Parental Consent for Processing Personal Data of Minors (Portugal)

O Consentimento Parental para Tratamento de Dados Pessoais de Menores é o documento pessoal usado em Portugal nos termos de Regulamento (UE) 2016/679 (RGPD) artigo 8.º.

A exigência de consentimento parental decorre da menor capacidade da criança para compreender plenamente as consequências do tratamento dos seus dados pessoais, em especial no contexto de serviços da sociedade da informação como redes sociais, plataformas de aprendizagem online, jogos digitais, aplicações móveis ou serviços de mensagens. O legislador português, ao transpor a faculdade de redução de idade prevista no artigo 8.º n.º 1 do RGPD, fixou o limiar etário em 13 anos — abaixo da idade-padrão de 16 anos prevista no Regulamento mas acima do mínimo absoluto de 13 anos permitido aos Estados-Membros. Esta opção, plasmada no artigo 16.º n.º 1 da Lei n.º 58/2019, alinha Portugal com a maioria dos Estados-Membros que reduziram o limiar.

O consentimento parental tem natureza jurídica autónoma face à figura geral do consentimento do titular dos dados regulada nos artigos 4.º n.º 11 e 7.º do RGPD. Mantém-se a exigência cumulativa de que o consentimento seja livre, específico, informado e inequívoco, manifestado por declaração ou ato positivo claro. Acresce, contudo, a obrigação adicional do responsável pelo tratamento de envidar esforços razoáveis para verificar a titularidade efetiva das responsabilidades parentais, atendendo à tecnologia disponível. Esta verificação não é uma formalidade banal — a Comissão Nacional de Proteção de Dados (CNPD), enquanto autoridade de controlo nacional ao abrigo do artigo 51.º do RGPD, tem aplicado coimas elevadas em casos de tratamento de dados de menores sem comprovação adequada da autorização parental.

O consentimento parental abrange tipicamente categorias variadas de dados, desde dados de identificação e contacto (nome, data de nascimento, fotografia, morada, NIF), dados escolares e de avaliação, dados de saúde quando relevantes para a prestação do serviço, dados de geolocalização nas plataformas que o exijam, dados biométricos em sistemas de controlo de presenças, e conteúdos gerados pela criança em ambiente digital. Cada categoria reforça o dever de minimização do artigo 5.º n.º 1 alínea c) do RGPD, segundo o qual apenas devem ser tratados os dados estritamente necessários para a finalidade declarada. A exigência de informação prévia decorre dos artigos 13.º e 14.º do RGPD: o responsável pelo tratamento deve fornecer aos titulares das responsabilidades parentais a identidade e contactos do responsável e do encarregado de proteção de dados, as finalidades e bases jurídicas do tratamento, os destinatários ou categorias de destinatários, eventuais transferências internacionais, o prazo de conservação, os direitos do titular e o direito a reclamar junto da CNPD.

O regime sancionatório associado ao incumprimento é particularmente exigente. O artigo 83.º n.º 5 do RGPD prevê coimas administrativas até 20 milhões de euros ou 4% do volume de negócios anual mundial total do exercício financeiro anterior, consoante o que for superior, para violação dos princípios básicos do tratamento, incluindo o consentimento. A Lei n.º 58/2019 acrescenta, no seu artigo 39.º, que o tratamento ilícito de dados de menores constitui contraordenação muito grave. A jurisprudência do Tribunal Central Administrativo Sul tem confirmado a aplicação rigorosa destas coimas, e o Tribunal de Justiça da União Europeia, em decisões como o acórdão Planet49 (C-673/17), reforçou a exigência de consentimento manifestado por ato positivo claro, excluindo formas tácitas como caixas pré-marcadas ou presunção de consentimento por inação. O presente Consentimento Parental para Tratamento de Dados Pessoais de Menores em Portugal opera em estreita articulação com a Lei n.º 147/99 de proteção de crianças e jovens em perigo, com a Convenção das Nações Unidas sobre os Direitos da Criança e com a Carta dos Direitos Fundamentais da União Europeia, cujo artigo 24.º consagra a proteção e os cuidados necessários ao bem-estar da criança.

