Leis de Gravação na UE: RGPD, Lei de IA, Regras de Consentimento e Guia País a País (2026)

Gravar uma chamada telefónica, uma videoconferência ou uma conversa presencial em qualquer parte da União Europeia está sujeito a pelo menos dois regimes jurídicos em simultâneo, e por vezes a três. O Código Penal do Estado-Membro determina se a gravação constitui um ato criminoso. O RGPD determina se a gravação constitui um tratamento lícito de dados pessoais. E, desde 2025, a Lei de IA da UE impõe obrigações adicionais sempre que ferramentas de inteligência artificial estejam envolvidas na captação, geração ou alteração de gravações.
Este guia explica como essas camadas interagem, mapeia as regras de consentimento nos 27 Estados-Membros da UE e disponibiliza ligações para a página específica de cada país, com uma análise detalhada.
Resposta Rápida: Existe Uma Única Lei de Gravação na UE?
Não. A União Europeia nunca aprovou uma lei unificada sobre o consentimento para gravação. O direito da gravação na Europa funciona numa estrutura de tipo federal: a UE estabelece regras de proteção de dados e de inteligência artificial que se aplicam de forma uniforme, mas a proibição penal subjacente de gravar sem consentimento é deixada inteiramente a cada Estado-Membro.
Na prática, isto significa que a mesma chamada telefónica pode ser perfeitamente legal de um lado e constituir uma infração penal do outro, consoante a lei do país aplicável a cada participante.
O que a UE fornece de forma uniforme é a camada de proteção de dados. O RGPD aplica-se em todos os Estados-Membros, a todos os responsáveis pelo tratamento e subcontratantes, sem exceção. Assim, independentemente de a gravação ser penalmente permitida, esta tem também de cumprir os requisitos do RGPD relativos à base jurídica, à transparência e à minimização dos dados.
Por Que Não Existe Uma Única Lei de Gravação na UE
A competência legislativa da UE não se estende ao direito penal dos Estados-Membros relativo às comunicações privadas. O artigo 83.º do Tratado sobre o Funcionamento da União Europeia (TFUE) permite à UE estabelecer regras mínimas para crimes transfronteiriços particularmente graves, mas a interceção de comunicações e a gravação privada nunca foram harmonizadas ao abrigo dessa competência.
Em vez disso, o direito da UE aborda esta matéria de forma indireta, através da regulamentação da proteção de dados e das telecomunicações. A Diretiva ePrivacy 2002/58/CE exige que os Estados-Membros proíbam a interceção de comunicações eletrónicas sem consentimento, mas trata-se de uma diretiva, não de um regulamento. Cada Estado-Membro transpôs-a de forma diferente, e as sanções penais aplicadas às violações variam consideravelmente.
O resultado são 27 conjuntos diferentes de regras penais, todos envolvidos numa obrigação uniforme do RGPD e, agora, também numa obrigação uniforme da Lei de IA. Compreender o direito da gravação na UE significa compreender tanto as camadas uniformes da UE como as regras penais próprias de cada país que se encontram na sua base.
As Camadas Jurídicas da UE Aplicáveis em Todo o Território
O RGPD como Camada Universal

O Regulamento Geral sobre a Proteção de Dados (Regulamento 2016/679) aplica-se diretamente em todos os Estados-Membros desde 25 de maio de 2018. Trata-se de um regulamento, não de uma diretiva, o que significa que produz efeitos uniformes sem necessidade de transposição nacional.
Qualquer gravação de voz de uma pessoa identificável constitui dados pessoais nos termos do artigo 4.º, n.º 1, do RGPD. O tratamento desses dados pessoais (incluindo a captação, o armazenamento, o acesso e a partilha da gravação) exige uma base jurídica ao abrigo do artigo 6.º. As seis bases disponíveis são:
- Consentimento (artigo 6.º, n.º 1, alínea a)): concordância livre, específica, informada e inequívoca em ser gravado.
- Execução de um contrato (artigo 6.º, n.º 1, alínea b)): a gravação é necessária para cumprir um contrato com a pessoa gravada.
- Obrigação legal (artigo 6.º, n.º 1, alínea c)): o direito da UE ou nacional exige a gravação (por exemplo, a MiFID II para transações financeiras).
- Interesses vitais (artigo 6.º, n.º 1, alínea d)): a gravação é necessária para proteger a vida de alguém.
- Missão de interesse público (artigo 6.º, n.º 1, alínea e)): a gravação é necessária para uma missão de interesse público prevista no direito da UE ou nacional.
- Interesses legítimos (artigo 6.º, n.º 1, alínea f)): existe um interesse legítimo a prosseguir, a gravação é necessária para essa finalidade, e esse interesse não é substituído pelos direitos e liberdades da pessoa gravada.
A escolha de uma base jurídica não esgota a análise. O RGPD exige também transparência (os avisos previstos nos artigos 13.º e 14.º devem ser fornecidos antes ou no momento da gravação), limitação das finalidades (as gravações não podem ser reutilizadas para outro fim sem uma nova base compatível), minimização dos dados (gravar apenas o necessário), limitação da conservação (definir e cumprir um período de conservação) e segurança adequada (artigo 32.º).
