Agência Andorrana de Proteção de Dados recorda responsáveis pelo tratamento do dever de notificação de violações em 72 horas

A Agência Andorrana de Proteção de Dados (APDA) emitiu orientação recordando os responsáveis pelo tratamento de dados a obrigação de notificar violações de segurança em 72 horas, salvo se o incidente for improvável de representar um risco para os direitos e liberdades das pessoas.

Uma violação de dados pessoais resulta de qualquer evento acidental ou ilícito que cause a destruição, perda, alteração, divulgação não autorizada ou acesso a esses dados, podendo afetar a confidencialidade, integridade ou disponibilidade. A APDA enfatizou que estes incidentes vão além dos ciberataques e incluem erros humanos, perda de documentos ou outras ameaças à segurança dos dados.

Exemplos incluem o envio de e-mails com dados pessoais ao destinatário errado, não usar cópia oculta ao partilhar informação com múltiplas partes, perda ou roubo de dispositivos, acesso não autorizado a bases de dados ou pastas partilhadas, publicação imprópria de dados pessoais ou alterações ou eliminações acidentais. A indisponibilidade temporária ou permanente de dados também qualifica.

Os responsáveis pelo tratamento devem reportar violações à APDA em 72 horas se apresentarem um risco provável, fornecendo pormenores sobre a natureza do incidente, tipos de dados afetados e potenciais consequências. Devem agir rapidamente para conter a violação, avaliar o impacto, restaurar o acesso e documentar a resposta. Incidentes de alto risco exigem notificação direta às pessoas afetadas em linguagem clara. A falta de notificação quando exigida constitui uma infração grave, podendo levar a sanções.

A APDA divulgou este lembrete no meio de relatos de um possível ciberataque a um conhecido centro comercial, que informações iniciais sugerem poder ter afetado numerosos fornecedores e clientes. Não foram divulgados pormenores adicionais sobre a extensão ou contexto do incidente.