O que acontece se a minha empresa/organização não cumprir as regras relativas à proteção de dados?

Resposta

O Regulamento Geral sobre a Proteção de Dados (RGPD) disponibiliza diferentes opções às autoridades de proteção de dados em caso de incumprimento das regras de proteção de dados:

• infração provável – pode ser emitida uma advertência;
• infração – podem ser aplicadas as sanções de repreensão, proibição temporária ou definitiva do tratamento e uma coima máxima de 20 milhões de euros ou 4 % do volume de negócios total anual da empresa a nível mundial.

Importa notar que, no caso de uma infração, a APD pode impor uma coima monetária ao invés, ou além, da repreensão e/ou da proibição do tratamento.

A autoridade deve garantir que as coimas impostas em cada caso são eficazes, proporcionadas e dissuasivas. Terá em conta vários fatores, como a natureza, a gravidade e a duração da infração, o seu caráter intencional ou negligente, eventuais ações tomadas para atenuar os danos sofridos pelas pessoas, o grau de cooperação da organização, etc.

Exemplo

Uma empresa vende equipamentos para o lar através da internet. Através do seu sítio web, os consumidores podem comprar eletrodomésticos, mesas, cadeiras e outros artigos para o lar, mediante a introdução dos seus dados bancários. O sítio web sofreu um ciberataque que levou à disponibilização dos dados pessoais ao atacante. Neste caso, a falta de medidas técnicas adequadas por parte da empresa parece ter sido a causa da perda dos dados.

Neste caso, a autoridade de controlo terá em conta vários fatores antes de decidir qual o instrumento corretivo a utilizar. Fatores como: quão grave era a deficiência do sistema informático? Durante quanto tempo a infraestrutura informática esteve exposta ao risco? Foram realizados testes no passado para prevenir este tipo de ataque? Foram roubados/divulgados dados de quantos clientes? Que tipo de dados pessoais foram afetados – incluíam dados sensíveis? Estes e outros aspetos serão tidos em conta pela autoridade de controlo.

Referências

• Artigos 58.º, 60.º, 83.º, 84.º; considerandos 129, 148, 150 e 151 do RGPD
• Orientações do CEPD relativas à aplicação e à definição de coimas administrativas para efeitos do Regulamento 2016/679, 3 de outubro de 2017

A company sells online household material. Through its website, consumers can buy kitchen appliances, tables, chairs and other domestic goods by entering their bank details. The website suffered a cyber-attack leading to personal details being rendered available to the attacker. In this case, the lack of appropriate technical measures by the company seems to have been the cause of the data loss.

In this instance, various factors will be considered by the supervisory authority before deciding what corrective tool to use. Factors such as: how serious was the deficiency in the IT system? How long had the IT infrastructure been exposed to such a risk? Were tests carried out in the past to prevent such an attack? How many customers had their data stolen/disclosed? What type of personal data was affected – did it include sensitive data? All these and other considerations will be taken into account by the supervisory authority.

• Articles 58, 60, 83 and 84 and Recitals (129), (148), (150) and (151) of the GDPR
• EDPB Guidelines on the application and setting of administrative fines for the purposes of Regulation (EU) 2016/679, 3 October 2017