A exceção de uso doméstico, prevista no considerando 18, exclui do âmbito do RGPD as gravações de caráter puramente pessoal ou doméstico. Gravar uma conversa em família para referência pessoal está isento. Partilhá-la, publicá-la ou utilizá-la comercialmente elimina imediatamente essa isenção.
A exceção jornalística, prevista no artigo 85.º, exige que os Estados-Membros conciliem a proteção de dados com a liberdade de expressão para fins jornalísticos, académicos, artísticos ou literários. Os Estados-Membros aplicam esta exceção de formas muito diferentes. O Tribunal de Justiça da União Europeia (processo Buivids, C-345/17, 2019) considerou que a publicação de uma gravação de agentes da polícia no YouTube podia beneficiar da exceção jornalística se a finalidade fosse divulgar informação ao público.
Diretiva ePrivacy 2002/58/CE
A Diretiva ePrivacy rege a confidencialidade das comunicações eletrónicas. O artigo 5.º, n.º 1, proíbe os Estados-Membros de permitirem a escuta, a interceção, o armazenamento ou a vigilância das comunicações eletrónicas sem o consentimento dos utilizadores em causa.
O artigo 5.º, n.º 2, cria uma exceção empresarial limitada: a gravação é permitida quando realizada no âmbito de uma prática comercial lícita, com o objetivo de fornecer prova de uma transação comercial. É esta a base jurídica das chamadas gravadas de apoio ao cliente e de vendas, desde que seja dado aviso prévio aos interlocutores.
A proposta de Regulamento ePrivacy, que substituiria a diretiva por um regulamento de aplicação direta, foi apresentada pela primeira vez em janeiro de 2017. Após oito anos de impasse legislativo, a Comissão Europeia retirou formalmente a proposta em fevereiro de 2025, no âmbito de um esforço mais amplo de simplificação regulatória. A diretiva de 2002, tal como alterada em 2009, continua a ser o regime em vigor.
Por se tratar de uma diretiva, os requisitos do artigo 5.º da Diretiva ePrivacy foram transpostos para o direito nacional de forma diferente em cada Estado-Membro. A transposição alemã (TDDDG), a transposição francesa (no âmbito do Code des postes et des communications électroniques) e as transposições dos demais Estados-Membros acrescentam, cada uma, nuances próprias do respetivo país.
Lei de IA da UE: Artigos 5.º e 50.º (Regulamento 2024/1689)
A Lei de IA da UE (Regulamento 2024/1689) entrou em vigor em 1 de agosto de 2024. As suas disposições aplicam-se de forma faseada.
Artigo 5.º, Práticas Proibidas (em vigor desde 2 de fevereiro de 2025). O artigo 5.º proíbe integralmente uma categoria de aplicações de IA. A proibição mais diretamente relevante para a gravação é a proibição de sistemas de identificação biométrica remota em tempo real utilizados em espaços acessíveis ao público para fins de aplicação da lei. Por identificação biométrica "em tempo real" entende-se o processamento de fluxos de vídeo ou áudio em direto para identificar pessoas através da comparação dos seus dados biométricos com uma base de dados. Esta prática, da qual o reconhecimento facial em sistemas de videovigilância (CCTV) é um exemplo, é proibida por defeito.
Os Estados-Membros podem prever, através de legislação nacional, exceções limitadas para crimes graves especificamente enumerados, buscas dirigidas de pessoas desaparecidas e ameaças terroristas iminentes, sujeitas, na maioria dos casos, a autorização judicial ou administrativa independente prévia. A Comissão publicou, em abril de 2025, as suas Orientações sobre Práticas de IA Proibidas para clarificar o âmbito de cada proibição.
O artigo 5.º proíbe também os sistemas de IA que classificam pessoas com base nos seus dados biométricos para inferir características sensíveis, como a opinião política, a convicção religiosa ou a orientação sexual. Os sistemas de gravação equipados com IA que criam automaticamente perfis dos interlocutores com base nessas características enquadram-se nesta proibição.
Artigo 50.º, Transparência para Conteúdos Gerados por IA (aplicável a partir de 2 de agosto de 2026). O artigo 50.º impõe obrigações de divulgação aos fornecedores e aos responsáveis pela implementação de sistemas de IA que geram áudio, imagem, vídeo ou texto sintéticos. As duas obrigações mais diretamente relevantes para a gravação e os meios de comunicação são:
Em primeiro lugar, os conteúdos de áudio, imagem ou vídeo gerados ou manipulados por IA (deepfakes) devem ser identificados como artificialmente gerados ou manipulados quando retratem pessoas reais. Esta obrigação aplica-se aos responsáveis pela implementação e deve ser cumprida de forma clara e identificável, exceto quando o conteúdo esteja abrangido por uma exceção limitada para utilização autorizada por autoridades de aplicação da lei ou para obras artísticas proporcionadas, desde que devidamente identificadas.
Em segundo lugar, os textos gerados por IA e publicados para informar o público devem ser identificados como gerados por IA, salvo se tiverem sido sujeitos a uma revisão humana genuína e uma pessoa singular ou coletiva assumir a responsabilidade editorial pelo conteúdo.
