O Regulamento Geral sobre a Proteção de Dados é o regime jurídico de maior impacto regulatório do ecossistema — transversal a todas as organizações, públicas e privadas, que tratem dados pessoais de titulares na União Europeia. Esta ficha técnica sistematiza as obrigações, prazos, sanções e serviços de conformidade disponíveis.
O RGPD — Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 — constitui o quadro normativo europeu sobre a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Em Portugal, a Lei n.º 58/2019, de 8 de agosto, assegura a execução do RGPD na ordem jurídica nacional.
O RGPD aplica-se a todas as organizações que tratem dados pessoais de titulares que se encontrem na União Europeia, independentemente de a organização estar estabelecida na UE. A conformidade não é um projecto pontual — é uma obrigação permanente que exige monitorização contínua, documentação actualizada e capacidade de resposta a incidentes e exercícios de direitos.
A Comissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo em Portugal, competente para fiscalizar o cumprimento do RGPD e da legislação nacional de proteção de dados, aplicar medidas correctivas e impor coimas.
As principais obrigações que qualquer organização que trate dados pessoais deve conhecer e implementar para assegurar a conformidade com o Regulamento Geral sobre a Proteção de Dados.
Documentação obrigatória de todos os tratamentos de dados pessoais realizados pela organização, incluindo finalidades, categorias de dados, destinatários e prazos de conservação (artigo 30.º do RGPD).
Obrigatória para entidades públicas, organizações que realizem tratamento em grande escala e entidades que tratem categorias especiais de dados de forma sistemática (artigo 37.º do RGPD).
Obrigatórias quando o tratamento seja susceptível de resultar num elevado risco para os direitos e liberdades dos titulares, designadamente quando envolva novas tecnologias ou monitorização sistemática (artigo 35.º do RGPD).
Garantia do exercício dos direitos de acesso, rectificação, apagamento, limitação do tratamento, portabilidade e oposição, com resposta no prazo máximo de um mês (artigos 15.º a 22.º do RGPD).
Comunicação à CNPD no prazo máximo de 72 horas após conhecimento da violação e comunicação aos titulares quando a violação seja susceptível de resultar em elevado risco (artigos 33.º e 34.º do RGPD).
Formalização obrigatória das relações com subcontratantes que tratem dados pessoais por conta do responsável, com cláusulas específicas sobre instruções, medidas de segurança e subcontratação ulterior (artigo 28.º do RGPD).
O RGPD prevê um regime sancionatório robusto, com dois escalões de coimas proporcionais à gravidade da infracção, complementado pela Lei n.º 58/2019 com disposições específicas para o contexto português.
| Escalão | Coima Máxima | Âmbito de Aplicação | Base Legal |
|---|---|---|---|
| Escalão Superior | €20M / 4% do volume de negócios anual global |
Princípios de tratamento, direitos dos titulares, transferências internacionais, incumprimento de decisões da autoridade de controlo | Art. 83.º, n.º 5 e 6 |
| Escalão Inferior | €10M / 2% do volume de negócios anual global |
Obrigações do responsável e subcontratante, organismos de certificação, organismos de supervisão dos códigos de conduta | Art. 83.º, n.º 4 |
| Entidades Públicas (PT) | Regime especial limites reduzidos |
A Lei n.º 58/2019 estabelece limites especiais para entidades públicas portuguesas, com valores máximos diferenciados | Lei 58/2019, art. 44.º |
Portfólio completo de serviços para apoiar a sua organização na implementação, manutenção e verificação da conformidade com o Regulamento Geral sobre a Proteção de Dados.
Serviços especializados de Encarregado de Proteção de Dados externo e de suporte técnico-jurídico a DPOs internos, assegurando o cumprimento permanente das obrigações do artigo 39.º do RGPD.
O Encarregado de Proteção de Dados (DPO) é a figura central do sistema de conformidade RGPD. A designação de DPO é obrigatória para todas as entidades públicas e para as organizações privadas cujas actividades principais envolvam o tratamento de dados pessoais em grande escala ou de categorias especiais de dados.
Disponibilizamos dois modelos de serviço complementares: o DPO externo permanente (DPO-as-a-Service), para organizações que optem pela externalização completa da função; e o suporte técnico-jurídico especializado ao DPO interno, para organizações que disponham de DPO designado mas necessitem de apoio especializado em matérias específicas.
Programa estruturado de capacitação em proteção de dados pessoais, desde a sensibilização de colaboradores até à formação avançada para DPOs, integrado no Centro de Formação em Proteção de Dados.
A formação contínua é componente essencial de qualquer programa de conformidade RGPD — não apenas como obrigação implícita do princípio de accountability (artigo 5.º, n.º 2), mas como instrumento operacional de prevenção de incidentes e de capacitação das equipas para responder adequadamente a situações de risco.
O programa de formação é desenvolvido e ministrado em articulação com o Centro de Formação em Proteção de Dados (cfpd.pt), que assegura a especialização vertical na área da proteção de dados, complementando a oferta transversal do Centro de Formação Jurídica.
