When do you need to notify a data breach?

Os dados pessoais que trata foram perdidos, roubados ou comprometidos?

Is the processing likely to result in high risks?

Do any exceptions apply?

It’s important that you notify the competent data protection authority (DPA) within 72h.

If the data breach affects individuals in more than one country across Europe, you need to notify the lead DPA.

Is the data breach likely to result in a high risk to individuals’ rights and freedoms?

Do I need to carry out a DPIA?

Yes, you need to carry out the DPIA

Any high risks remaining after the DPIA?

Do I need to carry out a DPIA?

No personal data breach has occurred.

Consult your Data Protection Authority

You don’t need to notify the data protection authority or individuals.

You need to document all data breaches in a record.

As violações de dados podem ter um impacto negativo na sua organização. Desde perdas financeiras a multas, a um declínio da confiança dos clientes, o impacto das violações de dados pode ser enorme. É por isso que é essencial aplicar boas práticas e procedimentos de cibersegurança para prevenir incidentes de segurança. Apesar disso, poderá ainda sofrer uma violação de dados que poderá ter de notificar à respetiva autoridade de proteção de dados (APD) ou comunicar às pessoas afetadas.

O que é uma «violação de dados pessoais»

Uma violação de dados pessoais significa «uma violação da segurança que conduz à destruição acidental ou ilícita, perda, alteração, divulgação ou acesso não autorizado de dados pessoais».

As organizações devem estar cientes de que uma violação de dados pessoais pode abranger muito mais do que apenas «perder» dados pessoais. Inclui incidentes que afetam a confidencialidade, integridade ou disponibilidade dos dados pessoais. É importante ressaltar que as violações de dados pessoais incluem incidentes de segurança que são o resultado de ambos os acidentes (como o envio de uma mensagem de correio eletrónico para o destinatário errado, a perda de uma chave USB que contém dados dos clientes, ou o apagamento acidental de dados médicos para os quais não está disponível qualquer cópia de segurança), bem como atos deliberados (como ataques de phishing para obter acesso aos dados dos clientes).

Por outras palavras, isto inclui situações como quando alguém acede a dados pessoais ou os transmite sem a devida autorização, ou quando os dados pessoais ficam indisponíveis devido a encriptação por ransomware, ou perda ou destruição acidental. Embora todas as violações de dados pessoais sejam incidentes de segurança, nem todos os incidentes de segurança são necessariamente violações de dados pessoais (uma vez que pode não haver quaisquer dados pessoais envolvidos num determinado incidente de segurança).

Obrigações dos responsáveis pelos tratamentos de dados

Se a sua PME for responsável pelo tratamento de dados, existem três princípios fundamentais relativos às violações de dados:

  1. a documentação de quaisquer violações de dados pessoais;
  2. a notificação de qualquer violação de dados pessoais à autoridade de proteção de dados (APD) competente, no prazo de 72 horas, a menos que seja improvável que a violação resulte num risco para as pessoas; e
  3. a comunicação dessa violação às pessoas singulares sem demora injustificada, quando a violação for suscetível de implicar um elevado risco para as pessoas.

É da maior importância que os responsáveis pelos tratamentos de dados compreendam e cumpram estas obrigações e apliquem antecipadamente os procedimentos adequados que lhes permitam determinar objetivamente, em tempo útil, se alguma das notificações acima mencionadas é necessária.

Em qualquer caso, para todas as violações — mesmo aquelas que não são notificadas a uma APD, com base no facto de terem sido avaliadas como sendo pouco suscetíveis de implicar um risco — o responsável pelo tratamento deve registar, pelo menos, os elementos básicos da violação, a sua avaliação, os seus efeitos e as medidas tomadas em resposta, conforme exigido pelo artigo 33.º, n.º 5, do RGPD.

O que fazer e como agir?

Notificação de violação de dados à APD competente

De acordo com o artigo 33.º, n.º 1, do RGPD, todas as violações de dados devem ser notificadas à APD competente, exceto as que não apresentem qualquer risco para os indivíduos. Para facilitar esta notificação, as APD têm procedimentos ou formulários online para o orientar passo-a-passo e garantir que fornece todas as informações necessárias.

Se a violação ocorrer no contexto de um tratamento transfronteiriço e for necessária notificação, o responsável pelo tratamento de dados, se estiver estabelecido no EEE, terá de notificar a APD principal. Assim, ao elaborar o seu plano de resposta a violações, o responsável pelo tratamento de dados deve avaliar desde logo qual é a APD principal que terá de notificar. Se o responsável pelo tratamento de dados tiver dúvidas sobre qual é a APD principal, deve, no mínimo, notificar a APD local onde ocorreu a violação.

Sempre que seja necessária uma notificação, esta deve ser efetuada o mais rapidamente possível e no prazo de 72 horas após ter tido conhecimento da infração. Caso tal não seja possível, será necessária uma justificação para o atraso. Deve considerar-se que uma organização tomou «conhecimento», quando existe um grau razoável de certeza de que ocorreu um incidente de segurança e comprometeu dados pessoais.

A fim de poder demonstrar à APD competente quando e de que forma foi tido conhecimento de uma violação de dados pessoais, recomenda-se que todas as organizações, no âmbito dos seus procedimentos internos em matéria de violações de dados pessoais, disponham de um sistema para registar como e quando tomam conhecimento das violações de dados pessoais e como avaliaram o potencial risco que a violação representa.

Se não for possível fornecer todas as informações relevantes à APD no prazo de 72 horas, a notificação deve ser efetuada em várias etapas. A notificação inicial deve ser apresentada e podem ser fornecidas informações complementares por fases.

Do mesmo modo, de acordo com o artigo 33.º, n.º 2, do RGPD, se a sua PME for um subcontratante de dados que trate dados pessoais em nome de outra organização, deve notificar o responsável pelo tratamento de qualquer violação de dados pessoais sem demora injustificada. Este aspeto é fundamental para permitir que o responsável pelo tratamento de dados cumpra as suas obrigações de notificação em tempo útil. Os requisitos em matéria de comunicação de violações também devem ser pormenorizados no contrato entre o responsável pelo tratamento e o subcontratante, tal como exigido pelo artigo 28.º do RGPD.

A notificação de uma violação de dados pessoais à APD em causa deve, pelo menos:

  • descrever a natureza da violação de dados pessoais, incluindo, sempre que possível, as categorias e o número aproximado de pessoas em causa, bem como as categorias e o número aproximado de registos de dados pessoais em causa;
  • comunicar o nome e os dados de contacto do encarregado da proteção de dados (EPD) ou de outro ponto de contacto onde possam ser obtidas mais informações;
  • descrever as consequências prováveis da violação de dados pessoais; e
  • descrever as medidas tomadas ou propostas pela PME para combater a violação de dados pessoais, incluindo, se for caso disso, medidas para atenuar os seus eventuais efeitos adversos.

Comunicação dessa violação aos indivíduos afetados

Além disso, algumas violações de dados devem ser notificadas sem demora injustificada às pessoas afetadas. É o que acontece quando a violação de dados pessoais é suscetível de resultar num elevado risco para os direitos e liberdades da pessoa singular.

A intenção subjacente a este requisito é garantir que as pessoas afetadas possam tomar as precauções necessárias quando ocorreram incidentes que possam resultar num risco elevado para eles.

Essas comunicações às pessoas singulares devem ser efetuadas sem demora e, se for caso disso, em estreita cooperação com a APD competente. Nos casos em que seja necessário atenuar um risco imediato para as pessoas, será necessária uma comunicação rápida.

Há circunstâncias em que os responsáveis pelo tratamento de dados não serão obrigados a notificar as pessoas, tais como:

  • o responsável pelo tratamento dos dados tenha encriptado os dados e as chaves de encriptação não foram comprometidas;
  • o responsável pelo tratamento dos dados tenha tomado medidas subsequentes que garantem que o elevado risco para os direitos e liberdades das pessoas já não é suscetível de se concretizar;

ou

  • implicaria um esforço desproporcionado. No entanto, nesse caso, o responsável pelo tratamento deve continuar a assegurar, através de uma comunicação pública ou de uma medida semelhante, que as pessoas sejam informadas de forma igualmente eficaz.

Esta comunicação ao indivíduo deve descrever, em linguagem clara e simples, a natureza da violação de dados pessoais e incluir, pelo menos, as seguintes informações:

  • o nome e os dados de contacto do encarregado da proteção de dados ou de outro ponto de contacto onde podem ser obtidas mais informações;
  • uma descrição das consequências prováveis da violação de dados pessoais; e
  • uma descrição das medidas tomadas ou propostas pela organização para combater a violação de dados pessoais, incluindo, se for caso disso, medidas para atenuar os seus eventuais efeitos adversos.
  • A comunicação deve igualmente descrever recomendações para as pessoas em causa, a fim de atenuar os potenciais efeitos adversos da violação.

Os responsáveis pelo tratamento de dados e os subcontratantes são incentivados a planear antecipadamente e a pôr em prática processos que permitam detetar e conter prontamente uma violação, avaliar o risco para as pessoas singulares e, em seguida, determinar se é necessário notificar a APD competente e comunicar a violação às pessoas em causa, quando necessário.

Quando é necessário notificar uma violação de dados?

Flowchart: notify a data breach