⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Pedidos de divulgação de dados pessoais ao abrigo do RGPD da UE e da ISO 27701

Igor Petreski
14 min read
Fluxo de trabalho pronto para auditoria para pedidos de divulgação de dados pessoais no âmbito do RGPD da UE e da ISO 27701

O pedido chega às 16:47 de uma sexta-feira

Um gestor de sucesso do cliente reencaminha uma mensagem de correio eletrónico para o Departamento Jurídico com o assunto: “PEDIDO POLICIAL URGENTE.” Em anexo segue uma carta digitalizada que solicita dados da conta, histórico de autenticações, endereços IP, registos de pagamento e “qualquer outra informação relevante” sobre uma pessoa identificada. O remetente afirma pertencer a uma unidade de cibercrime. A mensagem pede a divulgação no prazo de 24 horas e solicita que a organização “não notifique o titular dos dados”.

Ao mesmo tempo, a equipa de operações de segurança está a investigar atividade invulgar na mesma conta de cliente. O EPD encontra-se noutro fuso horário. O CISO pergunta se isto é um incidente, um pedido jurídico, uma divulgação ao abrigo do RGPD da UE ou os três. A equipa comercial quer “cooperar plenamente”. O suporte quer saber se pode exportar o perfil do cliente. Alguém sugere enviar o registo completo do CRM porque “as autoridades pediram tudo”.

Esta é a lacuna de governação.

A maioria das organizações tem uma política de privacidade, um Plano de Resposta a Incidentes (IRP) e um processo para pedidos de acesso dos titulares dos dados. Muitas conseguem gerir a diligência prévia de fornecedores, a correspondência regulatória e a notificação de violações de dados pessoais. Muito menos organizações têm um fluxo de trabalho repetível para pedidos oficiais ou legalmente impostos de divulgação de dados pessoais provenientes de autoridades policiais, reguladores, tribunais, autoridades fiscais, supervisores financeiros, reguladores de telecomunicações, unidades de cibercrime ou autoridades públicas estrangeiras.

Essa lacuna é perigosa. Cumprir um pedido fraudulento pode transformar-se numa violação de dados pessoais. Recusar um pedido legítimo pode criar exposição legal. Responder sem um processo controlado pode levar a divulgação excessiva, quebra da cadeia de custódia, incumprimento de prazos, transferências internacionais ilícitas e falha em auditoria.

Ao abrigo do RGPD da UE, da ISO 27701:2025 e da ISO/IEC 27001:2022, um pedido oficial de divulgação de dados pessoais não é apenas um assunto da caixa de correio do Departamento Jurídico. Envolve fundamento de licitude, registos de responsabilização, limitação das finalidades, minimização dos dados, confidencialidade, aprovação baseada em funções, governação de transferências internacionais, instruções ao subcontratante, preservação de evidência, transferência segura e trilhos de auditoria.

O teste prático é simples: quando o pedido chega, a sua organização consegue provar que validou o requerente, avaliou a autoridade legal, minimizou a divulgação, obteve as aprovações corretas, protegeu a evidência, registou a decisão e manteve um trilho pronto para auditoria?

A posição da Clarysec é clara. Trate os pedidos de divulgação de dados pessoais por autoridades policiais e reguladores como um fluxo de trabalho controlado de privacidade e segurança da informação, e não como uma resposta improvisada por correio eletrónico.

Porque os pedidos oficiais de divulgação de dados pessoais são diferentes

Um acordo normal de partilha externa de dados começa, normalmente, com uma finalidade de negócio. Um fornecedor precisa de dados dos trabalhadores para processamento salarial. Um prestador SaaS trata identificadores de clientes. Um parceiro recebe dados transacionais ao abrigo de contrato. O padrão de governação é familiar: diligência prévia, Acordo de Tratamento de Dados, requisitos de segurança, avaliação da transferência, termos de retenção e monitorização contínua.

Os pedidos de divulgação de dados pessoais por autoridades policiais e reguladores são diferentes. São acionados por eventos, são sensíveis ao tempo, frequentemente confidenciais e, por vezes, juridicamente vinculativos. Podem chegar fora dos canais de contratação. Podem solicitar categorias amplas de dados pessoais. Podem proibir a notificação. Podem envolver autoridades estrangeiras. Podem surgir durante um incidente, uma investigação de fraude, uma preservação legal, uma inspeção regulatória ou uma investigação de cibercrime.

Isto cria três requisitos imediatos de governação.

Primeiro, a organização deve saber quem pode responder. Um trabalhador da linha da frente não deve decidir se um pedido policial é válido, se a redação de um regulador é vinculativa ou se a notificação ao cliente é proibida.