O Consentimento Parental para Tratamento de Dados Pessoais de Menores em Portugal torna-se exigível em todas as situações em que um responsável pelo tratamento pretenda recolher, registar, conservar, consultar, utilizar, divulgar, apagar ou destruir dados pessoais de criança com idade inferior a 13 anos com base no fundamento de licitude do consentimento previsto no artigo 6.º n.º 1 alínea a) do Regulamento (UE) 2016/679 (RGPD).

Serviços da sociedade da informação dirigidos a crianças constituem o domínio paradigmático. Plataformas de redes sociais como Instagram, TikTok, Snapchat ou WhatsApp aplicam o limiar etário de 13 anos definido pelo artigo 16.º da Lei n.º 58/2019 para utilizadores residentes em Portugal. Aplicações de mensagens, jogos online, plataformas educativas como Khan Academy ou Duolingo, serviços de streaming dirigidos a público infantojuvenil e aplicações de saúde digital exigem consentimento parental documentado antes da criação de conta, da recolha de dados de utilização ou da disponibilização de funcionalidades sociais. Os termos contratuais destes serviços remetem expressamente para o artigo 8.º do RGPD e para a respetiva execução nacional.

Estabelecimentos de ensino do ensino básico e do pré-escolar — agrupamentos de escolas públicos sob a tutela do Ministério da Educação, colégios privados, jardins-de-infância e instituições particulares de solidariedade social (IPSS) com valência de creche — necessitam de consentimento parental para o tratamento de dados que excedam as finalidades estritamente necessárias à execução do dever legal de escolarização. Inclui-se neste perímetro a captação de fotografias e vídeos para divulgação no website ou redes sociais da escola, a partilha de dados com plataformas educativas externas, a participação em projetos de investigação, a recolha de dados biométricos para controlo de acessos ou de cantina, e a divulgação de resultados em quadros de honra públicos. As Direções-Gerais dos Estabelecimentos Escolares (DGEstE) emitiram orientações específicas alinhadas com o parecer 1/2017 da CNPD sobre tratamento de dados em contexto escolar.

Serviços de saúde dirigidos a menores — clínicas pediátricas, gabinetes de psicologia infantil, centros de medicina dentária, hospitais privados, laboratórios de análises clínicas — exigem consentimento parental documentado para tratamentos que ultrapassem o âmbito da prestação de cuidados de saúde estritamente necessária ou da execução de contrato com o Serviço Nacional de Saúde. A Lei n.º 12/2005 de 26 de Janeiro sobre informação genética e informação de saúde reforça a necessidade de consentimento qualificado para dados de saúde, categoria especial nos termos do artigo 9.º do RGPD.

Atividades extracurriculares e desportivas — clubes desportivos federados, escolas de música, ATL (Atividades de Tempos Livres), campos de férias, escuteiros — recolhem regularmente dados pessoais de menores: identificação, contactos de emergência, dados de saúde relevantes para a atividade, fotografias e vídeos para divulgação institucional, dados de geolocalização em deslocações. O consentimento parental é exigido sempre que o tratamento exceda a estrita execução do contrato de inscrição.

Investigação científica que envolva menores — estudos académicos, ensaios clínicos sob a Lei n.º 21/2014 de 16 de Abril, projetos de investigação universitária — exige consentimento parental informado em conjugação com o parecer favorável da Comissão de Ética para a Investigação Clínica (CEIC) ou da comissão de ética da instituição responsável. O artigo 31.º n.º 1 alínea a) da Lei n.º 21/2014 estipula que os ensaios clínicos em menores requerem consentimento informado dado pelos representantes legais.

Marketing direto e atividades comerciais com tratamento de dados de menores — campanhas publicitárias, programas de fidelização de marcas dirigidas a público infantojuvenil, concursos com prémios — exigem consentimento parental específico e separado para cada finalidade. A CNPD e a Direção-Geral do Consumidor, ao abrigo da Lei n.º 24/96 de 31 de Julho (Lei de Defesa do Consumidor), têm reiterado a inadmissibilidade de marketing direto a menores sem autorização parental documentada e específica para essa finalidade.

Transferências internacionais de dados de menores para fora do Espaço Económico Europeu (EEE) — frequentes em plataformas digitais com servidores nos Estados Unidos, Brasil ou Reino Unido — exigem garantias adicionais ao abrigo dos artigos 44.º a 49.º do RGPD, incluindo cláusulas contratuais-tipo aprovadas pela Comissão Europeia, decisões de adequação ou regras vinculativas para empresas (BCR). O consentimento parental deve abranger expressamente a transferência internacional, com identificação dos países de destino e das garantias aplicadas.

Situações de divórcio ou separação dos titulares das responsabilidades parentais merecem atenção redobrada. Nos termos do artigo 1906.º do Código Civil, o exercício das responsabilidades parentais sobre questões de particular importância exige acordo de ambos os progenitores, salvo decisão judicial em contrário. O tratamento de dados pessoais sensíveis — dados de saúde, fotografias para publicação, dados biométricos — pode integrar essa categoria, exigindo consentimento de ambos os pais ou autorização do Tribunal de Família e Menores ao abrigo da Lei n.º 141/2015 de 8 de Setembro (Regime Geral do Processo Tutelar Cível).

Um Consentimento Parental para Tratamento de Dados Pessoais de Menores em Portugal juridicamente válido e oponível à Comissão Nacional de Proteção de Dados (CNPD) integra um conjunto de elementos estruturantes que não podem ser omitidos sob pena de invalidade ou de aplicação de coima administrativa ao abrigo do artigo 83.º do Regulamento (UE) 2016/679 (RGPD).

Identificação rigorosa do menor titular dos dados pessoais. A declaração deve incluir nome completo do menor, data de nascimento (essencial para confirmar que se aplica o limiar dos 13 anos do artigo 16.º da Lei n.º 58/2019), morada de residência habitual, número de identificação fiscal (NIF) emitido pela Autoridade Tributária e Aduaneira sempre que aplicável, número de utente do Serviço Nacional de Saúde quando o tratamento envolva dados de saúde, e número do cartão de cidadão se já emitido. O Decreto-Lei n.º 116/2019 de 21 de Agosto facilitou a obtenção do cartão de cidadão pelos menores. A precisão destes dados permite a verificação da idade, requisito fundamental para distinguir os tratamentos sujeitos a consentimento parental dos restantes.

Identificação completa dos titulares das responsabilidades parentais. Nos termos do artigo 1901.º do Código Civil, as responsabilidades parentais cabem em conjunto a ambos os progenitores. A declaração deve identificar nome completo, data de nascimento, número do cartão de cidadão com data de validade, NIF, morada e relação de parentesco com o menor (pai, mãe, tutor designado por decisão judicial, instituição de acolhimento ao abrigo da Lei n.º 147/99 de 1 de Setembro). Em caso de exercício unilateral por sentença judicial — divórcio, regulação do exercício das responsabilidades parentais, inibição parcial ou total — deve juntar-se cópia da decisão. Se o menor estiver em acolhimento residencial ou familiar, o consentimento é prestado pela entidade designada nos termos do artigo 49.º da Lei n.º 147/99.

Identificação do responsável pelo tratamento. A declaração deve indicar a denominação social ou nome do responsável, número de identificação de pessoa coletiva (NIPC) ou NIF, sede ou domicílio, contactos (telefone, email, morada postal), nome e contactos do encarregado de proteção de dados (DPO) sempre que designado nos termos do artigo 37.º do RGPD, e identificação do representante na União quando o responsável esteja estabelecido fora do EEE (artigo 27.º do RGPD).

Finalidades específicas, explícitas e legítimas do tratamento. O artigo 5.º n.º 1 alínea b) do RGPD impõe a fixação prévia das finalidades. A declaração deve listar separadamente cada finalidade — gestão escolar, divulgação institucional, atividades extracurriculares, investigação científica, marketing direto, transferências internacionais — permitindo aos titulares das responsabilidades parentais consentir ou recusar individualmente cada uma. O consentimento global indiferenciado tem sido sancionado pela CNPD em diversas deliberações, com fundamento no artigo 7.º n.º 2 do RGPD que impõe a apresentação separada e clara dos pedidos de consentimento.

Categorias de dados pessoais tratados, com discriminação especial das categorias do artigo 9.º do RGPD (origem racial ou étnica, opiniões políticas, convicções religiosas, dados genéticos e biométricos, dados de saúde, dados sobre vida sexual e orientação sexual). Para estas categorias, o consentimento parental deve ser explícito, conforme o artigo 9.º n.º 2 alínea a) do RGPD. A Comissão Nacional de Proteção de Dados tem reiterado em deliberações como a Deliberação n.º 1495/2016 a necessidade de menção expressa quando estejam em causa dados de saúde de menor.

