RGPD Português em 2026 — Leitura Rápida
Portugal aplica o RGPD (UE 2016/679) desde maio de 2018, complementado pela Lei 58/2019 (Lei de Execução do RGPD) e pela Lei 41/2004 sobre comunicações eletrónicas e cookies. A CNPD (Comissão Nacional de Proteção de Dados) é a autoridade de controlo; a ANACOM fiscaliza marketing direto e telecomunicações; a DGC trata defesa do consumidor. Em 2026, três obrigações estruturam o quotidiano de qualquer loja online: consentimento explícito de cookies não essenciais, Registo de Atividades de Tratamento (RAT) e notificação de violações em 72 horas. As coimas vão até 20 milhões de euros ou 4% do volume de negócios mundial — e a CNPD aplicou em 2026 várias coimas relevantes a operadores de e-commerce por falhas no consentimento de cookies e por retenção excessiva de dados de clientes.
O Panorama RGPD em Portugal 2026: Quem Faz o Quê
Poucos quadros legais europeus combinam tantas autoridades quanto o português. O resumo abaixo identifica os seis interlocutores que qualquer loja online tem de conhecer — guarde-o à mão enquanto avança nas secções seguintes.
CNPD — Comissão Nacional de Proteção de Dados
Fundada em 1991 · Autoridade de controlo RGPD em Portugal · Coimas até 20M€ ou 4% do volume mundial
CEPD (EDPB) — Comité Europeu de Proteção de Dados
Coordena as 27 APD da UE · Emite orientações sobre cookies, transferências, IA e Schrems II · Decisões vinculativas
ANACOM — Autoridade Nacional de Comunicações
Regula Lei 41/2004 · Marketing direto, chamadas comerciais, SMS · Coimas até 5M€
DGC — Direção-Geral do Consumidor
Defesa do consumidor · Direito de livre resolução de 14 dias · Lista Robinson para oposição comercial
AT — Autoridade Tributária e Aduaneira
e-Fatura · Comunicação SAF-T · Conservação obrigatória de 10 anos · IVA e faturação eletrónica
INPI / Tribunal — Instâncias judiciais
Recursos das decisões CNPD · Tribunal Administrativo · Acórdãos sobre proporcionalidade de coimas
Pronto para colocar a sua loja online em conformidade?
Ligue toda a sua operação portuguesa — registo de tratamentos, consentimento de cookies, pedidos de titulares, notificações à CNPD — a um único painel Zunapro. Um catálogo, um inventário, RGPD ready de raiz.
1. RGPD: As Seis Bases Legais de Tratamento
O RGPD num Resumo
O RGPD (Regulamento UE 2016/679) é, sem qualquer dúvida, o centro de gravidade da proteção de dados na União Europeia. Em vigor desde 25 de maio de 2018 e diretamente aplicável em Portugal (sem necessidade de transposição), foi complementado pela Lei 58/2019, de 8 de agosto — conhecida como Lei de Execução do RGPD — que adapta certos aspetos ao ordenamento nacional. O regulamento abrange qualquer organização que trate dados pessoais de residentes na UE, independentemente da localização da sede: uma loja online sediada em São Paulo que venda para Lisboa cai integralmente no RGPD.
Para o e-commerce português, isto significa que cada formulário de registo, cada checkout, cada cookie de remarketing e cada e-mail promocional tem de assentar numa de seis bases legais identificáveis. Não basta dizer "tenho a política de privacidade publicada" — é preciso identificar, para cada tratamento, qual a base que o legitima.
A doutrina da CNPD, alinhada com o CEPD, é clara: a base legal escolhida tem de ser estável, fundamentada e não pode ser substituída a posteriori. Se o consentimento é retirado, não pode invocar "interesse legítimo" para continuar o mesmo tratamento.
As Seis Bases do Artigo 6.º
Artigo 6.º, n.º 1, alíneas a) a f) do RGPD, em linguagem prática para uma loja online portuguesa:
- a) Consentimento — livre, específico, informado e inequívoco. Aplica-se a newsletters, cookies não essenciais, partilha com parceiros publicitários.
- b) Execução de contrato — necessário para processar a encomenda, faturar, entregar. Sem nome e morada, não há contrato de compra e venda.
- c) Obrigação legal — conservação de faturas durante 10 anos (Código IVA), retenção de dados fiscais (AT), denúncia de operações suspeitas (Lei do Branqueamento).
- d) Interesses vitais — raríssimo em e-commerce; relevante apenas em emergências de saúde.
- e) Interesse público / autoridade pública — não se aplica ao comércio privado.
- f) Interesse legítimo — segurança da plataforma, prevenção de fraude, certos tipos de e-mail a clientes existentes (soft opt-in). Exige teste de ponderação documentado.
Coimas do RGPD em Portugal 2026
O quadro sancionatório português combina os dois escalões do RGPD com adaptações da Lei 58/2019. As coimas são publicadas pela CNPD e a sua aplicação tem subido todos os anos desde 2019.
Documentação de Conformidade — o "Kit Mínimo"
A documentação que qualquer loja online portuguesa deve ter pronta a apresentar em caso de inspeção da CNPD inclui: política de privacidade pública, política de cookies, Registo de Atividades de Tratamento (RAT), contratos de subcontratação (art. 28.º RGPD) com cada fornecedor (hosting, pagamentos, e-mail marketing, analítica), procedimento documentado de resposta a pedidos de titulares e procedimento de resposta a violações de dados.
O Zunapro disponibiliza modelos editáveis destes seis documentos, todos alinhados com a doutrina mais recente da CNPD e do CEPD.
💡 Veja o nosso guia completo de bases legais
Como mapear cada formulário, cookie e fluxo de marketing às bases legais corretas, com testes de ponderação prontos para o "interesse legítimo".
2. Consentimento de Cookies em Portugal — Regras 2026
Quadro Legal: Lei 41/2004 e CEPD
A regulação dos cookies em Portugal não decorre apenas do RGPD: assenta primariamente na Lei n.º 41/2004, de 18 de agosto, que transpôs a Diretiva ePrivacy (2002/58/CE), reforçada pelas orientações 03/2022 e 05/2020 do CEPD sobre padrões de consentimento e dark patterns. O artigo 5.º da Lei 41/2004 exige que o armazenamento de informação no equipamento do utilizador (cookies, pixels, localStorage, fingerprinting) só pode ocorrer com consentimento prévio, salvo se for estritamente necessário para prestar o serviço expressamente solicitado.
Por outras palavras: cookies de carrinho e sessão são lícitos sem consentimento; cookies de analítica, marketing, remarketing, personalização e A/B testing exigem opt-in explícito antes de serem carregados.
O Que Conta Como Consentimento Válido
O CEPD, em orientações sucessivas, fixou critérios apertados sobre o que constitui consentimento válido para cookies. Em 2026 a doutrina é uniforme:
- Ação positiva inequívoca — clicar em "Aceitar". Continuar a navegar, fazer scroll ou fechar o banner NÃO é consentimento.
- Caixas pré-marcadas são proibidas — confirmado pelo TJUE no caso Planet49 (C-673/17).
- Recusa tão fácil como aceitação — "Aceitar" e "Recusar" devem estar ao mesmo nível visual no banner. Esconder a recusa em duas camadas é considerado dark pattern.
- Granularidade — o utilizador deve poder consentir por finalidade (analítica, marketing, personalização) e não apenas em bloco.
- Retirada simples — deve existir um link permanente para gerir consentimentos.
- Prova do consentimento — o responsável tem de conseguir demonstrar que cada visitante deu o seu consentimento, com timestamp e identificador.
Tipologia de Cookies — Como Classificar
A classificação prática que a CNPD aceita em auditoria é a seguinte:
- Cookies estritamente necessários — carrinho, autenticação, balanceamento de carga, CSRF. Não exigem consentimento. Devem ser listados na política de cookies.
- Cookies funcionais — preferências de idioma, moeda, tema. Exigem consentimento, mas com baixo risco.
- Cookies analíticos — Google Analytics, Matomo, Hotjar. Exigem consentimento. A exceção "analítica de primeira parte anonimizada" é restrita e a CNPD não a aceita para o Google Analytics na sua configuração por defeito.
- Cookies de marketing / remarketing — Meta Pixel, Google Ads, TikTok Pixel. Exigem consentimento explícito e devem identificar os parceiros.
- Cookies de redes sociais — botões "Gostar", embeds de YouTube. Exigem consentimento; alternativa: carregamento two-click.
Banners de Consentimento em 2026
Os principais CMP (Consent Management Platforms) certificados para o mercado europeu — Cookiebot, OneTrust, Didomi, Usercentrics — cobrem estas três camadas. O Zunapro integra-se nativamente com Cookiebot e Didomi, mas pode usar qualquer CMP com IAB TCF v2.2 ou Google Consent Mode v2.
📘 Guia completo de implementação de cookies
Modelo de banner conforme CNPD, configuração do Google Consent Mode v2, mapeamento Meta Pixel + IAB TCF, e fluxo de auditoria mensal.
3. DPO — Quando Precisa de um Encarregado de Proteção de Dados
O Que Diz o Artigo 37.º do RGPD
O DPO (Encarregado de Proteção de Dados, em inglês Data Protection Officer) é obrigatório em três situações: (1) autoridade ou organismo público; (2) atividades principais que exijam monitorização sistemática em larga escala; (3) tratamento em larga escala de categorias especiais de dados (saúde, biometria, opinião política, vida sexual). Estes critérios são aplicados de forma alargada pela CNPD em Portugal, sobretudo no contexto de lojas online com perfis de cliente, remarketing intensivo e segmentação avançada.
Na prática, qualquer loja online com mais de 50.000 clientes ativos, com programa de fidelização baseado em perfilhamento ou com tracking cross-device, deve considerar o DPO como obrigatório por defeito — mesmo que nenhum critério literal se aplique.
