O que é o RGPD e porque importa à TI
"O Regulamento Geral sobre a Protecção de Dados (RGPD), Regulamento (UE) 2016/679, é o quadro legal da União Europeia que regula o tratamento de dados pessoais de pessoas singulares. Aplicável desde 25 de Maio de 2018, substitui a Directiva 95/46/CE e é directamente aplicável em todos os Estados-Membros."
A TI é o departamento que, por natureza, mais dados pessoais trata. Sistemas de informação armazenam dados de clientes, colaboradores e fornecedores. Bases de dados contêm histórico de transacções e acessos. Logs de sistemas registam actividade individual. Redes e comunicações transportam informação pessoal. Esta exposição torna a TI o ponto crítico de qualquer programa de conformidade RGPD.
As consequências de incumprimento são significativas. A Comissão Nacional de Protecção de Dados (CNPD) pode aplicar coimas até 20 milhões de euros ou 4% do volume de negócios anual global da organização, consoante o valor mais elevado. Para além das coimas, existe risco de dano reputacional, perda de confiança de clientes e, em casos graves, suspensão de tratamentos.
Em Portugal, a CNPD é a autoridade de controlo responsável pela supervisão do cumprimento do RGPD. As organizações podem registar o DPO, apresentar reclamações e obter orientações através do portal da CNPD em cnpd.pt.
Princípios do tratamento de dados
O Art. 5.º do RGPD estabelece sete princípios que regem todo o tratamento de dados pessoais. O responsável pelo tratamento é accountable pelo cumprimento destes princípios e deve ser capaz de o demonstrar — este último ponto, a responsabilização, é o que torna a documentação obrigatória, não opcional.
| Princípio | O que significa na prática de TI |
|---|---|
| Licitude, lealdade e transparência | Todo o tratamento deve ter base legal. Os titulares devem saber o que é tratado, como e porquê. Avisos de privacidade claros e completos são obrigatórios. |
| Limitação das finalidades | Os dados só podem ser usados para as finalidades para as quais foram recolhidos. Usar dados de RH para marketing sem base legal adicional viola este princípio. |
| Minimização dos dados | Recolher apenas os dados estritamente necessários para a finalidade. Logs extensos sem propósito definido ou campos opcionais por defeito activo são problemas comuns em TI. |
| Exactidão | Os dados devem estar correctos e actualizados. Processos de actualização de dados e mecanismos de rectificação pelos titulares são requisitos práticos. |
| Limitação da conservação | Os dados não podem ser conservados por mais tempo do que o necessário. Políticas de retenção e apagamento automático são controlos técnicos obrigatórios. |
| Integridade e confidencialidade | Medidas técnicas e organizativas adequadas para proteger contra acesso não autorizado, perda ou destruição. Encriptação, controlo de acessos e backups são exemplos concretos. |
| Responsabilização | O responsável pelo tratamento deve demonstrar conformidade com todos os princípios anteriores. Documentação, políticas, auditorias e registos são a prova exigida. |
Base legal do tratamento
O Art. 6.º do RGPD define seis bases legais para o tratamento de dados pessoais. Cada tratamento deve ter uma e apenas uma base legal identificada antes de se iniciar. A escolha da base legal influencia os direitos dos titulares e as obrigações do responsável pelo tratamento.
O titular deu consentimento específico, informado e livre para uma ou mais finalidades. O consentimento deve ser tão fácil de retirar como de dar.
Exemplo TI: subscrição de newsletter com opt-in activo e possibilidade de cancelamento imediato.
O tratamento é necessário para a execução de um contrato em que o titular é parte, ou para diligências pré-contratuais.
Exemplo TI: dados de colaboradores no sistema de RH para processamento salarial.
O tratamento é necessário para o cumprimento de uma obrigação jurídica do responsável pelo tratamento.
Exemplo TI: conservação de registos contabilísticos durante 10 anos por exigência fiscal.
O tratamento é necessário para proteger interesses vitais do titular ou de outra pessoa singular.
Exemplo TI: acesso a dados de saúde de um colaborador em situação de emergência médica.
O tratamento é necessário para o exercício de funções de interesse público ou de autoridade pública.
Exemplo TI: sistemas de informação de serviços públicos, como saúde ou educação.
O tratamento é necessário para prosseguir interesses legítimos do responsável ou de terceiros, desde que não prevaleçam os interesses ou direitos dos titulares.
Exemplo TI: logs de segurança para detecção de intrusões e protecção dos sistemas.
