Segundo o Cyber Security Breaches Survey 2025(nova janela), mais de 93% das empresas e 95% das instituições de caridade foram alvo de ataques de phishing em 2025, tendo muitas organizações sido afetadas várias vezes.

A nível global, os tipos de dados mais frequentemente divulgados são nomes e endereços de e-mail (em 9 de cada 10 incidentes), seguidos de números de telefone, palavras-passe e dados sensíveis, segundo investigação realizada para o nosso Data Breach Observatory.

As pequenas empresas são particularmente vulneráveis: 1 em cada 4 é hackeada apesar das suas medidas de cibersegurança.


Perante tudo isto, as empresas e os profissionais de segurança devem estar preparados e cientes das suas obrigações de reporte para manter as operações seguras e em conformidade.

No Reino Unido, reportar incidentes de dados pessoais ao Information Commissioner’s Office (ICO) é mais do que um dever legal; é um procedimento fundamental que molda a confiança do público, protege os indivíduos e influencia o desfecho de um incidente de dados para as organizações afetadas.

Neste guia, vamos explorar o que se qualifica como um incidente reportável, como os incidentes são regulados no Reino Unido e passos práticos (com base em experiência real) para ajudar as empresas a enfrentar o reporte de frente.

O que se qualifica como incidente de dados no Reino Unido?

Quando e como reportar um incidente de dados ao ICO

Quais são os desafios comuns no reporte de incidentes de dados?

Quais são as melhores práticas para se preparar para o reporte de incidentes?

Como o Proton Pass for Business pode reduzir os seus riscos de incidente

Mantenha a sua empresa preparada

O que se qualifica como incidente de dados no Reino Unido?

Um incidente de dados no Reino Unido refere-se a qualquer incidente de segurança que resulte na perda, destruição, alteração, divulgação não autorizada de dados ou acesso a dados, de forma acidental ou ilícita. De acordo com as orientações do ICO, um incidente acontece quando os dados foram mal armazenados ou colocados em risco, quer o evento tenha sido causado por erro humano, falhas técnicas ou atos criminosos.

Algumas das situações que podem levar a incidentes de dados incluem:

  • Um e-mail com informações sensíveis enviado para o destinatário errado
  • Perda ou roubo de um dispositivo que armazena dados pessoais sem encriptação
  • Eliminação acidental ou corrupção de ficheiros importantes
  • Infeções por malware(nova janela) que permitem a terceiros aceder a registos de colaboradores
  • Ficheiros físicos perdidos ou deixados em áreas públicas

Estas situações são um lembrete importante de que os incidentes não se limitam a casos de hacking. Na prática, erros simples, como uma fatura perdida ou uma carta endereçada incorretamente, podem ser igualmente graves perante a lei.

Ou seja, o impacto não se limita a grandes eventos. Se surgir qualquer risco real para os direitos ou liberdades das pessoas — como roubo de identidade, fraude ou danos reputacionais — é provável que esteja perante um incidente reportável. Por outras palavras, mesmo uma pequena falha pode ter um grande impacto.

Quando e como reportar um incidente de dados ao ICO

De acordo com os requisitos do ICO(nova janela), um incidente de dados pessoais suscetível de resultar num risco para os direitos e liberdades das pessoas deve ser reportado no prazo de 72 horas após se tomar conhecimento dele. A falta de reporte pode resultar em multas de até 2% do volume de negócios mundial por não reportar. Além disso, a multa máxima por incidente de dados no Reino Unido é de 4%.

Para as organizações que atuam como prestadores de serviços de confiança ao abrigo do UK eIDAS(nova janela), aplicam-se regras específicas(nova janela): se um incidente tiver um impacto significativo nos serviços prestados, o ICO deve ser notificado no prazo de 24 horas e os utilizadores devem ser informados o mais rapidamente possível.

Mas como saber se um incidente atinge o limiar de reporte? O critério principal é o risco. Pergunte a si próprio: este incidente pode causar danos físicos, materiais ou imateriais aos indivíduos? Se a resposta for “possivelmente”, é necessária ação.

