O RGPD aplica-se também a pequenas empresas?

Sim. O RGPD aplica-se independentemente da dimensão da empresa. As obrigações individuais (por exemplo, nomear um EPD) estão, contudo, ligadas a limiares.

Qual é a diferença entre responsável pelo tratamento e subcontratante?

O responsável pelo tratamento determina as finalidades e os meios de tratamento; o subcontratante trata os dados em nome do responsável. As funções determinam as respetivas obrigações.

Com que rapidez deve ser comunicada uma violação de dados?

Uma violação comunicável deve, geralmente, ser notificada à autoridade de controlo no prazo de 72 horas.

Qual o valor máximo das coimas?

Até 20 milhões de euros ou 4% do volume de negócios anual global — o que for mais elevado.

Uma certificação ISO 27001 ajuda na proteção de dados?

Cobre em grande parte as medidas técnicas e organizativas (Art. 32.º), mas não substitui as obrigações específicas de proteção de dados, como registos de tratamento, fundamentos de licitude e direitos dos titulares dos dados. No Sightadel, os dois podem ser ligados.

ISO 27001 ISO 9001 ISO 42001 NIS2 RGPD BSI C5:2026 NIST CSF 2.0 SOC 2

RGPD · Proteção de dados

RGPD: Tornar a Proteção de Dados Comprovável

O Regulamento Geral sobre a Proteção de Dados (RGPD) aplica-se diretamente em toda a UE desde 25 de maio de 2018. Afeta quase todas as organizações que processam dados pessoais — independentemente da sua dimensão. As violações podem resultar em coimas de até 20 milhões de euros ou 4% do volume de negócios anual global. Esta página explica o que o RGPD exige, a quem se aplica (e a quem dificilmente se aplica), quais as obrigações centrais e como implementar a proteção de dados com o Sightadel de uma forma estruturada e comprovável.

O que é o RGPD?

O RGPD (Regulamento (UE) 2016/679) rege a forma como os dados pessoais podem ser tratados na UE. Na Alemanha, é complementado pela Lei Federal de Proteção de Dados (BDSG); a supervisão cabe às autoridades estaduais de proteção de dados e ao BfDI.

No seu centro estão os princípios fundamentais do Artigo 5.º: licitude, lealdade, transparência, limitação das finalidades, minimização dos dados, exatidão, limitação da conservação, integridade e confidencialidade — e, como obrigação abrangente, a responsabilidade (accountability): não só deve garantir a conformidade, como também deve ser capaz de a demonstrar.

A quem se aplica o RGPD — e a quem dificilmente se aplica?

O RGPD aplica-se a si se…

… a sua organização processar dados pessoais de indivíduos na UE — isto é, dados sobre clientes, potenciais clientes, colaboradores, fornecedores ou visitantes do website. Isto aplica-se a praticamente todas as empresas e organismos públicos, independentemente da dimensão. O RGPD também tem alcance extraterritorial: pode aplicar-se a fornecedores fora da UE que visem residentes na UE.

Certas obrigações estão ligadas a limiares — por exemplo, a exigência de nomear um encarregado de proteção de dados ou de realizar uma avaliação de impacto sobre a proteção de dados para tratamentos de alto risco.

O RGPD, essencialmente, não se aplica a si se…

… uma pessoa singular tratar dados puramente para fins pessoais ou domésticos (por exemplo, uma agenda de endereços privada). Esta "isenção doméstica" é restrita e não se aplica quando está envolvida uma atividade profissional ou comercial.

Ao contrário do NIS2 ou do C5, a questão aqui raramente é "Estou no âmbito?" — quase sempre está — mas sim "Que obrigações se aplicam a mim e em que medida?"

As Obrigações Principais do RGPD

Um fundamento de licitude por atividade de tratamento (Art. 6.º). Cada atividade de tratamento necessita de um fundamento válido — como o consentimento, contrato ou interesse legítimo.
Registos das atividades de tratamento (Art. 30.º). Documentação de todo o tratamento como a espinha dorsal da responsabilidade.
Direitos dos titulares dos dados. Acesso, retificação, apagamento, limitação, portabilidade e oposição — com prazos definidos.
Acordos de subcontratação (Art. 28.º, DPA). Contratos com prestadores de serviços que tratam dados em seu nome.
Avaliação de impacto sobre a proteção de dados (Art. 35.º, EPIA). Quando o tratamento for suscetível de resultar num elevado risco para os indivíduos.
Notificação de violação (Art. 33.º/34.º). Notificação à autoridade de controlo geralmente no prazo de 72 horas.
Medidas técnicas e organizativas (Art. 32.º, TOMs). Um nível de proteção adequado para os dados.

O Desafio Típico na Implementação do RGPD

Responsabilidade sem um sistema. O RGPD exige provas. Se os registos de tratamento, DPA, conceito de apagamento e TOMs estiverem dispersos por documentos, demonstrar a conformidade a pedido é trabalhoso.
Documentação estática. As atividades de tratamento, prestadores de serviços e fluxos de dados mudam. Um registo de tratamento criado uma vez fica rapidamente desatualizado.
Proteção de dados e segurança da informação tratados separadamente. As TOMs ao abrigo do Art. 32.º sobrepõem-se fortemente à ISO 27001 e NIS2 — mas são frequentemente mantidas duas vezes.

Como o Sightadel Simplifica a Implementação do RGPD

O Sightadel é o portal de conformidade dentro da Pervigon Security Suite. Representa as obrigações do RGPD como um catálogo estruturado e liga as medidas técnicas aos seus outros padrões de segurança.

Início mais rápido. Modelos pré-estruturados para registos de tratamento, o registo DPA e o conceito de apagamento. Preenche as suas atividades de tratamento em vez de construir a estrutura de raiz.

Responsabilidade à distância de um clique. Obrigações, responsáveis e provas estão ligados. Em caso de inquérito da autoridade de controlo, produz o estado documentado em vez de o ter de reunir.

Sempre atual. As atividades de tratamento, prestadores de serviços e medidas são mantidos centralmente; os lembretes mantêm os registos de tratamento vivos.

Reutilização de provas. As medidas técnicas e organizativas ao abrigo do Art. 32.º são mapeadas simultaneamente para os requisitos correspondentes na ISO 27001 e NIS2. Uma prova, múltiplos quadros.

Sem consultores externos como muleta permanente. A lógica de domínio está integrada no portal e apoiada pelo núcleo neoAI. A avaliação jurídica caso a caso continua a ser tarefa do seu EPD ou consultor jurídico — a manutenção contínua é gerida pela sua equipa.

RGPD com o Sightadel na Prática

1
Registar.Documente as atividades de tratamento, fundamentos de licitude e prestadores de serviços no portal (registos de tratamento, registo DPA).
2
Avaliar.Identifique tratamentos de alto risco e realize uma EPIA quando necessário.
3
Manter.Lembretes, atualizações sobre alterações e um estado de prova recuperável a qualquer momento.

Perguntas Frequentes Sobre o RGPD

Proteção de Dados como um Estado, Não como um Projeto

O RGPD não termina com o primeiro registo de tratamento. As atividades de tratamento, prestadores de serviços e riscos mudam continuamente. O Sightadel mantém o seu estado de prova de proteção de dados continuamente atualizado — estruturado, auditável e sem que cada alteração exija apoio externo.

Esta página é uma explicação geral e não aconselhamento jurídico. Para a avaliação jurídica do seu caso específico, consulte o seu encarregado de proteção de dados ou consultor jurídico.

Veja o seu estado de RGPD no Sightadel.

Marcar uma demonstração