Proteção de dados: violações da segurança e responsabilidade ativa. Opções e obrigações

Entre as novidades que a Europa, na sua constante missão de sensibilização para a importância da proteção de dados pessoais, deixou para trás, encontramos a implementação da figura da "violação de segurança" no REGULAMENTO (UE) 2016/679 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais.

Na legislação espanhola, o Regulamento foi transposto através da Lei Orgânica 3/2018, de 5 de dezembro, sobre a Proteção de Dados Pessoais e garantia dos direitos digitais, sob o nome de "incidente de segurança", que por sua vez deriva na Agência Espanhola de Proteção de Dados (AEPD) o desenvolvimento das ferramentas, guias, directrizes e orientações necessárias para fornecer aos profissionais, micro, pequenas e médias empresas directrizes adequadas para o cumprimento das obrigações de responsabilidade ativa.

Mas o que é uma violação de segurança? A AEPD esclarece que uma violação de segurança é um incidente de segurança que afecta os dados pessoais. Este incidente pode ter uma origem acidental ou intencional e pode também afetar dados tratados digitalmente ou em suporte de papel. Em geral, é um evento que resulta na destruição, perda, alteração, comunicação ou acesso não autorizado a dados pessoais.

Os regulamentos de proteção de dados sempre exigiram a manutenção de um registo de incidentes, que na sua versão actualizada seriam estas "violações", pelo que a verdadeira novidade não é tanto o facto de este registo ter de ser mantido, mas o facto de agora ser obrigatório que qualquer violação de segurança seja comunicada às autoridades competentes (Agência Espanhola de Proteção de Dados) no prazo de 72 horas.

Assim sendo, e apesar de o regulamento não determinar as acções específicas que os responsáveis pelo tratamento de dados e os subcontratantes devem implementar, impondo o conceito genérico de responsabilidade ativa ou pró-ativa, a questão é que, para poder tomar medidas em caso de violação ou incidente de segurança, o responsável pelo tratamento de dados deve estar preparado para essa possibilidade e ter estabelecido as acções a tomar em caso de violação.

Como estar preparado?

São dois os mecanismos, o registo de actividades e a avaliação de impacto, que, embora o regulamento apenas estabeleça a sua obrigatoriedade quando existe a probabilidade de implicar um risco elevado, a recomendação é que se saiba quais os dados pessoais que estão a ser tratados, com que meios e os riscos que podem existir, e que se disponha de mecanismos para detetar violações de segurança dos dados pessoais.

O que fazer se ocorrer uma infração?

O responsável pelo tratamento deve dar início ao seu plano de ação para resolver a violação, minimizar as suas consequências e registar acções e eventos localizados e actualizados para prevenir futuras ocorrências e comunicar quando a violação da segurança tiver sido detectada e resolvida.

Por conseguinte, tão importante como resolver a violação e minimizar os riscos para as pessoas afectadas é aprender com ela, identificando onde se verificou a falha nos processos de gestão da informação. Por conseguinte, faz parte do princípio da responsabilidade proactiva documentar pormenorizadamente a violação e as medidas tomadas para a gerir e prevenir no futuro.

Paloma Aguilar (Advogada T&L)