Proteção de Dados

Procedimento de violação de dados: modelo e registo

Modelo de procedimento interno de violação de dados e registo do art. 33.º, n.º 5 RGPD: deteção, avaliação de risco e notificação à CNPD em 72 horas.

Also available in:Français·Deutsch

Um procedimento interno de violação de dados é o documento que define, antes de qualquer incidente, quem faz o quê nas primeiras 72 horas: quem deteta e reporta, quem avalia o risco, quem decide notificar a CNPD e quem comunica aos titulares. Sem este procedimento escrito, o prazo de 72 horas do artigo 33.º RGPD esgota-se em reuniões improvisadas — e o atraso na notificação é, por si só, uma circunstância agravante da coima. A este procedimento acresce uma obrigação autónoma: manter um registo interno de todas as violações, incluindo as que não foram notificadas (artigo 33.º, n.º 5).

Este guia dá-lhe um modelo de procedimento em cinco fases e um template de registo de violações com os campos que a CNPD espera encontrar.

Pontos essenciais

  • O prazo de 72 horas (artigo 33.º, n.º 1) conta a partir do momento em que o responsável toma conhecimento da violação, não da resolução.
  • O registo de violações é obrigatório mesmo para incidentes não notificados (artigo 33.º, n.º 5).
  • A avaliação de risco segue a matriz das Guidelines 9/2022 do CEPD.
  • A comunicação aos titulares (artigo 34.º) só é exigida quando o risco for elevado.

O que conta como violação de dados

Uma violação de dados pessoais não é só um ataque informático. O artigo 4.º, n.º 12 RGPD define-a como qualquer violação da segurança que provoque a destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais — acidental ou ilícita. Um email enviado ao destinatário errado, um portátil perdido, uma pasta partilhada com permissões abertas ou um ransomware são todos violações. Distinguem-se três tipos: confidencialidade (acesso ou divulgação indevida), integridade (alteração não autorizada) e disponibilidade (perda de acesso, ainda que temporária).

Esta definição ampla é a razão pela qual muitas organizações subavaliam a frequência das violações: acreditam que só um ciberataque conta, quando a maioria dos incidentes reportados à CNPD tem origem em erro humano — um envio errado, um documento mal endereçado, um acesso mal configurado. O procedimento existe precisamente para que também esses casos, aparentemente banais, sejam detetados, avaliados e registados. Cada tipo de violação tem implicações diferentes: uma quebra de confidencialidade tende a gerar risco mais elevado para os titulares, enquanto uma indisponibilidade temporária de um serviço, com dados recuperáveis a partir de cópias de segurança, pode não implicar risco. É esta gradação que a avaliação de risco vai apurar.

O procedimento em cinco fases

Fase 1 — Deteção e reporte interno

Qualquer colaborador que suspeite de um incidente deve reportá-lo de imediato a um ponto único (o EPD ou a equipa de segurança), por um canal predefinido. O procedimento fixa o momento do «conhecimento» — que faz arrancar o relógio das 72 horas.

Fase 2 — Contenção e avaliação inicial

A equipa contém o incidente (revoga acessos, isola sistemas) e reúne os factos: que dados, quantos titulares, que categorias, quando e como. Esta ficha alimenta a avaliação de risco.

Fase 3 — Avaliação de risco

Usando a metodologia das Guidelines 9/2022 do CEPD, avalia-se a gravidade combinando o tipo de dados, a facilidade de identificação, a dimensão e as consequências possíveis. O resultado determina as duas decisões seguintes.

Nível de risco Notificar CNPD (art. 33.º) Comunicar titulares (art. 34.º)
Sem risco Não (mas registar) Não
Risco Sim, em 72h Não
Risco elevado Sim, em 72h Sim, sem demora

Fase 4 — Notificação à CNPD

Se houver risco para os direitos e liberdades dos titulares, notifica-se a CNPD através do formulário eletrónico de notificação de violações, dentro de 72 horas. Se a notificação exceder as 72 horas, é acompanhada da justificação do atraso (artigo 33.º, n.º 1). É admissível uma notificação faseada quando não se dispõe de toda a informação de imediato.

Fase 5 — Comunicação aos titulares e encerramento

Quando o risco é elevado, comunica-se aos titulares em linguagem clara, sem demora injustificada (artigo 34.º). Encerra-se o incidente com uma análise de causa e as medidas corretivas — e regista-se tudo.

Para o detalhe da notificação em si — formulário, prazos, notificação faseada — veja o guia sobre a notificação de violação de dados à CNPD.

O registo de violações: template pronto

O artigo 33.º, n.º 5 obriga a documentar todas as violações, mesmo as que não foram notificadas. Este registo é uma das primeiras coisas que a CNPD pede numa fiscalização. Estes são os campos mínimos:

Campo Conteúdo
Referência / data de deteção ID interno e data/hora do conhecimento
Descrição do incidente O que aconteceu, tipo (confid./integr./disponib.)
Categorias de dados e titulares Que dados, quantas pessoas afetadas
Avaliação de risco Resultado e metodologia (CEPD 9/2022)
Decisão de notificação Notificado à CNPD? Data? Justificação se >72h
Comunicação aos titulares Sim/não, forma, data
Medidas corretivas Contenção e prevenção futura

Os erros que agravam a coima

Três falhas transformam um incidente gerível numa coima pesada: não ter procedimento (a improvisação faz perder o prazo); decidir não notificar sem documentar a avaliação de risco (a CNPD presume risco quando não há análise); e não manter o registo de violações não notificadas. A ausência de registo é uma infração autónoma, independentemente de o incidente original ter ou não causado dano — e soma-se à coima do incidente, como mostra a análise das coimas RGPD da CNPD.

Manter o procedimento e o registo alinhados com o registo de atividades de tratamento permite saber, em minutos, que dados e que subcontratantes estão envolvidos num incidente. Plataformas de conformidade como a Legiscope integram o fluxo de violações com o registo e controlam o prazo das 72 horas, o que reduz o risco de perder o prazo por desorganização. A ferramenta apoia a decisão, mas a responsabilidade da notificação é sempre do responsável e do seu encarregado de proteção de dados.

Perguntas frequentes

Quando começam a contar as 72 horas?

A partir do momento em que o responsável toma conhecimento da violação com um grau razoável de certeza de que ocorreu — não a partir da resolução do incidente nem da sua deteção técnica por um subcontratante que ainda não comunicou. O subcontratante deve alertar o responsável sem demora injustificada (artigo 33.º, n.º 2).

Tenho de notificar todas as violações à CNPD?

Não. Só se notifica a CNPD quando a violação for suscetível de implicar um risco para os direitos e liberdades dos titulares. As violações sem risco não se notificam, mas têm sempre de ser inscritas no registo interno (artigo 33.º, n.º 5).

O que acontece se não notificar dentro das 72 horas?

A notificação continua a ser devida, agora acompanhada da justificação do atraso. O incumprimento do prazo é uma circunstância que a CNPD valora na graduação da coima, pelo que o atraso não justificado agrava a sanção.

Quem é responsável por manter o registo de violações?

O responsável pelo tratamento, na prática através do encarregado de proteção de dados ou da equipa de segurança. O registo deve estar permanentemente disponível para consulta pela CNPD.

Conclusão

Um procedimento de violação de dados existe para que ninguém tenha de improvisar sob pressão: define quem deteta, quem avalia o risco pela matriz do CEPD, quem decide notificar a CNPD em 72 horas e quem comunica aos titulares. O registo do artigo 33.º, n.º 5 fecha o sistema, documentando mesmo os incidentes não notificados. Escreva o procedimento antes do incidente — porque depois já não há tempo.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →