FAQ — Perguntas Frequentes

O RGPD (Regulamento Geral sobre a Proteção de Dados) é uma regulação europeia que estabelece regras sobre como as organizações devem processar e proteger dados pessoais. Aplica-se a todas as organizações (públicas, privadas ou sem fins lucrativos) que processem dados pessoais de residentes europeus, independentemente de estar sediada na Europa ou não. A regulação entrou em vigor em 25 de maio de 2018 e substituiu a Diretiva de Proteção de Dados de 1995.

O RGPD estabelece vários direitos fundamentais para os titulares de dados: direito ao acesso (conhecer que dados são processados), direito à retificação (corrigir dados incorretos), direito ao apagamento (direito ao esquecimento), direito à limitação do processamento, direito à portabilidade (receber dados num formato estruturado), direito a opor-se ao processamento, direitos relacionados com decisões automatizadas (incluindo profiling), direito a ser informado sobre violações, e direito a requerer indenização por danos causados por violação do RGPD.

Uma AIPD (ou DPIA em inglês) é um processo de análise sistemático sobre as atividades de processamento de dados que apresentem riscos elevados. É obrigatória quando o processamento é suscetível de resultar em risco elevado, como processamento em larga escala, uso de novas tecnologias, tratamento sistemático de dados sensíveis, ou tomada de decisões automatizadas com efeitos jurídicos. A AIPD ajuda a identificar e mitigar riscos antes que causem problemas e demonstra conformidade regulatória.

Em caso de violação de dados, a organização deve: (1) avaliar o risco para os direitos e liberdades das pessoas; (2) notificar a autoridade de proteção de dados (CNPD em Portugal) no prazo de 72 horas, a menos que o risco seja improvável; (3) informar os titulares dos dados sem atrasos indevidos se houver risco elevado; (4) documentar todas as violações, mesmo que não notificadas; (5) ter um plano de resposta em vigor. A CNPD pode aplicar multas se a notificação não for feita corretamente ou se não houver documentação adequada.

Transferências internacionais de dados são movimentações de dados pessoais para fora do Espaço Económico Europeu (EEE). O RGPD é restritivo a este respeito: apenas podem ocorrer para países com nível adequado de proteção (como Canadá, Japão), com base em mecanismos adequados (Cláusulas Contratuais Padrão, Vinculações Corporativas Internas), ou com garantias apropriadas. É necessária uma avaliação de impacto, especialmente após a decisão Schrems II, que invalida alguns mecanismos de transferência para os EUA. Todas as transferências devem ser documentadas e fundamentadas legalmente.

O RGPD estabelece duas categorias de coimas. A Categoria 1 (violações menos graves) pode atingir 10 milhões de euros ou 2% da facturação anual global, consoante o que for superior. A Categoria 2 (violações graves, como falta de consentimento, ausência de EPD obrigatório, ou transferências ilegais) pode atingir 20 milhões de euros ou 4% da facturação anual global. As autoridades devem considerar fatores como a gravidade, duração, intencionalidade, e o historial de violações ao decidir sobre multas. Mesmo violações menores podem resultar em reputação danificada e ações judiciais privadas.

A NIS2 (Diretiva (UE) 2022/2555) é a versão atualizada da Diretiva de Segurança das Redes e Informação. Entrou em vigor em Portugal a 18 de outubro de 2024. Estabelece requisitos de cibersegurança e notificação de incidentes para operadores de serviços essenciais (energia, transportes, saúde, água, infra infraestruturas digitais) e prestadores de serviços digitais importantes. A NIS2 é mais abrangente que a NIS1, com requisitos operacionais obrigatórios, gestão de riscos, testes de segurança, e notificação de incidentes no prazo de 24 horas.

A NIS2 aplica-se a: (1) Operadores de Serviços Essenciais (OSE) em setores como energia, transportes, saúde, água, infraestruturas digitais (DNS, plataformas em nuvem, etc.); (2) Prestadores de Serviços Digitais Importantes (PSDI) com critérios baseados em tamanho, importância para a sociedade digital, e impacto potencial em cascata. Entidades pequenas e médias podem estar abrangidas dependendo do setor. A CNPD disponibilizará listas oficiais de entidades designadas. Se opera em setores críticos ou oferece serviços digitais de grande escala, é provável estar abrangido.

