GDPR Erasure Request Portugal (Pedido de Apagamento de Dados — Direito ao Esquecimento)

O Pedido de Apagamento de Dados (Direito ao Esquecimento) é o documento pessoal usado em Portugal nos termos de Regulamento (UE) 2016/679 (RGPD) artigo 17.º.

A primeira hipótese é a desnecessidade dos dados — quando os dados pessoais já não sejam necessários para a finalidade que motivou a sua recolha ou tratamento (artigo 17.º nº 1 alínea a)). É a hipótese mais ampla e funda-se no princípio da limitação da finalidade do artigo 5.º nº 1 alínea b) e no princípio da limitação da conservação do artigo 5.º nº 1 alínea e) — os dados não devem ser conservados além do tempo necessário para as finalidades. Ao termo da relação contratual, da finalização do procedimento administrativo ou da consumação do projeto subjacente ao tratamento, surge tipicamente o fundamento de apagamento.

A segunda hipótese é a retirada do consentimento — quando o titular retire o consentimento em que se baseia o tratamento e não haja outro fundamento jurídico para o tratamento (artigo 17.º nº 1 alínea b)). O consentimento é uma das seis bases de licitude do tratamento previstas no artigo 6.º do RGPD, e o seu retirada é direito incondicional do titular nos termos do artigo 7.º nº 3. A retirada deve ser tão fácil como o foi o seu fornecimento. Note-se que a retirada não opera apagamento se existir outra base de licitude (designadamente execução de contrato, obrigação legal ou interesse legítimo do responsável que se mantenha aplicável).

A terceira hipótese é a oposição justificada — quando o titular se oponha ao tratamento ao abrigo do artigo 21.º nº 1 (oposição por motivos relacionados com a sua situação particular) e não existam interesses legítimos prevalecentes do responsável; ou quando o titular se oponha ao tratamento ao abrigo do artigo 21.º nº 2 (oposição ao marketing direto, que é incondicional) — artigo 17.º nº 1 alínea c). A oposição ao marketing direto é particularmente incondicional: basta a manifestação de vontade do titular para que o tratamento para esse fim deva cessar imediatamente.

A quarta hipótese é o tratamento ilícito — quando os dados pessoais foram tratados ilicitamente (artigo 17.º nº 1 alínea d)). A ilicitude pode resultar da ausência de base jurídica do artigo 6.º, da violação dos princípios do artigo 5.º, da violação de dever de informação dos artigos 13.º e 14.º, da violação de regime especial aplicável a categorias especiais de dados (artigo 9.º) ou a dados sobre condenações penais (artigo 10.º).

A quinta hipótese é o cumprimento de obrigação jurídica — quando os dados pessoais devem ser apagados para o cumprimento de uma obrigação jurídica decorrente do direito da União ou de Estado-Membro a que o responsável pelo tratamento esteja sujeito (artigo 17.º nº 1 alínea e)). Aplica-se designadamente a regimes de retenção limitada de dados em setores específicos (telecomunicações, financeiro) ou a obrigações de apagamento decorrentes de decisões judiciais ou administrativas.

A sexta hipótese é o tratamento de dados de crianças — quando os dados pessoais foram recolhidos em conexão com a oferta de serviços da sociedade da informação a uma criança e ao abrigo do artigo 8.º nº 1 do RGPD (consentimento parental para crianças menores de 16 anos, ou idade inferior fixada pelo Estado-Membro até aos 13 anos — Portugal fixou em 13 anos no artigo 16.º da Lei nº 58/2019).

O direito ao apagamento não é absoluto. O artigo 17.º nº 3 do RGPD prevê exceções importantes em que o apagamento não pode ser exigido ou em que o responsável pode legitimamente recusar: exercício do direito à liberdade de expressão e informação; cumprimento de obrigação legal ou execução de missão de interesse público ou no exercício de autoridade pública; razões de interesse público no domínio da saúde pública; arquivo no interesse público, fins de investigação científica ou histórica ou estatísticos; exercício, declaração ou defesa de direitos em processos judiciais.

Quando o responsável que tornou públicos os dados pessoais seja obrigado a apagá-los, deve adotar medidas razoáveis, incluindo medidas técnicas, para informar os responsáveis pelo tratamento que estejam a tratar os dados pessoais de que o titular solicitou o apagamento de qualquer hiperligação para esses dados pessoais ou de cópias ou reproduções desses dados pessoais (artigo 17.º nº 2). Esta obrigação de transmissão tem particular relevância no contexto dos motores de busca (Google, Bing) e das redes sociais, que são frequentemente alvo de pedidos de apagamento de hiperligações para conteúdos lesivos da privacidade. O acórdão Google Spain do TJUE (C-131/12, de 13 de Maio de 2014) deu origem ao direito ao desreferenciamento, posteriormente codificado no RGPD.

O Pedido de Apagamento de Dados (Direito ao Esquecimento) em Portugal é necessário em diversos contextos práticos onde o titular pretenda obter a eliminação dos seus dados pessoais conservados por responsáveis pelo tratamento, com base em um ou mais dos seis fundamentos do artigo 17.º nº 1 do RGPD.

Após a cessação de relação contratual com prestadores de serviços (telecomunicações, fornecimento de energia, plataformas digitais, instituições financeiras), o titular pode requerer o apagamento dos dados que já não sejam necessários para a finalidade que motivou a recolha — tipicamente após o decurso dos prazos legais de conservação para fins fiscais (10 anos da Lei Geral Tributária para suportes de operações), prudenciais (Banco de Portugal exige 5 a 10 anos para registos bancários) ou de defesa em processos judiciais (20 anos do prazo geral de prescrição civil do artigo 309.º do Código Civil para responsabilidade contratual). A indicação do termo da relação contratual e do decurso dos prazos legais aplicáveis facilita ao responsável a apreciação da fundamentação do pedido.

No contexto de marketing direto e de comunicações comerciais não solicitadas, o pedido de apagamento articula-se com o direito de oposição incondicional do artigo 21.º nº 2 do RGPD. O titular que tenha recebido comunicações de marketing por correio eletrónico, SMS, telefone ou correio postal pode exigir não apenas a cessação imediata do envio mas também o apagamento dos dados constantes da base de marketing. A Lei nº 41/2004 (proteção de dados em comunicações eletrónicas) exige, para comunicações eletrónicas comerciais, o consentimento prévio expresso (regra do opt-in do artigo 13.º-A), e a Lei nº 6/99 e o Decreto-Lei nº 7/2004 (comércio eletrónico) reforçam estas garantias. A apresentação de pedido de apagamento à Direção-Geral do Consumidor (DGC) ou à CNPD em paralelo com pedido direto ao responsável é prática consolidada.

No contexto de plataformas digitais e redes sociais, o pedido de apagamento permite eliminar perfis, publicações, comentários, fotografias, vídeos, mensagens e outros conteúdos previamente partilhados. Os pedidos podem ser dirigidos diretamente à plataforma (Facebook/Meta, Instagram, X/Twitter, TikTok, LinkedIn, YouTube) através dos canais próprios de proteção de dados, e às vezes complementados com pedidos a motores de busca (Google, Bing) para desreferenciamento das hiperligações para conteúdos previamente eliminados ou impossíveis de eliminar pelo titular (designadamente quando publicados por terceiros). O direito ao desreferenciamento perante motores de busca foi consagrado pelo acórdão Google Spain do TJUE (C-131/12, de 13 de Maio de 2014) e codificado no artigo 17.º nº 2 do RGPD.

No contexto laboral, após a cessação do contrato de trabalho, o trabalhador pode requerer o apagamento de dados pessoais constantes do processo individual que excedam os prazos de conservação legalmente exigidos — designadamente o prazo de 5 anos para registos relativos a contribuições para a Segurança Social (Decreto Regulamentar nº 1-A/2011), o prazo de 10 anos para suporte de declarações fiscais (Lei Geral Tributária), o prazo de 20 anos para defesa em ações de responsabilidade civil. Após esgotamento dos prazos, dados como avaliações de desempenho, comunicações disciplinares, gravações de chamadas em centros de contacto, conteúdos de monitorização do correio eletrónico devem ser apagados.

No setor da saúde, o titular pode requerer o apagamento de dados clínicos quando estes já não sejam necessários para os cuidados de saúde e tenham decorrido os prazos de conservação aplicáveis. A Lei nº 14/2021 sobre acesso ao processo clínico, conjugada com a Portaria nº 247/2000 e legislação setorial, fixa prazos de conservação de processos clínicos hospitalares (geralmente 20 a 30 anos após o último contacto, ou após a morte para processos especiais). Os pedidos de apagamento devem ter em conta estes prazos e os interesses de saúde pública e de defesa em ações de responsabilidade médica.

Após resolução de conflitos com instituições financeiras, o titular pode requerer o apagamento de comunicações ao Mapa de Responsabilidades de Crédito (MRC) do Banco de Portugal quando estas tenham deixado de corresponder à realidade — designadamente quando o crédito tenha sido pago, regularizado, perdoado ou prescrito nos termos da Lei Uniforme sobre Letras e Livranças e do Código Civil. O Banco de Portugal disponibiliza canal próprio para o exercício de direitos do RGPD, mas o pedido pode ser dirigido em paralelo à instituição financeira responsável pela comunicação.

Após a maioridade, jovens podem requerer o apagamento de dados pessoais recolhidos em conexão com serviços da sociedade da informação durante a infância (artigo 17.º nº 1 alínea f) do RGPD), em particular dados constantes de redes sociais usadas com consentimento parental quando menor. Esta hipótese é particularmente importante no contexto de proteção da reputação digital e da autonomia da pessoa adulta.

Após a vivência traumática (vítimas de crime, vítimas de violência doméstica, vítimas de abuso sexual), o titular pode requerer o apagamento de dados que evoquem essa vivência e que já não sejam necessários para fins de investigação criminal ou de proteção da vítima. Sites jornalísticos, motores de busca e plataformas devem apreciar o pedido com particular sensibilidade, ponderando o direito à privacidade e o direito ao esquecimento contra o direito à informação e à liberdade de expressão. A jurisprudência portuguesa (designadamente o Acórdão da Relação de Lisboa de 2 de Junho de 2020, processo 5728/19) tem reconhecido o direito ao esquecimento em contextos de processos criminais antigos arquivados ou com cumprimento integral da pena.

O Pedido de Apagamento de Dados (Direito ao Esquecimento) em Portugal eficaz, para produzir os efeitos pretendidos perante o responsável pelo tratamento e maximizar a probabilidade de obter cumprimento dentro do prazo legal de um mês previsto no artigo 12.º nº 3 do RGPD, deve conter um conjunto preciso de elementos formais e substanciais.

Identificação completa do titular dos dados. Para garantir a identificação inequívoca pelo responsável e prevenir a recusa por falta de comprovação da identidade (artigo 12.º nº 6 do RGPD), o pedido deve conter: nome civil completo conforme Cartão de Cidadão; número de identificação civil; número de identificação fiscal (NIF); data de nascimento; morada completa com código postal NNNN-NNN; endereço de correio eletrónico; contacto telefónico; identificação inequívoca da relação com o responsável (número de cliente, número de contrato, número de conta, número de processo, identificadores específicos da plataforma).

Identificação do responsável pelo tratamento. Denominação social registada na Conservatória do Registo Comercial, NIPC, sede social, endereço de correio eletrónico oficial para questões de proteção de dados ("[email protected]" ou "[email protected]"), nome do Encarregado da Proteção de Dados (DPO) quando publicado. As organizações com mais de 250 trabalhadores, autoridades públicas e organizações que tratem dados sensíveis em larga escala devem ter DPO designado nos termos do artigo 37.º do RGPD.

