais<\/h2>\n\n<p class=\"wp-block-paragraph\">O RGPD estabelece requisitos e procedimentos espec\u00edficos para o tratamento de viola\u00e7\u00f5es de dados. <\/p>\n\n<p class=\"wp-block-paragraph\">A sua organiza\u00e7\u00e3o \u00e9 obviamente incentivada a responder prontamente \u00e0s viola\u00e7\u00f5es de dados pessoais para mitigar os danos, mas o RGPD tamb\u00e9m regula a forma como a sua organiza\u00e7\u00e3o deve responder. <\/p>\n\n<p class=\"wp-block-paragraph\">De seguida, analisamos como manter a conformidade com o RGPD ao lidar com uma viola\u00e7\u00e3o de dados. <\/p>\n\n<h3 class=\"wp-block-heading\">Requisitos do RGPD numa viola\u00e7\u00e3o de dados<\/h3>\n\n<p class=\"wp-block-paragraph\">Quando uma viola\u00e7\u00e3o de dados \u00e9 identificada, \u00e9 necess\u00e1rio tomar medidas imediatas para conter a viola\u00e7\u00e3o e garantir a conformidade com o RGPD, incluindo uma comunica\u00e7\u00e3o clara com as partes interessadas, a notifica\u00e7\u00e3o dos indiv\u00edduos afectados e a manuten\u00e7\u00e3o de documenta\u00e7\u00e3o interna completa.<\/p>\n\n<p class=\"wp-block-paragraph\">O RGPD \u00e9 um quadro que deve ser seguido. Al\u00e9m disso, tamb\u00e9m o ajuda a garantir que trata as viola\u00e7\u00f5es de dados de uma forma que serve todas as partes interessadas afectadas pela viola\u00e7\u00e3o.<\/p>\n\n<p class=\"wp-block-paragraph\">Estes requisitos para o tratamento de uma viola\u00e7\u00e3o de dados pessoais s\u00e3o explicados nas sec\u00e7\u00f5es seguintes.<\/p>\n\n<h3 class=\"wp-block-heading\">Notifica\u00e7\u00e3o \u00e0s autoridades<\/h3>\n\n<p class=\"wp-block-paragraph\">Quando identificar uma viola\u00e7\u00e3o de dados na sua organiza\u00e7\u00e3o, deve <a href=\"https:\/\/rgpd.com\/pt-pt\/visao-geral\/capitulo-4-responsavel-pelo-tratamento-e-subcontratante\/artigo-33-notificacao-de-uma-violacao-de-dados-pessoais-a-autoridade-de-controlo\/\" data-type=\"page\" data-id=\"822\">notificar imediatamente notificar<\/a>. O prazo para efetuar esta notifica\u00e7\u00e3o \u00e9 de 72 horas ap\u00f3s tomar conhecimento de uma viola\u00e7\u00e3o de dados.<\/p>\n\n<p class=\"wp-block-paragraph\">Se a notifica\u00e7\u00e3o for atrasada mais de 72 horas, deve incluir uma explica\u00e7\u00e3o dos motivos do atraso \u00e0 autoridade de controlo.<\/p>\n\n<p class=\"wp-block-paragraph\">Se for improv\u00e1vel que a viola\u00e7\u00e3o de dados resulte num risco para qualquer pessoa, n\u00e3o \u00e9 obrigado a notificar a autoridade de prote\u00e7\u00e3o de dados.<\/p>\n\n<p class=\"wp-block-paragraph\">Pode saber mais sobre como avaliar uma viola\u00e7\u00e3o neste artigo, que tamb\u00e9m especifica quando n\u00e3o \u00e9 obrigado a notificar a autoridade de prote\u00e7\u00e3o de dados.<\/p>\n\n<h3 class=\"wp-block-heading\">Conte\u00fado da notifica\u00e7\u00e3o<\/h3>\n\n<p class=\"wp-block-paragraph\">A notifica\u00e7\u00e3o \u00e0 autoridade de controlo deve descrever os factos da viola\u00e7\u00e3o de dados pessoais, por exemplo, a causa da viola\u00e7\u00e3o. Deve incluir as categorias de titulares de dados e o n\u00famero aproximado de titulares de dados afectados pela viola\u00e7\u00e3o, os tipos de dados pessoais inclu\u00eddos, por exemplo, endere\u00e7o eletr\u00f3nico, nome de utilizador, etc., e o n\u00famero destes.<\/p>\n\n<p class=\"wp-block-paragraph\">Deve incluir os dados de contacto da pessoa de contacto da sua organiza\u00e7\u00e3o, que ser\u00e1 o respons\u00e1vel pela prote\u00e7\u00e3o de dados, caso tenha nomeado um. <\/p>\n\n<p class=\"wp-block-paragraph\">A notifica\u00e7\u00e3o deve descrever as consequ\u00eancias prov\u00e1veis para as pessoas afectadas e as medidas tomadas ou propostas para resolver a viola\u00e7\u00e3o de dados pessoais e atenuar as consequ\u00eancias para as pessoas.<\/p>\n\n<p class=\"wp-block-paragraph\">Se n\u00e3o puder comunicar todos os pormenores no prazo de 72 horas, pode fornecer as informa\u00e7\u00f5es por fases para respeitar o prazo de 72 horas.<\/p>\n\n<p class=\"wp-block-paragraph\">Seja como for, deve documentar sempre todas as viola\u00e7\u00f5es de dados pessoais nos seus registos internos, de acordo com os requisitos acima mencionados. As autoridades de prote\u00e7\u00e3o de dados podem sempre solicitar estas informa\u00e7\u00f5es para verificar o cumprimento destas regras. <\/p>\n\n<h3 class=\"wp-block-heading\">Notifica\u00e7\u00e3o das pessoas afectadas<\/h3>\n\n<p class=\"wp-block-paragraph\">Quando \u00e9 prov\u00e1vel que a viola\u00e7\u00e3o de dados resulte num risco elevado para as pessoas afectadas, <a href=\"https:\/\/rgpd.com\/pt-pt\/visao-geral\/capitulo-4-responsavel-pelo-tratamento-e-subcontratante\/artigo-34-comunicacao-de-uma-violacao-de-dados-pessoais-ao-titular-dos-dados\/\" data-type=\"page\" data-id=\"828\">deve notific\u00e1-las imediatamente<\/a> para que se possam proteger, por exemplo, alterando as palavras-passe das contas violadas.