Digital Operational Resilience Act (DORA)

🇵🇹DORA em Portugal

Um guia abrangente sobre o cumprimento da DORA para organizações que operam em Portugal. Compreenda a aplicação local, a autoridade nacional de proteção de dados, as áreas prioritárias e as ações de aplicação relevantes.

Sobre DORA

The EU regulation establishing a comprehensive framework for digital operational resilience in the financial sector, covering ICT risk management, incident reporting, testing, and third-party risk.

Em vigor desde: 17 de janeiro de 2025Sanção máxima: €5,000,000 for entities; €500,000 for individuals ou 2% of total annual worldwide turnover for critical ICT third-party providers
Visão geral completa de DORA

Aplicação de DORA em Portugal

A CNPD portuguesa foi criada em 1994, sendo uma das primeiras autoridades de proteção de dados da Europa. A lei portuguesa de execução do RGPD (Lei 58/2019) inclui disposições específicas sobre o consentimento dos trabalhadores (em regra não considerado válido na relação laboral), o tratamento por interesse público e isenções para investigação. A CNPD destacou-se por posições independentes na interpretação do RGPD, incluindo a decisão de 2022 que obrigou o Instituto Nacional de Estatística a cessar a transferência de dados do censo para os EUA após Schrems II. Portugal fixa a idade de consentimento digital em 13 anos, a mais baixa da UE.

Autoridade de Proteção de Dados

Comissão Nacional de Proteção de Dados (CNPD)

https://www.cnpd.ptgeral@cnpd.pt

Áreas prioritárias de aplicação em Portugal

  • Transferências internacionais de dados (aplicação pós-Schrems II)
  • Serviços digitais governamentais e dados do censo
  • Proteção de dados dos trabalhadores e validade do consentimento
  • Tratamento de dados de saúde
  • Tratamento de dados estatísticos e de investigação

Ações de aplicação notáveis em Portugal

Instituto Nacional de Estatística (INE)

€4,300,000(2022)

Transferência dos dados dos Censos 2021 para a Cloudflare nos EUA sem garantias adequadas ao abrigo de Schrems II

Centro Hospitalar Barreiro Montijo

€400,000(2018)

Acesso de pessoal não médico a registos de pacientes — 985 perfis ativos de médico mas apenas 296 médicos reais

Câmara Municipal de Lisboa

€1,250,000(2022)

Divulgação de dados pessoais de organizadores de protestos e ativistas a embaixadas estrangeiras sem base jurídica

TAP Air Portugal

€1,200,000(2023)

Ausência de medidas de segurança adequadas, o que conduziu a uma violação de dados que afetou 1,5 milhões de clientes

Verifique o seu estado de conformidade

Faça a nossa avaliação gratuita para analisar a postura de conformidade da sua organização. Receba em minutos um relatório personalizado com recomendações práticas — sem necessidade de registo.

Iniciar avaliação gratuita

Aviso: as informações nesta página têm fins informativos e não constituem aconselhamento jurídico. Para orientação específica em matéria de conformidade, consulte um profissional jurídico qualificado na sua jurisdição.

Outras normas que afetam Portugal

General Data Protection Regulation (GDPR)

The EU's landmark data protection law that governs how organisations collect, store, process, and transfer personal data of individuals in the European Economic Area.

Network and Information Security Directive (NIS2)

The updated EU cybersecurity directive that expands security requirements to a broader range of sectors and imposes stricter obligations on essential and important entities.

EU Artificial Intelligence Act (AI Act)

The world's first comprehensive AI regulation, establishing a risk-based framework for the development, deployment, and use of artificial intelligence systems within the EU.

ePrivacy Directive (2002/58/EC)

The EU directive governing privacy in electronic communications, covering cookies, direct marketing, traffic data, and the confidentiality of communications — often called the "Cookie Law".

DORA em Portugal — CNPD | Viktoria Compliance | Viktoria Compliance