Gestão de Incidentes de Violações de Dados Pessoais

Definição

Uma violação dos dados pessoais acontece quando uma empresa/organização sofre um incidente de segurança referente aos dados pelos quais é responsável, o que resulta numa violação de confidencialidade, de disponibilidade e de integridade dos dados.

Por isso, esta situação, caso não seja resolvida adequada e atempadamente, pode causar danos físicos, patrimoniais ou não patrimoniais aos titulares dos dados, assim como os que se seguem: roubo de identidade ou fraude, danos na reputação da pessoa, perda do controlo sobre os seus próprios dados, perda financeira, perda de confidencialidade dos dados, etc.

Quando a violação ocorre, e se a mesma constituir um risco para os direitos e liberdades de alguém, a empresa/organização deve notificar a autoridade de controlo (no prazo de 72 horas após ter conhecimento da violação). Caso a notificação não seja transmitida no prazo de 72 horas, a mesma deve fazer-se acompanhar das razões que levaram ao atraso.

Se a violação dos dados for de alto risco para as pessoas que foram afectadas, estas têm de ser informadas, mediante comunicação escrita em linguagem clara e de fácil compreensão. Assim, é fulcral que uma organização aplique as medidas técnicas e organizativas adequadas para evitar possíveis situações deste género.

Estas situações podem ocorrer devido a uma série de factores:

• Perda de documentos ou roubo dos mesmos;
• Destruição de documentos ou equipamentos;
• Controlos de acesso pouco eficazes;
• Ineficácia da gestão dos dados;
• Protecção pouco adequada contra ameaças cibernéticas;
• Transmissões sem protecção;
• Falta de controlo;
• Equipamentos com falhas;
• Funcionários com falta de formação na área, negligentes ou com más intenções.

Perante isto, ficou definido que a PARTTEAM & OEMKIOSKS irá responder a estas situações através das seguintes formas:

• Reunir uma equipa responsável por fazer a gestão do incidente;
• Identificar quais foram os dados pessoais que ficaram comprometidos;
• Notificar a autoridade de controlo;
• Notificar os órgãos de polícia criminal;
• Determinar circunstâncias que possam ser atenuantes;
• Notificar outras pessoas ou entidades que possam ter sido afectadas;
• Comunicar com as pessoas que viram os seus dados pessoais comprometidos.

A PARTTEAM & OEMKIOSKS cooperará com a Autoridade de Controlo através do envio de relatórios, solicitações de pareceres e orientações sempre que tal for necessário.