II SÉRIE-A — NÚMERO 104

148

semanas a contar da receção do pedido de consulta, sem prejuízo de poder adotar outras medidas da sua

competência.

6 - O prazo previsto no número anterior pode ser prorrogado por um mês, tendo em conta a complexidade

do tratamento em causa, devendo a autoridade de controlo informar o responsável pelo tratamento ou o

subcontratante dessa prorrogação e dos respetivos fundamentos.

Artigo 31.º

Segurança do tratamento

1 - O responsável pelo tratamento e o subcontratante adotam as medidas técnicas e organizativas

apropriadas a fim de assegurarem um nível de segurança adequado ao risco, em particular no que diz respeito

ao tratamento das categorias especiais de dados pessoais referidos no artigo 6.º.

2 - No que respeita ao tratamento automatizado de dados, o responsável pelo tratamento ou o

subcontratante, tendo em conta a avaliação dos riscos, devem aplicar medidas que:

a) Impeçam o acesso de pessoas não autorizadas ao equipamento utilizado para o tratamento («controlo de

acesso ao equipamento»);

b) Impeçam que os suportes de dados sejam lidos, copiados, alterados ou retirados sem autorização

(«controlo dos suportes de dados»);

c) Impeçam a introdução não autorizada de dados pessoais, bem como qualquer operação não autorizada

relativamente a dados pessoais conservados («controlo da conservação»);

d) Impeçam que os sistemas de tratamento automatizado sejam utilizados por pessoas não autorizadas por

meio de equipamento de comunicação de dados («controlo dos utilizadores»);

e) Assegurem que as pessoas autorizadas a utilizar um sistema de tratamento automatizado só tenham

acesso aos dados pessoais abrangidos pela sua autorização de acesso («controlo do acesso aos dados»);

f) Assegurem que possa ser verificado e determinado a que organismos os dados pessoais foram ou podem

ser transmitidos ou facultados utilizando equipamento de comunicação de dados («controlo da comunicação»);

g) Assegurem que possa ser verificado e determinado a posteriori quais os dados pessoais introduzidos nos

sistemas de tratamento automatizado, quando e por quem foram introduzidos («controlo da introdução»);

h) Impeçam que, durante as transferências de dados pessoais ou o transporte de suportes de dados, os

dados pessoais possam ser lidos, copiados, alterados ou suprimidos sem autorização («controlo do transporte»);

i) Asseguram que os sistemas utilizados possam ser restaurados em caso de interrupção («recuperação»);

j) Asseguram que as funções do sistema funcionam, que os erros de funcionamento sejam assinalados

(fiabilidade) e que os dados pessoais conservados não possam ser falseados por funcionamento defeituoso do

sistema («integridade»).

3 - O disposto no número anterior é aplicável, com as devidas adaptações, ao tratamento manual de dados

contidos ou destinados a um ficheiro estruturado.

Artigo 32.º

Notificação de uma violação de dados pessoais à autoridade de controlo

1 - Caso se verifique uma violação de dados pessoais, o responsável pelo tratamento notifica a autoridade

de controlo no prazo de 72 horas após ter tido conhecimento dessa violação, a menos que a violação não seja

suscetível de resultar num risco para os direitos, liberdades e garantias das pessoas singulares.

2 - Nos casos em que não seja possível efetuar a notificação no prazo de 72 horas, o responsável pelo

tratamento deve indicar os motivos do atraso.

3 - A notificação a que se referem os números anteriores é confidencial e deve, no mínimo:

a) Descrever a natureza da violação de dados pessoais, incluindo, se possível e adequado, as categorias e

o número aproximado de titulares dos dados afetados e as categorias e o número aproximado de registos de

dados pessoais em causa;