Destinatários ou categorias de destinatários dos dados. A declaração deve identificar terceiros aos quais os dados serão comunicados — plataformas tecnológicas, prestadores de serviços de cloud computing, autoridades públicas como a Direção-Geral dos Estabelecimentos Escolares ou o Ministério da Educação, parceiros comerciais. Quando exista subcontratação ao abrigo do artigo 28.º do RGPD, deve mencionar-se a celebração do respetivo contrato escrito.

Prazo de conservação dos dados ou critério para a determinar. O artigo 5.º n.º 1 alínea e) do RGPD impõe a limitação da conservação ao tempo estritamente necessário. Em contexto escolar, prazos típicos correspondem ao ciclo de estudos do menor acrescido de prazo legal de conservação documental. Em contexto comercial, deve fixar-se prazo proporcional à finalidade. O consentimento parental deve esclarecer estes prazos.

Direitos do titular dos dados e dos respetivos representantes — direito de acesso (artigo 15.º), retificação (artigo 16.º), apagamento ou "direito ao esquecimento" (artigo 17.º, particularmente reforçado para dados recolhidos com base em consentimento parental), limitação do tratamento (artigo 18.º), portabilidade (artigo 20.º), oposição (artigo 21.º) e direito de não ser objeto de decisão automatizada (artigo 22.º). A declaração deve indicar o procedimento e o canal para o exercício destes direitos.

Direito de retirar o consentimento a qualquer momento, com a mesma facilidade com que foi dado, e direito de apresentar reclamação à Comissão Nacional de Proteção de Dados (Rua de São Bento, 148, 3.º, 1200-821 Lisboa; [email protected]) ou recorrer aos Tribunais Administrativos e Fiscais. A retirada do consentimento não compromete a licitude dos tratamentos efetuados antes da retirada, conforme o artigo 7.º n.º 3 do RGPD.

A forms-legal.com disponibiliza este modelo de Consentimento Parental para Tratamento de Dados Pessoais de Menores em Portugal como ponto de partida operacional para escolas, plataformas digitais, prestadores de saúde e organizações que tratem dados de crianças. A redação final deve ser revista por advogado inscrito na Ordem dos Advogados ou por consultor de proteção de dados certificado em consonância com a especificidade do tratamento concreto. Documentos relacionados disponíveis no nosso catálogo: Autorização de Viagem de Menor (ferramenta complementar para deslocações de menores) e Acordo de Regulação do Exercício das Responsabilidades Parentais (instrumento jurídico que delimita o âmbito de exercício das responsabilidades parentais).

O preenchimento do Consentimento Parental para Tratamento de Dados Pessoais de Menores em Portugal segue uma sequência prática que reduz o risco de invalidade do consentimento e protege o responsável pelo tratamento de coima administrativa pela Comissão Nacional de Proteção de Dados (CNPD).

Primeiro passo: confirmar a aplicabilidade do regime de consentimento parental. Calcule a idade do menor à data da prestação do consentimento — se completou 13 anos, o consentimento pode ser prestado pelo próprio titular nos termos do artigo 16.º n.º 1 da Lei n.º 58/2019 sem necessidade de autorização parental, embora subsistam recomendações da CNPD sobre adequação da informação à idade. Se o menor tem menos de 13 anos, o consentimento exige a intervenção dos titulares das responsabilidades parentais.

Segundo passo: identificar o titular dos dados. Inscreva nome completo do menor, data de nascimento (formato DD/MM/AAAA conforme padrão português), morada de residência habitual com código postal NNNN-NNN, NIF se já atribuído pela Autoridade Tributária e Aduaneira, e número de utente do SNS se o tratamento envolver dados de saúde. Para menores em situação de acolhimento, indique a entidade de acolhimento e anexe documento comprovativo da medida ao abrigo da Lei n.º 147/99.

Terceiro passo: identificar os titulares das responsabilidades parentais. Indique nome completo, data de nascimento, número de cartão de cidadão com validade, NIF e morada. Esclareça se o exercício é conjunto pelos dois progenitores (regra do artigo 1901.º do Código Civil) ou unilateral por decisão judicial — neste último caso, anexe cópia certificada da sentença do Tribunal de Família e Menores. Se o consentimento envolve questão de particular importância nos termos do artigo 1906.º do Código Civil — captação e divulgação de imagem, dados de saúde, transferências internacionais — assegure assinatura de ambos os progenitores mesmo quando o exercício seja conjunto sem regulação judicial.

Quarto passo: identificar o responsável pelo tratamento. Inscreva denominação social ou nome do responsável, NIPC ou NIF, sede ou domicílio, contactos completos (telefone +351, email, morada postal). Se o responsável tiver designado encarregado de proteção de dados (DPO) ao abrigo do artigo 37.º do RGPD, indique nome e contactos. Para responsáveis sediados fora do EEE, identifique o representante na União nos termos do artigo 27.º do RGPD.

Quinto passo: descrever cada finalidade do tratamento de forma específica e separada. Não agrupe finalidades distintas num único pedido global — esta prática viola o artigo 7.º n.º 2 do RGPD e tem sido sancionada pela CNPD. Para cada finalidade, indique a base de licitude (consentimento, execução de contrato, obrigação legal, interesse vital, missão de interesse público ou interesse legítimo nos termos do artigo 6.º n.º 1 do RGPD) e a categoria correspondente de dados.

Sexto passo: enumerar as categorias de dados tratados. Distinga categorias gerais (identificação, contacto, escolares, comerciais) das categorias especiais do artigo 9.º do RGPD (saúde, biometria, origem étnica, convicções religiosas, vida sexual, dados genéticos). Para categorias especiais, exija consentimento explícito separado e marcado de forma destacada no formulário, conforme jurisprudência do Tribunal de Justiça da União Europeia.

Sétimo passo: identificar destinatários dos dados. Liste prestadores de serviços de cloud computing (com identificação do país de alojamento dos servidores), plataformas tecnológicas terceiras, autoridades públicas com competência legal de receção de dados (Ministério da Educação, Segurança Social, Autoridade Tributária), e parceiros comerciais. Para subcontratantes ao abrigo do artigo 28.º do RGPD, mencione a celebração de contrato escrito.

Oitavo passo: declarar transferências internacionais de dados para fora do EEE. Identifique países de destino e garantias aplicáveis ao abrigo dos artigos 44.º a 49.º do RGPD: decisão de adequação da Comissão Europeia, cláusulas contratuais-tipo aprovadas pela Comissão Europeia, regras vinculativas para empresas (BCR), código de conduta aprovado, mecanismo de certificação, derrogações para situações específicas. O consentimento parental deve abranger expressamente a transferência.

Nono passo: indicar prazo de conservação dos dados ou critério objetivo para a determinar. Para tratamentos baseados em consentimento, o prazo termina com a retirada do consentimento (sem prejuízo da licitude do tratamento anterior nos termos do artigo 7.º n.º 3 do RGPD) ou com a maioridade do menor.

Décimo passo: informar sobre os direitos do titular e dos representantes — acesso, retificação, apagamento, limitação, portabilidade, oposição, decisão automatizada (artigos 15.º a 22.º do RGPD), e indicar o procedimento de exercício e o canal de contacto. Mencione expressamente o direito de retirar o consentimento a qualquer momento e o direito de apresentar reclamação à CNPD ([email protected]; Rua de São Bento, 148, 1200-821 Lisboa).

Décimo primeiro passo: assinatura. O documento deve ser assinado pelos titulares das responsabilidades parentais e datado. Para reforço probatório, recomenda-se assinatura eletrónica qualificada com Cartão de Cidadão ou Chave Móvel Digital ao abrigo do Regulamento (UE) 910/2014 (eIDAS) e do Decreto-Lei n.º 12/2021 de 9 de Fevereiro, ou reconhecimento presencial de assinatura nos termos do artigo 38.º do Decreto-Lei n.º 76-A/2006. Conserve cópia datada do consentimento durante o prazo de tratamento dos dados.

Os requisitos legais do Consentimento Parental para Tratamento de Dados Pessoais de Menores em Portugal resultam da articulação entre o Regulamento (UE) 2016/679 (RGPD), a Lei n.º 58/2019 de 8 de Agosto, o Código Civil e a legislação setorial aplicável.