Fundamento legal e específico do pedido. Diferentemente do pedido de acesso (que é genérico e exige apenas referência ao artigo 15.º), o pedido de apagamento exige a invocação específica de um ou mais dos seis fundamentos do nº 1 do artigo 17.º do RGPD: alínea a) os dados deixaram de ser necessários para a finalidade; alínea b) o titular retirou o consentimento e não há outro fundamento; alínea c) o titular opôs-se ao tratamento ao abrigo do artigo 21.º; alínea d) os dados foram tratados ilicitamente; alínea e) os dados devem ser apagados para cumprimento de obrigação jurídica; alínea f) os dados foram recolhidos no quadro de oferta de serviços da sociedade da informação a uma criança. A identificação concreta do fundamento — com factos justificativos — é determinante para a apreciação do pedido pelo responsável.

Identificação precisa dos dados a apagar. O pedido deve identificar com precisão os dados pessoais cujo apagamento é requerido — designadamente: período temporal ("todos os dados pessoais tratados desde 01/01/2018"); categorias específicas ("dados de marketing direto", "perfil de cliente", "comunicações com serviço de apoio", "gravações de chamadas"); finalidades específicas ("dados tratados para fins de marketing direto"); contextos relevantes ("dados constantes da reclamação nº [...]"). A identificação vaga ("todos os meus dados") pode dar lugar a apagamento incompleto ou a solicitação de esclarecimento pelo responsável.

Fundamentação dos factos justificativos. Para cada fundamento invocado, o pedido deve apresentar os factos concretos que o sustentam: para a alínea a) — indicar o termo da relação contratual ou da finalidade subjacente; para a alínea b) — indicar a retirada do consentimento e a inexistência de outro fundamento; para a alínea c) — indicar a oposição ao tratamento e os motivos relacionados com a situação particular do titular; para a alínea d) — identificar a violação concreta da norma do RGPD; para a alínea e) — identificar a obrigação jurídica concreta; para a alínea f) — indicar o quadro da oferta de serviços da sociedade da informação a criança.

Pedido de medidas complementares. Quando o responsável tenha tornado públicos os dados pessoais (designadamente em sítio eletrónico aberto ao público, em redes sociais, em comunicações comerciais), o titular pode pedir que o responsável adote medidas razoáveis, incluindo medidas técnicas, para informar outros responsáveis pelo tratamento que estejam a tratar esses dados pessoais — para que estes apaguem hiperligações, cópias ou reproduções (artigo 17.º nº 2 do RGPD). Esta obrigação de transmissão tem particular relevância para motores de busca, redes sociais e arquivos jornalísticos online.

Pedido de notificação dos destinatários. O artigo 19.º do RGPD obriga o responsável a comunicar a cada destinatário a quem os dados pessoais tenham sido divulgados qualquer apagamento dos dados pessoais, salvo se esta comunicação se revelar impossível ou implicar esforço desproporcionado. O titular pode requerer informação sobre os destinatários e confirmação da comunicação a estes do apagamento operado.

Referência ao prazo legal e advertência sobre incumprimento. O artigo 12.º nº 3 do RGPD impõe a resposta no prazo de um mês a contar da receção do pedido, prorrogável por mais dois meses em razão da complexidade ou número de pedidos, mediante comunicação fundamentada nos primeiros 30 dias. O incumprimento expõe o responsável a coima nos termos do artigo 83.º nº 5 do RGPD (até 20.000.000 € ou 4% do volume de negócios anual mundial total) e a responsabilidade civil pelos danos patrimoniais e não patrimoniais ao abrigo do artigo 82.º. O titular pode apresentar reclamação à CNPD em www.cnpd.pt e propor ação judicial cível.

Local, data e assinatura. O pedido deve indicar a localidade e a data em formato DD/MM/AAAA, e ser assinado pelo titular. A assinatura eletrónica qualificada com Cartão de Cidadão ou Chave Móvel Digital tem o mesmo valor da assinatura manuscrita ao abrigo do artigo 25.º do Regulamento (UE) 910/2014 (eIDAS).