<\/p>\n\n<p class=\"wp-block-paragraph\">A notifica\u00e7\u00e3o deve ser clara e transparente sobre os factos da viola\u00e7\u00e3o de dados e incluir, pelo menos, os dados da pessoa de contacto, por exemplo, o respons\u00e1vel pela prote\u00e7\u00e3o de dados ou similar, as consequ\u00eancias prov\u00e1veis da viola\u00e7\u00e3o de dados e as medidas que a sua organiza\u00e7\u00e3o est\u00e1 a tomar para atenuar as consequ\u00eancias negativas para essas pessoas.<\/p>\n\n<p class=\"wp-block-paragraph\">A notifica\u00e7\u00e3o deve ser feita diretamente \u00e0s pessoas afectadas para garantir que recebem a informa\u00e7\u00e3o, a menos que tal constitua um esfor\u00e7o desproporcionado. Se for imposs\u00edvel garantir que todos recebem a informa\u00e7\u00e3o diretamente, podem ser utilizadas medidas indirectas, como a emiss\u00e3o de uma declara\u00e7\u00e3o p\u00fablica, por exemplo, atrav\u00e9s de um comunicado de imprensa.<\/p>\n\n<h3 class=\"wp-block-heading\">Processadores de dados e viola\u00e7\u00f5es de dados<\/h3>\n\n<p class=\"wp-block-paragraph\">A maioria das organiza\u00e7\u00f5es utiliza fornecedores, incluindo processadores de dados.<\/p>\n\n<p class=\"wp-block-paragraph\">Quando um subcontratante identifica uma viola\u00e7\u00e3o de dados que afecta os dados tratados em nome do respons\u00e1vel pelo tratamento, deve notificar imediatamente o respons\u00e1vel pelo tratamento. Isto permitir\u00e1 ao respons\u00e1vel pelo tratamento dos dados (a sua organiza\u00e7\u00e3o) cumprir as suas obriga\u00e7\u00f5es de comunicar a viola\u00e7\u00e3o de dados \u00e0s autoridades de prote\u00e7\u00e3o de dados e \u00e0s pessoas afectadas. <\/p>\n\n<h2 class=\"wp-block-heading\">Avalia\u00e7\u00e3o de uma viola\u00e7\u00e3o de dados<\/h2>\n\n<p class=\"wp-block-paragraph\">O impacto esperado de uma viola\u00e7\u00e3o de dados \u00e9 importante para determinar a gest\u00e3o eficaz da viola\u00e7\u00e3o de dados. De seguida, analisamos o impacto que uma viola\u00e7\u00e3o de dados pode ter nas pessoas.<\/p>\n\n<h3 class=\"wp-block-heading\">Tipo de infra\u00e7\u00e3o<\/h3>\n\n<p class=\"wp-block-paragraph\">A natureza de uma viola\u00e7\u00e3o de dados influenciar\u00e1 as suas repercuss\u00f5es nas pessoas afectadas. O roubo de um disco r\u00edgido encriptado que resulta na perda do n\u00famero de seguran\u00e7a social de uma pessoa \u00e9 diferente de quando uma configura\u00e7\u00e3o incorrecta divulga publicamente o n\u00famero de seguran\u00e7a social.<\/p>\n\n<h3 class=\"wp-block-heading\">A sensibilidade dos dados pessoais<\/h3>\n\n<p class=\"wp-block-paragraph\">A sensibilidade dos dados pessoais em causa influencia a avalia\u00e7\u00e3o dos riscos. Por exemplo, a divulga\u00e7\u00e3o acidental ao p\u00fablico de informa\u00e7\u00f5es sobre o historial criminal, as d\u00edvidas ou o estado de sa\u00fade de algu\u00e9m pode ter implica\u00e7\u00f5es de maior alcance do que a exposi\u00e7\u00e3o do seu endere\u00e7o de correio eletr\u00f3nico ou n\u00famero de telefone.<\/p>\n\n<h3 class=\"wp-block-heading\">Risco de identifica\u00e7\u00e3o<\/h3>\n\n<p class=\"wp-block-paragraph\">Os dados pessoais podem ter estado envolvidos numa viola\u00e7\u00e3o de dados, mas deve considerar a facilidade com que as pessoas afectadas podem ser identificadas a partir dos dados comprometidos. Se os dados pessoais comprometidos estiverem num disco r\u00edgido encriptado, o risco de identifica\u00e7\u00e3o \u00e9 reduzido.<\/p>\n\n<h3 class=\"wp-block-heading\">Consequ\u00eancias<\/h3>\n\n<p class=\"wp-block-paragraph\">A gravidade de uma viola\u00e7\u00e3o depende do grupo de indiv\u00edduos afectados pela viola\u00e7\u00e3o. Por exemplo, as infrac\u00e7\u00f5es que envolvem pessoas particularmente vulner\u00e1veis, como as crian\u00e7as, podem ser mais prejudiciais.<\/p>\n\n<h3 class=\"wp-block-heading\">Informa\u00e7\u00f5es nas m\u00e3os de criminosos<\/h3>\n\n<p class=\"wp-block-paragraph\">Se se souber que os dados comprometidos chegaram a criminosos com inten\u00e7\u00f5es maliciosas, isso influencia significativamente a avalia\u00e7\u00e3o do risco da viola\u00e7\u00e3o de dados. Este seria o caso de um ataque de ransomware.<\/p>\n\n<h3 class=\"wp-block-heading\">Fiabilidade do destinat\u00e1rio<\/h3>\n\n<p class=\"wp-block-paragraph\">Suponha que enviou dados pessoais para a pessoa errada, mas espera que o destinat\u00e1rio siga as instru\u00e7\u00f5es para devolver ou destruir os dados. Nesse caso, a infra\u00e7\u00e3o pode ser considerada como n\u00e3o tendo consequ\u00eancias significativas. No entanto, o respons\u00e1vel pelo tratamento de dados deve estar confiante quanto \u00e0 fiabilidade do destinat\u00e1rio e, se poss\u00edvel, dispor de documenta\u00e7\u00e3o que confirme que os dados j\u00e1 n\u00e3o est\u00e3o acess\u00edveis ao mesmo.