RespostaUma violação de dados ocorre quando a sua empresa/organização sofre um incidente de segurança relativo aos dados pelos quais é responsável que resulta numa violação da confidencialidade, da disponibilidade ou da integridade dos dados. Se tal ocorrer, e se a violação for suscetível de representar um risco para os direitos e as liberdades de uma pessoa, a sua empresa/organização tem de notificar a autoridade de controlo sem demora injustificada e, o mais tardar, no prazo de 72 horas após tomar conhecimento da violação. Se a sua empresa/organização for um subcontratante, tem de notificar todas as violações de dados ao responsável pelo tratamento. Show Se a violação de dados representar um elevado risco para aspessoas afetadas, estas devem também ser informadas (a menos que existam medidas de proteção técnicas e organizativas eficazes ou outras medidas destinadas a garantir que não é provável que o risco se volte a concretizar). Enquanto organização, é fundamental aplicar medidas técnicas e organizativas adequadas para evitar possíveis violações de dados. ExemplosA organização deve notificar a APD e as pessoas Um trabalhador de um hospital decide copiar os dados dos doentes para um CD e publicá-los em linha. O hospital descobre o que aconteceu alguns dias depois. Assim que o hospital toma conhecimento do sucedido, tem 72 horas para informar a autoridade de controlo e, uma vez que os dados pessoais em causa contêm informações sensíveis, nomeadamente se um doente tem cancro, se uma mulher está grávida, etc., tem de informar também os doentes. Neste caso, existe a dúvida sobre se o hospital aplicou medidas de proteção técnicas e organizativas adequadas. Caso tivesse aplicado medidas de proteção adequadas (por exemplo, cifragem de dados), a existência de um risco material seria improvável e o hospital poderia isentar-se da obrigação de notificar os doentes. A empresa deve notificar os clientes e estes poderão, por sua vez, ter de notificar a APD e o titular dos dados Referências
Tive um incidente de segurança da informação, e agora? Um incidente de segurança pode ocorrer com qualquer indivíduo, por isso, é importante saber qual procedimento seguir quando essa situação ocorre. Mas, afinal, o que fazer quando ocorre um incidente com dados pessoais? • Analisar o incidente de segurança, isto é, que dados foram afetados, quantidade de dados, ações de proteção que eram empregadas para esses dados e consequências do incidente; • Comunicar ao encarregado de dados (DPO); • Comunicar ao controlador, se for o operador destes dados; • Comunicar à ANPD e ao titular de dados; • Por fim, elaborar um documento de avaliação interna do incidente, medidas tomadas e análise de risco. A LGPD define como o prazo para essa comunicação o termo “prazo razoável”, porém até a criação de uma regulamentação oficial, a própria ANPD orienta em seu site oficial que este prazo seja de 2 dias úteis, contados a partir da data do conhecimento do incidente. Continue acompanhando nosso blog para conferir todas as atualizações e notícias sobre a segurança de dados na internet. Não deixe de conhecer nossos serviços! Acesse aqui e reduza os riscos de invasão no seu negócio. O que deve ser feito em caso de incidente de dados pessoais LGPD?Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Artigo 48 da LGPD). Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art.
Quando ocorrer um incidente segurança com dados pessoais devo comunicar?O dever de notificação dos incidentes de segurança com dados pessoais. O art. 48 da LGPD traz uma obrigação clara ao controlador, qual seja, o dever de comunicar à ANPD e ao titular de dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados.
Como é o tratamento de dados na LGPD?No âmbito da LGPD, o tratamento dos dados pessoais pode ser realizado por dois agentes de tratamento, o controlador e o operador. O controlador é definido pela Lei como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Quem o controlador deve informar em caso de incidente de segurança LGPD?A LGPD estabelece, em seu artigo 48, a obrigatoriedade de o controlador notificar a Autoridade Nacional de Proteção de Dados (ANPD) e o titular sobre a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.
|