AtalaiaSec Pedir proposta
← Blog

RGPD Portugal: multas, obrigações e conformidade para PMEs

AtalaiaSec ·

O RGPD aplica-se à sua PME

O Regulamento Geral sobre a Proteção de Dados (RGPD) entrou em vigor em maio de 2018. Em Portugal, a Comissão Nacional de Proteção de Dados (CNPD) registou 472 processos por violação de dados em 2025 — o número mais alto desde 2020. Dessas violações, a maioria partiu do setor privado. Se a sua PME lida com dados de clientes, colaboradores ou fornecedores, o RGPD aplica-se. Ponto. Não interessa se tem 5 ou 500 funcionários.

Lei 58/2019: o braço português do RGPD

A Lei n.º 58/2019, de 8 de agosto, é a lei de execução do RGPD na ordem jurídica portuguesa. Enquanto o regulamento europeu define as regras gerais, esta lei preenche as lacunas deixadas ao critério de cada Estado-membro: define a idade mínima para o consentimento de menores no tratamento de dados digitais (13 anos em Portugal), clarifica as regras para o tratamento de dados pelo Estado e estabelece o regime contraordenacional específico.

A lei introduziu escalas de coimas adaptadas à realidade das microempresas e PMEs. Ao contrário do que muitos pensam, as multas mínimas por infração ao RGPD em Portugal começam em 1.000€ para microempresas — e sobem até 4% do volume de negócios anual ou 20 milhões de euros, o que for maior. Para uma PME com faturação de 500.000€, uma coima de 20.000€ pode significar meses de margem operacional eliminada de um dia para o outro.

Multas reais da CNPD 2023-2025

Os números oficiais do Relatório de Atividades da CNPD contam a história:

  • 2023: 90 coimas aplicadas, num total de 559.950€ — o valor mais elevado de sempre em Portugal até então. Destes, 367.450€ por infrações ao RGPD e 192.500€ por infrações à Lei de Privacidade nas Comunicações Eletrónicas (LPCE).
  • 2024: 23 coimas, num total de 138.375€, dirigidas sobretudo a infrações ao RGPD e a práticas de spam. A CNPD registou ainda 332 processos de violação de dados — 256 no setor privado, 75 no setor público.
  • 2025: apenas 2 coimas aplicadas, totalizando 47.000€, apesar de 88 processos de contraordenação terem sido instaurados. A queda drástica não reflete menor incidência de infrações — reflete falta de pessoal. Segundo o Observador, a CNPD sofre de um défice crónico de funcionários especializados e 78% da sua equipa tem 45 ou mais anos.

A maior multa alguma vez aplicada em Portugal coube ao Instituto Nacional de Estatística (INE): 4,3 milhões de euros. A autarquia de Lisboa recebeu uma coima de 1,25 milhões de euros por partilha indevida de dados. São casos extremos, mas mostram que a CNPD não hesita quando a gravidade o justifica.

Causas reais das violações de dados

O relatório de 2025 da CNPD é claro sobre as causas. A falha humana lidera, com 128 casos registados — um aumento de 28% face ao ano anterior. Em segundo lugar vêm os ataques de phishing, que cresceram 41% e originaram 72 incidentes. O padrão repete-se em 2024: a maioria das 332 violações resultou de erro humano e engenharia social, não de ataques sofisticados.

Para uma PME, isso significa algo concreto: o investimento em formação dos colaboradores e em controlos técnicos tem impacto directo na redução do risco de violação. Um funcionário que clica num link malicioso pode expor os dados de milhares de clientes. E quando essa violação ocorre, o RGPD exige notificação à CNPD no prazo de 72 horas — sem exceções para PMEs.

E as empresas brasileiras?

Uma empresa brasileira com clientes em Portugal ou que processa dados de cidadãos europeus está sujeita ao RGPD — independentemente de ter ou não escritório na Europa. O artigo 3.º do regulamento é inequívoco: aplica-se ao tratamento de dados de pessoas singulares que se encontrem na União Europeia, mesmo que o responsável pelo tratamento esteja sediado num terceiro país.

Em junho de 2025, Portugal, Brasil, Angola, Cabo Verde e São Tomé e Príncipe assinaram a Rede Lusófona de Proteção de Dados (RLPD), um acordo de cooperação que sinaliza que a fiscalização transfronteiriça vai intensificar-se. Para uma PME brasileira que exporta para Portugal ou que armazena dados europeus em servidores locais, ignorar o RGPD deixou de ser uma opção viável há muito tempo.