<\/p>\n\n<h3 class=\"wp-block-heading\">Reversibilidade<\/h3>\n\n<p class=\"wp-block-paragraph\">As infrac\u00e7\u00f5es com efeitos duradouros ou permanentes s\u00e3o consideradas mais graves. Trata-se de viola\u00e7\u00f5es que o respons\u00e1vel pelo tratamento dos dados ou a pessoa em causa n\u00e3o podem remediar facilmente. Por exemplo, a fuga de dados de um cart\u00e3o de pagamento pode ser atenuada atrav\u00e9s do cancelamento do cart\u00e3o, mas a fuga de informa\u00e7\u00f5es que prejudiquem a reputa\u00e7\u00e3o de algu\u00e9m pode ter impactos a longo prazo.<\/p>\n\n<h3 class=\"wp-block-heading\">O tamanho \u00e9 importante<\/h3>\n\n<p class=\"wp-block-paragraph\">Geralmente, quanto maior for o n\u00famero de pessoas afectadas por uma viola\u00e7\u00e3o, mais significativo ser\u00e1 o impacto. No entanto, as viola\u00e7\u00f5es que envolvem apenas um ou alguns indiv\u00edduos tamb\u00e9m podem ter consequ\u00eancias graves quando os dados s\u00e3o sens\u00edveis.<\/p>\n\n<h3 class=\"wp-block-heading\">Caracter\u00edsticas do respons\u00e1vel pelo tratamento de dados<\/h3>\n\n<p class=\"wp-block-paragraph\">As caracter\u00edsticas da organiza\u00e7\u00e3o afetada e as actividades de tratamento podem afetar a probabilidade de uma viola\u00e7\u00e3o representar um risco para as pessoas. Por exemplo, um hospital privado que lida com informa\u00e7\u00f5es extensas sobre sa\u00fade ou uma ag\u00eancia de cr\u00e9dito que processa dados sobre maus devedores aumenta o risco para as pessoas.<\/p>\n\n<p class=\"wp-block-paragraph\">A considera\u00e7\u00e3o dos aspectos acima referidos pode ajudar a avaliar o potencial impacto de uma viola\u00e7\u00e3o da seguran\u00e7a dos dados pessoais e orient\u00e1-lo para as medidas de resposta adequadas para proteger as pessoas afectadas.<\/p>\n\n<h2 class=\"wp-block-heading\">Como responder a uma viola\u00e7\u00e3o de dados<\/h2>\n\n<p class=\"wp-block-paragraph\">Em todas as situa\u00e7\u00f5es de emerg\u00eancia, devem ser tomadas medidas imediatas para conter o incidente e os seus danos. <\/p>\n\n<h3 class=\"wp-block-heading\">Ac\u00e7\u00f5es imediatas<\/h3>\n\n<p class=\"wp-block-paragraph\">A resposta inicial a uma viola\u00e7\u00e3o de dados exige uma a\u00e7\u00e3o decisiva para a conter e avaliar o seu alcance. Isto pode incluir o isolamento de sistemas comprometidos, a revoga\u00e7\u00e3o de privil\u00e9gios de acesso e a prote\u00e7\u00e3o de \u00e1reas f\u00edsicas, se necess\u00e1rio. <\/p>\n\n<p class=\"wp-block-paragraph\">Uma avalia\u00e7\u00e3o preliminar da viola\u00e7\u00e3o de dados deve determinar o tipo e a extens\u00e3o dos dados comprometidos e se a viola\u00e7\u00e3o ainda est\u00e1 a decorrer. <\/p>\n\n<p class=\"wp-block-paragraph\">J\u00e1 deve ter um plano de viola\u00e7\u00e3o de dados, que tamb\u00e9m inclui os membros da equipa de resposta. Se ainda n\u00e3o o fez, \u00e9 \u00fatil reunir uma equipa de resposta que inclua membros dos departamentos de TI, jur\u00eddico e de comunica\u00e7\u00f5es e da gest\u00e3o de topo para gerir eficazmente a viola\u00e7\u00e3o. Esta equipa \u00e9 tamb\u00e9m respons\u00e1vel por documentar todas as medidas tomadas para atenuar a viola\u00e7\u00e3o, que ser\u00e3o utilizadas para fins de conformidade regulamentar e eventuais processos judiciais.<\/p>\n\n<h3 class=\"wp-block-heading\">Comunicar com as partes interessadas<\/h3>\n\n<p class=\"wp-block-paragraph\">No caos de uma viola\u00e7\u00e3o de dados, uma comunica\u00e7\u00e3o clara e transparente \u00e9 fundamental para a gerir de forma organizada. <\/p>\n\n<p class=\"wp-block-paragraph\">A n\u00edvel interno, os seus colegas devem ser informados da viola\u00e7\u00e3o e compreender o seu papel na resposta \u00e0 viola\u00e7\u00e3o de dados.<\/p>\n\n<p class=\"wp-block-paragraph\">A n\u00edvel externo, deve comunicar \u00e0s pessoas afectadas o mais rapidamente poss\u00edvel (se houver risco de consequ\u00eancias negativas) e cumprir os requisitos do RGPD previstos no artigo 34.<\/p>\n\n<p class=\"wp-block-paragraph\">Deve tamb\u00e9m colaborar com as autoridades de prote\u00e7\u00e3o de dados e ser transparente e cooperante, fornecendo todas as informa\u00e7\u00f5es necess\u00e1rias sobre a viola\u00e7\u00e3o e as medidas de resposta, seguindo os requisitos do artigo 33.<\/p>\n\n<h3 class=\"wp-block-heading\">Papel dos respons\u00e1veis pela prote\u00e7\u00e3o de dados (RPD)<\/h3>\n\n<p class=\"wp-block-paragraph\">Quando uma organiza\u00e7\u00e3o <a href=\"https:\/\/rgpd.com\/pt-pt\/visao-geral\/capitulo-4-responsavel-pelo-tratamento-e-subcontratante\/artigo-37-designacao-do-encarregado-da-protecao-de-dados\/\" data-type=\"page\" data-id=\"846\">nomeia um respons\u00e1vel pela prote\u00e7\u00e3o de dados<\/a>, esta pessoa tem v\u00e1rias fun\u00e7\u00f5es cr\u00edticas relativamente a uma viola\u00e7\u00e3o de dados. <\/p>\n\n<p class=\"wp-block-paragraph\">Durante uma viola\u00e7\u00e3o de dados pessoais, o RPD aconselha a equipa de resposta a cumprir o RGPD. Isto inclui garantir que as notifica\u00e7\u00f5es de viola\u00e7\u00e3o de dados enviadas \u00e0 autoridade de prote\u00e7\u00e3o de dados e aos indiv\u00edduos afectados est\u00e3o em conformidade com os requisitos do RGPD. O RPD pode ajudar a classificar os dados envolvidos na viola\u00e7\u00e3o, a avaliar os riscos potenciais para as pessoas e a avaliar a adequa\u00e7\u00e3o das medidas propostas ou aplicadas para resolver a viola\u00e7\u00e3o.<\/p>\n\n<p class=\"wp-block-paragraph\">O RPD pode tamb\u00e9m desempenhar um papel na comunica\u00e7\u00e3o interna e na coordena\u00e7\u00e3o com os departamentos de TI, jur\u00eddico e de comunica\u00e7\u00f5es, de modo a garantir uma estrat\u00e9gia de resposta conforme e que todas as ac\u00e7\u00f5es sejam documentadas com exatid\u00e3o.<\/p>\n\n<p class=\"wp-block-paragraph\">Depois de uma viola\u00e7\u00e3o ter sido gerida com seguran\u00e7a, o RPD deve colaborar com as partes interessadas internas relevantes para analisar o incidente, identificar as li\u00e7\u00f5es aprendidas e sugerir melhorias para evitar futuras viola\u00e7\u00f5es.<\/p>\n\n<h3 class=\"wp-block-heading\">Notifica\u00e7\u00f5es<\/h3>\n\n<h4 class=\"wp-block-heading\">Quando notificar as pessoas<\/h4>\n\n<p class=\"wp-block-paragraph\">Tal como referido anteriormente, o RGPD exige que notifique os titulares dos dados quando for prov\u00e1vel que a viola\u00e7\u00e3o represente um risco elevado para os direitos e liberdades dessas pessoas.<\/p>\n\n<p class=\"wp-block-paragraph\">Esta notifica\u00e7\u00e3o deve ser clara e concisa, explicando a natureza da viola\u00e7\u00e3o, as categorias de dados envolvidas, as potenciais consequ\u00eancias e as medidas adoptadas para resolver a viola\u00e7\u00e3o. <\/p>\n\n<p class=\"wp-block-paragraph\">O objetivo da notifica\u00e7\u00e3o \u00e9 garantir que as pessoas afectadas possam tomar as medidas adequadas para se protegerem de potenciais danos.<\/p>\n\n<p class=\"wp-block-paragraph\">A notifica\u00e7\u00e3o das pessoas permite-lhes, em primeiro lugar, tomar as precau\u00e7\u00f5es necess\u00e1rias caso os seus dados tenham sido comprometidos. Como j\u00e1 foi referido, uma viola\u00e7\u00e3o da seguran\u00e7a dos dados pessoais pode ter efeitos adversos significativos para as pessoas afectadas &#8211; como discrimina\u00e7\u00e3o, roubo ou fraude de identidade, perdas financeiras, danos \u00e0 reputa\u00e7\u00e3o, perda de confidencialidade de dados protegidos por sigilo ou qualquer outra desvantagem econ\u00f3mica ou social.<\/p>\n\n<p class=\"wp-block-paragraph\">O conceito de &#8220;alto risco&#8221; nos regulamentos de prote\u00e7\u00e3o de dados n\u00e3o est\u00e1 explicitamente definido. No entanto, de acordo com as directrizes de avalia\u00e7\u00e3o do risco, a gravidade das potenciais consequ\u00eancias e a probabilidade das implica\u00e7\u00f5es de uma viola\u00e7\u00e3o de dados para as pessoas contribuem para um n\u00edvel de risco mais elevado.<\/p>\n\n<p class=\"wp-block-paragraph\">Ao efetuar uma avalia\u00e7\u00e3o de risco, o respons\u00e1vel pelo tratamento de dados deve considerar todos os potenciais resultados e efeitos negativos para as pessoas. Isto inclui consequ\u00eancias &#8220;secund\u00e1rias&#8221; que podem ocorrer devido a uma viola\u00e7\u00e3o da seguran\u00e7a dos dados pessoais.<\/p>\n\n<p class=\"wp-block-paragraph\">Al\u00e9m disso, a notifica\u00e7\u00e3o deve ser feita independentemente do n\u00famero de pessoas afectadas, com base na potencial gravidade dos efeitos adversos. Esta abordagem garante que todos os potenciais impactos sobre os direitos e liberdades individuais s\u00e3o devidamente tidos em conta.<\/p>\n\n<h4 class=\"wp-block-heading\">Quando n\u00e3o notificar as pessoas<\/h4>\n\n<h5 class=\"wp-block-heading\">Uma viola\u00e7\u00e3o de dados n\u00e3o representa um risco elevado<\/h5>\n\n<p class=\"wp-block-paragraph\">N\u00e3o \u00e9 necess\u00e1rio notificar as pessoas afectadas nos casos em que se considere que uma viola\u00e7\u00e3o de dados n\u00e3o \u00e9 suscet\u00edvel de representar um risco elevado para os direitos e liberdades das pessoas.<\/p>\n\n<p class=\"wp-block-paragraph\">O \u00f3nus da prova para demonstrar que n\u00e3o existe um risco elevado recai sobre o respons\u00e1vel pelo tratamento dos dados. Devem poder justificar, se necess\u00e1rio, por exemplo durante um inqu\u00e9rito da Autoridade para a Prote\u00e7\u00e3o de Dados, a raz\u00e3o pela qual optaram por n\u00e3o notificar as pessoas afectadas.<\/p>\n\n<h5 class=\"wp-block-heading\">Medidas t\u00e9cnicas e organizativas adequadas<\/h5>\n\n<p class=\"wp-block-paragraph\">Se o respons\u00e1vel pelo tratamento de dados, depois de avaliar todas as potenciais consequ\u00eancias e impactos negativos de uma viola\u00e7\u00e3o de dados, concluir que a viola\u00e7\u00e3o \u00e9 suscet\u00edvel de implicar um risco elevado para os direitos e liberdades das pessoas, a a\u00e7\u00e3o padr\u00e3o \u00e9 notificar as pessoas afectadas. <\/p>\n\n<p class=\"wp-block-paragraph\">No entanto, a notifica\u00e7\u00e3o n\u00e3o \u00e9 necess\u00e1ria se o respons\u00e1vel pelo tratamento de dados tiver implementado medidas de prote\u00e7\u00e3o t\u00e9cnicas e organizacionais adequadas, como a cifragem, que tornem os dados pessoais inintelig\u00edveis para pessoas n\u00e3o autorizadas.<\/p>\n\n<p class=\"wp-block-paragraph\">Por exemplo, se um respons\u00e1vel pelo tratamento de dados perder um dispositivo port\u00e1til que contenha dados pessoais encriptados e a encripta\u00e7\u00e3o utilizada for suficientemente forte para n\u00e3o poder ser quebrada ou contornada durante um per\u00edodo significativo, e n\u00e3o houver probabilidade de desencripta\u00e7\u00e3o n\u00e3o autorizada &#8211; por exemplo, atrav\u00e9s da obten\u00e7\u00e3o da chave de encripta\u00e7\u00e3o &#8211; ent\u00e3o pode presumir-se que os dados pessoais est\u00e3o protegidos de tal forma que a viola\u00e7\u00e3o n\u00e3o representa provavelmente um risco elevado para os direitos e liberdades das pessoas. O respons\u00e1vel pelo tratamento dos dados tem o \u00f3nus da prova para justificar a sua decis\u00e3o de n\u00e3o notificar as pessoas afectadas.<\/p>\n\n<p class=\"wp-block-paragraph\">Nos casos em que se considere que uma viola\u00e7\u00e3o de dados tem um risco elevado de afetar negativamente os direitos e liberdades das pessoas, a a\u00e7\u00e3o padr\u00e3o \u00e9 notificar as pessoas afectadas. No entanto, a notifica\u00e7\u00e3o pode n\u00e3o ser exigida se existirem medidas t\u00e9cnicas e organizativas adequadas, como a cifragem, para tornar os dados pessoais inintelig\u00edveis para pessoas n\u00e3o autorizadas.<\/p>\n\n<p class=\"wp-block-paragraph\">Por exemplo, pode presumir-se que os dados pessoais est\u00e3o protegidos se um respons\u00e1vel pelo tratamento de dados perder um dispositivo port\u00e1til que contenha dados pessoais encriptados, se a encripta\u00e7\u00e3o for suficientemente robusta e se n\u00e3o houver probabilidade de desencripta\u00e7\u00e3o n\u00e3o autorizada (como a obten\u00e7\u00e3o da chave de encripta\u00e7\u00e3o).<\/p>\n\n<p class=\"wp-block-paragraph\">O respons\u00e1vel pelo tratamento de dados continuar\u00e1 a ser respons\u00e1vel por justificar a decis\u00e3o de n\u00e3o notificar as pessoas afectadas.<\/p>\n\n<h5 class=\"wp-block-heading\">Riscos n\u00e3o explorados<\/h5>\n\n<p class=\"wp-block-paragraph\">Suponhamos que ocorreu uma viola\u00e7\u00e3o de dados, mas que esta foi travada antes de poder ser explorada. Nesse caso, n\u00e3o \u00e9 necess\u00e1rio notificar as pessoas em causa. <\/p>\n\n<p class=\"wp-block-paragraph\">Por exemplo, suponhamos que um sistema inform\u00e1tico cria acidentalmente um acesso n\u00e3o autorizado a dados pessoais na Internet, mas \u00e9 imediatamente descoberto e o acesso \u00e9 bloqueado. Uma investiga\u00e7\u00e3o interna dos registos pode confirmar se apenas os utilizadores autorizados acederam aos dados durante a exposi\u00e7\u00e3o, o que determinaria se as pessoas foram ou n\u00e3o afectadas e se devem ser notificadas.<\/p>\n\n<h5 class=\"wp-block-heading\">Esfor\u00e7o desproporcionado<\/h5>\n\n<p class=\"wp-block-paragraph\">Em alguns casos, o respons\u00e1vel pelo tratamento de dados pode optar por n\u00e3o notificar diretamente cada indiv\u00edduo se o esfor\u00e7o necess\u00e1rio para o fazer for considerado desproporcionado em rela\u00e7\u00e3o \u00e0s circunst\u00e2ncias.<\/p>\n\n<p class=\"wp-block-paragraph\">A decis\u00e3o de notificar as pessoas sobre uma viola\u00e7\u00e3o de dados deve equilibrar a import\u00e2ncia de as informar com o esfor\u00e7o necess\u00e1rio. <\/p>\n\n<p class=\"wp-block-paragraph\">Por exemplo, uma empresa que perde o acesso a todos os dados dos clientes na sequ\u00eancia de um ataque de ransomware \u00e0 sua base de dados de clientes pode ser abrangida por esta exce\u00e7\u00e3o. Nesse cen\u00e1rio, se uma avalia\u00e7\u00e3o interna determinar que a notifica\u00e7\u00e3o individual exigiria um esfor\u00e7o excessivo, o respons\u00e1vel pelo tratamento de dados deve considerar medidas alternativas, como an\u00fancios p\u00fablicos para informar as pessoas afectadas.<\/p>\n\n<h3 class=\"wp-block-heading\">Responsabilidade e documenta\u00e7\u00e3o interna<\/h3>\n\n<p class=\"wp-block-paragraph\">As organiza\u00e7\u00f5es s\u00e3o obrigadas pelo RGPD a manter um registo de todas as viola\u00e7\u00f5es de dados, independentemente da sua dimens\u00e3o e gravidade. <\/p>\n\n<p class=\"wp-block-paragraph\">O registo interno das viola\u00e7\u00f5es de dados deve incluir os factos da viola\u00e7\u00e3o, os seus efeitos e as medidas de corre\u00e7\u00e3o tomadas. <\/p>\n\n<p class=\"wp-block-paragraph\">Esta documenta\u00e7\u00e3o tamb\u00e9m serve como uma ferramenta cr\u00edtica para aperfei\u00e7oar futuras estrat\u00e9gias e respostas de prote\u00e7\u00e3o de dados, porque ajuda as organiza\u00e7\u00f5es a analisar padr\u00f5es, identificar pontos fracos nas suas estrat\u00e9gias de prote\u00e7\u00e3o de dados e, em vez disso, implementar medidas mais eficazes.<\/p>\n\n<h2 class=\"wp-block-heading\">Consequ\u00eancias jur\u00eddicas de uma viola\u00e7\u00e3o de dados<\/h2>\n\n<p class=\"wp-block-paragraph\">As viola\u00e7\u00f5es de dados pessoais podem ter consequ\u00eancias jur\u00eddicas significativas, incluindo coimas e san\u00e7\u00f5es. No pior dos casos, uma organiza\u00e7\u00e3o pode ser multada em 20 milh\u00f5es de euros ou 4% das receitas anuais, consoante o valor mais elevado, e at\u00e9 ser condenada a pena de pris\u00e3o.<\/p>\n\n<p class=\"wp-block-paragraph\">Aos olhos do regulamento, qualquer viola\u00e7\u00e3o de dados \u00e9 pun\u00edvel, pelo que pode ser v\u00edtima de uma pirataria inform\u00e1tica e, ao mesmo tempo, ser multado pela autoridade de controlo por neglig\u00eancia. <\/p>\n\n<p class=\"wp-block-paragraph\">Isto pode parecer injusto \u00e0 primeira vista, mas <a href=\"https:\/\/rgpd.com\/pt-pt\/conformidade\/\" data-type=\"page\" data-id=\"5234\">a conformidade com o RGPD<\/a> exige que as organiza\u00e7\u00f5es implementem medidas t\u00e9cnicas e organizacionais adequadas para mitigar o risco de potenciais consequ\u00eancias negativas para os titulares dos dados. Se se verificar que essas medidas n\u00e3o estavam efetivamente em vigor quando ocorreu a viola\u00e7\u00e3o, a sua organiza\u00e7\u00e3o corre o risco de ser multada. <\/p>\n\n<p class=\"wp-block-paragraph\">A determina\u00e7\u00e3o de uma coima depende de v\u00e1rios factores, incluindo a natureza, a gravidade e a dura\u00e7\u00e3o da infra\u00e7\u00e3o, o car\u00e1cter intencional ou negligente da viola\u00e7\u00e3o e as ac\u00e7\u00f5es para atenuar os danos.<\/p>\n\n<h3 class=\"wp-block-heading\">Estudo de caso: Viola\u00e7\u00e3o de dados da Marriot International<\/h3>\n\n<p class=\"wp-block-paragraph\">Os piratas inform\u00e1ticos acederam aos sistemas de reservas das propriedades Starwood da Marriott, afectando at\u00e9 339 milh\u00f5es de h\u00f3spedes em 2018. <a href=\"https:\/\/www.google.com\/url?q=https:\/\/ico.org.uk\/media\/action-weve-taken\/mpns\/2618524\/marriott-international-inc-mpn-20201030.pdf&amp;sa=D&amp;source=docs&amp;ust=1708945104645216&amp;usg=AOvVaw3wn_WNz1Orr-ccjFDQxpF6\" data-type=\"link\" data-id=\"https:\/\/www.google.com\/url?q=https:\/\/ico.org.uk\/media\/action-weve-taken\/mpns\/2618524\/marriott-international-inc-mpn-20201030.pdf&amp;sa=D&amp;source=docs&amp;ust=1708945104645216&amp;usg=AOvVaw3wn_WNz1Orr-ccjFDQxpF6\" target=\"_blank\" rel=\"noreferrer noopener\">A Autoridade de Prote\u00e7\u00e3o de Dados do Reino Unido (ICO) anunciou inicialmente uma coima de 99 milh\u00f5es de libras, que acabou por ser reduzida para 18,4 milh\u00f5es de libras<\/a>. A viola\u00e7\u00e3o sublinhou a necessidade de uma dilig\u00eancia adequada em mat\u00e9ria de seguran\u00e7a inform\u00e1tica durante as fus\u00f5es e aquisi\u00e7\u00f5es.<\/p>\n\n<p class=\"wp-block-paragraph\">A Autoridade para a Prote\u00e7\u00e3o de Dados do Reino Unido aplicou a coima \u00e0 Marriot International e identificou quatro falhas da Mariott International que estiveram na origem da coima.<\/p>\n\n<h4 class=\"wp-block-heading\">1. Controlo insuficiente das contas privilegiadas<\/h4>\n\n<p class=\"wp-block-paragraph\">O intruso conseguiu aceder ao Ambiente de Dados do Titular do Cart\u00e3o do Marriot (CDE) tirando partido de uma falha anteriormente n\u00e3o identificada na aplica\u00e7\u00e3o da Autentica\u00e7\u00e3o Multi-Fator, que n\u00e3o foi aplicada a todas as contas e sistemas com acesso ao CDE. <\/p>\n\n<p class=\"wp-block-paragraph\">O seu fracasso a este respeito foi o facto de poderem ter sido mais eficazes no controlo das actividades dos utilizadores, especialmente daqueles com acesso de alto n\u00edvel. <\/p>\n\n<p class=\"wp-block-paragraph\">Esta falta de vigil\u00e2ncia detalhada e de registo nos seus sistemas dificultou a dete\u00e7\u00e3o de anomalias, tais como ac\u00e7\u00f5es n\u00e3o autorizadas no CDE. Esta omiss\u00e3o na monitoriza\u00e7\u00e3o e no registo tornou-os incapazes de identificar actividades invulgares nas contas e potenciais viola\u00e7\u00f5es.