The topic we propose to investigate throughout our dissertation is personal data breaches, the effectiveness of Article 33 of the GDPR, and approaches for its improved enforcement.

The GDPR has established itself as a global standard for data protection, mandating that controllers must notify the competent SA’s of personal data breaches within 72 hours after becoming aware of them. However, many of these breaches remain unreported due to inconsistent enforcement, administrative burdens, and concerns over reputational damage.

Key challenges include detecting and assessing personal data breaches within the required timeframe, which may be insufficient given the complexity of modern cyber threats, and differentiating between security incidents and personal data breaches. The risk of severe sanctions may also lead to under-deterrence, where organizations avoid reporting personal data breaches to escape sanctions, or over-deterrence, where they report excessively to mitigate potential consequences.

A more flexible approach, such as the NIS 2 Directive’s two-tiered notification model, could enhance notification efficiency. Organizations, in order to strengthen compliance and enforcement, should also adopt comprehensive data protection policies, standardized security mechanisms, and efficient incident response plans.

Enhancing regulatory oversight and refining notification criteria can lead to a more effective enforcement of Article 33 of the GDPR, ultimately fortifying the EU data protection framework and ensuring stronger safeguards for data subjects.

O tema que nos propomos a investigar ao longo da nossa dissertação são as violações de dados pessoais, a eficácia do Artigo 33.º do RGPD e as estratégias para melhorar o seu cumprimento.

O RGPD estabeleceu-se como uma referência global para a proteção de dados, exigindo que os responsáveis pelo tratamento comuniquem as violações de dados pessoais no prazo de 72 horas após terem conhecimento das mesmas. No entanto, muitas destas violações continuam a não ser comunicadas devido a um cumprimento inconsistente, sanções e apreensão face aos danos reputacionais.

Os principais desafios incluem a deteção e avaliação das violações de dados pessoais dentro do prazo exigido, que pode ser insuficiente dada a complexidade das ciber ameaças modernas, e a diferenciação entre incidentes de segurança e violações de dados pessoais. O risco de sanções severas pode também levar a uma tendência em que as organizações evitam comunicar violações de dados pessoais para escapar às sanções ou, pelo contrário, optem por notificar em excesso para minimizar potenciais consequências.

Uma abordagem mais flexível, como o modelo de notificação em dois passos da Diretiva SRI 2, poderia aumentar a eficiência da notificação. Para reforçar a conformidade e a implementação, as organizações devem também adotar políticas abrangentes de proteção de dados, mecanismos de segurança normatizados e planos eficientes de resposta a incidentes.

O reforço da supervisão regulamentar e o aperfeiçoamento dos critérios de notificação podem conduzir a uma aplicação mais eficaz do Artigo 33.º do RGPD, reforçando, em última instância, o quadro de proteção de dados da UE e garantindo uma maior proteção aos titulares dos dados.