Privacy Policy GDPR Portugal (Política de Privacidade RGPD)
POLÍTICA DE PRIVACIDADE
Em conformidade com o Regulamento (UE) 2016/679 (RGPD) e a Lei nº 58/2019, de 8 de agosto
Última actualização: [Last Update]
1. RESPONSÁVEL PELO TRATAMENTO
O responsável pelo tratamento dos seus dados pessoais é [Controller Name], NIPC [Controller NIPC], com sede em [Controller Address], que pode ser contactado através do email [Controller Email] ou através do site [Website URL].
2. ENCARREGADO DE PROTEÇÃO DE DADOS (EPD/DPO)
Designámos um Encarregado de Proteção de Dados nos termos do artigo 37.º do RGPD: [DPO Name], contactável através do email [DPO Email].
3. CATEGORIAS DE DADOS PESSOAIS RECOLHIDOS
[Data Categories]
4. FINALIDADES DO TRATAMENTO
[Purposes]
5. BASE DE LICITUDE DO TRATAMENTO
O tratamento dos seus dados pessoais assenta nas seguintes bases de licitude do artigo 6.º do RGPD: [Legal Basis]
6. PRAZO DE CONSERVAÇÃO
[Retention]
7. TRANSFERÊNCIAS INTERNACIONAIS
[International Transfers].
8. DIREITOS DOS TITULARES DOS DADOS
Nos termos dos artigos 15.º a 22.º do RGPD, o titular dos dados pode exercer os seguintes direitos:
a) Direito de acesso (artigo 15.º);
b) Direito de rectificação (artigo 16.º);
c) Direito ao apagamento ("direito a ser esquecido", artigo 17.º);
d) Direito à limitação do tratamento (artigo 18.º);
e) Direito de portabilidade (artigo 20.º);
f) Direito de oposição (artigo 21.º);
g) Direito de não estar sujeito a decisões automatizadas (artigo 22.º);
h) Direito de retirar o consentimento a qualquer momento, sem afectar a licitude do tratamento anterior;
i) Direito de apresentar reclamação à Comissão Nacional de Proteção de Dados (CNPD) — www.cnpd.pt.
9. MEDIDAS DE SEGURANÇA
Aplicamos medidas técnicas e organizativas adequadas para proteger os dados pessoais nos termos do artigo 32.º do RGPD: encriptação em trânsito (TLS) e em repouso, controlo de acessos, registo de auditoria, formação de colaboradores e avaliação periódica das medidas.
10. COOKIES E TECNOLOGIAS SIMILARES
Utilizamos cookies e tecnologias similares nos termos do artigo 5.º nº 3 da Directiva ePrivacy 2002/58/CE e da Lei nº 41/2004 de 18 de agosto. Os cookies estritamente necessários funcionam sem consentimento; os cookies analíticos, de marketing e de personalização requerem consentimento prévio do utilizador.
11. CONTACTOS
Para exercer os seus direitos ou esclarecer qualquer questão sobre esta Política, contacte-nos através do email [Controller Email] ou por correio para a morada [Controller Address]. Tem o direito de apresentar reclamação à CNPD — Comissão Nacional de Proteção de Dados (Av. D. Carlos I, 134, 1.º, 1200-651 Lisboa; www.cnpd.pt; [email protected]).
Responsável pelo Tratamento
________________
Signature
What Is a Privacy Policy GDPR Portugal (Política de Privacidade RGPD)?
A Política de Privacidade (RGPD) é o documento empresarial celebrado em Portugal ao abrigo de Regulamento (UE) 2016/679 (RGPD).
O RGPD entrou em vigor em todos os Estados-Membros da União Europeia em 25 de maio de 2018 e revolucionou o regime europeu da protecção de dados pessoais — substituiu a Diretiva 95/46/CE e harmonizou as regras nacionais num diploma directamente aplicável. A Lei nº 58/2019 de 8 de agosto operou a execução nacional, regulando aspectos remetidos à legislação interna (idade mínima para consentimento na sociedade da informação fixada em 13 anos pelo artigo 16.º; tratamento de dados de pessoas falecidas; tratamento de dados no contexto laboral; videovigilância; investigação científica). A autoridade de controlo nacional é a Comissão Nacional de Proteção de Dados (CNPD), entidade administrativa independente nos termos do artigo 51.º do RGPD e do artigo 4.º da Lei nº 58/2019, com competências de supervisão, investigação, autorização, parecer e aplicação de coimas administrativas.
A Política de Privacidade deve estar disponível em formato facilmente acessível ao titular dos dados, em linguagem clara e simples nos termos do artigo 12.º nº 1 do RGPD. Para tratamentos no contexto digital (sites, aplicações, plataformas online), a Política é tipicamente publicada no rodapé do site com link permanente, sendo apresentada ao utilizador no momento da recolha (registo de conta, subscrição de newsletter, preenchimento de formulário). Para tratamentos no contexto presencial (clientes em loja física, candidatos a emprego, fornecedores), a Política é entregue em suporte papel ou apresentada através de QR code ou tablet. A clareza linguística é princípio estruturante — a CNPD tem aplicado coimas a entidades que apresentam Políticas com linguagem técnica excessiva, ininteligível para o cidadão médio.
O conteúdo mínimo da Política de Privacidade está enumerado no artigo 13.º do RGPD (para dados recolhidos directamente do titular) e no artigo 14.º (para dados recolhidos de terceiros). As menções obrigatórias incluem: identidade e contactos do responsável pelo tratamento; identidade e contactos do Encarregado de Proteção de Dados (DPO/EPD) quando exista; finalidades e base jurídica do tratamento; interesses legítimos prosseguidos pelo responsável quando aplicável; destinatários ou categorias de destinatários dos dados; transferências para países terceiros e respectivas garantias; prazo de conservação ou critérios para o determinar; direitos do titular (acesso, rectificação, apagamento, limitação, portabilidade, oposição, retirada do consentimento, reclamação à CNPD); existência de decisões automatizadas e profiling; proveniência dos dados quando obtidos de terceiros (artigo 14.º).
As coimas por violação do RGPD são particularmente expressivas e funcionam como elemento de dissuasão central do regime. O artigo 83.º do RGPD estabelece dois patamares: coimas até 10 milhões de euros ou 2% do volume de negócios anual mundial (o que for superior) para violações menos graves (obrigações de informação, segurança, registo das actividades, designação de DPO); coimas até 20 milhões de euros ou 4% do volume de negócios anual mundial para violações mais graves (princípios fundamentais do tratamento, condições de consentimento, direitos dos titulares, transferências internacionais ilícitas). A CNPD tem aplicado, na sua actuação de supervisão a partir de 2018, coimas significativas a operadores nacionais (Hospital do Barreiro 2018, Município de Lisboa 2019, INE 2021), confirmando a intenção do regulador de exigir conformidade efectiva.
O incumprimento das obrigações de informação plasmadas na Política de Privacidade pode ainda gerar acções de responsabilidade civil pelos danos causados nos termos do artigo 82.º do RGPD e dos artigos 562.º a 566.º do Código Civil, com possibilidade de acções colectivas pelas associações de defesa dos consumidores (DECO) ou pelas autoridades públicas. A jurisprudência do Tribunal de Justiça da União Europeia tem sido determinante na concretização do regime, com decisões emblemáticas em matéria de transferências internacionais (Schrems I, C-362/14; Schrems II, C-311/18), de cookies e consentimento (Planet49, C-673/17), e de direito ao apagamento (Google Spain, C-131/12).
When Do You Need a Privacy Policy GDPR Portugal (Política de Privacidade RGPD)?
A Política de Privacidade (RGPD) em Portugal é necessária sempre que uma entidade — pública ou privada, com ou sem fins lucrativos, de qualquer dimensão — proceda ao tratamento de dados pessoais de pessoas singulares no contexto da sua actividade. O conceito de "tratamento" é amplíssimo na definição do artigo 4.º nº 2 do RGPD e abrange qualquer operação ou conjunto de operações sobre dados pessoais — recolha, registo, organização, estruturação, conservação, adaptação, alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão ou disponibilização, comparação ou interconexão, limitação, apagamento ou destruição. Praticamente toda a actividade económica e administrativa actual envolve tratamento de dados pessoais — recolha de dados de clientes (nome, email, telefone, NIF, morada, dados de pagamento), gestão de recursos humanos (dados de candidatos e colaboradores), comunicação com fornecedores, marketing, atendimento, sistemas de videovigilância.
A Política é particularmente exigida em ambientes digitais — sites institucionais, plataformas de comércio electrónico, aplicações móveis, redes sociais corporativas, plataformas de marketplace, sistemas de subscrição de newsletter, formulários de contacto. Para sites portugueses ou dirigidos ao mercado português (artigo 3.º do RGPD sobre âmbito territorial), a Política é elemento estrutural obrigatório, devendo estar acessível no rodapé do site com link permanente em todas as páginas, e ser apresentada ao utilizador no momento da recolha de dados (formulário de registo, processo de checkout, candidatura de emprego online, comentário em blog).
O comércio electrónico (e-commerce) tem regime particularmente exigente. As lojas online portuguesas e europeias estão sujeitas cumulativamente ao RGPD, ao Decreto-Lei nº 7/2004 sobre comércio electrónico (transposição da Diretiva 2000/31/CE), ao Decreto-Lei nº 24/2014 sobre contratos celebrados à distância e fora do estabelecimento comercial (transposição da Diretiva 2011/83/UE sobre direitos dos consumidores), à Lei de Defesa do Consumidor (Lei nº 24/96), e ao Decreto-Lei nº 67/2003 sobre venda de bens de consumo (em parte substituído pelo Decreto-Lei nº 84/2021). A Política de Privacidade integra-se neste enquadramento como peça da informação pré-contratual obrigatória, juntamente com Termos e Condições, Política de Cookies e Política de Devoluções.
A Política é obrigatória também em entidades públicas — Câmaras Municipais, Juntas de Freguesia, institutos públicos, hospitais do Serviço Nacional de Saúde, escolas e universidades públicas, organismos da administração central directa e indirecta. O artigo 37.º nº 1 alínea a) do RGPD impõe a designação obrigatória de Encarregado de Proteção de Dados (DPO/EPD) em todas as entidades públicas (com excepção de tribunais no exercício da função jurisdicional), e o artigo 12.º da Lei nº 58/2019 reforça essa obrigatoriedade. A Política de Privacidade da entidade pública deve estar publicada no respectivo site oficial e atendendo aos critérios de acessibilidade do Decreto-Lei nº 83/2018 sobre acessibilidade dos sítios web e das aplicações móveis dos organismos do sector público.
A Política é particularmente sensível em sectores com tratamento de categorias especiais de dados pessoais ("dados sensíveis") nos termos do artigo 9.º do RGPD — dados de saúde (clínicas, hospitais, laboratórios, farmácias), dados de origem étnica ou racial, dados políticos ou filosóficos, dados sindicais, dados genéticos, dados biométricos para identificação única, dados sobre vida sexual ou orientação sexual, dados sobre infracções penais. Para estas categorias, o tratamento exige base de licitude reforçada (consentimento explícito, interesse vital, fins de medicina preventiva ou clínica, etc.) e medidas de segurança acrescidas. A Política deve descrever especificamente este tratamento e a sua justificação legal.
No contexto laboral, o artigo 28.º da Lei nº 58/2019 estabelece regras específicas sobre tratamento de dados de candidatos e colaboradores. A Política aplicável aos colaboradores deve enquadrar a recolha e tratamento dos dados de candidatura, a gestão de processos de selecção (incluindo testes psicotécnicos, exames médicos), a administração da relação laboral (vencimentos, segurança social, IRS, formação), os sistemas de videovigilância nas instalações (sujeitos a parecer específico nos termos do artigo 31.º), os sistemas de geolocalização de viaturas, os controlos de acesso e de presença. As decisões da CNPD nesta matéria têm sido particularmente exigentes quanto à proporcionalidade dos tratamentos.
No sector da saúde, a Política está sujeita a regime acrescido pela natureza sensível dos dados clínicos. Aplicam-se cumulativamente o RGPD, a Lei nº 58/2019, a Lei nº 12/2005 sobre informação genética pessoal e informação de saúde, o regime do Sistema Integrado de Informação do Serviço Nacional de Saúde (SI SNS) supervisionado pela SPMS, e as regras profissionais das Ordens dos Médicos, Enfermeiros, Farmacêuticos. As violações de dados de saúde estão sujeitas ao patamar máximo de coimas do RGPD (20 milhões € ou 4% do volume de negócios mundial).
What to Include in Your Privacy Policy GDPR Portugal (Política de Privacidade RGPD)
Uma Política de Privacidade (RGPD) em Portugal juridicamente conforme integra um conjunto de elementos obrigatórios fixados pelos artigos 13.º e 14.º do RGPD, e ainda elementos recomendados pelas Orientações do Comité Europeu para a Proteção de Dados (CEPD/EDPB) e pelas Orientações da CNPD que asseguram robustez e clareza acrescida.
Identificação do responsável pelo tratamento. Nome ou denominação social, NIF ou NIPC, sede ou domicílio, contactos (email, telefone, morada postal). Para grupos empresariais com tratamento conjunto, identificação dos co-responsáveis nos termos do artigo 26.º do RGPD com indicação da repartição de responsabilidades. Para responsáveis estabelecidos fora da União Europeia mas que tratem dados de titulares localizados na UE (artigo 3.º nº 2 RGPD), identificação do representante na União nos termos do artigo 27.º.
Identificação do Encarregado de Proteção de Dados (DPO/EPD). Nome e contactos directos (email, telefone). A designação é obrigatória nos casos previstos no artigo 37.º nº 1 do RGPD: entidades públicas (alínea a); entidades cujas operações principais consistam em monitorização sistemática em larga escala de titulares (alínea b); entidades cujas operações principais consistam em tratamento em larga escala de categorias especiais de dados ou de dados de condenações penais (alínea c). Em outros casos, a designação é facultativa mas crescentemente recomendada por boas práticas.
Finalidades e base de licitude do tratamento. Descrição precisa de cada finalidade (gestão de conta de cliente; processamento de encomendas; comunicações de marketing; recrutamento e selecção; cumprimento de obrigações legais; prevenção de fraude; videovigilância) e indicação da base de licitude correspondente nos termos do artigo 6.º do RGPD: alínea a) consentimento; alínea b) execução de contrato ou diligências pré-contratuais; alínea c) cumprimento de obrigação legal; alínea d) defesa de interesses vitais; alínea e) interesse público; alínea f) interesse legítimo do responsável (com indicação dos interesses concretos prosseguidos). Para dados sensíveis do artigo 9.º, base reforçada (consentimento explícito, fins de medicina, interesse público importante, etc.).
Categorias de dados pessoais tratados. Enumeração específica das categorias: dados de identificação (nome, data de nascimento, número de identificação, fotografia); dados de contacto (email, telefone, morada); dados profissionais (posto de trabalho, empregador); dados de transacção (histórico de compras, dados de pagamento, IBAN, número de cartão); dados de navegação (endereço IP, cookies, dispositivos, geolocalização); dados de comunicação (correspondência, gravação de chamadas, mensagens em chat); dados sensíveis quando aplicável (saúde, biometria, origem racial, opiniões políticas).
Destinatários ou categorias de destinatários dos dados. Identificação das entidades com quem os dados são partilhados: prestadores de serviços (alojamento web, processamento de pagamentos, marketing automation, customer service, contabilidade); autoridades públicas (Autoridade Tributária, Segurança Social, autoridades judiciárias mediante ordem); empresas do grupo; parceiros comerciais com finalidades específicas. Para subcontratantes nos termos do artigo 28.º do RGPD, indicação clara do regime contratual aplicável.
Transferências para países terceiros (fora do Espaço Económico Europeu). Identificação dos países de destino, garantias aplicáveis (decisão de adequação da Comissão Europeia nos termos do artigo 45.º; cláusulas contratuais-tipo nos termos do artigo 46.º; regras vinculativas para empresas — BCR — nos termos do artigo 47.º; derrogações específicas nos termos do artigo 49.º). Após a decisão Schrems II (TJUE, processo C-311/18) que invalidou o Privacy Shield UE-EUA, as transferências para os Estados Unidos exigem cautelas acrescidas — enquadradas a partir de 2023 pela nova Estrutura UE-EUA de Privacidade dos Dados (EU-U.S. Data Privacy Framework).
Prazo de conservação ou critérios para determinação. Indicação clara do tempo durante o qual cada categoria de dados é conservada — para dados contratuais, habitualmente 10 anos após cessação para cumprimento das obrigações fiscais do artigo 123.º do CIRC e do artigo 52.º do CIVA; para dados de candidatura não admitidos, habitualmente 6 meses a 1 ano salvo consentimento para conservação prolongada; para cookies analíticos, habitualmente 12 a 24 meses; para dados de marketing, até retirada do consentimento.
Direitos dos titulares. Enumeração e descrição clara dos direitos consagrados nos artigos 15.º a 22.º do RGPD: direito de acesso (artigo 15.º); direito de rectificação (artigo 16.º); direito ao apagamento ("direito a ser esquecido", artigo 17.º); direito à limitação do tratamento (artigo 18.º); direito de portabilidade dos dados (artigo 20.º); direito de oposição (artigo 21.º); direito de não estar sujeito a decisões individuais automatizadas, incluindo profiling (artigo 22.º); direito de retirar o consentimento a qualquer momento (artigo 7.º nº 3); direito de apresentar reclamação à autoridade de controlo competente — em Portugal, a CNPD.
Procedimento para exercício dos direitos. Indicação do canal preferencial (email dedicado, formulário online, morada postal), prazo de resposta (1 mês prorrogável por mais 2 meses em casos complexos, nos termos do artigo 12.º nº 3), elementos a fornecer pelo titular para identificação (cópia de documento de identificação quando justificado), gratuitidade da resposta (salvo pedidos manifestamente infundados ou excessivos).
Medidas de segurança. Descrição das medidas técnicas e organizativas implementadas nos termos do artigo 32.º do RGPD: encriptação em trânsito (TLS) e em repouso, controlo de acessos por perfil, autenticação multifactor para acesso administrativo, registo de auditoria das operações sensíveis, gestão de vulnerabilidades, formação de colaboradores, política de mesa limpa, separação de ambientes de produção e teste, plano de resposta a incidentes, avaliação periódica das medidas. Para categorias especiais, medidas reforçadas (anonimização, pseudonimização, segregação física dos sistemas).
Notificação de violações de dados. Compromisso de notificação à CNPD em 72 horas após o conhecimento da violação, nos termos do artigo 33.º do RGPD, e comunicação ao titular dos dados em casos de risco elevado nos termos do artigo 34.º.
Cookies e tecnologias similares. Quando aplicável, integração ou referência à Política de Cookies específica, com identificação das categorias de cookies (estritamente necessários, funcionais, analíticos, marketing, redes sociais), base de licitude (necessidade ou consentimento), prazo de conservação e modalidades de gestão pelo utilizador. O regime aplicável é o do artigo 5.º nº 3 da Diretiva ePrivacy 2002/58/CE e do artigo 6.º da Lei nº 41/2004.
A forms-legal.com disponibiliza este modelo de Política de Privacidade RGPD em Portugal como base para conformidade com o RGPD e a Lei nº 58/2019; a redacção final, especialmente em sectores com regime acrescido (saúde, banca, seguros, telecomunicações, educação, sector público), deve ser revista por advogado inscrito na Ordem dos Advogados especializado em proteção de dados ou por DPO designado para o efeito. Documentos relacionados disponíveis no nosso catálogo: Acordo de Confidencialidade Empresarial (NDA para protecção de informação sensível em relações empresariais) e Código de Conduta da Empresa (políticas internas de comportamento aplicáveis aos colaboradores).
How to Fill Out Your Privacy Policy GDPR Portugal (Política de Privacidade RGPD)
O preenchimento da Política de Privacidade (RGPD) em Portugal segue uma sequência prática que assegura a conformidade com os artigos 12.º a 14.º do Regulamento Geral sobre a Proteção de Dados, a Lei nº 58/2019 e as Orientações da CNPD e do Comité Europeu para a Proteção de Dados (CEPD/EDPB).