Segundo, a cooperação deve ser separada da divulgação excessiva. O RGPD da UE não impede a cooperação lícita com autoridades, mas continua a exigir um fundamento de licitude válido, lealdade, transparência quando aplicável, limitação das finalidades, minimização dos dados, integridade, confidencialidade e responsabilização.

Terceiro, a evidência deve ser preservada. Se o pedido estiver relacionado com um incidente, um evento de fraude, um litígio ou um pedido de esclarecimento de uma autoridade de controlo, apagar logs, modificar registos ou exportar dados sem rastreabilidade pode prejudicar tanto a conformidade como a defensabilidade jurídica.

O modelo operacional mais robusto liga governação da privacidade, aprovação jurídica, tratamento de evidência, resposta a incidentes, transmissão segura e contacto com autoridades num único fluxo de trabalho.

O cluster de controlos da Clarysec: autoridades, privacidade e evidência

Em Zenith Controls: o guia de conformidade transversal, a Clarysec trata a governação da divulgação a autoridades policiais e reguladores como um cluster de controlos interligados, e não como uma tarefa isolada de privacidade. Os controlos centrais da ISO/IEC 27002:2022 são 5.5 Contacto com autoridades, 5.28 Recolha de evidência e 5.34 Privacidade e proteção de dados pessoais. As relações de controlo de suporte incluem classificação e rotulagem, controlo de acesso, relações com fornecedores, gestão de incidentes, registo, sincronização horária, criptografia, mascaramento, eliminação e transferência de informação.

Isto é relevante porque os pedidos oficiais de divulgação podem falhar em vários pontos. Uma equipa de privacidade pode validar o fundamento de licitude, mas falhar na preservação de evidência. Um SOC pode preservar logs, mas divulgar demasiados dados pessoais. O Departamento Jurídico pode aprovar uma resposta, mas esquecer-se de atualizar o registo de divulgação. Um subcontratante pode responder diretamente a uma autoridade quando deveria ter encaminhado o pedido para o responsável pelo tratamento.

O Zenith Blueprint: roteiro de 30 passos para auditores reforça esta ligação operacional na fase Controlos em Ação, passo 22, em Contacto com autoridades:

O Controlo 5.5 assegura que uma organização está preparada para interagir com autoridades externas quando necessário, não de forma reativa ou em pânico, mas através de canais predefinidos, estruturados e bem compreendidos.

A mesma secção enquadra as perguntas que devem ser respondidas antes da chegada de um pedido real:

O princípio é simples: se a sua organização fosse alvo de um ciberataque, estivesse envolvida numa violação de dados ou fosse objeto de investigação, quem faria a comunicação às autoridades? Como saberia o que dizer? Em que condições esse contacto seria iniciado? Estas perguntas devem ser respondidas antecipadamente, e não após o facto.

Para a proteção de dados pessoais, o Zenith Blueprint, na fase Controlos em Ação, passo 23, enquadra a privacidade como uma obrigação de ciclo de vida:

O Controlo 5.34 exige que as organizações protejam a privacidade das pessoas através da implementação de medidas adequadas para o tratamento de dados pessoais ao longo de todo o seu ciclo de vida.

Para a evidência, a mesma fase e o mesmo passo explicam por que motivo o tratamento informal é arriscado:

O Controlo 5.28 reconhece que, após um incidente, aquilo que se consegue provar é tão importante como aquilo que efetivamente aconteceu.

Em conjunto, estes três princípios definem o modelo de governação: saber quem fala com as autoridades, proteger os dados pessoais ao longo de todo o ciclo de vida da divulgação e preservar a evidência de forma defensável.

A perspetiva do RGPD da UE e da ISO 27701:2025 sobre divulgações obrigatórias

A ISO 27701:2025 reforça a necessidade de disciplina no Sistema de Gestão da Informação de Privacidade (PIMS). Um PIMS deve definir como os responsáveis pelo tratamento de dados pessoais e os subcontratantes de dados pessoais tratam pedidos oficiais de divulgação, incluindo receção, validação, revisão jurídica, autorização, registo, minimização, transmissão segura, retenção e revisão pós-resposta.

Para um responsável pelo tratamento, a questão central é saber se a organização determina as finalidades e os meios do tratamento e, por isso, deve decidir se e como a divulgação é lícita. Para um subcontratante, a questão é saber se pode divulgar dados sem instruções do responsável pelo tratamento, salvo quando legalmente obrigado. Para um subcontratante subsequente, o encaminhamento e as obrigações em cadeia tornam-se ainda mais sensíveis.

O RGPD da UE reforça os mesmos requisitos operacionais. Uma divulgação a uma autoridade pública continua a ser tratamento. A organização precisa de um fundamento de licitude ao abrigo do Article 6, de uma finalidade documentada, de segurança adequada, de minimização dos dados ao abrigo do Article 5(1)(c) e de evidência de responsabilização ao abrigo do Article 5(2). Em muitos casos, o fundamento de licitude será o Article 6(1)(c), tratamento necessário para o cumprimento de uma obrigação legal, mas apenas depois de o Departamento Jurídico validar o pedido e a jurisdição.

Quando o pedido vem de uma autoridade pública estrangeira, a governação da transferência e a revisão pelo EPD tornam-se essenciais. Quando o pedido envolve um subcontratante, devem ser verificadas as regras contratuais de notificação e instrução. Quando o pedido se relaciona com um incidente de cibersegurança, a resposta deve alinhar-se com os requisitos de tratamento de incidentes e recolha de evidência.

O conjunto de políticas da Clarysec transforma estes requisitos em regras operacionais.

A política empresarial P17 Política de Proteção de Dados e Privacidade, cláusula 6.1.1, estabelece:

Todo o tratamento deve basear-se num fundamento jurídico válido (por exemplo, consentimento, contrato, obrigação legal).

A mesma política, cláusula 6.2.1, acrescenta o princípio de minimização:

Apenas podem ser recolhidos e tratados os dados necessários para uma finalidade de negócio específica e legítima.

Para PME, a P17S Política de Proteção de Dados e Privacidade - PME, cláusula 6.2.1, estabelece:

Apenas os dados pessoais mínimos necessários devem ser recolhidos e retidos.

Estas cláusulas são relevantes quando o pedido solicita “todas as informações”, “histórico completo” ou “quaisquer registos relacionados”. A resposta correta não é exportar todos os campos. A resposta correta é validar o pedido, identificar o âmbito legalmente exigido, divulgar apenas os dados pessoais necessários, documentar a decisão e reter a evidência.

Do pânico por correio eletrónico à divulgação controlada

Um fluxo de trabalho maduro deve ser suficientemente simples para ser seguido por trabalhadores da linha da frente e suficientemente rigoroso para auditores, reguladores e tribunais. A Clarysec recomenda um modelo em sete fases.

FaseObjetivo de controloResponsável principalEvidência criada
1. Receção e quarentenaPrevenir resposta informal ou divulgação acidentalCentral de serviços, ponto de receção do Departamento Jurídico, Responsável de PrivacidadeTicket do pedido, mensagem original, anexos, carimbo temporal
2. Validação da autenticidadeConfirmar a identidade do requerente, autoridade, jurisdição e instrumento jurídicoDepartamento Jurídico, EPD, ConformidadeNotas de validação, verificação de contacto da autoridade, avaliação do fundamento jurídico
3. Determinação de papéisDecidir se a organização atua como responsável pelo tratamento, subcontratante, responsável conjunto pelo tratamento ou subcontratante subsequenteResponsável de Privacidade, Proprietário do contratoAvaliação do papel no PIMS, registo de instrução do cliente se atuar como subcontratante
4. Minimização do âmbitoTraduzir o pedido em categorias específicas de dados pessoais e intervalos de datasProprietário do processo, Segurança, Departamento JurídicoExtrato de mapeamento de dados, decisão de minimização, notas de expurgo
5. AprovaçãoAssegurar uma decisão autorizada antes da divulgaçãoEPD, Departamento Jurídico, CISO, proprietário do negócioRegisto de aprovação, registo de exceção se urgente
6. Divulgação seguraTransmitir apenas dados aprovados através de canais controladosSegurança, Operações JurídicasLog de transferência, evidência de cifragem, confirmação do destinatário
7. Registo e revisãoReter evidência de responsabilização e lições aprendidasGestor do PIMS, ConformidadeEntrada em REG08, REG09 ou REG12, trilho de auditoria, revisão de encerramento

A primeira regra é o encaminhamento. Todos os trabalhadores devem saber que os pedidos oficiais de dados pessoais seguem uma via de receção definida. Ninguém deve responder a partir de uma caixa de correio pessoal. Ninguém deve telefonar ao requerente usando um número impresso numa carta não verificada. Ninguém deve exportar dados de clientes antes de o Departamento Jurídico e a Privacidade terem revisto o pedido.

A política empresarial P30 Política de Resposta a Incidentes, cláusula 6.5.5, apoia esta disciplina de encaminhamento:

Qualquer interação com autoridades policiais ou prestadores de serviços forenses deve ser coordenada através da Equipa Jurídica e do CISO.

Essa cláusula é especialmente importante quando o pedido de divulgação está ligado a fraude, cibercrime, comprometimento de conta, ransomware, ameaça interna ou investigação de violação de dados pessoais. O Departamento Jurídico e a segurança devem coordenar-se, e não operar em paralelo.

A política empresarial P37 Política de Cumprimento Legal e Regulamentar, cláusula 7.3.1.2, controla declarações externas:

Quaisquer declarações verbais ou escritas a reguladores devem ser previamente aprovadas.

A cláusula 7.3.1.3 acrescenta disciplina sobre prazos e evidência:

Os prazos de resposta devem ser acompanhados e os logs de evidência devem ser mantidos.

Estas regras não são fricção burocrática. Previnem admissões acidentais, divulgação não controlada, incumprimento de prazos e evidência fraca.

Disciplina de aprovação e registo: a evidência de auditoria que a maioria das equipas falha

Muitas organizações conseguem apresentar a mensagem original do pedido. Menos conseguem demonstrar quem aprovou a divulgação, que fundamento jurídico foi usado, por que razão determinados campos foram incluídos ou excluídos, como o requerente foi validado, se o titular dos dados foi notificado ou legitimamente não notificado, e onde a resposta foi registada.

É aqui que os registos do PIMS da Clarysec se tornam centrais.

Para responsáveis pelo tratamento, a política empresarial PII09 Política de Recolha, Utilização, Divulgação e Partilha de Dados Pessoais, cláusula 4.4.1, exige:

[Responsável pelo tratamento] O Proprietário do Processo / Proprietário do Negócio DEVE registar o resultado da revisão do Responsável de Privacidade / Gestor do PIMS no REG08 antes do início de qualquer nova divulgação externa ou acordo de partilha de dados.

A cláusula 4.4.2 especifica o que deve ser capturado para partilhas recorrentes:

[Responsável pelo tratamento] O Proprietário de Fornecedores / Aquisição DEVE registar a identidade do destinatário, o papel do destinatário, a finalidade da divulgação, as categorias de dados pessoais, a frequência da partilha, o local do tratamento e a fonte de autorização no REG08 antes do início da partilha externa recorrente.

Para subcontratantes, a política empresarial PII12 Política de Gestão de Privacidade de Subcontratantes, Subcontratantes Subsequentes e Terceiros, cláusula 4.5.3, fornece uma regra específica para pedidos juridicamente vinculativos e autorizados pelo cliente:

[Subcontratante] O Proprietário de Fornecedores / Aquisição DEVE registar pedidos de divulgação por terceiros, pedidos de divulgação juridicamente vinculativos ou pedidos de divulgação autorizados pelo cliente no REG08 antes da divulgação ou no prazo de dois dias úteis quando o registo prévio não for permitido ou operacionalmente possível.

Para pedidos de autoridades públicas estrangeiras, a política empresarial PII13 Política de Transferência Internacional de Dados Pessoais, cláusula 4.4.3, é mais específica:

[Ambos] O Responsável de Privacidade / Gestor do PIMS DEVE registar pedidos de divulgação de dados por autoridade pública estrangeira no REG09 ou REG12 antes da divulgação, quando praticável, ou no prazo de um dia útil quando o registo prévio não for praticável.

A cláusula 4.4.4 acrescenta disciplina de revisão:

[Ambos] O Encarregado da Proteção de Dados / Assessor de Privacidade DEVE rever pedidos de divulgação de dados por autoridade pública estrangeira com impacto relevante na privacidade no REG09 ou REG12 antes da resposta, quando praticável.

Um registo de divulgação é a fonte única de verdade da organização. Não deve ser substituído por mensagens de correio eletrónico dispersas, conversas privadas em chat ou folhas de cálculo ad hoc.

Campo do registoO que demonstra
ID do pedidoO pedido foi acompanhado de forma única
Origem do pedidoA autoridade ou o requerente foi identificado
Fonte da autoridade legalO instrumento jurídico ou a autoridade foi avaliado
Papel no PIMSForam consideradas as obrigações de responsável pelo tratamento, subcontratante, responsável conjunto pelo tratamento ou subcontratante subsequente
Categorias de dados pessoais solicitadasO âmbito original do pedido foi capturado
Categorias de dados pessoais aprovadasA divulgação final foi controlada
Dados pessoais excluídosA minimização dos dados foi aplicada ativamente
Cadeia de aprovaçãoForam registadas as aprovações do Departamento Jurídico, EPD, CISO e negócio
Método de transmissãoForam usados controlos de transferência segura
Decisão de notificaçãoForam consideradas restrições ou diferimentos de transparência
Retenção e encerramentoA evidência foi retida e o assunto foi encerrado

Exemplo prático: um pedido de regulador no REG08

Imagine que uma fintech regulada recebe um pedido escrito de um regulador financeiro nacional solicitando dados pessoais relacionados com transações suspeitas de um cliente durante um período de 90 dias. O pedido solicita registos de verificação de identidade, logs de transações, identificadores de dispositivos, tickets de suporte e notas internas de risco.

Usando o kit da Clarysec, o Responsável de Privacidade abre um registo de divulgação REG08.

Campo REG08Exemplo de entrada
ID do pedidoREG08-2026-041
Origem do pedidoRegulador financeiro nacional, verificado através do diretório oficial de contactos de supervisão
Tipo de pedidoPedido de divulgação de dados pessoais por regulador
Papel no PIMSResponsável pelo tratamento
Fonte da autoridade legalPedido legal de informação para fins de supervisão, referência FIN-REQ-7781
FinalidadeInvestigação de transações suspeitas relativas a cliente identificado
Categorias de dados pessoais solicitadasDados de verificação de identidade, logs de transações, identificadores de dispositivos, comunicações de suporte, notas de risco
Categorias de dados pessoais aprovadasLogs de transações, identificadores de dispositivos, campos relevantes de verificação de identidade, dois tickets de suporte dentro do intervalo de datas
Dados pessoais excluídosHistórico de suporte não relacionado, opiniões internas de analistas fora do intervalo de datas, referências a clientes terceiros
Justificação de minimizaçãoÂmbito limitado ao cliente identificado, período de 90 dias, registos relevantes para as transações identificadas no pedido
Revisão pelo EPDAprovado com instruções de expurgo
Aprovação jurídicaAprovado, redação da resposta revista
Revisão pelo CISOAprovado método de exportação e transferência segura
Método de transmissãoArquivo cifrado através do portal seguro do regulador
Notificação do titular dos dadosDiferida devido a restrição legal no pedido, data de revisão definida
RetençãoRegisto do pedido e pacote de divulgação retidos ao abrigo do calendário de preservação legal
Evidência de encerramentoRecibo de submissão no portal, hash do pacote de divulgação, cadeia de aprovação

Esta é a diferença entre “cumprimos” e “conseguimos provar que cumprimos de forma lícita e proporcional”. Se o cliente reclamar mais tarde, se a autoridade fizer perguntas de seguimento ou se um auditor amostrar a divulgação, o registo demonstra a lógica de governação.

Preservação de evidência: não danificar os factos ao tentar ajudar

Quando um pedido de uma autoridade policial ou de um regulador está ligado a uma investigação, a governação da privacidade cruza-se com a análise forense e a preservação legal. Os dados divulgados são frequentemente evidência, e o ato de os recolher deve preservar a integridade.

A Política de Cumprimento Legal e Regulamentar - PME, cláusula 6.4.1, define o contexto:

Em caso de litígio, investigação ou pedido jurídico:

A cláusula 6.4.1.2 dá uma instrução clara:

Os trabalhadores não devem apagar nem alterar materiais que possam fazer parte de uma investigação.

A P31S Política de Recolha de Evidência e Análise Forense - PME, cláusula 2.2.5, inclui explicitamente:

Pedidos de esclarecimento regulamentares ou de autoridades policiais

A cláusula 5.2.1 estabelece disciplina de registo:

Cada item de evidência digital deve ser registado com:

Em termos operacionais, o log de evidência deve capturar um identificador único, data e hora da recolha, nome do responsável pela recolha, localização de origem e hash criptográfico quando adequado. O objetivo é a rastreabilidade. Se os logs forem exportados manualmente, os nomes dos ficheiros forem alterados, os carimbos temporais forem pouco claros ou não for retido qualquer hash, a organização poderá ter dificuldade em provar a integridade posteriormente.

Um fluxo de trabalho robusto de evidência também limita o acesso. Os pacotes de divulgação devem ser armazenados em localizações restritas, cifrados em trânsito, acompanhados através de logs de transferência e retidos de acordo com requisitos de preservação legal e retenção. Se um pedido de divulgação se sobrepuser a uma resposta a incidentes, a equipa deve saber quando mudar do modo de remediação para uma postura de investigação.

Mapeamento de conformidade transversal: um fluxo de trabalho, muitas obrigações

Um fluxo de trabalho bem concebido para pedidos de divulgação de dados pessoais pode satisfazer vários referenciais sem duplicar trabalho. O Zenith Controls ajuda as organizações a mapear a mesma evidência operacional entre expectativas de privacidade, cibersegurança, resiliência operacional e governação.

ReferencialO que o auditor ou regulador esperaComo o fluxo de trabalho da Clarysec apoia
ISO 27701:2025Papéis no PIMS, governação da divulgação lícita, instruções ao subcontratante, registos de divulgação de dados pessoais, tratamento de riscos de privacidadeDeterminação de papéis, REG08, REG09, REG12, revisão pelo EPD, justificação de minimização
RGPD da UEFundamento de licitude, responsabilização, minimização dos dados, segurança, decisões de transparência, governação de subcontratantes e transferênciasAvaliação da autoridade legal, cadeia de aprovação, pacote de divulgação limitado, evidência de transferência segura
ISO/IEC 27001:2022 e ISO/IEC 27002:2022Contacto com autoridades, recolha de evidência, proteção de dados pessoais, controlo de acesso, registo, criptografia, eliminaçãoMatriz de contactos com autoridades, log de evidência, exportação segura, registo de hash, decisão de retenção
NIS2Disciplina de notificação de incidentes, cooperação com autoridades competentes, responsabilização da governação, sensibilização da cadeia de fornecimentoCoordenação jurídica e do CISO, prazos de resposta, registo de contactos com autoridades, ligação ao incidente
DORAGovernação de incidentes de TIC em entidades financeiras, interação com reguladores, preparação da evidência, risco de prestadores terceiros de serviços de TICEncaminhamento de pedidos de reguladores, registos de divulgação segura, preservação de evidência de incidente, interface com fornecedores
NIST Cybersecurity FrameworkResultados de governar, identificar, proteger, detetar, responder e recuperar para eventos de cibersegurançaTitularidade da política, inventário de dados, controlos de acesso, registo, fluxo de resposta, revisão pós-resposta
COBIT 2019Objetivos de governação para conformidade, risco, segurança, gestão da informação e garantiaDireitos de decisão, titularidade do processo, registos de auditoria, supervisão pela gestão, melhoria contínua

As normas ISO de suporte também são relevantes. A ISO/IEC 27035 ajuda a estruturar a gestão de incidentes quando o pedido está relacionado com um incidente. A ISO/IEC 27037 apoia a identificação, recolha, aquisição e preservação de evidência digital. A ISO/IEC 27018 é útil quando subcontratantes de cloud pública tratam dados pessoais. A ISO/IEC 27017 apoia responsabilidades de segurança cloud. A ISO 22301 torna-se relevante se as obrigações de contacto com autoridades e divulgação tiverem de continuar em condições de crise. A ISO/IEC 27006-1:2024 é indiretamente relevante porque os auditores de certificação esperam uma implementação consistente e auditável dos controlos do sistema de gestão dentro do âmbito.

O objetivo não é construir um processo de conformidade separado para cada referencial. O objetivo é desenhar um fluxo de trabalho defensável que produza evidência reutilizável.

Como diferentes auditores irão testar o fluxo de trabalho

Um auditor ISO/IEC 27001:2022 começará normalmente pela integração com o sistema de gestão. Perguntará se a organização determinou partes interessadas, requisitos legais e regulamentares, riscos, objetivos de controlo, procedimentos documentados, responsabilidades atribuídas e evidência retida. Para pedidos de divulgação, poderá amostrar incidentes, correspondência com reguladores, listas de contactos de autoridades, logs de evidência e registos de privacidade. Provavelmente testará os controlos do Anexo A A.5.5 Contacto com autoridades, A.5.28 Recolha de evidência e A.5.34 Privacidade e proteção de dados pessoais.

Um avaliador ISO 27701:2025 focar-se-á na clareza dos papéis no PIMS. A organização atuava como responsável pelo tratamento, subcontratante, responsável conjunto pelo tratamento ou subcontratante subsequente? Se era responsável pelo tratamento, onde está o fundamento de licitude e o registo de divulgação? Se era subcontratante, atuou segundo as instruções do responsável pelo tratamento, salvo se legalmente obrigada em contrário? O cliente foi notificado quando exigido ou quando contratualmente esperado? Os pedidos de autoridades públicas estrangeiras foram registados e revistos?

Um regulador do RGPD da UE focar-se-á na responsabilização. A pergunta não será apenas “existia uma obrigação legal?”. Será “por que razão esta quantidade de dados foi divulgada, quem aprovou, como foi validado o requerente, que segurança protegeu a transferência, como foi avaliada a transparência e onde está o registo?”.

Um avaliador orientado para NIST examinará resultados de governação e resposta. Perguntará se os papéis foram definidos, se os logs foram preservados, se o acesso aos pacotes de divulgação foi restringido, se as atividades de resposta foram documentadas e se as lições aprendidas melhoraram o programa.

Um auditor COBIT 2019 ou ISACA testará a governação dos direitos de decisão. Poderá perguntar se a gestão definiu o proprietário do processo, se as responsabilidades Jurídicas, de Privacidade, Segurança e Negócio estão segregadas, se as exceções são aprovadas, se as métricas são reportadas e se a garantia pode apoiar-se na evidência.

Um regulador, auditor, CISO e EPD podem ver o mesmo registo de forma diferente. Um profissional de privacidade vê um registo de divulgação lícita. Um auditor de segurança vê preservação de evidência e transferência segura. Um auditor de governação vê responsabilização e direitos de decisão. A organização deve conseguir responder a todos a partir da mesma evidência de controlo.

Padrões comuns de falha

A Clarysec observa repetidamente as mesmas falhas evitáveis.

A primeira é o contacto informal com autoridades. Um agente policial telefona para o suporte, o suporte quer ajudar, e o trabalhador confirma verbalmente dados da conta. Sem validação, sem aprovação, sem registo.

A segunda é a divulgação excessiva. A organização envia um ficheiro completo do cliente em vez dos registos específicos e do intervalo de datas exigidos. Isto cria risco evitável no âmbito do RGPD da UE e enfraquece a confiança.

A terceira é a atuação indevida do subcontratante. Um prestador SaaS recebe um pedido de autoridade policial relativo a dados pessoais controlados pelo cliente e responde sem notificar nem envolver o cliente, apesar de o contrato e o papel no PIMS exigirem encaminhamento salvo proibição legal.

A quarta é a ausência de revisão de autoridade estrangeira. Um pedido de uma autoridade pública não nacional é tratado como uma divulgação ordinária, sem avaliação da transferência, revisão pelo EPD ou entrada em REG09 ou REG12.

A quinta é o tratamento fraco da evidência. Os logs são exportados manualmente, os carimbos temporais são pouco claros, os nomes dos ficheiros são alterados e não existe registo de hash nem de cadeia de custódia.

A sexta é a confidencialidade não gerida. Demasiados trabalhadores são copiados no pedido, incluindo pessoas sem necessidade de conhecer. Detalhes sensíveis da investigação espalham-se por canais de chat.

A sétima é a confusão de prazos. A organização perde uma data de resposta juridicamente relevante porque o pedido fica numa caixa de correio em vez de estar num fluxo de trabalho acompanhado.

Cada falha é evitável com canais predefinidos, registos, aprovações e normas de evidência.

Papéis e direitos de decisão

Um modelo prático de governação define os direitos de decisão antes da chegada do primeiro pedido.

PapelResponsabilidade no fluxo de trabalho de divulgação
Trabalhador da linha da frenteReencaminhar o pedido para o canal de receção aprovado, não responder substantivamente, não divulgar dados pessoais
Equipa JurídicaValidar o instrumento jurídico, jurisdição, autoridade, restrição de confidencialidade e redação da resposta
EPD ou Assessor de PrivacidadeAvaliar implicações do RGPD da UE e da ISO 27701:2025, minimização, transparência, papel no PIMS e questões de transferência
CISOAprovar a recolha segura de evidência, exportação segura, método de transferência e ligação a incidentes
Proprietário do processoIdentificar sistemas e categorias de dados relevantes, confirmar o contexto de negócio
Gestor do PIMSManter REG08, REG09 ou REG12, acompanhar o resultado da revisão, reter evidência de auditoria
Aprovador executivoAprovar divulgações de alto risco, estrangeiras, estratégicas ou sensíveis em termos reputacionais
Proprietário de Fornecedores ou AquisiçãoCoordenar registos de pedidos relacionados com terceiros ou subcontratantes e obrigações contratuais

Este modelo deve ser incorporado na formação de sensibilização. Os trabalhadores não precisam de conhecer todas as nuances jurídicas, mas devem conhecer a regra: pedidos oficiais seguem para o canal definido, e dados pessoais não são divulgados sem autorização.

Lista de verificação de preparação para o próximo exercício de simulação

Use esta lista de verificação num workshop de governação da privacidade, numa auditoria interna ou num exercício de simulação.

  • Temos um único canal de receção para pedidos de divulgação de dados pessoais por autoridades policiais e reguladores?
  • Os trabalhadores sabem que não devem responder informalmente?
  • Validamos a identidade do requerente usando fontes de contacto independentes?
  • Distinguimos pedidos de reguladores, decisões judiciais, pedidos de autoridades policiais, pedidos autorizados pelo cliente e pedidos de autoridades públicas estrangeiras?
  • Determinamos se somos responsável pelo tratamento, subcontratante, responsável conjunto pelo tratamento ou subcontratante subsequente antes de responder?
  • Documentamos o fundamento de licitude, a autoridade legal, a jurisdição e as restrições de confidencialidade?
  • Aplicamos minimização dos dados e expurgamos dados pessoais não relacionados?
  • Exigimos revisão pelo EPD ou Assessor de Privacidade para pedidos com impacto relevante na privacidade?
  • Exigimos coordenação entre o Departamento Jurídico e o CISO quando estão envolvidas autoridades policiais ou questões forenses?
  • Registamos divulgações efetuadas enquanto responsável pelo tratamento no REG08?
  • Registamos pedidos de autoridades públicas estrangeiras no REG09 ou REG12?
  • Acompanhamos prazos de resposta e mantemos logs de evidência?
  • Preservamos materiais potencialmente relevantes e prevenimos a sua eliminação ou alteração?
  • Protegemos os pacotes de divulgação com cifragem, controlo de acesso e registo da transferência?
  • Realizamos revisão pós-resposta para pedidos de alto risco?
  • Reportamos métricas e lições aprendidas à gestão?

