A carregar...
Publicação
The GDPR and personal data breaches
| Nome: | Descrição: | Tamanho: | Formato: | |
|---|---|---|---|---|
| 636.92 KB | Adobe PDF |
Autores
Orientador(es)
Resumo(s)
The topic we propose to investigate throughout our dissertation is personal data breaches, the effectiveness of Article 33 of the GDPR, and approaches for its improved enforcement.
The GDPR has established itself as a global standard for data protection, mandating that controllers must notify the competent SA’s of personal data breaches within 72 hours after becoming aware of them. However, many of these breaches remain unreported due to inconsistent enforcement, administrative burdens, and concerns over reputational damage.
Key challenges include detecting and assessing personal data breaches within the required timeframe, which may be insufficient given the complexity of modern cyber threats, and differentiating between security incidents and personal data breaches. The risk of severe sanctions may also lead to under-deterrence, where organizations avoid reporting personal data breaches to escape sanctions, or over-deterrence, where they report excessively to mitigate potential consequences.
A more flexible approach, such as the NIS 2 Directive’s two-tiered notification model, could enhance notification efficiency. Organizations, in order to strengthen compliance and enforcement, should also adopt comprehensive data protection policies, standardized security mechanisms, and efficient incident response plans.
Enhancing regulatory oversight and refining notification criteria can lead to a more effective enforcement of Article 33 of the GDPR, ultimately fortifying the EU data protection framework and ensuring stronger safeguards for data subjects.
O tema que nos propomos a investigar ao longo da nossa dissertação são as violações de dados pessoais, a eficácia do Artigo 33.º do RGPD e as estratégias para melhorar o seu cumprimento. O RGPD estabeleceu-se como uma referência global para a proteção de dados, exigindo que os responsáveis pelo tratamento comuniquem as violações de dados pessoais no prazo de 72 horas após terem conhecimento das mesmas. No entanto, muitas destas violações continuam a não ser comunicadas devido a um cumprimento inconsistente, sanções e apreensão face aos danos reputacionais. Os principais desafios incluem a deteção e avaliação das violações de dados pessoais dentro do prazo exigido, que pode ser insuficiente dada a complexidade das ciber ameaças modernas, e a diferenciação entre incidentes de segurança e violações de dados pessoais. O risco de sanções severas pode também levar a uma tendência em que as organizações evitam comunicar violações de dados pessoais para escapar às sanções ou, pelo contrário, optem por notificar em excesso para minimizar potenciais consequências. Uma abordagem mais flexível, como o modelo de notificação em dois passos da Diretiva SRI 2, poderia aumentar a eficiência da notificação. Para reforçar a conformidade e a implementação, as organizações devem também adotar políticas abrangentes de proteção de dados, mecanismos de segurança normatizados e planos eficientes de resposta a incidentes. O reforço da supervisão regulamentar e o aperfeiçoamento dos critérios de notificação podem conduzir a uma aplicação mais eficaz do Artigo 33.º do RGPD, reforçando, em última instância, o quadro de proteção de dados da UE e garantindo uma maior proteção aos titulares dos dados.
O tema que nos propomos a investigar ao longo da nossa dissertação são as violações de dados pessoais, a eficácia do Artigo 33.º do RGPD e as estratégias para melhorar o seu cumprimento. O RGPD estabeleceu-se como uma referência global para a proteção de dados, exigindo que os responsáveis pelo tratamento comuniquem as violações de dados pessoais no prazo de 72 horas após terem conhecimento das mesmas. No entanto, muitas destas violações continuam a não ser comunicadas devido a um cumprimento inconsistente, sanções e apreensão face aos danos reputacionais. Os principais desafios incluem a deteção e avaliação das violações de dados pessoais dentro do prazo exigido, que pode ser insuficiente dada a complexidade das ciber ameaças modernas, e a diferenciação entre incidentes de segurança e violações de dados pessoais. O risco de sanções severas pode também levar a uma tendência em que as organizações evitam comunicar violações de dados pessoais para escapar às sanções ou, pelo contrário, optem por notificar em excesso para minimizar potenciais consequências. Uma abordagem mais flexível, como o modelo de notificação em dois passos da Diretiva SRI 2, poderia aumentar a eficiência da notificação. Para reforçar a conformidade e a implementação, as organizações devem também adotar políticas abrangentes de proteção de dados, mecanismos de segurança normatizados e planos eficientes de resposta a incidentes. O reforço da supervisão regulamentar e o aperfeiçoamento dos critérios de notificação podem conduzir a uma aplicação mais eficaz do Artigo 33.º do RGPD, reforçando, em última instância, o quadro de proteção de dados da UE e garantindo uma maior proteção aos titulares dos dados.
Descrição
Palavras-chave
data protection privacy law GDPR personal data breaches security incidents personal data breach notification regulatory compliance cyber threats data protection authorities incident response risk assessment proteção de dados direito da privacidade RGPD violações de dados pessoais incidentes de segurança notificação de violação de dados pessoais conformidade normativa ciber ameaças autoridades de proteção de dados resposta a incidentes avaliação de riscos