Pular para o conteúdo
>_ITDITDPlataforma de Segurança Web

Glossário

O que é o GDPR — as regras de proteção de dados da UE e o dever de notificar vazamentos

O GDPR (Regulamento Geral de Proteção de Dados da UE) protege os dados pessoais de pessoas na UE. A quem se aplica, o que exige — minimização, consentimento, notificação de vazamento, multas — e o básico da defesa.

Publicado 2026-07-04 Atualizado 2026-07-04 3 min de leitura

O GDPR é a lei de dados pessoais a conhecer se você atende usuários da UE. Aqui estão o essencial e o básico da defesa em termos técnicos/operacionais — sem passos de ataque.

O que ele exige

Além do detalhe jurídico, foque nos pilares operacionais que de fato funcionam como defesa.

1

Não colete nem guarde (minimização de dados)

Colete e mantenha apenas os dados pessoais mínimos de que a sua finalidade precisa. Dados que você não guarda não podem vazar — a defesa mais forte. Apague-os quando não forem mais necessários.

2

Proteja (criptografia, controle de acesso)

Criptografe os dados pessoais e restrinja-os a "apenas quem pode tocá-los" via autorização. Mantenha os segredos fora da superfície pública (→ mantenha segredos fora de diretórios públicos).

3

Detecte e reporte (a regra das 72 horas)

Detecte um vazamento rapidamente e mantenha logs para rastrear seu impacto. Esteja pronto para notificar a autoridade em cerca de 72 horas. Sem detecção, você não consegue cumprir o dever.

'Não é relevante' não é uma suposição segura

O GDPR pode valer onde quer que a empresa esteja localizada se ela oferece bens/serviços a pessoas na UE ou monitora o comportamento delas. Se você atende usuários da UE ou lida com os dados pessoais deles, "não somos uma empresa da UE" não torna isso irrelevante. Um começo prático é um inventário de quais dados pessoais você guarda e por quê.

A visão deste site: conformidade e defesa apontam para o mesmo lado

Os requisitos do GDPR apontam na mesma direção que a defesa que este site prega: minimize os dados pessoais, criptografe-os, restrinja-os com autorização, e seja capaz de detectar e registrar um vazamento. Isso não é só pela lei — é a forma básica de ter menos incidentes. Tratar a regulação como "uma reconferência das suas defesas" em vez de "carga extra" é a postura realista para uma operação pequena.

Leia em seguida

Fonte

FAQ

QO GDPR se aplica a empresas fora da UE?
A

Pode se aplicar. O GDPR pode valer onde quer que a empresa esteja localizada se ela oferece bens ou serviços a pessoas na UE, ou monitora o comportamento delas. Se você atende usuários da UE ou lida com os dados pessoais deles, você pode estar no escopo — 'não somos uma empresa da UE' não significa automaticamente 'não é relevante'.

QQuais são os pontos técnicos essenciais do GDPR?
A

Em linhas gerais: (1) obter uma base legal (ex.: consentimento) e declarar uma finalidade clara; (2) coletar e guardar apenas os dados mínimos necessários (minimização de dados); (3) proteger os dados pessoais com criptografia e controle de acesso; (4) ser capaz de atender a pedidos de acesso/apagamento; (5) ser capaz de detectar um vazamento rapidamente e notificar a autoridade, em geral em até 72 horas.

QO que faço se houver um vazamento?
A

Sob o GDPR, você geralmente precisa notificar a autoridade supervisora em até 72 horas depois de tomar conhecimento de um vazamento de dados pessoais (e, às vezes, as pessoas afetadas). É exatamente por isso que você precisa ser capaz de detectar um incidente rapidamente e ter logs para rastrear seu alcance. Sem detecção e registros, você nem sequer consegue cumprir o dever de notificação.