Direitos dos titulares dos dados
O RGPD confere aos titulares um conjunto de direitos que as organizações têm obrigação de respeitar e facilitar. Do ponto de vista de TI, estes direitos traduzem-se em requisitos funcionais: os sistemas devem ser capazes de exportar dados, rectificá-los, apagá-los e restringir o seu tratamento de forma controlada e auditável.
| Direito | Descrição | Prazo de resposta |
|---|---|---|
| Acesso | O titular pode saber quais os dados tratados, as finalidades, os destinatários e o período de conservação. | 30 dias |
| Rectificação | O titular pode exigir a correcção de dados inexactos ou incompletos. | 30 dias |
| Apagamento | O titular pode solicitar o apagamento dos seus dados ("direito ao esquecimento") em determinadas circunstâncias, como quando o consentimento é retirado. | 30 dias |
| Limitação do tratamento | O titular pode solicitar que o tratamento seja limitado (dados conservados mas não utilizados) enquanto um pedido de rectificação ou oposição está pendente. | 30 dias |
| Portabilidade | O titular pode receber os seus dados num formato estruturado e legível por máquina (ex: CSV, JSON) e transmiti-los a outro responsável. | 30 dias |
| Oposição | O titular pode opor-se ao tratamento com base em interesses legítimos ou para fins de marketing directo, sem necessidade de justificação no caso do marketing. | 30 dias |
O prazo de 30 dias é contado a partir da recepção do pedido. Pode ser prorrogado por mais dois meses em casos de complexidade ou elevado número de pedidos, com notificação ao titular dentro dos primeiros 30 dias. A recusa de um pedido também deve ser comunicada ao titular com fundamentação, e este tem direito de apresentar reclamação à CNPD.
Registo de actividades de tratamento (Art. 30)
O Art. 30.º do RGPD impõe a obrigação de manter um registo de todas as actividades de tratamento de dados pessoais. Esta obrigação aplica-se a organizações com 250 ou mais colaboradores. Organizações com menos colaboradores também são abrangidas se o tratamento for susceptível de resultar em risco para os direitos dos titulares, não for ocasional, ou incluir categorias especiais de dados.
Na prática, a grande maioria das organizações que utiliza sistemas de RH, CRM ou contabilidade enquadra-se nas excepções, pelo que o registo é quase universalmente obrigatório.
Cada entrada no registo deve conter:
- Designação da actividade de tratamento - nome claro e identificativo (ex: "Gestão de candidatos", "Faturação a clientes")
- Finalidade do tratamento - para que serve o tratamento em linguagem clara
- Base legal - qual das seis bases legais do Art. 6.º se aplica
- Categorias de titulares - clientes, colaboradores, fornecedores, candidatos, etc.
- Categorias de dados pessoais - identificação, contacto, dados financeiros, dados de saúde, etc.
- Destinatários - com quem os dados são partilhados, incluindo subcontratantes
- Transferências internacionais - se aplicável, para que país e com que garantias
- Prazo de conservação - quando os dados são eliminados ou anonimizados
- Medidas de segurança - descrição geral das medidas técnicas e organizativas
Descarregue o registo de actividades de tratamento
Template em Excel com todas as colunas obrigatórias do Art. 30.º, pronto a preencher.
Avaliação de impacto (DPIA)
A Avaliação de Impacto sobre a Protecção de Dados (DPIA, do inglês Data Protection Impact Assessment) é obrigatória ao abrigo do Art. 35.º quando um tratamento é susceptível de resultar em risco elevado para os direitos e liberdades das pessoas singulares.
O RGPD identifica três situações em que a DPIA é sempre obrigatória: avaliação sistemática e aprofundada de aspectos pessoais por meios automatizados, incluindo profiling; tratamento em larga escala de categorias especiais de dados; e monitorização sistemática de zonas acessíveis ao público em larga escala. A CNPD pode publicar listas adicionais de tratamentos que requerem DPIA.
O processo de avaliação de impacto compreende as seguintes etapas:
Descrição do tratamento
Documentar o que está a ser tratado, como, porquê, com que meios e por quanto tempo. Inclui o contexto, o âmbito e os sistemas envolvidos. Esta etapa alimenta directamente o registo de actividades.
Avaliação da necessidade
Verificar se o tratamento é necessário e proporcional face à finalidade. Se os mesmos objectivos podem ser atingidos com menos dados ou menor intrusão na privacidade, o tratamento deve ser revisto.
Identificação de riscos
Avaliar os riscos para os direitos e liberdades dos titulares: riscos de acesso não autorizado, de perda de dados, de uso indevido, de discriminação ou de dano físico, material ou moral.
Medidas de mitigação
Definir e implementar medidas técnicas e organizativas para reduzir os riscos identificados a um nível aceitável. Documentar as medidas adoptadas e os riscos residuais.
Parecer do DPO
Se existir DPO, deve ser consultado durante o processo e o seu parecer documentado. O DPO pode discordar das conclusões, mas a decisão final pertence ao responsável pelo tratamento.
Consulta prévia à CNPD
Se os riscos residuais após mitigação continuarem elevados, é obrigatória consulta prévia à CNPD antes de iniciar o tratamento. A CNPD tem 8 semanas para responder, prorrogáveis por mais 6.
Template de avaliação de impacto (DPIA)
Documento Word estruturado com todas as secções exigidas pelo Art. 35.º, adaptável ao seu contexto.
Violação de dados pessoais
Uma violação de dados pessoais é qualquer incidente de segurança que resulte, de forma acidental ou ilícita, na destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado a dados pessoais. Ataques de ransomware, envio de email para destinatário errado, perda de dispositivo e acesso indevido por colaborador são todos exemplos de violações.
