Leis de Proteção de Dados de Portugal: RGPD, Lei 58/2019 e Guia de Fiscalização da CNPD (2026)

O direito da proteção de dados em Portugal assenta em três camadas interligadas: o RGPD da UE, diretamente aplicável desde 25 de maio de 2018; a Lei n.º 58/2019, a lei de execução nacional; e o Artigo 35.º da Constituição da República Portuguesa. A CNPD fiscaliza estas regras e pode aplicar coimas até 20 milhões de euros para as violações mais graves.
Portugal ocupa uma posição distinta no panorama europeu da proteção de dados. A sua Constituição de 1976, pós-revolucionária, antecipou o RGPD em quatro décadas, com uma cláusula de privacidade detalhada que aborda explicitamente a informática. A sua autoridade nacional de proteção de dados contestou a própria lei de execução do país semanas após a sua entrada em vigor. E as suas estatísticas de fiscalização contam a história de um enquadramento jurídico ambicioso a debater-se com os limites de uma autoridade pequena.
Este guia aborda todo o regime português de proteção de dados: os fundamentos constitucionais, o enquadramento do RGPD, os aditamentos e as supressões nacionais da Lei 58/2019, a estrutura e o histórico de fiscalização da CNPD, a deliberação histórica de 2019, a sobreposição com o Regulamento IA da UE, as regras de transferência transfronteiriça, e os requisitos práticos de conformidade para as organizações que operam em Portugal.
Resposta Rápida: O RGPD Aplica-se em Portugal?
Sim. O RGPD é diretamente aplicável em Portugal desde 25 de maio de 2018, sem necessidade de transposição. A Lei n.º 58/2019 não é uma transposição do RGPD. É uma lei de execução complementar, que preenche os espaços que o RGPD deliberadamente deixa em aberto para a discricionariedade dos Estados-membros. Sempre que a Lei 58/2019 entra em conflito com o RGPD, prevalece o RGPD. A CNPD confirmou esta hierarquia em 2019, ao recusar-se a aplicar várias disposições da lei nacional.
Para qualquer organização que trate dados pessoais de residentes portugueses, ou que exerça atividades de tratamento de dados em Portugal, a conformidade significa satisfazer, em primeiro lugar, o RGPD e, em segundo lugar, a Lei 58/2019.

Fundamento Constitucional: o Artigo 35.º da Constituição Portuguesa
O enquadramento constitucional de Portugal para a proteção de dados é excecionalmente forte e excecionalmente específico. O Artigo 35.º da Constituição da República Portuguesa, adotada em 1976, tem por epígrafe "Utilização da informática" e garante aos cidadãos um conjunto de direitos que eram visionários à época e continuam a ser estruturantes hoje em dia.
O Artigo 35.º confere a todos os cidadãos o direito de acesso aos dados informatizados que lhes digam respeito, de exigir a sua retificação e atualização, e de ser informados sobre a finalidade a que se destinam. Exige que a lei defina o conceito de dados pessoais e especifique as condições para o tratamento automatizado, a interconexão, a transmissão e a utilização desses dados. Fundamentalmente, o artigo determina a proteção por meio de uma entidade administrativa independente, uma exigência constitucional direta que deu origem à CNPD.
O Artigo 35.º também proíbe a atribuição de um número nacional único aos cidadãos, uma disposição que constituiu uma reação direta à infraestrutura de vigilância da polícia política PIDE/DGS durante a ditadura do Estado Novo. Essa proibição tem força prática ainda hoje: Portugal restringe a interconexão de números de identificação entre bases de dados de forma mais rigorosa do que a exigida pela maioria dos Estados-membros da UE.
O artigo confere ainda uma proteção reforçada a certas categorias de dados sensíveis (dados relativos a convicções políticas, crenças religiosas e vida privada), proibindo o seu tratamento e transmissão, exceto em circunstâncias estritamente definidas.
O Artigo 26.º da mesma Constituição acrescenta uma garantia geral do direito à identidade pessoal e ao desenvolvimento da personalidade, à capacidade civil, à cidadania, ao bom nome e reputação, à imagem, à palavra, e à reserva da intimidade da vida privada e familiar. Isso cria um direito constitucional à privacidade que funciona de forma independente e em conjunto com o Artigo 35.º.
Os tribunais portugueses têm utilizado estas disposições constitucionais para interpretar questões de proteção de dados de forma mais ampla do que exigiria uma análise puramente centrada no RGPD. O fundamento constitucional confere aos residentes portugueses o direito de contestar o tratamento de dados através dos tribunais, além das vias de reclamação administrativa junto da CNPD.
O Enquadramento do RGPD em Portugal
O Regulamento Geral sobre a Proteção de Dados (UE) 2016/679 aplica-se em Portugal como direito da UE diretamente aplicável. Não foi exigida nem permitida qualquer transposição nacional; o RGPD é a lei, aplicável a qualquer organização que trate dados pessoais de pessoas na UE ou que dirija bens e serviços a residentes da UE.
Os princípios fundamentais do RGPD aplicam-se em Portugal sem alterações: licitude, lealdade e transparência; limitação das finalidades; minimização dos dados; exatidão; limitação da conservação; integridade e confidencialidade; e responsabilidade.
As organizações devem identificar um fundamento de licitude ao abrigo do Artigo 6.º do RGPD para cada atividade de tratamento. Os seis fundamentos são: consentimento, execução de contrato, cumprimento de obrigação legal, proteção de interesses vitais, exercício de funções de interesse público, e interesses legítimos. A Lei 58/2019 de Portugal acrescenta algumas restrições e esclarecimentos sobre a aplicação destes fundamentos em contextos específicos, tratados adiante.
