RGPD — Regulamento Geral Protecção de Dados
✉ secretariado@protecaodedados.com ☎ (+351) 213 243 750
Lisboa | Bruxelas | São Francisco | PT EN
REGIME A01

RGPD — Regulamento Geral sobre a Protecção de Dados

Fundação da conformidade em protecção de dados na EU. Obrigações de controlador e responsável pelo tratamento, direitos dos titulares e segurança.

Início > Regulação > RGPD

Enquadramento Regulatório

O Regulamento (UE) 2016/679, conhecido como RGPD (General Data Protection Regulation), é a lei europeia que regula o tratamento de dados pessoais. Transposto em Portugal pela Lei 58/2019, estabelece direitos dos titulares, obrigações de controladores e responsáveis pelo tratamento, e consequências pela não conformidade.

O RGPD aplica-se a qualquer organização que processe dados pessoais de residentes na UE, independentemente de a organização estar localizada dentro ou fora da UE. Tem aplicação territorial global, o que torna a conformidade um imperativo internacional.

O escopo do RGPD inclui todos os dados pessoais (nome, email, IP, cookie ID, número de cliente) e cobre praticamente todas as formas de tratamento: recolha, armazenamento, análise, partilha e eliminação.

Principais Obrigações

As organizações precisam de garantir conformidade em múltiplas áreas. As principais obrigações são:

Art. 6.º — Base Legal

Toda a recolha e tratamento de dados pessoais requer uma base legal: consentimento, contrato, obrigação legal, interesse vital, missão pública ou interesse legítimo.

Art. 7.º — Consentimento

Consentimento deve ser explícito, específico, informado e obtido livremente. Checkbox pré-marcadas são proibidas. Consentimento para marketing requer opt-in activo.

Arts. 15-22 — Direitos dos Titulares

Direito de acesso, rectificação, apagamento, restrição, portabilidade, objecção e não estar sujeito a decisões inteiramente automatizadas. Organizações têm 30 dias para responder.

Art. 35 — AIPD

Avaliação de Impacto sobre a Protecção de Dados é obrigatória para tratamentos de elevado risco, incluindo rastreamento de comportamento, decisões automatizadas e dados sensíveis.

Arts. 33-34 — Notificação de Violações

Violações de segurança que causem risco aos direitos das pessoas devem ser notificadas à autoridade competente em 72 horas e aos titulares sem atraso indevido.

Art. 32 — Segurança de Dados

Implementação de medidas técnicas e organizacionais para proteger dados contra acesso não autorizado, destruição acidental e processamento ilegal.

Transferências Internacionais

O RGPD restringe transferências de dados pessoais para fora da UE. São necessários mecanismos legais como Adequação (para países com nível de protecção equivalente), Cláusulas Contratuais Padrão (SCC) ou Vinculações Corporativas Internacionais (BCR). Após a sentença Schrems II (2020), o recurso a SCC requer garantias contratuais adicionais.

Registo de Actividades de Tratamento

Organizações devem manter um registo detalhado de todas as actividades de tratamento (Art. 30). Este registo, conhecido como Registo de Tratamento ou Data Processing Inventory, deve incluir finalidades, categorias de dados, categorias de destinatários, períodos de retenção e medidas de segurança.

Encarregado de Protecção de Dados (EPD)

O RGPD obriga à nomeação de um EPD (Data Protection Officer) em organizações públicas e em organizações privadas cujas actividades principais envolvem monitorização regular e sistemática de pessoas. O EPD é responsável por garantir conformidade, servir como ponto de contacto com autoridades e receber reclamações dos titulares.

Conformidade Obrigatória em Portugal

A Comissão Nacional de Protecção de Dados (CNPD) é a autoridade supervisora portuguesa responsável pelo cumprimento do RGPD. Multas podem ascender a 20 milhões de euros ou 4% do volume de negócios anual para infracções graves.

Articulação com Outros Regimes

O RGPD não existe isolado. Interage com múltiplos regimes complementares:

  • NIS2 (Directiva 2022/2555): Convergência em notificação de incidentes. NIS2 requer notificação em 24h para incidentes de cibersegurança; RGPD requer notificação em 72h para violações de dados com risco.
  • AI Act (Reg. 2024/1689): Sistemas de IA que processem dados pessoais devem cumprir tanto AI Act como RGPD. Base legal, AIPD e direitos dos titulares aplicam-se a treino de IA.
  • ePrivacy (Lei 41/2004): Regulamenta cookies e comunicações electrónicas. Requer consentimento prévio para cookies não essenciais (mais rigoroso que consentimento RGPD genérico).
  • Data Act (Reg. 2023/2854): Introduz direitos de acesso a dados não pessoais e dados compartilhados. Pode afectar políticas de retenção e partilha de dados.

Serviços Relacionados

A conformidade RGPD requer expertise técnica e operacional. Oferecemos diversos serviços para apoiar a sua conformidade:

Encarregado de Protecção de Dados (EPD)

Nomeação de EPD externo, assessoria contínua, gestão de conformidade e representação junto de autoridades.

Auditorias de Conformidade

Avaliação completa da conformidade RGPD, identificação de gaps e recomendações de remediação.

Avaliação de Impacto (AIPD)

Realização de AIPD para tratamentos de elevado risco, análise de conformidade e medidas de mitigação.

Gestão de Incidentes

Suporte em violações de dados, notificação a autoridades e titulares, investigação forense e documentação.

Referências e Recursos

Legislação Primária:

Cross-links:

Implementar Conformidade RGPD

Precisa de implementar ou validar conformidade RGPD? Os nossos especialistas têm experiência em AIPD, nomeação de EPD e remediação de gaps.

Contacte-nos