Considera-se incidente de proteção de dados pessoais qualquer evento adverso confirmado que comprometa propriedades de confidencialidade, integridade e disponibilidade da informação, como acesso não autorizado, perda, extravio, roubo, destruição, divulgação ou alteração indevida de dados pessoais, independentemente de ocorrer por ação acidental ou ilícita.
Estes incidentes podem resultar em riscos para os direitos e liberdades dos titulares de dados.
Assim, todo o incidente que possa configurar uma violação de dados pessoais deve ser comunicado, de imediato, sem demora injustificada, mediante preenchimento de formulário de Comunicação de Incidente de Proteção de Dados Pessoais:
- Participação interna (funcionário/colaborador, subcontratante, entidade parceira)
- Participação externa (particulares)
O formulário poderá ser novamente submetido sempre que se obtenham informações adicionais. Desta forma, a primeira submissão não deverá ser atrasada pela recolha de informações que não possam ser imediatas.
Nos termos do artigo 33.º do Regulamento Geral da Proteção de Dados (RGPD), as violações de dados pessoais que possam resultar num risco para os direitos e liberdades dos seus titulares devem ser notificadas à Autoridade de Controlo (CNPD), no prazo de 72 horas após a sua tomada de conhecimento.
Em conformidade com o artigo 34.º do RGPD, as violações suscetíveis de implicar um elevado risco para os direitos e liberdades dos titulares devem ser-lhes comunicadas, sem demora injustificada.
A análise e avaliação do risco, bem como a decisão sobre a necessidade de notificação à CNPD e/ou aos titulares dos dados, serão efetuadas, conjuntamente, pelo CD da APA e pelo EPD.
O Procedimento de Notificação de Violação de Dados Pessoais poderá ser consultado aqui.