A forms-legal.com disponibiliza este modelo de Pedido de Apagamento de Dados (RGPD) em Portugal como instrumento prático para o titular exercer o direito do artigo 17.º do RGPD. Documentos relacionados disponíveis no nosso catálogo incluem o Pedido de Acesso a Dados Pessoais (RGPD), instrumento prévio recomendado para identificar com precisão os dados a apagar, e a Carta de Resolução de Contrato à Distância, frequentemente complementar quando a relação contratual subjacente ao tratamento dos dados é simultaneamente cessada.

O preenchimento do Pedido de Apagamento de Dados (Direito ao Esquecimento) em Portugal segue uma sequência prática que maximiza a probabilidade de obter o apagamento efetivo dentro do prazo de um mês previsto no artigo 12.º nº 3 do RGPD.

Primeiro passo: avaliar a aplicabilidade de um dos seis fundamentos do artigo 17.º. Antes de redigir, identifique qual ou quais dos seis fundamentos do nº 1 do artigo 17.º do RGPD justificam o pedido: alínea a) desnecessidade dos dados para a finalidade; alínea b) retirada do consentimento sem outro fundamento; alínea c) oposição justificada; alínea d) tratamento ilícito; alínea e) cumprimento de obrigação jurídica; alínea f) tratamento de dados de criança. Avalie também se alguma das exceções do nº 3 do artigo 17.º (liberdade de expressão, obrigação legal de conservação, interesse público de saúde pública, fins de investigação científica ou histórica, defesa em processos judiciais) pode legitimar a recusa pelo responsável.

Segundo passo: realizar pedido de acesso prévio (recomendado). Antes do pedido de apagamento, é frequentemente útil exercer primeiro o direito de acesso ao abrigo do artigo 15.º do RGPD para obter a lista exata dos dados tratados, as finalidades, os destinatários e os prazos de conservação. Esta informação permite identificar com precisão os dados a apagar e fundamentar o pedido com referência a elementos concretos fornecidos pelo próprio responsável.

Terceiro passo: identificar o responsável e canal de receção. Confirme a entidade responsável pelo tratamento (artigo 4.º nº 7 do RGPD) e identifique o canal específico para questões de proteção de dados — geralmente endereço de correio eletrónico do DPO publicado na Política de Privacidade do sítio eletrónico, ou formulário online dedicado.

Quarto passo: redigir o pedido. Utilize estrutura formal: cabeçalho com identificação do responsável e do titular; assunto inequívoco ("Pedido de Apagamento de Dados Pessoais ao abrigo do artigo 17.º do RGPD"); referência ao fundamento legal específico (uma ou mais alíneas do nº 1 do artigo 17.º); identificação precisa dos dados a apagar (período, categorias, finalidades); fundamentação dos factos justificativos para cada alínea invocada; pedido de medidas complementares (transmissão a outros responsáveis se os dados foram públicos; notificação dos destinatários ao abrigo do artigo 19.º); referência ao prazo de um mês e ao direito de reclamação à CNPD; local, data e assinatura.

Quinto passo: enviar o pedido. Privilegie o correio eletrónico para morada oficial do DPO, com pedido de confirmação de leitura e arquivo da mensagem enviada. Para responsáveis sem morada eletrónica clara ou após não resposta, envie em paralelo por correio postal registado com aviso de receção (CTT) para a sede social. Conserve sempre prova documental do envio.

Sexto passo: aguardar resposta dentro do prazo legal. O artigo 12.º nº 3 do RGPD fixa o prazo de um mês a contar da receção do pedido. Pode ser prorrogado por mais dois meses em razão da complexidade e do número de pedidos, mediante informação ao titular nos primeiros 30 dias. O responsável que não pretenda dar seguimento ao pedido deve informar o titular dentro do prazo, com indicação dos motivos da recusa (designadamente alguma das exceções do nº 3 do artigo 17.º) e do direito de apresentar reclamação à CNPD e de instaurar ação judicial.

