Uma das principais medidas introduzidas no novo RGPD é o Artigo 33º de Violação de Dados, que consiste numa falha de segurança acidental ou ilícita e pode levar à destruição, perda, alteração, divulgação não autorizada e ao acesso não autorizado dos dados pessoais.
Com isto, é obrigatório reportar certos tipos de violação de dados à Autoridade de Controlo e aos Titulares dos Dados afetados da seguinte forma:
– Responsável pelo Tratamento, fica obrigado a notificar a Autoridade de Controlo da violação de dados pessoais até 72 horas após ter tido conhecimento da mesma, através do formulário de «notificação de violação de dados pessoais». Se o prazo não for cumprido, é necessário apresentar os motivos do atraso com a notificação.
– Titular dos Dados, em caso de um elevado risco na violação dos dados pessoais o responsável pelo tratamento tem a responsabilidade de notificar os titulares afetados.
– Subcontratante, deve notificar o responsável pelo tratamento sem demora injustificada, após ter conhecimento de uma violação de dados.
Qualquer violação de dados pessoais deve ser documentada, compreendendo todos os factos relacionados com a violação, os efeitos que causou e as medidas de mitigação tomadas. Todas as notificações de violações de dados pessoais, devem conter as seguintes informações:
