11 Nov Conselho Europeu de Proteção de Dados publica diretrizes sobre notificação de violação de dados do GDPR
Por Fabio Vieira e Jhonata Candido
No início do mês de outubro, o Conselho Europeu de Proteção de Dados (“Conselho”) publicou a Diretriz nº 09/2022 (“Diretriz”) sobre notificações de violação de dados pessoais com base no Regulamento Geral sobre a Proteção de Dados (“GDPR”).
De acordo com a Diretriz, estará configurada uma violação de dados pessoais sempre que a segurança de um dado pessoal for comprometida ou quando houver destruição, perda, alteração, divulgação acidental ou ilegal, não autorizada de dados pessoais que foram transmitidos ou armazenados.
Nesse sentido, o Parecer nº 3/2014 do “Grupo de Trabalho para a Proteção das Pessoas no que diz respeito ao Tratamento de Dados Pessoais Europeu”, mais conhecido como “WP29”, definiu que as violações podem ser categorizadas da seguinte forma:
(i) violação de confidencialidade – divulgação ou acesso não autorizado ou acidental de um dado pessoal;
(ii) violação de integridade -alteração não autorizada ou acidental de dados pessoais;
(iii) violação de disponibilidade – ocorre em caso de perda acidental ou não autorizada do acesso, ou destruição de dados pessoais.
A violação de dados pessoais pode trazer uma série de efeitos adversos significativos sobre os indivíduos, que podem resultar em danos físicos, materiais, ou não materiais. O GDPR menciona que estes efeitos podem incluir: (a) a perda de controle sobre os dados pessoais; (b) a limitação de direitos; (c) discriminação; (d) roubo ou fraude de identidade; (e) perda financeira; (f) inversão não autorizada da pseudonimização; (g) danos à reputação; e (h) perda de confidencialidade de dados pessoais protegidos pelo sigilo profissional.
Dessa forma, a Diretriz define que a notificação deve seguir o procedimento previsto no artigo 33 do GDPR, o qual prevê que em casos de violação de dados pessoais o agente responsável pelo tratamento dos dados deve, sem demora injustificada e, sempre que possível no mais tardar 72 horas após ter tomado conhecimento, notificar a violação dos dados pessoais a autoridade de controle competente.
O Conselho considera que a autoridade responsável deve ter um grau razoável de certeza de que ocorreu um incidente de segurança que levou ao comprometimento dos dados pessoais.
O GDPR exige que o controlador implemente as medidas de proteção e de organização para determinar imediatamente se ocorreu uma violação e informar prontamente a autoridade e as pessoas envolvidas.
O artigo 26º do GDPR diz respeito aos controladores responsáveis e especifica que estes determinarão as suas respectivas responsabilidades pelo cumprimento do GDPR. Isto inclui a determinação de que, em parte, o controlador terá a responsabilidade de cumprir as obrigações previstas nos artigos 33 e 34 do GDPR.
Assim, o Conselho recomenda que as disposições contratuais entre os controladores incluam que o controlador assumirá a liderança ou será responsável pelo cumprimento das obrigações de notificação de violação do GDPR.
Quando um controlador notifica uma violação à autoridade fiscalizadora, o Artigo 33 do GDPR estipula que este, no mínimo, deve: (a) descrever a natureza da violação dos dados pessoais, incluindo, sempre que possível, as categorias e o número aproximado de pessoas em causa e as categorias e o número aproximado de registos de dados pessoais em questão; (b) comunicar o nome e os dados de contato do responsável pela proteção de dados ou outro ponto de contato onde possam ser obtidas mais informações; (c) descrever as consequências prováveis da violação dos dados pessoais; e (d) descrever as medidas tomadas ou propostas pelo responsável pelo tratamento para tratar os dados pessoais violados, incluindo, quando apropriado, medidas para mitigar os seus possíveis efeitos adversos.
Quando se trata de uma violação transfronteiriça de dados pessoais, onde a violação afeta pessoas em mais de um Estado-Membro Europeu, o artigo 33 do GDPR torna claro que nestes casos, o controlador deve notificar a autoridade competente dos Estados-Membros, nos termos do artigo 55 do GDPR.
O artigo 33 do GDPR deixa claro que não exigem notificação à autoridade fiscalizadora as violações que “dificilmente resultarão em risco aos direitos e liberdades das pessoas físicas”. Um exemplo disso é quando os dados pessoais já estão disponíveis publicamente e a divulgação desses dados não constitui um risco provável para o indivíduo.
Apesar do GDPR introduzir a obrigação de notificar violações de dados à autoridade supervisora competente, esta só se faz necessária quando a violação resulta em um risco eminente para os direitos e liberdades dos titulares. De modo que, é necessário avaliar o risco, considerando tanto a probabilidade quanto a gravidade do risco aos direitos e liberdades dos titulares de dados.
Por fim, a Diretriz estabelece que os registros e manutenção dos dados, independentemente da ocorrência de uma violação que precisará ou não ser notificada à autoridade competente, devem se manter documentado pelo controlador, incluindo todas as infrações, como explica o artigo 33 (5) do GDPR.
Deste modo, as diretrizes permitirão que em casos de violações ou vazamentos de dados, as autoridades possam seguir uma instrução mais formal e em conformidade com o GDPR, A Diretriz pode trazer uma harmonização dos resultados práticos, sendo útil para entender quais passos a autoridade supervisora deve considerar.
Este material tem caráter meramente informativo e não deve ser utilizado isoladamente para a tomada de decisões. Aconselhamento legal específico poderá ser prestado por um dos nossos advogados. Direitos autorais são reservados ao Kestener & Vieira Advogados.
Sem comentários