Proteção de Dados

Notificação de violação de dados à CNPD: prazo de 72h

Notificação de violação de dados à CNPD em 72 horas (arts. 33.º-34.º RGPD): formulário, avaliação de risco, comunicação aos titulares e registo interno.

Also available in:English·Français·Deutsch·Español·Italiano

Uma violação de dados pessoais deve ser notificada à CNPD no prazo de 72 horas após o responsável dela ter conhecimento, salvo se for improvável que resulte em risco para os direitos e liberdades dos titulares (art. 33.º, n.º 1 RGPD). A notificação faz-se através do formulário eletrónico disponível no sítio da CNPD. Se a violação for suscetível de implicar um elevado risco, é também obrigatório comunicar aos próprios titulares (art. 34.º), sem demora injustificada. Este guia explica como avaliar o risco, quando e como notificar, e por que razão toda a violação — mesmo a que não é notificada — deve ficar registada.

Principais conclusões

  • Prazo de 72 horas para notificar a CNPD após conhecimento da violação (art. 33.º, n.º 1).
  • A notificação faz-se pelo formulário eletrónico da CNPD.
  • Comunicação aos titulares só quando há elevado risco (art. 34.º, n.º 1).
  • Todas as violações devem ser registadas internamente, mesmo as não notificadas (art. 33.º, n.º 5).
  • A avaliação de risco segue as Guidelines 9/2022 do CEPD.

O que conta como violação de dados

O artigo 4.º, n.º 12, do RGPD define violação de dados pessoais como «uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados a dados pessoais». Isto abrange três tipos de incidente:

  • Confidencialidade — acesso ou divulgação não autorizados (ex.: envio de um email com dados a destinatário errado, ransomware com exfiltração).
  • Integridade — alteração não autorizada de dados.
  • Disponibilidade — perda de acesso ou destruição (ex.: ransomware sem cópia de segurança, perda de um portátil não cifrado).

Nem todo o incidente de segurança é uma violação de dados, mas todo o incidente que afete dados pessoais deve ser avaliado. O ponto de partida é saber que dados a organização trata — daí a importância do registo de atividades de tratamento. A autoridade a quem se dirige a notificação é a CNPD, cujos poderes e procedimentos detalhamos no guia da CNPD. Esta notificação de violações RGPD é distinta do reporte de incidentes de cibersegurança da NIS2, com prazos e autoridade próprios — ver a transposição da NIS2 em Portugal.

Avaliar o risco: as Guidelines 9/2022 do CEPD

O critério que decide se e como notificar é o nível de risco para os titulares. As Guidelines 9/2022 do CEPD fornecem exemplos práticos. A avaliação pondera:

  • Tipo de violação (confidencialidade, integridade, disponibilidade);
  • Natureza e volume dos dados (dados sensíveis, financeiros, de menores agravam o risco);
  • Facilidade de identificação dos titulares;
  • Gravidade das consequências (roubo de identidade, fraude, discriminação, danos reputacionais);
  • Características especiais dos titulares (crianças, doentes);
  • Número de titulares afetados.

Deste exercício resultam três desfechos possíveis, resumidos na árvore de decisão abaixo.

Árvore de decisão: notificar ou não

Nível de risco Notificar a CNPD? Comunicar aos titulares?
Improvável risco Não (mas registar) Não
Risco Sim, em 72h Não
Elevado risco Sim, em 72h Sim, sem demora

O erro mais caro é subvalorizar o risco para evitar notificar. A CNPD e o CEPD partem do princípio de que, na dúvida, se deve notificar — e uma violação escondida que venha a público é um agravante severo. Um portátil cifrado perdido pode não gerar risco; o mesmo portátil sem cifragem, com dados de clientes, gera. A cifragem é, muitas vezes, o que faz a diferença entre notificar e não notificar.