Funções e Independência
O DPO desempenha funções definidas no artigo 39.º do RGPD: informar e aconselhar a organização, monitorizar o cumprimento, prestar consultoria sobre AIPD, ser ponto de contacto da CNPD e dos titulares. A nota distintiva é a independência funcional: o DPO reporta diretamente ao mais alto nível de gestão, não pode receber instruções sobre o exercício das suas funções e não pode ser penalizado por exercê-las. A CNPD tem sido particularmente rigorosa neste ponto — DPOs que reportam ao diretor de marketing ou de TI são considerados conflituantes.
Interno, Externo ou Partilhado?
Tem três opções:
- DPO interno — colaborador da organização, com formação RGPD certificada (CIPP/E ou equivalente). Recomendado para empresas com 50+ trabalhadores e tratamentos sensíveis.
- DPO externo (serviço subcontratado) — escritório de advogados ou consultora especializada. Vantagem: custo controlado e atualização contínua. Desvantagem: menor proximidade interna.
- DPO partilhado num grupo de empresas — admitido pelo artigo 37.º, n.º 2; obriga a que o DPO seja "facilmente contactável" por cada entidade.
O contacto do DPO (e-mail dedicado, p. ex. [email protected]) deve ser comunicado à CNPD através do portal de comunicação de DPO e publicado na política de privacidade.
DPO em E-Commerce Português 2026
📚 Modelo de Mandato de DPO
Contrato modelo para DPO externo, com cláusulas de independência funcional, SLA de resposta a pedidos de titulares e relatório anual à direção.
4. Registo de Atividades de Tratamento (RAT) — Modelo CNPD
De Documento Burocrático a Mapa Operacional
O Registo de Atividades de Tratamento (RAT), previsto no artigo 30.º do RGPD, foi historicamente visto como uma exigência burocrática — uma folha de Excel que se preenche para a inspeção. A doutrina recente da CNPD inverteu essa visão: o RAT é o mapa operacional sobre o qual assenta toda a governação de dados. Sem RAT atualizado, não há AIPD coerente, não há resposta eficaz a pedidos de titulares e não há demonstração possível do princípio da accountability (artigo 5.º, n.º 2).
Quem é Obrigado
A regra do artigo 30.º, n.º 5, isenta organizações com menos de 250 trabalhadores — mas as exceções esvaziam quase totalmente esta isenção. A obrigação subsiste se o tratamento for regular, envolver categorias especiais ou apresentar risco para os direitos dos titulares. Como qualquer loja online portuguesa trata dados de forma regular (cada compra é um tratamento), o RAT é, na prática, obrigatório para 99% dos operadores de e-commerce.
O que Tem de Constar do RAT
- Nome e contactos do responsável pelo tratamento e do DPO (se aplicável)
- Finalidades do tratamento (uma linha por finalidade: registo cliente, encomenda, faturação, newsletter, remarketing...)
- Categorias de titulares (clientes, leads, ex-clientes, visitantes)
- Categorias de dados pessoais (identificação, contacto, financeiros, navegação, perfil)
- Categorias de destinatários (subcontratantes, autoridades, parceiros)
- Transferências internacionais e garantias aplicadas
- Prazos de conservação por categoria
- Descrição geral das medidas técnicas e organizativas de segurança
Erros Comuns Que a CNPD Penaliza
Em inspeções a operadores de e-commerce, a CNPD identificou padrões recorrentes de não conformidade no RAT:
- RAT genérico copiado de modelos online, sem refletir o tratamento real
- Confusão entre finalidades (uma única linha para "operações comerciais") em vez da granularidade exigida
- Prazos de conservação ausentes ou "até decisão em contrário"
- Subcontratantes não listados ou listados de forma incompleta
- Transferências para EUA sem identificação da base (cláusulas-tipo, DPF, derrogação)
Dica prática: mantenha o RAT como documento vivo, atualizado a cada novo tratamento, e revisto pelo menos trimestralmente pelo DPO. O Zunapro gera o RAT automaticamente a partir dos fluxos do painel: cada integração adicionada (pagamento, marketplace, e-mail marketing) cria uma entrada pré-preenchida que o DPO valida com um clique. Ver modelo de RAT →
📊 Modelo de RAT alinhado com a CNPD
Folha de cálculo com 28 entradas pré-preenchidas para um e-commerce português típico, instruções por coluna e exemplos preenchidos.
