Orientações em matéria de proteção de dados – Pergunta 11
Que fazer em caso de violação de dados pessoais?
Aplicável no segundo cenário, exceto no que diz respeito à utilização do serviço de intercâmbio de ficheiros da Comissão
Por violação de dados pessoais, entende-se uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, perda, alteração ou divulgação não autorizada de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento ou o acesso não autorizado a esses dados.
Notificação da violação de dados
Em caso de violação de dados pessoais, o representante do grupo de organizadores deve, sem demora e em princípio no prazo de 72 horas após ter tido conhecimento da violação, notificar desse facto a autoridade para a proteção de dados competente, salvo se essa violação não for suscetível de constituir um risco para os direitos e para as liberdades das pessoas singulares.
A notificação deve incluir, pelo menos:
- uma descrição da violação de dados, incluindo o número de subscritores afetados e as categorias de dados em causa
- o nome e os contactos do encarregado da proteção de dado (ou outro ponto de contacto relevante)
- as consequências prováveis da violação de dados após análise
- as eventuais medidas tomadas pelo responsável pelo tratamento para sanar ou atenuar a violação de dados
Se não for possível transmitir estas informações ao mesmo tempo, podem ser transmitidas por fases o mais rapidamente possível.
O representante também deve documentar os factos, os seus efeitos e as medidas corretivas já tomadas (ou a tomar urgentemente, transmitindo o respetivo planeamento).
Riscos para os direitos e liberdades
Além disso, no caso de a violação de dados implicar um elevado risco para os direitos e liberdades dos subscritores, estes devem ser devidamente informados, exceto se:
- as medidas aplicadas (como a cifragem, desde que a chave não fique comprometida) tiverem tornado os dados ininteligíveis ou garantirem que os riscos não são passíveis de se materializar ou
- a comunicação aos subscritores implicar esforços desproporcionados (neste caso, pode ser feito um aviso ao público sobre a violação de dados a fim de informar os subscritores)
IMPORTANTE:
No caso do tratamento de dados no âmbito de um acordo de partilha de responsabilidade com a Comissão, a menos que a violação de dados seja imputável à conduta dos membros do grupo de organizadores, as obrigações acima referidas são cumpridas pela Comissão. O grupo de organizadores deve assistir a Comissão, se necessário e na medida do possível, na gestão das violações de dados pessoais.
Referências:
- Artigos 33.º e 34.º do RGPD
- Perguntas frequentes da Comissão sobre a proteção de dados: «O que é uma violação de dados e o que deve ser feito caso ocorra?»