Guia Privacidade de Dados Conformidade

Conformidade com o GDPR para empresas na UE: o que realmente precisa de ter em vigor

Oito anos após a entrada em vigor do GDPR, um número significativo de organizações ainda tem lacunas nos conceitos básicos: nenhuma base legal documentada, planos de resposta a violações que ignoram a janela de notificação de 72 horas, e registos de tratamento de dados que nunca foram atualizados. Este guia aborda as obrigações mais importantes e como abordá-las de forma prática.

29 de abril de 2026
8 min de leitura
Principais conclusões
  • O GDPR aplica-se a qualquer organização que trate dados de residentes da UE, independentemente de onde essa organização está sediada
  • Cada atividade de tratamento deve ter uma base legal documentada antes de começar, não depois de uma reclamação
  • Tem 72 horas para notificar sua autoridade de supervisão após descobrir uma violação que represente risco para os indivíduos
  • Os pedidos de exercício de direitos dos titulares de dados devem ser respondidos no prazo de um mês, sem custos para o indivíduo
  • As multas do Escalão 2 podem chegar a 20 milhões de euros ou 4% do volume de negócios anual global, o que for mais elevado

A quem o GDPR se aplica

O âmbito extraterritorial do GDPR é a parte que a maioria das organizações subestima. O Artigo 3 faz com que o regulamento se aplique a qualquer organização que trate dados pessoais de indivíduos na UE ou EEE, independentemente de onde a organização está estabelecida. Uma empresa sediada em Nova York que vende assinaturas de software a empresas holandesas, ou uma empresa brasileira que monitoriza o comportamento de navegação de visitantes franceses de sites, está sujeita ao GDPR. A localização dos seus servidores ou da sua entidade jurídica não é o fator determinante. Tratar dados de residentes da UE é.

O regulamento distingue entre dois papéis. Um responsável pelo tratamento é qualquer organização que determina as finalidades e os meios de tratamento de dados pessoais. Um subcontratante atua em nome de um responsável pelo tratamento. Ambos os papéis têm obrigações nos termos do GDPR, mas os responsáveis pelo tratamento têm a responsabilidade principal. Se utiliza uma ferramenta de terceiros para tratar dados de clientes, é o responsável pelo tratamento e esse fornecedor é seu subcontratante: as falhas de conformidade deles podem tornar-se sua exposição regulatória.

Dados de categorias especiais

O GDPR aplica regras mais rigorosas a dados de categorias especiais: informações de saúde e médicas, dados biométricos utilizados para identificação, dados genéticos, origem racial ou étnica, opiniões políticas, crenças religiosas, filiação sindical, e dados relativos à orientação sexual ou vida sexual. O tratamento destes dados requer uma condição adicional do Artigo 9 para além de uma base legal padrão. As organizações de saúde, os departamentos de RH e qualquer plataforma que recolha informações relacionadas com a saúde devem rever cuidadosamente sua base ao abrigo do Artigo 9.

As seis bases legais para o tratamento

Cada atividade de tratamento deve assentar numa das seis bases legais do Artigo 6. A escolha da base correta é importante porque determina que direitos se aplicam e o que deve comunicar aos indivíduos. As organizações recorrem frequentemente ao consentimento por defeito quando uma base mais adequada serviria melhor e criaria menos obrigações contínuas.

1
Consentimento
O indivíduo deu consentimento claro, informado, livremente prestado e revogável. Adequado para serviços opcionais e marketing. O consentimento deve ser tão fácil de retirar como de dar.
2
Contrato
O tratamento é necessário para executar um contrato com o indivíduo, ou para tomar medidas pré-contratuais a seu pedido. Abrange o tratamento de dados de clientes para prestar um serviço pago.
3
Obrigação legal
O tratamento é exigido por lei da UE ou de um Estado-Membro. Abrange registos fiscais de salários, verificações anti-branqueamento de capitais e outras atividades legalmente obrigatórias.
4
Interesses vitais
O tratamento é necessário para proteger a vida de alguém. Uma base restrita, relevante em emergências médicas em que o consentimento não pode ser obtido.
5
Tarefa pública
O tratamento é necessário para uma tarefa realizada no interesse público ou no exercício de autoridade oficial. Aplica-se principalmente a organismos públicos e a certas atividades regulamentadas.
6
Interesses legítimos
O tratamento é necessário para os interesses legítimos do responsável pelo tratamento ou de terceiros, desde que esses interesses não sejam sobrepujados pelos direitos do indivíduo. Requer um teste de ponderação documentado.