5. Direitos dos Titulares — Prazos e Procedimentos
Os Oito Direitos do RGPD
Os artigos 15.º a 22.º do RGPD reconhecem aos titulares oito direitos fundamentais. Qualquer loja online portuguesa tem de ter um procedimento documentado para responder a cada um, dentro do prazo geral de 30 dias (prorrogáveis por mais 60 dias em casos justificados, com aviso ao titular):
- Direito de acesso (art. 15.º) — saber se está a ser tratado e obter cópia dos dados
- Direito de retificação (art. 16.º) — corrigir dados inexatos ou incompletos
- Direito ao apagamento (art. 17.º, "direito ao esquecimento") — eliminar dados quando deixe de haver base legal
- Direito à limitação do tratamento (art. 18.º) — congelar dados em vez de eliminar
- Direito à portabilidade (art. 20.º) — receber dados em formato estruturado e legível por máquina (JSON, CSV)
- Direito de oposição (art. 21.º) — opor-se a tratamentos baseados em interesse legítimo ou marketing direto
- Direito a não ser sujeito a decisões automatizadas (art. 22.º) — incluindo perfilhamento com efeitos significativos
- Direito à informação (arts. 13.º e 14.º) — receber informação prévia, transparente e acessível
Fluxo de Resposta — A Cadeia de 7 Passos
O procedimento aceite pela CNPD para responder a pedidos de titulares envolve sete passos auditáveis:
- Receção em canal dedicado (e-mail, formulário, portal do cliente) com registo de timestamp
- Identificação do titular — pedir prova razoável sem exigir documentos excessivos (a CNPD critica pedidos de cartão de cidadão para confirmar e-mail)
- Triagem do pedido — identificar qual o direito invocado e qual o tratamento abrangido
- Recolha dos dados de todos os sistemas (CRM, e-commerce, e-mail marketing, analítica, backups)
- Validação jurídica — verificar se há exceções aplicáveis (obrigação legal de conservação, defesa de direitos)
- Resposta ao titular em linguagem clara, com cópia dos dados, justificação de eventuais recusas e informação sobre o direito de reclamação à CNPD
- Arquivo da resposta e registo no log de pedidos para demonstração à CNPD
Pedidos de Apagamento — As Quatro Exceções
O direito ao apagamento não é absoluto. Pode (e deve) ser recusado nestas quatro situações:
- Obrigação legal de conservação — faturas e dados fiscais durante 10 anos (Código IVA, LGT)
- Defesa de direitos em processos judiciais — durante o prazo de prescrição
- Liberdade de expressão e informação — pouco frequente em e-commerce
- Interesse público ou investigação científica — não se aplica ao comércio
Quando se aplica uma exceção, deve-se limitar o tratamento (art. 18.º): remover dos sistemas operacionais, manter em arquivo seguro com acesso restrito.
🎮 Procedimento completo de pedidos de titulares
Modelos de resposta para cada um dos 8 direitos, com fluxograma de validação e templates jurídicos prontos a usar.
6. Transferências Internacionais — Schrems II e Data Privacy Framework
O Quadro Pós-Schrems II
O acórdão Schrems II do TJUE (C-311/18, julho de 2020) invalidou o Privacy Shield e impôs a obrigação de avaliar, caso a caso, se o país de destino oferece um nível de proteção essencialmente equivalente ao da UE. Para os EUA, o vácuo foi colmatado pelo Data Privacy Framework (DPF), em vigor desde 10 de julho de 2023, que substitui o Privacy Shield com salvaguardas adicionais sobre vigilância e acesso por parte das autoridades norte-americanas.
Em 2026, para transferir dados pessoais para fora do Espaço Económico Europeu (EEE), tem quatro vias:
- Decisão de adequação da Comissão Europeia (Reino Unido, Suíça, Japão, Coreia do Sul, EUA via DPF, entre outros)
- Cláusulas Contratuais-Tipo (CCT) aprovadas pela Comissão em junho de 2021
- Regras Vinculativas para Empresas (BCR) — para grupos multinacionais, aprovação pela CNPD
- Derrogações do art. 49.º — consentimento explícito, execução de contrato, interesses vitais — uso excecional
Transfer Impact Assessment (TIA)
Quando usa CCT, a doutrina pós-Schrems II exige uma TIA (Transfer Impact Assessment): avaliação documentada do quadro legal do país terceiro, das possibilidades de acesso por autoridades públicas e das medidas suplementares aplicadas (encriptação ponta a ponta, pseudonimização, controlo de chaves). A CNPD pode exigir a TIA em inspeção; sem ela, a transferência é considerada não fundamentada.
Casos Típicos em E-Commerce Português
- Hosting na AWS / Azure / Google Cloud (regiões UE) — sem transferência, mas verifique o contrato (Data Processing Agreement)
- Google Analytics / Google Ads — transferência para os EUA, hoje sob DPF; verifique a certificação no portal oficial
- Meta Pixel / Facebook Conversions API — transferência para EUA via DPF; impor Consent Mode v2
- Mailchimp / SendGrid / Klaviyo — transferência para EUA; DPF aplicável, mas reveja CCT como reforço
- Shopify / outros SaaS — verifique a localização dos dados e a estrutura do grupo
Estratégias de Mitigação 2026
O Zunapro mantém um registo automático de transferências internacionais para cada integração ativa: identifica o país, a base de legitimação (adequação, CCT, DPF, derrogação) e gera a entrada respetiva no RAT.
7. ANACOM e Marketing Direto — Lei 41/2004 na Prática
O Papel da ANACOM
A ANACOM (Autoridade Nacional de Comunicações) é responsável pela fiscalização da Lei 41/2004 no que respeita a comunicações eletrónicas não solicitadas — e-mail, SMS, MMS, chamadas comerciais automatizadas. A CNPD trata da componente de dados pessoais; a ANACOM trata da componente de comunicação. Em muitas situações, as duas autoridades atuam em paralelo.
E-mail e SMS Marketing — Opt-in Expresso
A regra do artigo 13.º-A da Lei 41/2004 é clara: comunicações comerciais eletrónicas exigem consentimento prévio e expresso. Não pode enviar uma newsletter para uma lista comprada, importada de feiras, ou recolhida sem opt-in explícito. As caixas de subscrição não podem estar pré-marcadas.
Exceção do Soft Opt-in
A única exceção legal — soft opt-in — permite enviar marketing direto a clientes existentes para produtos/serviços análogos àqueles que adquiriram. Três condições cumulativas:
- O destinatário foi cliente (compra efetiva, não meramente uma conta criada)
- O produto promovido é análogo ao adquirido (sapatos a quem comprou sapatos, não eletrónica)
- Cada comunicação inclui mecanismo claro e gratuito de oposição (link de unsubscribe)
O soft opt-in não se aplica a vendas em marketplaces — Worten, KuantoKusta, Amazon — porque o cliente é do marketplace, não da sua loja. Aí precisa de consentimento ativo.
Chamadas Comerciais e Lista Robinson
Para chamadas comerciais (telemarketing), a Lei 6/99 e o Decreto-Lei 134/2009 impõem consulta obrigatória à Lista Robinson mantida pela DGC. Quem está inscrito não pode ser contactado para fins comerciais, sob pena de coima.
🌍 Auditoria completa de marketing direto
Checklist de conformidade para newsletters, SMS, chamadas e push notifications, com modelos de consentimento e configuração de unsubscribe.
8. Como Pôr o Seu E-Commerce em Conformidade — 2026 Passo a Passo
1. Avaliação Inicial (Árvore de Decisão)
- Mais de 250 trabalhadores, qualquer tratamento → RAT obrigatório + DPO interno
- Loja com perfis e remarketing → DPO recomendado + AIPD para perfilhamento
- Vendas em UE/EEE → RGPD + Lei 58/2019 aplicáveis
- Vendas para fora da UE → Avaliar regimes do país de destino
- Cookies analíticos ou de marketing → CMP obrigatório com banner conforme
- Categorias especiais (saúde, biometria) → AIPD obrigatória
A configuração-padrão recomendada em 2026 é CMP + RAT + DPO externo + procedimento de pedidos de titulares, com revisão trimestral.
2. Constituição da Empresa e Registo Fiscal
Tem três opções principais como entidade legal em Portugal:
- Empresário em Nome Individual (ENI) — sem capital mínimo, abertura em 1 dia no Portal do Cidadão, IRS na categoria B
- Sociedade por Quotas (Lda.) — capital mínimo simbólico (1€ por sócio admitido pela "Empresa na Hora"), IRC a 21%, abertura em 1 hora
- Sociedade Unipessoal por Quotas — versão de um único sócio da Lda., recomendada para e-commerce de um fundador
3. Implementação CMP de Cookies (Obrigatório)
Independentemente do tamanho da loja, a CMP é não-negociável. A integração envolve:
- Selecionar uma CMP certificada IAB TCF v2.2 (Cookiebot, Didomi, OneTrust)
- Inventariar todos os cookies e classificá-los por finalidade
- Implementar carregamento bloqueado dos scripts não essenciais até consentimento
- Ativar Google Consent Mode v2 se usar Google Analytics ou Ads
- Configurar log de consentimentos com timestamp e ID anonimizado
O Zunapro trata destes cinco passos de forma automática quando ativa o módulo de e-commerce português.
4. Registo de Atividades de Tratamento
Crie o RAT desde o primeiro dia. A versão inicial não precisa de ser perfeita — precisa de existir. O Zunapro gera-o automaticamente a partir das integrações que ativa, e o seu DPO valida cada entrada.
5. Conexão via Zunapro (Integração em 10 Minutos)
- Iniciar sessão no Zunapro e abrir o módulo Portugal
- Configurar políticas — política de privacidade, política de cookies, termos de utilização (modelos pré-preenchidos)
- Ativar CMP — Cookiebot ou Didomi com um clique
- Mapear integrações — cada integração ativa (pagamento, e-mail, analítica) gera entrada automática no RAT
- Ativar canal de pedidos de titulares — formulário público + e-mail dpo@
- Ativar fluxo de notificação à CNPD — botão de pânico para iniciar processo de breach
Centralize toda a sua conformidade RGPD num único painel
CMP + RAT + DPO + Pedidos de Titulares + Notificações à CNPD — tudo conectado, auditável e atualizado. Integração em 10 minutos, modelos jurídicos atualizados, prova de consentimento para cada visitante.
Ativar Conformidade RGPD →9. AIPD — Avaliação de Impacto sobre a Proteção de Dados
Quando é Obrigatória
A AIPD (Avaliação de Impacto sobre a Proteção de Dados), prevista no artigo 35.º do RGPD, é obrigatória sempre que um tratamento apresente elevado risco para os direitos e liberdades dos titulares. A CNPD publicou em 2018 a lista de operações que exigem AIPD, que inclui, entre outras:
- Perfilhamento sistemático com efeitos jurídicos ou significativos (incluindo segmentação avançada para preços dinâmicos)
- Tratamento em larga escala de dados sensíveis
- Tratamento sistemático e em larga escala de dados de localização
- Vídeo-vigilância de zonas amplamente acessíveis
- Tratamento de dados de menores para marketing
- Decisões automatizadas que produzam efeitos significativos
Estrutura de uma AIPD
A AIPD segue, em Portugal, o modelo recomendado pela CNPD em quatro secções:
- Descrição sistemática do tratamento — natureza, âmbito, contexto, finalidades
- Avaliação da necessidade e proporcionalidade — base legal, minimização, prazos
- Identificação dos riscos — confidencialidade, integridade, disponibilidade — com probabilidade e gravidade
- Medidas de mitigação — técnicas (encriptação, controlo de acessos) e organizativas (formação, procedimentos)
Se, após a aplicação das medidas, persistir um risco residual elevado, é obrigatório consultar previamente a CNPD (artigo 36.º) antes de iniciar o tratamento. A CNPD responde no prazo de oito semanas, prorrogáveis por seis em casos complexos.
Erro Frequente: AIPD a Posteriori
Um padrão frequente em e-commerce é fazer a AIPD apenas quando o tratamento já está em curso, frequentemente por pressão da CNPD em inspeção. Isto é juridicamente insuficiente: a AIPD tem de ser prévia ao tratamento. Em casos de violação combinada com AIPD inexistente, a CNPD agrava o escalão da coima.
10. Violações de Dados — Notificação em 72 Horas
O Que Conta Como Violação
O artigo 4.º, n.º 12, do RGPD define violação como qualquer "violação da segurança que provoque, de modo acidental ou ilícito, a destruição, perda, alteração, divulgação ou acesso não autorizados a dados pessoais". Em e-commerce, casos típicos incluem:
- Fuga de base de dados de clientes (SQL injection, credenciais comprometidas)
- Envio acidental de listas a destinatário errado (BCC esquecido)
- Ataque de ransomware com encriptação dos dados
- Perda de portátil ou disco com dados não encriptados
- Acesso indevido por colaborador a fichas de clientes
- Falha de configuração que expôs dados na internet pública
Prazo de 72 Horas
O artigo 33.º impõe notificação à CNPD no prazo de 72 horas após tomar conhecimento. O ponto crítico é "tomar conhecimento": começa quando há certeza razoável de que houve violação, não quando há certeza absoluta. Atrasos para "confirmar" são tratados como incumprimento do prazo.
Se houver risco elevado para os direitos dos titulares, o artigo 34.º obriga a comunicar diretamente aos titulares afetados, em linguagem clara, descrevendo a violação, as medidas tomadas e recomendações de proteção.
Conteúdo da Notificação à CNPD
O portal da CNPD para notificação de violações exige:
- Natureza da violação (categoria: confidencialidade, integridade, disponibilidade)
- Categorias e número aproximado de titulares afetados
- Categorias e número de registos envolvidos
- Consequências prováveis da violação
- Medidas tomadas ou propostas para a sua mitigação
- Contacto do DPO ou outro ponto de contacto
Procedimento Interno Recomendado
O Zunapro disponibiliza um "botão de pânico" RGPD que, em caso de suspeita de violação, ativa um fluxo automatizado em quatro passos: (1) congela tratamentos automáticos potencialmente afetados; (2) cria um ticket interno com timestamp e categoria; (3) abre o questionário pré-preenchido para a CNPD; (4) prepara o template de comunicação aos titulares, se aplicável. Este fluxo é a diferença entre cumprir as 72 horas e ultrapassá-las.
A conformidade não é opcional em 2026. RGPD, Lei 58/2019, Lei 41/2004 e doutrina CEPD são aplicados com coimas reais — várias decisões CNPD em 2026 ultrapassaram €100.000 para PME do comércio online. O Zunapro inclui o pacote português de conformidade — CMP integrada, RAT automatizado, fluxo de pedidos de titulares, botão de notificação à CNPD — com cada integração de mercado. Ver pacote de conformidade →
Quadro-Resumo 2026 — As 10 Obrigações Críticas
O instrumento mais útil para auditar a sua loja online é uma lista lado-a-lado das obrigações críticas. A tabela abaixo resume as dez áreas que a CNPD verifica em 2026.
| Obrigação | Base Legal | Prazo | Coima máxima | Autoridade |
|---|---|---|---|---|
| Consentimento de cookies | Lei 41/2004 art. 5.º | Antes de qualquer cookie não essencial | 20M€ / 4% | CNPD |
| Política de privacidade | RGPD arts. 13.º e 14.º | No momento da recolha | 20M€ / 4% | CNPD |
| Registo de Atividades de Tratamento | RGPD art. 30.º | Permanente e atualizado | 10M€ / 2% | CNPD |
| Designação de DPO | RGPD art. 37.º | Antes do início do tratamento | 10M€ / 2% | CNPD |
| AIPD (quando exigida) | RGPD art. 35.º | Antes do início do tratamento | 10M€ / 2% | CNPD |
| Resposta a pedidos de titulares | RGPD arts. 15.º–22.º | 30 dias (+60 prorrogação) | 20M€ / 4% | CNPD |
| Notificação de violação | RGPD art. 33.º | 72 horas | 10M€ / 2% | CNPD |
| Soft opt-in marketing | Lei 41/2004 art. 13.º-A | Em cada comunicação | 5M€ | ANACOM |
| Direito de livre resolução | DL 24/2014 | 14 dias | 30K€ | DGC / ASAE |
| Conservação de faturas | Código IVA, LGT | 10 anos | Variável | AT |
Como ler a tabela: as obrigações de transparência (política de privacidade, cookies) e de resposta a titulares estão no topo do escalão sancionatório, porque tocam diretamente os direitos fundamentais. As obrigações documentais (RAT, AIPD, DPO) estão no escalão intermédio. As obrigações de comunicação eletrónica são fiscalizadas pela ANACOM com escalão próprio. As obrigações fiscais não cabem no RGPD mas afetam a política de conservação de dados.
FAQ RGPD para E-Commerce Português 2026
O que é o RGPD e como se aplica ao e-commerce português em 2026?
O RGPD (UE 2016/679) aplica-se diretamente em Portugal desde maio de 2018, complementado pela Lei 58/2019. Qualquer loja online portuguesa que recolha dados pessoais — nome, e-mail, NIF, morada, IP — é responsável pelo tratamento e deve cumprir os princípios de licitude, minimização, transparência e segurança.
As coimas vão até 20 milhões de euros ou 4% do volume mundial, e a CNPD aplicou em 2026 várias coimas a operadores de e-commerce por falta de consentimento de cookies. O cumprimento é estruturável em dez passos auditáveis, integrados no Zunapro.
O que é a CNPD e quando é necessário comunicar com ela?
A CNPD (Comissão Nacional de Proteção de Dados) é a autoridade portuguesa de controlo do RGPD. Deve comunicar com ela em três momentos críticos: ao designar o DPO, ao notificar violações de dados no prazo de 72 horas e quando realiza uma AIPD com risco residual elevado.
A CNPD também responde a queixas de titulares e pode realizar inspeções no local ou pedidos de elementos por escrito. As decisões sancionatórias da CNPD são publicadas no seu portal e estão sujeitas a recurso para os tribunais administrativos.
O consentimento de cookies é mesmo obrigatório em Portugal em 2026?
Sim — sem qualquer exceção para "analítica de primeira parte" como por vezes se ouve. A Lei 41/2004 e as orientações do CEPD exigem consentimento prévio, livre, específico, informado e inequívoco para qualquer cookie ou tecnologia de rastreamento que não seja estritamente necessária.
Cookies de analítica (Google Analytics), marketing (Meta Pixel, TikTok), personalização e A/B testing exigem opt-in explícito. Caixas pré-marcadas, scroll ou continuação de navegação NÃO contam como consentimento válido. O banner deve permitir recusar com a mesma facilidade que aceitar, sob pena de ser considerado dark pattern.
Tenho de nomear um DPO (Encarregado de Proteção de Dados) na minha loja online?
Depende do volume e tipologia do tratamento. O DPO é obrigatório se o tratamento principal exigir monitorização sistemática em larga escala (perfis, tracking, remarketing intensivo) ou se tratar categorias especiais (saúde, biometria, dados sensíveis).
Para lojas online com perfis de cliente, segmentação avançada e remarketing, a CNPD recomenda nomeação preventiva. Pode ser interno, externo ou partilhado num grupo. O contacto do DPO deve ser comunicado à CNPD e publicado na política de privacidade. Para lojas com menos de 50.000 clientes ativos é recomendado, mas não obrigatório.
O que é o Registo de Atividades de Tratamento (RAT) e quem o deve manter?
O artigo 30.º do RGPD impõe a manutenção de um Registo de Atividades de Tratamento por escrito a todas as organizações com 250+ trabalhadores — MAS também a PME se o tratamento for regular, envolver dados sensíveis ou apresentar risco para os direitos dos titulares.
Isto cobre 99% das lojas online portuguesas. O RAT documenta finalidades, categorias de dados, destinatários, prazos de conservação e medidas de segurança. Deve ser apresentado à CNPD em caso de inspeção. O Zunapro gera o RAT automaticamente a partir das integrações que ativa, e o seu DPO valida cada entrada.
