Uma violação de dados pessoais é qualquer incidente de segurança que leve à destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado a dados pessoais.

Sempre que tal violação possa representar um risco para os direitos e liberdades dos titulares, o responsável pelo tratamento deve:

• Notificar a CNPD no prazo máximo de 72 horas após ter tido conhecimento da violação;
• Informar os titulares dos dados, quando a violação puder implicar um risco elevado para os seus direitos.

A notificação deve conter:

• A natureza da violação;
• As consequências prováveis;

As medidas adotadas ou propostas para remediar e mitigar os efeitos.