Gestão de Incidentes de Violações de Dados Pessoais

O RGPD define «Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

Uma violação de dados pessoais pode, se não for resolvida de forma adequada e atempada, causar danos físicos, patrimoniais ou não patrimoniais aos titulares dos dados, tais como:

  • perda do controle sobre os seus dados pessoais ou limitação dos seus direitos;
  • discriminação;
  • roubo de identidade ou fraude;
  • Perda financeira;
  • danos de reputação;
  • perda de confidencialidade dos dados pessoais protegidos pelo sigilo profissional;
  • qualquer outra desvantagem económica ou social significativa para a pessoa em causa

CAUSAS:

Violações, acesso não autorizado ou divulgação não intencionais de informações podem ocorrer como resultado de:

  • destruição inadequada de equipamentos ou documentos;
  • equipamentos ou documentos perdidos ou roubados (que não possuem a proteção adequada);
  • controlos de acesso ineficientes / ineficazes (incluindo acesso físico);
  • governança de dados ineficiente / ineficaz (arquivamento inadequado, dados desatualizados, etc.);
  • proteção inadequada contra ameaças cibernéticas – vírus e phishing;
  • transmissões desprotegidas (e-mail, videoconferências, etc.);
  • insuficiência ou falta de políticas, procedimentos, controlos;
  • falhas de equipamentos;
  • funcionários com falta de formação na área, inconscientes, negligentes ou até mesmo “mal-intencionados”

RESPOSTA

Deve verificar-se se foram implementadas todas as medidas de proteção e organização tecnológicas adequadas para determinar imediatamente se ocorreu uma violação de dados pessoais e notificar prontamente a autoridade de controlo e, quando necessário, a pessoa em causa.

Quando for detetada uma violação, dependendo das circunstâncias, a resposta a este tipo de incidente pode passar por:

  • juntar uma equipa que será responsável por investigar e gerir o incidente;
  • determinar quais os dados pessoais que foram comprometidos;
  • identificar circunstâncias atenuantes – por ex., os dados estavam encriptados?;
  • proteger sistemas e redes afetadas, para contenção do incidente;
  • notificar a autoridade de controlo;
  • notificar os órgãos de polícia criminal;
  • notificar terceiros que possam ter sido afetados – se, por exemplo, estiverem em causa informações financeiras, as organizações devem notificar os bancos, emissores de cartões de crédito e outras instituições afetadas;
  • comunicar com os indivíduos cujos dados pessoais foram comprometidos.

NOTIFICAÇÃO À AUTORIDADE DE CONTROLO

Em caso de violação de dados pessoais, o responsável pelo tratamento notifica esse facto à autoridade de controlo, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, deve ser acompanhada dos motivos do atraso.

COMUNICAÇÃO AOS TITULARES DE DADOS

Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada.

Informar as pessoas sobre uma violação não é um fim em si mesmo. A comunicação deve ter um objetivo claro, seja para permitir que indivíduos afetados tomem medidas para se protegerem ou para fornecer conselhos e lidar com as reclamações. Nem todas as violações obrigam necessariamente à comunicação com os titulares. A autoridade de controlo ​​pode fornecer orientações a esse respeito.