Proteção de dados pessoais: direitos, leis e SOC na prática
A proteção de dados pessoais é um direito fundamental garantido pela Constituição portuguesa (Art. 35.º) e pelo Tratado da União Europeia (Art. 8.º). Na prática, significa que qualquer pessoa tem o direito de controlar quem acede às suas informações — nome, email, dados de saúde, localização — e como essas informações são tratadas. Para as empresas, o incumprimento resulta em coimas da CNPD que podem ultrapassar os 20 milhões de euros.
O que a Lei 58/2019 garante
A Lei n.º 58/2019 executa o Regulamento Geral de Proteção de Dados (RGPD) na ordem jurídica portuguesa. Revogou a anterior Lei da Proteção de Dados Pessoais e estabeleceu as regras de execução que o RGPD deixou em aberto para cada Estado-membro: tratamento de dados no sector público, idade mínima para consentimento (13 anos em Portugal), e as atribuições da CNPD como autoridade de controlo.
A CNPD fiscaliza o cumprimento, recebe notificações de violações de dados e aplica sanções. Em 2024, a comissão abriu 23 processos de contra-ordenação que totalizaram 138 375 euros em coimas. Em 2025, o número de violações reportadas subiu para 472 — o valor mais elevado desde 2020 — segundo dados do Observador.
RGPD versus LGPD: duas leis, um objectivo
O Brasil tem a sua própria legislação: a Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018). Embora inspirada no RGPD, a LGPD difere em pontos-chave:
Base legal: a LGPD inclui 10 bases legais para tratamento de dados; o RGPD tem 6. A LGPD adiciona o crédito como base legítima.
ANPD versus CNPD: no Brasil, a Autoridade Nacional de Proteção de Dados (ANPD) fiscaliza a LGPD. Em Portugal, a CNPD cumpre essa função. As duas autoridades cooperam desde 2024 dentro da Rede Lusófona de Proteção de Dados Pessoais (RLPD), lançada em 2025 para harmonizar legislações entre países de língua portuguesa.
Coimas: o RGPD prevê multas até 20 milhões de euros ou 4% do volume de negócios global. A LGPD limita-se a 2% do faturamento no Brasil (teto de 50 milhões de reais por infração). Na prática, a LGPD é menos severa financeiramente.
Consentimento: ambas exigem consentimento livre, informado e inequívoco. A diferença está na idade mínima — 13 anos em Portugal, 12 anos no Brasil (para tratamentos realizados com o consentimento do titular).
Os direitos que cada pessoa possui
O RGPD confere ao titular dos dados um conjunto de direitos exercíveis perante qualquer organização:
Direito de acesso: saber quais dados a empresa detém sobre si. A resposta deve chegar em até 30 dias.
Direito de rectificação: corrigir dados incorrectos ou incompletos.
Direito ao apagamento: solicitar a eliminação dos dados quando já não se justificam.
Direito à portabilidade: receber os dados num formato estruturado (CSV, JSON) para os transferir para outro serviço.
Direito de oposição: recusar tratamento baseado em interesses legítimos ou fins de marketing directo.
A CNPD disponibiliza guias práticos para exercer cada um destes direitos. Quando uma empresa ignora um pedido, o titular pode apresentar reclamação à CNPD, que pode resultar em processo de contra-ordenação.
A Rede Lusófona de Proteção de Dados
Em 2025, a RLPD lançou o seu site oficial em Abril de 2026. O fórum reúne autoridades de protecção de dados de Portugal, Brasil, Angola, Moçambique, Cabo Verde, Guiné-Bissau, São Tomé e Príncipe e Timor-Leste. O objectivo: harmonizar legislações, partilhar boas práticas e criar um quadro comum de protecção para mais de 280 milhões de falantes de português.
Para PMEs lusófonas que operam em mais de um país, a RLPD significa menos complexidade jurídica. Uma empresa brasileira com clientes em Portugal já pode alinhar as suas políticas internas com as directrizes comuns, reduzindo o risco de incumprimento em ambas as jurisdições.
Como um SOC detecta violações de dados
A notificação de violação de dados à CNPD tem de ser feita no prazo de 72 horas após o conhecimento do incidente (Art. 33.º do RGPD). O problema: muitas PMEs descobrem uma violação semanas depois, quando já é tarde.
Um SOC (Security Operations Center) com stack open-source resolve esse problema com monitorização contínua:
Wazuh detecta acessos anómalos a bases de dados que contêm dados pessoais — consultas em horários atípicos, transferências de ficheiros em massa para IPs externos, tentativas de SQL injection. Quando um alerta é gerado, a equipa do SOC investiga imediatamente.
TheHive organiza cada alerta num caso com timeline completa. Permite classificar a severidade e determinar se envolve dados pessoais — o que define a obrigação de notificação.
Cortex enriquece os indicadores de comprometimento (hashes, IPs) com inteligência de ameaças para entender se o ataque foi dirigido ou oportunista.
Velociraptor faz a recolha forense nos endpoints para determinar exactamente quais os dados que foram acedidos ou exfiltrados — essencial para preencher o relatório de notificação à CNPD com precisão.
Com esta stack, uma PME reduz o tempo entre o incidente e a detecção de dias para minutos — cumprindo o prazo de 72 horas sem stress.
Quais dados precisam de protecção
Nem todos os dados são iguais perante a lei. O RGPD classifica os dados em categorias:
Dados comuns: nome, email, telefone, morada, IP. Exigem uma base legal para tratamento.
Dados sensíveis (Art. 9.º): origem racial ou étnica, opiniões políticas, dados de saúde, orientação sexual, dados genéticos e biométricos. O tratamento é proibido, salvo exceções restritas.
Dados pseudonimizados: dados onde identificadores directos foram substituídos por códigos. Continuam a ser dados pessoais segundo o RGPD.
Dados anonimizados: impossíveis de reverter para identificar uma pessoa. Deixam de estar no âmbito do RGPD.
Para um SOC, a prioridade é proteger os dados sensíveis. O Wazuh permite criar regras específicas que geram alertas com severidade crítica sempre que há acesso a bases de dados marcadas como contendo informação de saúde, por exemplo.
O que fazer para estar em conformidade
Uma PME que trata dados pessoais precisa de três coisas:
1. Mapear o fluxo de dados. Saber que dados recolhe, onde ficam armazenados, quem acede e durante quanto tempo. Sem esse mapa, é impossível proteger o que não se conhece.
2. Implementar medidas técnicas. Encriptação em trânsito e em repouso, controlo de acessos com princípio do menor privilégio, monitorização contínua via SOC, e backups com verificação de integridade.
3. Ter um plano de resposta. Se uma violação acontecer, a empresa precisa saber quem decide, quem notifica a CNPD, quem comunica aos afectados e quem investiga a causa. O SOC com TheHive fornece essa estrutura de forma organizada.
A proteção de dados pessoais deixou de ser uma caixa para tickar. É parte da resiliência operacional — e a diferença entre uma violação controlada e uma crise reputacional com coimas milionárias.
Fontes
Lei n.º 58/2019 — Diário da República
Rede Lusófona de Proteção de Dados — CNPD