<\/p>\n\n<h4 class=\"wp-block-heading\">2. Controlo insuficiente das bases de dados<\/h4>\n\n<p class=\"wp-block-paragraph\">O controlo insuficiente das bases de dados no \u00e2mbito do CDE foi uma falha fundamental na prote\u00e7\u00e3o de dados da Marriott, tal como identificado pela autoridade de prote\u00e7\u00e3o de dados. H\u00e1 tr\u00eas raz\u00f5es principais para este facto:<\/p>\n\n<p class=\"wp-block-paragraph\">A configura\u00e7\u00e3o dos alertas de seguran\u00e7a da Marriott nas suas bases de dados era inadequada. Esta falha significava que o sistema n\u00e3o conseguia assinalar eficazmente actividades suspeitas no \u00e2mbito da CDE, o que teria sido fundamental para identificar potenciais viola\u00e7\u00f5es.<\/p>\n\n<p class=\"wp-block-paragraph\">Em segundo lugar, a Marriott deve ter agregado corretamente os registos de diferentes fontes. A agrega\u00e7\u00e3o de registos \u00e9 essencial para uma an\u00e1lise abrangente da atividade da rede, permitindo uma vis\u00e3o mais hol\u00edstica de potenciais amea\u00e7as \u00e0 seguran\u00e7a.<\/p>\n\n<p class=\"wp-block-paragraph\">Em terceiro lugar, o registo das actividades da Marriott no CDE era insuficiente, em especial no que se refere ao registo de ac\u00e7\u00f5es como a cria\u00e7\u00e3o de ficheiros e a exporta\u00e7\u00e3o de tabelas de bases de dados &#8211; esta falta de registo pormenorizado limitava a sua capacidade de detetar actividades invulgares ou n\u00e3o autorizadas nos seus sistemas.<\/p>\n\n<p class=\"wp-block-paragraph\">Estas tr\u00eas defici\u00eancias na monitoriza\u00e7\u00e3o da base de dados contribu\u00edram para o atraso na dete\u00e7\u00e3o e resposta da Marriott \u00e0 viola\u00e7\u00e3o de dados.<\/p>\n\n<h4 class=\"wp-block-heading\">3. Controlo dos sistemas cr\u00edticos<\/h4>\n\n<p class=\"wp-block-paragraph\">O controlo dos sistemas cr\u00edticos da Marriott foi considerado inadequado pela autoridade de prote\u00e7\u00e3o de dados devido a uma monitoriza\u00e7\u00e3o deficiente e a um endurecimento insuficiente dos servidores. <\/p>\n\n<p class=\"wp-block-paragraph\">N\u00e3o tinham implementado uma lista branca eficaz, o que teria restringido o acesso ao sistema a utilizadores ou endere\u00e7os IP autorizados. <\/p>\n\n<p class=\"wp-block-paragraph\">A implementa\u00e7\u00e3o da lista branca pela Marriott foi limitada e argumentou que era onerosa para os sistemas inform\u00e1ticos. No entanto, a coloca\u00e7\u00e3o em lista branca j\u00e1 era uma pr\u00e1tica bem estabelecida mesmo antes da era do RGPD. <\/p>\n\n<p class=\"wp-block-paragraph\">Al\u00e9m disso, a abordagem de seguran\u00e7a da Marriott carecia de uma estrat\u00e9gia abrangente de &#8220;defesa em profundidade&#8221; com prote\u00e7\u00e3o em camadas e monitoriza\u00e7\u00e3o das actividades da rede. <\/p>\n\n<h4 class=\"wp-block-heading\">4. Falta de encripta\u00e7\u00e3o<\/h4>\n\n<p class=\"wp-block-paragraph\">A Marriott centrou-se principalmente na conformidade com a norma PCI DSS (Payment Card Industry Data Security Standard) e argumentou que se tratava de uma abordagem baseada no risco, direccionando os esfor\u00e7os de seguran\u00e7a para as tabelas de bases de dados que cont\u00eam informa\u00e7\u00f5es sobre os titulares dos cart\u00f5es. No entanto, esta abordagem deu origem a incoer\u00eancias, como a cifragem de alguns n\u00fameros de passaporte, mas n\u00e3o de todos, ou de outras categorias de dados pessoais, que tamb\u00e9m necessitam de prote\u00e7\u00e3o.<\/p>\n\n<p class=\"wp-block-paragraph\">A exist\u00eancia de m\u00e9todos de desencripta\u00e7\u00e3o eficientes, tais como identificadores \u00fanicos e m\u00f3dulos de seguran\u00e7a de hardware, contradiz a afirma\u00e7\u00e3o da Marriott de que a encripta\u00e7\u00e3o extensiva era impratic\u00e1vel. Al\u00e9m disso, uma vulnerabilidade na sua base de dados de reservas de h\u00f3spedes comprometia a seguran\u00e7a oferecida pela encripta\u00e7\u00e3o, permitindo a desencripta\u00e7\u00e3o de entradas encriptadas. Este incidente p\u00f4s em evid\u00eancia as defici\u00eancias da abordagem da Marriott em mat\u00e9ria de prote\u00e7\u00e3o de dados pessoais.<\/p>\n\n<h4 class=\"wp-block-heading\">Resumo<\/h4>\n\n<p class=\"wp-block-paragraph\">Em suma, o estudo de caso da viola\u00e7\u00e3o de dados da Marriot International ilustra que \u00e9 necess\u00e1rio adotar uma abordagem rigorosa da seguran\u00e7a dos dados pessoais para cumprir o RGPD.<\/p>\n\n<p class=\"wp-block-paragraph\">Neste caso, o intruso acedeu aos sistemas da Marriot antes da entrada em vigor do RGPD, mas como n\u00e3o descobriram a viola\u00e7\u00e3o prontamente, foram considerados n\u00e3o conformes com o RGPD.<\/p>\n\n<h2 class=\"wp-block-heading\">O custo das viola\u00e7\u00f5es de dados<\/h2>\n\n<p class=\"wp-block-paragraph\">Para al\u00e9m dos danos imediatos para as pessoas cujos dados s\u00e3o comprometidos, as viola\u00e7\u00f5es de dados t\u00eam um custo para as empresas que sofrem a viola\u00e7\u00e3o de dados. <\/p>\n\n<p class=\"wp-block-paragraph\">A viola\u00e7\u00e3o m\u00e9dia de dados custa a uma empresa mais de 4 milh\u00f5es de euros, de acordo com o relat\u00f3rio da IBM &#8220;Cost of a Data Breach Report&#8221;. No entanto, o custo de uma viola\u00e7\u00e3o de dados pode variar substancialmente, dependendo de factores como o pa\u00eds onde ocorre a viola\u00e7\u00e3o, a dimens\u00e3o da empresa afetada, o sector a que pertence, a prontid\u00e3o da resposta ao incidente e a maturidade geral das medidas de seguran\u00e7a de TI da empresa.<\/p>\n\n<h3 class=\"wp-block-heading\">O custo do respons\u00e1vel pelo tratamento de dados<\/h3>\n\n<p class=\"wp-block-paragraph\">O rescaldo de uma viola\u00e7\u00e3o exige investiga\u00e7\u00f5es, esfor\u00e7os de conten\u00e7\u00e3o, restauro do sistema e, frequentemente, a contrata\u00e7\u00e3o de especialistas externos em ciberseguran\u00e7a. Estas despesas aumentam rapidamente.<\/p>\n\n<p class=\"wp-block-paragraph\">Uma organiza\u00e7\u00e3o corre o risco de ser multada se a causa da viola\u00e7\u00e3o de dados for neglig\u00eancia. Os regulamentos de prote\u00e7\u00e3o de dados, como o RGPD, imp\u00f5em san\u00e7\u00f5es significativas em caso de incumprimento, que podem ir at\u00e9 4% das receitas globais de uma organiza\u00e7\u00e3o ou 20 milh\u00f5es de euros.<\/p>\n\n<p class=\"wp-block-paragraph\">As pessoas afectadas por uma viola\u00e7\u00e3o de dados podem ter direito a uma indemniza\u00e7\u00e3o se sofrerem perdas financeiras ou danos na sua reputa\u00e7\u00e3o, o que tamb\u00e9m pode levar a disputas legais dispendiosas se estas forem contestadas.<\/p>\n\n<p class=\"wp-block-paragraph\">As viola\u00e7\u00f5es de dados afectam frequentemente as opera\u00e7\u00f5es comerciais e provocam per\u00edodos de inatividade e perda de produtividade. Por vezes, pode afetar negativamente as vendas, se afetar os processos de venda, os prazos de entrega ou similares.<\/p>\n\n<p class=\"wp-block-paragraph\">Talvez o custo mais insidioso seja a eros\u00e3o da confian\u00e7a. Uma viola\u00e7\u00e3o de dados pode manchar a reputa\u00e7\u00e3o de uma marca, dissuadindo clientes actuais e potenciais. Esta perda de confian\u00e7a pode prolongar-se e afetar os resultados da empresa durante anos.<\/p>\n\n<p class=\"wp-block-paragraph\">O custo total de uma viola\u00e7\u00e3o de dados varia consoante a escala e a gravidade, mas mesmo as viola\u00e7\u00f5es menores podem revelar-se financeiramente devastadoras. Medidas proactivas como protocolos robustos de ciberseguran\u00e7a, <a href=\"https:\/\/rgpd.com\/pt-pt\/formacao-de-sensibilizacao\/\" data-type=\"page\" data-id=\"6950\">forma\u00e7\u00e3o de sensibiliza\u00e7\u00e3o dos funcion\u00e1rios para a seguran\u00e7a<\/a> e planeamento da resposta a incidentes s\u00e3o investimentos b\u00e1sicos que reduzem os custos potenciais das viola\u00e7\u00f5es de dados.<\/p>\n\n<h2 class=\"wp-block-heading\">Resumo<\/h2>\n\n<p class=\"wp-block-paragraph\">Neste artigo, ficou a saber o que \u00e9 uma viola\u00e7\u00e3o de dados pessoais em rela\u00e7\u00e3o ao RGPD, como identificar uma viola\u00e7\u00e3o de dados na pr\u00e1tica, como avaliar uma viola\u00e7\u00e3o e como responder em conformidade com o RGPD. Tamb\u00e9m explor\u00e1mos casos de viola\u00e7\u00f5es de dados e os custos de uma viola\u00e7\u00e3o de dados para a sua organiza\u00e7\u00e3o.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sabe o que \u00e9 uma viola\u00e7\u00e3o de dados e como atuar perante ela? <\/p>\n<p> N\u00e3o se preocupe; descobrir\u00e1 em pormenor com este artigo exaustivo com mais de 5.000 palavras.<\/p>\n<p>As viola\u00e7\u00f5es de dados est\u00e3o a aumentar \u00e0 medida que mais e mais dados s\u00e3o criados, mais pessoas acedem \u00e0 Internet e mais dispositivos s\u00e3o utilizados. At\u00e9 as &#8220;coisas&#8221; est\u00e3o cada vez mais ligadas \u00e0 Internet, o que se designa por &#8220;Internet das Coisas&#8221; (IoT).<\/p>\n<p>Esta tend\u00eancia aumenta o risco de erros e a possibilidade de agentes maliciosos explorarem os dados de outros para seu proveito.<\/p>\n<p>Quer seja propriet\u00e1rio de uma empresa, um profissional de TI ou simplesmente um indiv\u00edduo preocupado com a sua privacidade, este artigo tem algo para todos.<\/p>\n","protected":false},"author":1,"featured_media":10186,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"class_list":["post-10197","page","type-page","status-publish","has-post-thumbnail","hentry"],"_links":{"self":[{"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/pages\/10197","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/comments?post=10197"}],"version-history":[{"count":0,"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/pages\/10197\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/media\/10186"}],"wp:attachment":[{"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/media?parent=10197"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}