
O que é uma violação de dados pessoais para o RGPD ?
O RGPD (Regulamento Geral de Proteção de Dados) introduz em todas as organizações o dever de reportar certos tipos de violação de dados à entidade supervisora de cada país e aos indivíduos afetados consoante determinadas condições. Uma violação de dados consiste numa falha de segurança que pode levar à destruição, perda, alteração, divulgação não autorizada, ou acesso a dados pessoais. Isto significa que uma violação de dados pessoais é mais do que perder apenas dados pessoais.
A autoridade supervisora só tem de ser notificada de uma violação de dados pessoais se essa falha apresentar riscos para os direitos e liberdades dos indivíduos. Nomeadamente, provocar efeitos de detrimento como descriminação, ameaça à reputação, perda financeira, perda de confidencialidade ou qualquer outra desvantagem social ou económica significativa. Este processo tem de ser tratado caso a caso. Como exemplo, a entidade supervisora terá de ser notificada de perda de dados de clientes quando essa perda colocar indivíduos sob risco de roubo de identidade. Por outro lado, a perda ou alteração não adequada de uma lista de telefones de empregados, por exemplo, não será normalmente motivo para notificação. Quando a violação resultar num elevado risco para os direitos e liberdades dos indivíduos, estes também terão de ser notificados diretamente. Um ‘elevado risco’ significa que o risco para notificar os indivíduos é mais elevado do que para notificar a autoridade supervisora.
Que tipo de informação deve constar numa notificação de violação de dados pessoais ?
- A natureza da violação de dados pessoais.
- As categorias e número aproximado de indivíduos afetados, se possível.
- As categorias e número aproximado de registos de dados pessoais afetados, se possível.
- O nome e os detalhes de contacto do Encarregado e Proteção de Dados (caso a organização tenha um) ou outros contactos que possam ser utilizados para obter informação.
- Uma descrição das prováveis consequências da violação de dados pessoais.
- Uma descrição das medidas tomadas ou propostas para lidar com a violação de dados pessoais, e se apropriado, as medidas para mitigar possíveis efeitos adversos.
Uma violação de dados pessoais que tenha de ser notificada deverá ser reportada à entidade supervisora num prazo de 72 horas após a organização ter tido conhecimento da mesma. No entanto, o RGPD permite que esta comunicação seja feita em fases (devidamente justificado) tendo em conta que será muito provavelmente impossível investigar uma violação de dados neste período de tempo. Se a violação de dados for suficientemente séria para assegurar a sua divulgação pública, a organização responsável deve fazê-lo sem qualquer demora. A falha no cumprimento destes procedimentos significa a aplicação das multas que estão regulamentadas.
A “Proteção de Dados” tem estado a desenvolver um profundo conhecimento desta matéria e presta serviços de consultoria e implementação do RGPD à medida de cada empresa. Por outro lado, conscientes das dificuldades de orçamento com que se debate a maioria do tecido empresarial português, está disponível um workshop cujo tema é “Aprenda a implementar o RGPD”. O desafio deste evento é fazer com que os participantes voltem às suas empresas e iniciem o processo interno de implementação do RGPD.