A resposta a incidentes de segurança informática, em particular a contenção da ameaça e o restabelecimento da funcionalidade, deve ter o cuidado de preservar as evidências que ajudem a determinar e comprovar os sistemas e a informação afetados pelo incidente.
Todos os incidentes de segurança informática devem ser reportados ao
CSIRT.UMinho pelo endereço csirt@uminho.pt.
Todas as
violações de dados pessoais têm de ser comunicadas ao Encarregado da Proteção de Dados (DPO), sem demora injustificada, para registo e avaliação das medidas a tomar.
As violações de dados pessoais que possam resultar em risco para os seus titulares devem de ser comunicadas à Autoridade de Controlo (CNPD) até 72 horas após terem sido detetadas (RGPD, artigo 33.º).
As violações suscetíveis de implicar um elevado risco para os titulares dos dados devem ser-lhes comunicadas sem demora injustificada. (RGPD, artigo 34.º)
A avaliação do risco deve ser feita em conjunto com o DPO.
A comunicação à Autoridade de Controlo será feita por intermédio do DPO.
A comunicação ao DPO faz-se por email para o endereço protecaodados@uminho.pt, por meio do seguinte formulário:
Formulário de notificação de Violação de Dados Pessoais ao Encarregado da Proteção de Dados
O formulário poderá ser reenviado sempre que se obtenham mais informações, mas o primeiro envio não deverá ser atrasado pela recolha de informações que não possam ser imediatas.
Quando a sensibilidade da informação o justifique este documento deve ser cifrado e a password que o decifre enviada ao DPO por canal diferente do email.
A não notificação à Autoridade de controlo de violações de dados suscetíveis de resultar em
risco para os titulares e a não comunicação aos titulares dos dados de violações suscetíveis de implicar um
elevado risco para os seus direitos e liberdades, constituem contraordenações graves, conforme a alínea j) e k) do nº1, do artigo 38.º da lei 58/2019 de 8 de agosto.