Resposta

Uma violação de dados ocorre quando a sua empresa/organização sofre um incidente de segurança relativo aos dados pelos quais é responsável que resulta numa violação da confidencialidade, da disponibilidade ou da integridade dos dados. Se tal ocorrer, e se a violação for suscetível de representar um risco para os direitos e as liberdades de uma pessoa, a sua empresa/organização tem de notificar a autoridade de controlo sem demora injustificada e, o mais tardar, no prazo de 72 horas após tomar conhecimento da violação. Se a sua empresa/organização for um subcontratante, tem de notificar todas as violações de dados ao responsável pelo tratamento.

Se a violação de dados representar um elevado risco para aspessoas afetadas, estas devem também ser informadas (a menos que existam medidas de proteção técnicas e organizativas eficazes ou outras medidas destinadas a garantir que não é provável que o risco se volte a concretizar).

Enquanto organização, é fundamental aplicar medidas técnicas e organizativas adequadas para evitar possíveis violações de dados.

Exemplos

A organização deve notificar a APD e as pessoas
Os dados dos trabalhadores de uma empresa têxtil foram divulgados. Incluem os seus endereços pessoais, a composição do agregado familiar, o salário mensal e os pedidos de reembolso de despesas médicas de todos os trabalhadores. Neste caso, a empresa têxtil tem de informar a autoridade de controlo sobre a violação. Uma vez que os dados pessoais incluem dados sensíveis, incluindo dados de saúde, a empresa tem de notificar também os trabalhadores.

Um trabalhador de um hospital decide copiar os dados dos doentes para um CD e publicá-los em linha. O hospital descobre o que aconteceu alguns dias depois. Assim que o hospital toma conhecimento do sucedido, tem 72 horas para informar a autoridade de controlo e, uma vez que os dados pessoais em causa contêm informações sensíveis, nomeadamente se um doente tem cancro, se uma mulher está grávida, etc., tem de informar também os doentes. Neste caso, existe a dúvida sobre se o hospital aplicou medidas de proteção técnicas e organizativas adequadas. Caso tivesse aplicado medidas de proteção adequadas (por exemplo, cifragem de dados), a existência de um  risco material seria improvável e o hospital poderia isentar-se da obrigação de notificar os doentes.

A empresa deve notificar os clientes e estes poderão, por sua vez, ter de notificar a APD e o titular dos dados
Um serviço em nuvem perde vários discos rígidos que contêm dados pessoais pertencentes a vários dos seus clientes. Tem de notificar esses clientes assim que tome conhecimento da violação. Os seus clientes têm de notificar a APD e o titular dos dados, consoante os dados que tenham sido tratados pelo subcontratante.

Referências

  • Grupo do Artigo 29.º para a Proteção de Dados, Orientações sobre a notificação da violação de dados pessoais nos termos do Regulamento 2016/679, 3 de outubro de 2017 (WP 250)
  • Artigo 4.º, ponto 12, e artigos 33.º e 34.º e considerandos 85 a 88 do RGPD