Primeiro passo: mapeamento das actividades de tratamento. Antes da redacção da Política, identifique todas as actividades de tratamento de dados pessoais realizadas pela entidade — recolha de dados de clientes, gestão de candidaturas a emprego, sistema de videovigilância, marketing por email, cookies do site, programa de fidelização, sistema de CRM, processamento de pagamentos, relação com fornecedores. Documente cada actividade no Registo das Actividades de Tratamento exigido pelo artigo 30.º do RGPD para entidades com mais de 250 colaboradores ou que processem categorias especiais de dados.
Segundo passo: identificação rigorosa do responsável. Indique a denominação legal completa, NIF/NIPC, sede registada e contactos institucionais. Para grupos empresariais com co-responsabilidade nos termos do artigo 26.º do RGPD, identifique todos os responsáveis e a divisão de competências. Para responsáveis fora da UE com tratamento dirigido ao mercado europeu (artigo 3.º nº 2), identifique o representante na União designado nos termos do artigo 27.º.
Terceiro passo: designação e identificação do EPD. Avalie se a entidade está obrigada a designar Encarregado de Proteção de Dados nos termos do artigo 37.º nº 1 do RGPD (entidades públicas, monitorização sistemática em larga escala, tratamento em larga escala de dados sensíveis ou penais). Em caso afirmativo, identifique o EPD designado com nome e contactos directos. A designação é comunicada à CNPD através do Portal da CNPD.
Quarto passo: descrição das categorias de dados. Enumere todas as categorias tratadas, agrupando por finalidade quando útil — dados de identificação (nome, NIF, data de nascimento), dados de contacto (email, telefone, morada), dados profissionais, dados de transacção, dados de navegação (IP, cookies, geolocalização). Identifique especificamente o tratamento de categorias especiais (saúde, biometria, origem racial, opiniões políticas) e justifique a base de licitude reforçada do artigo 9.º.
Quinto passo: identificação das finalidades e bases de licitude. Para cada finalidade, identifique a correspondente base de licitude do artigo 6.º do RGPD: execução de contrato (alínea b) para tratamentos necessários à prestação do serviço; cumprimento de obrigação legal (alínea c) para facturação, fiscalidade, segurança social; consentimento (alínea a) para marketing electrónico, cookies não essenciais, programas de fidelização; interesse legítimo (alínea f) para prevenção de fraude, segurança da rede, marketing directo a clientes existentes — com indicação dos interesses concretos prosseguidos e do exercício de ponderação realizado. Para dados sensíveis, base reforçada do artigo 9.º.
Sexto passo: identificação dos destinatários. Liste as entidades com quem os dados são partilhados: prestadores de serviços (alojamento web, marketing automation, processamento de pagamentos, contabilidade) — com indicação da existência de contrato de subcontratação ao abrigo do artigo 28.º do RGPD; autoridades públicas (AT, Segurança Social, autoridades judiciárias); empresas do grupo; parceiros comerciais. A transparência sobre destinatários reforça a confiança do titular.
Sétimo passo: transferências internacionais. Identifique transferências para países terceiros (fora do Espaço Económico Europeu). Para cada destino, identifique a base legal: decisão de adequação da Comissão Europeia (Reino Unido, Andorra, Argentina, Canadá comercial, Faroé, Guernsey, Israel, Ilha de Man, Japão, Jersey, Nova Zelândia, Coreia do Sul, Suíça, Uruguai, EUA com Data Privacy Framework); cláusulas contratuais-tipo do artigo 46.º; BCR para grupos multinacionais; derrogações do artigo 49.º para casos pontuais.
Oitavo passo: prazos de conservação. Para cada categoria de dados e finalidade, indique o prazo de conservação ou os critérios para o determinar. Justifique pela legislação aplicável (10 anos para documentos contabilísticos por IRC e IVA; 5 anos para dados de candidatos a emprego não admitidos por boas práticas; até retirada do consentimento para marketing). Após o prazo, os dados devem ser eliminados ou anonimizados.
Nono passo: descrição dos direitos e dos canais de exercício. Enumere os direitos do titular dos artigos 15.º a 22.º do RGPD com linguagem simples ("pode pedir-nos uma cópia dos seus dados; pode corrigi-los; pode apagá-los nas condições legais"). Indique o canal preferencial de exercício (email dedicado, formulário online), o prazo de resposta de 1 mês prorrogável, a gratuitidade salvo abuso, e o direito de apresentar reclamação à CNPD com indicação da morada e site.
Décimo passo: medidas de segurança e cookies. Descreva as principais medidas técnicas e organizativas (encriptação TLS, controlo de acessos, registo de auditoria, formação). Para sites e aplicações, integre ou linke a Política de Cookies específica com classificação por categorias (necessários, funcionais, analíticos, marketing) e mecanismos de gestão pelo utilizador. Publique a Política no rodapé do site com link permanente, datada e versionada para registo das alterações.
Legal Requirements for Privacy Policy GDPR Portugal (Política de Privacidade RGPD)
Os requisitos legais da Política de Privacidade em Portugal resultam do Regulamento (UE) 2016/679 (RGPD), da Lei nº 58/2019 de 8 de agosto que o executa, da Lei nº 41/2004 sobre proteção de dados nas comunicações electrónicas (transposição da Directiva ePrivacy), do Decreto-Lei nº 7/2004 sobre comércio electrónico, da Lei de Defesa do Consumidor (Lei nº 24/96), e das Orientações da Comissão Nacional de Proteção de Dados (CNPD) e do Comité Europeu para a Proteção de Dados (CEPD/EDPB).
Âmbito de aplicação. O RGPD aplica-se nos termos do artigo 3.º a: (a) tratamentos efectuados no contexto das actividades de um estabelecimento de um responsável ou subcontratante na União Europeia; (b) tratamentos por responsável ou subcontratante não estabelecidos na UE, quando relacionados com oferta de bens ou serviços a titulares na UE ou com monitorização do comportamento de titulares na UE. Esta extraterritorialidade obriga sites de e-commerce internacionais a cumprir o RGPD para clientes europeus.
Princípios fundamentais. O artigo 5.º do RGPD consagra os princípios estruturantes: licitude, lealdade e transparência (alínea a); limitação das finalidades (alínea b — os dados só podem ser tratados para finalidades determinadas, explícitas e legítimas); minimização dos dados (alínea c — apenas dados adequados, pertinentes e limitados ao necessário); exactidão (alínea d); limitação da conservação (alínea e); integridade e confidencialidade (alínea f); responsabilidade (artigo 5.º nº 2 — accountability, princípio que exige demonstração da conformidade pelo responsável).
