VIOLAÇÃO DE DADOS OU DATA BREACH

Uma violação de dados pessoais ou data breach é uma violação de segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento (artigo 4.º, alínea 12), do RGPD).

É uma obrigação do responsável pelo tratamento notificar a CNPD de um data breach, em conformidade com o exigido no n.º 1 do artigo 33.º do RGPD. Assim, a menos que a violação de dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoais singulares, a notificação deve ser feita no prazo de 72 horas após ter tido conhecimento da mesma. Para o efeito, a CNPD disponibiliza um formulário específico.

O responsável pelo tratamento deve ter em prática uma política interna que lhe permita detetar e gerir incidentes de segurança com impacto na proteção de dados pessoais e, quando o tratamento de dados for realizado por subcontratantes, ter mecanismos de controlo eficazes quanto à atuação dos subcontratantes, assegurando que aqueles não prejudicam o cumprimento das obrigações que recaem sobre o responsável neste domínio.

Mesmo que o responsável pelo tratamento considere que não é exigível a notificação à CNPD, está obrigado a documentar quaisquer violações de dados, nos termos do n.º 5 do artigo 33.º do RGPD.

O responsável pelo tratamento está ainda obrigado a dar conhecimento aos titulares dos dados da ocorrência de um data breach, se reunidos os requisitos legais e nas condições descritas no artigo 34.º do RGPD.

Pode consultar as Orientações do CEPD sobre as notificações de violações de dados