Sétimo passo: avaliar a resposta. Após receção, verifique: confirmação do apagamento — se o responsável confirmou que procedeu ao apagamento dos dados identificados; identificação dos dados apagados e dos dados conservados (com fundamento da conservação); confirmação da comunicação aos destinatários ao abrigo do artigo 19.º; confirmação das medidas adotadas para informar outros responsáveis quando os dados foram tornados públicos (artigo 17.º nº 2). Em caso de recusa, verifique a fundamentação da recusa em alguma das exceções do nº 3 do artigo 17.º — apreciando se a fundamentação é jurídica e factualmente sustentável.

Oitavo passo: agir em caso de não resposta, recusa infundada ou apagamento incompleto. Se o responsável não responder dentro do prazo, recusar sem fundamento legal admissível, ou apagar apenas parcialmente os dados, o titular pode: enviar nova comunicação ao responsável com fixação de prazo razoável adicional para cumprimento; apresentar reclamação à CNPD em www.cnpd.pt ao abrigo do artigo 77.º do RGPD; propor ação judicial cível para condenação do responsável e indemnização por danos patrimoniais e não patrimoniais ao abrigo do artigo 82.º do RGPD e do artigo 8.º da Lei nº 58/2019.

Nono passo: arquivar e verificar. Conserve cópia do pedido enviado, prova de envio, prova de receção, resposta do responsável e confirmação do apagamento, em arquivo seguro. Se for possível, verifique posteriormente que o apagamento foi efetivamente operado — designadamente cessando comunicações comerciais não solicitadas, deixando de receber boletins informativos, verificando que pesquisas em motores de busca pelo seu nome já não devolvem os conteúdos pretendidos.

Os requisitos legais do Pedido de Apagamento de Dados (Direito ao Esquecimento) em Portugal resultam diretamente do Regulamento (UE) 2016/679 (RGPD), executado em Portugal pela Lei nº 58/2019 de 8 de Agosto, com complementos da Lei nº 41/2004 (proteção de dados em comunicações eletrónicas) e legislação setorial aplicável.

Legitimidade. O direito ao apagamento é um direito personalíssimo do titular dos dados, exercido pelo próprio titular maior, por menor através do representante legal, ou por procurador com poderes específicos. Para titulares falecidos, o regime do artigo 17.º da Lei nº 58/2019 admite o exercício post mortem por herdeiros, salvo manifestação em contrário do titular em vida.

Destinatário do pedido. O pedido deve ser dirigido ao responsável pelo tratamento (artigo 4.º nº 7 do RGPD). Em situações de responsabilidade conjunta de múltiplos responsáveis (artigo 26.º do RGPD), o titular pode dirigir-se a qualquer um deles. Quando o pedido seja dirigido a subcontratante (artigo 4.º nº 8) que trate dados em nome de responsável, o subcontratante deve encaminhar para o responsável e informar o titular.

Fundamentos do apagamento (artigo 17.º nº 1). O direito ao apagamento exige a verificação de pelo menos um dos seis fundamentos: alínea a) os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento; alínea b) o titular retirou o consentimento em que se baseia o tratamento e não há outro fundamento jurídico para o tratamento; alínea c) o titular opôs-se ao tratamento ao abrigo do artigo 21.º nº 1 e não existem interesses legítimos prevalecentes do responsável, ou o titular opôs-se ao tratamento ao abrigo do artigo 21.º nº 2 (oposição incondicional ao marketing direto); alínea d) os dados pessoais foram tratados ilicitamente; alínea e) os dados pessoais devem ser apagados para cumprimento de obrigação jurídica decorrente do direito da União ou de Estado-Membro a que o responsável esteja sujeito; alínea f) os dados pessoais foram recolhidos no quadro da oferta de serviços da sociedade da informação a uma criança.

Obrigação de transmissão (artigo 17.º nº 2). Quando o responsável tenha tornado públicos os dados pessoais e seja obrigado a apagá-los, deve adotar medidas razoáveis, incluindo medidas técnicas, para informar os responsáveis pelo tratamento que estejam a tratar esses dados pessoais de que o titular solicitou o apagamento de qualquer hiperligação para esses dados pessoais ou de cópias ou reproduções desses dados pessoais. As medidas devem ser razoáveis tendo em conta a tecnologia disponível e o custo da execução.