As sanções por incumprimento do artigo 50.º podem atingir 15 milhões de euros ou 3% do volume de negócios anual mundial, consoante o que for mais elevado.
Em março de 2026, a Comissão publicou a segunda versão preliminar do Código de Conduta sobre a Transparência dos Conteúdos Gerados por IA, aberta a comentários das partes interessadas. O código destina-se a colmatar a distância entre a obrigação legal e as normas técnicas necessárias para implementar a rotulagem legível por máquina. As obrigações integrais do artigo 50.º aplicam-se a partir de 2 de agosto de 2026.
Diretiva 2024/1385: Combate à Violência Contra as Mulheres
A Diretiva 2024/1385, de 14 de maio de 2024, relativa ao combate à violência contra as mulheres e à violência doméstica, criminaliza, ao nível da UE, várias formas de abuso digital e facilitado por IA. As duas disposições mais relevantes para a gravação e os conteúdos sintéticos são:
Artigo 5.º, Produção e Divulgação Não Consentidas de Imagens Íntimas. Os Estados-Membros devem criminalizar a produção, a distribuição ou a disponibilização de imagens íntimas reais ou realistas geradas por IA de uma pessoa sem o seu consentimento, quando tal seja suscetível de causar danos graves à vítima. Esta disposição abrange diretamente a pornografia deepfake e as gravações áudio ou vídeo íntimas não consentidas.
Artigo 7.º, Assédio Cibernético. Os Estados-Membros devem criminalizar o envio repetido de material ameaçador ou abusivo através de comunicações eletrónicas, incluindo gravações áudio e vídeo, com o objetivo de intimidar uma pessoa.
A diretiva entrou em vigor em 13 de junho de 2024. Os Estados-Membros devem transpô-la para o direito nacional até 14 de junho de 2027.
Carta dos Direitos Fundamentais da UE e Artigo 8.º da CEDH
Dois regimes baseados em direitos fundamentais condicionam a forma como o direito da gravação é aplicado em toda a UE.
Os artigos 7.º e 8.º da Carta da UE garantem, respetivamente, o respeito pela vida privada e familiar, pelo domicílio e pelas comunicações (artigo 7.º) e a proteção dos dados pessoais (artigo 8.º). Estas disposições aplicam-se sempre que o direito da UE esteja a ser implementado ou aplicado, inclusive em processos perante o TJUE. As leis nacionais de gravação que transponham diretivas da UE devem respeitar a Carta.
O artigo 8.º da Convenção Europeia dos Direitos Humanos garante o direito ao respeito pela vida privada e familiar. O Tribunal Europeu dos Direitos Humanos (TEDH) desenvolveu uma jurisprudência extensa sobre a interpretação do artigo 8.º no contexto de gravações, vigilância e publicação de informação privada.
A célebre linha jurisprudencial von Hannover (von Hannover c. Alemanha, petição n.º 59320/00, acórdão de 24 de junho de 2004; von Hannover c. Alemanha (n.º 2), petições n.º 40660/08 e 60641/08, acórdão da Grande Câmara de 7 de fevereiro de 2012) estabeleceu que o artigo 8.º protege as pessoas não só contra ingerências das autoridades públicas, mas também contra particulares e órgãos de comunicação social. O acórdão da Grande Câmara de 2012 fixou um teste de ponderação de proporcionalidade: a publicação ou utilização de gravações que envolvam particulares exige que se pondere o contributo para um debate de interesse público geral face ao grau de ingerência na esfera privada da pessoa.
O artigo 10.º da CEDH (liberdade de expressão) funciona do outro lado desta ponderação. O TEDH tem entendido de forma consistente que filmar e publicar gravações de agentes públicos, incluindo a polícia, no exercício das suas funções, pode estar abrangido pela proteção do artigo 10.º. Qualquer ingerência nesse direito deve ser necessária e proporcionada.
Regras de Consentimento por Estado-Membro: A Tabela por País

Cada linha reflete a regra penal por defeito em vigor em maio de 2026. O RGPD aplica-se em todas as linhas. As ligações às páginas de cada país, abaixo, contêm as citações legais completas, as sanções e as medidas de aplicação mais recentes.
