Quais violações de dados pessoais se aplicam ao GDPR?
Com a proximidade da data limite da conformidade com o Regulamento Geral de Proteção de Dados, ainda existem muitas dúvidas práticas sobre quando uma violação de dados pessoais deve ser notificada aos indivíduos impactados.
A sua empresa sofreu um ataque de ransomware e os dados pessoais foram criptografados, seu portal web sofreu um ataque cibernético onde os dados pessoais foram extraviados, uma empresa enviou um e-mail de marketing com identificação de dados pessoais para um conjunto de indivíduos, será que preciso notificar a autoridade administrativa responsável pelos dados pessoais, assim como os indivíduos impactados?
Essas e outras dúvidas foram respondidas nas diretrizes de violações de dados pessoais definido pela Comissão Europeia, veja alguns desses exemplos abaixo.
| Exemplo | Notificar a autoridade administrativa? | Notificar o indivíduo em questão? | Observações / Recomendações |
| O administrador armazenou dados pessoais em um arquivo de backup criptografados com uma chave USB. A chave é roubada durante um incidente. | Não | Não | Enquanto os dados estão criptografados com um algoritmo forte, os backups dos dados e a chave não foram comprometidos, sendo assim os dados podem ser restaurados. No entanto, se for posteriormente comprometida, a notificação é necessária. |
| O administrador mantém um serviço on-line. Após um ataque cibernético no serviço, os dados pessoais dos indivíduos são extraviados. O administrador tem clientes em um único Estado Membro da União Europeia. |
Sim, reporte para a autoridade administrativa se existem consequências prováveis para indivíduos | Sim, informe aos indivíduos, dependendo da natureza dos dados pessoais afetados e se a gravidade das prováveis consequências para os indivíduos é alta. | |
| O administrador sofre um ataque de ransomware que resulta em todos os dados serem criptografados. Não há backups disponíveis e os dados não podem ser restaurados. Na investigação, fica claro que a única funcionalidade do ransomware era criptografar os dados e que não havia outro malware presente no sistema. | Sim, informe à autoridade administrativa, se houver prováveis consequências para os indivíduos, pois esta é uma perda de disponibilidade. | Sim, informe aos indivíduos, dependendo da natureza dos dados pessoais afetados e do possível efeito da falta de disponibilidade dos dados, bem como de outras consequências prováveis. | Se houvesse um backup disponível e os dados pudessem ser restaurados em tempo útil, isso não precisaria ser reportado à autoridade administrativa ou aos indivíduos, pois não haveria perda permanente de disponibilidade ou confidencialidade. No entanto, se a autoridade administrativa tomou conhecimento do incidente por outros meios, pode considerar uma investigação para avaliar o cumprimento dos requisitos de segurança mais amplos do Artigo 32. |
| Um indivíduo telefona para o centro de atendimento de um banco para denunciar uma violação de dados, onde o mesmo recebeu uma declaração mensal de outra pessoa. O administrador realiza uma breve investigação (por exemplo, dentro de 24 horas) e identifica que ocorreu uma violação de dados pessoais e possui uma falha sistêmica que pode significar que outras pessoas foram ou podem ser afetadas. |
Sim | Somente os indivíduos afetados são notificados caso o risco seja alto, sendo os demais não foram afetados. | Caso após uma investigação mais profunda, identificar-se que mais indivíduos foram afetados, a autoridade administrativa deve ser atualizada e notificar os demais indivíduos se houver risco alto para os mesmos. |
| Um e-mail de marketing é enviado aos destinatários nos campos “para:” ou “cc:”, permitindo que cada destinatário veja o endereço de e-mail de outros destinatários. | Sim, notificar a autoridade administrativa pode ser obrigatório se um grande número de indivíduos for afetado, se os dados confidenciais forem revelados (por exemplo, uma lista de correspondência de um psicoterapeuta) ou se outros fatores apresentam riscos elevados (por exemplo, o e-mail contém parte das senhas). | Sim, informe aos indivíduos, dependendo do escopo e tipo de dados pessoais envolvidos e da gravidade das possíveis consequências. | A notificação pode não ser necessária se nenhum dado confidencial for revelado e se apenas um número menor de endereços de e-mail for revelado. |
Referência:
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052