Panorama del RGPD Portugués 2026 — Lectura rápida
Portugal aplica íntegramente el RGPD/GDPR de la UE 2016/679 (RGPD), complementado con la ley nacional Lei n.º 58/2019 (LPDP) publicada el 8 de agosto de 2019. La autoridad de control es la CNPD (Comissão Nacional de Proteção de Dados), con sede en Lisboa. Todo operador de e-commerce portugués debe contar con un banner de cookies conforme, una política de privacidad en portugués, un registro de actividades de tratamiento (ROPA), Acuerdos de Encargo del artículo 28 con cada encargado, y capacidad operativa para atender solicitudes de interesados en 30 días y notificar a la CNPD las brechas en 72 horas. Las multas alcanzan hasta 20 M€ o el 4% de la facturación anual global —la CNPD ha impuesto sanciones millonarias desde 2018.
El panorama portugués de protección de datos en 2026
Tres instrumentos legales y una autoridad de control regulan los datos personales para cualquier e-commerce en Portugal. El siguiente resumen de fichas conviene tenerlo a mano al leer cada apartado en detalle.
RGPD — Regulamento Geral de Proteção de Dados
Reglamento UE 2016/679 · en vigor desde el 25 de mayo de 2018 · aplicable directamente en los 27 Estados miembros de la UE, incluido Portugal
Lei n.º 58/2019 — LPDP portuguesa
Ley nacional de transposición · publicada el 8 de agosto de 2019 · añade especificidades nacionales sobre edad de consentimiento, videovigilancia y tratamiento con fines periodísticos
CNPD — Comissão Nacional de Proteção de Dados
Autoridad portuguesa de protección de datos · fundada en 1994 · sede en Av. D. Carlos I 134, Lisboa · 7 comisionados elegidos por el parlamento
Ecosistema RGPD de la UE — CEPD y DPF
El CEPD armoniza criterios entre autoridades de control · el DPF UE-EE. UU. (julio de 2023) reactiva las transferencias a EE. UU.
DPO / EPD — Encarregado de Proteção de Dados
Obligatorio en caso de monitorización a gran escala o tratamiento de categorías especiales de datos · independiente · datos de contacto publicados en el registro de la CNPD y en la política de privacidad
Transferencias transfronterizas — SCC + DPF
Cláusulas Contractuales Tipo (SCC de la UE de 2021) · importadores certificados por el Marco de Privacidad de Datos UE-EE. UU. · Evaluación de Impacto de la Transferencia (TIA) obligatoria
¿Listo para que tu tienda portuguesa cumpla con la CNPD?
Zunapro integra el cumplimiento del RGPD en cada conexión con marketplaces portugueses: banner de consentimiento, registro de actividades, DPA del artículo 28, flujo de solicitudes de interesados y protocolo de brecha de 72 horas. Cumplimiento como infraestructura, no como algo añadido después.
1. RGPD y Lei 58/2019 — el marco portugués de dos capas
RGPD: un reglamento, 27 países
El Regulamento Geral de Proteção de Dados (RGPD) es la denominación en portugués del Reglamento UE 2016/679, adoptado el 27 de abril de 2016 y aplicable desde el 25 de mayo de 2018. Como reglamento de la UE (no una directiva), el RGPD tiene efecto directo en Portugal: sus 99 artículos vinculan a todo responsable y encargado del tratamiento establecido en Portugal, así como a cualquier responsable fuera de la UE que ofrezca bienes o servicios a personas en Portugal (artículo 3.2, extraterritorialidad).
Las mismas obligaciones se aplican tanto si el operador es un autónomo en Lisboa, una sociedade por quotas (Lda) en Oporto, una empresa alemana que envía a Portugal, o un vendedor estadounidense de Shopify dirigido a consumidores portugueses. El reglamento es neutral en tecnología y basado en el riesgo: los tratamientos de alto riesgo (perfilado, categorías especiales, monitorización a gran escala) generan obligaciones más estrictas.
Lei 58/2019: la capa portuguesa
El RGPD deja deliberadamente más de 50 «cláusulas de apertura» a los Estados miembros. Portugal ejerció esas opciones mediante la Lei n.º 58/2019, de 8 de agosto —la Lei de Proteção de Dados Pessoais (LPDP)— publicada más de un año después de la fecha de aplicación del RGPD, en sustitución de la anterior Lei 67/98. La LPDP añade reglas específicas de Portugal sobre el RGPD:
- Edad de consentimiento — 13 años (artículo 16 de la LPDP, por debajo de los 16 años por defecto del RGPD). Los menores de 13 años requieren consentimiento parental verificable.
- Régimen de videovigilancia (artículos 19-22 de la LPDP) — señalización de CCTV, conservación (30 días por defecto), notificación a la CNPD para espacios públicos.
- Tratamiento periodístico/académico/artístico (artículo 24 de la LPDP) — exenciones limitadas que equilibran protección de datos y libertad de expresión.
- Infracciones administrativas (artículos 37-50 de la LPDP) — reglas procedimentales específicas de Portugal que complementan las multas del artículo 83 del RGPD.
Lei das Comunicações Eletrónicas — la capa de cookies
Un tercer instrumento completa el marco: la Lei n.º 41/2004, la transposición portuguesa de la Directiva ePrivacy de la UE 2002/58/CE. El artículo 5.3 es la base legal del requisito de consentimiento de cookies: las cookies, píxeles, fingerprinting y tecnologías de almacenamiento local requieren un consentimiento previo, libre e informado, independientemente de si tratan datos personales. Toda tienda online portuguesa necesita un banner de cookies por la normativa de ePrivacy, no por el RGPD en sí.
💡 Lee la guía completa de integración con marketplaces portugueses
Conecta Amazon.es/.fr, Worten, Fnac, Continente y KuantoKusta con captura de consentimiento conforme al RGPD y generación de registro de actividades incluida.
2. CNPD — la autoridad portuguesa de protección de datos
La institución
La Comissão Nacional de Proteção de Dados (CNPD) es la autoridad de control independiente de Portugal. Creada por la Lei n.º 10/91, de 29 de abril, es una de las autoridades de protección de datos más antiguas de la UE, anterior en cuatro años a la Directiva de Protección de Datos de 1995. La CNPD opera bajo la supervisión de la Assembleia da República con plena independencia funcional y decisoria (artículo 52 del RGPD).
La CNPD está compuesta por siete miembros: un presidente elegido por el parlamento para un mandato único de cinco años, más seis miembros (dos parlamentarios, dos gubernamentales, dos cooptados). Su sede está en Avenida D. Carlos I, n.º 134, 1200-651 Lisboa.
Los poderes de la CNPD
En virtud de los artículos 57-58 del RGPD, complementados por la Lei 58/2019:
- Investigador — solicitar información, realizar auditorías e inspecciones, acceder a instalaciones y registros de tratamiento
- Correctivo — advertencias, apercibimientos, órdenes de cumplimiento de solicitudes de interesados, rectificación, supresión, prohibiciones de tratamiento, suspensión de flujos transfronterizos
- Multas administrativas — hasta 20 millones de euros o el 4% de la facturación anual global
- Autorización y asesoramiento — aprobar BCR, SCC, mecanismos de certificación; asesorar al parlamento y al gobierno
Cómo contactar con la CNPD
- Sitio web —
cnpd.pt(registro de resoluciones, formulario de reclamación, formulario de notificación de brechas) - Correo general —
[email protected] - Notificación de brechas — formulario online dedicado en cnpd.pt
- Registro del DPO — formulario online, datos de contacto requeridos en un plazo de 30 días tras el nombramiento
La CNPD frente a otras autoridades de la UE — el estilo portugués
El estilo de aplicación de la CNPD es moderado pero técnicamente riguroso. En comparación con la AEPD española (muy litigante, miles de resoluciones al año) o la CNIL francesa (grandes anuncios públicos de sanciones), la CNPD emite menos resoluciones pero se centra en infracciones sistémicas y coopera estrechamente a través del mecanismo de coherencia del CEPD. El e-commerce portugués suele atraer la atención de la CNPD por tres vías: reclamaciones de interesados, notificaciones obligatorias de brechas y auditorías desencadenadas por escrutinio mediático o político.
🛡️ Zunapro se sincroniza automáticamente con los requisitos de la CNPD
Plantilla de registro de actividades, protocolo de brechas, flujo de solicitudes de interesados y ficha de contacto del DPO —todo preconfigurado en el formato de la CNPD y en portugués orientado al consumidor.
3. Banner de consentimiento de cookies — obligatorio en toda web portuguesa
La base legal
La obligación de consentimiento de cookies tiene dos bases legales complementarias en Portugal: el artículo 5.3 de la Directiva ePrivacy 2002/58/CE de la UE, transpuesta por la Lei n.º 41/2004, y los requisitos de consentimiento del artículo 7 del RGPD. El efecto combinado es que cualquier cookie, píxel, SDK, script de fingerprinting, objeto de almacenamiento local o tecnología de seguimiento similar que no sea estrictamente necesaria para prestar el servicio solicitado expresamente por el usuario requiere un consentimiento previo, libre, específico, informado e inequívoco.
Qué se considera «estrictamente necesario»
Una categoría reducida está exenta de consentimiento por ser estrictamente necesaria para el servicio solicitado: cookies de sesión (inicio de sesión, carrito), tokens CSRF, cookies de balanceo de carga, la propia cookie de preferencia de consentimiento, el estado del reproductor multimedia para contenido solicitado activamente y la personalización de la interfaz elegida por el usuario (idioma, modo oscuro). Todo lo demás —GA4, Meta Pixel, TikTok Pixel, Hotjar, Clarity, retargeting, cookies de pruebas A/B, fuentes de CDN de terceros, reproductores de YouTube/Vimeo integrados, botones de redes sociales que cargan antes de cualquier interacción— requiere consentimiento explícito de opt-in antes de su instalación.
Cómo es un banner conforme
Las Orientações sobre cookies (2019/494) de la CNPD, actualizadas en 2022, definen los requisitos mínimos:
- La primera capa debe ofrecer «Aceptar», «Rechazar» y «Gestionar preferencias». Rechazar debe ser igual de visible que Aceptar (mismo color, tamaño, posición). Los botones de rechazo con texto desvanecido tipo dark pattern están prohibidos (CEPD).
- La segunda capa — interruptores granulares por categoría no esencial, desactivados por defecto.
- Sin cookie walls — denegar el acceso al rechazar es ilegal (Directrices 05/2020 del CEPD).
- Sin «seguir navegando equivale a consentir» — desplazarse o navegar no constituye consentimiento.
- Retirada tan fácil como otorgar el consentimiento — botón flotante persistente o enlace en el pie de página.
- Renovar la solicitud cada 6-12 meses, registro de auditoría del consentimiento según el artículo 7.1 del RGPD.
La trampa del botón Rechazar: el hallazgo más común en las auditorías de la CNPD de 2024-2026 son los banners asimétricos: un llamativo botón verde «Aceptar todo» junto a un pequeño texto gris subrayado de «Rechazar». Esto se considera un fallo en la obtención de un consentimiento válido y expone cada instalación de cookies a sanciones. Usa el banner de consentimiento de Zunapro validado por la CNPD →
Niveles del banner de consentimiento — qué categorías ofrecer
🍪 Lee la guía completa de consentimiento de cookies en Portugal
Las Orientações 2019/494 de la CNPD línea por línea, checklist de dark patterns, configuración de Consent Mode v2 para GA4, y el banner de consentimiento integrado de Zunapro, previamente validado para el público portugués.
4. Política de privacidad — obligatoria y siempre actualizada
El deber de información del artículo 13
Los artículos 12, 13 y 14 del RGPD exigen a todo responsable proporcionar a los interesados información completa en el momento de la recogida de datos. En una tienda online, ese momento suele ser cada envío de formulario —registro, checkout, newsletter, contacto, formulario de reseñas. En la práctica, esta información se recoge en un único documento, la política de privacidad (Política de Privacidade), enlazada desde cada página y presentada de nuevo en cada punto de recogida.
Contenido mínimo obligatorio
Una política de privacidad defendible ante la CNPD en 2026 incluye, como mínimo:
- Identidad del responsable — razón social, NIPC, domicilio social, correo de contacto
- Contacto del DPO si se ha nombrado — correo dedicado como
[email protected] - Finalidades del tratamiento — lista detallada (gestión de pedidos, atención al cliente, marketing, analítica, prevención de fraude, contabilidad)
- Base jurídica por finalidad — artículo 6.1 del RGPD (consentimiento, contrato, obligación legal, intereses vitales, interés público, intereses legítimos)
- Test de ponderación de intereses legítimos cuando se invoca el artículo 6.1.f
- Destinatarios — pasarelas de pago, transportistas, marketplaces, hosting en la nube, proveedores de correo electrónico
- Transferencias internacionales — países de destino, mecanismo (SCC / decisión de adecuación / DPF), enlace a las garantías
- Plazos de conservación por categoría (facturas 10 años, marketing mientras subsista el consentimiento, analítica 14 meses)
- Derechos de los interesados — enumeración completa incluyendo el derecho a reclamar ante la CNPD
- Carácter legal o contractual de la aportación de datos y consecuencias de la negativa
- Decisiones automatizadas y perfilado, en su caso, incluyendo lógica y trascendencia
- Fecha de última actualización e historial de versiones
Portugués claro — artículo 12 del RGPD
El artículo 12.1 del RGPD exige una política concisa, transparente, inteligible y de fácil acceso, en lenguaje claro y sencillo. La CNPD ha criticado repetidamente políticas redactadas únicamente en inglés dirigidas a consumidores portugueses (el artículo 2 de la Lei 58/2019 refuerza el requisito del idioma portugués), la reutilización de plantillas genéricas sin nombrar a los encargados reales, ocultar información esencial en jerga legal de 10.000 palabras, o combinar la política de privacidad con los términos de uso.
Aviso por capas — buena práctica
La CNPD respalda el enfoque de aviso por capas promovido por el CEPD: un resumen breve al principio (1-2 párrafos sobre identidad, finalidades y derechos), seguido de detalles completos en secciones desplegables, más una «hoja informativa» en cada formulario (un aviso de recogida de 2-3 frases que enlaza a la política completa) para cumplir el artículo 13.
📜 Política de privacidad portuguesa generada automáticamente
Zunapro genera una política de privacidad en portugués defendible ante la CNPD, basada en tus integraciones reales con marketplaces, proveedores de pago y herramientas de analítica —actualizada automáticamente al conectar un nuevo encargado del tratamiento.
5. Nombramiento del DPO — cuándo y cómo
¿Cuándo es obligatorio un DPO?
El artículo 37 del RGPD exige un DPO (Encarregado de Proteção de Dados — EPD) en tres escenarios: (a) autoridades públicas (excepto tribunales); (b) actividad principal = monitorización sistemática a gran escala; (c) actividad principal = tratamiento a gran escala de categorías especiales de datos o datos penales. Para el e-commerce portugués, el desencadenante práctico suele ser el (b). Las Directrices del CEPD (WP 243 rev.01, adoptadas por la CNPD) aclaran que la «actividad principal» excluye funciones accesorias como la nómina; «gran escala» es contextual (número de interesados, volumen, duración, alcance geográfico).
Ejemplos prácticos de umbrales
Umbrales del mundo real donde un DPO es muy recomendable u obligatorio:
- 10.000+ clientes en CRM con segmentación de comportamiento
- Retargeting activo en Meta + Google Ads + TikTok con emparejamiento entre dispositivos
- Programa de fidelización que rastrea el historial de transacciones entre canales y a lo largo del tiempo
- Operador de marketplace que gestiona simultáneamente datos de vendedores y compradores
- E-commerce de salud, belleza o farmacia que trata datos que pueden calificarse como datos de salud del artículo 9
- Tienda de productos infantiles con flujos de consentimiento parental para menores de 13 años
Qué hace el DPO
Los artículos 38-39 del RGPD establecen las funciones y protecciones del DPO:
- Informar y asesorar al responsable, al encargado y a los empleados sobre sus obligaciones
- Supervisar el cumplimiento del RGPD, la Lei 58/2019 y las políticas internas, incluida la formación
- Asesorar sobre EIPD cuando las activa el artículo 35
- Cooperar con la CNPD como punto de contacto con la autoridad de control
- Independencia — no puede recibir instrucciones sobre sus funciones ni ser destituido por su desempeño (artículo 38.3)
- Sin conflicto de intereses — el DPO no puede ser CEO, director de marketing, director de TI o director de RR. HH.
DPO interno frente a externo + registro en la CNPD
Un DPO puede ser un empleado o un proveedor de servicios contratado. Para las pymes portuguesas, un DPO externo como servicio suele costar entre 350 € y 1.500 €/mes según la complejidad. El artículo 37.7 del RGPD obliga al responsable a publicar los datos de contacto del DPO y notificarlo a la CNPD mediante su formulario online, actualizado en un plazo de 30 días tras cualquier cambio. No notificarlo constituye una infracción procedimental sancionable con hasta 10 M€ o el 2% de la facturación.
👤 DPO-as-a-Service para vendedores portugueses
Zunapro colabora con especialistas portugueses en RGPD para ofrecer servicios externos de DPO desde 350 €/mes —registro en la CNPD, apoyo en EIPD, protocolo de brechas y auditoría trimestral de cumplimiento incluidos.
6. Derechos de los interesados — SLA operativo
Los ocho derechos de los interesados portugueses
El Capítulo III del RGPD otorga a toda persona (ya sea cliente, prospecto, contacto de proveedor o empleado) un conjunto de derechos exigibles:
- Derecho a ser informado (artículos 13-14) — ejercido a través de la política de privacidad y los avisos de recogida
- Derecho de acceso (artículo 15) — confirmación de que se tratan datos, más una copia de los datos y del contexto del tratamiento
- Derecho de rectificación (artículo 16) — corrección de datos inexactos o incompletos
- Derecho de supresión (artículo 17, «derecho al olvido») — eliminación cuando concurra uno de los seis motivos
- Derecho a la limitación del tratamiento (artículo 18) — «congelación» temporal a la espera de verificación
- Derecho a la portabilidad de los datos (artículo 20) — exportación legible por máquina de los datos aportados por el interesado
- Derecho de oposición (artículo 21) — absoluto frente a la mercadotecnia directa; test de ponderación para otros tratamientos
- Derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado (artículo 22) — incluido el perfilado con efectos jurídicos o de importancia similar
Plazo de respuesta — artículo 12.3 del RGPD
Los responsables deben responder en un plazo de 30 días, ampliable en dos meses por complejidad o volumen —la ampliación debe comunicarse dentro del primer mes indicando los motivos. Para el e-commerce portugués que gestiona miles de registros en varios marketplaces, este SLA es operativamente exigente. La mayoría de los incumplimientos se originan por datos fragmentados dispersos entre Shopify, Amazon Seller Central, Worten Marketplace, correo electrónico y software de contabilidad. Un registro de datos de clientes centralizado como el de Zunapro reduce el tiempo de respuesta del artículo 15 de días a minutos.
Verificación de identidad y denegación
El artículo 12.6 del RGPD permite una verificación de identidad adicional solo cuando existan dudas razonables. Práctica habitual: validar el correo electrónico registrado, solicitar opcionalmente un documento de identidad con datos tachados. La denegación solo se permite cuando la solicitud sea manifiestamente infundada o excesiva; el responsable debe demostrarlo y, alternativamente, puede cobrar una tarifa razonable.
Derecho de supresión frente a conservación legal
Tensión operativa habitual: un cliente exige la supresión al amparo del artículo 17, pero el responsable debe conservar las facturas 10 años (Código do IVA, artículo 52) y los registros contables 10 años (Código Comercial, artículo 40). El artículo 17.3.b del RGPD resuelve esto: la supresión no se aplica a datos tratados para cumplir una obligación legal. Manejo práctico: anonimizar los datos de marketing y comportamiento, conservar los datos de facturación/contabilidad en un archivo bloqueado con acceso restringido, e informar al cliente por escrito de qué se eliminó y qué se conservó.
Consejo operativo: construye un flujo de solicitudes de interesados que genere registros listos para auditoría: marca de tiempo de recepción, verificación de identidad, alcance de la búsqueda, datos exportados, tachados aplicados, respuesta entregada. La CNPD solicitará este rastro en cualquier auditoría motivada por una reclamación. El flujo de solicitudes de interesados de Zunapro →
7. Violación de datos personales — la ventana de notificación de 72 horas
Qué se considera una brecha
El artículo 4.12 del RGPD define una violación de datos personales como «una violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos». Tres categorías se solapan en la práctica:
- Violación de confidencialidad — divulgación o acceso no autorizado (filtración de datos, exfiltración por hackers, correo mal dirigido)
- Violación de integridad — alteración no autorizada de datos (manipulación de bases de datos, cifrado por ransomware)
- Violación de disponibilidad — pérdida de acceso a los datos (bloqueo por ransomware sin recuperación, destrucción de servidores)
Notificación a la CNPD — artículo 33
Cuando se produce una brecha, el responsable debe notificar a la CNPD en un plazo de 72 horas desde que tenga constancia de ella, salvo que sea improbable que suponga un riesgo para los derechos y libertades de las personas físicas. La notificación debe incluir:
- La naturaleza de la brecha, incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros afectados
- El nombre y los datos de contacto del DPO u otro punto de contacto
- Las posibles consecuencias de la brecha
- Las medidas adoptadas o propuestas para abordar la brecha y mitigar sus posibles efectos adversos
Cuando no pueda facilitarse la información completa en 72 horas, se admite una notificación parcial, con el resto a facilitar sin dilación indebida. El formulario online de notificación de brechas de la CNPD admite actualizaciones incrementales: la notificación inicial puede ser un aviso provisional seguido de actualizaciones detalladas en los días siguientes.
Notificación a los interesados — artículo 34
Si la brecha puede suponer un alto riesgo para los derechos y libertades, el responsable también debe comunicarla a los interesados afectados sin dilación indebida, en portugués claro, describiendo la brecha de forma concreta, con contacto del DPO, consecuencias y medidas de mitigación. Tres excepciones del artículo 34.3 eximen de la notificación directa: los datos estaban cifrados con claves no comprometidas, medidas posteriores eliminaron el alto riesgo, o la notificación exigiría un esfuerzo desproporcionado (en cuyo caso se requiere en su lugar una comunicación pública).
Registro interno de brechas y protocolo 2026
El artículo 33.5 del RGPD exige documentar todas las violaciones de datos personales (incluso las de bajo riesgo que no requirieron notificación): marca de tiempo de conocimiento, origen de la detección, clasificación, alcance, categorías y número de interesados, evaluación del riesgo, decisión de notificación y marcas de tiempo, subsanación, análisis de causa raíz, lecciones aprendidas. Un protocolo operativo de 72 horas:
- Hora 0 — Detección — alerta, triaje inmediato, identificación del alcance
- Horas 0-4 — Contención — revocar credenciales, aislar sistemas, preservar evidencias forenses
- Horas 4-24 — Evaluación del riesgo — el DPO dirige el análisis y la decisión de notificación
- Horas 24-48 — Notificación inicial a la CNPD mediante el formulario cnpd.pt (aviso provisional aceptable)
- Horas 48-72 — Notificación completa, decisión sobre la comunicación a los interesados del artículo 34
- Días 3-7 — Comunicación a los interesados si es necesario (correo + comunicado público)
- A partir del día 7 — Lecciones aprendidas, actualización del registro, seguimiento con la CNPD
El plazo empieza con la «constancia», no con la «ocurrencia». Una brecha ocurrida hace semanas pero detectada hoy sigue activando una ventana de 72 horas desde su detección. Por el contrario, sospechar que «algo podría no estar bien» aún no constituye constancia; solo la certeza razonable de que se ha producido una brecha inicia el plazo. Detección de brechas + protocolo de 72h de Zunapro →
8. Transferencias internacionales de datos — SCC tras Schrems II
El terremoto de Schrems II
El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea dictó su sentencia Schrems II (C-311/18), invalidando el marco del Escudo de Privacidad UE-EE. UU. que hasta entonces regulaba unos 5.000 flujos de datos transatlánticos. El tribunal reafirmó la validez de las Cláusulas Contractuales Tipo (SCC), pero añadió una condición crítica: el responsable debe verificar que la ley y la práctica del país de destino ofrecen una protección esencialmente equivalente al RGPD; de no ser así, deben implementarse medidas suplementarias o detenerse la transferencia.
El kit de transferencias 2026
Cinco mecanismos del Capítulo V del RGPD pueden autorizar legalmente transferencias fuera del EEE:
- Artículo 45 — Decisión de adecuación — actualmente: Andorra, Argentina, Canadá (comercial), Islas Feroe, Guernsey, Israel, Isla de Man, Japón, Jersey, Nueva Zelanda, Corea del Sur, Suiza, Reino Unido, Uruguay. Islandia, Liechtenstein y Noruega cuentan como EEE.
- Artículo 46 — Garantías adecuadas — SCC, BCR, códigos de conducta aprobados, certificaciones.
- Artículo 47 — Normas Corporativas Vinculantes — intragrupo, aprobadas por la autoridad principal y el CEPD.
- Artículo 49 — Excepciones — consentimiento explícito (solo ocasional), necesidad contractual, intereses públicos/vitales. No para la actividad empresarial habitual.
- Marco de Privacidad de Datos UE-EE. UU. (DPF) — en vigor desde el 10 de julio de 2023, en sustitución del Escudo de Privacidad. Los importadores estadounidenses autocertificados (AWS, Google, Microsoft, Meta, Salesforce, HubSpot, Mailchimp, Stripe, Shopify) reciben así una base de adecuación del artículo 45.
Las SCC de la UE de 2021 + Evaluación de Impacto de la Transferencia
Las SCC de 2021 de la Comisión (Decisión de Ejecución 2021/914) son modulares con cuatro escenarios: responsable→responsable, responsable→encargado, encargado→encargado, encargado→responsable. Las antiguas SCC de 2010 quedaron derogadas para nuevos contratos desde el 27 de septiembre de 2021 y para todos los contratos desde el 27 de diciembre de 2022 —cualquier SCC de 2010 vigente en 2026 no es válida y debe migrarse de inmediato.
Tras Schrems II y las Recomendaciones 01/2020 del CEPD, los responsables deben completar una Evaluación de Impacto de la Transferencia (TIA) para cada transferencia sin decisión de adecuación: mapeo de la transferencia, mecanismo (SCC/BCR/DPF), evaluación de la normativa de acceso gubernamental del tercer país (FISA 702 en EE. UU.), medidas suplementarias (cifrado en reposo con claves gestionadas en la UE, seudonimización), conclusión sobre la equivalencia esencial de la protección. La CNPD no exige la presentación previa de la TIA, pero la exigirá en cualquier auditoría que implique a encargados fuera del EEE.
Stack práctico 2026
- Nube (AWS / GCP / Azure) — certificado DPF + regiones de la UE; preferir regiones de la UE, documentar el DPF como respaldo
- Correo electrónico (Mailchimp, SendGrid) — certificado DPF; alternativas de la UE como Brevo suelen ser preferibles
- Analítica (GA4) — certificado DPF + Consent Mode v2 + anonimización de IP
- Atención al cliente (Zendesk, Intercom) — DPF + complementos de residencia de datos en la UE disponibles
- API de marketplaces (Amazon SP-API) — enrutadas por la UE para cuentas de vendedor europeas
🌍 Residencia de datos en la UE por defecto
Zunapro aloja todos los datos de clientes portugueses en regiones de la UE (Fráncfort + failover en Lisboa), con respaldo certificado DPF para cualquier subencargado exclusivamente en EE. UU. Las plantillas TIA vienen precompletadas para tu stack.
9. Multas de la CNPD — hasta 20 M€ o el 4% de la facturación global
Sanciones escalonadas del artículo 83
El artículo 83 del RGPD establece dos niveles de multa, pudiendo la CNPD imponer el mayor entre el límite fijo o el porcentaje de facturación:
| Nivel | Multa máxima | Infracciones cubiertas |
|---|---|---|
| Nivel 1 (artículo 83.4) | 10 M€ o 2% de la facturación anual global | Registros (art. 30), seguridad (art. 32), notificación de brechas (art. 33-34), nombramiento del DPO (art. 37-39), EIPD (art. 35-36), consentimiento de menores (art. 8), certificación, códigos de conducta |
| Nivel 2 (artículo 83.5) | 20 M€ o 4% de la facturación anual global | Base jurídica (art. 5-6), condiciones del consentimiento (art. 7), categorías especiales (art. 9), derechos de los interesados (art. 12-22), transferencias internacionales (art. 44-49), incumplimiento de órdenes de la CNPD |
| Lei 58/2019 | Infracciones administrativas específicas de Portugal | Los artículos 37-50 de la LPDP añaden multas graduales para asuntos específicamente portugueses (CCTV sin señalización, incumplimiento de la exención periodística, etc.) |
Cómo calcula la CNPD la multa
Factores del artículo 83.2 que pondera la CNPD: naturaleza, gravedad y duración; carácter intencionado o negligente; esfuerzos de mitigación; medidas técnicas y organizativas; infracciones previas; cooperación con la CNPD; categorías de datos afectados; forma en que se conoció la infracción; adhesión a códigos de conducta; beneficios financieros obtenidos o pérdidas evitadas.
Multas destacadas de la CNPD — trayectoria
- 4,3 M€ — INE (Instituto Nacional de Estatística, 2021) — transferencia de datos censales a un subencargado en EE. UU. sin garantías del artículo 46; la mayor multa RGPD portuguesa hasta la fecha
- 1,25 M€ — Hospital do Barreiro (2018) — acceso excesivo a historiales clínicos; la sanidad es un sector prioritario para la CNPD
- 400.000 € — Câmara Municipal de Lisboa (2021) — divulgación de datos personales de organizadores de manifestaciones
- 170.000 € — Banco Santander Totta (2021) — respuesta inadecuada a solicitudes de interesados
- Múltiples multas de 10.000-75.000 € a pymes por banners de cookies, falta de contacto del DPO y notificaciones de brechas fuera de plazo
Más allá de la multa — responsabilidad civil
El artículo 82 del RGPD otorga a los interesados un derecho a indemnización por daños materiales o inmateriales. Los tribunales portugueses han empezado a conceder indemnizaciones por daño moral (ansiedad, pérdida de control) de 500-5.000 € por interesado afectado —multiplicado por miles de interesados, la responsabilidad civil puede superar con creces la multa administrativa. La cobertura mediática de las resoluciones de la CNPD es constante y perjudicial para la reputación, especialmente en marcas B2C.
💼 Recomendaciones de seguro cibernético + RGPD
La mayoría de las aseguradoras comerciales portuguesas ofrecen ya pólizas específicas de ciber-RGPD que cubren multas de la CNPD (cuando son asegurables), responsabilidad civil del artículo 82 y costes de respuesta ante brechas. Zunapro publica una lista de corredores verificados.
10. La checklist de cumplimiento del RGPD 2026 para el e-commerce portugués
El recurso más útil para traducir la normativa en operativa es una checklist concreta. La siguiente lista resume cada punto accionable de esta guía, ordenado por riesgo de aplicación.
Gobernanza y documentación
- Nombrar un DPO si concurren los criterios del artículo 37 y registrarlo ante la CNPD
- Mantener un ROPA (artículo 30) que cubra cada finalidad, base jurídica, categoría, plazo de conservación, destinatario y transferencia
- Realizar una EIPD (artículo 35) para tratamientos de alto riesgo
- Firmar DPA del artículo 28 con cada encargado (nube, correo, analítica, marketplaces, pagos, transportistas)
- Documentar TIA para cada transferencia fuera del EEE
- Mantener un registro interno de brechas (artículo 33.5)
De cara al usuario
- Publicar una política de privacidad en portugués que cubra cada elemento del artículo 13/14, por capas y versionada
- Desplegar un banner de cookies conforme a la CNPD —Aceptar/Rechazar simétricos, categorías granulares desactivadas por defecto, retirada persistente
- Mostrar avisos de recogida en cada formulario (registro, checkout, newsletter, reseña)
- Ofrecer un canal sencillo para solicitudes de interesados —correo y/o formulario web con respuesta en 30 días
- Respetar de inmediato la oposición a la mercadotecnia directa (el artículo 21.3 es absoluto)
Técnico y organizativo
- Implementar la seguridad del artículo 32 —cifrado en reposo y en tránsito, control de acceso, MFA en paneles de administración, análisis de vulnerabilidades
- Aplicar la minimización de datos por diseño (artículo 25)
- Hacer cumplir las políticas de conservación con eliminación automatizada
- Seudonimizar o anonimizar siempre que sea posible, especialmente en analítica
- Probar anualmente el protocolo de 72 horas mediante un ejercicio de simulación
- Formar al personal que maneja datos personales —reciclaje anual mínimo
Auditoría trimestral de cumplimiento
Realiza una auditoría trimestral estructurada que cubra: actualidad del ROPA frente a los encargados conectados; versión de la política de privacidad frente a la realidad actual del tratamiento; lista de scripts del banner de cookies frente a las categorías declaradas; registro de solicitudes de interesados (número, tiempo de respuesta, causas de retraso); registro de brechas (incidentes, causas raíz, subsanación); inventario de DPA del artículo 28; inventario de TIA; registro de formación del personal; registro de actividad del DPO (asesoramiento, EIPD, interacciones con la CNPD).
Centraliza tu cumplimiento del RGPD portugués en un solo panel
Zunapro agrupa cada requisito del RGPD —banner de consentimiento, ROPA, DPA del artículo 28, flujo de solicitudes de interesados, protocolo de brechas, plantillas TIA y registro del DPO en formato CNPD— junto con tus integraciones con los marketplaces Amazon, Worten, Fnac y Continente. Cumplimiento como infraestructura, no como algo añadido después.
Activar cumplimiento del RGPD →FAQ del RGPD Portugués 2026
¿Qué es el RGPD y cómo se relaciona con el GDPR?
El RGPD (Regulamento Geral de Proteção de Dados) es simplemente el nombre en portugués del Reglamento General de Protección de Datos de la UE 2016/679 (GDPR). Son literalmente el mismo reglamento, solo cambia la denominación lingüística.
En Portugal, el RGPD se complementa con la Lei n.º 58/2019 (LPDP — Lei de Proteção de Dados Pessoais), la ley nacional de transposición publicada el 8 de agosto de 2019, y lo aplica la CNPD (Comissão Nacional de Proteção de Dados), la autoridad de control portuguesa.
¿Quién es la CNPD y qué poderes tiene?
La CNPD (Comissão Nacional de Proteção de Dados) es la autoridad independiente de protección de datos de Portugal, creada por la Lei n.º 10/91 —lo que la convierte en una de las autoridades de protección de datos más antiguas de la UE. Está compuesta por siete miembros bajo la supervisión de la Assembleia da República.
La CNPD investiga reclamaciones, audita a responsables y encargados, dicta resoluciones vinculantes e impone multas administrativas de hasta 20 millones de euros o el 4% de la facturación anual global por infracciones graves del RGPD. Tiene su sede en Avenida D. Carlos I, n.º 134, en Lisboa.
¿Es obligatorio legalmente un banner de consentimiento de cookies en Portugal?
Sí. El artículo 5.3 de la Directiva ePrivacy 2002/58/CE de la UE, transpuesta por la Lei n.º 41/2004, exige consentimiento de opt-in antes de instalar cualquier cookie no esencial. Las Orientações 2019/494 de la CNPD (actualizadas en 2022) detallan los requisitos: Aceptar/Rechazar simétricos, categorías granulares desactivadas por defecto, sin cookie walls, sin «seguir navegando equivale a consentir».
Solo las cookies estrictamente necesarias (sesión, carrito, CSRF, preferencia de idioma, el propio almacenamiento del consentimiento) están exentas del requisito de consentimiento. Todo lo demás —Google Analytics, Meta Pixel, TikTok Pixel, retargeting, contenido de terceros incrustado— requiere consentimiento previo explícito.
¿Cuándo debe una tienda online portuguesa nombrar un DPO?
El artículo 37 del RGPD obliga a nombrar un DPO (Encarregado de Proteção de Dados — EPD) cuando: (a) la actividad principal implica una monitorización sistemática a gran escala de personas (seguimiento de comportamiento, perfilado, retargeting); (b) la actividad principal implica el tratamiento a gran escala de categorías especiales de datos (salud, biométricos, origen racial); o (c) el responsable es un organismo público.
Los operadores de e-commerce portugueses medianos y grandes que hacen retargeting, publicidad programática, perfilado de fidelización o tratan más de 10.000 registros de clientes suelen cumplir estos criterios y deben nombrar un DPO y registrar su contacto ante la CNPD. Existe amplia disponibilidad de DPO externo como servicio desde 350 €/mes.
¿Qué derechos tienen los consumidores portugueses bajo el RGPD?
Los artículos 15-22 del RGPD otorgan a los interesados ocho derechos: acceso, rectificación, supresión («derecho al olvido»), limitación del tratamiento, portabilidad de los datos en formato legible por máquina, oposición al tratamiento (absoluta frente a la mercadotecnia directa), y el derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado con efectos jurídicos.
Los responsables deben responder en un plazo de 30 días, ampliable en 60 días para solicitudes complejas. La respuesta es gratuita salvo que la solicitud sea manifiestamente infundada o excesiva. La denegación debe estar justificada y es recurrible ante la CNPD.
¿Qué es la regla de notificación de brechas en 72 horas?
El artículo 33 del RGPD exige a los responsables notificar a la CNPD en un plazo de 72 horas desde que tengan constancia de una violación de datos personales, salvo que sea improbable que suponga un riesgo para los derechos y libertades de los interesados. La CNPD ofrece un formulario online de notificación en cnpd.pt.
Si la violación puede suponer un alto riesgo, el artículo 34 exige además notificar directamente a los interesados sin dilación indebida. No notificar dentro de las 72 horas constituye en sí mismo una infracción sancionable del RGPD (hasta 10 M€ o el 2% de la facturación). El plazo empieza con la constancia, no con la ocurrencia.
¿Cómo gestiona Portugal las transferencias internacionales de datos tras Schrems II?
Tras la sentencia Schrems II del TJUE (C-311/18, julio de 2020), las transferencias de datos personales fuera del EEE requieren una garantía del artículo 46 del RGPD. El mecanismo por defecto para el e-commerce portugués son las Cláusulas Contractuales Tipo de la UE de 2021 (Decisión de Ejecución 2021/914).
Las transferencias a EE. UU. también pueden ampararse en el Marco de Privacidad de Datos UE-EE. UU. (DPF, en vigor desde julio de 2023) para importadores certificados —AWS, Google, Microsoft, Meta, Salesforce, HubSpot y otros. La CNPD espera que los responsables documenten una Evaluación de Impacto de la Transferencia (TIA) para cada transferencia fuera del EEE.
¿Cuáles son las multas máximas de la CNPD según el RGPD?
El artículo 83 del RGPD establece dos niveles: hasta 10 millones de euros o el 2% de la facturación anual global por infracciones procedimentales (registros, seguridad, notificación de brechas, DPO), y hasta 20 millones de euros o el 4% de la facturación anual global por infracciones sustantivas (base jurídica, consentimiento, derechos de los interesados, transferencias internacionales). Se aplica el mayor entre el límite fijo o el porcentaje.
La CNPD ha impuesto multas millonarias, incluyendo 4,3 M€ al INE (Instituto Nacional de Estatística) en 2021 por transferencias a EE. UU. sin garantías, 1,25 M€ al Hospital do Barreiro, y una serie de multas a pymes por banners de cookies y gestión de solicitudes de interesados.
¿Necesito una política de privacidad por escrito en mi tienda online portuguesa?
Sí. Los artículos 12, 13 y 14 del RGPD exigen a los responsables proporcionar a los interesados información completa sobre el tratamiento —identidad del responsable y del DPO, finalidades y bases jurídicas, destinatarios, países de transferencia internacional, plazos de conservación, derechos de los interesados incluido el derecho a reclamar ante la CNPD.
La política de privacidad debe redactarse en portugués claro y sencillo (el artículo 2 de la Lei 58/2019 refuerza este requisito lingüístico), separada de los términos de uso, fácilmente accesible desde cada página (normalmente mediante un enlace en el pie de página), y actualizarse siempre que se incorporen nuevos encargados o se añadan nuevas finalidades. Las plantillas genéricas de copiar y pegar suelen fallar en las auditorías de la CNPD.
¿Cuánto tiempo debo conservar los datos de los clientes bajo el RGPD?
El RGPD exige minimización de datos y limitación del plazo de conservación (artículo 5.1.c-e). La conservación en el e-commerce portugués está escalonada: datos de facturación 10 años (Código do IVA, artículo 52); registros contables 10 años (Código Comercial, artículo 40); consentimiento de marketing indefinido mientras subsista, pero debe reverificarse periódicamente; analítica web normalmente 14-26 meses; grabaciones de videovigilancia máximo 30 días (Deliberación CNPD 7680/2014).
Cada categoría debe documentarse en el Registro de Actividades de Tratamiento (artículo 30 del RGPD) y reflejarse en la política de privacidad. La supresión del artículo 17 no anula las obligaciones legales de conservación —para las facturas, consérvalas en un archivo bloqueado en lugar de eliminarlas.
¿Es legal Google Analytics en Portugal en 2026?
Sí, con garantías. Tras Schrems II, varias autoridades de protección de datos de la UE (Austria, Francia, Italia) declararon ilegales las implementaciones estándar de GA3. Google Analytics 4 (GA4), junto con la certificación del Marco de Privacidad de Datos UE-EE. UU. (activo desde julio de 2023) y la anonimización de IP, ofrece hoy una postura defendible en Portugal —la CNPD no ha prohibido GA4.
Buena práctica: desplegar GA4 con Consent Mode v2, anonimización de IP activada, Google Signals desactivado cuando no sea estrictamente necesario, y una Evaluación de Impacto de la Transferencia documentada. El etiquetado del lado del servidor mediante GTM SS en una región de la UE reduce aún más la exposición en las transferencias. Alternativas exclusivamente europeas como Plausible y Matomo eliminan el problema por completo.
¿Cuál es la diferencia entre responsable y encargado del tratamiento?
Artículo 4 del RGPD: un responsable del tratamiento (responsável pelo tratamento) determina los fines y medios del tratamiento —normalmente el propio negocio de e-commerce. Un encargado del tratamiento (subcontratante) trata los datos por cuenta del responsable siguiendo instrucciones documentadas —típicamente proveedores como servidores en la nube, proveedores de correo electrónico, marketplaces y pasarelas de pago.
El artículo 28 del RGPD exige un Acuerdo de Encargo del Tratamiento (DPA) por escrito entre responsable y encargado para cada actividad de tratamiento. Marketplaces como Amazon y grandes proveedores SaaS publican DPA estándar; los vendedores portugueses más pequeños suelen necesitar un DPA a medida en portugués. Tanto el responsable como el encargado se exponen a las multas del artículo 83 en caso de incumplimiento.
¿Puedo usar el interés legítimo como base jurídica en lugar del consentimiento?
A veces. El artículo 6.1.f del RGPD permite el tratamiento basado en intereses legítimos solo tras un test de ponderación documentado en tres pasos: (1) el interés es legítimo; (2) el tratamiento es necesario; (3) el interés no queda anulado por los derechos del interesado.
Funciona para la prevención de fraude, la administración interna, la seguridad de red y parte de la mercadotecnia directa B2B. No funciona para cookies/trackers (la normativa ePrivacy prevalece), ni para categorías especiales de datos, ni para marketing dirigido a quienes se han opuesto. El test de ponderación debe documentarse en el ROPA.
¿Qué ocurre si un cliente presenta una reclamación ante la CNPD?
La CNPD abre un expediente, contacta al responsable para solicitar observaciones por escrito (normalmente en un plazo de 10-20 días hábiles), puede requerir documentación (ROPA, política de privacidad, registro de solicitudes de interesados, registro de brechas, DPA), y realiza una investigación escrita o presencial. El procedimiento concluye con archivo, apercibimiento, orden correctiva o multa administrativa.
La cooperación y una postura de cumplimiento demostrable reducen drásticamente la probabilidad de multa. La consola RGPD de Zunapro genera bajo demanda toda la documentación estándar en el formato en portugués aceptado por la CNPD.
Prepara tu e-commerce portugués para el RGPD con un clic
Banner de cookies conforme a la CNPD · política de privacidad en portugués · ROPA · DPA del artículo 28 · flujo de solicitudes de interesados · protocolo de brecha de 72 horas · plantillas TIA · ficha de contacto del DPO. Incluido en cada integración con marketplaces portugueses en Zunapro. Sin demos de legal-tech, sin contratos largos.
🛡️ Activar cumplimiento del RGPD →¿Necesita ayuda con esto?
Servicio relacionado: E-Commerce