| País | Regra de Consentimento | Lei Principal | Guia do País |
|---|---|---|---|
| Áustria | Todas as partes | StGB, art. 120.º | Áustria |
| Bélgica | Uma parte | Art. 314.º-A do CP | Bélgica |
| Bulgária | Todas as partes | Código Penal, art. 145.º | Bulgária |
| Croácia | Todas as partes | Código Penal, art. 142.º | Croácia |
| Chipre | Todas as partes | Constituição, arts. 15.º/17.º | Chipre |
| República Checa | Uma parte | Código Penal, art. 182.º | República Checa |
| Dinamarca | Uma parte | Código Penal, art. 263.º | Dinamarca |
| Estónia | Uma parte | Código Penal, arts. 156.º-157.º | Estónia |
| Finlândia | Uma parte | Código Penal, cap. 38 | Finlândia |
| França | Todas as partes | Código Penal, art. 226-1 | França |
| Alemanha | Todas as partes | StGB, art. 201.º | Alemanha |
| Grécia | Todas as partes | Código Penal, art. 370.º-A | Grécia |
| Hungria | Todas as partes | Código Penal, art. 422.º | Hungria |
| Irlanda | Uma parte | Sem proibição penal expressa sobre a gravação por um participante | Irlanda |
| Itália | Uma parte | Código Penal, art. 617.º | Itália |
| Letónia | Uma parte | Lei Penal, art. 144.º | Letónia |
| Luxemburgo | Todas as partes | Código Penal, art. 509.º-1 | Luxemburgo |
| Países Baixos | Uma parte | Código Penal, art. 139.º-A | Países Baixos |
| Polónia | Uma parte | Código Penal, art. 267.º | Polónia |
| Portugal | Todas as partes | Código Penal, arts. 190.º-194.º | Portugal |
| Roménia | Uma parte | Código Penal, art. 302.º | Roménia |
| Eslováquia | Todas as partes | Código Penal, art. 377.º | Eslováquia |
| Eslovénia | Todas as partes | Código Penal, art. 137.º | Eslovénia |
| Espanha | Uma parte | Código Penal, art. 197.º | Espanha |
| Suécia | Uma parte | Código Penal, cap. 4, art. 9.º-A | Suécia |
Nota sobre o RGPD. Todos os países desta tabela estão também sujeitos ao RGPD. Uma gravação que seja penalmente lícita nos termos da regra nacional de consentimento indicada na segunda coluna pode, ainda assim, infringir o RGPD se quem grava não dispuser de uma base jurídica válida ao abrigo do artigo 6.º, não fornecer um aviso de privacidade ou conservar a gravação sem um prazo de conservação definido. Estas obrigações são independentes e cumulativas.
Decisões de Aplicação do RGPD Relativas a Gravações
Duas decisões de autoridades de proteção de dados ilustram como o RGPD funciona na prática em conjunto com o direito penal dos Estados-Membros.
Dinamarca, Datatilsynet c. TDC (2019). A Dinamarca é um país de consentimento de uma parte: um participante pode gravar uma chamada nos termos do direito penal dinamarquês sem informar a outra parte. Ainda assim, a autoridade dinamarquesa de proteção de dados decidiu contra a TDC A/S, a maior empresa de telecomunicações da Dinamarca, porque esta gravava chamadas de apoio ao cliente para fins de formação sem uma base jurídica válida ao abrigo do RGPD. Informar os interlocutores de que as chamadas "podem ser gravadas" foi considerado insuficiente. Uma vez que a formação não constitui execução de um contrato nem obrigação legal, a TDC precisava de obter o consentimento específico e afirmativo de cada interlocutor. A decisão traçou uma linha clara entre a licitude penal e a conformidade com o RGPD.
Polónia, UODO c. Centro de Varsóvia (2022). A autoridade polaca de proteção de dados multou uma instalação pública por operar câmaras equipadas com microfones que captavam áudio de forma contínua. A instalação dispunha de autorização legal para videovigilância, mas não para gravação de áudio. A UODO considerou que a captação de áudio exige a sua própria base jurídica independente ao abrigo do artigo 6.º do RGPD, totalmente distinta de qualquer autorização que cubra apenas o vídeo. A coima foi modesta (10.000 PLN), mas o princípio ficou claro: não é possível estender uma base jurídica de videovigilância para cobrir também o áudio sem uma nova análise.
Orientações 1/2024 do CEPD sobre Interesses Legítimos. Em outubro de 2024, o Comité Europeu para a Proteção de Dados finalizou as suas orientações sobre os interesses legítimos previstos no artigo 6.º, n.º 1, alínea f). As orientações confirmam um teste em três etapas: teste da finalidade (existe um interesse legítimo?), teste da necessidade (a gravação é necessária para essa finalidade?) e teste de ponderação (os direitos do titular dos dados prevalecem sobre o interesse do responsável pelo tratamento?). A prevenção de fraude e a preservação de prova podem justificar-se; já o controlo geral de qualidade e a formação, na ausência de consentimento, exigem uma análise cuidadosa, caso a caso.
Gravar a Polícia e Agentes Públicos em Toda a UE

Gravar agentes da polícia e outros funcionários públicos no exercício das suas funções ocupa um espaço juridicamente distinto da gravação de conversas privadas. Aplicam-se dois regimes que, por vezes, entram em confronto.
O artigo 10.º da CEDH apoia a gravação da polícia. O Tribunal Europeu dos Direitos Humanos tem tratado de forma consistente a filmagem e a publicação de gravações de agentes públicos no exercício das suas funções como expressão protegida ao abrigo do artigo 10.º da CEDH. Qualquer ingerência nesse direito deve ser necessária e proporcionada. Os Estados-Membros não podem criminalizar a gravação da polícia apenas com o fundamento de que o agente não deu o seu consentimento.
O RGPD aplica-se à própria gravação. Publicar uma gravação de um agente da polícia envolve o tratamento dos seus dados pessoais, mesmo que este esteja a atuar numa capacidade pública. O acórdão Buivids do TJUE (C-345/17, 2019) confirmou que filmar a polícia numa esquadra e publicar as imagens online constitui tratamento de dados pessoais. Contudo, a exceção jornalística prevista no artigo 85.º do RGPD (transposta de forma diferente em cada Estado-Membro) pode justificar esse tratamento quando a finalidade seja informar o público.
As diferenças entre países são significativas. A França reconhece expressamente o direito de filmar a polícia em espaços públicos, com base no princípio da liberdade de imprensa e de expressão. A Lei de Segurança Cidadã espanhola (Ley Orgánica 4/2015) prevê coimas para a publicação não autorizada de imagens da polícia que possam pôr em causa a sua segurança, embora esta disposição tenha sido criticada como desproporcionada e esteja a ser objeto de contestação judicial em curso. A regra geral alemã de consentimento de todas as partes aplica-se mesmo à gravação da polícia em espaços públicos, embora a proibição penal seja atenuada por considerações constitucionais relativas à liberdade de expressão quando as gravações sirvam um interesse público claro.
A regra prática na maior parte da UE é a seguinte: gravar a polícia no exercício de funções públicas num espaço acessível ao público constitui, em geral, expressão protegida. Publicar gravações que identifiquem particulares captados incidentalmente na mesma cena pode implicar obrigações ao abrigo do RGPD. Utilizar ferramentas de IA para analisar a gravação com vista à identificação biométrica de agentes da polícia em tempo real é proibido nos termos do artigo 5.º da Lei de IA da UE.
Gravação Transfronteiriça na UE
Qual o Direito Penal Aplicável?
Não existe nenhuma regra a nível da UE que resolva os conflitos de jurisdição entre as leis de gravação dos Estados-Membros. Quando uma chamada ou conversa atravessa uma fronteira nacional, o direito penal de ambos os países pode, em teoria, ser aplicável. Uma chamada entre uma pessoa na Alemanha (consentimento de todas as partes) e uma pessoa nos Países Baixos (consentimento de uma parte) envolve simultaneamente os dois sistemas jurídicos.
A abordagem mais segura é sempre cumprir a regra mais restritiva de entre as aplicáveis. No exemplo Alemanha-Países Baixos, isso significa tratar a chamada como sujeita ao requisito de consentimento de todas as partes.
A aplicação transfronteiriça da lei é rara no caso de gravações privadas individuais. Contudo, para as empresas que operam centros de atendimento telefónico ou realizam chamadas de vendas entre Estados-Membros da UE, o risco de violar o direito penal do país de destino é real e já resultou em medidas de aplicação da lei.
Âmbito Territorial do RGPD
Para efeitos do RGPD, o artigo 3.º estabelece que o regulamento se aplica sempre que um responsável pelo tratamento ou um subcontratante esteja estabelecido na UE, ou sempre que os dados pessoais de pessoas na UE sejam tratados por uma entidade fora da UE que ofereça bens ou serviços a pessoas na UE ou que controle o seu comportamento.
Quando uma operação transfronteiriça de tratamento de dados pessoais envolve estabelecimentos em vários Estados-Membros, aplica-se o mecanismo da autoridade de controlo principal previsto nos artigos 56.º e 60.º. A autoridade de proteção de dados do estabelecimento principal do responsável pelo tratamento na UE lidera a investigação, participando as demais autoridades interessadas na qualidade de coautoridades de controlo.
Em novembro de 2025, o Conselho da UE adotou um novo regulamento para acelerar a aplicação transfronteiriça do RGPD, respondendo a frustrações antigas com os prazos de coordenação. As novas regras introduzem prazos obrigatórios para que as autoridades de controlo principais partilhem os projetos de decisão com as autoridades interessadas, reduzindo o prazo médio de aplicação da lei nos casos transfronteiriços.
Orientações Práticas para Operações Multinacionais
Qualquer empresa multinacional que grave chamadas a partir de uma base num país de consentimento de uma parte, mas que realize chamadas para clientes em países de consentimento de todas as partes, deve construir a sua política de gravação em torno do padrão mais exigente. Aplicar a lei mais permissiva do país de origem de quem grava a interlocutores em jurisdições mais restritivas é o erro de conformidade mais comum nas operações de centros de atendimento na UE.
Para as empresas sujeitas à MiFID II (serviços financeiros), a obrigação legal de gravar as comunicações relacionadas com transações, prevista no artigo 16.º, n.º 7, dessa diretiva, constitui uma base jurídica clara ao abrigo do artigo 6.º, n.º 1, alínea c), do RGPD. Esta obrigação de gravação coexiste com os requisitos nacionais de consentimento previstos no direito penal: mesmo as empresas reguladas pela MiFID II devem dar aviso prévio aos interlocutores em jurisdições de consentimento de todas as partes.
Deepfakes e Conteúdos Audiovisuais Sintéticos
Um Regime Jurídico em Evolução
Três instrumentos jurídicos distintos regem atualmente os deepfakes e as gravações sintéticas na UE, com âmbitos que se sobrepõem, mas não são idênticos.
O artigo 50.º da Lei de IA da UE (a partir de 2 de agosto de 2026) exige que qualquer pessoa que utilize um sistema de IA para gerar áudio, imagem ou vídeo sintéticos realistas de uma pessoa real identifique o resultado como gerado por IA. A obrigação aplica-se a nível técnico (marcação legível por máquina nos metadados do conteúdo) e, no caso dos deepfakes, também a nível visível para o utilizador (uma indicação clara no ecrã ou no áudio). As sanções podem atingir 15 milhões de euros ou 3% do volume de negócios mundial.
O artigo 5.º da Diretiva 2024/1385 (com prazo de transposição em 14 de junho de 2027) criminaliza a produção e distribuição de imagens íntimas realistas geradas por IA de uma pessoa real sem o seu consentimento. Esta disposição abrange especificamente a pornografia deepfake e não se limita a conteúdos identificados ou não identificados como tal. A proibição aplica-se independentemente de o conteúdo ser divulgado como sintético. Os Estados-Membros devem garantir às vítimas acesso a ordens de remoção rápida e a assistência das autoridades de aplicação da lei.
O RGPD aplica-se aos deepfakes enquanto dados pessoais. Uma imagem ou gravação áudio realista gerada por IA de uma pessoa identificável constitui dados pessoais (podendo mesmo considerar-se dados biométricos, se permitir a identificação). O tratamento exige uma base jurídica, que a produção de um deepfake dirigido a um particular sem o seu consentimento normalmente não consegue satisfazer.
Consequências Práticas
Para os particulares, criar um deepfake realista de outra pessoa sem consentimento (seja para fins íntimos, seja para desinformação política) será criminalmente proibido em toda a UE assim que a Diretiva 2024/1385 for transposta, sendo também possível recorrer à responsabilidade civil e ao RGPD.
Para as plataformas e os fornecedores de ferramentas de IA, o artigo 50.º da Lei de IA implica que as ferramentas que geram voz ou aparência humana realistas devem implementar uma infraestrutura de rotulagem obrigatória até 2 de agosto de 2026. A versão preliminar do Código de Conduta sobre Conteúdos Gerados por IA, publicada pela Comissão em março de 2026, estabelece normas técnicas para a marca de água legível por máquina e a rotulagem visível.
Gravação de Chamadas Empresariais: Lista de Verificação de Conformidade
Para qualquer empresa que grave chamadas com clientes ou colaboradores na UE, são exigidos os seguintes passos.
Indique a finalidade no início de cada chamada. Informe o interlocutor de que a chamada está a ser gravada, explique o motivo e especifique durante quanto tempo a gravação será conservada. Declarações vagas, como "as chamadas podem ser gravadas para efeitos de qualidade", não satisfazem o requisito de transparência do RGPD.
Identifique a sua base jurídica antes de iniciar a gravação. As bases mais defensáveis para a gravação empresarial são: obrigação legal (MiFID II, EMIR ou regulamentação setorial equivalente), execução de um contrato (se a gravação for necessária para cumprir uma cláusula contratual específica) ou interesses legítimos (para prevenção de fraude, preservação de prova ou resolução de litígios regulatórios, sustentados por um teste de ponderação documentado).
Dê aos interlocutores em países de consentimento de todas as partes um aviso específico e, sempre que a gravação se baseie no consentimento, uma escolha genuína. Um interlocutor na Alemanha, França, Áustria, Grécia, Portugal, Croácia, Eslováquia, Eslovénia, Luxemburgo, Hungria ou Chipre deve ser informado claramente e ter oportunidade de exercer os seus direitos antes de a gravação começar.
Defina e cumpra um prazo de conservação. A conservação ilimitada nunca é conforme. Defina prazos máximos de conservação associados à finalidade específica de cada gravação, documente esses prazos na sua política de conservação de dados e implemente a eliminação automática.
Realize uma Avaliação de Impacto sobre a Proteção de Dados. A gravação sistemática ou em grande escala de chamadas qualifica-se como tratamento de alto risco nos termos do artigo 35.º do RGPD, exigindo uma AIPD antes do lançamento do programa ou de qualquer alteração significativa.
Cumpra os requisitos da Lei de IA para qualquer gravação assistida por IA. Se o software de gravação de chamadas utilizar IA para transcrever, analisar sentimento, identificar interlocutores ou gerar resumos, avalie se essas funções de IA se enquadram nas categorias de práticas proibidas, de alto risco ou de obrigações de transparência da Lei de IA da UE. A identificação biométrica em tempo real através da voz, para identificar pessoas desconhecidas, é proibida nos termos do artigo 5.º da Lei de IA.
Como Encontrar as Regras Específicas do Seu País
Para consultar o texto legal detalhado, as sanções penais, as medidas de aplicação recentes das autoridades de proteção de dados, as decisões judiciais e orientações práticas para cada Estado-Membro da UE, utilize as páginas de país abaixo. Cada página aborda a lei penal específica, a aplicação do RGPD, a transposição da Diretiva ePrivacy e os desenvolvimentos mais recentes nessa jurisdição.

Estados-Membros da UE com Guias por País:
Leis de Gravação da Áustria: consentimento de todas as partes, StGB, artigo 120.º, pena até um ano de prisão.
Leis de Gravação da Bélgica: consentimento de uma parte, artigo 314.º-A do Código Penal, aplicação do RGPD pela APD.
Leis de Gravação da Bulgária: consentimento de todas as partes, Código Penal, artigo 145.º, RGPD aplicado através da CPDP.
Leis de Gravação da Croácia: consentimento de todas as partes, Código Penal, artigo 142.º, RGPD aplicado através da AZOP.
Leis de Gravação de Chipre: consentimento de todas as partes ao abrigo dos artigos constitucionais 15.º e 17.º, RGPD aplicado através do Comissário para a PDPD.
Leis de Gravação da República Checa: consentimento de uma parte, Código Penal, artigo 182.º, supervisão da UOOU.
Leis de Gravação da Dinamarca: consentimento de uma parte, Código Penal, artigo 263.º, aplicação ativa do RGPD pela Datatilsynet.
Leis de Gravação da Estónia: consentimento de uma parte, Código Penal, artigos 156.º a 157.º, supervisão da AKI.
Leis de Gravação da Finlândia: consentimento de uma parte, Código Penal, capítulo 38, orientações do Tietosuojavaltuutetun toimisto.
Leis de Gravação da França: consentimento de todas as partes, Código Penal, artigo 226-1, aplicação ativa pela CNIL.
Leis de Gravação da Alemanha: consentimento de todas as partes, StGB, artigo 201.º, pena até três anos de prisão, BfDI e autoridades estaduais de proteção de dados.
Leis de Gravação da Grécia: consentimento de todas as partes, Código Penal, artigo 370.º-A, pena até cinco anos de prisão, HDPA.
Leis de Gravação da Hungria: consentimento de todas as partes, Código Penal, artigo 422.º, supervisão da NAIH.
Leis de Gravação da Irlanda: consentimento de uma parte (sem proibição penal expressa sobre a gravação por um participante), aplicação ativa do RGPD pela DPC.
Leis de Gravação da Itália: consentimento de uma parte, Código Penal, artigo 617.º, aplicação ativa pela Garante.
Leis de Gravação da Letónia: consentimento de uma parte, Lei Penal, artigo 144.º, supervisão da DVI.
Leis de Gravação do Luxemburgo: consentimento de todas as partes, Código Penal, artigo 509.º-1, supervisão da CNPD.
Leis de Gravação dos Países Baixos: consentimento de uma parte, Código Penal, artigo 139.º-A, aplicação ativa pela AP.
Leis de Gravação da Polónia: consentimento de uma parte, Código Penal, artigo 267.º, aplicação ativa pela UODO.
Leis de Gravação de Portugal: consentimento de todas as partes, Código Penal, artigos 190.º a 194.º, supervisão da CNPD.
Leis de Gravação da Roménia: consentimento de uma parte, Código Penal, artigo 302.º, supervisão da ANSPDCP.
Leis de Gravação da Eslováquia: consentimento de todas as partes, Código Penal, artigo 377.º, supervisão da UOOU.
Leis de Gravação da Eslovénia: consentimento de todas as partes, Código Penal, artigo 137.º, supervisão do IP RS.
Leis de Gravação da Espanha: consentimento de uma parte, Código Penal, artigo 197.º, aplicação ativa pela AEPD.
Leis de Gravação da Suécia: consentimento de uma parte, Código Penal, capítulo 4, artigo 9.º-A, supervisão do IMY.
Frequently Asked Questions
A UE é uma região de consentimento de uma parte ou de todas as partes para efeitos de gravação?
Não existe uma única regra de consentimento válida em toda a UE. O código penal de cada Estado-Membro define o seu próprio critério. Cerca de metade dos 25 Estados-Membros da UE com leis de gravação específicas por país exige apenas o consentimento de uma parte (Bélgica, República Checa, Dinamarca, Estónia, Finlândia, Irlanda, Itália, Letónia, Países Baixos, Polónia, Roménia, Espanha, Suécia), enquanto a outra metade exige o consentimento de todas as partes (Áustria, Bulgária, Croácia, Chipre, França, Alemanha, Grécia, Hungria, Luxemburgo, Portugal, Eslováquia, Eslovénia). O RGPD aplica-se de forma uniforme a todos eles e impõe requisitos adicionais de proteção de dados, para além da regra de direito penal.
O RGPD exige consentimento para gravar uma chamada telefónica?
O RGPD não impõe o consentimento como base jurídica obrigatória para a gravação. Exige antes uma base jurídica, sendo o consentimento apenas uma das seis opções disponíveis. As empresas recorrem frequentemente aos interesses legítimos (artigo 6.º, n.º 1, alínea f)) ou à obrigação legal (artigo 6.º, n.º 1, alínea c)) em alternativa. O que o RGPD exige sempre, independentemente da base jurídica escolhida, é transparência: é necessário informar a pessoa de que está a ser gravada, o motivo e por quanto tempo. O consentimento, nos termos do RGPD, deve ser livre, específico, informado e inequívoco. Uma declaração genérica de que as chamadas podem ser gravadas não é suficiente.
O que diz a Lei de IA da UE sobre gravações e deepfakes?
