O GDPR também se aplica a pequenas empresas?

Sim. O GDPR se aplica independentemente do porte da empresa. Obrigações individuais (por exemplo, nomear um DPO), no entanto, estão atreladas a limiares.

Qual a diferença entre um controlador e um operador (processor)?

O controlador determina as finalidades e os meios do tratamento; o operador processa dados em nome do controlador. Os papéis determinam as respectivas obrigações.

Com que rapidez uma violação de dados deve ser comunicada?

Uma violação notificável deve, em geral, ser comunicada à autoridade supervisora dentro de 72 horas.

Quão altas podem ser as multas?

Até € 20 milhões ou 4% do faturamento anual global — o que for maior.

Uma certificação ISO 27001 ajuda na proteção de dados?

Ela cobre em grande parte as medidas técnicas e organizacionais (Art. 32), mas não substitui as obrigações específicas de proteção de dados, como registros de tratamento, bases legais e direitos dos titulares. Na Sightadel, as duas podem ser vinculadas.

ISO 27001 ISO 9001 ISO 42001 NIS2 GDPR BSI C5:2026 NIST CSF 2.0 SOC 2

GDPR · Proteção de dados

GDPR: Tornando a Proteção de Dados Comprovável

O Regulamento Geral de Proteção de Dados (GDPR (RGPD)) aplica-se diretamente em toda a UE desde 25 de maio de 2018. Ele afeta quase toda organização que processa dados pessoais — independentemente do porte. Violações podem resultar em multas de até € 20 milhões ou 4% do faturamento anual global. Esta página explica o que o GDPR exige, a quem se aplica (e a quem quase não se aplica), quais obrigações são centrais e como implementar a proteção de dados com a Sightadel de forma estruturada e comprovável.

O Que É o GDPR?

O GDPR (Regulamento (UE) 2016/679) rege como os dados pessoais podem ser processados na UE. Na Alemanha, ele é complementado pela Lei Federal de Proteção de Dados (BDSG); a supervisão cabe às autoridades estaduais de proteção de dados e ao BfDI.

No seu centro estão os princípios essenciais do Artigo 5: licitude, lealdade, transparência, limitação da finalidade, minimização de dados, exatidão, limitação da conservação, integridade e confidencialidade — e, como obrigação abrangente, a responsabilização (accountability): você não só deve garantir a conformidade, mas também ser capaz de demonstrá-la.

A Quem o GDPR Se Aplica — e a Quem Quase Não?

O GDPR se aplica a você se …

… sua organização processa dados pessoais de indivíduos na UE — ou seja, dados sobre clientes, prospects, funcionários, fornecedores ou visitantes do site. Isso vale para praticamente toda empresa e órgão público, independentemente do porte. O GDPR também tem alcance extraterritorial: pode aplicar-se a provedores fora da UE que se dirigem a residentes da UE.

Certas obrigações estão atreladas a limiares — por exemplo, a exigência de nomear um encarregado de proteção de dados ou de realizar uma avaliação de impacto sobre a proteção de dados para tratamentos de alto risco.

O GDPR essencialmente não se aplica a você se …

… uma pessoa física processa dados puramente para fins pessoais ou domésticos (por exemplo, uma agenda de endereços particular). Essa "isenção doméstica" é restrita e deixa de valer quando há uma atividade profissional ou comercial envolvida.

Diferentemente da NIS2 ou do C5, aqui a pergunta raramente é "Estou no escopo?" — você quase sempre está — mas "Quais obrigações se aplicam a mim, e em que medida?"

As Obrigações Centrais do GDPR

Uma base legal por atividade de tratamento (Art. 6). Toda atividade de tratamento precisa de uma base válida — como consentimento, contrato ou interesse legítimo.
Registros das atividades de tratamento (Art. 30). Documentação de todos os tratamentos como espinha dorsal da responsabilização.
Direitos dos titulares. Acesso, retificação, eliminação, limitação, portabilidade e oposição — com prazos definidos.
Acordos com operadores (Art. 28, DPA). Contratos com prestadores de serviços que processam dados em seu nome.
Avaliação de impacto sobre a proteção de dados (Art. 35, DPIA). Quando o tratamento for suscetível de resultar em alto risco para os indivíduos.
Notificação de violação (Art. 33/34). Notificação à autoridade supervisora, em geral, dentro de 72 horas.
Medidas técnicas e organizacionais (Art. 32, TOMs). Um nível de proteção adequado para os dados.

O Desafio Típico na Implementação do GDPR

Responsabilização sem um sistema. O GDPR exige evidências. Se os registros de tratamento, os DPAs, o conceito de eliminação e as TOMs estiverem espalhados por documentos, demonstrar a conformidade sob demanda é trabalhoso.
Documentação estática. Atividades de tratamento, prestadores de serviços e fluxos de dados mudam. Um registro de tratamento criado uma única vez se desatualiza rapidamente.
Proteção de dados e segurança da informação tratadas separadamente. As TOMs sob o Art. 32 se sobrepõem bastante à ISO 27001 e à NIS2 — mas muitas vezes são mantidas em duplicidade.

Como a Sightadel Simplifica a Implementação do GDPR

A Sightadel é o portal de conformidade dentro da Pervigon Security Suite. Ela representa as obrigações do GDPR como um catálogo estruturado e vincula as medidas técnicas às suas outras normas de segurança.

Mais rápido para começar. Modelos pré-estruturados para registros de tratamento, o registro de DPA e o conceito de eliminação. Você preenche suas atividades de tratamento em vez de montar a estrutura do zero.

Responsabilização com o apertar de um botão. Obrigações, responsáveis e evidências estão vinculados. No caso de uma consulta de autoridade supervisora, você apresenta o estado documentado em vez de montá-lo na hora.

Sempre atualizado. Atividades de tratamento, prestadores de serviços e medidas são mantidos de forma centralizada; lembretes mantêm os registros de tratamento vivos.

Reutilização de evidências. As medidas técnicas e organizacionais sob o Art. 32 são mapeadas simultaneamente para os requisitos correspondentes da ISO 27001 e da NIS2. Uma evidência, múltiplos frameworks.

Sem consultores externos como muleta permanente. A lógica de domínio é incorporada ao portal e apoiada pelo núcleo neoAI. A avaliação jurídica caso a caso continua sendo tarefa do seu DPO ou advogado — a manutenção contínua fica a cargo da sua equipe.

O GDPR com a Sightadel na Prática

1
Registre.Documente as atividades de tratamento, as bases legais e os prestadores de serviços no portal (registros de tratamento, registro de DPA).
2
Avalie.Identifique tratamentos de alto risco e realize uma DPIA quando exigido.
3
Proteja.Mantenha as TOMs e mapeie as solicitações de titulares e os processos de notificação com prazos.
4
Mantenha.Lembretes, atualizações em caso de mudanças e um estado de evidências consultável a qualquer momento.

Perguntas Frequentes Sobre o GDPR

Proteção de Dados Como um Estado, Não um Projeto

O GDPR não termina com o primeiro registro de tratamento. Atividades de tratamento, prestadores de serviços e riscos mudam continuamente. A Sightadel mantém o estado das suas evidências de proteção de dados continuamente atualizado — estruturado, auditável e sem que cada mudança exija suporte externo.

Esta página é uma explicação geral e não constitui aconselhamento jurídico. Para a avaliação jurídica do seu caso específico, consulte seu encarregado de proteção de dados ou advogado.

Veja seu status de GDPR na Sightadel.

Agende uma demonstração