Os interesses legítimos são a base mais flexível, mas também a mais escrutinada. Requer um teste em três partes: identificar o interesse legítimo, confirmar que o tratamento é necessário para esse interesse, e ponderá-lo em relação aos direitos do indivíduo. Esse teste de ponderação deve ser documentado, não apenas presumido.

Suas quatro obrigações fundamentais

Registos de Atividades de Tratamento

O Artigo 30 exige que as organizações mantenham um Registo de Atividades de Tratamento (RoPA): um inventário escrito de todas as formas como trata dados pessoais. Cada entrada deve cobrir a finalidade do tratamento, as categorias de dados e de titulares de dados envolvidos, quaisquer terceiros com quem partilha dados, transferências para países fora do EEE e durante quanto tempo os dados são conservados.

As organizações com menos de 250 trabalhadores estão tecnicamente isentas do requisito completo do RoPA, a não ser que seu tratamento não seja ocasional, envolva dados de categorias especiais ou represente um risco para os indivíduos. Na prática, a maioria das empresas que tratam dados de clientes, dados de trabalhadores ou informações de saúde deve manter um. É a base de todas as outras atividades de conformidade, e os reguladores solicitam-no no início de quase todas as investigações.

Avaliações de Impacto sobre a Proteção de Dados

Uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) é exigida antes de iniciar qualquer tratamento que possa resultar num risco elevado para os indivíduos. O Artigo 35 especifica que uma DPIA é sempre exigida para o tratamento em larga escala de dados de categorias especiais, para a definição de perfis sistemática e extensiva que afete significativamente os indivíduos, e para a monitorização em larga escala de espaços acessíveis ao público. As autoridades de supervisão também publicam listas de tipos de tratamento que exigem uma DPIA na sua jurisdição.

Uma DPIA não é um exercício único. Se alterar materialmente uma atividade de tratamento abrangida por uma DPIA existente, a avaliação deve ser revista e atualizada.

Notificação de violações

O Artigo 33 exige que notifique sua autoridade de supervisão nacional no prazo de 72 horas após tomar conhecimento de uma violação de dados pessoais que seja suscetível de resultar em risco para os direitos e liberdades dos indivíduos. Se não puder fornecer todos os detalhes no prazo de 72 horas, deve notificar com o que sabe e fornecer mais informações à medida que estejam disponíveis. O prazo de 72 horas começa quando toma conhecimento da violação, não quando ocorreu.

Quando a violação for suscetível de resultar num risco elevado para os indivíduos, o Artigo 34 também exige que notifique os indivíduos afetados diretamente, sem demora injustificada. Não existe um limiar mínimo para o que conta como violação: um email mal direcionado contendo dados pessoais é uma violação e precisa de ser avaliado em relação a estes requisitos de notificação.

72h
para notificar sua autoridade de supervisão após descobrir uma violação que represente risco para os indivíduos
€20M
multa máxima do Escalão 2, ou 4% do volume de negócios anual global, o que for mais elevado
8
direitos individuais que os titulares de dados podem exercer sobre seus dados pessoais

Encarregado de Proteção de Dados

Um EPD é obrigatório ao abrigo do Artigo 37 em três situações: é uma autoridade ou organismo público; suas atividades principais exigem monitorização sistemática em larga escala de indivíduos; ou suas atividades principais envolvem o tratamento em larga escala de dados de categorias especiais. O EPD deve dispor dos recursos necessários para desempenhar suas funções de forma independente e reportar diretamente ao mais alto nível de gestão.

Mesmo quando um EPD não é legalmente obrigatório, a nomeação de um ou a designação de um responsável sénior pela proteção de dados sinaliza responsabilidade perante os reguladores e garante que alguém é proprietário do programa de conformidade. As autoridades de supervisão referem consistentemente que a ausência de qualquer responsabilidade interna pela proteção de dados é um fator agravante nas decisões de aplicação.

Direitos dos titulares de dados

O GDPR confere aos indivíduos oito direitos sobre seus dados pessoais. Deve ser capaz de responder a qualquer um destes pedidos no prazo de um mês civil, gratuitamente. Prorrogações de até dois meses adicionais são possíveis para pedidos complexos ou numerosos, mas deve notificar o indivíduo no primeiro mês de que está prorrogando.

