O RGPD define «Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

Uma violação de dados pessoais pode, se não for resolvida de forma adequada e atempada, causar danos físicos, patrimoniais ou não patrimoniais aos titulares dos dados, tais como:

• perda do controle sobre os seus dados pessoais ou limitação dos seus direitos;
• discriminação;
• roubo de identidade ou fraude;
• Perda financeira;
• danos de reputação;
• perda de confidencialidade dos dados pessoais protegidos pelo sigilo profissional;
• qualquer outra desvantagem económica ou social significativa para a pessoa em causa
  

CAUSAS:

Violações, acesso não autorizado ou divulgação não intencionais de informações podem ocorrer como resultado de:

• destruição inadequada de equipamentos ou documentos;
• equipamentos ou documentos perdidos ou roubados (que não possuem a proteção adequada);
• controlos de acesso ineficientes / ineficazes (incluindo acesso físico);
• governança de dados ineficiente / ineficaz (arquivamento inadequado, dados desatualizados, etc.);
• proteção inadequada contra ameaças cibernéticas – vírus e phishing;
• transmissões desprotegidas (e-mail, videoconferências, etc.);
• insuficiência ou falta de políticas, procedimentos, controlos;
• falhas de equipamentos;
• funcionários com falta de formação na área, inconscientes, negligentes ou até mesmo “mal-intencionados”
  

RESPOSTA

Deve verificar-se se foram implementadas todas as medidas de proteção e organização tecnológicas adequadas para determinar imediatamente se ocorreu uma violação de dados pessoais e notificar prontamente a autoridade de controlo e, quando necessário, a pessoa em causa.

Quando for detetada uma violação, dependendo das circunstâncias, a resposta a este tipo de incidente pode passar por:

• juntar uma equipa que será responsável por investigar e gerir o incidente;
• determinar quais os dados pessoais que foram comprometidos;
• identificar circunstâncias atenuantes – por ex., os dados estavam encriptados?;
• proteger sistemas e redes afetadas, para contenção do incidente;
• notificar a autoridade de controlo;
• notificar os órgãos de polícia criminal;
• notificar terceiros que possam ter sido afetados – se, por exemplo, estiverem em causa informações financeiras, as organizações devem notificar os bancos, emissores de cartões de crédito e outras instituições afetadas;
• comunicar com os indivíduos cujos dados pessoais foram comprometidos.

NOTIFICAÇÃO À AUTORIDADE DE CONTROLO

Em caso de violação de dados pessoais, o responsável pelo tratamento notifica esse facto à autoridade de controlo, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, deve ser acompanhada dos motivos do atraso.

COMUNICAÇÃO AOS TITULARES DE DADOS

Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada.

Informar as pessoas sobre uma violação não é um fim em si mesmo. A comunicação deve ter um objetivo claro, seja para permitir que indivíduos afetados tomem medidas para se protegerem ou para fornecer conselhos e lidar com as reclamações. Nem todas as violações obrigam necessariamente à comunicação com os titulares. A autoridade de controlo ​​pode fornecer orientações a esse respeito.