Como notificar: o formulário da CNPD

A notificação faz-se através do formulário eletrónico de notificação de violações disponível no sítio da CNPD. A notificação deve conter, no mínimo (art. 33.º, n.º 3):

  1. A natureza da violação, categorias e número aproximado de titulares e de registos afetados;
  2. O nome e contactos do encarregado de proteção de dados ou outro ponto de contacto;
  3. As consequências prováveis da violação;
  4. As medidas adotadas ou propostas para remediar a violação e mitigar os efeitos.

Quando não é possível reunir toda a informação em 72 horas, o RGPD admite a notificação faseada (art. 33.º, n.º 4): notifica-se dentro do prazo com a informação disponível e completa-se depois. O que não é admissível é deixar passar as 72 horas por estar à espera de ter tudo apurado.

Comunicação aos titulares (art. 34.º)

Quando há elevado risco, os titulares devem ser informados sem demora injustificada, em linguagem clara, descrevendo a natureza da violação, o ponto de contacto, as consequências prováveis e as medidas que podem tomar para se protegerem. Há três exceções (art. 34.º, n.º 3): se os dados estavam cifrados, se foram tomadas medidas que eliminam o elevado risco, ou se a comunicação individual exigir um esforço desproporcionado — caso em que se recorre a comunicação pública.

O registo interno de violações (art. 33.º, n.º 5)

Independentemente de notificar ou não, o responsável tem de documentar todas as violações — os factos, os efeitos e as medidas de reparação. Este registo permite à CNPD verificar o cumprimento do artigo 33.º. Na prática, é frequente uma organização decidir não notificar por considerar o risco improvável; essa decisão só é defensável se estiver documentada com a respetiva avaliação de risco.

O registo de violações é, muitas vezes, subestimado. Não é um mero arquivo interno: é a prova de que a organização tem um processo de deteção e resposta a funcionar. Numa fiscalização, um registo vazio pode significar duas coisas — ou a organização nunca teve incidentes (improvável em qualquer entidade com alguma dimensão), ou não os deteta nem os documenta. Ambas as leituras são desfavoráveis. Manter o registo com as violações menores e as decisões de não notificação demonstra maturidade, não fragilidade.

Para operacionalizar isto, disponibilizamos um procedimento de violação de dados com modelo de registo pronto a adaptar. Ter o procedimento definido antes do incidente é o que permite cumprir as 72 horas — durante uma crise não há tempo para o desenhar. Plataformas de conformidade como a Legiscope integram o registo de violações com o inventário de tratamentos e o encarregado de proteção de dados, garantindo que a avaliação de risco fica documentada de forma consistente.

Perguntas frequentes

As 72 horas contam a partir de quando?

A partir do momento em que o responsável tem conhecimento da violação, ou seja, tem um grau razoável de certeza de que ocorreu um incidente de segurança que comprometeu dados pessoais. O prazo inclui fins de semana e feriados.

Tenho sempre de comunicar a violação aos clientes afetados?

Não. A comunicação aos titulares só é obrigatória quando a violação for suscetível de implicar um elevado risco (art. 34.º). Se os dados estavam cifrados de forma robusta, essa comunicação pode ser dispensada.

O que acontece se não notificar dentro de 72 horas?

A notificação tardia deve indicar os motivos do atraso (art. 33.º, n.º 1). O incumprimento pode dar origem a coima até 10 M€ ou 2% do volume de negócios (art. 83.º, n.º 4). A não notificação de uma violação de elevado risco é uma das falhas mais penalizadas.

Um subcontratante que sofre uma violação notifica a CNPD?

Não diretamente. O subcontratante deve notificar o responsável sem demora injustificada (art. 33.º, n.º 2); é o responsável que notifica a CNPD. Esta obrigação deve constar do contrato de subcontratação do artigo 28.º.

Conclusão

A notificação de violação de dados à CNPD assenta num prazo curto — 72 horas — e numa avaliação de risco que decide se, e a quem, se comunica. O segredo está na preparação: um procedimento definido, um registo de violações operacional e uma avaliação de risco documentada permitem responder com rapidez e defender as decisões tomadas. Na dúvida, notifique. E, tenha ou não notificado, registe sempre.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →