Artigo 34º – Comunicação de uma violação de dados pessoais ao titular dos dados

Artigo 34º

Comunicação de uma violação de dados pessoais ao titular dos dados

1. Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada.

2. A comunicação ao titular dos dados a que se refere o nº 1 do presente artigo descreve em linguagem clara e simples a natureza da violação dos dados pessoais e fornece, pelo menos, as informações e medidas previstas no artigo 33º, nº 3, alíneas b), c) e d).

3. A comunicação ao titular dos dados a que se refere o nº 1 não é exigida se for preenchida uma das seguintes condições:

a) O responsável pelo tratamento tiver aplicado medidas de proteção adequadas, tanto técnicas como organizativas, e essas medidas tiverem sido aplicadas aos dados pessoais afetados pela violação de dados pessoais, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem;

b) O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos titulares dos dados a que se refere o nº 1 já não é suscetível de se concretizar; ou

c) Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação pública ou tomada uma medida semelhante através da qual os titulares dos dados são informados de forma igualmente eficaz.

4. Se o responsável pelo tratamento não tiver já comunicado a violação de dados pessoais ao titular dos dados, a autoridade de controlo, tendo considerado a probabilidade de a violação de dados pessoais resultar num elevado risco, pode exigir-lhe que proceda a essa notificação ou pode constatar que se encontram preenchidas as condições referidas no nº 3.

Como reportar uma violação de dados ao CNPD?

Sob o disposto no artigo 33º do Regulamento Geral de Proteção de Dados, exige-se que violações de dados pessoais de usuários sejam reportadas ao organismo de autoridade de controlo para cada país da União Europeia. Em Portugal, essa incumbência cabe à Comissão Nacional de Proteção de Dados (CNPD).

A CNPD já disponibiliza um formulário de notificação de violação de dados pessoais. O procedimento é simples, ainda que o website da própria CNPD encontre-se bastante desatualizado, não apenas em relação a algumas modificações relativas ao GDPR europeu, como principalmente em termos de usabilidade e web design. De qualquer modo, há diferentes formulários padrão para reportar:

  • Violações de dados pessoais
  • Queixas ou reclamações

Ao aceder o formulário de violações de dados pessoais da CNPD, o DPO ou responsável pelo tratamento de dados encontrará duas opções: ou poderá reportar e registar uma ocorrência, ou então alterar alguma notificação anteriormente efetuada. O preenchimento é simples e rápido, como é possível ver na imagem do ecrã do formulário.

CNPD - violação de dados pessoais

Além da ocorrência em si, o formulário exige que uma série de informações sejam prestadas pelo DPO ou responsável, o que inclui:

  • Dados da entidade
  • Dados de contacto
  • Informação sobre a violação de dados
  • Consequências da violação de dados
  • Dados pessoais envolvidos
  • Titulares dos dados
  • Informação aos titulares
  • Medidas preventivas/corretivas
  • Tratamentos transfronteiriços

Caso precise de mais ajuda, disponibilizamos um breve passo a passo em vídeo em nosso canal no Youtube.

Artigo 33.º – Notificação de uma violação de dados pessoais à autoridade de controlo

Artigo 33.º

Notificação de uma violação de dados pessoais à autoridade de controlo

1. Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo competente nos termos do artigo 55º, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada dos motivos do atraso.

2. O subcontratante notifica o responsável pelo tratamento sem demora injustificada após ter conhecimento de uma violação de dados pessoais.

3. A notificação referida no nº 1 deve, pelo menos:

a) Descrever a natureza da violação dos dados pessoais incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registos de dados pessoais em causa;

b) Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto onde possam ser obtidas mais informações;

c) Descrever as consequências prováveis da violação de dados pessoais;

d) Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos;

4. Caso, e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, estas podem ser fornecidas por fases, sem demora injustificada.

5. O responsável pelo tratamento documenta quaisquer violações de dados pessoais, compreendendo os factos relacionados com as mesmas, os respetivos efeitos e a medida de reparação adotada. Essa documentação deve permitir à autoridade de controlo verificar o cumprimento do disposto no presente artigo.