O RGPD define «Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
Uma violação de dados pessoais pode, se não for resolvida de forma adequada e atempada, causar danos físicos, patrimoniais ou não patrimoniais aos titulares dos dados, tais como:
- perda do controle sobre os seus dados pessoais ou limitação dos seus direitos;
- discriminação;
- roubo de identidade ou fraude;
- Perda financeira;
- danos de reputação;
- perda de confidencialidade dos dados pessoais protegidos pelo sigilo profissional;
- qualquer outra desvantagem económica ou social significativa para a pessoa em causa
CAUSAS:
Violações, acesso não autorizado ou divulgação não intencionais de informações podem ocorrer como resultado de:
- destruição inadequada de equipamentos ou documentos;
- equipamentos ou documentos perdidos ou roubados (que não possuem a proteção adequada);
- controlos de acesso ineficientes / ineficazes (incluindo acesso físico);
- governança de dados ineficiente / ineficaz (arquivamento inadequado, dados desatualizados, etc.);
- proteção inadequada contra ameaças cibernéticas – vírus e phishing;
- transmissões desprotegidas (e-mail, videoconferências, etc.);
- insuficiência ou falta de políticas, procedimentos, controlos;
- falhas de equipamentos;
- funcionários com falta de formação na área, inconscientes, negligentes ou até mesmo “mal-intencionados”
RESPOSTA
Deve verificar-se se foram implementadas todas as medidas de proteção e organização tecnológicas adequadas para determinar imediatamente se ocorreu uma violação de dados pessoais e notificar prontamente a autoridade de controlo e, quando necessário, a pessoa em causa.
Quando for detetada uma violação, dependendo das circunstâncias, a resposta a este tipo de incidente pode passar por:
- juntar uma equipa que será responsável por investigar e gerir o incidente;
- determinar quais os dados pessoais que foram comprometidos;
- identificar circunstâncias atenuantes – por ex., os dados estavam encriptados?;
- proteger sistemas e redes afetadas, para contenção do incidente;
- notificar a autoridade de controlo;
- notificar os órgãos de polícia criminal;
- notificar terceiros que possam ter sido afetados – se, por exemplo, estiverem em causa informações financeiras, as organizações devem notificar os bancos, emissores de cartões de crédito e outras instituições afetadas;
- comunicar com os indivíduos cujos dados pessoais foram comprometidos.
NOTIFICAÇÃO À AUTORIDADE DE CONTROLO
Em caso de violação de dados pessoais, o responsável pelo tratamento notifica esse facto à autoridade de controlo, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, deve ser acompanhada dos motivos do atraso.
COMUNICAÇÃO AOS TITULARES DE DADOS
Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada.
Informar as pessoas sobre uma violação não é um fim em si mesmo. A comunicação deve ter um objetivo claro, seja para permitir que indivíduos afetados tomem medidas para se protegerem ou para fornecer conselhos e lidar com as reclamações. Nem todas as violações obrigam necessariamente à comunicação com os titulares. A autoridade de controlo pode fornecer orientações a esse respeito.