Quanto tempo demora a CNPD a responder a uma queixa em Portugal?

A Comissão Nacional de Proteção de Dados deve informar o queixoso sobre o estado do procedimento e o resultado da queixa no prazo de 3 meses a contar da apresentação, conforme estabelece o artigo 77.º nº 2 do Regulamento (UE) 2016/679 (RGPD). Este prazo é prorrogável por períodos sucessivos de 3 meses em casos de complexidade acrescida, mediante notificação ao queixoso com indicação dos motivos da prorrogação. Na prática, o prazo de tramitação varia significativamente em função do volume de queixas em curso, da complexidade da matéria e da necessidade de cooperação com autoridades de outros Estados-Membros através do mecanismo de balcão único previsto nos artigos 60.º a 76.º do RGPD. Para queixas simples envolvendo responsáveis nacionais, o prazo médio observado situa-se entre 6 e 12 meses; para queixas complexas envolvendo grupos multinacionais ou transferências internacionais, o prazo pode estender-se a 24 meses ou mais. A ausência de decisão pela CNPD no prazo de 3 meses confere ao titular dos dados o direito a ação judicial efetiva contra a Comissão nos tribunais administrativos e fiscais, ao abrigo do artigo 78.º nº 2 do RGPD. O Conselho da CNPD profere decisões finais em sessão plenária, podendo o queixoso requerer informação intermédia sobre o estado do processo nos termos do Código do Procedimento Administrativo aprovado pelo Decreto-Lei nº 4/2015 de 7 de Janeiro.

Que coimas pode aplicar a CNPD em Portugal por violação do RGPD?

As coimas administrativas aplicáveis pela CNPD por violação do Regulamento (UE) 2016/679 (RGPD) variam significativamente em função do tipo de violação e da dimensão do responsável pelo tratamento. O artigo 83.º do RGPD prevê duas categorias de coimas. A categoria leve abrange violações de obrigações do responsável e do subcontratante (artigos 8.º, 11.º, 25.º a 39.º, 42.º e 43.º) e prevê coima até 10 000 000 euros ou, no caso de empresa, até 2% do volume de negócios anual mundial total do exercício anterior, conforme o que for superior. A categoria grave abrange violações dos princípios básicos do tratamento (artigo 5.º), das condições de licitude (artigo 6.º), do consentimento (artigo 7.º), das categorias especiais (artigo 9.º), dos direitos dos titulares (artigos 12.º a 22.º) e das transferências internacionais (artigos 44.º a 49.º), prevendo coima até 20 000 000 euros ou, no caso de empresa, até 4% do volume de negócios anual mundial total do exercício anterior. A Lei nº 58/2019 de 8 de Agosto fixa coimas adicionais nos artigos 37.º a 39.º para entidades sem volume de negócios significativo (associações, organismos públicos, microempresas), com escalonamento ajustado. A CNPD aplica os critérios de fixação previstos no artigo 83.º nº 2 do RGPD: natureza, gravidade e duração da violação, número de titulares afetados, danos causados, caráter intencional ou negligente, medidas adotadas para mitigar os danos, grau de cooperação com a autoridade, categorias de dados afetadas, antecedentes contraordenacionais, conformidade com códigos de conduta certificados.

Posso pedir indemnização por violação do RGPD em Portugal?

O titular dos dados pessoais que tenha sofrido danos materiais ou imateriais em consequência de violação do RGPD tem direito a indemnização ao abrigo do artigo 82.º do Regulamento (UE) 2016/679. O direito a indemnização é exercido em ação cível autónoma nos tribunais judiciais comuns, podendo ser cumulado com queixa contraordenacional perante a CNPD. A responsabilidade civil é solidária quando o responsável pelo tratamento e o subcontratante estejam envolvidos no mesmo tratamento, podendo o titular reclamar a totalidade da indemnização a qualquer um deles, sem prejuízo do direito de regresso entre eles. Os danos materiais abrangem perdas patrimoniais efetivas (custos de retificação, perdas em atividade comercial, fraude por usurpação de identidade); os danos imateriais abrangem o sofrimento, a ansiedade, a perda de controlo sobre dados pessoais, a discriminação, a perda de oportunidades. O Tribunal de Justiça da União Europeia, no acórdão C-300/21 (4 de maio de 2023), esclareceu que a mera violação do RGPD não basta para fundar indemnização — exige-se prova de dano efetivo e nexo causal — mas que o RGPD não impõe limiar de gravidade do dano para justificar o pedido. Em Portugal, a competência pertence ao Juízo de Comércio do Tribunal Judicial da Comarca quando o responsável seja empresa, ou aos Julgados de Paz quando o valor seja igual ou inferior a 15 000 euros nos termos da Lei nº 78/2001 de 13 de Julho. A reclamação judicial pode incluir pedido de cessação imediata do tratamento ilícito, de eliminação dos dados e de publicação da decisão a expensas do infrator.

Como protege a CNPD a identidade do queixoso em Portugal?