O Art. 33.º impõe a obrigação de notificar a CNPD de violações no prazo de 72 horas após o responsável tomar conhecimento, sempre que a violação seja susceptível de resultar em risco para os direitos e liberdades das pessoas singulares. Se a notificação não for possível dentro das 72 horas, deve ser feita assim que possível com justificação do atraso.
O Art. 34.º obriga a comunicar a violação directamente aos titulares afectados quando a violação implique um risco elevado para os seus direitos e liberdades — sem demora injustificada. Esta comunicação deve descrever de forma clara a natureza da violação, as consequências prováveis e as medidas tomadas ou propostas.
Independentemente da obrigação de notificação, toda a violação deve ser documentada internamente. Esta documentação inclui: data e hora do incidente e da sua detecção, natureza da violação, categorias e número de registos afectados, medidas tomadas e resultado da avaliação de risco para os titulares.
Template de notificação de violação de dados
Formulário Word com todos os campos exigidos pelo Art. 33.º para notificação à CNPD dentro das 72 horas.
Medidas técnicas e organizativas
O Art. 25.º do RGPD introduz os conceitos de privacy by design e privacy by default. A protecção de dados deve ser integrada nos sistemas desde a fase de concepção, e as configurações por defeito devem ser as mais restritivas em termos de privacidade. Estes princípios transformam a conformidade RGPD numa responsabilidade de arquitectura de sistemas, não apenas de documentação.
As medidas técnicas e organizativas adequadas ao estado da arte incluem:
- Controlo de acessos e autenticação forte — princípio do menor privilégio, autenticação multifactor para acesso a sistemas com dados pessoais, revisão periódica de permissões.
- Encriptação de dados em repouso e em trânsito — encriptação de bases de dados, volumes de armazenamento e comunicações; gestão segura de chaves criptográficas.
- Backups regulares com testes de restauro — cópias de segurança verificadas periodicamente; armazenamento de backups separado e protegido do ambiente de produção.
- Monitorização e logging de acessos — registos de auditoria que documentam quem acedeu a que dados e quando; alertas para acessos anómalos.
- Gestão de patches e vulnerabilidades — processo estruturado de aplicação de actualizações de segurança; avaliação e tratamento de vulnerabilidades conhecidas.
- Formação e sensibilização dos colaboradores — formação obrigatória sobre RGPD para todos os colaboradores com acesso a dados pessoais; testes periódicos de phishing e consciencialização.
- Revisão periódica das medidas implementadas — avaliação anual ou após incidentes relevantes da adequação das medidas técnicas face aos riscos actuais.
Templates RGPD gratuitas
A Better Skills disponibiliza gratuitamente quatro templates RGPD para uso imediato. Cada documento está pré-estruturado com as secções obrigatórias e instruções de preenchimento. As templates devem ser adaptadas ao contexto específico de cada organização.
Templates RGPD disponíveis
Documentos editáveis para estruturar a sua conformidade com o RGPD.
- Política de protecção de dados (.docx)
- Registo de actividades de tratamento (.xlsx)
- Avaliação de impacto — DPIA (.docx)
- Notificação de violação de dados (.docx)
Perguntas frequentes
Sim, se a sua organização tratar dados pessoais de cidadãos da União Europeia, o RGPD aplica-se independentemente da dimensão ou sector. Isto inclui dados de clientes, colaboradores, fornecedores ou qualquer outra pessoa singular residente na UE. Não existe limiar mínimo de dimensão para a aplicabilidade do regulamento.
A designação de um Encarregado de Protecção de Dados (DPO) é obrigatória em três situações: quando a organização é uma autoridade ou organismo público; quando as actividades principais implicam monitorização sistemática e em larga escala de titulares; ou quando as actividades principais implicam o tratamento em larga escala de categorias especiais de dados. Fora destas situações, a designação é voluntária mas recomendável para organizações com exposição significativa a dados pessoais.
Deve avaliar a violação imediatamente, documentar todos os factos conhecidos e notificar a CNPD no prazo de 72 horas após tomar conhecimento, sempre que a violação represente risco para os direitos e liberdades dos titulares. Se a violação implicar risco elevado para os titulares, estes também devem ser comunicados sem demora injustificada. Toda a documentação deve ser conservada independentemente da obrigação de notificação.
Comece pelo registo de actividades de tratamento (Art. 30), que é obrigatório e dá uma visão completa do que está a ser tratado. De seguida, assegure que existe uma base legal definida para cada tratamento e que as políticas de protecção de dados estão documentadas e comunicadas. Por fim, realize DPIAs para os tratamentos de alto risco. Esta sequência garante que os requisitos obrigatórios estão cobertos antes de avançar para medidas mais complexas.
As templates são uma base sólida para estruturar a documentação RGPD, mas a conformidade requer implementação real. Um registo de actividades de tratamento preenchido mas com medidas de segurança inexistentes não garante conformidade. As templates devem ser acompanhadas de formação dos colaboradores, implementação técnica das medidas de segurança e revisão periódica dos processos. Pense nas templates como o ponto de partida, não o destino.
Quer aprofundar a gestão de dados em TI?
Na formação ITIL, aprende a integrar a protecção de dados e a gestão de riscos em todas as práticas de gestão de serviços.
Ver formação ITIL