Se a resposta a qualquer uma destas perguntas for “normalmente tratamos isso por correio eletrónico”, o processo ainda não está pronto para auditoria.

Integrar o fluxo de trabalho no SGSI e no PIMS

O melhor modelo de governação não vive apenas no Departamento Jurídico. Faz parte do SGSI e do PIMS.

No Zenith Blueprint, a fase Fundação e Liderança do SGSI, passo 5, recomenda planear a comunicação externa e identificar quem comunica com reguladores, clientes, parceiros e o público. Observa que a assessoria jurídica pode participar na redação das comunicações a reguladores. Esse princípio aplica-se diretamente aos pedidos oficiais de divulgação de dados pessoais.

A fase Controlos em Ação operacionaliza depois o fluxo de trabalho através de contacto com autoridades, proteção de dados pessoais e recolha de evidência. É por isso que o guia de 30 passos da Clarysec não trata privacidade, segurança e conformidade como fluxos de trabalho desconectados. Um pedido real atravessa os três.

Para os proprietários do negócio, o benefício é a redução do caos. Para os CISO, clarifica quando a evidência de segurança pode ser recolhida, divulgada ou preservada. Para os EPD, cria responsabilização demonstrável ao abrigo do RGPD da UE e da ISO 27701:2025. Para os gestores de conformidade, produz registos e trilhos de auditoria. Para os auditores, cria um caminho claro desde o requisito da política até à evidência operacional.

Próximos passos com a Clarysec

Um pedido de regulador ou de autoridade policial não é o momento para inventar o seu processo de governação da privacidade. É o momento em que o seu processo é testado.

Comece com um exercício de simulação. Use um pedido realista de cibercrime, regulador ou autoridade pública estrangeira. Peça ao Departamento Jurídico, ao EPD, ao CISO, ao suporte e ao proprietário do processo relevante que percorram receção, validação, determinação de papéis, minimização, aprovação, transferência segura, registo, preservação de evidência e revisão de encerramento.

Depois, compare as suas respostas com o modelo operacional da Clarysec:

  • Use o Zenith Blueprint: roteiro de 30 passos para auditores para integrar contacto com autoridades, comunicação externa, proteção de dados pessoais e recolha de evidência no seu plano de implementação do SGSI e do PIMS.
  • Use o Zenith Controls: o guia de conformidade transversal para mapear expectativas da ISO 27701:2025, RGPD da UE, ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, NIST e COBIT 2019 numa narrativa de controlos pronta para auditoria.
  • Use as políticas da Clarysec de Proteção de Dados e Privacidade, Resposta a Incidentes, Cumprimento Legal e Regulamentar, Recolha de Evidência e Análise Forense, Divulgação de Dados Pessoais, Gestão de Subcontratantes e Transferência Internacional para definir regras de fluxo de trabalho, registos, aprovações e requisitos de evidência.

A Clarysec ajuda as equipas a passar do pânico reativo para a execução controlada. Transfira os kits relevantes da Clarysec, execute o exercício de simulação e marque uma avaliação de governação da divulgação para garantir que a sua próxima resposta é lícita, mínima, aprovada, registada, segura e auditável.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Governação do acesso remoto seguro e de VPN para NIS2 e DORA

Governação do acesso remoto seguro e de VPN para NIS2 e DORA

O acesso remoto deixou de ser um tema exclusivamente de TI. Em 2026, VPN, MFA, acesso de fornecedores, postura de endpoint, registo e evidência de aplicação de patches devem satisfazer auditores ISO 27001, a responsabilização da gestão prevista na NIS2, as regras de gestão do risco das TIC da DORA e as obrigações de segurança do Article 32 do GDPR da UE.

Evidência da higiene de cibersegurança da NIS2 mapeada para a ISO 27001

Evidência da higiene de cibersegurança da NIS2 mapeada para a ISO 27001

Um guia prático para CISO sobre como transformar a higiene de cibersegurança e a formação em cibersegurança do Article 21 da NIS2 em evidência ISO/IEC 27001:2022 pronta para auditoria, com cláusulas de política, mapeamento de controlos, alinhamento com DORA e RGPD da UE e um sprint de remediação de 10 dias.