A proteção da identidade do queixoso à CNPD em Portugal beneficia do regime de confidencialidade previsto no artigo 54.º nº 2 do RGPD, que sujeita os membros e o pessoal das autoridades de supervisão ao dever de sigilo profissional sobre informações confidenciais a que tenham acesso no exercício das suas funções. Adicionalmente, a Lei nº 93/2021 de 20 de Dezembro sobre proteção de denunciantes de infrações estabelece a confidencialidade da identidade do denunciante e a proteção contra retaliação para denúncias em matérias do anexo I, incluindo proteção de dados pessoais. Na prática, a CNPD não revela a identidade do queixoso ao responsável pelo tratamento durante a fase de instrução, salvo quando seja indispensável ao exercício do contraditório e do direito de defesa do arguido nos termos dos artigos 50.º a 55.º do Decreto-Lei nº 433/82 de 27 de Outubro (Regime Geral das Contraordenações). O queixoso pode requerer expressamente reserva da identidade, justificando essa pretensão em função do risco concreto de retaliação, particularmente em situações de queixas por trabalhadores contra o empregador ou por consumidores contra empresas com quem mantenham relação contínua. A revelação da identidade só ocorre quando seja absolutamente necessária à prossecução do procedimento e quando os interesses da defesa não possam ser assegurados por outros meios, com comunicação prévia escrita ao queixoso explicitando os fundamentos da revelação. A confidencialidade não impede a comunicação à autoridade judicial quando seja exigida por lei ou ordem judicial.

A CNPD pode obrigar o responsável a apagar dados pessoais em Portugal?

A CNPD dispõe de poderes corretivos amplos previstos no artigo 58.º nº 2 do Regulamento (UE) 2016/679, incluindo a possibilidade de ordenar ao responsável pelo tratamento o apagamento de dados pessoais e a notificação dessa eliminação aos destinatários a quem os dados tenham sido divulgados. Estes poderes são exercidos no âmbito de processo contraordenacional ou de procedimento administrativo de queixa. Na decisão final, a Comissão pode ordenar: a) advertência, repreensão ou aviso ao responsável; b) ordem de satisfação dos pedidos do titular dos direitos previstos nos artigos 15.º a 22.º do RGPD; c) ordem de retificação ou apagamento de dados pessoais nos termos do artigo 16.º e do artigo 17.º; d) ordem de limitação do tratamento nos termos do artigo 18.º; e) ordem de comunicação da violação ao titular nos termos do artigo 34.º; f) ordem de proibição definitiva do tratamento; g) suspensão dos fluxos de dados destinados a um país terceiro. As ordens da CNPD têm caráter vinculativo e o seu incumprimento configura violação adicional sujeita a coima nos termos do artigo 83.º nº 6 do RGPD, com limite máximo de 20 milhões de euros ou 4% do volume de negócios anual mundial. As decisões finais da Comissão são impugnáveis para os tribunais administrativos e fiscais nos termos do artigo 78.º do RGPD e do Código de Processo nos Tribunais Administrativos aprovado pela Lei nº 15/2002 de 22 de Fevereiro, no prazo de 3 meses a contar da notificação.

Que diferença existe entre queixa à CNPD e ação judicial por violação do RGPD?

A queixa à CNPD e a ação judicial por violação do RGPD são vias complementares mas distintas. A queixa à CNPD é procedimento administrativo gratuito ao abrigo do artigo 77.º do Regulamento (UE) 2016/679, dirigido à autoridade de supervisão portuguesa, que conduz a procedimento contraordenacional com aplicação de coimas administrativas (até 20 milhões de euros ou 4% do volume de negócios mundial) e medidas corretivas (advertência, ordem de cumprimento, ordem de apagamento, suspensão de fluxos transfronteiriços, proibição definitiva do tratamento). A queixa à CNPD não confere indemnização direta ao queixoso, embora a decisão sancionatória possa servir de elemento de prova em ação cível posterior. A ação judicial por violação do RGPD é processo cível ao abrigo do artigo 82.º do RGPD, dirigido aos tribunais judiciais comuns (Juízo de Comércio quando o responsável seja empresa) ou aos Julgados de Paz quando o valor seja igual ou inferior a 15 000 euros nos termos da Lei nº 78/2001 de 13 de Julho. A ação cível visa a obtenção de indemnização por danos materiais e imateriais, podendo cumular pedido de cessação do tratamento ilícito, de apagamento dos dados e de publicação da decisão a expensas do infrator. Adicionalmente, o titular pode recorrer para os tribunais administrativos e fiscais contra decisões juridicamente vinculativas da CNPD ao abrigo do artigo 78.º do RGPD. A escolha entre as vias depende do objetivo do titular: para sancionar o infrator e obter cessação do tratamento, queixa à CNPD; para obter indemnização pecuniária pelos danos sofridos, ação cível. As duas vias podem e devem ser exercidas cumulativamente quando se justifique.

