O RGPD entrou em vigor em maio de 2018 e, passados mais de seis anos, muitas PMEs portuguesas ainda não implementaram as medidas técnicas de segurança que a regulação exige. Não por má-fé, mas por falta de clareza sobre o que concretamente é obrigatório do ponto de vista técnico.
Este artigo traduz as exigências do RGPD em medidas técnicas concretas, sem linguagem jurídica desnecessária, com foco no que a sua empresa precisa de implementar para estar em conformidade real — não apenas em conformidade documental.
O que o RGPD exige em termos de segurança
O Artigo 32 do RGPD exige que os responsáveis pelo tratamento de dados implementem ‘medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco’. Esta formulação é propositadamente ampla — não existe uma lista fechada de medidas obrigatórias. A adequação é avaliada em função do estado da arte, dos custos de implementação e da natureza, âmbito, contexto e finalidades do tratamento.
O mesmo artigo menciona explicitamente como exemplos de medidas adequadas: pseudonimização e encriptação de dados pessoais, capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência dos sistemas, capacidade de restaurar o acesso a dados em caso de incidente, e processo de teste e avaliação regular da eficácia das medidas.
‘Medidas adequadas ao risco’ significa que uma PME que trata apenas email e dados de contacto de clientes tem obrigações diferentes de uma clínica médica que trata dados de saúde. O nível de proteção deve ser proporcional à sensibilidade dos dados.
As medidas técnicas obrigatórias que as empresas ignoram
Encriptação de dados em repouso e em trânsito
Dados pessoais armazenados devem estar encriptados — especialmente em laptops, dispositivos móveis e serviços cloud. A perda de um laptop com dados de clientes não encriptados é uma violação de dados RGPD com obrigação de notificação. Com encriptação de disco (BitLocker em Windows, FileVault em Mac), a perda do dispositivo não constitui violação.
Dados em trânsito — emails com dados pessoais, transferências de ficheiros, acessos a aplicações web — devem ser encriptados. HTTPS obrigatório em todos os sistemas web. Email encriptado para comunicações com dados sensíveis.
Controlo de acessos baseado em necessidade
Cada colaborador deve ter acesso apenas aos dados de que necessita para a sua função. O técnico de suporte não precisa de aceder a dados financeiros. O comercial não precisa de aceder a dados de RH. Acesso irrestrito a dados pessoais por todos os colaboradores é uma violação das boas práticas de protecção de dados.
Logs de acesso e auditoria
Saber quem acedeu a que dados e quando é um requisito de auditoria e uma ferramenta de investigação de incidentes. Sistemas que processam dados pessoais devem registar acessos, modificações e eliminações. Estes logs devem ser protegidos contra modificação e retidos por período adequado.
Registo de Actividades de Tratamento
O Artigo 30 do RGPD exige que organizações com mais de 250 colaboradores, ou que tratem dados de forma não ocasional, mantenham um registo escrito das suas actividades de tratamento. Para a maioria das PMEs, este registo é obrigatório.
O registo deve incluir: nome e contacto do responsável pelo tratamento, finalidades do tratamento, categorias de dados e de titulares, destinatários dos dados, transferências internacionais se aplicável, prazos de conservação, e descrição das medidas de segurança implementadas.
Não existe formato obrigatório — uma folha de cálculo bem organizada é suficiente. O que é obrigatório é que exista, esteja actualizado e seja disponibilizado à autoridade de controlo (CNPD em Portugal) se solicitado.
Notificação de Violação de Dados: prazos e obrigações
Uma violação de dados pessoais — acesso não autorizado, perda, destruição, divulgação indevida — deve ser notificada à CNPD no prazo de 72 horas após o responsável ter conhecimento dela, se a violação for susceptível de resultar em risco para os direitos dos titulares.
Este prazo de 72 horas é frequentemente impossível de cumprir sem um plano de resposta a incidentes pré-definido. A empresa tem de conseguir: detectar a violação rapidamente, avaliar o risco para os titulares, documentar o incidente, e notificar a CNPD — tudo em menos de 3 dias.
Se a violação for de alto risco para os titulares — dados de saúde, dados financeiros, dados de menores — existe adicionalmente obrigação de notificação directa aos titulares afectados, sem atrasos injustificados.
DPO: quando é obrigatório para uma PME
O Encarregado de Protecção de Dados (DPO) é obrigatório para: autoridades e organismos públicos, organizações que realizam monitorização sistemática de titulares em grande escala, e organizações que tratam em grande escala categorias especiais de dados (saúde, dados biométricos, dados de menores, dados sobre condenações penais).
Para a maioria das PMEs que tratam dados de clientes e colaboradores de forma standard, o DPO não é legalmente obrigatório. No entanto, designar internamente um responsável pela protecção de dados — mesmo sem ser DPO formal — é uma boa prática que melhora a governança e facilita a resposta a questões de conformidade.
Auditoria de conformidade RGPD: por onde começar
- Mapear todos os dados pessoais que a empresa trata: quais, de quem, onde estão armazenados, quem tem acesso
- Identificar a base legal para cada tratamento: consentimento, execução de contrato, obrigação legal, interesse legítimo
- Verificar se existem contratos de processamento de dados com fornecedores que tratam dados em nome da empresa (cloud providers, software de RH, CRM)
- Avaliar as medidas de segurança técnica existentes vs. o nível de risco dos dados tratados
- Criar ou actualizar o registo de actividades de tratamento
- Definir processo de resposta a violações de dados e a pedidos de titulares (acesso, rectificação, eliminação)
- Rever e actualizar a política de privacidade e os avisos de privacidade em pontos de recolha de dados
O custo de não estar em conformidade
A CNPD pode aplicar coimas de até 10 milhões de euros ou 2% da faturação mundial anual para violações das obrigações mais técnicas, e até 20 milhões de euros ou 4% da faturação para violações dos princípios fundamentais do RGPD. Para PMEs, estas coimas seriam existencialmente graves.
Além das coimas, uma violação de dados torna-se pública e tem impacto directo na reputação da empresa e na confiança dos clientes — um custo que não aparece nos relatórios financeiros mas que é igualmente real.
>>> Verifique se a sua empresa está tecnicamente em conformidade com o RGPD. A JL Suporte & Consultoria realiza diagnóstico técnico gratuito e apresenta plano de conformidade. Contacte-nos.