1
Direito a ser informado
Os indivíduos devem receber informações claras e transparentes sobre como trata seus dados, geralmente fornecidas através de um aviso de privacidade no momento da recolha.
2
Direito de acesso
Os indivíduos podem solicitar uma cópia dos dados pessoais que detém sobre eles e informações sobre como estão sendo tratados.
3
Direito de retificação
Os indivíduos podem exigir que corrija dados pessoais inexatos ou complete dados incompletos.
4
Direito ao apagamento
Também conhecido como direito a ser esquecido. Os indivíduos podem solicitar o apagamento dos seus dados quando não existir razão imperiosa para continuar a tratá-los.
5
Direito de limitação do tratamento
Os indivíduos podem solicitar que limite a forma como utiliza seus dados em determinadas circunstâncias, como enquanto a exatidão está sendo contestada.
6
Direito à portabilidade dos dados
Quando o tratamento se baseia no consentimento ou num contrato e é realizado por meios automatizados, os indivíduos podem solicitar seus dados num formato estruturado e legível por máquina.
7
Direito de oposição
Os indivíduos podem opor-se ao tratamento baseado em interesses legítimos ou para fins de marketing direto. As oposições ao marketing direto devem ser honradas imediata e incondicionalmente.
8
Direitos rel. a decisões automatizadas
Os indivíduos têm o direito de não ficarem sujeitos a decisões tomadas exclusivamente com base em tratamento automatizado que os afete significativamente, salvo se condições específicas se aplicarem.
Ponto de falha comum

O prazo de resposta de um mês para pedidos de acesso a dados surpreende muitas organizações porque os dados que precisam de recuperar abrangem múltiplos sistemas: CRM, email, software de RH, tickets de suporte e cópias de segurança. Sem um processo claro e um responsável nomeado, os pedidos frequentemente ultrapassam o prazo. Uma resposta tardia ou incompleta é independentemente reportável à autoridade de supervisão pelo indivíduo.

A estrutura de multas

As multas do GDPR funcionam em dois escalões, e a distinção é importante porque o escalão superior abrange as falhas de conformidade mais comuns.

As multas do Escalão 1 abrangem infrações menos graves, principalmente obrigações processuais e técnicas: não manter registos adequados de tratamento, não implementar medidas técnicas adequadas, não nomear um EPD quando exigido. O Escalão 1 pode chegar a 10 milhões de euros ou 2% do volume de negócios anual global.

As multas do Escalão 2 aplicam-se às infrações mais graves: violação dos princípios fundamentais de tratamento (legalidade, lealdade, transparência, limitação das finalidades, minimização dos dados), tratamento sem base legal válida, infração dos direitos dos titulares de dados e transferências internacionais ilícitas. As multas do Escalão 2 podem chegar a 20 milhões de euros ou 4% do volume de negócios anual global, o que for mais elevado.

As multas não são o único instrumento de aplicação disponível. As autoridades de supervisão podem emitir advertências, repreensões, proibições temporárias ou permanentes de tratamento, e ordens para notificar os indivíduos afetados. A Autoriteit Persoonsgegevens neerlandesa tem estado cada vez mais ativa: suas decisões de aplicação publicadas abrangem desde o consentimento inadequado para cookies até à notificação insuficiente de violações em grandes empregadores.

Colocar seu programa em ordem

Se seu programa de proteção de dados não foi revisto recentemente, comece pelo RoPA. Um registo de tratamento atual e preciso facilita todas as outras atividades de conformidade: revisões de bases legais, DPIAs, atualizações de avisos de privacidade e a resposta a violações dependem todas de saber o que trata e porquê.

  • Audite suas atividades de tratamento atuais e documente cada uma no seu RoPA, incluindo a base legal para cada atividade.
  • Reveja seus avisos de privacidade para garantir que correspondem ao que realmente faz, não ao que pretendia fazer quando foram escritos pela última vez.
  • Construa um procedimento de resposta a violações que inclua o passo de notificação de 72 horas explicitamente, com uma pessoa nomeada responsável pela comunicação com o regulador.
  • Mapeie seus fluxos de dados para subcontratantes terceiros. Cada relação de subcontratação deve ser regida por um Contrato de Tratamento de Dados conforme exigido pelo Artigo 28.
  • Verifique se transfere dados pessoais para fora do EEE. O Reino Unido pós-Brexit, e quaisquer transferências para países sem decisão de adequação, requerem mecanismos de transferência adequados como as Cláusulas Contratuais Padrão.
  • Teste sua resposta a pedidos de acesso a dados com um pedido simulado antes de um pedido real chegar.
  • Se tratar dados de categorias especiais ou realizar monitorização em larga escala, confirme se é necessária uma DPIA e, se existir uma, se está atualizada.