GDPR Complaint to CNPD (Portugal)

Queixa à CNPD por Violação de Dados (Portugal)

Exmos. Senhores,

Comissão Nacional de Proteção de Dados (CNPD)

Avenida D. Carlos I, n.º 134, 7.º

1200-651 Lisboa

Titular dos dados (Reclamante):

[Subject Name]

NIF / CC: [Subject N I F]

Morada: [Subject Address]

Contactos: [Subject Phone] — [Subject Email]

Responsável pelo tratamento (Visado):

[Controller Name]

NIPC: [Controller N I P C]

Sede: [Controller Address]

Encarregado de Proteção de Dados (DPO): [Dpo Contact]

Data: [Letter Date]

Assunto: Queixa ao abrigo do artigo 77.º do Regulamento (UE) 2016/679 (RGPD) e da Lei n.º 58/2019, de 8 de Agosto

Tipo de violação: [Violation Type]

I — DOS FACTOS

Categorias de dados pessoais envolvidos: [Data Categories].

Descrição cronológica do tratamento contestado:

[Facts Description]

Em [Previous Request Date] dirigi pedido escrito ao responsável pelo tratamento para exercício do direito invocado, tendo obtido a seguinte resposta:

[Controller Response]

II — DO ENQUADRAMENTO JURÍDICO

Os factos descritos integram violação do Regulamento (UE) 2016/679 (RGPD) e da Lei n.º 58/2019, de 8 de Agosto, na disposição correspondente ao tipo de violação acima identificado.

Aplicam-se ainda os princípios gerais do artigo 5.º do RGPD (licitude, lealdade, transparência, limitação da finalidade, minimização, exatidão, limitação da conservação, integridade e confidencialidade), os direitos dos titulares dos artigos 12.º a 22.º, e o regime de coimas do artigo 83.º que pode atingir 20 milhões de euros ou 4% do volume de negócios anual mundial total do exercício anterior.

III — DO PEDIDO

Requer-se à Comissão Nacional de Proteção de Dados:

1) Instauração do procedimento contraordenacional aplicável ao abrigo do artigo 83.º do RGPD e dos artigos 37.º a 39.º da Lei n.º 58/2019, com aplicação das coimas adequadas;

2) Adoção das medidas corretivas previstas no artigo 58.º n.º 2 do RGPD, designadamente ordem de satisfação dos pedidos do titular, ordem de retificação ou apagamento, ordem de limitação ou proibição do tratamento, ou suspensão de fluxos transfronteiriços;

3) Comunicação do desfecho do procedimento ao queixoso nos termos do artigo 77.º n.º 2 do RGPD, no prazo de 3 meses a contar da apresentação;

4) Reconhecimento expresso do direito violado para sustentar eventual ação cível por danos nos termos do artigo 82.º do RGPD.

Anexa-se cópia do pedido prévio enviado ao responsável pelo tratamento, da resposta obtida ou prova da ausência, e demais elementos probatórios (contratos, capturas de ecrã, comunicações comerciais, política de privacidade).

Com os melhores cumprimentos,

[Subject Name]

Titular dos dados

________________

Signature

Maintained by Vladislav Sergienko, Founder·Template last modified: 2026-06-23·Report an error

What Is a GDPR Complaint to CNPD (Portugal)?

A Queixa à CNPD por Violação de Dados é o documento pessoal usado em Portugal nos termos de Lei nº 58/2019 de 8 de Agosto.

A CNPD — Comissão Nacional de Proteção de Dados é entidade administrativa independente regulada pela Lei nº 43/2004 de 18 de Agosto e pelo seu novo Estatuto aprovado pela Lei nº 58/2019. Funciona junto da Assembleia da República, com membros designados parcialmente por esta e parcialmente pelo Governo. Sucede à entidade criada pela Lei nº 10/91 de 29 de Abril (Lei da Proteção de Dados Pessoais informatizados) e foi reforçada pela Lei nº 67/98 de 26 de Outubro (transposição da Diretiva 95/46/CE), tendo a sua missão sido alargada e harmonizada com o quadro europeu pelo RGPD em 25 de Maio de 2018. Coopera com as suas congéneres dos restantes Estados-Membros através do Comité Europeu para a Proteção de Dados (CEPD/EDPB) ao abrigo dos artigos 60.º a 76.º do RGPD, particularmente nos casos transfronteiriços com responsável pelo tratamento estabelecido em vários Estados-Membros (mecanismo de balcão único — one-stop shop).

A Queixa à CNPD em Portugal pode ser apresentada por qualquer titular de dados pessoais — pessoa singular identificada ou identificável — ou pelo seu mandatário (associação de defesa de direitos sem fins lucrativos com objeto social adequado, ao abrigo do artigo 80.º do RGPD), sem necessidade de patrocínio judiciário e sem custos associados. A submissão admite forma escrita em suporte físico, formulário online no portal www.cnpd.pt na área Queixa do Titular, correio eletrónico para [email protected] ou contacto telefónico para a linha 213 928 400 com posterior confirmação escrita.

O objeto típico da queixa abrange: tratamento sem base de licitude do artigo 6.º do RGPD (consentimento inválido, ausência de fundamento contratual, interesse legítimo não ponderado); recusa de exercício do direito de acesso previsto no artigo 15.º; recusa de exercício do direito de retificação previsto no artigo 16.º; recusa de exercício do direito de apagamento previsto no artigo 17.º; recusa de exercício do direito de limitação do tratamento previsto no artigo 18.º; recusa de exercício do direito de portabilidade previsto no artigo 20.º; recusa de exercício do direito de oposição previsto no artigo 21.º; tratamento de categorias especiais de dados sem fundamento do artigo 9.º (dados de saúde, dados biométricos, dados sobre a vida sexual, dados genéticos, dados sobre filiação sindical, política, religiosa); decisões individuais automatizadas e profilação não consentidas previstas no artigo 22.º; ausência ou insuficiência de informação ao titular nos termos dos artigos 13.º e 14.º; violação de dados pessoais não notificada nos termos do artigo 33.º; transferências internacionais para países terceiros sem garantias do artigo 46.º; tratamento por subcontratante sem contrato do artigo 28.º.

