A notificação de violação de dados pessoais (data breach) à CNPD é uma obrigação legal prevista no Regulamento Geral sobre a Proteção de Dados (RGPD) e representa um dos momentos mais sensíveis para qualquer organização que trate dados pessoais em Portugal. Um erro na avaliação do incidente, no prazo ou na forma de comunicação pode resultar em coimas elevadas, processos de fiscalização e danos reputacionais relevantes.
Esta reportagem explica, com foco prático, quando a notificação é obrigatória, qual é o prazo legal, como comunicar corretamente à CNPD e como reagir de forma organizada a um incidente de cibersegurança, em conformidade com o RGPD.
O que é uma violação de dados pessoais (data breach)?
Segundo o artigo 4.º, n.º 12 do RGPD, uma violação de dados pessoais é qualquer incidente de segurança que provoque, de modo acidental ou ilícito, a destruição, perda, alteração, divulgação não autorizada ou acesso indevido a dados pessoais.
👉 Fonte oficial (legislação da UE):
Regulamento (UE) 2016/679 – RGPD (EUR-Lex)
https://eur-lex.europa.eu/eli/reg/2016/679/oj
Na prática, isso inclui situações como ataques de ransomware, acessos indevidos a bases de dados, envio de informações pessoais para destinatário errado, perda de dispositivos com dados pessoais ou falhas graves de segurança informática.
Todo incidente de cibersegurança é um data breach?
Não. Um incidente só é juridicamente relevante para efeitos de notificação quando envolve dados pessoais e é suscetível de gerar risco para os direitos e liberdades das pessoas singulares.
Essa interpretação é reforçada pelas Diretrizes do Comité Europeu para a Proteção de Dados (EDPB) sobre notificações de violações de dados pessoais.
👉 Fonte oficial (EDPB):
Guidelines 9/2022 on personal data breach notification
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data-breach_en
Quando a notificação à CNPD é obrigatória?
A notificação à CNPD – Comissão Nacional de Proteção de Dados é obrigatória quando a violação de dados pessoais for suscetível de resultar em risco para os direitos e liberdades dos titulares dos dados, nos termos do artigo 33.º do RGPD.
👉 Base legal oficial:
RGPD – artigo 33.º (EUR-Lex)
https://eur-lex.europa.eu/eli/reg/2016/679/oj
Se o risco for considerado elevado, a organização também deve comunicar diretamente os titulares dos dados afetados, conforme o artigo 34.º do RGPD.
👉 Base legal oficial:
RGPD – artigo 34.º (EUR-Lex)
https://eur-lex.europa.eu/eli/reg/2016/679/oj
Qual é o prazo legal para notificar a CNPD?
O prazo é objetivo e rigoroso:
⏱️ Até 72 horas após ter conhecimento da violação
O prazo começa a contar no momento em que a organização toma conhecimento do data breach, e não na data em que o incidente ocorreu.
Caso a notificação não seja feita dentro de 72 horas, a entidade deve justificar expressamente o atraso.
👉 Fonte legal direta:
RGPD – artigo 33.º, n.º 1
https://eur-lex.europa.eu/eli/reg/2016/679/oj
Como notificar uma violação de dados à CNPD em Portugal?
Em Portugal, a notificação deve ser feita junto da CNPD, autoridade nacional de controlo em matéria de proteção de dados.
👉 Site oficial da CNPD:
https://www.cnpd.pt
A notificação deve conter, sempre que possível:
- descrição da natureza da violação
- categorias e número aproximado de titulares afetados
- categorias e número aproximado de registos de dados
- contactos do Encarregado de Proteção de Dados (DPO), se aplicável
- consequências prováveis da violação
- medidas adotadas ou propostas para mitigar os efeitos
O RGPD permite que a informação seja prestada de forma faseada, desde que a primeira comunicação seja feita dentro do prazo legal.
E se a organização decidir não notificar?
Mesmo quando a notificação à CNPD não é feita, o RGPD exige a manutenção de um registo interno de todas as violações, incluindo as que não foram comunicadas, com a respetiva fundamentação.
👉 Base legal:
RGPD – artigo 33.º, n.º 5
https://eur-lex.europa.eu/eli/reg/2016/679/oj
Como reagir corretamente a um data breach: abordagem prática
As próprias autoridades europeias recomendam uma resposta estruturada ao incidente:
- conter imediatamente o incidente
- identificar se há dados pessoais envolvidos
- avaliar o risco para os titulares
- decidir sobre a notificação à autoridade
- comunicar os titulares, se necessário
- documentar todas as decisões e medidas
👉 Boas práticas oficiais:
EDPB – Guidelines on Personal Data Breach Management
https://edpb.europa.eu
Quais são as consequências de não notificar um data breach?
O incumprimento das obrigações de notificação pode levar à aplicação de coimas administrativas, nos termos do artigo 83.º do RGPD, que podem atingir até 10 milhões de euros ou 2% do volume de negócios anual global.
👉 Base legal oficial:
RGPD – artigo 83.º
https://eur-lex.europa.eu/eli/reg/2016/679/oj
Conclusão
Um data breach é um problema jurídico, técnico e organizacional. Conhecer o prazo de 72 horas, avaliar corretamente o risco, comunicar de forma adequada à CNPD e documentar todo o processo são passos essenciais para cumprir o RGPD e reduzir a exposição legal da organização.
Perguntas Frequentes (FAQ)
Todo incidente de cibersegurança deve ser comunicado à CNPD?
Não. Apenas violações de dados pessoais que representem risco para os direitos e liberdades dos titulares.
O prazo de 72 horas começa quando?
A partir do momento em que a organização tem conhecimento da violação.
É possível notificar a CNPD sem todas as informações?
Sim. A notificação pode ser feita de forma faseada.
Quando é obrigatório avisar os titulares dos dados?
Quando a violação representar risco elevado para os direitos e liberdades das pessoas.
A não notificação pode gerar coima?
Sim. O incumprimento pode resultar em coimas significativas nos termos do RGPD.