O RGPD (Regulamento Geral sobre a Proteção de Dados) e a legislação portuguesa de proteção de dados, nomeadamente a Lei n.º 58/2019, impõem obrigações rigorosas aos operadores de e-commerce. A CNPD (Comissão Nacional de Proteção de Dados) é a autoridade de controlo em Portugal, responsável por supervisionar a conformidade e aplicar sanções em caso de incumprimento. Para lojas online, a conformidade com estas regras não é apenas uma obrigação legal, mas também um fator de confiança junto dos consumidores portugueses.
Gestão de cookies e consentimento
É necessário obter consentimento prévio e explícito antes da colocação de cookies não essenciais no dispositivo do utilizador. O banner de cookies deve permitir aceitar, recusar ou personalizar as preferências com igual facilidade, sem recurso a dark patterns que dificultem a recusa. Os cookies estritamente necessários ao funcionamento do site (como cookies de sessão e de carrinho de compras) não requerem consentimento, mas devem ser informados. Os cookies analíticos (Google Analytics, por exemplo) e de publicidade (Facebook Pixel, Google Ads) requerem consentimento prévio explícito. A CNPD tem sido particularmente ativa na fiscalização de banners de cookies, tendo emitido orientações específicas sobre esta matéria.
Política de privacidade obrigatória
O site de e-commerce deve incluir uma política de privacidade clara e acessível, redigida em português, informando sobre: os dados pessoais recolhidos e as finalidades do tratamento, a base jurídica para cada tratamento (consentimento, execução de contrato, interesse legítimo), os destinatários ou categorias de destinatários dos dados, os prazos de conservação aplicáveis, os direitos dos titulares dos dados e como exercê-los, e os dados de contacto do responsável pelo tratamento e, se aplicável, do Encarregado de Proteção de Dados (DPO). A política deve ser acessível a partir de todas as páginas do site, tipicamente no rodapé.
Direitos dos clientes e prazos de resposta
Os clientes têm direito de acesso aos seus dados pessoais, retificação de dados incorretos, apagamento (direito ao esquecimento), portabilidade dos dados para outro prestador, oposição ao tratamento e limitação do tratamento. Os pedidos de exercício de direitos devem ser respondidos no prazo máximo de um mês, prorrogável por dois meses em casos de complexidade. A nomeação de um DPO é obrigatória para empresas que tratem dados em grande escala ou que realizem monitorização sistemática de indivíduos, o que pode aplicar-se a lojas online com programas de fidelização ou personalização avançada.
Sanções e fiscalização da CNPD
A CNPD pode aplicar coimas até 20 milhões de euros ou 4% do volume de negócios anual global, consoante o valor mais elevado, para as infrações mais graves. Para infrações menos graves, as coimas podem atingir 10 milhões de euros ou 2% do volume de negócios. Além das coimas, a CNPD pode ordenar a suspensão do tratamento de dados, o que para um e-commerce pode significar a paralisação da atividade. A Zunapro assegura a conformidade completa com o RGPD para a sua plataforma de e-commerce em Portugal, incluindo auditorias de privacidade, implementação de banners de cookies conformes e redação de políticas de privacidade.
