Um procedimento interno de violação de dados é o documento que define, antes de qualquer incidente, quem faz o quê nas primeiras 72 horas: quem deteta e reporta, quem avalia o risco, quem decide notificar a CNPD e quem comunica aos titulares. Sem este procedimento escrito, o prazo de 72 horas do artigo 33.º RGPD esgota-se em reuniões improvisadas — e o atraso na notificação é, por si só, uma circunstância agravante da coima. A este procedimento acresce uma obrigação autónoma: manter um registo interno de todas as violações, incluindo as que não foram notificadas (artigo 33.º, n.º 5).
Este guia dá-lhe um modelo de procedimento em cinco fases e um template de registo de violações com os campos que a CNPD espera encontrar.
Pontos essenciais
- O prazo de 72 horas (artigo 33.º, n.º 1) conta a partir do momento em que o responsável toma conhecimento da violação, não da resolução.
- O registo de violações é obrigatório mesmo para incidentes não notificados (artigo 33.º, n.º 5).
- A avaliação de risco segue a matriz das Guidelines 9/2022 do CEPD.
- A comunicação aos titulares (artigo 34.º) só é exigida quando o risco for elevado.
O que conta como violação de dados
Uma violação de dados pessoais não é só um ataque informático. O artigo 4.º, n.º 12 RGPD define-a como qualquer violação da segurança que provoque a destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais — acidental ou ilícita. Um email enviado ao destinatário errado, um portátil perdido, uma pasta partilhada com permissões abertas ou um ransomware são todos violações. Distinguem-se três tipos: confidencialidade (acesso ou divulgação indevida), integridade (alteração não autorizada) e disponibilidade (perda de acesso, ainda que temporária).
Esta definição ampla é a razão pela qual muitas organizações subavaliam a frequência das violações: acreditam que só um ciberataque conta, quando a maioria dos incidentes reportados à CNPD tem origem em erro humano — um envio errado, um documento mal endereçado, um acesso mal configurado. O procedimento existe precisamente para que também esses casos, aparentemente banais, sejam detetados, avaliados e registados. Cada tipo de violação tem implicações diferentes: uma quebra de confidencialidade tende a gerar risco mais elevado para os titulares, enquanto uma indisponibilidade temporária de um serviço, com dados recuperáveis a partir de cópias de segurança, pode não implicar risco. É esta gradação que a avaliação de risco vai apurar.
O procedimento em cinco fases
Fase 1 — Deteção e reporte interno
Qualquer colaborador que suspeite de um incidente deve reportá-lo de imediato a um ponto único (o EPD ou a equipa de segurança), por um canal predefinido. O procedimento fixa o momento do «conhecimento» — que faz arrancar o relógio das 72 horas.
Fase 2 — Contenção e avaliação inicial
A equipa contém o incidente (revoga acessos, isola sistemas) e reúne os factos: que dados, quantos titulares, que categorias, quando e como. Esta ficha alimenta a avaliação de risco.
Fase 3 — Avaliação de risco
Usando a metodologia das Guidelines 9/2022 do CEPD, avalia-se a gravidade combinando o tipo de dados, a facilidade de identificação, a dimensão e as consequências possíveis. O resultado determina as duas decisões seguintes.
| Nível de risco | Notificar CNPD (art. 33.º) | Comunicar titulares (art. 34.º) |
|---|---|---|
| Sem risco | Não (mas registar) | Não |
| Risco | Sim, em 72h | Não |
| Risco elevado | Sim, em 72h | Sim, sem demora |
Fase 4 — Notificação à CNPD
Se houver risco para os direitos e liberdades dos titulares, notifica-se a CNPD através do formulário eletrónico de notificação de violações, dentro de 72 horas. Se a notificação exceder as 72 horas, é acompanhada da justificação do atraso (artigo 33.º, n.º 1). É admissível uma notificação faseada quando não se dispõe de toda a informação de imediato.
Fase 5 — Comunicação aos titulares e encerramento
Quando o risco é elevado, comunica-se aos titulares em linguagem clara, sem demora injustificada (artigo 34.º). Encerra-se o incidente com uma análise de causa e as medidas corretivas — e regista-se tudo.
Para o detalhe da notificação em si — formulário, prazos, notificação faseada — veja o guia sobre a notificação de violação de dados à CNPD.
O registo de violações: template pronto
O artigo 33.º, n.º 5 obriga a documentar todas as violações, mesmo as que não foram notificadas. Este registo é uma das primeiras coisas que a CNPD pede numa fiscalização. Estes são os campos mínimos:
| Campo | Conteúdo |
|---|---|
| Referência / data de deteção | ID interno e data/hora do conhecimento |
| Descrição do incidente | O que aconteceu, tipo (confid./integr./disponib.) |
| Categorias de dados e titulares | Que dados, quantas pessoas afetadas |
| Avaliação de risco | Resultado e metodologia (CEPD 9/2022) |
| Decisão de notificação | Notificado à CNPD? Data? Justificação se >72h |
| Comunicação aos titulares | Sim/não, forma, data |
| Medidas corretivas | Contenção e prevenção futura |
Os erros que agravam a coima
Três falhas transformam um incidente gerível numa coima pesada: não ter procedimento (a improvisação faz perder o prazo); decidir não notificar sem documentar a avaliação de risco (a CNPD presume risco quando não há análise); e não manter o registo de violações não notificadas. A ausência de registo é uma infração autónoma, independentemente de o incidente original ter ou não causado dano — e soma-se à coima do incidente, como mostra a análise das coimas RGPD da CNPD.
Manter o procedimento e o registo alinhados com o registo de atividades de tratamento permite saber, em minutos, que dados e que subcontratantes estão envolvidos num incidente. Plataformas de conformidade como a Legiscope integram o fluxo de violações com o registo e controlam o prazo das 72 horas, o que reduz o risco de perder o prazo por desorganização. A ferramenta apoia a decisão, mas a responsabilidade da notificação é sempre do responsável e do seu encarregado de proteção de dados.
Perguntas frequentes
Quando começam a contar as 72 horas?
A partir do momento em que o responsável toma conhecimento da violação com um grau razoável de certeza de que ocorreu — não a partir da resolução do incidente nem da sua deteção técnica por um subcontratante que ainda não comunicou. O subcontratante deve alertar o responsável sem demora injustificada (artigo 33.º, n.º 2).
Tenho de notificar todas as violações à CNPD?
Não. Só se notifica a CNPD quando a violação for suscetível de implicar um risco para os direitos e liberdades dos titulares. As violações sem risco não se notificam, mas têm sempre de ser inscritas no registo interno (artigo 33.º, n.º 5).
O que acontece se não notificar dentro das 72 horas?
A notificação continua a ser devida, agora acompanhada da justificação do atraso. O incumprimento do prazo é uma circunstância que a CNPD valora na graduação da coima, pelo que o atraso não justificado agrava a sanção.
Quem é responsável por manter o registo de violações?
O responsável pelo tratamento, na prática através do encarregado de proteção de dados ou da equipa de segurança. O registo deve estar permanentemente disponível para consulta pela CNPD.
Conclusão
Um procedimento de violação de dados existe para que ninguém tenha de improvisar sob pressão: define quem deteta, quem avalia o risco pela matriz do CEPD, quem decide notificar a CNPD em 72 horas e quem comunica aos titulares. O registo do artigo 33.º, n.º 5 fecha o sistema, documentando mesmo os incidentes não notificados. Escreva o procedimento antes do incidente — porque depois já não há tempo.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial