RGPD para equipes de TI e MSPs: o que você precisa saber e fazer

A aplicação do RGPD já não é um risco teórico. As autoridades europeias de proteção de dados aplicaram mais de € 1,2 bilhão em multas somente em 2025, e a categoria mais comum de violação foi a de medidas de segurança técnicas e organizacionais insuficientes, exatamente o que o Artigo 32 do regulamento exige que as equipes de TI e os MSPs implementem. O total acumulado de multas desde 2018 já ultrapassou € 7,1 bilhões, de acordo com a análise do GDPR Enforcement Tracker publicada no início de 2026.

Para profissionais de TI e MSPs que atendem clientes na UE ou no Reino Unido, o GDPR é um requisito operacional que se insere diretamente na gestão de TI, não sendo apenas uma questão jurídica ou de conformidade. A plataforma da Kaseya é utilizada por mais de 50.000 MSPs e equipes de TI em todo o mundo, muitos dos quais lidam exatamente com essas obrigações para vários clientes simultaneamente; e este guia se baseia nessa experiência operacional para abordar o que realmente importa na prática.

Este guia aborda os requisitos técnicos e organizacionais de segurança, as obrigações de notificação de violações e as funções relacionadas ao tratamento de dados que tornam o RGPD uma preocupação real para a gestão de TI.

O que é o RGPD e a quem se aplica

O Regulamento Geral sobre a Proteção de Dados (UE 2016/679) rege a forma como os dados pessoais relativos a indivíduos na União Europeia e no Espaço Econômico Europeu (EEE) são coletados, tratados, armazenados e transferidos. O GDPR do Reino Unido, mantido e adaptado após o Brexit, aplica um conjunto de requisitos praticamente equivalente para o tratamento de dados no Reino Unido, tendo a ICO como autoridade de supervisão.

O conceito de dados pessoais no âmbito do RGPD é mais abrangente do que a maioria das equipes de TI inicialmente supõe. Endereços IP, identificadores de dispositivos, endereços de e-mail e registros técnicos podem todos constituir dados pessoais, caso possam ser associados a um indivíduo. O regulamento se aplica a qualquer operação realizada sobre esses dados, incluindo coleta, armazenamento, recuperação, uso, transmissão e exclusão.

O RGPD aplica-se a organizações estabelecidas na UE/EEE, independentemente da localização dos titulares dos dados, e a organizações fora da UE/EEE que ofereçam bens ou serviços a pessoas na UE/EEE ou monitorem o seu comportamento. Não há um limite mínimo de tamanho. Uma empresa individual que trate dados pessoais de cidadãos da UE tem as mesmas obrigações que uma multinacional.

Para empresas de tecnologia B2B, provedores de SaaS e MSPs com clientes na UE ou no Reino Unido, o GDPR se aplica quase que certamente.

Artigo 32: o requisito de segurança da informação no cerne do RGPD

É no artigo 32 que o RGPD se torna um requisito de gestão de TI. Ele exige que os responsáveis pelo tratamento e os subcontratantes implementem medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco. O regulamento especifica quatro categorias de medidas:

Pseudonimização e criptografia. Os dados pessoais devem ser protegidos tanto quando armazenados quanto durante a transmissão. A criptografia nos terminais e no nível do backup, combinada com controles de acesso que restringem quem pode visualizar dados não criptografados, constitui a implementação prática.

Confidencialidade, integridade, disponibilidade e resiliência. Os sistemas de processamento devem ser capazes de manter essas propriedades de forma contínua. Isso se traduz diretamente na detecção e resposta em terminais (EDR) para a confidencialidade e a integridade, e no backup e na recuperação de desastres para a disponibilidade e a resiliência. Não se trata de produtos de segurança separados, simplesmente acrescentados a um programa de conformidade com o GDPR. Eles são o próprio programa de conformidade com o GDPR.

Restauração oportuna da disponibilidade. Após um incidente físico ou técnico, as organizações devem ser capazes de restaurar o acesso aos dados pessoais em tempo hábil. O tempo de recuperação alvo (RTO) é um requisito do RGPD, e não apenas uma preferência operacional. Um MSP que gerencia dados de clientes e não consiga demonstrar uma recuperação rápida e comprovada a partir do backup não está em conformidade com o Artigo 32.

