A regra das 72 horas: como comunicar uma violação de dados no âmbito do RGPD sem incorrer em penalizações adicionais

Uma violação de dados pessoais é um incidente de segurança que leva à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal a dados pessoais. Nos termos dos artigos 33.º e 34.º do RGPD, a forma como a sua organização responde a uma violação pode ter tantas consequências como a própria violação. A notificação tardia ou inadequada é tratada como uma infração distinta, muitas vezes com a sua própria sanção.

Compreender o prazo de 72 horas

O n.º 1 do artigo 33.º exige que o responsável pelo tratamento notifique a autoridade de controlo competente sem demora injustificada e, sempre que possível, o mais tardar 72 horas após ter tido conhecimento de uma violação de dados pessoais. O prazo não começa a contar quando a violação ocorre, mas quando a organização toma conhecimento dela. Esta distinção é importante: uma violação que tenha ocorrido há semanas, mas que só tenha sido descoberta hoje, desencadeia a obrigação de 72 horas a partir do momento da descoberta.

Se a notificação não for efectuada no prazo de 72 horas, o responsável pelo tratamento deve apresentar os motivos do atraso. As autoridades de controlo têm mostrado uma tolerância limitada em relação a atrasos não fundamentados. A DPA neerlandesa (Autoriteit Persoonsgegevens) impôs coimas especificamente para a notificação tardia, tratando-a como uma violação distinta nos termos do n.º 4, alínea a), do artigo 83.

O que é que constitui uma violação comunicável?

Nem todos os incidentes de segurança exigem a notificação à autoridade de controlo. O n.º 1 do artigo 33.º qualifica a obrigação: a notificação é exigida a menos que a violação não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. Este limiar baseado no risco significa que deve avaliar cada violação individualmente.

As Orientações EDPB 01/2021 sobre exemplos relativos à notificação de violações de dados pessoais fornecem uma taxonomia útil de cenários comunicáveis e não comunicáveis:

Provavelmente comunicável:

• Ataque de ransomware que encripta registos de pacientes num hospital
• Acesso não autorizado a uma base de dados de clientes com informações financeiras
• Mensagem de correio eletrónico mal direcionada contendo dados salariais de funcionários enviados para um destinatário externo
• Laptop roubado contendo dados pessoais não encriptados
• Exfiltração de dados pessoais por uma pessoa mal-intencionada

É provável que não seja comunicável:

• Computador portátil encriptado perdido ou roubado sem que a chave de encriptação tenha sido comprometida
• Breve falha de energia que causa inacessibilidade temporária dos dados sem perda permanente
• Correio eletrónico interno mal direcionado em que o destinatário está vinculado por obrigações de confidencialidade e confirma a eliminação

Em caso de dúvida, opte pela notificação. As autoridades de controlo são muito mais compreensivas com as organizações que comunicam uma violação que se revela de baixo risco do que com as que não comunicam uma violação que mais tarde se revela significativa.

Requisitos de conteúdo da notificação

O n.º 3 do artigo 33.º especifica as informações mínimas que devem constar de uma notificação da autoridade de controlo:

1. Uma descrição da natureza da violação, incluindo, se possível, as categorias e o número aproximado de pessoas em causa e as categorias e o número aproximado de registos de dados pessoais em causa.
2. O nome e os dados de contacto do responsável pela proteção de dados ou de outro ponto de contacto.
3. Uma descrição das consequências prováveis da infração.
4. Uma descrição das medidas tomadas ou propostas para resolver a infração, incluindo, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos.

Quando não for possível fornecer todas as informações ao mesmo tempo, estas podem ser fornecidas por fases (n.º 4 do artigo 33.º). Muitas autoridades de controlo aceitam uma notificação inicial seguida de relatórios suplementares à medida que a investigação avança.

Quando é que os titulares dos dados devem ser notificados?