Obrigações concretas do RGPD para PMEs

Independentemente do tamanho da empresa, o RGPD exige cumprimento de um conjunto de obrigações que, na prática, se resumem a:

  • Registo de tratamentos: documentar quais dados pessoais se recolhem, porquê, durante quanto tempo e com quem se partilham. Empresas com menos de 250 trabalhadores estão dispensadas, excepto se o tratamento for regular ou envolver dados sensíveis — o que, na prática, abrange quase todas as PME.
  • Base legal: ter um fundamento jurídico para cada operação de tratamento (consentimento, execução de contrato, obrigação legal, interesse legítimo).
  • Encarregado de Proteção de Dados (EPD): a nomeação é obrigatória quando o tratamento envolve monitorização alargada de pessoas ou dados sensíveis em larga escala. A CNPD publicou deliberações com esclarecimentos sobre esta obrigatoriedade.
  • Notificação de violações: comunicar à CNPD e aos titulares dos dados no prazo de 72 horas após ter conhecimento da violação.
  • Segurança dos dados: implementar medidas técnicas e organizativas adequadas ao risco — encriptação, controlo de acesso, cópias de segurança, gestão de vulnerabilidades.
  • Privacidade por defeito e por desenho: pensar na proteção de dados desde o início, não como patch depois do incidente.

Por que um SOC open-source ajuda na conformidade

O artigo 32.º do RGPD exige que o responsável pelo tratamento aplique medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco. Traduzido: precisa de visibilidade sobre o que acontece na sua infraestrutura, capacidade de detectar incidentes e mecanismos para responder rapidamente.

Um SOC (Security Operations Center) construído com ferramentas open-source responde diretamente a essa exigência, sem o custo proibitivo de soluções proprietárias. A combinação do Wazuh com o TheHive cria um ciclo completo: deteção, análise e resposta a incidentes.

O Wazuh funciona como motor de monitorização — recolhe logs de servidores, estações de trabalho, firewalls e aplicações; deteta alterações suspeitas em ficheiros de configuração; identifica vulnerabilidades em tempo real; e suporta módulos de compliance que verificam configurações contra standards como o CIS Benchmarks. Para uma PME, isso significa ter um radar que avisa quando algo está errado, em vez de descobrir pela manhã no jornal.

O TheHive é a plataforma de resposta a incidentes. Quando o Wazuh dispara um alerta, o TheHive permite criar um caso, atribuí-lo, documentar cada passo da investigação e coordenar a resposta. Tudo centralizado, rastreável e auditável — o tipo de registo que a CNPD valoriza em caso de inspeção ou de investigação de violação de dados.

A integração com o Cortex adiciona camadas de automação: enriquecimento de indicadores de compromisso (IPs, domínios, hashes) e correlação com fontes de inteligência de ameaças. E o Velociraptor estende a capacidade de resposta ao endpoint, permitindo a recolha forense remota em minutos.

Do ponto de vista da conformidade RGPD, esta arquitetura cobre dois requisitos críticos: a capacidade de deteção (saber que algo aconteceu) e a capacidade de resposta (agir dentro do prazo de 72 horas para notificação). Sem visibilidade, não há como saber se houve violação. Sem capacidade de resposta, o prazo de notificação torna-se impossível de cumprir.

Coimas acumuladas, fiscalização atrasada

Há um facto que nenhuma PME em Portugal pode ignorar: o número de processos na CNPD cresce, a capacidade de aplicação de coimas diminui. Em 2025, a CNPD abriu 2.037 processos de averiguação e instaurou 88 processos de contraordenação que, em condições normais, deveriam ter resultado em dezenas de coimas. A proposta de novo regime jurídico de contraordenações entregue ao Parlamento em setembro de 2025 visa acelerar o processo — clarificando o tribunal competente para impugnações e descentralizando decisões do secretariado.

O que isto significa é simples: o risco de multa não está a diminuir. Está a acumular. Quando a CNPD resolver o seu gargalo de pessoal e processual — e há pressão política e europeia para que isso aconteça — as coimas vão chegar em bloco. Para as PMEs que investiram em conformidade entretanto, o impacto será mínimo. Para as que não investiram, o impacto pode ser existencial.

Onde começar amanhã

A conformidade com o RGPD não se resolve com um workshop de duas horas nem com uma política de privacidade escrita pelo departamento de marketing. Exige visibilidade técnica, processos documentados e capacidade de resposta a incidentes. Comece pelo inventário: que dados tem, onde estão, quem acede, porquê. Depois, garanta monitorização contínua. Um SOC open-source com Wazuh e TheHive dá-lhe essa visibilidade sem um orçamento de multinacional. O RGPD não vai esperar pela sua empresa estar pronta.

Fontes e referências

Lei n.º 58/2019 — Diário da República

Relatório de Actividades 2024 — CNPD

Falta de pessoal trava coimas — Observador

RGPD — IGFEJ

A quem se aplica o RGPD — Comissão Europeia

Lei 13.709/2018 (LGPD) — Planalto