Limiar etário. O artigo 8.º n.º 1 do RGPD fixa em 16 anos a idade-padrão acima da qual o consentimento pode ser prestado pelo próprio titular para serviços da sociedade da informação, permitindo aos Estados-Membros reduzir essa idade para o mínimo absoluto de 13 anos. Portugal exerceu essa faculdade através do artigo 16.º n.º 1 da Lei n.º 58/2019, fixando o limiar em 13 anos. Abaixo dessa idade, o consentimento exige autorização dos titulares das responsabilidades parentais.

Forma e clareza. O consentimento parental deve ser livre, específico, informado e inequívoco, manifestado por declaração ou ato positivo claro nos termos do artigo 4.º n.º 11 do RGPD. O artigo 7.º n.º 1 do RGPD impõe ao responsável pelo tratamento o ónus de demonstrar que o titular consentiu — exigência de prova que justifica a forma escrita ou eletrónica equivalente. O artigo 7.º n.º 2 do RGPD impõe que o pedido de consentimento seja apresentado de forma claramente distinguível, em linguagem clara e simples, especialmente quando o titular seja uma criança nos termos do artigo 12.º n.º 1.

Verificação razoável da titularidade das responsabilidades parentais. O artigo 8.º n.º 2 do RGPD impõe ao responsável pelo tratamento o dever de envidar todos os esforços razoáveis para verificar que o consentimento foi dado ou autorizado pelo titular das responsabilidades parentais, atendendo à tecnologia disponível. As Orientações 5/2020 do Comité Europeu para a Proteção de Dados (CEPD) sobre consentimento sugerem mecanismos como verificação por cartão de crédito do progenitor, envio de cópia de documento de identificação, verificação por email com contas pré-validadas ou solução tecnológica de verificação de idade.

Categorias especiais de dados. Quando o tratamento envolva dados de saúde, dados genéticos, dados biométricos, dados que revelem origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, vida sexual ou orientação sexual da criança, aplica-se o regime reforçado do artigo 9.º do RGPD. O tratamento é em princípio proibido, salvo autorização explícita do titular (no caso de menores, dos titulares das responsabilidades parentais) ou outra base legal específica do artigo 9.º n.º 2.

Responsabilidades parentais. O artigo 1901.º do Código Civil estabelece que as responsabilidades parentais cabem em conjunto a ambos os progenitores. O artigo 1906.º regula o exercício após divórcio, separação ou anulação do casamento, distinguindo questões de particular importância (decisão conjunta obrigatória) de atos da vida corrente (decisão pelo progenitor com quem o menor reside). A jurisprudência do Tribunal da Relação de Lisboa tem qualificado o tratamento de dados pessoais sensíveis como questão de particular importância em diversos arestos.

Direito ao esquecimento reforçado. O artigo 17.º n.º 1 alínea f) do RGPD prevê o direito ao apagamento sempre que os dados pessoais tenham sido recolhidos no contexto da oferta de serviços da sociedade da informação a uma criança ao abrigo do artigo 8.º n.º 1. O considerando 65 do RGPD reconhece que este direito é particularmente relevante quando o titular tenha consentido enquanto criança e tenha posteriormente alcançado a maioridade.

Obrigações de informação. Os artigos 13.º e 14.º do RGPD impõem ao responsável pelo tratamento o dever de informação prévia, adaptada à idade da criança nos termos do artigo 12.º n.º 1. As Orientações 5/2020 do CEPD recomendam linguagem simples, exemplos concretos e suportes visuais quando o destinatário direto da informação seja uma criança.

Medidas técnicas e organizativas. O artigo 32.º do RGPD impõe a aplicação de medidas adequadas ao risco — pseudonimização e cifragem, capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas, restabelecimento da disponibilidade após incidente, e procedimentos regulares de teste. Para tratamento de dados de menores em larga escala, o artigo 35.º do RGPD pode exigir avaliação de impacto sobre a proteção de dados (DPIA).

Notificação de violação. O artigo 33.º do RGPD impõe a notificação à CNPD em 72 horas após o conhecimento da violação de dados pessoais. O artigo 34.º exige a comunicação ao titular dos dados (e, no caso de menor, aos titulares das responsabilidades parentais) sempre que a violação seja suscetível de implicar risco elevado.

