Ir para o conteúdo principal
Bandeira da União Europeia
português
Iniciativa de cidadania europeia

Orientações em matéria de proteção de dados – Pergunta 11

Voltar à página principal das orientações em matéria de proteção de dados destinadas aos organizadores

 

Orientações em matéria de proteção de dados – Pergunta 11

Que fazer em caso de violação de dados pessoais?  

Aplicável no segundo cenário, exceto no que diz respeito à utilização do serviço de intercâmbio de ficheiros da Comissão

Por violação de dados pessoais, entende-se uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, perda, alteração ou divulgação não autorizada de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento ou o acesso não autorizado a esses dados.

Notificação da violação de dados

Em caso de violação de dados pessoais, o representante do grupo de organizadores deve, sem demora e em princípio no prazo de 72 horas após ter tido conhecimento da violação, notificar desse facto a autoridade para a proteção de dados competente, salvo se essa violação não for suscetível de constituir um risco para os direitos e para as liberdades das pessoas singulares.

A notificação deve incluir, pelo menos:

  • uma descrição da violação de dados, incluindo o número de subscritores afetados e as categorias de dados em causa
  • o nome e os contactos do encarregado da proteção de dado (ou outro ponto de contacto relevante)
  • as consequências prováveis da violação de dados após análise
  • as eventuais medidas tomadas pelo responsável pelo tratamento para sanar ou atenuar a violação de dados

Se não for possível transmitir estas informações ao mesmo tempo, podem ser transmitidas por fases o mais rapidamente possível.

O representante também deve documentar os factos, os seus efeitos e as medidas corretivas já tomadas (ou a tomar urgentemente, transmitindo o respetivo planeamento).

Riscos para os direitos e liberdades

Além disso, no caso de a violação de dados implicar um elevado risco para os direitos e liberdades dos subscritores, estes devem ser devidamente informados, exceto se:

  • as medidas aplicadas (como a cifragem, desde que a chave não fique comprometida) tiverem tornado os dados ininteligíveis ou garantirem que os riscos não são passíveis de se materializar ou
  • a comunicação aos subscritores implicar esforços desproporcionados (neste caso, pode ser feito um aviso ao público sobre a violação de dados a fim de informar os subscritores)

IMPORTANTE: 

No caso do tratamento de dados no âmbito de um acordo de partilha de responsabilidade com a Comissão, a menos que a violação de dados seja imputável à conduta dos membros do grupo de organizadores, as obrigações acima referidas são cumpridas pela Comissão. O grupo de organizadores deve assistir a Comissão, se necessário e na medida do possível, na gestão das violações de dados pessoais.

Referências:

Deseja aprender e colaborar?
Participe no fórum