A Autoriteit Persoonsgegevens aceita relatórios voluntários de violações e questões de organizações que trabalham em lacunas de conformidade. Os reguladores tratam as organizações que chegam com um plano de remediação de forma mais favorável do que as encontradas em incumprimento durante uma auditoria. A nossa equipa de auditorias e conformidade trabalha com organizações em todas as fases da construção de um programa GDPR, desde avaliações de lacunas iniciais até suporte contínuo de EPD.

O texto completo do GDPR com navegação artigo por artigo está disponível em GDPR.eu. O Comité Europeu para a Proteção de Dados publica orientações vinculantes sobre consentimento, notificação de violações, transferências de dados e base legal em edpb.europa.eu.

Perguntas frequentes

O GDPR aplica-se à minha empresa se estivermos sediados fora da UE?

Sim. O GDPR aplica-se a qualquer organização que trate dados pessoais de indivíduos na UE ou EEE, independentemente de onde a organização está sediada. Este é o âmbito extraterritorial estabelecido no Artigo 3. Se vender bens ou serviços a residentes da UE, ou monitorizar o comportamento de indivíduos na UE, está sujeito ao GDPR mesmo que não tenha escritório ou entidade jurídica dentro da UE.

O que é um Registo de Atividades de Tratamento e precisamos de ter um?

Um Registo de Atividades de Tratamento (RoPA) é um inventário documentado de todas as formas como sua organização trata dados pessoais: que dados detém, com quem os partilha, durante quanto tempo os conserva e a base legal para o tratamento. O Artigo 30 exige que organizações com 250 ou mais trabalhadores mantenham um RoPA completo. As organizações mais pequenas só são obrigadas a manter registos para o tratamento que não seja ocasional, envolva dados de categorias especiais ou possa representar risco para os direitos dos indivíduos. Na prática, a maioria das organizações que tratam dados de clientes, trabalhadores ou de saúde deve manter um independentemente do tamanho.

Quando devemos nomear um Encarregado de Proteção de Dados?

Um Encarregado de Proteção de Dados é obrigatório ao abrigo do Artigo 37 do GDPR em três situações: se for uma autoridade ou organismo público; se suas atividades principais exigirem monitorização sistemática em larga escala de indivíduos; ou se suas atividades principais envolverem o tratamento em larga escala de dados de categorias especiais (saúde, biométricos, condenações penais, etc.). Mesmo que nenhuma destas situações se aplique, nomear um EPD voluntariamente é aconselhável se seu tratamento de dados for complexo ou de alto risco, pois demonstra responsabilidade perante os reguladores.

O que conta como uma violação de dados pessoais nos termos do GDPR?

Uma violação de dados pessoais é qualquer incidente de segurança que leva à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito a dados pessoais. Isto abrange mais do que apenas ciberataques: um email mal direcionado, um portátil perdido ou um arquivo partilhado acidentalmente de forma pública são todos violações. Nem toda a violação precisa de ser comunicada, mas deve avaliar o risco para os indivíduos e notificar sua autoridade de supervisão no prazo de 72 horas se houver um risco provável para os direitos e liberdades das pessoas.

Quais são as multas máximas por violações do GDPR?

As multas do GDPR funcionam em dois escalões. O Escalão 1 abrange infrações menos graves (principalmente obrigações processuais e técnicas) e permite multas até 10 milhões de euros ou 2% do volume de negócios anual global, o que for mais elevado. O Escalão 2 abrange as infrações mais graves, incluindo violações dos princípios fundamentais de tratamento, violação do requisito de base legal e infração dos direitos dos titulares de dados. As multas do Escalão 2 podem chegar a 20 milhões de euros ou 4% do volume de negócios anual global. As autoridades de supervisão também podem emitir advertências, repreensões, proibições temporárias de tratamento e ordens para comunicar violações aos indivíduos afetados.

Fale com a Cyvra

Não tem a certeza onde seu programa GDPR tem lacunas?

Realizamos avaliações de lacunas de proteção de dados e prestamos suporte consultivo de EPD a organizações nos Países Baixos e no Reino Unido.

Aviso legal: Este artigo é apenas para fins informativos gerais e não constitui aconselhamento jurídico, regulatório ou profissional. A Cyvra não presta qualquer garantia quanto à exatidão ou integridade deste conteúdo, que pode não refletir os desenvolvimentos regulatórios mais recentes. Os leitores devem procurar aconselhamento jurídico e regulatório independente adequado às suas circunstâncias específicas. A Cyvra não aceita qualquer responsabilidade por perdas decorrentes da utilização deste conteúdo.