O efeito prático da Queixa à CNPD em Portugal materializa-se em três planos. No plano corretivo, a Comissão dispõe dos poderes do artigo 58.º nº 2 do RGPD: emissão de advertências, repreensões ou avisos, ordens de cumprimento dos pedidos do titular, ordens de retificação ou apagamento, ordens de limitação ou proibição definitiva do tratamento, ordens de comunicação de violação ao titular, suspensão de fluxos de dados para países terceiros. No plano sancionatório, aplicação de coimas administrativas até 20 000 000 euros ou 4% do volume de negócios anual mundial total do exercício anterior nos termos do artigo 83.º nº 5, dependendo do tipo de violação. No plano substantivo, registo da violação para fins estatísticos europeus comunicados ao CEPD e potencial fundamentação de ação coletiva por associação de defesa nos termos do artigo 80.º do RGPD.

When Do You Need a GDPR Complaint to CNPD (Portugal)?

A Queixa à CNPD em Portugal torna-se necessária sempre que o titular de dados pessoais identifica violação do Regulamento (UE) 2016/679 (RGPD) ou da Lei nº 58/2019 por responsável pelo tratamento ou subcontratante e os mecanismos de exercício direto dos direitos junto desse responsável não produziram resposta satisfatória nos prazos legais.

Na recusa do exercício de direitos pelos titulares, a queixa à CNPD é instrumento natural quando o responsável pelo tratamento não responde aos pedidos de acesso, retificação, apagamento, limitação, portabilidade ou oposição no prazo de 30 dias previsto no artigo 12.º nº 3 do RGPD, prorrogável por 60 dias adicionais em casos complexos mediante notificação ao titular. A ausência total de resposta, a recusa não fundamentada ou o atendimento parcial constituem violação do direito do titular e fundamentam queixa à autoridade de supervisão. O artigo 13.º da Lei nº 58/2019 prevê coima até 20 milhões de euros pela violação dos direitos do titular nos termos do RGPD.

Na violação de dados pessoais não notificada, a queixa à CNPD é instrumento quando o titular toma conhecimento de incidente de segurança que envolva a divulgação não autorizada, perda, destruição ou alteração de dados pessoais e o responsável pelo tratamento não notificou a CNPD em 72 horas conforme exige o artigo 33.º do RGPD nem o titular conforme exige o artigo 34.º quando o risco seja elevado. Os incidentes mais frequentes incluem ataques de ransomware com exfiltração de dados, perda de dispositivos com dados não cifrados, divulgação acidental por email errado, acessos não autorizados a bases de dados, configurações erradas de armazenamento na nuvem.

Na publicidade direta e perfilamento, a queixa à CNPD é frequente face a comunicações comerciais não solicitadas (email, SMS, chamadas robotizadas), perfilamento extensivo para fins publicitários sem consentimento expresso, decisões individuais automatizadas baseadas exclusivamente em tratamento automatizado violando o artigo 22.º. A Lei nº 41/2004 de 18 de Agosto sobre proteção de dados nas comunicações eletrónicas (ePrivacy) regula especificamente o marketing direto, exigindo consentimento prévio para email e SMS comerciais (artigo 13.º-A) e respeitando o sistema de oposição da Lista Robinson para chamadas vocais (artigo 13.º-B).

Na videovigilância e monitorização no local de trabalho, a queixa à CNPD aplica-se quando o empregador instala câmaras sem cumprir os requisitos do artigo 20.º do Código do Trabalho aprovado pela Lei nº 7/2009 de 12 de Fevereiro (proibição de finalidade exclusiva de controlo do desempenho, autorização prévia da CNPD ou comunicação prévia consoante o caso, sinalética visível, informação aos trabalhadores e à comissão de trabalhadores), ou quando monitoriza emails, navegação na Internet ou geolocalização de viaturas sem informação prévia clara aos trabalhadores e sem ponderação do interesse legítimo nos termos da Deliberação CNPD nº 7680/2014 sobre tratamento de dados no contexto laboral.

Na cobrança coerciva e listas de devedores, a queixa à CNPD é instrumento contra empresas de cobrança que ameaçam revelar a dívida a familiares, empregadores ou vizinhos do devedor, contra o registo em listas de incumprimentos (Mapa de Responsabilidades de Crédito do Banco de Portugal, listas privadas como a CRC ou a Equifax) sem notificação prévia ao devedor, ou contra a manutenção em lista após pagamento integral da dívida violando o princípio da exatidão do artigo 5.º nº 1 alínea d) do RGPD.

Nas transferências internacionais, a queixa à CNPD aplica-se quando o responsável pelo tratamento transfere dados para países terceiros (fora do Espaço Económico Europeu) sem decisão de adequação da Comissão Europeia nos termos do artigo 45.º do RGPD, sem cláusulas contratuais-tipo aprovadas (artigo 46.º nº 2 alínea c)), sem regras vinculativas para empresas (artigo 47.º), sem códigos de conduta certificados (artigo 46.º nº 2 alínea e)) ou sem outras garantias adequadas. Após o acórdão Schrems II do Tribunal de Justiça da União Europeia (julho de 2020), as transferências para os Estados Unidos requerem avaliação caso a caso da legislação local de acesso a dados pelas autoridades públicas, complementada se necessário por medidas suplementares técnicas (encriptação ponto-a-ponto), contratuais ou organizativas.

What to Include in Your GDPR Complaint to CNPD (Portugal)

Uma Queixa à CNPD em Portugal juridicamente eficaz integra elementos formais e substantivos que asseguram a sua admissão pelos serviços de instrução da Comissão Nacional de Proteção de Dados e a sua utilidade probatória nos eventuais processos contraordenacional e contencioso administrativo posteriores.

Identificação rigorosa do titular dos dados constitui o primeiro elemento. Devem constar nome completo, número de identificação fiscal (NIF) ou número do cartão de cidadão para identificação inequívoca, morada com código postal NNNN-NNN, telemóvel (+351) e email para resposta. Em casos especiais (vítimas de violência doméstica, menores, pessoas em situação de vulnerabilidade), pode requerer-se reserva da identidade durante a fase de instrução, mantendo-se contudo a CNPD habilitada a verificar a legitimidade do queixoso. Para queixa por mandatário ao abrigo do artigo 80.º do RGPD, junta-se procuração com identificação da associação de defesa de direitos e do seu objeto social adequado.

Identificação rigorosa do responsável pelo tratamento. Devem constar denominação social, número de identificação de pessoa coletiva (NIPC) confirmado pela certidão permanente, sede estatutária, identificação do encarregado de proteção de dados (DPO) sempre que conhecido (publicado no portal do responsável ou comunicado pelo serviço de apoio ao cliente). Para responsáveis pelo tratamento estabelecidos em vários Estados-Membros da União Europeia, deve indicar-se o estabelecimento principal para fins de aplicação do mecanismo de balcão único (one-stop shop) previsto nos artigos 60.º a 76.º do RGPD. Para entidades públicas, identifica-se o organismo concreto e o seu enquadramento normativo.

Descrição factual exaustiva do tratamento contestado. A exposição deve indicar a categoria de dados pessoais envolvidos (dados de identificação, dados de contacto, dados financeiros, categorias especiais do artigo 9.º), a finalidade declarada ou aparente do tratamento, a base de licitude invocada pelo responsável (consentimento, execução de contrato, obrigação legal, interesses vitais, exercício de autoridade pública, interesses legítimos), o canal pelo qual o titular tomou conhecimento do tratamento (formulário online, contrato, contacto comercial, terceira parte), e a cronologia de eventos relevantes. Para queixas sobre exercício de direitos, indicar a data do pedido enviado ao responsável, o canal utilizado, o conteúdo da resposta (ou ausência dela) e o período decorrido entre o pedido e a queixa.

Qualificação jurídica precisa. A queixa deve invocar expressamente as disposições do RGPD ou da Lei nº 58/2019 violadas: artigo 5.º (princípios), artigo 6.º (licitude), artigo 7.º (consentimento), artigo 9.º (categorias especiais), artigos 12.º a 22.º (direitos do titular), artigo 28.º (subcontratante), artigo 32.º (segurança), artigo 33.º (notificação à autoridade), artigo 34.º (comunicação ao titular), artigo 35.º (avaliação de impacto), artigos 44.º a 50.º (transferências internacionais), artigo 83.º (coimas). Para queixas no contexto laboral, citar o artigo 20.º do Código do Trabalho. Para marketing direto, citar o artigo 13.º-A da Lei nº 41/2004. Para videovigilância, citar a Lei nº 34/2013 de 16 de Maio.

Elementos probatórios anexos. A queixa deve incluir cópia do pedido enviado ao responsável (acesso, retificação, apagamento, etc.) com prova da data de envio (carta registada, email com confirmação de leitura), cópia da resposta do responsável (ou comprovativo da ausência), capturas de ecrã das comunicações comerciais não consentidas, fotografias da videovigilância irregular, cópia de contratos ou políticas de privacidade do responsável, prints de ecrãs de bases de dados onde figure o tratamento contestado. A prova documental e a prova eletrónica são admissíveis nos termos dos artigos 369.º a 386.º do Código Civil.

Pedido concreto à CNPD. A queixa deve articular o pedido em duas componentes principais: pedido de instrução do procedimento contraordenacional ao abrigo do artigo 83.º do RGPD e da Lei nº 58/2019, com aplicação das coimas administrativas adequadas; pedido de adoção das medidas corretivas previstas no artigo 58.º nº 2 do RGPD (ordem de cumprimento, ordem de retificação ou apagamento, ordem de limitação ou proibição do tratamento, suspensão de fluxos transfronteiriços). Pode ainda requerer-se a comunicação do desfecho do procedimento ao queixoso e o reconhecimento expresso do direito violado para sustentar eventual ação cível por danos nos termos do artigo 82.º do RGPD.

