Quando a notificacao de violacao de dados pessoais se aplica e o que fazer a seguir
Resposta direta
A notificacao aplica-se quando um incidente de seguranca afeta dados pessoais e pode criar risco, dever de subcontratante ou obrigacao contratual. O primeiro passo e abrir um registo, atribuir donos, avaliar risco e preservar prova.
Quem é afetado: Equipas de privacidade, compliance, produto, juridico, seguranca e fundadores SaaS
O que fazer agora
- Abra um registo quando um incidente possa envolver dados pessoais.
- Separe autoridade, titulares dos dados, clientes e equipas internas.
- Guarde linha temporal, avaliacao, decisao e remediation num so local.
A notificacao de violacao de dados pessoais deve ser tratada como um workflow operacional. Quando um incidente pode envolver dados pessoais, a equipa deve abrir um registo de avaliacao, confirmar sistemas afetados, atribuir responsaveis e documentar factos conhecidos e em falta.
O artigo 33 do GDPR exige que o responsavel pelo tratamento notifique a autoridade competente sem demora injustificada e, quando possivel, no prazo de 72 horas apos tomar conhecimento da violacao, salvo se for improvavel que resulte risco para direitos e liberdades das pessoas. O subcontratante deve notificar o responsavel sem demora injustificada. O artigo 34 exige comunicacao separada aos titulares quando existir alto risco.
Para equipas SaaS, as perguntas praticas sao: existem dados pessoais, ha risco ou alto risco, e qual e o papel da empresa em cada conjunto de dados. O mesmo fornecedor pode ser responsavel por dados de conta ou marketing e subcontratante para dados dos clientes.
O registo deve incluir deteccao, momento de conhecimento, sistemas, categorias de dados, pessoas ou registos afetados, fornecedores, contencao, consequencias provaveis, medidas mitigadoras e decisao de notificacao. Prazos de contratos e DPAs devem estar no mesmo fluxo.
Autoridade, titulares, clientes e equipas internas nao precisam da mesma mensagem. Avalie risco e alto risco separadamente. Se a informacao estiver incompleta, pode ser fornecida por fases, mas os pontos em aberto devem estar documentados.
Erros comuns incluem esperar por certeza, nao mapear papeis, confundir risco com alto risco, confiar demasiado em cifragem ou contencao e espalhar prova por chats, tickets e emails. Um bom processo liga resposta a incidentes, privacidade, clientes e remediation.
FAQ
Todas as violacoes devem ser notificadas?
Nao. Se for improvavel que exista risco para as pessoas, a notificacao a autoridade pode nao ser necessaria. A decisao deve ser documentada.
O que fazer primeiro?
Abrir o registo, preservar a cronologia, confirmar dados e papeis, e nomear decisores.
Termos-chave neste artigo
Fontes primárias
- General Data Protection RegulationEuropean Union · Consultado 9/05/2026
- Guidelines 9/2022 on personal data breach notification under GDPREuropean Data Protection Board · Consultado 9/05/2026
- Personal data breaches - a guideInformation Commissioner's Office · Consultado 9/05/2026
- 72 hours - how to respond to a personal data breachInformation Commissioner's Office · Consultado 9/05/2026
Explore hubs relacionados
Artigos relacionados
Termos relacionados do glossário
Pronto para garantir o seu compliance?
Não espere que violações prejudiquem o seu negócio. Obtenha o seu relatório completo de compliance em minutos.
Analise o seu site grátis agora