22 DE JULHO DE 2019

65

a) Impeçam o acesso de pessoas não autorizadas ao equipamento utilizado para o tratamento (controlo de

acesso ao equipamento);

b) Impeçam que os suportes de dados sejam lidos, copiados, alterados ou retirados sem autorização

(controlo dos suportes de dados);

c) Impeçam a introdução não autorizada de dados pessoais, bem como qualquer operação não autorizada

relativamente a dados pessoais conservados (controlo da conservação);

d) Impeçam que os sistemas de tratamento automatizado sejam utilizados por pessoas não autorizadas

por meio de equipamento de comunicação de dados (controlo dos utilizadores);

e) Assegurem que as pessoas autorizadas a utilizar um sistema de tratamento automatizado só tenham

acesso aos dados pessoais abrangidos pela sua autorização de acesso (controlo do acesso aos dados);

f) Assegurem que possa ser verificado e determinado a que organismos os dados pessoais foram ou

podem ser transmitidos ou facultados utilizando equipamento de comunicação de dados (controlo da

comunicação);

g) Assegurem que possa ser verificado e determinado a posteriori quais os dados pessoais introduzidos

nos sistemas de tratamento automatizado, quando e por quem foram introduzidos (controlo da introdução);

h) Impeçam que, durante as transferências de dados pessoais ou o transporte de suportes de dados, os

dados pessoais possam ser lidos, copiados, alterados ou suprimidos sem autorização (controlo do transporte);

i) Assegurem que os sistemas utilizados possam ser restaurados em caso de interrupção (recuperação);

j) Assegurem que as funções do sistema funcionam, que os erros de funcionamento sejam assinalados

(fiabilidade) e que os dados pessoais conservados não possam ser falseados por funcionamento defeituoso do

sistema (integridade).

3 - O disposto no número anterior é aplicável, com as devidas adaptações, ao tratamento manual de dados

contidos ou destinados a um ficheiro estruturado.

Artigo 32.º

Notificação de uma violação de dados pessoais à autoridade de controlo

1 - Caso se verifique uma violação de dados pessoais, o responsável pelo tratamento notifica a autoridade

de controlo no prazo de 72 horas após ter conhecimento da situação, a menos que a violação não seja

suscetível de resultar num risco para os direitos, liberdades e garantias das pessoas singulares.

2 - Nos casos em que não seja possível efetuar a notificação no prazo de 72 horas, o responsável pelo

tratamento deve indicar os motivos do atraso.

3 - A notificação a que se refere o n.º 1 é confidencial e deve, no mínimo:

a) Descrever a natureza da violação de dados pessoais, incluindo, se possível e adequado, as categorias e

o número aproximado de titulares dos dados afetados e as categorias e o número aproximado de registos de

dados pessoais em causa;

b) Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto,

para efeitos de prestação de informações adicionais;

c) Descrever as consequências prováveis da violação de dados pessoais;

d) Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação

de dados pessoais, nomeadamente, se for caso disso, para atenuar os seus eventuais efeitos negativos.

4 - Nos casos em que não seja possível serem prestadas em simultâneo, as informações referidas no

número anterior podem ser fornecidas posteriormente à notificação, sem demora injustificada.

5 - O responsável pelo tratamento documenta qualquer violação de dados pessoais, incluindo os factos

com ela relacionados, os seus efeitos e as medidas de reparação adotadas, de modo a permitir à autoridade

de controlo verificar o cumprimento do disposto no presente artigo.

6 - Caso a violação de dados envolva dados pessoais que tenham sido transmitidos pelo ou ao responsável

pelo tratamento de outro Estado-Membro, as informações referidas no n.º 3 são-lhe comunicadas, sem demora