Prazo. Embora o RGPD não fixe prazo de prescrição para o exercício do direito de queixa, recomenda-se apresentar a queixa o mais cedo possível após o conhecimento da violação, dado que a passagem do tempo dificulta a recolha de prova e pode levar a desinteresse na ação por exiguidade do dano percebido.

A forms-legal.com disponibiliza este modelo de Queixa à CNPD em Portugal como instrumento prático para defesa dos direitos dos titulares de dados pessoais. A redação aqui proposta cobre os principais campos exigidos pelos serviços de instrução da Comissão, mas violações complexas com transferências internacionais, decisões automatizadas em larga escala ou tratamento de categorias especiais podem justificar acompanhamento por advogado inscrito na Ordem dos Advogados especializado em proteção de dados. Documentos relacionados disponíveis no nosso catálogo: Pedido de Acesso a Dados RGPD (instrumento de exercício do direito do artigo 15.º) e Pedido de Apagamento de Dados RGPD (exercício do direito ao esquecimento do artigo 17.º).

How to Fill Out Your GDPR Complaint to CNPD (Portugal)

O preenchimento da Queixa à CNPD em Portugal segue uma sequência prática que aumenta a probabilidade de instrução efetiva pela Comissão Nacional de Proteção de Dados e de aplicação de medidas corretivas e sancionatórias ao responsável pelo tratamento contestado.

Primeiro passo: confirmar o esgotamento prévio da via direta junto do responsável pelo tratamento. Embora não seja exigência formal do RGPD, a CNPD prefere instruir queixas em que o titular tenha previamente solicitado ao responsável o cumprimento dos seus direitos e tenha aguardado o prazo de resposta de 30 dias previsto no artigo 12.º nº 3 do RGPD. Conservar a prova da data do pedido (carta registada com aviso de receção, email com confirmação de leitura, formulário online com comprovativo) e da resposta ou ausência dela.

Segundo passo: identificar o titular dos dados. Recolher nome completo conforme cartão de cidadão, NIF ou número do cartão de cidadão, morada com código postal CTT NNNN-NNN, telemóvel +351 e email ativo para resposta. Para queixa por menor representado pelos pais, indicar a relação de filiação e a identificação dos representantes legais. Para queixa por mandatário ao abrigo do artigo 80.º do RGPD, juntar procuração e estatuto da associação.

Terceiro passo: identificar o responsável pelo tratamento. Indicar denominação social exata e NIPC obtidos via certidão permanente em www.empresaonline.pt mediante código de acesso, sede estatutária, e identificação do encarregado de proteção de dados (DPO) quando conhecido, frequentemente publicado no portal do responsável na página "Política de Privacidade" ou "Proteção de Dados".

Quarto passo: descrever cronologicamente o tratamento contestado. Inscrever a categoria de dados pessoais envolvidos, a finalidade declarada, a base de licitude invocada pelo responsável, o canal pelo qual o titular tomou conhecimento do tratamento, e a cronologia de eventos. Para queixas sobre direitos negados, registar a data do pedido enviado, o canal utilizado, o conteúdo da resposta e o período decorrido. Para queixas sobre violações de dados, registar a data e fonte de conhecimento da violação, a categoria de dados afetados, o número estimado de titulares afetados.

Quinto passo: invocar a base legal aplicável. Para tratamento sem base de licitude, citar artigo 6.º do RGPD. Para categorias especiais sem fundamento, citar artigo 9.º. Para direitos negados, citar artigos 15.º a 22.º conforme o direito específico. Para violações de segurança, citar artigos 32.º a 34.º. Para transferências internacionais sem garantias, citar artigos 44.º a 50.º. Para o regime português específico de coimas, citar artigos 37.º a 39.º da Lei nº 58/2019. Para tratamento no contexto laboral, citar artigo 20.º do Código do Trabalho. Para marketing direto, citar artigo 13.º-A da Lei nº 41/2004 de 18 de Agosto.

Sexto passo: anexar elementos probatórios. Cópia do pedido enviado ao responsável com prova da data, cópia da resposta (ou ausência), capturas de ecrã das comunicações comerciais não consentidas, fotografias da videovigilância irregular, cópia de contratos ou políticas de privacidade do responsável, prints de ecrãs de bases de dados onde figure o tratamento contestado. Organizar todos os elementos em formato PDF com nomenclatura cronológica.

Sétimo passo: formular o pedido. Pedido de instrução do procedimento contraordenacional ao abrigo do artigo 83.º do RGPD e da Lei nº 58/2019; pedido de adoção das medidas corretivas previstas no artigo 58.º nº 2 do RGPD; pedido de comunicação do desfecho do procedimento ao queixoso; pedido de reconhecimento expresso do direito violado para sustentar eventual ação cível por danos nos termos do artigo 82.º do RGPD.

Oitavo passo: submeter a queixa. A CNPD disponibiliza vários canais oficiais: formulário online no portal www.cnpd.pt na área Queixa do Titular, com submissão eletrónica imediata e geração de número de processo; correio eletrónico para [email protected]; carta postal para a sede em Lisboa (Avenida D. Carlos I, nº 134, 7º, 1200-651 Lisboa); contacto telefónico para a linha 213 928 400 com posterior confirmação escrita. Conservar cópia integral da queixa, prova de submissão e número de processo durante prazo não inferior a 5 anos.

Legal Requirements for GDPR Complaint to CNPD (Portugal)

Os requisitos legais da Queixa à CNPD em Portugal resultam do Regulamento (UE) 2016/679 (RGPD), da Lei nº 58/2019 de 8 de Agosto, da Lei nº 43/2004 de 18 de Agosto (orgânica da CNPD) e do Código do Procedimento Administrativo aprovado pelo Decreto-Lei nº 4/2015 de 7 de Janeiro.

Legitimidade ativa. O artigo 77.º do RGPD confere a qualquer titular de dados pessoais o direito de apresentar queixa à autoridade de supervisão competente, em particular à do seu Estado-Membro de residência habitual, do local de trabalho ou do local da alegada violação. A Lei nº 58/2019 confirma a CNPD como autoridade de supervisão portuguesa nos termos do artigo 51.º do RGPD. O artigo 80.º do RGPD permite ao titular mandatar associação de defesa de direitos sem fins lucrativos com objeto social adequado para apresentar queixa em seu nome. O Estado português, ao transpor o RGPD, optou por permitir que essas associações atuem com ou sem mandato (artigo 80.º nº 2), reforçando a tutela coletiva.

Forma. A queixa não exige forma solene. Admite-se forma escrita em suporte físico, formulário online no portal www.cnpd.pt, correio eletrónico para [email protected] e contacto telefónico com posterior confirmação escrita. A submissão eletrónica tem força probatória plena ao abrigo do Decreto-Lei nº 290-D/99 de 2 de Agosto, atualizado pelo Decreto-Lei nº 12/2021 de 9 de Fevereiro.

Gratuidade. O artigo 57.º nº 3 do RGPD consagra o princípio da gratuidade da apresentação de queixa à autoridade de supervisão. A CNPD não cobra taxas de admissão nem de tramitação. Apenas em casos excecionais de pedidos manifestamente infundados ou excessivos a CNPD pode aplicar uma taxa razoável ou recusar a queixa, conforme prevê o artigo 57.º nº 4.

Competências da CNPD. O artigo 57.º do RGPD enumera as competências da autoridade de supervisão: tratamento de queixas, investigação, sensibilização e informação, autorização prévia em determinados casos, aprovação de regras vinculativas para empresas e cláusulas contratuais-tipo, certificação. O artigo 58.º enumera os poderes: investigatórios (acesso a dados pessoais e a instalações, obtenção de informações), corretivos (advertência, repreensão, ordem de cumprimento, ordem de retificação ou apagamento, ordem de limitação ou proibição do tratamento, suspensão de fluxos transfronteiriços), de autorização (aprovação de cláusulas contratuais), consultivos (parecer ao Parlamento e ao Governo).

Mecanismo de balcão único (one-stop shop). Para casos transfronteiriços com responsável pelo tratamento estabelecido em vários Estados-Membros, os artigos 60.º a 76.º do RGPD organizam o mecanismo de cooperação entre autoridades de supervisão. A CNPD pode atuar como autoridade principal (lead authority) quando o estabelecimento principal do responsável esteja em Portugal, ou como autoridade interessada (concerned authority) quando os titulares afetados sejam portugueses. As decisões finais em casos transfronteiriços são adotadas pelo Comité Europeu para a Proteção de Dados (CEPD/EDPB) por mecanismo de coerência (artigo 64.º do RGPD).

Prazos de resposta. A CNPD deve informar o queixoso sobre o estado do procedimento e o resultado da queixa no prazo de 3 meses a contar da apresentação, prorrogável conforme a complexidade do caso (artigo 77.º nº 2 do RGPD). A ausência de resposta confere ao titular o direito de recurso judicial efetivo contra a CNPD nos tribunais administrativos e fiscais (artigo 78.º do RGPD).

Regime sancionatório. O artigo 83.º do RGPD prevê coimas administrativas de duas categorias: até 10 000 000 euros ou 2% do volume de negócios anual mundial total do exercício anterior para violações dos artigos 8.º, 11.º, 25.º a 39.º, 42.º e 43.º; até 20 000 000 euros ou 4% do volume de negócios anual mundial total do exercício anterior para violações dos artigos 5.º, 6.º, 7.º, 9.º, 12.º a 22.º, 44.º a 49.º. A Lei nº 58/2019 fixa coimas próprias nos artigos 37.º a 39.º para entidades sem volume de negócios significativo, com montantes ajustados à dimensão da entidade infratora.

Direito de recurso judicial. O artigo 78.º do RGPD garante ao titular dos dados o direito a ação judicial contra decisões juridicamente vinculativas da autoridade de supervisão, incluindo decisões de não tramitação ou de arquivamento de queixa. O recurso é dirigido aos tribunais administrativos e fiscais nos termos do Código de Processo nos Tribunais Administrativos aprovado pela Lei nº 15/2002 de 22 de Fevereiro.