Eis como reportar um incidente de dados no Reino Unido passo a passo:

  1. Identifique e contenha rapidamente o incidente. Tome medidas imediatas para minimizar os danos — por exemplo, revogar acessos, isolar sistemas afetados ou repor credenciais expostas.
  2. Avalie o risco. Quem foi afetado e de que forma? Considere o tipo e a quantidade de dados pessoais envolvidos, quão fácil é identificar indivíduos, bem como quaisquer possíveis consequências.
  3. Mantenha registo de tudo. Mesmo que decida não reportar, é legalmente obrigado a manter um registo dos incidentes, das suas investigações e da justificação da sua decisão.
  4. Preencha o formulário de reporte online do ICO. São solicitadas as seguintes informações:
    • Uma descrição do que aconteceu e de como foi detetado
    • Data e hora da descoberta do incidente
    • As categorias e o número aproximado de indivíduos e registos envolvidos
    • Resultados prováveis e ações tomadas para resolver o problema
    • Medidas preventivas que estavam em vigor
    • Detalhes de contacto do seu Encarregado da Proteção de Dados (DPO) ou do responsável principal pelo reporte
  5. Comunique com os indivíduos afetados se existir um risco elevado para os seus direitos ou liberdades. Isto não é apenas uma boa prática — o Regulamento Geral sobre a Proteção de Dados (GDPR) e a Data Protection Act exigem que tome esta medida.

Uma vez que é um requisito legal, as empresas não devem hesitar em reportar estes eventos, mesmo que acreditem que a situação possa ser resolvida. Independentemente do tipo de incidente e da sua extensão, uma notificação atempada pode, na verdade, mostrar ao ICO que a sua empresa leva a sério a responsabilidade e a mitigação. Além disso, a conformidade com os requisitos de reporte do ICO ajuda a sua empresa a criar confiança, tanto junto dos clientes como dos reguladores.

A página de reporte de incidentes de dados pessoais(nova janela) do ICO cobre todas as nuances e pode ajudar a identificar uma situação crítica e a agir em conformidade.

Quais são os desafios comuns no reporte de incidentes de dados?

Apesar de requisitos legais claros, as empresas falham muitas vezes pelos mesmos motivos. Eis onde normalmente começam os problemas:

  • Relatórios atrasados ou em falta. Por vezes, as equipas não sabem quem é responsável pelo reporte, ou não descobrem o incidente até já ser tarde demais. O resultado? Penalizações do ICO e credibilidade afetada.
  • Falta de informação completa. Reportar demasiado cedo — sem reunir os factos principais — pode deixar lacunas no relatório ou desencadear perguntas de seguimento por parte do ICO.
  • Má comunicação interna. Questões sensíveis podem ficar “presas” num departamento, em vez de serem escaladas para o contacto apropriado ou para o DPO.
  • Registos inadequados. Algumas empresas têm poucas ou nenhumas provas de como o incidente foi tratado, mesmo depois de resolver o problema principal. Isso deixa-as expostas ao escrutínio regulatório.
  • Incerteza da equipa ou falta de formação. Se os colaboradores não souberem o que se qualifica como incidente, ou se não tiverem a certeza quanto aos procedimentos de reporte, os casos podem passar despercebidos.

Cada incidente é um pouco diferente, mas a ausência de um quadro de resposta claro piora sempre as coisas. É por isso que um manual de reporte estruturado é tão importante como os controlos técnicos. Além disso, vale a pena ter em mente que a preparação supera o pânico, sempre.

Quais são as melhores práticas para se preparar para o reporte de incidentes no Reino Unido?

As práticas seguintes (e algumas ferramentas bem escolhidas) estabelecem uma base sólida, tornando a conformidade regulatória menos numa situação de emergência e mais num processo controlado.

1. Estabeleça deteção e documentação de incidentes

Tudo começa com a consciencialização. Configure alertas para atividade suspeita e incentive os colaboradores a reportarem imediatamente quaisquer e-mails estranhos, dados em falta ou acessos não autorizados. Assim que se suspeite de um incidente:

  • Documente quem, o quê, onde, quando e como
  • Mantenha registos e capturas de ecrã para os seus arquivos
  • Conserve provas, mesmo que mais tarde descubra que foi um falso alarme

Documentar os primeiros detalhes garante que tem uma base sólida para o reporte e para a análise pós-incidente.

2. Mantenha o uso de acessos e credenciais sob revisão

Como as palavras-passe e os tokens de acesso podem abrir a porta a dados sensíveis, controlar credenciais é uma das formas mais rápidas de detetar incidentes e limitar danos. Auditorias regulares revelam palavras-passe partilhadas ou reutilizadas, ausência de 2FA, contas inativas ou elevação de privilégios não autorizada.

Estas revisões de acesso devem ser:

  • Agendadas regularmente, não feitas ad hoc
  • Abrangentes, cobrindo contas de administrador, nuvem, sistemas locais e contas de fornecedores
  • Apoiadas por uma ferramenta que acompanhe o uso, alterações e atividade das credenciais com registos detalhados

O Proton Pass for Business é um gestor de palavras-passe empresarial seguro que oferece várias funcionalidades para ajudar as empresas a prevenir estes incidentes, incluindo monitorização da integridade da palavra-passe, políticas de equipa personalizáveis e alertas de incidentes.

