Proteção de Dados | RGPD | Consultoria, Assessoria, Auditoria e Formação | protecaodedados.pt
V01 · Proteção de Dados

Proteção de Dados Pessoais — Conformidade, Confiança e Competitividade

RGPD Lei 58/2019 Lei 41/2004 Directiva ePrivacy

A unidade especializada em proteção de dados do ecossistema Regimes Jurídicos de Portugal. DPO externo, auditorias de conformidade RGPD, avaliações de impacto sobre a proteção de dados, gestão de direitos dos titulares e resposta a incidentes de violação de dados pessoais.

Ver Serviços Solicitar Proposta
01

A Proteção de Dados como Imperativo Organizacional

O Regulamento Geral sobre a Proteção de Dados (RGPD), em vigor desde 25 de maio de 2018, estabelece um quadro normativo harmonizado para o tratamento de dados pessoais em toda a União Europeia. Em Portugal, a Lei n.º 58/2019, de 8 de agosto, procede à execução do RGPD na ordem jurídica nacional, complementando e especificando determinadas matérias relativas à designação do encarregado de proteção de dados, ao regime sancionatório e às condições específicas de tratamento.

A conformidade com este regime não é apenas uma obrigação legal — é um factor de competitividade e confiança. Organizações que demonstram respeito pela privacidade dos seus clientes, colaboradores e parceiros constroem relações mais sólidas e duradouras. A não conformidade, pelo contrário, expõe a organização a sanções administrativas significativas, danos reputacionais e perda de confiança no mercado.

Disponibilizamos um portfólio completo de serviços em proteção de dados, estruturado nos quatro pilares — Consultoria, Assessoria, Auditoria e Formação — para apoiar organizações de todas as dimensões na construção e manutenção de um programa de conformidade eficaz e sustentável.

Princípio Orientador

«O responsável pelo tratamento é responsável pelo cumprimento dos princípios e deve poder comprová-lo.»

— Princípio da Responsabilidade (Accountability), artigo 5.º, n.º 2, do RGPD
0h Prazo de notificação à CNPD
20M€ Coima máxima RGPD
0 RGPD em vigor
0 Regimes no vector
Serviços Especializados

Os Quatro Pilares de Serviço em Proteção de Dados

Portfólio completo de serviços estruturado para responder às diferentes necessidades de conformidade com o RGPD, desde a consulta pontual até ao acompanhamento continuado e à capacitação das equipas.

I Consultoria em Proteção de Dados
Pareceres sobre licitude de tratamento e bases legais;
Análise de bases legais e consentimento;
Avaliação de transferências internacionais de dados;
Interpretação de deliberações e orientações da CNPD;
Second opinion sobre obrigações RGPD.
Consultoria Jurídica
II Assessoria e DPO Externo
DPO-as-a-Service (DPO externo permanente);
Gestão do registo de actividades de tratamento;
Acompanhamento de pedidos de exercício de direitos;
Assessoria na relação com a CNPD;
Elaboração e revisão de políticas de privacidade.
Assessoria Jurídica
III Auditoria de Conformidade RGPD
Gap analysis de conformidade RGPD;
Avaliação de Impacto sobre a Proteção de Dados (AIPD/DPIA);
Auditoria a subcontratantes e contratos de tratamento;
Verificação de medidas técnicas e organizativas;
Relatório de auditoria com plano de remediação.
Auditoria Jurídica
IV Formação em Proteção de Dados
Ciclo de Formação RGPD — 5 Módulos;
Workshop DPIA — Avaliação de Impacto na Prática;
Sessão de sensibilização para colaboradores;
Simulacro de violação de dados pessoais;
Formação para DPOs internos.
Centro de Formação
Obrigações Fundamentais

O Que o RGPD Exige da Sua Organização

As principais obrigações que qualquer organização que trate dados pessoais deve conhecer e implementar para assegurar a conformidade com o Regulamento Geral sobre a Proteção de Dados.

Registo de Actividades de Tratamento

Documentação obrigatória de todos os tratamentos de dados pessoais realizados pela organização, incluindo finalidades, categorias de dados, destinatários e prazos de conservação (artigo 30.º do RGPD).

Designação de DPO

Obrigatória para entidades públicas, organizações que realizem tratamento em grande escala e entidades que tratem categorias especiais de dados de forma sistemática (artigo 37.º do RGPD).

Avaliações de Impacto (AIPD)

Obrigatórias quando o tratamento seja susceptível de resultar num elevado risco para os direitos e liberdades dos titulares, designadamente quando envolva novas tecnologias ou monitorização sistemática (artigo 35.º do RGPD).

Direitos dos Titulares

Garantia do exercício dos direitos de acesso, rectificação, apagamento, limitação do tratamento, portabilidade e oposição, com resposta no prazo máximo de um mês (artigos 15.º a 22.º do RGPD).

Notificação de Violações

Comunicação à CNPD no prazo máximo de 72 horas após conhecimento da violação e comunicação aos titulares quando a violação seja susceptível de resultar em elevado risco (artigos 33.º e 34.º do RGPD).

Contratos de Subcontratação

Formalização obrigatória das relações com subcontratantes que tratem dados pessoais por conta do responsável, com cláusulas específicas sobre instruções, medidas de segurança e subcontratação ulterior (artigo 28.º do RGPD).

Quadro Normativo

Regimes Jurídicos do Vector V01

O vector de Proteção de Dados integra os regimes jurídicos directamente relacionados com a privacidade e o tratamento de dados pessoais, abrangendo o quadro europeu e a legislação nacional de execução.

A01
RGPD

Proteção de Dados Pessoais

Regulamento (UE) 2016/679 + Lei n.º 58/2019

CNPD Tier 1
Saber mais
A09
ePrivacy

Comunicações Eletrónicas

Lei n.º 41/2004 + Directiva 2002/58/CE

CNPD / ANACOM Tier 2
Saber mais
A07
Videovigilância

Videovigilância

Lei n.º 58/2019 (arts. 19.º–21.º) + Deliberações CNPD

CNPD Tier 2
Saber mais
E09
Marketing Directo

Marketing Directo e Comunicações Comerciais

Decreto-Lei n.º 7/2004 + Lei n.º 41/2004

CNPD / ANACOM Tier 3
Saber mais
F04
Data Act

Regulamento dos Dados

Regulamento (UE) 2023/2854

Comissão Europeia Tier 3
Saber mais
Formação Especializada

Capacitação em Proteção de Dados

A formação contínua é componente essencial de qualquer programa de conformidade RGPD. As nossas sessões combinam rigor técnico-jurídico com exercícios práticos e simulações realistas para capacitar as equipas da sua organização.

Ciclo de Formação

Ciclo de Formação RGPD — 5 Módulos

40 horas Presencial ou online síncrono

Programa completo destinado a DPOs, compliance officers, directores jurídicos e gestores de TI que necessitem de dominar o quadro normativo de proteção de dados na sua integralidade.

Módulos: M1 Princípios e bases legais · M2 Direitos dos titulares · M3 Medidas de segurança · M4 AIPD e gestão de riscos · M5 Incidentes e notificações.
Solicitar Programa Completo
Workshop Prático

Workshop DPIA — Avaliação de Impacto na Prática

8 horas Presencial

Exercício prático com caso de estudo real. Os participantes conduzem uma Avaliação de Impacto sobre a Proteção de Dados completa, desde a identificação do tratamento até à definição de medidas de mitigação e à consulta prévia à CNPD.

Inscrever-se
Exercício Prático

Simulacro de Violação de Dados Pessoais

4 horas Presencial

Simulação realista de um incidente de violação de dados pessoais. Os participantes activam os procedimentos de contenção, avaliação de risco, notificação à CNPD no prazo de 72 horas e comunicação aos titulares afectados. Inclui debriefing e plano de melhoria.

Agendar Simulacro

Perguntas Frequentes sobre Proteção de Dados

Respostas técnicas às questões mais comuns sobre o RGPD, a Lei n.º 58/2019 e as obrigações das organizações em matéria de proteção de dados pessoais.

O Regulamento Geral sobre a Proteção de Dados (RGPD) — Regulamento (UE) 2016/679 — é o quadro normativo europeu que regula o tratamento de dados pessoais. Aplica-se a todas as organizações, públicas e privadas, que tratem dados pessoais de titulares na União Europeia, independentemente de a organização estar ou não estabelecida na UE. Em Portugal, a Lei n.º 58/2019, de 8 de agosto, procede à execução do RGPD na ordem jurídica nacional.

Nos termos do artigo 37.º do RGPD, a designação de um Encarregado de Proteção de Dados (DPO) é obrigatória quando: (a) o tratamento for efectuado por uma autoridade ou organismo público; (b) as actividades principais do responsável ou subcontratante consistam em operações de tratamento que exijam controlo regular e sistemático dos titulares em grande escala; ou (c) as actividades principais consistam no tratamento em grande escala de categorias especiais de dados ou de dados relativos a condenações penais. Em Portugal, a Lei n.º 58/2019 alarga esta obrigação a determinadas entidades adicionais.

A Avaliação de Impacto sobre a Proteção de Dados (AIPD ou DPIA) é uma análise sistemática e abrangente dos riscos que um tratamento de dados pessoais pode representar para os direitos e liberdades dos titulares. É obrigatória nos termos do artigo 35.º do RGPD quando o tratamento seja susceptível de resultar num elevado risco, designadamente quando envolve novas tecnologias, tratamento automatizado com efeitos jurídicos, monitorização sistemática em grande escala ou categorias especiais de dados.

O prazo geral para resposta a pedidos de exercício de direitos dos titulares é de um mês a contar da recepção do pedido, podendo ser prorrogado até dois meses adicionais em casos de complexidade ou elevado número de pedidos (artigo 12.º, n.º 3, do RGPD). Neste caso, o titular deve ser informado da prorrogação e dos respectivos motivos no prazo de um mês. Se o responsável decidir não dar seguimento ao pedido, deve informar o titular no prazo de um mês, indicando os motivos e a possibilidade de reclamação junto da CNPD.

Em caso de violação de dados pessoais, o responsável pelo tratamento deve: (1) notificar a CNPD no prazo máximo de 72 horas após tomar conhecimento da violação, salvo se for improvável que resulte em risco para os titulares (artigo 33.º do RGPD); (2) documentar a violação, os seus efeitos e as medidas correctivas adoptadas; (3) comunicar a violação aos titulares afectados sem demora injustificada se for provável que resulte em elevado risco para os seus direitos e liberdades (artigo 34.º do RGPD). É fundamental ter procedimentos internos previamente definidos para resposta a incidentes.

Sim. O RGPD permite expressamente que o Encarregado de Proteção de Dados exerça as suas funções com base num contrato de prestação de serviços, ou seja, como DPO externo (artigo 37.º, n.º 6). O DPO externo pode servir várias organizações, desde que esteja facilmente acessível a partir de cada estabelecimento e que não exista conflito de interesses. O modelo de DPO externo é particularmente adequado para PME e organizações que não disponham de recursos para um DPO a tempo inteiro.

O responsável pelo tratamento é a pessoa singular ou colectiva que determina as finalidades e os meios do tratamento de dados pessoais — decide «porquê» e «como» os dados são tratados (artigo 4.º, n.º 7, do RGPD). O subcontratante é a entidade que trata dados pessoais por conta do responsável, seguindo as suas instruções (artigo 4.º, n.º 8). A distinção é fundamental porque as obrigações e responsabilidades legais diferem significativamente. Muitas organizações actuam simultaneamente como responsáveis (para dados dos seus clientes) e como subcontratantes (para dados tratados por conta de terceiros).

O RGPD prevê dois escalões de coimas. O escalão superior — até 20 milhões de euros ou 4% do volume de negócios anual global, consoante o que for mais elevado — aplica-se às violações mais graves, incluindo o incumprimento dos princípios de tratamento, dos direitos dos titulares e das regras sobre transferências internacionais (artigo 83.º, n.º 5). O escalão inferior — até 10 milhões de euros ou 2% do volume de negócios — aplica-se a obrigações de natureza mais técnica ou organizativa (artigo 83.º, n.º 4). Em Portugal, a Lei n.º 58/2019 estabelece disposições adicionais sobre o regime sancionatório, incluindo limites específicos para entidades públicas.

Ecossistema Regulatório

Vectores Relacionados

A proteção de dados pessoais articula-se directamente com outros domínios regulatórios do ecossistema. A conformidade integrada entre vectores é a abordagem mais eficaz para gerir a complexidade regulatória contemporânea.

V03

Segurança da Informação

segurancadainformacao.pt

A ISO/IEC 27001:2022 e os sistemas de gestão de segurança da informação são complementares ao RGPD, fornecendo o enquadramento técnico para as medidas de segurança exigidas pelo artigo 32.º.

Visitar vector
V04

Cibersegurança

ciberseguranca.net

A Directiva NIS2 e o regime nacional de cibersegurança impõem obrigações de reporte de incidentes que se articulam directamente com as notificações de violação de dados do RGPD.

Visitar vector
V07

Inteligência Artificial

inteligenciartificial.pt

O AI Act e o RGPD partilham preocupações sobre tratamento automatizado, definição de perfis e decisões individuais automatizadas (artigo 22.º do RGPD), exigindo abordagens de conformidade convergentes.

Visitar vector
V09

Gestão de RH

gestaolaboral.pt

O tratamento de dados pessoais no contexto laboral envolve obrigações específicas, desde a videovigilância no local de trabalho até ao controlo de assiduidade e à gestão de dados de saúde dos trabalhadores.

Visitar vector

Garanta a Conformidade da Sua Organização

Solicite uma avaliação inicial ou uma proposta de serviços em proteção de dados. Analisamos a sua situação e apresentamos as soluções mais adequadas às necessidades da sua organização.

Solicitar Proposta Agendar Reunião
secretariado@protecaodedados.pt (+351) 213 243 750
Politica de Proteção de Dados

Consoante o seu consentimento, os Cookies neste sítio eletrónico podem ser utilizados (i) para melhorar a sua navegação e desempenho, (ii) para analisar a sua utilização, (iii) para possibilitar a criação de conteúdos de publicidade direcionada ou (iv) para integrar com a gestão de redes sociais.

Por defeito, só os Cookies estritamente necessários se encontram ativos.

Poderá aceitar ou rejeitar todos os Cookies nos botões apresentados ou gerir ou desativar alguns destes Cookies selecionando as opções “Configurar Cookies”.

Para mais informações sobre tratamento de dados, visite, por favor, a [Política de Cookies] ou a [Política de Proteção de Dados].