Lei n.º 58/2019: a Lei de Execução Nacional

A Lei n.º 58/2019, de 8 de agosto, entrou em vigor em 9 de agosto de 2019, tornando Portugal um dos últimos Estados-membros da UE a finalizar a sua legislação complementar do RGPD. A lei foi publicada oficialmente no Diário da República e está livremente acessível em dre.pt.
O atraso foi significativo. O RGPD já era diretamente aplicável há mais de um ano quando a Lei 58/2019 foi promulgada. Durante esse intervalo, Portugal funcionou sob um regime transitório, e várias empresas e organismos públicos já tinham começado a adaptar as suas práticas às exigências do RGPD sem que existisse uma lei nacional definitiva.
A par da Lei 58/2019, a Lei n.º 59/2019, da mesma data, estabeleceu regras de proteção de dados distintas para as autoridades competentes que tratam dados pessoais para fins de investigação criminal, prevenção da criminalidade, segurança pública e controlo fronteiriço, sendo a transposição portuguesa da Diretiva (UE) 2016/680 (a Diretiva Polícia e Justiça).
Principais Aditamentos Nacionais na Lei 58/2019
A Lei 58/2019 exerce, em várias áreas, as opções deixadas pelo RGPD à discricionariedade dos Estados-membros:
Idade de consentimento digital. Portugal fixou em 13 anos a idade a partir da qual as crianças podem consentir de forma autónoma nos serviços da sociedade da informação, o mínimo permitido pelo Artigo 8.º do RGPD. Trata-se de um dos limites mais baixos da UE. A Alemanha, a Áustria e os Países Baixos escolheram 16 anos; a França escolheu 15 anos; a Irlanda, a Espanha e a Itália escolheram 16 anos. Para as crianças com menos de 13 anos, o consentimento deve ser dado ou autorizado por um progenitor ou titular das responsabilidades parentais.
Restrições ao consentimento no contexto laboral. O Artigo 28.º da Lei 58/2019 restringe o uso do consentimento como fundamento de licitude nas relações de trabalho. O consentimento não constitui fundamento válido quando o tratamento for necessário para a execução do contrato de trabalho, ou quando dele resultar uma vantagem jurídica ou económica para o trabalhador. A CNPD veio posteriormente declarar inaplicável parte desta restrição, em concreto a alínea a) do n.º 3 do Artigo 28.º, por restringir excessivamente o direito de autodeterminação informativa dos trabalhadores, mantendo-se em vigor a alínea b) do mesmo número.
Dados biométricos no local de trabalho. O n.º 6 do Artigo 28.º da Lei 58/2019 limita o tratamento de dados biométricos no contexto laboral a apenas duas finalidades: o controlo da assiduidade dos trabalhadores e o controlo de acessos às instalações do empregador. Só podem ser armazenados os modelos matemáticos (templates) derivados dos dados biométricos. Os próprios dados biométricos em bruto não podem ser armazenados. Os modelos devem ser armazenados de forma que não permita a reversão da representação biométrica.
Videovigilância no trabalho. Os dados pessoais recolhidos através de tecnologia de vigilância à distância, incluindo câmaras de vídeo, só podem ser utilizados em processos disciplinares contra trabalhadores se o facto constituir também matéria de natureza criminal. Um empregador não pode utilizar imagens de videovigilância (CCTV) para sancionar disciplinarmente um trabalhador por uma violação de política interna que não envolva conduta criminosa. Esta regra é consideravelmente mais restritiva do que a abordagem adotada na maioria dos outros Estados-membros da UE.
Pessoas falecidas. A Lei 58/2019 atribui aos herdeiros de pessoas falecidas os direitos dos titulares dos dados, permitindo-lhes exercer os direitos de acesso, retificação e apagamento em nome do falecido, salvo se este tiver manifestado expressamente em vida vontade contrária ao exercício desses direitos por terceiros.
Saúde pública e investigação. A lei prevê exceções específicas aos direitos dos titulares dos dados, incluindo os direitos de acesso e de apagamento, quando o tratamento seja efetuado para fins de arquivo de interesse público, investigação científica ou histórica, ou fins estatísticos, e quando o exercício desses direitos comprometa gravemente a realização dessas finalidades.
Distribuição da receita das coimas. Nos termos do Artigo 44.º da Lei 58/2019, 60% das coimas administrativas cobradas ao abrigo do RGPD revertem para os cofres do Estado português. Os restantes 40% revertem diretamente para a CNPD como receita própria. Este mecanismo é único na UE e tem gerado um debate persistente sobre se cria um incentivo financeiro impróprio para a autoridade de controlo.
A Deliberação de 2019 da CNPD: a Desaplicação de Partes da Lei 58/2019
Talvez o episódio mais notável da história da proteção de dados em Portugal tenha ocorrido apenas algumas semanas depois de a Lei 58/2019 entrar em vigor. Em 3 de setembro de 2019, a CNPD emitiu a Deliberação 2019/494, uma decisão que declarou que a autoridade se recusaria a aplicar várias disposições da lei nacional que estava incumbida de fiscalizar.
O fundamento jurídico da CNPD foi o primado do direito da UE. Nos termos do Artigo 288.º do TFUE e da jurisprudência do Tribunal de Justiça da União Europeia, os regulamentos da UE produzem efeito direto nas ordens jurídicas dos Estados-membros e prevalecem sobre disposições nacionais conflituantes. Uma autoridade nacional de proteção de dados está obrigada a aplicar o RGPD tal como redigido; quando a lei nacional conflitua, o RGPD prevalece e a disposição nacional deve ser afastada.
As Disposições Desaplicadas
A CNPD identificou quatro conjuntos de disposições da Lei 58/2019 como incompatíveis com o RGPD:
Artigos 37.º a 39.º: o regime sancionatório. Estes artigos estabeleciam o regime próprio de Portugal para o cálculo das coimas por violações do RGPD. Os problemas eram múltiplos. Os n.os 2 dos Artigos 37.º e 38.º diferenciavam os montantes máximos das coimas consoante o responsável pelo tratamento fosse uma grande empresa ou uma PME. Contudo, o RGPD não estabelece essa diferenciação, e a CNPD concluiu que Portugal não podia subdividir os limites máximos das coimas de forma a afastar-se da estrutura unificada do RGPD. O n.º 1 do Artigo 39.º estabelecia critérios de cálculo das coimas que a CNPD considerou irem além das considerações elencadas no n.º 2 do Artigo 83.º do RGPD. O n.º 3 do Artigo 39.º exigia que a CNPD notificasse previamente antes de instaurar processos por violações negligentes, uma exigência que a CNPD considerou incompatível com o regime de fiscalização do RGPD, que não estabelece qualquer distinção com base no tipo de culpa na fase de notificação.
A consequência prática é que a CNPD aplica diretamente o Artigo 83.º do RGPD no cálculo das coimas, tratando todas as entidades dentro da mesma estrutura de limites máximos e sem a exigência de notificação prévia para violações negligentes.
Alínea a) do n.º 3 do Artigo 28.º: o consentimento no trabalho. A CNPD considerou que a proibição de usar o consentimento como fundamento quando o tratamento produza uma vantagem jurídica ou económica para o trabalhador restringia excessivamente o direito de autodeterminação informativa dos trabalhadores e era incompatível com a alínea a) do n.º 1 do Artigo 6.º e a alínea a) do n.º 2 do Artigo 9.º do RGPD. Esta disposição foi desaplicada; a alínea b) do n.º 3 do Artigo 28.º (a restrição relativa à execução do contrato) não foi contestada.
N.º 2 do Artigo 61.º: consentimento e cessação de contrato. Esta disposição associava a caducidade do consentimento para o tratamento de dados à cessação automática de qualquer contrato de prestação de serviços subjacente, de uma forma que a CNPD considerou conflituar com as regras do RGPD sobre a retirada do consentimento.
N.º 2 do Artigo 62.º: autorização prévia da CNPD. Este artigo mantinha uma exigência de autorização prévia para certos tipos de tratamento, anterior ao RGPD. A CNPD considerou esta exigência incompatível com o regime do RGPD, que dispensa autorizações prévias.
A Deliberação não revogou estas disposições. A CNPD não dispõe de poderes de tribunal constitucional. Em vez disso, anunciou que a autoridade não as aplicaria nas suas decisões sancionatórias, salientando que os tribunais teriam de tomar as suas próprias decisões caso as disposições fossem suscitadas em litígio. O estatuto jurídico das disposições desaplicadas na ordem jurídica portuguesa permanece, assim, formalmente por resolver; na prática, a CNPD não as considera em vigor.
A CNPD: Estrutura e Poderes

A Comissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo independente de Portugal, ao abrigo do Artigo 51.º do RGPD. Foi originalmente instituída ao abrigo da anterior lei de proteção de dados de 1998, transitando para o seu atual papel de fiscalização do RGPD em 2018.
Os membros da CNPD são eleitos pela Assembleia da República, o que confere ao organismo legitimidade democrática e independência política face ao poder executivo.
Poderes e Funções
Ao abrigo do RGPD e da Lei 58/2019, a CNPD exerce poderes de investigação, corretivos, consultivos e de autorização. No plano da investigação, pode realizar auditorias e inspeções, solicitar informações aos responsáveis pelo tratamento e aos subcontratantes, e obter acesso a todos os dados pessoais e a todas as informações necessárias às suas investigações. No plano corretivo, pode emitir advertências, censuras, ordens de conformação, limitações temporárias ou definitivas ao tratamento, ordens de apagamento ou destruição de dados, e aplicar coimas.
A CNPD também desempenha funções consultivas: emite pareceres sobre projetos de lei que afetem a proteção de dados, fornece orientações sobre questões de conformidade, e publica autorizações vinculativas para certos tipos de tratamento em que o RGPD ou a Lei 58/2019 exijam aprovação prévia.
Os responsáveis pelo tratamento e os subcontratantes sujeitos a auditorias devem cooperar com a CNPD. A obstrução a uma inspeção constitui, em si mesma, uma contraordenação.
Recursos e Limitações
A CNPD dispõe cronicamente de recursos insuficientes face ao seu mandato. No final de 2024, a autoridade contava com 28 colaboradores. No final de 2025, o quadro de pessoal tinha crescido para 36. O seu orçamento de 2024 foi de aproximadamente 2,98 milhões de euros, financiado maioritariamente pelo Orçamento do Estado, com uma contribuição complementar proveniente da receita própria das coimas da CNPD.
A autoridade reconheceu publicamente que os recursos limitados afetam a sua capacidade de investigar todas as questões que lhe são submetidas. Em setembro de 2025, foi apresentada à Assembleia da República uma proposta legislativa para um sistema de processo administrativo eletrónico, destinada a resolver os processos em suporte de papel da autoridade.