Plataforma integrada de compliance e accountability sobre proteção de dados, concebida para operacionalizar as obrigações do RGPD e demonstrar a conformidade perante a CNPD, titulares e parceiros.
O princípio de accountability (artigo 5.º, n.º 2, do RGPD) exige que as organizações não apenas cumpram as obrigações regulatórias, mas que sejam capazes de demonstrar esse cumprimento em qualquer momento. Isto requer sistemas, processos e documentação operacional permanentemente actualizados.
A Plataforma de Proteção de Dados constitui o instrumento operacional que permite às organizações gerir de forma centralizada e sistemática todas as dimensões da conformidade RGPD — do registo de actividades de tratamento à gestão de incidentes, da resposta a exercícios de direitos à monitorização de subcontratantes.
Repositório especializado de documentação e informação sobre proteção de dados pessoais — legislação, orientações da CNPD, deliberações do CEPD, modelos documentais e guias práticos de conformidade.
A conformidade com o RGPD exige acesso permanente a um corpo documental extenso e em constante actualização — desde o próprio regulamento europeu e a legislação nacional de execução até às orientações das autoridades de controlo, as directrizes do Comité Europeu para a Proteção de Dados (CEPD) e a jurisprudência relevante.
O Repositório de Proteção de Dados organiza e disponibiliza esta documentação de forma estruturada e pesquisável, complementada por modelos documentais operacionais, guias práticos de implementação e fichas temáticas que traduzem as obrigações legais em acções concretas para as organizações.
Respostas técnicas às questões mais comuns sobre o Regulamento Geral sobre a Proteção de Dados, a Lei n.º 58/2019 e as obrigações das organizações em matéria de proteção de dados pessoais.
O Regulamento Geral sobre a Proteção de Dados (RGPD) — Regulamento (UE) 2016/679 — é o quadro normativo europeu que regula o tratamento de dados pessoais. Aplica-se a todas as organizações, públicas e privadas, que tratem dados pessoais de titulares na União Europeia, independentemente de a organização estar ou não estabelecida na UE. Em Portugal, a Lei n.º 58/2019, de 8 de agosto, procede à execução do RGPD na ordem jurídica nacional.
Nos termos do artigo 37.º do RGPD, a designação de um Encarregado de Proteção de Dados (DPO) é obrigatória quando: (a) o tratamento for efectuado por uma autoridade ou organismo público; (b) as actividades principais do responsável ou subcontratante consistam em operações de tratamento que exijam controlo regular e sistemático dos titulares em grande escala; ou (c) as actividades principais consistam no tratamento em grande escala de categorias especiais de dados ou de dados relativos a condenações penais. Em Portugal, a Lei n.º 58/2019 alarga esta obrigação a determinadas entidades adicionais.
O artigo 5.º do RGPD consagra sete princípios fundamentais: licitude, lealdade e transparência; limitação das finalidades; minimização dos dados; exactidão; limitação da conservação; integridade e confidencialidade; e responsabilidade (accountability). O princípio da responsabilidade exige que o responsável pelo tratamento seja capaz de demonstrar a conformidade com todos os restantes princípios, invertendo o ónus da prova em matéria de proteção de dados.
O prazo para notificação à CNPD é de 72 horas após o responsável tomar conhecimento da violação de dados pessoais (artigo 33.º do RGPD). Se a notificação não for feita nesse prazo, deve ser acompanhada dos motivos do atraso. Adicionalmente, se a violação for susceptível de resultar num elevado risco para os direitos e liberdades dos titulares, estes devem ser informados sem demora injustificada (artigo 34.º do RGPD). A documentação de todos os incidentes é obrigatória, independentemente da sua notificação à autoridade de controlo.
Sim. O RGPD permite expressamente que o Encarregado de Proteção de Dados exerça as suas funções com base num contrato de prestação de serviços (artigo 37.º, n.º 6). O DPO externo pode servir várias organizações, desde que esteja facilmente acessível a partir de cada estabelecimento e que não exista conflito de interesses. O modelo de DPO externo — frequentemente designado DPO-as-a-Service — é particularmente adequado para PME e organizações que não disponham de recursos para um DPO a tempo inteiro.
Dados pessoais são qualquer informação relativa a uma pessoa singular identificada ou identificável (artigo 4.º, n.º 1). As categorias especiais de dados — frequentemente designadas «dados sensíveis» — incluem dados que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos para identificação unívoca, dados relativos à saúde, e dados relativos à vida sexual ou orientação sexual (artigo 9.º). O seu tratamento é, em regra, proibido, salvo verificação de uma das condições excepcionais previstas no artigo 9.º, n.º 2.
O RGPD articula-se directamente com outros regimes jurídicos do ecossistema. A conformidade integrada entre regimes é a abordagem mais eficaz para gerir a complexidade regulatória contemporânea.
Solicite uma avaliação inicial de conformidade ou uma proposta de serviços em proteção de dados pessoais. Analisamos a situação da sua organização e apresentamos as soluções mais adequadas.