Exceções (artigo 17.º nº 3). O direito ao apagamento não se aplica na medida em que o tratamento seja necessário: alínea a) ao exercício do direito à liberdade de expressão e informação; alínea b) ao cumprimento de obrigação legal a que o responsável esteja sujeito ou ao exercício de funções de interesse público ou no exercício da autoridade pública; alínea c) por motivos de interesse público no domínio da saúde pública nos termos do artigo 9.º nº 2 alíneas h) e i) e nº 3; alínea d) para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos nos termos do artigo 89.º nº 1, na medida em que o direito de apagamento seja suscetível de tornar impossível ou prejudicar gravemente a obtenção dos objetivos desse tratamento; alínea e) para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

Forma e prazo. O pedido deve ser apresentado por escrito ou em suporte duradouro, por canal acessível pelo responsável (correio eletrónico, formulário online, correio postal). O responsável deve responder no prazo de um mês a contar da receção (artigo 12.º nº 3 do RGPD), prorrogável por mais dois meses em razão da complexidade ou número de pedidos mediante informação fundamentada ao titular nos primeiros 30 dias. O responsável que não pretenda dar seguimento ao pedido deve informar o titular dentro do prazo, com indicação dos motivos e do direito de reclamação à CNPD e de ação judicial.

Gratuidade. O artigo 12.º nº 5 do RGPD estabelece a gratuidade do exercício dos direitos do titular. Pedidos manifestamente infundados ou excessivos, designadamente pelo seu caráter repetitivo, podem ser sujeitos a taxa razoável ou recusados, cabendo ao responsável o ónus da prova do caráter manifestamente infundado ou excessivo.

Notificação dos destinatários (artigo 19.º). O responsável deve comunicar a cada destinatário a quem os dados pessoais tenham sido divulgados qualquer apagamento dos dados pessoais, salvo se esta comunicação se revelar impossível ou implicar esforço desproporcionado. O titular tem direito a ser informado, mediante pedido, sobre estes destinatários.

Responsabilidade do responsável. O incumprimento do dever de apagamento nos termos do artigo 17.º do RGPD constitui contraordenação punível com coima nos termos do artigo 83.º nº 5 alínea b) do RGPD — até 20.000.000 € ou 4% do volume de negócios anual mundial total da empresa, conforme o que for superior. A CNPD aplica os artigos 37.º a 39.º da Lei nº 58/2019, com escalas próprias. O titular pode ainda exigir indemnização por danos patrimoniais e não patrimoniais nos termos do artigo 82.º do RGPD e do artigo 8.º da Lei nº 58/2019, em ação judicial cível perante o Juízo Local Cível do Tribunal Judicial da Comarca competente.

Processo perante a CNPD. A reclamação à CNPD pode ser apresentada no formulário online em www.cnpd.pt ou por correio postal para a sede em Av. D. Carlos I, 134, 1.º, 1200-651 Lisboa. As decisões da CNPD são suscetíveis de recurso para o Tribunal Administrativo de Círculo competente nos termos do CPTA (Lei nº 15/2002).

Os erros mais frequentes na elaboração e envio do Pedido de Apagamento de Dados (Direito ao Esquecimento) em Portugal podem comprometer a obtenção do apagamento efetivo e enfraquecer a posição do titular numa eventual reclamação à CNPD.

Não invocar fundamento específico do artigo 17.º. Pedidos genéricos do tipo "quero que apaguem todos os meus dados" sem identificação precisa do fundamento (alíneas a) a f) do nº 1 do artigo 17.º do RGPD) podem ser facilmente recusados pelo responsável. A formulação correta invoca expressamente o fundamento aplicável e justifica-o factualmente. Por exemplo: "Solicito o apagamento dos dados ao abrigo do artigo 17.º nº 1 alínea a) do RGPD, uma vez que cessou em [data] a relação contratual que justificou a sua recolha e decorreram os prazos legais aplicáveis de conservação fiscal e contabilística".

Ignorar as exceções do nº 3 do artigo 17.º. O direito ao apagamento não é absoluto. Pretender o apagamento de dados que devem ser conservados por obrigação legal (designadamente registos contabilísticos durante 10 anos ao abrigo da Lei Geral Tributária, registos médicos durante 20 a 30 anos, registos prudenciais bancários durante 5 a 10 anos, registos de comunicações eletrónicas durante 1 ano para fins de prevenção criminal) leva à recusa fundamentada pelo responsável. Antes de pedir o apagamento, verifique se existem regimes legais especiais de conservação aplicáveis ao seu caso.

Pedir o apagamento sem antes pedir o acesso. Pedir o apagamento sem conhecer com precisão quais os dados tratados pode dar lugar a apagamento incompleto (o responsável apaga apenas o que identifica imediatamente), a apagamento errado (apaga dados que o titular pretendia conservar), ou a impossibilidade de verificar posteriormente se o apagamento foi efetivamente operado. A boa prática é exercer primeiro o direito de acesso ao abrigo do artigo 15.º para obter o inventário completo dos dados, e só depois fundamentar o pedido de apagamento com referência a elementos concretos.

Não precisar o âmbito do pedido. Pedidos vagos sobre o âmbito (sem indicação de período temporal, categorias específicas, finalidades) dão lugar a apagamento parcial ou a solicitação de esclarecimento pelo responsável (artigo 12.º nº 6 do RGPD). A formulação correta especifica: período temporal ("todos os dados pessoais tratados desde 01/01/2018"); categorias específicas ("dados de marketing direto", "perfil de cliente", "comunicações com serviço de apoio"); finalidades específicas ("dados tratados para fins de marketing direto").

Não pedir notificação dos destinatários. O artigo 19.º do RGPD obriga o responsável a comunicar a cada destinatário a quem os dados foram divulgados qualquer apagamento, salvo impossibilidade ou esforço desproporcionado. A omissão deste pedido pode dar lugar a apagamento limitado à esfera do responsável principal, sem efeito sobre cópias divulgadas a parceiros, subcontratantes ou outros responsáveis. Inclua sempre o pedido expresso de comunicação aos destinatários.

Não pedir transmissão a outros responsáveis quando os dados foram tornados públicos. Quando o responsável tenha tornado os dados públicos (designadamente em sítio eletrónico, redes sociais, comunicações comerciais públicas), o artigo 17.º nº 2 do RGPD obriga-o a adotar medidas razoáveis para informar outros responsáveis pelo tratamento. A omissão deste pedido pode dar lugar a apagamento na fonte original sem efeito sobre cópias e reproduções espalhadas pela internet. Inclua o pedido de transmissão para motores de busca, redes sociais, agregadores de notícias e outros destinatários conhecidos.

Desistir após primeira recusa. Recusas pelo responsável fundadas em alegada exceção do nº 3 do artigo 17.º devem ser objeto de análise crítica. Frequentemente, a invocação de exceção é genérica ou desproporcionada — designadamente invocação de "defesa em processo judicial" sem que exista processo concreto, invocação de "liberdade de expressão e informação" para conservar conteúdos sem interesse público atual, ou invocação de "obrigação legal" sem identificação concreta da norma aplicável. Em caso de recusa fundada em exceção pouco sustentada, apresente reclamação à CNPD em www.cnpd.pt e considere ação judicial.

Não verificar o cumprimento posterior. Após receção da confirmação do apagamento pelo responsável, é prudente verificar que o apagamento foi efetivamente operado — designadamente: cessar de receber comunicações comerciais; verificar que as pesquisas em motores de busca já não devolvem os conteúdos; constatar que a conta na plataforma já não permite acesso. Se constatar incumprimento efetivo apesar de confirmação formal, registe a evidência (capturas de ecrã com data) e apresente reclamação adicional à CNPD com prova do incumprimento.