Num contexto de riscos crescentes no ciberespaço, o Regulamento Geral de Proteção de Dados deve ser visto como um pilar essencial da segurança nacional dos cidadãos e da democracia.O relatório Cibersegurança em Portugal – Riscos & Conflitos 2025, do Centro Nacional de Cibersegurança, publicado este mês, não deixa margem para dúvidas: estamos mais expostos do que nunca!Em 2024 registaram-se mais incidentes, mais fugas de credenciais, mais ataques de engenharia social e mais tentativas de exploração de vulnerabilidades de sistemas informáticos.O ransomware continua a ser devastador, a inteligência artificial generativa já serve campanhas de fraude e desinformação, e os grupos de hackers, em plena guerra, recorrem a ataques de negação de serviço (DDoS) para paralisar entidades públicas e privadas.Esta não é uma realidade distante. Hospitais, câmaras municipais, empresas de energia, transportes e cidadãos comuns sofrem as consequências de um ciberespaço cada vez mais hostil e polarizado.A perceção de risco é esmagadora. Não há hoje quem não tema vir a sofrer consequências negativas de um ataque informático, como vimos com o “apagão” do ano passado, que muitos chegaram a supor ser resultado de um ataque informático.Não obstante a dificuldade de garantir a segurança plena, é inegável que um dos vetores, quiçá dos mais relevantes, passa por aumentar a consciência e a necessidade de proteger os dados pessoais. O que imediatamente limita riscos e vulnerabilidades das entidades.Ainda que demasiadas vezes encarado como um peso meramente burocrático, o RGPD é, na verdade, uma peça estratégica da nossa segurança. Obriga as entidades a implementar medidas técnicas como encriptação, pseudonimização, controlar backups de informação, gerir políticas de acessos a informação. Impõe avaliações de risco contínuas e prévias ao início do tratamento de dados pessoais, formação de trabalhadores e sugere a nomeação de um Encarregados de Proteção de Dados (DPO). Determina que suspeitas de violações de dados pessoais sejam notificadas em 72 horas, garantindo rapidez na resposta, limitação de vítimas e danos tal como a transparência perante os cidadãos.Voltando aos números do relatório, percebemos como estas exigências fazem diferença. Quase um terço das violações reportadas à Comissão Nacional de Proteção de Dados em 2024 resultou de falha humana, dentro das entidades que tratam dados pessoais.Outras tantas nasceram de phishing e exploração de vulnerabilidades dos sistemas informáticos. Ora, muitas destas situações poderiam ter sido evitadas, ou pelo menos mitigadas.É evidente que o RGPD, per si, não detém um ataque DDoS lançado, por exemplo, por um grupo pró-russo. Mas reduz a superfície e alcance do ataque. Ou seja, limita e dificulta significativamente a produção de danos para os cidadãos resultantes de campanhas de ramsonware. Mas, mais, acima de tudo, reforça a confiança digital e cria uma cultura em que a segurança dos clientes/utilizadores/utentes não é uma opção, mas uma efetiva necessidade e respeito pelo mercado.Concretizar o estabelecido no RGPD não é apenas cumprir uma lei. É cuidar e proteger. Os cidadãos, a democracia, a economia.Num tempo em que o ciberespaço é palco de conflitos geopolíticos e económicos, o RGPD é mais do que um mero regulamento: é um pilar da resiliência nacional e comunitária.Não basta investir em tecnologia. Temos de compreender os riscos inerentes e aplicar, com rigor e convicção, as regras que já temos, para nos protegermos de um mundo que nem todos conseguimos compreender. Cibersegurança sem prioridade da proteção de dados pessoais é como falar de segurança sem fechaduras. Uma ilusão cara, um conceito vazio e uma contradição nos termos e no tempo digital.