Menções obrigatórias na Política. Os artigos 13.º (dados recolhidos do titular) e 14.º (dados obtidos de terceiros) enumeram exaustivamente as menções obrigatórias: identidade e contactos do responsável e do EPD; finalidades e base jurídica; interesses legítimos quando aplicável; destinatários ou categorias; transferências internacionais e respectivas garantias; prazo de conservação; direitos do titular; direito de retirar o consentimento e de apresentar reclamação à CNPD; obrigatoriedade ou não da prestação dos dados e consequências; existência de decisões automatizadas e profiling; proveniência dos dados quando aplicável.
Clareza e acessibilidade. O artigo 12.º nº 1 do RGPD impõe que as informações sejam fornecidas "de forma concisa, transparente, inteligível e facilmente acessível, em linguagem clara e simples, em particular quando as informações sejam dirigidas especificamente a crianças". A CNPD tem aplicado coimas a entidades cujas Políticas usem linguagem técnica excessiva, parágrafos longos ou estrutura confusa. A boa prática inclui sumário executivo no topo, divisão por secções claras, glossário de termos técnicos, formato em camadas (layered notices) com informação resumida e link para versão completa.
Consentimento. Quando a base de licitude seja o consentimento, o artigo 7.º do RGPD impõe condições estritas: deve ser livre, específico, informado e inequívoco, manifestado por declaração ou acto positivo claro; o responsável deve poder demonstrar o consentimento; o titular tem direito a retirá-lo a qualquer momento sem afectar a licitude do tratamento anterior; pode ser exigido para finalidades específicas separadas. As caixas pré-marcadas, o silêncio ou a inacção não constituem consentimento válido (acórdão Planet49 do TJUE, C-673/17).
Dirireitos dos titulares. Os artigos 15.º a 22.º do RGPD consagram um catálogo amplo de direitos: acesso (artigo 15.º — cópia dos dados, finalidades, destinatários, prazo, direitos); rectificação (artigo 16.º — correcção de dados inexactos); apagamento (artigo 17.º — "direito a ser esquecido" em casos legalmente previstos); limitação do tratamento (artigo 18.º — bloqueio temporário); portabilidade (artigo 20.º — recepção em formato estruturado, comum e legível por máquina); oposição (artigo 21.º — para tratamentos baseados em interesse legítimo, marketing directo, investigação científica); não sujeição a decisões automatizadas (artigo 22.º — incluindo profiling com efeitos jurídicos significativos). O responsável deve dar resposta no prazo de 1 mês prorrogável por 2 meses em casos complexos.
Notificação de violações de dados. O artigo 33.º do RGPD impõe ao responsável a notificação de qualquer violação de dados pessoais à CNPD em 72 horas após o conhecimento, salvo se for improvável que a violação resulte em risco para os direitos e liberdades dos titulares. O artigo 34.º exige comunicação ao titular dos dados quando a violação seja susceptível de implicar elevado risco. A não notificação dentro do prazo é causa autónoma de coima.
Encarregado de Proteção de Dados (EPD/DPO). Designação obrigatória nos casos do artigo 37.º nº 1 do RGPD (entidades públicas, monitorização sistemática em larga escala, tratamento em larga escala de categorias especiais ou de dados penais). Funções enumeradas no artigo 39.º — informar, monitorizar a conformidade, dar parecer sobre avaliação de impacto, cooperar com a CNPD. O EPD deve ser independente, com recursos adequados, sem conflitos de interesse.
Avaliação de impacto sobre a proteção de dados (AIPD/DPIA). O artigo 35.º do RGPD impõe a realização de AIPD para tratamentos susceptíveis de implicar elevado risco — uso de novas tecnologias, profiling, monitorização sistemática de áreas acessíveis ao público, tratamento em larga escala de categorias especiais. A CNPD publicou lista de tratamentos sujeitos a AIPD obrigatória.
Coimas administrativas. O artigo 83.º do RGPD prevê dois patamares: até 10 milhões € ou 2% do volume de negócios anual mundial (o que for superior) para violações menos graves; até 20 milhões € ou 4% do volume de negócios anual mundial para violações mais graves (princípios fundamentais, condições do consentimento, direitos dos titulares, transferências internacionais ilícitas).
Responsabilidade civil. O artigo 82.º do RGPD confere ao titular dos dados direito a indemnização por danos materiais e imateriais resultantes da violação do regime, com responsabilidade solidária do responsável e do subcontratante. As acções correm no Juízo Local Cível ou na Secção Cível Central do Tribunal Judicial da Comarca.
Common Mistakes to Avoid in Your Privacy Policy GDPR Portugal (Política de Privacidade RGPD)
Os erros mais frequentes na elaboração e aplicação da Política de Privacidade em Portugal podem comprometer a conformidade com o Regulamento (UE) 2016/679 e expor a entidade a coimas administrativas pela Comissão Nacional de Proteção de Dados que podem atingir 20 milhões de euros ou 4% do volume de negócios anual mundial nos termos do Artigo 83.º do Regulamento (UE) 2016/679.
Enquadramento institucional. A Comissão Nacional de Proteção de Dados (CNPD), entidade administrativa independente prevista nos Artigos 4.º e seguintes da Lei nº 58/2019 de 8 de Agosto, fiscaliza o cumprimento do Regulamento (UE) 2016/679 em Portugal ao abrigo do Artigo 51.º do RGPD. O Comité Europeu para a Proteção de Dados (EDPB — European Data Protection Board), criado pelo Artigo 68.º do Regulamento (UE) 2016/679, emite orientações vinculativas aplicáveis em todos os Estados-Membros da União Europeia. O Tribunal de Justiça da União Europeia interpretou o Regulamento (UE) 2016/679 em processos emblemáticos como Google Spain SL (C-131/12), Schrems II (C-311/18) e Planet49 (C-673/17). O Tribunal Administrativo e Fiscal de Lisboa é o foro competente para recursos contra decisões da Comissão Nacional de Proteção de Dados nos termos do Código de Processo nos Tribunais Administrativos (Lei nº 15/2002). A Autoridade Nacional de Comunicações (ANACOM) fiscaliza o cumprimento da Lei nº 41/2004 de 18 de Agosto sobre protecção de dados nas comunicações electrónicas. A Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF) aplica regras específicas de protecção de dados no sector segurador. O Banco de Portugal e a Autoridade Bancária Europeia (EBA) emitem orientações de conformidade com o Regulamento (UE) 2016/679 no sector bancário. A Direção-Geral da Administração e do Emprego Público (DGAEP) coordena a aplicação do RGPD nas entidades da Administração Pública portuguesa. O Instituto dos Registos e do Notariado (IRN) supervisiona os Encarregados de Proteção de Dados certificados nos termos do Artigo 37.º do Regulamento (UE) 2016/679. A Comissão Nacional de Proteção de Dados publicou orientações sobre o Registo das Actividades de Tratamento exigido pelo Artigo 30.º do Regulamento (UE) 2016/679 e sobre as Avaliações de Impacto sobre a Proteção de Dados previstas no Artigo 35.º do mesmo Regulamento. A Direção-Geral da Justiça coordena a publicação de decisões da Comissão Nacional de Proteção de Dados no Diário da República ao abrigo da Lei nº 43/2004 de 18 de Agosto.