Esta abordagem, com as ferramentas certas, reduz o risco de um incidente relacionado com credenciais e ajuda a identificar rapidamente o que correu mal caso um incidente aconteça.

3. Configure fluxos de trabalho internos de reporte

Uma comunicação clara vence o caos, e um caminho simples para escalonamento de incidentes é a resposta de que a sua empresa precisa para um reporte eficiente de incidentes. Eis um exemplo de um fluxo de trabalho fluido:

  • Todo o pessoal reporta incidentes suspeitos para uma caixa de correio central de segurança ou para o responsável designado
  • Com as informações submetidas, os incidentes são investigados e triados rapidamente por uma equipa dedicada
  • Depois, um indivíduo nomeado, como o DPO, decide sobre o reporte final

Um fluxograma simples de incidentes, partilhado durante a integração e em lembretes, faz maravilhas. Facilite o reporte e implemente uma cultura sem estigma, porque se os membros da equipa recearem repercussões, vão ocultar erros em vez de os reportar.

4. Invista na consciencialização da equipa e em formação regular

O Cyber Security Breaches Survey 2025(nova janela) confirma que o phishing continua a ser a principal causa de incidentes (sofridos por 85% das empresas inquiridas). Para enfrentar esta realidade, formar os colaboradores para reconhecer sinais de alerta — desde e-mails suspeitos a tentativas de engenharia social — é uma das ações mais baratas e eficazes.

Uma abordagem em pequenas doses apoiada por exemplos do mundo real pode melhorar a sua formação. Além disso, atualize o conteúdo da formação sempre que possível e evite depender de cursos genéricos que não se aplicam à sua indústria ou à configuração da sua organização.

5. Avalie e registe objetivamente os impactos do incidente

A melhor forma de decidir se um incidente é reportável é a avaliação de risco. É essencial documentar:

  • Tipos de dados perdidos e se são sensíveis (saúde, finanças, dados de menores, etc.)
  • Com que facilidade os indivíduos afetados poderiam ser identificados
  • Que danos poderiam resultar (roubo de identidade, constrangimento, perda financeira, etc.)

Agir cedo e pôr por escrito a sua avaliação mostra ao ICO que levou a situação a sério.

6. Pratique exercícios de resposta a incidentes

Fazer simulações de incidentes é um exercício de mesa à moda antiga capaz de fazer uma diferença real. Destaca lacunas ocultas, revela bloqueios nos fluxos de trabalho e testa o processo de escalonamento antes de a situação real acontecer.

O resultado? Não apenas reforço da conformidade, mas também uma equipa que sabe o que fazer (e porquê) sob pressão.

7. Tire partido de ferramentas seguras de gestão de acesso e focadas na prevenção

As palavras-passe comprometidas continuam a ser um risco principal. É por isso que a gestão segura de palavras-passe é uma parte central da prevenção e resposta a incidentes. Soluções como o Proton Pass for Business limitam bastante a exposição durante incidentes ao automatizar a rotação de credenciais, monitorizar a integridade da palavra-passe e dificultar muito mais o sucesso do phishing.

Pode explorar mais estratégias e explicações sobre ferramentas na página de recursos de cibersegurança da Proton, especialmente se estiver a rever o seu próprio conjunto de ferramentas.

Como o Proton Pass for Business pode reduzir os seus riscos de incidente

Empresas de todos os tamanhos são vulneráveis a incidentes de dados. Na verdade, segundo investigação realizada pela Proton, as PME podem ser as mais vulneráveis de todas. Mas, com as ferramentas certas, qualquer empresa pode reduzir os seus riscos de incidente: o Proton Pass for Business resolve tanto os desafios técnicos como os de conformidade.

  • A encriptação ponto a ponto protege as credenciais dos utilizadores em repouso e em trânsito. Mesmo que a infraestrutura seja comprometida, os dados permanecem inacessíveis para os atacantes.
  • O Password Health Check melhora a segurança da rede empresarial. Palavras-passe fracas ou reutilizadas são identificadas e notificadas para melhorar a segurança.
  • O Dark Web Monitoring acompanha credenciais divulgadas e envia alertas. A análise ativa em toda a dark web permite-lhe identificar incidentes e reduzir danos potenciais.
  • Políticas de equipa personalizáveis e aplicáveis estabelecem uma gestão de palavras-passe mais forte. Políticas rigorosas e adaptáveis de palavras-passe, 2FA e partilha de dados reforçam a segurança de acesso de acordo com as necessidades da sua organização.
  • Ferramentas centrais de administrador, relatórios automatizados e controlos de partilha de credenciais significam que as alterações podem ser implementadas em minutos, não em dias.
  • Código aberto e auditorias independentes regulares criam confiança. Os controlos de segurança não são apenas alegações – podem ser verificados por qualquer pessoa.

