Destaques PME RGPD

RGPD em Portugal: Guia Prático para PMEs — O que Precisa de Saber

2 semanas ago
Ciberseguranca.PT

O Regulamento Geral sobre a Proteção de Dados (RGPD) está em vigor desde maio de 2018, mas muitas PMEs portuguesas ainda não cumprem integralmente as suas obrigações. Este guia explica, de forma clara e prática, o que o RGPD exige das pequenas e médias empresas e como assegurar a conformidade.

O que é o RGPD e a quem se aplica

O RGPD (Regulamento UE 2016/679) é o principal instrumento legal europeu de proteção de dados pessoais. Aplica-se a qualquer organização — independentemente da dimensão ou sede — que trate dados pessoais de cidadãos da União Europeia. Não existe isenção por dimensão: uma PME com 5 colaboradores que guarde emails ou dados de clientes está abrangida.

Em Portugal, a autoridade de supervisão é a Comissão Nacional de Proteção de Dados (CNPD), que tem competência para investigar, ordenar medidas corretivas e aplicar coimas.

Conceitos essenciais que precisa de conhecer

  • Dados pessoais: qualquer informação que identifique ou permita identificar uma pessoa — nome, email, NIF, localização, IP, entre outros.
  • Tratamento: qualquer operação sobre dados pessoais — recolha, armazenamento, utilização, partilha, eliminação.
  • Responsável pelo tratamento: a entidade que determina os fins e os meios do tratamento (normalmente a sua empresa).
  • Subcontratante: entidade que trata dados por conta do responsável (ex.: fornecedor de software SaaS).
  • Titular dos dados: a pessoa a quem os dados dizem respeito (clientes, colaboradores, fornecedores).

As seis bases legais para o tratamento de dados

Para tratar dados pessoais legalmente, precisa de uma base legal válida para cada finalidade de tratamento:

  1. Consentimento: livre, específico, informado e inequívoco. Deve ser fácil de retirar.
  2. Execução de contrato: quando o tratamento é necessário para executar um contrato com o titular.
  3. Obrigação legal: quando a lei obriga ao tratamento (ex.: dados fiscais para a AT).
  4. Interesses vitais: para proteger a vida de alguém. Raro.
  5. Interesse público: para organismos públicos. Raramente aplicável a PMEs.
  6. Interesses legítimos: quando o tratamento é necessário para interesses legítimos da empresa, desde que não prevaleçam os interesses do titular. Requer avaliação cuidada.

Principais obrigações das PMEs

1. Registo das atividades de tratamento

Deve manter um registo interno de todas as atividades de tratamento de dados — o que trata, para que fins, com que base legal, quanto tempo guarda os dados e com quem os partilha. Não precisa de enviar este registo à CNPD, mas deve tê-lo disponível para inspeção.

2. Transparência e avisos de privacidade

Qualquer pessoa cujos dados trate deve ser informada de forma clara: quem é o responsável, para que fins usa os dados, qual a base legal, por quanto tempo guarda os dados, e quais os seus direitos. Esta informação deve constar na política de privacidade do website e nas comunicações com clientes.

3. Direitos dos titulares

Os titulares têm o direito de aceder aos seus dados, corrigi-los, apagá-los (“direito ao esquecimento”), limitar o tratamento, portá-los para outro fornecedor e opor-se ao tratamento. Deve ter processos para responder a estes pedidos no prazo de um mês.

4. Notificação de violações de dados

Se ocorrer uma violação de dados (fuga, acesso não autorizado, perda de dados), deve notificar a CNPD no prazo de 72 horas caso a violação represente risco para os titulares. Se o risco for elevado, deve também notificar os próprios titulares.

5. Contratos com subcontratantes

Qualquer fornecedor que trate dados pessoais por sua conta (software de gestão, contabilidade, marketing, cloud) deve celebrar um contrato de subcontratação que inclua as garantias do RGPD.

Quando é obrigatório nomear um DPO

O Encarregado de Proteção de Dados (DPO) é obrigatório para organismos públicos, e para entidades privadas que realizem tratamentos em grande escala de dados sensíveis ou que monitorizem sistematicamente pessoas em grande escala. A maioria das PMEs não está obrigada a nomear um DPO, mas pode fazê-lo voluntariamente.

Coimas e consequências do incumprimento

O RGPD prevê duas categorias de coimas: até 10M€ ou 2% da faturação global anual para infrações menos graves; até 20M€ ou 4% da faturação global para as mais graves. A CNPD tem sido ativa na aplicação de coimas em Portugal, incluindo a entidades de pequena dimensão.

Fonte: Regulamento UE 2016/679, CNPD, orientações do Conselho Europeu para a Proteção de Dados (EDPB).

Related Posts

Destaques Incidentes Profissionais Vulnerabilidades & CVEs

Hacker ética acede a sistemas de transmissão da Copa do Mundo 2026 e expõe falha grave de controlo de acesso na FIFA

2 horas ago
Ciberseguranca.PT
Destaques Incidentes Profissionais Vulnerabilidades & CVEs

Nissan confirma violação de dados de colaboradores associada a ataques de dia zero contra Oracle PeopleSoft

3 horas ago
Ciberseguranca.PT
Destaques Gestores PME Profissionais Vulnerabilidades & CVEs

CVE-2025-60727: vulnerabilidade crítica no Microsoft Excel permite execução remota de código através de ficheiro malicioso

18 horas ago
Ciberseguranca.PT
Cidadãos Destaques Gestores

Google separa histórico de atividade de recomendações personalizadas: o que muda para os utilizadores

1 dia ago
Ciberseguranca.PT