Política genérica copiada de outras entidades. O recurso a Políticas de Privacidade copiadas de outras empresas, sem adaptação à realidade específica da entidade — actividades de tratamento, finalidades, destinatários, prazos —, viola o princípio da transparência do artigo 5.º do RGPD e expõe a entidade a coimas. A solução é elaborar Política específica baseada no Registo das Actividades de Tratamento próprio nos termos do artigo 30.º.
Linguagem técnica excessiva. Políticas redigidas em linguagem jurídica densa, com referências legais sem explicação, parágrafos longos e estrutura confusa, violam a exigência de clareza do artigo 12.º nº 1 do RGPD. A CNPD tem aplicado coimas a entidades cuja Política seja inacessível para o cidadão médio. A solução é usar linguagem clara e simples, com sumário executivo, secções breves, glossário de termos técnicos, e formato em camadas (layered notices) com informação resumida e detalhada.
Consentimento mal recolhido. A utilização de caixas pré-marcadas para consentimento de marketing, cookies não essenciais, programas de fidelização, viola o artigo 7.º do RGPD e o acórdão Planet49 do TJUE (C-673/17). O consentimento deve ser livre, específico, informado e inequívoco, manifestado por acto positivo claro. A solução é implementar mecanismos de opt-in expresso (caixas vazias que o utilizador marque activamente), separar finalidades distintas (consentimento individual para cada finalidade), e disponibilizar mecanismo simples de retirada.
Falta de base de licitude clara. A invocação genérica de "consentimento" para tratamentos que tenham outra base mais adequada (execução do contrato, cumprimento de obrigação legal, interesse legítimo), ou a invocação de "interesse legítimo" sem demonstração da ponderação realizada, geram não conformidade. A solução é identificar para cada finalidade a base mais adequada do artigo 6.º do RGPD e documentar a justificação.
Omissão da identificação do EPD quando obrigatória. Entidades obrigadas a designar Encarregado de Proteção de Dados nos termos do artigo 37.º nº 1 do RGPD (entidades públicas, monitorização sistemática, tratamento em larga escala de categorias especiais ou de dados penais) que não o façam ou não publiquem os contactos do EPD na Política violam obrigação directa do RGPD. A solução é designar o EPD, comunicar à CNPD, e identificar nome e contactos directos na Política.
Descrição vaga das transferências internacionais. A indicação genérica "podemos transferir os seus dados para fora da União Europeia" sem identificação dos países, das garantias aplicáveis e das categorias de dados envolvidas, viola o artigo 13.º nº 1 alínea f) do RGPD. Após o acórdão Schrems II do TJUE (C-311/18), as transferências para os EUA exigem cautelas reforçadas — identificação do destinatário, base legal específica (Cláusulas Contratuais-Tipo, EU-U.S. Data Privacy Framework), avaliação suplementar de risco. A solução é mapear todas as transferências, identificar destinos e garantias, e documentar a avaliação.
Prazos de conservação ausentes ou genéricos. A indicação "conservaremos os seus dados pelo tempo necessário" sem especificação do prazo ou critérios viola o princípio da limitação da conservação do artigo 5.º nº 1 alínea e) do RGPD. A solução é fixar prazos específicos para cada categoria, baseados em obrigação legal (10 anos para documentos contabilísticos do artigo 123.º do CIRC), em prescrição de direitos (3 a 20 anos para acções), em vigência do consentimento (até retirada para marketing), ou em proporcionalidade ao risco.
Não tratamento da videovigilância e do contexto laboral. As entidades com sistemas de videovigilância nas instalações ou que tratem dados de colaboradores estão sujeitas a regimes acrescidos do artigo 28.º (contexto laboral) e do artigo 31.º (videovigilância) da Lei nº 58/2019. A omissão de informação específica sobre estes tratamentos na Política expõe a entidade a coimas e, em sede laboral, a contestação pelos colaboradores ou pelos sindicatos. A solução é incluir secção específica para cada tratamento com finalidade, base legal, conservação e direitos dos colaboradores e visitantes.
Falta de procedimento para violações de dados. A ausência de plano interno de resposta a incidentes (data breach response plan) compromete o cumprimento do prazo de 72 horas para notificação à CNPD nos termos do artigo 33.º do RGPD. A solução é documentar processo claro com responsáveis, canais de comunicação, modelos de notificação e exercícios periódicos de simulação.
Política desactualizada. A não revisão periódica da Política em face de mudanças nas actividades de tratamento, na legislação aplicável (entrada em vigor de novos diplomas como o futuro Regulamento ePrivacy) ou na jurisprudência (acórdãos do TJUE) gera não conformidade progressiva. A solução é estabelecer revisão anual obrigatória, comunicar versões aos titulares quando relevante, e indicar a data da última actualização.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Privacy Policy GDPR Portugal (Política de Privacidade RGPD) (Portugal) [Legal document template]. Forms Legal. https://forms-legal.com/portugal/business/policies/privacy-policy-gdpr-portugal
"Privacy Policy GDPR Portugal (Política de Privacidade RGPD) (Portugal)." Forms Legal, 2026, https://forms-legal.com/portugal/business/policies/privacy-policy-gdpr-portugal.
@misc{formslegal-privacy-policy-gdpr-portugal,
author = {{Forms Legal}},
title = {Privacy Policy GDPR Portugal (Política de Privacidade RGPD) (Portugal)},
year = {2026},
howpublished = {\url{https://forms-legal.com/portugal/business/policies/privacy-policy-gdpr-portugal}},
note = {Free legal document template}
}Frequently Asked Questions
Sim. Qualquer entidade — pessoa coletiva ou empresário em nome individual — que opere site, aplicação ou plataforma digital que recolha dados pessoais de utilizadores está obrigada a publicar Política de Privacidade nos termos dos artigos 12.º e 13.º do Regulamento (UE) 2016/679 (RGPD). A obrigação aplica-se mesmo a sites institucionais simples, sem comércio electrónico, desde que recolham qualquer dado pessoal — formulário de contacto que pede nome e email, subscrição de newsletter, comentários em blog com identificação, registo de conta, sistema de cookies analíticos não estritamente necessários (Google Analytics, por exemplo). A obrigação aplica-se também a sites de entidades não estabelecidas em Portugal mas que dirijam serviços ao mercado português ou monitorizem o comportamento de utilizadores em Portugal nos termos do artigo 3.º nº 2 do RGPD. A Política deve estar acessível de forma permanente em todas as páginas do site, habitualmente através de link no rodapé com a designação "Política de Privacidade" ou "Privacidade". O conteúdo mínimo está fixado no artigo 13.º do RGPD: identificação do responsável pelo tratamento e do Encarregado de Proteção de Dados (quando aplicável); finalidades e base de licitude do tratamento; destinatários dos dados; transferências internacionais; prazo de conservação; direitos do titular; canal para exercício dos direitos; direito de apresentar reclamação à Comissão Nacional de Proteção de Dados (CNPD). A omissão da Política ou a sua redacção em termos não conformes pode gerar coimas administrativas até 10 milhões de euros ou 2% do volume de negócios anual mundial nos termos do artigo 83.º nº 4 do RGPD. A CNPD tem aplicado coimas regulares por incumprimento desta obrigação básica.
