Proteção de Dados: Violações de Segurança e Responsabilidade Ativa. Escolhas e Obrigações

1/3/22

Proteção de Dados: Violações de Segurança e Responsabilidade Ativa. Escolhas e Obrigações

Entre as novidades que a Europa deixou para trás, na sua missão constante de sensibilização para a importância na proteção dos dados pessoais, encontramos a introdução da figura da “lacuna de segurança” no REGULAMENTO (UE) 2016/679 sobre a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais.

Na lei espanhola, o Regulamento foi transposto através da Lei Orgânica 3/2018, de 5 de dezembro, sobre a Proteção de Dados Pessoais e a garantia dos direitos digitais, com o nome de “incidente de segurança”, que por sua vez leva à Agência Espanhola de Proteção de Dados (AEPD) o desenvolvimento de ferramentas, guias, orientações e orientações necessárias para dotar profissionais, microempresas e pequenas e médias empresas de orientações adequadas para o cumprimento de obrigações de responsabilidade ativa.

Mas em que consiste a falha de segurança? , a AEPD esclarece que uma violação de segurança é um incidente de segurança que afeta os dados pessoais. Este incidente pode ter uma origem acidental ou intencional e também pode afetar os dados processados digitalmente ou em papel. Em geral, trata-se de um evento que provoca destruição, perda, alteração, comunicação ou acesso não autorizado a dados pessoais.

Os regulamentos de proteção de dados sempre nos obrigaram a manter um registo de incidentes, que na sua versão atualizada seriam essas “violações”, pelo que a verdadeira novidade não é tanto realizar esse registo mas agora é obrigatório que qualquer falha de segurança seja denunciada às autoridades competentes (Agência Espanhola de Proteção de Dados) no prazo de 72 horas.

Sendo este o caso, e embora a norma não determine as ações específicas que os gestores e gestores de dados devem ter implementado, impondo o conceito genérico de responsabilidade ativa ou proativa, a questão é que, para poder tomar medidas em caso de violação ou incidente de segurança, o responsável pelo tratamento deve estar preparado para essa possibilidade, e ter estabelecido quais as ações que devem ser tomadas no caso de ocorrer uma violação.

Como estar preparado?

Existem dois mecanismos, o registo das atividades e a avaliação de impacto, que embora o regulamento apenas estabeleça a sua obrigação quando existe a probabilidade de implicar um risco elevado, a recomendação é ter conhecimento de quais os dados pessoais que estão a ser tratados, com que meios e os riscos que possam existir, e ter mecanismos para detetar violações de segurança dos dados pessoais.

O que fazer se a violação ocorrer?

O controlador de dados deve iniciar o seu plano de ação para resolver a violação, minimizar as suas consequências e registar as ações e eventos localizados e em que atuaram, para evitar que aconteça no futuro, bem como para comunicar quando a falha de segurança foi detectada e resolvida.

Portanto, tão importante quanto resolver a lacuna e minimizar os riscos para os afetados, é aprender com ela, reunindo onde a falha se enraizou nos processos de gestão da informação. Portanto, faz parte do princípio da responsabilidade pró-activa documentar em pormenor a lacuna e as ações tomadas para a gerir e prevenir no futuro.

Paloma Aguilar (Advogada T&L)