Sempre que ocorrer uma ou mais violações de dados pessoais, esses incidentes devem ser documentados, registando os factos que caraterizam essa violação de dados, os efeitos dessa violação e as medidas de mitigação. Garanta que conhece os procedimentos da instituição que acolhe a sua investigação para comunicação de violações de dados pessoais à equipa competente na sua instituição. Tipicamente, este processo envolve informar de imediato a direção da instituição, a equipa de segurança operacional (SOC) e o Encarregado da Proteção de Dados (EPD).
As violações de dados pessoais que possam representar risco para os titulares dos dados devem ser notificadas à Comissão Nacional de Proteção de Dados (CNPD) sem demora injustificada e, sempre que possível, no prazo máximo de 72 horas após a sua deteção. Essa notificação é decidida e realizada pela direção da instituição, em articulação com o Encarregado de Proteção de Dados (EPD), de acordo com os procedimentos internos definidos para a gestão de incidentes de segurança e violações de dados pessoais.
Quando o incidente possa implicar um risco elevado para os titulares, estes serão igualmente informados, de forma clara e tempestiva, sobre a natureza da violação e as medidas adotadas para mitigar os seus efeitos.