Regime sancionatório. O artigo 83.º n.º 5 do RGPD prevê coimas até 20 milhões de euros ou 4% do volume de negócios anual mundial total do exercício financeiro anterior, consoante o que for superior. O artigo 39.º n.º 3 da Lei n.º 58/2019 qualifica como contraordenação muito grave o tratamento ilícito de dados de menor.

Os erros mais frequentes na elaboração e gestão do Consentimento Parental para Tratamento de Dados Pessoais de Menores em Portugal expõem o responsável pelo tratamento a coima administrativa elevada da Comissão Nacional de Proteção de Dados (CNPD) e à invalidade do tratamento perante os Tribunais Administrativos e Fiscais.

Utilização de consentimento global indiferenciado para várias finalidades. A apresentação de uma única caixa de aceitação que cobre simultaneamente gestão escolar, divulgação institucional, marketing direto e transferências internacionais viola o artigo 7.º n.º 2 do RGPD e tem sido sancionada pela CNPD em diversas deliberações. A solução correta é apresentar consentimentos separados por finalidade, permitindo aos titulares das responsabilidades parentais consentir ou recusar individualmente cada uma.

Recurso a caixas pré-marcadas ou a consentimento por inação. O Tribunal de Justiça da União Europeia, no acórdão Planet49 (C-673/17), excluiu liminarmente a validade do consentimento manifestado por caixas pré-marcadas, presunção de consentimento ou continuação da utilização do serviço. O consentimento exige ato positivo claro do titular ou, no caso de menor de 13 anos, dos titulares das responsabilidades parentais. A correção consiste em utilizar caixas vazias que exijam ato positivo de marcação.

Falta de verificação razoável da titularidade das responsabilidades parentais. A simples declaração formal por quem preenche o formulário online, sem qualquer mecanismo adicional de verificação, viola o artigo 8.º n.º 2 do RGPD que impõe esforços razoáveis adaptados à tecnologia disponível. Em tratamentos de risco elevado, deve recorrer-se a verificação por documento de identificação, autenticação com Chave Móvel Digital, verificação por cartão de crédito ou solução tecnológica de verificação de idade.

Omissão da informação obrigatória dos artigos 13.º e 14.º do RGPD. A apresentação de pedido de consentimento sem identificação completa do responsável, contactos do encarregado de proteção de dados, finalidades específicas, destinatários, transferências internacionais, prazo de conservação e direitos do titular invalida o consentimento por falta de carácter informado. A Comissão Nacional de Proteção de Dados tem sancionado esta omissão como infração ao artigo 13.º.

Linguagem técnica ou jurídica complexa em formulário dirigido a titulares de responsabilidades parentais. O artigo 12.º n.º 1 do RGPD impõe linguagem clara e simples, especialmente quando o titular seja uma criança. A utilização de jargão jurídico, frases longas, referências cruzadas a artigos sem explicação compromete a compreensibilidade da informação e a validade do consentimento.

Falta de consentimento de ambos os progenitores em questões de particular importância. O artigo 1906.º n.º 1 do Código Civil exige acordo de ambos os titulares das responsabilidades parentais para questões de particular importância. A jurisprudência do Tribunal da Relação de Lisboa tem qualificado como tal a captação e divulgação de imagem, dados de saúde sensíveis e transferências internacionais. A obtenção de consentimento apenas de um progenitor pode invalidar o tratamento e gerar litígio em sede de regulação do exercício das responsabilidades parentais.

Ausência de mecanismo simples de retirada do consentimento. O artigo 7.º n.º 3 do RGPD exige que a retirada do consentimento seja tão fácil como a sua prestação. Formulários de consentimento online com retirada apenas por correio postal ou que exijam autenticação adicional não admitida na fase de prestação inicial violam este requisito. A correção consiste em disponibilizar canal eletrónico equivalente.

Conservação dos dados além do prazo necessário. A manutenção de dados de menores após cessação da finalidade ou após retirada do consentimento viola o princípio da limitação da conservação do artigo 5.º n.º 1 alínea e) do RGPD e o direito ao esquecimento reforçado do artigo 17.º n.º 1 alínea f). A solução é estabelecer procedimento automatizado de revisão e apagamento ao termo do prazo declarado.