Testes e avaliações regulares. A eficácia das medidas de segurança deve ser regularmente testada, analisada e avaliada. A conformidade não é um estado pontual. Ela exige uma avaliação contínua, evidências documentadas e um processo para identificar e sanar lacunas.

A multa de 2025 imposta à Advanced Computer Software Group, uma empresa de TI multada em 3,07 milhões de libras pela ICO do Reino Unido por falhas de segurança que interromperam os serviços do NHS, foi a primeira multa aplicada pela ICO diretamente a um subcontratado, em vez de a um responsável pelo tratamento de dados. A ICO constatou que a empresa não havia implementado medidas técnicas adequadas nos termos do Artigo 32, citando lacunas específicas na implantação de autenticação multifatorial (MFA), varredura de vulnerabilidades e gerenciamento de patches. Este não é um risco abstrato para os MSPs. Isso estabelece um precedente claro de que os provedores de serviços de TI podem ser responsabilizados diretamente por falhas de segurança nos sistemas que gerenciam.

Uma maneira prática de entender as obrigações do Artigo 32: se hoje você não pudesse demonstrar a um auditor, com provas documentadas, que a criptografia está ativa em todos os terminais que processam dados pessoais, que os testes de verificação de backup foram realizados e aprovados e que os procedimentos de resposta a incidentes foram testados, você estaria com uma lacuna no cumprimento do Artigo 32.

Notificação de violação de dados: a regra das 72 horas

O artigo 33 exige que os responsáveis pelo tratamento notifiquem a sua autoridade de controlo no prazo de 72 horas após tomarem conhecimento de uma violação de dados pessoais, a menos que seja improvável que a violação acarrete riscos para as pessoas. A autoridade de controlo do Reino Unido é a ICO. Nos Estados-Membros da UE, trata-se da autoridade nacional de proteção de dados competente.

O prazo de 72 horas começa a contar quando a organização tiver um grau razoável de certeza de que um incidente de segurança comprometeu dados pessoais. Isso não ocorre quando a investigação estiver concluída, mas sim quando houver a constatação de que os dados pessoais podem ter sido afetados. O RGPD permite explicitamente a notificação em etapas: uma notificação inicial com as informações disponíveis, seguida de atualizações à medida que a investigação for revelando mais detalhes.

O artigo 34 acrescenta uma obrigação específica de notificar diretamente as pessoas afetadas quando uma violação for suscetível de acarretar um risco elevado para os seus direitos e liberdades. Dados de saúde, dados financeiros, documentos de identidade e dados relativos a crianças são categorias em que esse limiar é frequentemente atingido.

A implicação operacional para as equipes de TI e os MSPs é clara: a capacidade de detecção de violações com rapidez suficiente para identificar e confirmar um incidente poucas horas após sua ocorrência é um requisito do GDPR. A saturação de alertas, os processos de escalonamento lentos e os procedimentos de resposta a incidentes pouco claros resultam em violações do prazo de 72 horas. Um processo de resposta a incidentes de segurança bem conduzido considera que o prazo começa a contar a partir da detecção, e não da conclusão da investigação.

Os subcontratantes têm uma obrigação paralela. Os MSPs que atuam como subcontratantes devem notificar o responsável pelo tratamento sem demora injustificada após tomarem conhecimento de uma violação. O responsável pelo tratamento, por sua vez, notifica a autoridade de controle no prazo de 72 horas. Se um MSP descobrir uma violação que afete os dados de um cliente numa sexta-feira à noite e só notificar o cliente na segunda-feira de manhã, esse atraso pode fazer com que o responsável pelo tratamento não cumpra o prazo legal.

Proteção de dados desde a concepção e por padrão

O artigo 25.º exige que os controles de privacidade sejam integrados aos sistemas desde o início, e não implementados posteriormente à sua implantação.

A proteção de dados desde a concepção significa que, quando os sistemas são adquiridos, configurados ou desenvolvidos, os requisitos de privacidade fazem parte das especificações técnicas. Controles de acesso, criptografia e minimização de dados são decisões arquitetônicas, não acréscimos. Para as equipes de TI que avaliam novas ferramentas, uma avaliação de impacto sobre a privacidade faz parte do processo, não é uma etapa posterior.

A proteção de dados por padrão significa que as configurações padrão devem ser a opção que melhor protege a privacidade entre as disponíveis. Se um sistema puder coletar menos dados, compartilhar menos dados ou conceder menos acesso, a configuração padrão deve priorizar a privacidade. Os usuários devem ter que ativar ativamente uma coleta de dados mais ampla, e não ter que optar por não participar dela.

As Avaliações de Impacto sobre a Proteção de Dados (AIPD) são obrigatórias antes de qualquer tratamento de dados que possa acarretar um risco elevado, incluindo a tomada de decisões automatizada, a monitorização sistemática em grande escala, o tratamento em grande escala de categorias de dados sensíveis e a análise comportamental. Para as equipes de TI, os fatores que desencadeiam essa exigência incluem ferramentas de monitorização baseadas em IA, plataformas de análise do comportamento do usuário e sistemas de acesso biométrico. A realização de uma AIPD não é opcional para essas categorias. Trata-se de um requisito legal.

RGPD para MSPs: responsável pelo tratamento vs. subcontratante

Compreender as funções previstas no RGPD é um dos aspectos de maior importância prática para os MSPs.

O responsável pelo tratamento determina as finalidades e os meios de tratamento dos dados pessoais. O cliente do MSP é, normalmente, o responsável pelo tratamento dos dados de seus clientes, dos dados de seus funcionários e de quaisquer dados pessoais que sua empresa trate.

Um subcontratado trata dados pessoais em nome do responsável pelo tratamento. Um MSP que gerencia sistemas de TI contendo dados pessoais, presta serviços de e-mail, hospeda dados ou fornece serviços de backup e recuperação para os ambientes dos clientes atua, na maioria dos casos, como subcontratado no que diz respeito aos dados desses clientes.

As obrigações do subcontratado nos termos do RGPD incluem:

• O processamento será realizado exclusivamente com base em instruções documentadas do responsável pelo tratamento
• Implementação de medidas de segurança técnicas e organizacionais adequadas (Artigo 32)
• Notificar o responsável pelo tratamento sem demora injustificada após tomar conhecimento de uma violação de dados
• Exclusão ou devolução de todos os dados pessoais ao término do contrato de prestação de serviços
• Permitir e colaborar com as auditorias realizadas pelo responsável pelo tratamento

Um único MSP pode atuar como responsável pelo tratamento de alguns dados (os dados de seus próprios funcionários, os dados relativos às relações com seus próprios clientes) e como subcontratante para outros dados (os dados pessoais dos clientes que gerencia no âmbito da prestação de serviços). Ambos os conjuntos de obrigações se aplicam simultaneamente.

Os subencarregados do tratamento constituem uma camada adicional. Quando um MSP recorre a provedores de nuvem, fornecedores de backup ou outros serviços para prestar serviços de TI aos clientes, esses terceiros podem tornar-se subencarregados do tratamento dos dados pessoais do cliente. Os acordos com subencarregados do tratamento devem ser comunicados ao responsável pelo tratamento e por este autorizados. Os subencarregados do tratamento devem cumprir normas de segurança equivalentes às exigidas ao encarregado do tratamento principal.

Acordos de Processamento de Dados: o que os MSPs devem ter em vigor

Um Acordo de Tratamento de Dados (DPA) é um contrato exigido por lei entre o controlador e o subcontratante. Todo MSP que trate dados pessoais de clientes da UE ou do Reino Unido deve ter um DPA em vigor com cada um desses clientes. Isso não é opcional nem uma mera cortesia comercial. Trata-se de uma exigência do RGPD, nos termos do Artigo 28.

Um Acordo de Proteção de Dados (DPA) deve abranger, no mínimo:

• O objeto, a duração, a natureza e a finalidade do tratamento
• O tipo de dados pessoais e as categorias de titulares dos dados
• As instruções documentadas do controlador ao processador
• As medidas de segurança que o subcontratado implementará (obrigações previstas no artigo 32)
• O processo de notificação de violação de dados do subcontratado ao responsável pelo tratamento
• Acordos com subcontratados e a exigência de proteção equivalente
• Obrigações do subcontratado ao término do contrato: exclusão ou devolução dos dados
• Direitos de auditoria do responsável pelo tratamento

Para um MSP que gerencia vários clientes, ter os termos padrão do DPA revisados e prontos para implementação é um pré-requisito comercial, e não um fardo administrativo. Os MSPs que não possuem DPAs em vigor não estão em conformidade como subcontratantes, independentemente da qualidade de sua postura de segurança do ponto de vista técnico. O DPA é também o documento por meio do qual os clientes avaliam as práticas de segurança do MSP antes de se tornarem clientes. Para clientes de médio porte e corporativos com seus próprios programas de GDPR, um DPA claro e bem redigido é cada vez mais uma condição contratual.

Compliance Manager GRC avaliação da conformidade com o GDPR e na documentação de evidências em relação aos controles previstos no Artigo 32, oferecendo aos MSPs uma maneira estruturada de demonstrar e manter as medidas de segurança com as quais suas autoridades de proteção de dados (DPAs) se comprometem. Saiba como ele apoia os programas de conformidade.

A aplicação da lei e o que isso significa para os provedores de TI

A estrutura de multas do RGPD é bem conhecida. Até 20 milhões de euros ou 4% do faturamento anual global para as violações mais graves. Até 10 milhões de euros ou 2% para falhas processuais, incluindo medidas de segurança inadequadas e omissão na notificação de violações.

A realidade da fiscalização em 2025 e 2026 é que as falhas de segurança previstas no Artigo 32 são a causa mais comum de multas em termos de número de casos, e não apenas pelas manchetes geradas pelas penalidades aplicadas a grandes empresas de tecnologia. A CNIL francesa multou a Free Mobile em € 27 milhões em janeiro de 2026 por medidas de segurança inadequadas após uma violação de dados. A ICO multou a Advanced Computer Software Group em £ 3,07 milhões em março de 2025 pelas mesmas falhas do Artigo 32, incluindo lacunas na autenticação multifatorial (MFA), varredura de vulnerabilidades e gerenciamento de patches. Espanha e Itália têm sido consistentemente ativas na aplicação de multas a prestadores de serviços de saúde, empresas de serviços financeiros e empresas de serviços regionais.

As autoridades reguladoras também confirmaram que a fiscalização não se limita às grandes organizações. A análise dos dados do sistema de acompanhamento de fiscalizações mostra que uma parcela significativa de todas as multas aplicadas recai sobre prestadores de serviços regionais, pequenas empresas de SaaS e agências locais. As penalidades são proporcionalmente menores, mas não deixam de ser penalidades.

Para os MSPs, o panorama da aplicação da lei se traduz em três riscos específicos: responsabilidade direta, na qualidade de subcontratante, por falhas de segurança nos termos do Artigo 32; responsabilidade perante os clientes por atrasos na notificação de violações que levem o responsável pelo tratamento a ultrapassar o prazo de 72 horas; e exposição comercial decorrente da ausência total de acordos de processamento de dados (DPAs).

A conformidade com o GDPR é também uma exigência comercial, e não apenas regulatória. Clientes de médio porte e grandes empresas com operações na UE/Reino Unido exigem rotineiramente comprovação de conformidade com o GDPR como parte da avaliação de fornecedores e da renovação de contratos. Um MSP que não consiga apresentar controles de segurança documentados, procedimentos testados de resposta a incidentes e um DPA assinado não é competitivo nesse segmento de mercado.

Para uma análise mais aprofundada de como os requisitos de governança de dados se relacionam com o GDPR, a HIPAA e as demais estruturas regulatórias que os MSPs precisam seguir em nome dos clientes, consulte nosso guia sobre governança de dados para equipes de TI e MSPs.