Incidente de segurança e decisões AEPD

Publicações22 de abril de 2026
A Agência Espanhola de Proteção de Dados (AEPD) multou uma escola em 5.000 euros na sequência de uma violação de dados causada pelo roubo do computador portátil de um funcionário.

1. Pontos essenciais sobre o incidente

A sanção, imposta à Escola Nuestra Señora de la Caridad del Cobre, na qualidade de responsável pelo tratamento de dados, decorre de uma violação de dados pessoais ocorrida em 21 de março de 2023, quando o computador portátil da diretora pedagógica foi roubado das instalações da escola. Tinha saído do seu gabinete, deixando a porta fechada mas destrancada.


O incidente de segurança afectou um total de 450 pessoas (150 das quais menores), com dados pessoais e informações relacionadas com os registos académicos dos alunos, incluindo dados de saúde, cuja segurança foi comprometida. Assim, o incidente foi comunicado à AEPD em 24 de março do mesmo ano, classificado pela escola como de baixo risco, tendo sido indicado que não se considerava necessário notificar as pessoas afectadas.


A escola justifica a sua conclusão argumentando que, antes do incidente, tinha implementado medidas de segurança preventivas destinadas a impedir o acesso não autorizado aos dispositivos (como o bloqueio automático após 10 minutos de inatividade) e a controlar o acesso físico e lógico à informação.


Após o incidente, a escola adoptou uma série de medidas corretivas, alterando as passwords das contas de correio eletrónico e de acesso do funcionário, bem como medidas destinadas a reforçar o sistema de controlo de acessos, com o intuito de melhorar continuamente os seus procedimentos, incluindo o envio de uma circular aos funcionários, a realização de formação específica sobre a matéria e a revisão das medidas de segurança dos dispositivos informáticos.


No entanto, a AEPD considerou que a violação representava um risco elevado para os direitos e liberdades das pessoas, especialmente tendo em conta a natureza dos dados envolvidos (incluindo dados de saúde) e a presença de menores; consequentemente, em 4 de abril de 2023, ordenou expressamente à escola que notificasse as pessoas afectadas da violação, em conformidade com o artigo 34. Esta notificação não foi efectuada até 3 de maio de 2023.


Uma vez concluída a investigação relevante, em 22 de março de 2024, a AEPD decidiu iniciar um processo sancionatório contra a instituição de ensino.


2. Incumprimento do RGPD

Com base nos factos descritos, a AEPD sancionou o estabelecimento de ensino pelas seguintes infrações ao Regulamento Geral de Proteção de Dados (RGPD):

  1. Artigo 32.º - Falta de diligência devida: a autoridade considera que as medidas implementadas tanto a nível preventivo como de resposta ao incidente são insuficientes. Para o efeito, recorda que as medidas de segurança devem ser adequadas e eficazes e não meramente formais. Em especial, considerou insuficiente a falta de cifragem dos dados contidos no computador portátil, o que representa um risco significativo para a confidencialidade das informações em caso de acesso não autorizado, e a falta de medidas de controlo do acesso físico à escola que poderiam ter evitado o roubo do aparelho.
  2. Artigo 34.º - Notificação de uma violação de dados pessoais às pessoas afectadas: a escola não cumpriu a sua obrigação de notificar as pessoas afectadas da violação sem atrasos injustificados, uma vez que adiou esta notificação até um mês depois de a autoridade de supervisão a ter exigido expressamente. A este respeito, a AEPD salienta que a escola agiu de forma contrária ao regulamento, que exige que a notificação seja feita "sem demora injustificada", dado que o incidente representava um risco elevado para os direitos das pessoas afectadas, uma vez que os dados relativos a menores e os dados relativos à saúde poderiam ter sido afectados.


3. Conclusões

Mais uma vez, a AEPD sublinha a importância do cumprimento da regulamentação em matéria de proteção de dados quando se trata de dados pessoais de menores, bem como a necessidade de estabelecer e aplicar diligentemente medidas técnicas e organizativas para atenuar os riscos que o tratamento pode representar para as pessoas afectadas.

Salienta que esta obrigação não é cumprida através da adoção de qualquer conjunto de medidas, mas que devem ser implementadas aquelas que possam ser consideradas adequadas e suficientes para alcançar o resultado desejado, nomeadamente, garantir a segurança do tratamento; além disso, para além do seu estabelecimento e implementação, é necessário supervisionar a sua correta utilização e aplicação adequada, de acordo com os critérios estabelecidos na jurisprudência em vários acórdãos (por exemplo, o Acórdão 90/2014 do Tribunal Superior Nacional ou o Acórdão 7359/2020 do Tribunal Supremo).


Por outro lado, embora a sanção aplicada por falta de notificação das pessoas afectadas tenha sido arquivada por caducidade do prazo, sublinha-se a obrigação de informar as pessoas afectadas, sem demora injustificada, dos incidentes de segurança da informação que representem um risco elevado para os seus direitos e liberdades, sendo fundamental agir com celeridade e transparência para mitigar os riscos.


Nota informativa do Departamento de Proteção de Dados da ECIJA Madrid.

La imagen muestra una escalera moderna vista a través de una abertura en una pared blanca.

Sócios relacionados

ATUALIDADE #ECIJA