Notificação de violação de dados no âmbito do GDPR
Saiba como a Microsoft detecta e responde a uma violação de dados pessoais e notifica você conforme o GDPR.
O GDPR determina exigência de notificação para controladores e processadores de dados no caso de uma violação de dados pessoais. As informações abaixo discutem essas disposições, como a Microsoft tenta evitar violações em primeiro lugar, como a Microsoft detecta uma violação e como a Microsoft responde no caso de violação e notifica você enquanto controlador de dados.
Ferramentas de administração
Perguntas frequentes sobre notificação de violação
Abaixo estão perguntas e respostas importantes sobre notificação de violação:
Perguntas frequentes
|
Dados pessoais englobam qualquer informação relacionada a um indivíduo que possa ser usada para identificá-lo direta ou indiretamente. Uma violação de dados pessoais é “uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados”.
No caso de uma violação de dados pessoais que provavelmente resultaria em alto risco aos direitos e à liberdade de indivíduos (como discriminação, roubo de identidades, fraude, perda financeira ou danos à reputação), o GDPR exige que você:
- Notifique a Autoridade de Proteção de Dados (DPA) dentro de 72 horas após tomar conhecimento do caso, por exemplo, após a Microsoft notificá-lo. Se você não notificar a DPA nesse período de tempo, precisará justificar as razões à DPA. Essa notificação à DPA é obrigatória mesmo quando houver risco a indivíduos sem haver probabilidade de alto risco.
- Notifique os sujeitos dos dados a respeito da violação sem atrasos injustificados.
- Documente a violação incluindo uma descrição da natureza da violação, por exemplo, quantas pessoas foram afetadas, o número de registros de dados afetados, as consequências da violação e as ações de remediação que sua organização está propondo ou realizando.
Depois que nós tomarmos conhecimento de uma violação de dados pessoais, o GDPR exige que nós notifiquemos você sem atrasos injustificados. Nas situações em que a Microsoft for a processadora, nossas obrigações refletem os requisitos de GDPR e nossas provisões contratuais padrão em todo o mundo. Consideramos que todas as violações de dados pessoais confirmadas estão no escopo; não há risco de limite de danos. Nós notificaremos nossos clientes se a violação de dados tiver sido sofrida pela Microsoft diretamente ou por qualquer um de nossos subprocessadores. Nós utilizamos processos para identificar e contactar rapidamente as equipes de incidentes de segurança que você identificou na sua organização. Além disso, todos os subprocessadores são contratualmente obrigados a reportar as próprias violações à Microsoft e fornecer garantias relacionadas a isso.
Todos os nossos serviços e todas as nossas equipes seguem procedimentos internos de gerenciamento de incidentes para garantir que tomamos as precauções adequadas a fim de evitar que as violações de dados sequer ocorram. No entanto, além disso, os Serviços Online utilizam controles de segurança específicos em todas as nossas plataformas para detectar violações de dados na eventualidade rara de que ocorram.
A fim de dar suporte a você no caso de uma violação de dados pessoais, a Microsoft:
- Tem equipe de segurança treinada para seguir procedimentos específicos.
- Utiliza políticas, procedimentos e controles para garantir que a Microsoft mantém registros detalhados. Isso inclui documentação que captura os fatos do incidente, seus efeitos e as ações de remediação, além das informações de rastreamento e armazenamento em nossos sistemas de gerenciamento de incidentes.
A Microsoft possui políticas e procedimentos para notificar você imediatamente. Para satisfazer seus requisitos de notificação ao DPA, fornecemos uma descrição do processo que usamos para determinar se uma violação de dados pessoais ocorreu, uma descrição da natureza da violação e uma descrição das medidas tomadas para mitigar a violação.