A Política de Privacidade deve enumerar e descrever todos os direitos consagrados nos artigos 15.º a 22.º do Regulamento (UE) 2016/679 (RGPD), em linguagem clara e acessível ao titular dos dados. Os direitos a mencionar são: (a) Direito de acesso (artigo 15.º RGPD) — o titular pode obter do responsável pelo tratamento confirmação de que os seus dados estão a ser tratados, cópia dos dados, e informação sobre finalidades, categorias de dados, destinatários, prazo de conservação e direitos disponíveis. (b) Direito de rectificação (artigo 16.º) — o titular pode pedir a correcção de dados inexactos ou completar dados incompletos. (c) Direito ao apagamento, comummente designado por "direito a ser esquecido" (artigo 17.º) — o titular pode pedir o apagamento dos dados nas situações previstas, designadamente quando a finalidade tenha cessado, quando retire o consentimento sem outra base aplicável, quando se oponha ao tratamento, quando os dados tenham sido tratados ilicitamente, ou para cumprimento de obrigação legal. (d) Direito à limitação do tratamento (artigo 18.º) — bloqueio temporário em casos específicos. (e) Direito de portabilidade (artigo 20.º) — recepção dos dados pessoais que forneceu ao responsável em formato estruturado, comum e legível por máquina, com possibilidade de transmissão a outro responsável. (f) Direito de oposição (artigo 21.º) — particularmente forte para tratamento baseado em interesse legítimo, marketing directo (oposição absoluta) e investigação científica. (g) Direito de não sujeição a decisões individuais automatizadas, incluindo profiling, com efeitos jurídicos ou significativos (artigo 22.º) — salvo exceções previstas. (h) Direito de retirar o consentimento a qualquer momento (artigo 7.º nº 3), sem afectar a licitude do tratamento anterior. (i) Direito de apresentar reclamação à autoridade de controlo competente — em Portugal, a CNPD (Comissão Nacional de Proteção de Dados; Av. D. Carlos I, 134, 1.º, 1200-651 Lisboa; [email protected]; www.cnpd.pt). A Política deve indicar canal preferencial para exercício dos direitos (email dedicado, formulário online), prazo de resposta de 1 mês prorrogável por 2 meses em casos complexos nos termos do artigo 12.º nº 3 do RGPD, e a gratuitidade da resposta salvo pedidos manifestamente infundados ou excessivos.
A designação de Encarregado de Proteção de Dados (EPD ou DPO — Data Protection Officer) é obrigatória nos casos enumerados taxativamente no artigo 37.º nº 1 do Regulamento (UE) 2016/679 (RGPD): (a) entidades públicas — Câmaras Municipais, Juntas de Freguesia, ministérios, institutos públicos, empresas públicas, hospitais do Serviço Nacional de Saúde, escolas e universidades públicas, fundações públicas — com excepção dos tribunais no exercício da sua função jurisdicional; (b) entidades cujas operações principais consistam em operações de tratamento que, em virtude da sua natureza, âmbito ou finalidade, exijam controlo regular e sistemático dos titulares dos dados em larga escala — exemplos típicos incluem operadoras de telecomunicações que monitorizam padrões de utilização, empresas de marketing comportamental, empresas de geolocalização, sociedades de cibersegurança, redes sociais; (c) entidades cujas operações principais consistam em operações de tratamento em larga escala de categorias especiais de dados pessoais (artigo 9.º — saúde, biometria, opiniões políticas, religiosas, sindicais, vida sexual) ou de dados pessoais relacionados com condenações penais e infrações (artigo 10.º) — exemplos típicos incluem hospitais, laboratórios clínicos, seguradoras de saúde, empresas de medicina do trabalho, advogados criminais, empresas de segurança privada. O artigo 12.º da Lei nº 58/2019 reforça a obrigatoriedade para entidades públicas portuguesas. A designação deve ser comunicada à CNPD através do Portal da CNPD. As funções do EPD estão enumeradas no artigo 39.º — informar e aconselhar o responsável, monitorizar a conformidade com o RGPD, dar parecer sobre Avaliações de Impacto sobre a Proteção de Dados (AIPD/DPIA), cooperar com a CNPD, ser ponto de contacto para os titulares dos dados. O EPD deve ser pessoa com conhecimentos especializados (juristas com formação em proteção de dados, informáticos com formação jurídica, profissionais com certificação reconhecida como CIPP/E, CIPM, CIPT da IAPP). Pode ser interno (colaborador) ou externo (prestador de serviços). Deve ser independente, com recursos adequados, sem conflitos de interesse — não pode acumular funções decisórias sobre os tratamentos que supervisiona. Para as entidades sem obrigação legal, a designação é facultativa mas crescentemente recomendada como boa prática de governança da privacidade.
O consentimento válido nos termos do Regulamento (UE) 2016/679 (RGPD) está sujeito a condições estritas no artigo 7.º e na definição do artigo 4.º nº 11. O consentimento deve ser: (a) Livre — o titular deve poder recusar ou retirar o consentimento sem prejuízo. Não há consentimento livre quando a recusa do consentimento condiciona a prestação do serviço ("prestação de consentimento como condição" — em regra, proibida pelo artigo 7.º nº 4), nem quando há desequilíbrio manifesto entre as partes (relação laboral, autoridade pública). (b) Específico — para cada finalidade distinta, deve haver consentimento individualizado. Não é admissível o consentimento global ("acepto todos os tratamentos"); é necessário separar finalidades (recepção de newsletter; partilha com parceiros; cookies de marketing; etc.) e permitir o consentimento individual para cada uma. (c) Informado — o titular deve ter sido informado, antes de prestar o consentimento, sobre a identidade do responsável, as finalidades, os dados envolvidos, os destinatários, as transferências internacionais, o prazo de conservação, e o direito de retirada. A informação está habitualmente integrada na Política de Privacidade ou em camada resumida no momento da recolha. (d) Inequívoco e expresso por acto positivo claro — caixas pré-marcadas, silêncio, inacção, scroll na página, navegação no site, NÃO constituem consentimento válido (acórdão Planet49 do TJUE, processo C-673/17, de 1 de outubro de 2019). É necessário acto positivo do titular: marcação activa de caixa vazia, clique em botão "Aceito", assinatura de declaração, gesto físico equivalente. Para categorias especiais de dados (saúde, biometria, opiniões políticas, etc.), o artigo 9.º nº 2 alínea a) do RGPD exige consentimento explícito — manifestação clara e inequívoca, habitualmente por escrito ou caixa específica com indicação detalhada da categoria sensível. O responsável deve poder demonstrar o consentimento (artigo 7.º nº 1) — guardar registo do momento, IP, versão da Política aceite, conteúdo do formulário. O titular tem direito a retirar o consentimento a qualquer momento, com efeito futuro mas sem afectar a licitude do tratamento anterior (artigo 7.º nº 3). A retirada deve ser tão fácil como a prestação. As coimas por consentimento mal recolhido são significativas — Google foi condenada pela CNIL francesa a 50 milhões de euros em 2019 por violação destas regras.