Fundamentos de Licitude e Regras de Consentimento
Toda a atividade de tratamento de dados em Portugal deve identificar um fundamento de licitude válido nos termos do Artigo 6.º do RGPD. Os seis fundamentos aplicam-se tal como no RGPD em geral, com as seguintes especificidades portuguesas:
O consentimento deve ser livre, específico, informado e inequívoco. No contexto laboral, o Artigo 28.º da Lei 58/2019 (conforme alterado pela Deliberação 2019/494) restringe o consentimento às situações em que o tratamento não seja necessário para o contrato de trabalho. Os empregadores não podem recorrer ao consentimento para tratar dados dos trabalhadores quando a relação contratual crie um desequilíbrio de poder inerente que torne o consentimento não livre.
Os interesses legítimos constituem um fundamento disponível, mas exigem um teste em três etapas: o interesse tem de ser legítimo, o tratamento tem de ser necessário para esse interesse, e o interesse não pode ser sobreposto pelos interesses ou direitos fundamentais do titular dos dados. Os tribunais portugueses e a CNPD aplicam este teste de ponderação com rigor, sobretudo em casos de marketing e de monitorização de trabalhadores.
Os fundamentos de cumprimento de obrigação legal e de exercício de funções de interesse público são frequentemente utilizados pelas autoridades públicas portuguesas. Os dados de categorias especiais (Artigo 9.º do RGPD), incluindo dados de saúde, dados biométricos para efeitos de identificação, origem racial ou étnica, convicções políticas e crenças religiosas, exigem simultaneamente um fundamento válido nos termos do Artigo 6.º e uma das condições adicionais previstas no n.º 2 do Artigo 9.º.
Direitos dos Titulares dos Dados
Os residentes em Portugal usufruem do conjunto completo de direitos dos titulares dos dados garantidos pelo RGPD:
Direito de acesso (Artigo 15.º). Os titulares dos dados podem solicitar a confirmação de que os seus dados pessoais estão a ser tratados e, em caso afirmativo, uma cópia desses dados, juntamente com informações sobre as finalidades, categorias, destinatários, prazos de conservação e a existência de outros direitos.
Direito de retificação (Artigo 16.º). Os dados pessoais inexatos devem ser corrigidos e os dados incompletos devem ser completados, sem demora injustificada.
Direito ao apagamento (Artigo 17.º). Também conhecido como direito ao esquecimento. Em Portugal, quando se aplica um prazo legal de conservação aos dados, o apagamento só pode ser exercido depois de esse prazo terminar. Isto reflete o tratamento dado pela Lei 58/2019 às obrigações legais de conservação.
Direito à limitação do tratamento (Artigo 18.º). Os titulares dos dados podem solicitar a limitação do tratamento enquanto a exatidão dos dados for contestada ou enquanto for apreciada uma oposição baseada em interesses legítimos.
Direito à portabilidade dos dados (Artigo 20.º). A Lei 58/2019 especifica que a portabilidade abrange apenas os dados fornecidos pelo titular, e que as transferências devem, sempre que possível, ser efetuadas em formatos abertos.
Direito de oposição (Artigo 21.º). Os titulares dos dados podem opor-se ao tratamento baseado em interesses legítimos ou realizado para fins de marketing direto. As oposições ao marketing direto devem ser sempre respeitadas.
Direitos relativos à decisão individual automatizada (Artigo 22.º). Os titulares dos dados têm o direito de não ficar sujeitos a decisões tomadas exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produzam efeitos jurídicos ou similarmente significativos. Deve estar sempre disponível a possibilidade de intervenção humana.
A CNPD dispõe de um Balcão Digital através do qual os titulares dos dados podem apresentar pedidos de acesso, reclamações e obter orientações. Em 2025, o Balcão Digital recebeu 9.299 contactos, um aumento de 19,2% face ao ano anterior.
Exigências de Notificação de Violações de Dados Pessoais
O regime de notificação de violações do RGPD aplica-se em Portugal sem desvios nacionais significativos. Os responsáveis pelo tratamento devem notificar a CNPD de uma violação de dados pessoais no prazo de 72 horas após dela tomarem conhecimento, salvo se for improvável que a violação resulte num risco para os direitos e liberdades das pessoas singulares.
A notificação deve incluir: a natureza da violação; as categorias e o número aproximado de titulares dos dados e de registos afetados; o nome e os dados de contacto do encarregado da proteção de dados ou de outro ponto de contacto; uma descrição das prováveis consequências; e as medidas adotadas ou propostas para resolver a violação. Caso a notificação não possa ser feita no prazo de 72 horas, o responsável pelo tratamento deve prestá-la por fases, indicando as razões do atraso.
Sempre que uma violação seja suscetível de resultar num risco elevado, os titulares dos dados afetados devem também ser notificados diretamente, sem demora injustificada. A CNPD disponibiliza no seu site um formulário normalizado de notificação de violação.
O volume de notificações de violações tem crescido de forma acentuada. A CNPD recebeu 332 notificações de violações em 2024. Em 2025, esse número subiu para 472, um aumento de 42% num único ano. O erro humano foi responsável por 128 das notificações de 2025; os ataques de engenharia social do tipo phishing foram responsáveis por 72.
Exigências Relativas ao Encarregado da Proteção de Dados
A Lei 58/2019 não se desvia significativamente do regime do RGPD relativo ao encarregado da proteção de dados, embora acrescente duas obrigações adicionais para os encarregados designados: assegurar a realização de auditorias periódicas e não programadas; e sensibilizar os utilizadores para a importância da deteção precoce de incidentes de segurança e para a necessidade de os comunicar prontamente.
Deve ser designado um encarregado da proteção de dados quando:
- O responsável pelo tratamento ou o subcontratante for uma autoridade ou organismo público (exceto os tribunais no exercício da sua função jurisdicional)
- As atividades principais exigirem a monitorização regular e sistemática de titulares dos dados em grande escala
- As atividades principais envolverem o tratamento em grande escala de dados de categorias especiais ou de dados relativos a condenações penais
Para as entidades do setor público, a obrigação tem um alcance amplo. O Estado, as regiões autónomas, as autarquias locais, os institutos públicos, as instituições públicas de ensino superior e as empresas públicas estão todos obrigados a designar um encarregado da proteção de dados. A prioridade da CNPD para 2025, de criar um Portal do Encarregado, visa formalizar e simplificar a comunicação entre a autoridade e os encarregados registados.
As organizações não obrigadas a designar um encarregado da proteção de dados são incentivadas, mas não obrigadas, a fazê-lo voluntariamente. Quando um encarregado é designado voluntariamente, aplicam-se na íntegra as garantias de independência previstas no RGPD.
Transferências Internacionais de Dados
Portugal segue o regime de três níveis do RGPD para as transferências internacionais de dados pessoais:
Decisões de adequação. Quando a Comissão Europeia tiver determinado que um país terceiro assegura um nível de proteção essencialmente equivalente, as transferências podem ser realizadas sem garantias adicionais. O Quadro de Proteção de Dados UE-EUA, adotado em julho de 2023, permite transferências para organizações certificadas nos Estados Unidos ao abrigo de uma decisão de adequação. Contudo, este quadro continua sujeito a impugnação judicial.
Garantias adequadas. Na ausência de decisão de adequação, as transferências exigem garantias adequadas. O mecanismo principal são as Cláusulas Contratuais-Tipo (CCT), atualizadas pela Comissão Europeia em 2021. As organizações que utilizam CCT devem também realizar uma Avaliação de Impacto da Transferência (TIA) para avaliar se o enquadramento jurídico do país de destino compromete as garantias asseguradas pelas CCT.
Derrogações. O Artigo 49.º do RGPD permite transferências em circunstâncias limitadas, sem decisão de adequação ou garantias adequadas (incluindo o consentimento explícito, a execução de contrato ou interesses vitais), mas a CNPD, em linha com as orientações do CEPD, trata estas hipóteses como soluções de último recurso e não como instrumentos de conformidade correntes.
O caso do INE deixou claro que Portugal leva a sério o cumprimento das regras de transferência transfronteiriça. A coima de 4,3 milhões de euros em 2022 assentou, em parte, na transferência de dados pessoais do Censos 2021 para servidores nos Estados Unidos sem garantias jurídicas adequadas. Para as organizações que transferem dados de Portugal para o Brasil, um fluxo comum dadas as relações comerciais e migratórias entre os dois países, as CCT acompanhadas de TIA continuam a ser o mecanismo recomendado.
Sanções e Coimas Administrativas
A estrutura sancionatória de dois níveis do RGPD aplica-se diretamente em Portugal. Em consequência da Deliberação 2019/494, a CNPD aplica diretamente o Artigo 83.º do RGPD, em vez das disposições sancionatórias dos Artigos 37.º a 39.º da Lei 58/2019 (que se recusou a aplicar por incompatibilidade com o RGPD).
As violações de nível 1 (n.º 4 do Artigo 83.º) são puníveis com coimas até 10 milhões de euros ou 2% do volume de negócios anual a nível mundial, consoante o que for mais elevado. Abrangem violações de obrigações técnicas e organizativas, incluindo o incumprimento dos requisitos de proteção de dados desde a conceção, das obrigações relativas ao encarregado da proteção de dados, das notificações de violação, e das obrigações do subcontratante.
As violações de nível 2 (n.º 5 do Artigo 83.º) são puníveis com coimas até 20 milhões de euros ou 4% do volume de negócios anual a nível mundial, consoante o que for mais elevado. Abrangem as violações mais graves: o incumprimento dos princípios fundamentais (licitude, limitação das finalidades, minimização dos dados), a violação dos direitos dos titulares dos dados, e as transferências internacionais ilícitas.
Para além das coimas administrativas, o direito penal português prevê sanções para as violações mais graves em matéria de proteção de dados. O acesso não autorizado a dados pessoais, a destruição intencional de dados detidos por responsáveis pelo tratamento, e o incumprimento de ordens da CNPD podem gerar responsabilidade criminal, incluindo pena de prisão.
A receita das coimas é repartida em 60/40 entre os cofres do Estado e a CNPD, nos termos do Artigo 44.º da Lei 58/2019.
Histórico de Fiscalização da CNPD
Centro Hospitalar Barreiro Montijo (2018): 400.000 euros
A primeira coima do RGPD em Portugal foi aplicada em 2018 a um hospital público. A CNPD aplicou uma coima de 400.000 euros ao Centro Hospitalar Barreiro Montijo por três violações: o uso de perfis falsos por profissionais do hospital para aceder a registos médicos de doentes; a ausência de controlos de acesso adequados; e a inexistência de uma Avaliação de Impacto sobre a Proteção de Dados. Este caso no setor da saúde estabeleceu, desde cedo, que a CNPD visaria as falhas institucionais de governação de dados.
Instituto Nacional de Estatística (2022): 4.300.000 euros
A maior coima do RGPD na história portuguesa foi aplicada em dezembro de 2022. A CNPD aplicou uma coima de 4,3 milhões de euros ao INE por cinco infrações relacionadas com o Censos 2021:
- Transferência ilícita de dados pessoais para servidores nos Estados Unidos, sem garantias adequadas
- Ausência de Avaliação de Impacto sobre a Proteção de Dados
- Falta de licitude no tratamento de categorias especiais de dados pessoais
- Incumprimento das obrigações de transparência (inexistência de um aviso de privacidade acessível no site do INE)
- Medidas técnicas e organizativas de segurança inadequadas
A coima demonstrou que a CNPD aplicaria sanções substanciais a organismos públicos, e não apenas a empresas privadas. O INE impugnou a coima nos tribunais portugueses; até meados de 2026 não tinha sido proferida decisão final. O CEPD divulgou o caso como uma ação de fiscalização relevante em matéria de transferências transfronteiriças.
Fiscalização Agregada em 2023
A CNPD aplicou 90 coimas, num total de 559.950 euros, ao longo de 2023. Depois de 2022, a autoridade deixou de publicar decisões sancionatórias individuais, divulgando apenas estatísticas agregadas. Esta política tem sido criticada por defensores da transparência e dificulta uma análise detalhada dos padrões de fiscalização atuais.
2024 e 2025: Poucas Coimas, Atividade Crescente
Em 2024, a CNPD tramitou 2.046 processos de investigação e recebeu 332 notificações de violações. O orçamento da autoridade em 2024 foi de aproximadamente 2,98 milhões de euros, com apenas 28 colaboradores ao seu serviço.
Em 2025, a CNPD aplicou apenas 2 coimas, num total de 47.000 euros, um número surpreendentemente baixo face ao seu nível de atividade. No mesmo ano, abriu 3.201 processos, realizou 244 inspeções (o dobro das 122 de 2024), instaurou 88 processos de contraordenação, e adotou 480 decisões relacionadas com casos de violações. A autoridade atribuiu o reduzido número de sanções à insuficiência de pessoal especializado, à complexidade processual, aos processos administrativos em suporte de papel, e a um enquadramento legal inadequado para os seus procedimentos sancionatórios.
No final de 2025, a CNPD contava já com 36 colaboradores, ainda muito abaixo do mínimo necessário para resolver o crescente volume de processos pendentes. Em setembro de 2025, foi apresentada à Assembleia da República uma proposta legislativa para um regime de processo administrativo eletrónico.
A Sobreposição com o Regulamento IA da UE
O Regulamento IA da UE (Regulamento (UE) 2024/1689) entrou em vigor em 1 de agosto de 2024 e aplica-se diretamente em Portugal como regulamento da UE. O seu calendário de implementação faseada cria obrigações de conformidade escalonadas:
- A partir de 2 de fevereiro de 2025: proibições relativas a sistemas de IA de risco inaceitável e obrigações de literacia em IA para os operadores.
- A partir de 2 de agosto de 2025: regras de governação, obrigações de transparência para modelos de IA de finalidade geral, e obrigações para os fornecedores e responsáveis pela implantação de sistemas de IA de risco elevado.
- A partir de 2 de agosto de 2026: aplicação integral das obrigações para a maioria dos sistemas de IA de risco elevado.
Portugal designou, em setembro de 2025, a ANACOM, a autoridade nacional das comunicações, como autoridade nacional de fiscalização do mercado e ponto de contacto único para a fiscalização do Regulamento IA da UE. A ANACOM coordena-se com a CNPD nas questões situadas na interseção entre a governação da IA e a proteção de dados.
O envolvimento da CNPD é significativo porque muitos sistemas de IA de risco elevado, ao abrigo do Regulamento IA, tratam dados pessoais, o que desencadeia obrigações concorrentes ao abrigo do RGPD. A identificação biométrica, o reconhecimento de emoções, e os sistemas de IA utilizados no emprego, na educação e na avaliação de crédito estão entre as áreas onde as obrigações do Regulamento IA e do RGPD mais diretamente se sobrepõem.
A estratégia nacional de Portugal para a inteligência artificial, a "AI Portugal 2030", é anterior ao Regulamento IA da UE e está a ser atualizada para se alinhar com as exigências do Regulamento. A estratégia visa posicionar Portugal como um polo de desenvolvimento ético de IA na UE.
Desenvolvimentos Recentes (2024 a 2026)
Lei 2/2025 (janeiro de 2025). Portugal promulgou a Lei 2/2025, de 23 de janeiro, que aplica a nível nacional o Regulamento de Governação de Dados da UE (Regulamento (UE) 2022/868). A lei estabelece regras para a reutilização de dados do setor público e cria um regime para os serviços de intermediação de dados e as organizações de altruísmo de dados em Portugal.
Transposição da Diretiva NIS2. A CNPD emitiu um parecer sobre a proposta de lei portuguesa de transposição da Diretiva NIS2 (UE 2022/2555), relativa à segurança das redes e dos sistemas de informação. A transposição da NIS2 em Portugal impõe novas obrigações às organizações dos setores da energia, transportes, banca, saúde, água, infraestruturas digitais e administração pública.
Portal do Encarregado (2025). A CNPD comprometeu-se, no seu Plano de Atividades para 2025, a lançar um portal específico para os encarregados da proteção de dados, simplificando as comunicações formais entre estes e a autoridade. Isto reflete o reconhecimento por parte da CNPD de que a sua anterior infraestrutura de comunicação era inadequada para as necessidades atuais de conformidade.
Reforma do processo eletrónico. A proposta legislativa para um sistema de processo administrativo eletrónico é a reforma pendente com maior impacto na capacidade de fiscalização da CNPD. Se aprovada, substituiria os processos em suporte de papel e deverá permitir à autoridade encerrar processos e aplicar coimas com uma eficiência significativamente maior.
Orientações sobre marketing direto. A CNPD emitiu, entre 2024 e 2025, orientações atualizadas sobre práticas de marketing direto, abordando os mecanismos de consentimento para o marketing por correio eletrónico, o rastreio através de cookies para fins publicitários, e os limites do interesse legítimo como fundamento para o tratamento de dados em marketing.
Aumento das queixas sobre videovigilância. As queixas sobre videovigilância apresentadas à CNPD aumentaram 49,9% em 2025, atingindo 1.243 queixas. Isto reflete uma crescente consciência pública sobre a vigilância em locais de trabalho, estabelecimentos comerciais e espaços públicos, e sugere que a CNPD continuará atenta a este setor.
Conformidade Empresarial: Requisitos Específicos de Portugal
As organizações que operam em Portugal e tratam dados pessoais de residentes portugueses devem ter em conta vários requisitos específicos de Portugal, para além da conformidade padrão com o RGPD:
Monitorização de trabalhadores. Reveja todas as práticas de vigilância e monitorização no local de trabalho à luz das restrições rigorosas da Lei 58/2019. As imagens de vídeo não podem ser utilizadas em processos disciplinares, salvo se o facto constituir também matéria criminal. Os sistemas biométricos devem limitar-se ao controlo de assiduidade e de acessos, utilizando apenas modelos irreversíveis. A instalação de CCTV exige sinalética conforme com as orientações da CNPD, Avaliações de Impacto para sistemas em grande escala, e políticas escritas.
Idade de consentimento. Se os seus serviços se dirigirem a utilizadores portugueses e puderem ser utilizados por crianças, tenha em conta que a idade de consentimento digital é de 13 anos. Os mecanismos de verificação de idade e os fluxos de consentimento parental devem refletir este limite, que difere dos 16 ou 15 anos utilizados em muitos outros mercados da UE.
Transferências transfronteiriças. As transferências de dados de residentes portugueses para fora do EEE exigem decisões de adequação, CCT acompanhadas de TIA, ou normas vinculativas aplicáveis às empresas (BCR). O caso do INE demonstrou a disposição da CNPD para aplicar coimas muito elevadas por garantias de transferência inadequadas, mesmo contra organismos públicos.
Registos das atividades de tratamento. Mantenha a documentação do registo de atividades de tratamento (RAT) nos termos do Artigo 30.º do RGPD. As auditorias da CNPD examinam rotineiramente estes registos, e a sua ausência pode transformar uma questão de conformidade menor numa conclusão sancionatória grave.
Designação do encarregado. Qualquer autoridade ou organismo público, e qualquer organização privada cujas atividades principais envolvam a monitorização sistemática em grande escala ou o tratamento de dados de categorias especiais, deve designar um encarregado da proteção de dados e registar os seus dados de contacto junto da CNPD.
Realização de Avaliações de Impacto. Realize Avaliações de Impacto sobre a Proteção de Dados para qualquer tratamento de risco elevado, incluindo o tratamento em grande escala de dados de categorias especiais, a definição sistemática de perfis, e utilizações inovadoras de tecnologias emergentes, incluindo sistemas de IA.
Preparação para o Regulamento IA. Avalie se algum sistema de IA implantado pela sua organização se enquadra nas categorias de risco elevado do Regulamento IA da UE. Prepare a documentação técnica, as avaliações de conformidade, e as notificações de transparência exigidas pelo calendário de implementação faseada do Regulamento.
As Leis de Proteção de Dados de Portugal e as Leis de Gravação
O enquadramento de proteção de dados de Portugal cruza-se diretamente com as suas leis sobre o consentimento para gravações. Nos termos do Artigo 199.º do Código Penal, gravar uma conversa privada sem o consentimento de todos os participantes constitui crime. Qualquer gravação daí resultante constitui dados pessoais, sujeitos ao RGPD e à Lei 58/2019.
A videovigilância deve cumprir simultaneamente as exigências de consentimento do Código Penal e o enquadramento do RGPD. A gravação de áudio no local de trabalho é quase inteiramente proibida ao abrigo de ambos os regimes. As imagens de CCTV de pessoas identificáveis constituem dados pessoais e estão sujeitas a limites de conservação, controlos de acesso e aos direitos dos titulares dos dados.
As regras de proteção de dados de Portugal fazem parte do enquadramento mais amplo de proteção de dados da UE que se aplica em todos os 27 Estados-membros da UE.
Aviso legal: Este artigo fornece informações gerais sobre as leis de proteção de dados de Portugal e não constitui aconselhamento jurídico. O direito da proteção de dados muda com frequência. Consulte um advogado devidamente inscrito na Ordem dos Advogados em Portugal para obter aconselhamento sobre a sua situação específica.
Frequently Asked Questions
Qual é a principal lei de proteção de dados de Portugal?
O regime de proteção de dados de Portugal assenta em duas camadas. O Regulamento Geral sobre a Proteção de Dados (RGPD) da UE aplica-se diretamente como direito da UE. A Lei n.º 58/2019, de 8 de agosto, é a lei de execução nacional que exerce as opções deixadas por Portugal enquanto Estado-membro ao abrigo do RGPD, fixando a idade de consentimento digital em 13 anos, acrescentando restrições sobre dados biométricos no trabalho, e estabelecendo a estrutura da CNPD e as regras de distribuição da receita das coimas. Sempre que as duas normas entrem em conflito, prevalece o RGPD; a CNPD confirmou-o na Deliberação 2019/494.
O que é a CNPD e que poderes tem?
A Comissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo independente de Portugal em matéria de proteção de dados. Os seus membros são eleitos pela Assembleia da República. A CNPD pode realizar auditorias e inspeções, emitir advertências e censuras, ordenar a conformação, impor limitações temporárias ou definitivas ao tratamento, e aplicar coimas administrativas até 20 milhões de euros ou 4% do volume de negócios anual a nível mundial para as violações mais graves.
Por que motivo a CNPD se recusou a aplicar partes da Lei 58/2019?
Na Deliberação 2019/494, de 3 de setembro de 2019, a CNPD considerou que várias disposições da Lei 58/2019 conflituavam com o RGPD. Os artigos desaplicados incluíam os Artigos 37.º a 39.º (o regime sancionatório nacional, que diferenciava as coimas consoante a dimensão da empresa e exigia notificação prévia antes de instaurar processos por violações negligentes), a alínea a) do n.º 3 do Artigo 28.º (uma regra de consentimento laboral excessivamente restritiva), e os Artigos 61.º, n.º 2, e 62.º, n.º 2. A CNPD invocou o primado do direito da UE e declarou que não aplicaria estas disposições nas suas decisões sancionatórias.
Qual é a idade de consentimento digital em Portugal?
Portugal fixou a idade de consentimento digital em 13 anos, o mínimo permitido pelo RGPD. As crianças com 13 anos ou mais podem consentir de forma autónoma nos serviços da sociedade da informação, como as plataformas de redes sociais. Para as crianças com menos de 13 anos, o consentimento deve ser dado ou autorizado por um progenitor ou responsável legal.
Os empregadores em Portugal podem utilizar imagens de CCTV para sancionar disciplinarmente os trabalhadores?
Não, não para violações comuns de políticas internas. A Lei 58/2019 restringe o uso de imagens de videovigilância em processos disciplinares aos casos em que o facto constitua também matéria criminal. Os empregadores não podem utilizar gravações de CCTV para sancionar disciplinarmente um trabalhador por uma infração laboral que não envolva conduta criminosa.
Qual foi a maior coima do RGPD aplicada em Portugal?
A maior coima foi de 4,3 milhões de euros, aplicada em dezembro de 2022 ao Instituto Nacional de Estatística (INE) por cinco violações do RGPD relacionadas com o Censos 2021. As violações incluíram a transferência ilícita de dados pessoais para servidores nos Estados Unidos sem garantias adequadas, a ausência de uma Avaliação de Impacto sobre a Proteção de Dados, e o incumprimento das obrigações de transparência. O INE impugnou a coima nos tribunais.
De que forma o Regulamento IA da UE afeta as organizações em Portugal?
O Regulamento IA da UE aplica-se diretamente em Portugal como regulamento da UE. As proibições relativas a sistemas de IA de risco inaceitável entraram em vigor em fevereiro de 2025. As principais obrigações de governação e transparência para a IA de finalidade geral entraram em vigor em agosto de 2025. As obrigações integrais para a maioria dos sistemas de IA de risco elevado aplicam-se a partir de agosto de 2026. Portugal designou a ANACOM como autoridade nacional de fiscalização do mercado para o Regulamento IA em setembro de 2025. A CNPD trata as questões de proteção de dados decorrentes de sistemas de IA que tratam dados pessoais.
Como transferir dados pessoais de Portugal para países fora da UE?
As transferências para fora do EEE exigem um de três mecanismos: uma decisão de adequação da Comissão Europeia relativa ao país de destino; garantias adequadas, como as Cláusulas Contratuais-Tipo (CCT) acompanhadas de uma Avaliação de Impacto da Transferência; ou, em casos limitados, uma das derrogações previstas no Artigo 49.º do RGPD. A CNPD trata as derrogações do Artigo 49.º como soluções de último recurso. A coima de 4,3 milhões de euros aplicada ao INE assentou, em parte, num mecanismo de transferência inadequado para os Estados Unidos.
Sources and References
- Lei n.º 58/2019, de 8 de agosto — Diário da República(dre.pt).gov
- CNPD — Comissão Nacional de Proteção de Dados(cnpd.pt).gov
- CEPD — Coima do Censos ao INE, 4,3 milhões de euros (dezembro de 2022)(edpb.europa.eu).gov
- GDPRhub — CNPD Deliberação 2019/494(gdprhub.eu)
- CMS Expert Guide — Proteção de Dados em Portugal(cms.law)
- DLA Piper — Leis de Proteção de Dados em Portugal(dlapiperdataprotection.com)
- DLA Piper — Autoridade Nacional de Proteção de Dados de Portugal(dlapiperdataprotection.com)
- GDPRhub — Proteção de Dados em Portugal(gdprhub.eu)
- RGPD da UE — Regulamento (UE) 2016/679(eur-lex.europa.eu).gov
- IAPP — Primeira Coima do RGPD em Portugal (Hospital, 2018)(iapp.org)
- CMS GDPR Enforcement Tracker — Portugal(cms.law)
- Espanha Associados — Análise da Deliberação 2019/494(espanhaassociados.pt)
- Garrigues — Nova Lei de Proteção de Dados Portuguesa(garrigues.com)
- PPC Land — CNPD Aplicou Apenas 2 Coimas em 2025(ppc.land)
- Chambers — Inteligência Artificial 2025, Portugal(practiceguides.chambers.com)
- Regulamento IA da UE — Regulamento (UE) 2024/1689(eur-lex.europa.eu).gov