Ao concentrar-se na capacitação do utilizador, na segurança aberta e na facilidade de implementação, a Proton alinha-se com uma abordagem centrada na privacidade. Isto ajuda-o a criar uma cultura de trabalho em que a resiliência a incidentes está incorporada nos seus fluxos de trabalho quotidianos.

Para as organizações prontas para avançar para uma gestão de acesso segura como parte de um programa de preparação para incidentes, o gestor de palavras-passe empresarial da Proton é uma escolha natural, especialmente se a conformidade, a usabilidade e a transparência estiverem no topo da sua lista de verificação.

Por exemplo, a Novalytica partilha muitos inícios de sessão com clientes e procurava uma forma segura de realizar esta tarefa. O Proton Pass for Business respondeu às suas necessidades com uma solução completa para partilhar informações e inícios de sessão com clientes, garantindo segurança e rastreabilidade.

Se tem interesse em dicas práticas para introduzir credenciais seguras e reporte de incidentes em escala, explore também alguns exemplos detalhados na página de recursos empresariais de cibersegurança da Proton.

Mantenha a sua empresa preparada

Saber como apresentar um relatório de incidente de dados no Reino Unido é fundamental para a conformidade, a confiança e a sobrevivência da empresa. A diferença entre um desastre prejudicial e um incidente gerido muitas vezes resume-se à preparação, à comunicação e ao uso da combinação certa de pessoas, processos e tecnologias seguras.

Criar fluxos de trabalho internos claros, praticar exercícios de incidente e dar prioridade a ferramentas seguras como o Proton Pass for Business são ações poderosas que ajudam a cumprir prazos de reporte ou a evitar multas. Além disso, estas boas práticas reforçam a governação a todos os níveis, criam responsabilização e asseguram tanto aos seus clientes como ao ICO que leva a sério fazer a coisa certa, mesmo em momentos difíceis.

Se quer manter-se um passo à frente, saiba mais sobre a missão da Proton em prol da liberdade digital e veja como ferramentas centradas na privacidade podem ajudar a sua empresa. Convidamo-lo a explorar as nossas soluções para empresas e a juntar-se a um movimento que coloca as pessoas — e não apenas os lucros — no centro da cibersegurança.

Perguntas frequentes sobre incidentes de dados no Reino Unido

O que é um incidente de dados no Reino Unido?

Um incidente de dados no Reino Unido é qualquer incidente em que dados pessoais são perdidos, divulgados, alterados ou acedidos sem autorização, quer isso aconteça por acidente, ciberataque ou negligência. O que importa é se existe um risco para os direitos ou liberdades das pessoas: este é o limiar para decidir se tem de reportar o incidente ao Information Commissioner’s Office (ICO).

Como reporto um incidente de dados ao ICO?

Deve usar o formulário de reporte online do ICO, fornecendo os principais detalhes sobre o incidente: o que aconteceu, quando, quantas pessoas e registos estão envolvidos e quais os passos que tomou ou planeia tomar para conter as consequências. O Encarregado da Proteção de Dados da organização ou outro responsável deve normalmente submeter o relatório no prazo de 72 horas após a descoberta (24 horas para organizações que atuam como prestadores de serviços de confiança ao abrigo do UK eIDAS).

Quando devo notificar o ICO de um incidente?

Deve notificar o ICO o mais rapidamente possível e, o mais tardar, 72 horas após tomar conhecimento do incidente, se este for suscetível de colocar em risco os direitos e liberdades das pessoas. O incumprimento deste prazo pode resultar em penalizações regulatórias adicionais e perda de confiança do público.

Que informações são necessárias para reportar um incidente?

O ICO solicita uma descrição completa do incidente, a hora e a data da descoberta, a natureza e o volume dos dados pessoais afetados, o número de indivíduos ou registos afetados, os possíveis danos resultantes e as ações tomadas para conter o incidente. Também é pedido um ponto de contacto para seguimento. Se nem toda a informação estiver disponível dentro de 72 horas, deve submeter o relatório na mesma, atualizando posteriormente o ICO quando tiver mais detalhes.

Todos os incidentes de dados são reportáveis ao ICO?

Não, nem todos os incidentes são reportáveis. Deve reportar apenas os incidentes em que estejam envolvidos dados pessoais e em que exista um risco real para os direitos ou liberdades das pessoas. No entanto, mesmo os incidentes não reportáveis devem ser registados internamente, caso o ICO reveja os seus registos no futuro.