Posso usar o Google Analytics ou o Meta Pixel em 2026?
Sim, mas com condições rigorosas. Após o acórdão Schrems II e o Data Privacy Framework UE-EUA reformulado, deve: (1) obter consentimento explícito antes de carregar o script; (2) verificar se o fornecedor está certificado no DPF; (3) ativar o Consent Mode v2 do Google; (4) anonimizar IPs; (5) documentar a transferência no RAT e na política de privacidade.
Várias APD europeias (incluindo a CNIL francesa) consideraram configurações por defeito do Google Analytics ilegais — a configuração importa tanto quanto a ferramenta. O Zunapro ajuda a desenhar a configuração conforme com guias passo-a-passo.
Qual é o prazo para notificar uma violação de dados (data breach)?
72 horas após tomar conhecimento da violação, segundo o artigo 33.º do RGPD. A notificação à CNPD faz-se no portal oficial e deve incluir natureza da violação, categorias e número aproximado de titulares, consequências prováveis e medidas tomadas.
Se houver risco elevado para os direitos dos titulares (artigo 34.º), também tem de comunicar aos próprios clientes afetados, em linguagem clara. O não cumprimento agrava a coima base. O Zunapro disponibiliza um botão de pânico que automatiza o fluxo de notificação dentro do prazo.
Quais são as coimas do RGPD em Portugal em 2026?
O RGPD prevê dois escalões: até 10 milhões de euros ou 2% do volume de negócios mundial anual (infrações administrativas, art. 83.º n.º 4), e até 20 milhões de euros ou 4% do volume de negócios mundial anual (violação dos princípios e direitos dos titulares, art. 83.º n.º 5) — aplica-se sempre o valor mais elevado.
A Lei 58/2019 adapta os escalões para PME portuguesas: 5.000€ a 20.000.000€ para infrações graves. Em 2026 a CNPD aplicou coimas relevantes a operadores de e-commerce por falta de consentimento de cookies e por retenção excessiva de dados de clientes. A média das coimas a operadores online tem subido ano após ano desde 2020.
Como devo gerir o consentimento de marketing por e-mail e SMS?
A regra-base é opt-in expresso — o cliente deve marcar ativamente uma caixa não pré-marcada (Lei 41/2004 art. 13.º-A). Existe uma exceção limitada — o soft opt-in — que permite enviar marketing direto a clientes existentes para produtos/serviços análogos àqueles que já compraram, desde que ofereça uma opção de oposição clara e gratuita em cada comunicação.
Compras em marketplaces (Worten, KuantoKusta, Amazon) NÃO criam relação direta para soft opt-in — precisa de consentimento ativo. O registo de oposição da DGC (Lista Robinson) também deve ser respeitado para chamadas comerciais.
Quanto tempo posso conservar os dados dos clientes da minha loja online?
Apenas o tempo necessário para a finalidade. Regras práticas em Portugal: dados fiscais e faturas — 10 anos (Código IVA e LGT); contratos e ordens de compra — 10 anos; dados de marketing — até retirada do consentimento; carrinhos abandonados — máximo 30 dias; logs de acesso — 6 meses; vídeo-vigilância — 30 dias.
Após o prazo deve eliminar, anonimizar ou arquivar de forma protegida (limitação do tratamento). A política de conservação tem de constar do RAT e da política de privacidade. O Zunapro automatiza a aplicação dos prazos com regras configuráveis por categoria de dados.
Tenho uma loja sediada fora de Portugal mas vendo para portugueses — aplica-se o RGPD?
Sim — o RGPD aplica-se por extraterritorialidade (art. 3.º, n.º 2) a qualquer responsável fora da UE que ofereça bens a titulares na UE. Critérios típicos: site em português, preços em euros, entrega em Portugal.
Nestes casos é obrigatório designar um representante UE (art. 27.º), pessoa singular ou coletiva estabelecida num Estado-Membro. O Zunapro disponibiliza serviço de representante UE para sellers internacionais.
Quanto tempo demora pôr a minha loja em conformidade RGPD com o Zunapro?
Cerca de 10 minutos para a configuração inicial — CMP ativada, política de privacidade publicada, RAT iniciado, canal de pedidos de titulares aberto. Uma auditoria completa demora tipicamente 1 a 2 semanas, em conjunto com o seu DPO.
O assistente de onboarding deteta o seu catálogo Shopify, WooCommerce, BigCommerce ou PrestaShop, e propõe a configuração de cookies e o RAT com base nas integrações ativas. O DPO valida com poucos cliques.
Comece a vender em Portugal — em total conformidade RGPD em 10 minutos
CMP de cookies · RAT automatizado · DPO externo · Pedidos de titulares · Notificações à CNPD — um único painel, uma única auditoria, conforme com CNPD, ANACOM e CEPD. Sem demonstrações obrigatórias, sem contratos longos. Inicie hoje o seu e-commerce português em conformidade.
🇵🇹 Lançar em Portugal Agora →Precisa de ajuda?
Serviço relacionado: E-Commerce