ABC do RGPD – Parte 14 – Violações de Dados Pessoais

Segundo a definição do artigo 4.º do RGPD «Violação de dados pessoais», é uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

Uma violação de dados pessoais pode ocorrer na sequência de:

• Acesso malicioso ou não autorizado à rede;
• Acesso malicioso ou não autorizado a um dispositivo;
• Um acesso indevido aos dados (causado ou não por um acesso malicioso ou não autorizado);
• Uma divulgação em massa de dados pessoais por causa de um acesso indevido ou um incidente;
• Envio de dados pessoais ao titular errado;
• Roubo de um PC/dispositivo (encriptado ou não);
• Alteração de dados pessoais sem autorização do titular dos dados.

Os Responsáveis de Tratamento devem possuir mecanismos que permitam detetar a existência de um destes incidentes no mais curto prazo de tempo, devendo existir um procedimento de comunicação à Comissão Nacional de Proteção de Dados (CNPD) num prazo máximo de 72 horas e a cada um dos titulares de dados, se a violação de dados implicar um risco grave para os seus direitos, liberdades e garantias.

A comunicação aos titulares de dados pode ser feita por email, carta ou pelo website da empresa, caso não seja possível fazê-lo por nenhuma das outras vias. Pode, caso o número de titulares envolvidos e a dimensão do incidente o justifique, ser feita mediante comunicado de imprensa ou o dependendo da dimensão do incidente.

Para mais informações acerca deste tema contacte-nos.