NIS2 e RGPD são complementares mas distintos. O RGPD trata da proteção de dados pessoais e privacidade, enquanto a NIS2 trata da segurança das redes e infraestruturas de informação (incluindo dados não pessoais). Ambos requerem medidas de segurança, gestão de riscos, e notificação de incidentes, mas com diferentes timings e critérios. Uma organização pode estar sujeita a ambos: deve cumprir o RGPD em relação aos dados pessoais (notificação CNPD em 72h) e a NIS2 em relação à segurança geral (notificação em 24h para incidentes). As medidas implementadas para um regulamento frequentemente beneficiam o cumprimento do outro.

Com a NIS2, o EPD/DPO tem um papel expandido: além de proteção de dados, agora é esperado coordenar ou colaborar com a conformidade NIS2, especialmente em questões de segurança da informação que impactam dados pessoais. O EPD deve estar envolvido em: avaliações de riscos de cibersegurança, planos de resposta a incidentes, gestão de fornecedores de TI, e testes de segurança. A NIS2 introduz novos requisitos de documentação e notificação que o EPD/DPO deve monitorar. Não é um novo papel separado, mas uma extensão das responsabilidades do EPD para incluir cibersegurança corporativa além de proteção de dados.

De acordo com o RGPD (Art. 37.º), a designação de um EPD/DPO é obrigatória para: (1) autoridades e órgãos públicos (exceto tribunais); (2) organizações cujas atividades principais consistem em tratamentos sistemáticos em larga escala de dados pessoais; (3) organizações cujas atividades principais consistem em monitorização sistemática de indivíduos em larga escala. Em Portugal, adicionalmente, a Lei 58/2019 obriga à designação em organismos da administração pública direta e indireta. Outras organizações podem designar EPD voluntariamente como boa prática.

Um EPD interno é um colaborador da organização dedicado (em tempo total ou parcial) à função de proteção de dados. Reporta ao conselho de administração ou direção, goza de independência, não pode ser penalizado por exercer as suas funções, e tem acesso a todos os recursos necessários. Um EPD externo é um consultor ou prestador de serviço contratado (uma pessoa singular ou empresa) que desempenha a função para várias organizações. Ambos têm as mesmas responsabilidades e direitos, mas o EPD interno tem maior disponibilidade e conhecimento interno, enquanto o externo traz expertise e perspetiva externa. A escolha depende de recursos, tamanho, e complexidade organizacional.

O EPD Partilhado é um modelo onde várias organizações (tipicamente pequenas entidades do setor público como freguesias ou pequenos municípios) partilham um EPD/DPO para cumprir a obrigação legal. Permite: (1) reduzir custos (as entidades dividem o orçamento); (2) garantir expertise especializada; (3) beneficiar de escalas; (4) ter flexibilidade em horas disponibilizadas conforme necessidade. O EPD Partilhado pode ser um colaborador de uma entidade "lead" ou um prestador externo contratado por um consórcio. É particularmente comum na administração pública, onde entidades pequenas com orçamentos limitados optam por este modelo para cumprir requisitos e ter suporte contínuo.

As responsabilidades do EPD incluem: (1) informar e aconselhar a organização sobre obrigações RGPD; (2) monitorizar a conformidade (auditorias, reviews); (3) servir como ponto de contacto com as autoridades de proteção de dados; (4) receber e investigar reclamações de titulares; (5) realizar e supervisionar avaliações de impacto (AIPD); (6) aconselhar sobre contratação de processadores de dados; (7) cooperar com a CNPD; (8) manter registos de atividades de processamento; (9) elaborar relatórios de conformidade. O EPD tem direito a formação contínua, recursos adequados, e deve reportar diretamente ao nível mais elevado da organização para garantir independência.

Deve preencher o formulário de notificação disponível no site da CNPD (www.cnpd.pt) e enviá-lo para dpo@cnpd.pt com a seguinte informação: (1) nome e contacto do EPD/DPO; (2) nome e endereço da organização; (3) setor de atividade; (4) motivo da designação (público, processamento em larga escala, monitorização); (5) se o EPD é interno ou externo. A notificação deve ser feita assim que possível após a designação, não tem prazo específico, mas é considerada boa prática registar imediatamente. A CNPD mantém um registro público de EPDs notificados. A falta de notificação não invalida a designação, mas pode ser considerada incumprimento regulatório em caso de inspeção.

O RGPD não estabelece formação obrigatória específica, mas recomenda que o EPD possua "conhecimento especial das disposições de proteção de dados" (Art. 37.º). Na prática, é essencial compreender: Lei RGPD e legislação nacional (Portugal: Lei 58/2019), princípios de proteção de dados, direitos dos titulares, documentação de conformidade (Registos de Atividades de Processamento), segurança de dados, normas técnicas (ISO/IEC 27001), avaliação de impacto (AIPD), notificação de violações, e boas práticas setoriais. Recomenda-se certificações reconhecidas internacionalmente como IAPP CIPM ou DGPI (Data Governance Professional). A formação contínua é obrigatória para acompanhar alterações regulatórias.

Não existem certificações obrigatórias por lei em Portugal para exercer como EPD. No entanto, a CNPD e organismos internacionais como IAPP (International Association of Privacy Professionals) recomendam certificações como CIPM (Certified Information Privacy Manager) ou CIPT (Certified Information Privacy Technologist). A certificação DGPI (Data Governance Professional Illustrissimo) é reconhecida em Portugal e em organizações ibéricas. Muitas organizações e setores públicos exigem certificações nas contratações. O importante é demonstrar competência através de formação formal, experiência profissional comprovada, e envolvimento em contínua aprendizagem. A CNPD aprecia EPDs com formação certificada e inclui isto em avaliações de conformidade.

Oferecemos programas de formação abrangentes em: (1) RGPD Fundamentals (legislação, princípios, direitos dos titulares); (2) EPD/DPO Essencial (responsabilidades, governança, documentação); (3) AIPD (Avaliação de Impacto); (4) Segurança de Dados e Criptografia; (5) Notificação de Violações e Resposta a Incidentes; (6) Transferências Internacionais de Dados; (7) Conformidade NIS2 e Cibersegurança; (8) Formação Setorial (administração pública, saúde, educação, financeiro); (9) Formação para colaboradores (direitos, responsabilidades, boas práticas). Oferecemos cursos presenciais, online, webinars, e workshops customizados. Todos os cursos incluem certificado e materiais de suporte. Contacte-nos para discussão das necessidades específicas da sua organização.

Oferecemos: (1) EPD/DPO Externo (consultoria contínua, monitorização, relatórios); (2) EPD Partilhado para entidades públicas pequenas; (3) Auditoria de Conformidade RGPD (avaliação de status atual, identificação de gaps); (4) Avaliação de Impacto sobre Proteção de Dados (AIPD); (5) Política de Proteção de Dados (redação, revisão, implementação); (6) Gestão de Violações de Dados (resposta rápida, notificação CNPD); (7) Formação especializada (EPD, colaboradores, direção); (8) Conformidade NIS2 (cibersegurança, incidentes); (9) Consultoria em Transferências Internacionais de Dados; (10) Implementação de Registos de Atividades de Processamento. Todos os serviços são customizados às necessidades específicas e setoriais.

O Diagnóstico Gratuito é uma avaliação inicial do seu status de conformidade RGPD com duração aproximada de 2-3 horas. Inclui: (1) Entrevista com direção/responsável de TI para compreender operações de dados; (2) Revisão de documentação existente (políticas, contratos, registos); (3) Avaliação rápida de conformidade contra RGPD, NIS2, e legislação setorial; (4) Identificação dos principais riscos e gaps; (5) Recomendações prioritárias; (6) Relatório executivo com próximos passos. Não é um audit completo, mas fornece visão clara do panorama atual e necessidades de implementação. Sem compromisso ou obrigação de contratação. Contacte secretariado@protecaodedados.com ou +351 213 243 750.

Temos experiência comprovada em múltiplos setores: (1) Administração Pública (municípios, freguesias, ministérios, organismos públicos); (2) Saúde (hospitais, clínicas, consultórios, farmácias); (3) Educação (universidades, agrupamentos escolares, colégios); (4) Sector Financeiro (bancos, seguradoras, fintechs); (5) Empresas Privadas (PMEs, startups, grandes empresas); (6) Tecnologia (software houses, consultoras de TI); (7) Varejo e E-commerce; (8) Média e Comunicações; (9) Utilities (energia, água, telecomunicações). Cada setor tem desafios e obrigações específicas. Adaptamos as soluções conforme a legislação setorial (NIS2 para sectores críticos, RGPD para todos). Contacte para discussão de adequação aos seus requisitos específicos.