Saltar para o conteúdo
Consumo

Violação de Dados Pessoais por Empresa: Direitos e Reclamação

O Problema

Quando uma empresa sofre uma violação de dados (data breach) e os seus dados pessoais são expostos — seja por um ataque informático, um erro humano ou má gestão da segurança —, o titular dos dados tem direitos garantidos pelo RGPD. Pode exigir informação sobre o que aconteceu, pedir a eliminação dos dados, apresentar reclamação à Comissão Nacional de Protecção de Dados (CNPD) e, em casos de dano, exigir indemnização. A empresa tem 72 horas para notificar a CNPD e, se existir risco elevado, deve notificar os titulares.

Enquadramento Legal

O Regulamento Geral sobre a Protecção de Dados (RGPD — Regulamento UE 2016/679) é directamente aplicável em Portugal. O artigo 33.º RGPD obriga as empresas a notificar a CNPD de violações de dados no prazo de 72 horas. O artigo 34.º impõe a notificação dos titulares em caso de risco elevado. O artigo 82.º RGPD confere o direito a indemnização por danos materiais e imateriais resultantes de violações. A Lei n.º 58/2019, de 8 de agosto, executa o RGPD em Portugal e regula as competências da CNPD.

Art. 33.º RGPD

Obrigação de notificar a CNPD de violações de dados no prazo de 72 horas

Art. 34.º RGPD

Obrigação de notificar os titulares quando o risco é elevado

Art. 82.º RGPD

Direito a indemnização por danos causados por violação do RGPD

Art. 17.º RGPD

Direito ao apagamento dos dados pessoais

Soluções Possíveis

  • Apresentar reclamação formal à CNPD (www.cnpd.pt) contra a empresa responsável

  • Exigir por escrito à empresa informação completa sobre os dados afectados e as medidas tomadas

  • Solicitar a eliminação dos dados que já não sejam necessários (direito ao apagamento)

  • Instaurar acção judicial para indemnização por danos sofridos (financeiros ou danos à honra/imagem)

  • Contactar o Banco de Portugal ou a ASF se a violação envolver dados financeiros ou de seguros

Prazos Importantes

Prazo da empresa para notificar a CNPD após tomar conhecimento da violação

72 horas

Resposta da empresa ao pedido do titular dos dados

1 mês (prorrogável por mais 2 em casos complexos)

Prazo de prescrição para acção de indemnização

3 anos a partir do conhecimento dos danos (art. 498.º CC)

* Os prazos indicados são orientativos. Consulte um advogado para confirmar a aplicação ao seu caso concreto.

Quando é indispensável um advogado?

Deve contactar um advogado especializado em protecção de dados quando os dados expostos incluem informação bancária, de saúde ou dados que possam permitir roubo de identidade, ou quando pretende instaurar uma acção de indemnização. A reclamação à CNPD pode ser feita pelo próprio titular.

Precisa de ajuda jurídica?

Explique o seu caso e fale com um advogado especializado em consumo.

Gratuito para cidadãos · Email OA verificado