A ocorrência de violação de dados pessoais — qualquer incidente que afecte a confidencialidade, integridade ou disponibilidade dos dados pessoais (acesso indevido, divulgação acidental, perda, alteração não autorizada, destruição, indisponibilidade prolongada por ataque informático ou falha de sistema) — desencadeia obrigações específicas nos termos dos artigos 33.º e 34.º do Regulamento (UE) 2016/679 (RGPD). Notificação à autoridade de controlo (artigo 33.º): o responsável pelo tratamento deve notificar a violação à Comissão Nacional de Proteção de Dados (CNPD) em 72 horas após o conhecimento, sempre que essa violação seja susceptível de implicar risco para os direitos e liberdades das pessoas singulares afectadas. A notificação atrasada deve ser justificada. A notificação contém: descrição da natureza da violação, categorias e número aproximado de titulares afectados e de registos envolvidos; nome e contactos do EPD ou outro ponto de contacto; descrição das prováveis consequências; medidas adoptadas ou propostas para mitigar os efeitos. A CNPD disponibiliza formulário electrónico próprio para notificação no seu portal. Comunicação aos titulares (artigo 34.º): quando a violação seja susceptível de implicar elevado risco para os direitos e liberdades das pessoas afectadas, o responsável deve comunicar a violação ao titular sem demora injustificada, em linguagem clara e simples, com a mesma informação fornecida à CNPD. A comunicação ao titular pode ser dispensada se o responsável tiver implementado medidas de proteção apropriadas (encriptação que torne os dados ininteligíveis), tiver tomado medidas posteriores que assegurem a não materialização do elevado risco, ou se a comunicação implicar esforço desproporcionado (caso em que se utiliza comunicação pública). Documentação interna: o responsável deve documentar internamente todas as violações, mesmo as não notificadas, com factos relacionados, efeitos e medidas correctivas adoptadas — este registo é exigido pelo artigo 33.º nº 5 e pode ser inspeccionado pela CNPD. Plano de resposta a incidentes: a boa prática exige a existência prévia de plano interno de resposta com identificação de responsáveis, canais de comunicação, modelos de notificação, procedimentos forenses para investigação, exercícios periódicos de simulação. A não notificação dentro do prazo de 72 horas é causa autónoma de coima nos termos do artigo 83.º nº 4 alínea a) do RGPD, com patamar máximo de 10 milhões de euros ou 2% do volume de negócios anual mundial.
O artigo 83.º do Regulamento (UE) 2016/679 (RGPD) estabelece um regime sancionatório administrativo dual com coimas máximas particularmente elevadas, calculadas sobre o volume de negócios anual mundial das empresas — modelo inspirado no direito da concorrência da União Europeia que confere ao regime carácter dissuasor. Patamar inferior — coimas até 10.000.000 € ou, no caso de empresa, até 2% do volume de negócios anual mundial total do exercício anterior, consoante o que for superior — aplicável a violações de obrigações "de processo" ou "de gestão": obrigações dos responsáveis e subcontratantes (consentimento de criança, condições de tratamento, segurança nos termos do artigo 32.º); designação do representante para responsáveis fora da UE (artigo 27.º); manutenção do registo das actividades de tratamento (artigo 30.º); cooperação com a autoridade de controlo (artigo 31.º); notificação de violações (artigo 33.º) e comunicação aos titulares (artigo 34.º); avaliação de impacto e consulta prévia à CNPD (artigos 35.º e 36.º); designação e funcionamento do EPD (artigos 37.º a 39.º); certificações (artigo 42.º) e códigos de conduta (artigo 41.º). Patamar superior — coimas até 20.000.000 € ou, no caso de empresa, até 4% do volume de negócios anual mundial total do exercício anterior, consoante o que for superior — aplicável a violações dos princípios fundamentais do tratamento (artigo 5.º): licitude, lealdade, transparência, limitação das finalidades, minimização, exactidão, limitação da conservação, integridade e confidencialidade, accountability; condições de licitude (artigo 6.º) e condições de consentimento (artigos 7.º e 8.º); tratamento de categorias especiais de dados (artigos 9.º e 10.º); direitos dos titulares (artigos 12.º a 22.º); transferências internacionais (artigos 44.º a 49.º); incumprimento de ordens da autoridade de controlo (artigo 58.º). A CNPD aplica os critérios do artigo 83.º nº 2 do RGPD para fixação concreta da coima — natureza, gravidade e duração da infracção; carácter doloso ou negligente; medidas tomadas para mitigar os danos; grau de cooperação com a autoridade; categorias dos dados afectados; modo como a infracção foi conhecida; conformidade prévia com medidas anteriores; aderência a códigos de conduta; outros factores relevantes. Em Portugal, a CNPD tem aplicado coimas significativas — Hospital do Barreiro (400.000 € em 2018), Município de Lisboa (1.250.000 € em 2019), INE (4.300.000 € em 2021 — coima posteriormente reduzida em sede judicial). Acresce a responsabilidade civil pelos danos materiais e imateriais nos termos do artigo 82.º do RGPD, com possibilidade de acções colectivas pelas associações de consumidores como a DECO.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Acordo de Confidencialidade Empresarial em Portugal (NDA)
Acordo de Confidencialidade Empresarial (NDA) para Portugal — regulado pelo Código Civil (DL 47 344/66) artigo 227.º e 405.º, pelo Código da Propriedade Industrial (DL 110/2018) artigos 313.º a 320.º para tutela do segredo comercial, e pelo RGPD com a Lei nº 58/2019 quando esteja em causa o tratamento de dados pessoais.
Código de Conduta Empresarial em Portugal
Código de Conduta Empresarial em Portugal — redigido ao abrigo do Regime Geral de Prevenção da Corrupção (Decreto-Lei nº 109-E/2021), do Código do Trabalho, do regime de proteção de denunciantes (Lei nº 93/2021) e do Código das Sociedades Comerciais.