L OfiSync Tech

Procedimento de Gestão de Incidentes de Segurança

Última atualização: 28 de junho de 2026 · Aplicação LEXIUM

O presente procedimento estabelece as regras internas de deteção, reporte, avaliação, contenção, mitigação, documentação, notificação e encerramento de incidentes de segurança e de violações de dados pessoais no contexto da aplicação LEXIUM, em conformidade com o Regulamento (UE) 2016/679 (RGPD), em especial os artigos 33.º e 34.º, e com a Lei n.º 58/2019, de 8 de agosto.

Nos termos do RGPD, uma violação de dados pessoais corresponde a uma violação de segurança que provoque, de modo acidental ou ilícito, a destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

Este procedimento aplica-se a toda a atividade da OfiSync Tech relacionada com a App LEXIUM, quer nos tratamentos em que a OfiSync Tech atua como responsável pelo tratamento, quer naqueles em que atua como subcontratante por conta do utilizador profissional.

1. Objetivos

O presente procedimento tem os seguintes objetivos:

2. Âmbito material

O presente procedimento aplica-se, designadamente, a incidentes relacionados com:

3. Definições operacionais

Para efeitos do presente procedimento, entende-se por:

4. Papéis e responsabilidades

4.1. Direção / gestão da OfiSync Tech

Compete à direção ou órgão de gestão:

4.2. Responsável interno pela gestão de incidentes

Deve ser designado internamente um responsável pela coordenação operacional dos incidentes, com funções de:

4.3. Equipa técnica / suporte

Compete à equipa técnica ou a prestadores técnicos autorizados:

4.4. Colaboradores e utilizadores internos autorizados

Todos os colaboradores, prestadores ou pessoas com acesso a sistemas da OfiSync Tech devem comunicar imediatamente qualquer incidente suspeito ou confirmado ao responsável interno pela gestão de incidentes, utilizando os canais definidos internamente.

5. Deteção e comunicação interna do incidente

Qualquer incidente suspeito deve ser comunicado imediatamente após a sua deteção, mesmo quando ainda não estejam esclarecidos todos os factos.

A comunicação interna inicial deve conter, sempre que possível:

Não é permitido atrasar o reporte com o objetivo de obter confirmação total do incidente. A investigação detalhada decorre após a comunicação inicial e a abertura formal do processo interno.

6. Registo inicial e classificação

Após a receção do alerta, deve ser imediatamente criado um registo de incidente, com número interno, data, hora, origem, descrição preliminar e estado do processo.

Nessa fase, o incidente deve ser classificado provisoriamente quanto a:

Todos os incidentes, incluindo os que não deem origem a notificação à CNPD, devem ser documentados, uma vez que o artigo 33.º, n.º 5, do RGPD exige o registo das violações de dados pessoais, respetivos factos, efeitos e medidas corretivas adotadas.

7. Contenção imediata

Sempre que necessário, devem ser adotadas sem demora medidas de contenção proporcionais ao risco, incluindo, consoante o caso:

As medidas de contenção devem procurar limitar a propagação do incidente sem destruir evidência técnica relevante para análise posterior.

8. Investigação e avaliação preliminar

Após a contenção inicial, deve ser conduzida investigação técnica e factual para apurar, na medida do possível:

A investigação deve ser suficientemente célere para permitir a decisão atempada sobre a eventual obrigação de notificação à CNPD no prazo de 72 horas após o conhecimento da violação.

9. Avaliação do risco para os titulares

Sempre que esteja em causa uma violação de dados pessoais, deve ser efetuada avaliação documentada do risco para os direitos e liberdades das pessoas singulares, ponderando, entre outros, os seguintes fatores:

A avaliação deve concluir, de forma fundamentada, se:

10. Critério de notificação à CNPD

Quando a violação de dados pessoais seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares, deve ser efetuada notificação à CNPD no prazo máximo de 72 horas após o conhecimento da violação, nos termos do artigo 33.º, n.º 1, do RGPD.

Se a notificação não puder ser apresentada dentro de 72 horas, deverá ser acompanhada dos motivos do atraso, podendo a informação ser prestada por fases, à medida que fique disponível.

Mesmo quando se conclua pela não notificação à CNPD, a decisão e a respetiva fundamentação devem ser documentadas no processo interno do incidente.

11. Conteúdo mínimo da notificação à CNPD

A notificação à CNPD deve conter, pelo menos, na medida do possível:

A CNPD disponibiliza formulário próprio para este efeito.

12. Comunicação aos titulares dos dados

Quando a violação de dados pessoais seja suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, os titulares afetados devem ser informados sem demora injustificada, em linguagem clara e simples, nos termos do artigo 34.º do RGPD.

A comunicação aos titulares deve incluir, pelo menos:

A comunicação aos titulares pode não ser exigida quando se verifique alguma das exceções legalmente previstas, designadamente quando:

13. Regra específica quando a OfiSync Tech atua como subcontratante

Quando a OfiSync Tech trate dados pessoais por conta do utilizador profissional da App, deve notificá-lo sem demora injustificada após tomar conhecimento de uma violação de dados pessoais relativa a esses dados, para que o utilizador profissional, enquanto responsável pelo tratamento, possa decidir e cumprir as obrigações dos artigos 33.º e 34.º do RGPD.

Nesses casos, a decisão formal de notificação à CNPD e de comunicação aos titulares cabe, em regra, ao utilizador profissional, sem prejuízo do dever da OfiSync Tech de prestar toda a assistência razoavelmente necessária, nos termos do artigo 28.º, n.º 3, alínea f), do RGPD.

A comunicação ao utilizador profissional deve ser efetuada, preferencialmente, por escrito e incluir informação suficiente sobre a natureza da violação, impacto provável, dados afetados, medidas adotadas e medidas propostas.

14. Preservação de prova e cadeia documental

Durante e após a gestão do incidente, devem ser preservados, na medida do necessário e do proporcional, os elementos de prova relevantes, incluindo logs, alertas, capturas, ficheiros de configuração, registos de acesso, relatórios técnicos e comunicações internas ou externas relacionadas com o incidente.

O acesso à documentação do incidente deve ser restrito às pessoas que necessitem de a conhecer para fins de gestão, auditoria, defesa de direitos ou cumprimento regulatório.

15. Medidas corretivas e preventivas

Concluída a resposta imediata, devem ser definidas medidas corretivas e preventivas, designadamente:

Sempre que o incidente revele falha estrutural ou risco recorrente, deve ser desencadeada revisão mais ampla das medidas técnicas e organizativas implementadas.

16. Encerramento do incidente

Um incidente só deve ser formalmente encerrado quando:

O encerramento deve ser validado pelo responsável interno pela gestão de incidentes e, quando a gravidade o justifique, pela direção ou gestão da OfiSync Tech.

17. Registo obrigatório das violações e arquivo

Deve existir um registo interno de violações de dados pessoais, autónomo ou integrado no registo de incidentes, contendo pelo menos:

Este registo deve ser conservado para fins de auditoria, responsabilização e demonstração de conformidade perante a CNPD, nos termos do artigo 33.º, n.º 5, do RGPD.

18. Formação e revisão do procedimento

A OfiSync Tech deve assegurar que as pessoas com acesso relevante a sistemas, dados ou operações da App conhecem este procedimento e recebem formação adequada sobre reporte imediato de incidentes, boas práticas de segurança e critérios básicos de escalonamento.

O presente procedimento deve ser revisto periodicamente e sempre que ocorram alterações significativas na arquitetura técnica da App, nos fluxos de dados, nos fornecedores críticos, nos riscos identificados ou no enquadramento jurídico aplicável.

19. Contactos operacionais

Para efeitos internos, a OfiSync Tech deve manter atualizada uma lista de contactos operacionais de emergência, incluindo, pelo menos:

20. Autoridade de controlo

Em Portugal, a autoridade de controlo competente em matéria de proteção de dados pessoais é a Comissão Nacional de Proteção de Dados (CNPD), disponível em www.cnpd.pt. A CNPD disponibiliza formulário específico para notificação de violações de dados pessoais ao abrigo do artigo 33.º do RGPD.