Direito a indemnização. O artigo 82.º do RGPD confere ao titular dos dados o direito a indemnização pelos danos materiais e imateriais sofridos em consequência de violação do RGPD, em ação cível autónoma nos tribunais judiciais comuns ou cumulada com a queixa contraordenacional.

Common Mistakes to Avoid in Your GDPR Complaint to CNPD (Portugal)

Os erros mais frequentes na elaboração da Queixa à CNPD em Portugal comprometem a admissibilidade do procedimento, podem conduzir ao arquivamento liminar pela Comissão Nacional de Proteção de Dados e impedem a obtenção das medidas corretivas e sancionatórias pretendidas.

Queixa sem prévio exercício direto do direito junto do responsável. A apresentação de queixa à CNPD sem ter previamente solicitado ao responsável pelo tratamento o cumprimento do direito (acesso, retificação, apagamento) frequentemente conduz a remessa pela Comissão para que o titular envie primeiro o pedido direto. A solução é exercer primeiro o direito junto do responsável por carta registada com aviso de receção, email com confirmação de leitura ou formulário online com comprovativo, aguardar o prazo de 30 dias previsto no artigo 12.º nº 3 do RGPD, e em seguida apresentar queixa à CNPD com cópia do pedido prévio e da resposta ou ausência dela.

Identificação confusa do responsável pelo tratamento. A confusão entre responsável pelo tratamento e subcontratante, ou a identificação genérica do grupo empresarial sem indicar o estabelecimento concreto, dificulta a tramitação. A solução é confirmar quem efetivamente determina as finalidades e os meios do tratamento (responsável) e quem trata os dados em nome daquele (subcontratante), nos termos do artigo 4.º nº 7 e nº 8 do RGPD. Para grupos multinacionais, identificar o estabelecimento principal para fins do mecanismo de balcão único.

Descrição factual genérica ou meramente impressionista. A redação "a empresa não respeita os meus dados" não permite à CNPD identificar a violação concreta. A solução é descrever factos específicos com data, local, conduta observada, categoria de dados envolvidos e canal pelo qual o titular tomou conhecimento. A precisão factual é a base do auto de infração e da decisão sancionatória subsequente.

Falta de prova documental. A queixa apresentada sem cópia do pedido enviado ao responsável, da resposta obtida, das comunicações comerciais não consentidas ou de capturas de ecrã do tratamento contestado reduz a denúncia à versão unilateral do queixoso. A solução é digitalizar todos os documentos relevantes em formato PDF, identificar cada anexo com referência cruzada na exposição, e conservar os originais físicos em arquivo seguro durante prazo não inferior a 5 anos.

Invocação errada da base legal. A citação genérica do RGPD sem identificação do artigo concreto reduz o peso técnico da queixa. A solução é citar com precisão: artigo 6.º para licitude, artigo 9.º para categorias especiais, artigos 12.º a 22.º para direitos do titular, artigo 28.º para subcontratante, artigo 32.º para segurança, artigos 33.º e 34.º para violações, artigos 44.º a 50.º para transferências internacionais, artigo 83.º para coimas. A precisão técnica eleva o tratamento da queixa pelos serviços de instrução da CNPD.

Pedido vago ou indeterminado. A formulação "peço que a CNPD investigue e sancione" não articula o pedido em componentes. A solução é estruturar o pedido em duas linhas: pedido de instrução do procedimento contraordenacional ao abrigo do artigo 83.º do RGPD e da Lei nº 58/2019; pedido de adoção das medidas corretivas previstas no artigo 58.º nº 2 do RGPD (ordem de cumprimento, ordem de retificação ou apagamento, ordem de limitação ou proibição do tratamento, suspensão de fluxos transfronteiriços). Concluir com pedido de comunicação do desfecho ao queixoso e reconhecimento expresso do direito violado para sustentar eventual ação cível.

Falta de pedido de medida cautelar quando aplicável. Para situações de violação continuada com risco grave para os direitos do titular, a omissão do pedido de medida cautelar prevista no artigo 66.º do RGPD (procedimento de urgência) atrasa a cessação do dano. A solução é incluir, expressamente, pedido de medida cautelar urgente sempre que o tratamento contestado seja continuado e o atraso na decisão final possa agravar irreparavelmente os danos ao titular.

Cite this page

Reference this free template in an article, syllabus, or research note:

APA

Forms Legal. (2026). GDPR Complaint to CNPD (Portugal) (Portugal) [Legal document template]. Forms Legal. https://forms-legal.com/portugal/personal/letters/gdpr-complaint-cnpd-portugal

MLA

"GDPR Complaint to CNPD (Portugal) (Portugal)." Forms Legal, 2026, https://forms-legal.com/portugal/personal/letters/gdpr-complaint-cnpd-portugal.

BibTeX

@misc{formslegal-gdpr-complaint-cnpd-portugal,
  author       = {{Forms Legal}},
  title        = {GDPR Complaint to CNPD (Portugal) (Portugal)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/portugal/personal/letters/gdpr-complaint-cnpd-portugal}},
  note         = {Free legal document template}
}

Frequently Asked Questions

Statute-referenced template — Template last modified June 2026

This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer

Found an error? Let us know