O artigo 34.º impõe uma obrigação adicional de notificar diretamente as pessoas afectadas sempre que a violação seja suscetível de implicar um risco elevado para os seus direitos e liberdades. O limiar é mais elevado do que para a notificação da autoridade de controlo: risco elevado e não apenas risco.

A comunicação às pessoas em causa deve ser feita em linguagem clara e simples e deve descrever a natureza da violação, os dados de contacto do RPD, as consequências prováveis e as medidas tomadas para resolver a violação. A notificação direta não é exigida quando:

• O responsável pelo tratamento implementou medidas técnicas adequadas (como a cifragem) que tornam os dados ininteligíveis para pessoas não autorizadas.
• O responsável pelo tratamento tomou medidas subsequentes que garantem que o risco elevado já não é suscetível de se concretizar.
• A notificação individual implicaria um esforço desproporcionado, caso em que é permitida uma comunicação pública ou medida semelhante.

Criar a sua capacidade de resposta a violações

Uma resposta eficaz a uma violação não é improvisada. Requer preparação, documentação e testes regulares. O quadro seguinte ajudará a sua organização a responder eficazmente quando ocorre uma violação:

Etapa 1: Deteção e escalonamento

Implemente controlos técnicos (deteção de intrusões, monitorização de registos, deteção de pontos terminais) e estabeleça vias claras de escalonamento. Todos os funcionários devem saber como comunicar internamente uma suspeita de violação. Defina uma equipa de resposta a violações com representantes das TI, do departamento jurídico, das comunicações e da gestão de topo.

Etapa 2: Avaliação inicial

Nas horas seguintes à deteção, avalie a natureza e o âmbito da violação. Determine que dados foram afectados, quantos indivíduos estão envolvidos, se a violação está em curso e qual o impacto provável. Esta avaliação orienta as suas decisões de notificação.

Etapa 3: Contenção

Tome medidas imediatas para conter a violação. Isto pode incluir o isolamento dos sistemas afectados, a revogação de credenciais comprometidas, o bloqueio de endereços IP maliciosos ou a ativação de sistemas de backup. Documente todas as acções de contenção e o respetivo calendário.

Etapa 4: Notificação

Com base na sua avaliação dos riscos, prepare e apresente a sua notificação à autoridade de controlo no prazo de 72 horas. Se a infração desencadear o artigo 34.º, prepare paralelamente comunicações aos titulares dos dados. Utilize modelos pré-preparados para acelerar este processo.

Etapa 5: Investigação e correção

Efectue uma análise exaustiva da causa principal. Identifique a vulnerabilidade que foi explorada, os controlos que falharam e as medidas necessárias para evitar a recorrência. Documente as conclusões e implemente prontamente acções de correção.

Passo 6: Revisão pós-incidente

Após a resposta imediata, efectue uma análise formal pós-incidente com todas as partes interessadas. Actualize os seus procedimentos de resposta a violações com base nas lições aprendidas. Apresente o seu relatório final à autoridade de controlo dentro do prazo exigido.

Erros comuns a evitar

• Não reconhecer um incidente de segurança como uma violação de dados pessoais
• Aguardar a conclusão do inquérito para notificar a autoridade de controlo
• Fornecer informações incompletas ou inexactas na notificação inicial
• Negligenciar a documentação das infracções consideradas de baixo risco (o n.º 5 do artigo 33.º exige um registo de todas as infracções)
• Subestimar o risco para as pessoas em causa para evitar as obrigações de notificação
• Não notificar as pessoas em causa quando é atingido o limiar de alto risco previsto no artigo 34.

A janela de notificação de 72 horas é apertada, mas as organizações que se preparam com antecedência (com procedimentos documentados, modelos de notificações e uma equipa de resposta a violações com formação) podem cumprir esta obrigação de forma consistente. O custo da preparação é insignificante quando comparado com as sanções e os danos à reputação que se seguem a uma resposta a uma violação mal gerida.