A Lei de IA da UE aborda a gravação e os conteúdos sintéticos em duas disposições principais. O artigo 5.º, em vigor desde 2 de fevereiro de 2025, proíbe os sistemas de IA de identificação biométrica remota em tempo real utilizados em espaços acessíveis ao público para fins de aplicação da lei, salvo exceções limitadas autorizadas judicialmente. O artigo 50.º, aplicável a partir de 2 de agosto de 2026, exige que os responsáveis pela implementação de sistemas de IA que geram áudio, imagem ou vídeo deepfake realistas identifiquem o conteúdo como gerado artificialmente, de forma clara e identificável. As sanções por incumprimento podem atingir 15 milhões de euros ou 3% do volume de negócios anual mundial.
Posso gravar um agente da polícia na UE?
Em geral, sim, mas com ressalvas importantes. O Tribunal Europeu dos Direitos Humanos tem entendido de forma consistente que filmar agentes públicos no exercício das suas funções constitui expressão protegida ao abrigo do artigo 10.º da CEDH. No entanto, o RGPD aplica-se aos dados pessoais captados, e a exceção jornalística prevista no artigo 85.º do RGPD tem de ser invocada para justificar a publicação na maioria dos Estados-Membros. As diferenças entre países são relevantes: a França protege amplamente o direito de filmar a polícia, enquanto a Lei de Segurança Cidadã espanhola restringe a publicação de imagens da polícia que possam pôr em causa a segurança dos agentes. Utilizar IA para identificar agentes em tempo real a partir da gravação é proibido nos termos do artigo 5.º da Lei de IA da UE.
O que é a Diretiva ePrivacy e ainda está em vigor?
A Diretiva ePrivacy 2002/58/CE rege a privacidade nas comunicações eletrónicas em toda a UE. O seu artigo 5.º proíbe a interceção de comunicações eletrónicas sem consentimento, com uma exceção limitada para a gravação de transações comerciais mediante aviso prévio. A diretiva permanece em vigor. A proposta de Regulamento ePrivacy que a substituiria foi formalmente retirada pela Comissão Europeia em fevereiro de 2025. Uma vez que a diretiva foi transposta para o direito nacional de forma diferente por cada Estado-Membro, os seus requisitos variam ligeiramente em toda a UE.
O que significa a Diretiva 2024/1385 para as gravações deepfake?
A Diretiva 2024/1385, relativa ao combate à violência contra as mulheres e à violência doméstica (adotada em maio de 2024, com prazo de transposição em junho de 2027), criminaliza a produção e a distribuição de imagens íntimas realistas geradas por IA de uma pessoa real sem o seu consentimento. Esta disposição abrange diretamente a pornografia deepfake e as gravações áudio ou vídeo íntimas não consentidas. Uma vez transposta, as vítimas terão acesso a ordens de remoção rápida e a mecanismos de direito penal em todos os Estados-Membros da UE. A diretiva funciona em conjunto com a obrigação de rotulagem do artigo 50.º da Lei de IA da UE e com o RGPD, mas a sua proibição penal aplica-se independentemente de o deepfake estar ou não identificado como tal.
A minha empresa grava chamadas de clientes a partir de um centro de atendimento num país de consentimento de uma parte. Estamos em conformidade?
Não automaticamente. O direito penal do seu país de origem pode permitir a gravação sem informar os clientes. Mas, se contactar clientes em países de consentimento de todas as partes, como a Alemanha, a França, a Áustria ou a Grécia, o direito penal desses países aplica-se a essas chamadas, exigindo que obtenha consentimento ou, no mínimo, dê aviso prévio. O RGPD exige também uma base jurídica documentada, um aviso de privacidade e um prazo de conservação, independentemente do direito penal do país que permite a gravação. No caso das chamadas de serviços financeiros reguladas pela MiFID II, a obrigação legal de gravar fornece a base jurídica do RGPD, mas o aviso prévio continua a ser exigido nas jurisdições de consentimento de todas as partes.
Sources and References
- RGPD, Regulamento 2016/679(eur-lex.europa.eu).gov
- Diretiva ePrivacy 2002/58/CE(eur-lex.europa.eu).gov
- Lei de IA da UE, Regulamento 2024/1689(eur-lex.europa.eu).gov
- Diretiva 2024/1385, Violência Contra as Mulheres(eur-lex.europa.eu).gov
- Orientações 1/2024 do CEPD sobre Interesse Legítimo(edpb.europa.eu).gov
- Orientações da Comissão sobre Práticas de IA Proibidas(digital-strategy.ec.europa.eu).gov
- Von Hannover c. Alemanha n.º 2 (TEDH 2012)(hudoc.echr.coe.int).gov
- Buivids c. Letónia, C-345/17 (TJUE 2019)(eur-lex.europa.eu).gov
- UODO Polónia, Gravação de Áudio Exige Base Jurídica (2022)(edpb.europa.eu).gov
- Código Penal, art. 226-1, França(legifrance.gouv.fr).gov
- Autoridade de Proteção de Dados da Finlândia sobre Chamadas Telefónicas(tietosuoja.fi).gov
- Supervisor Europeu para a Proteção de Dados, Panorâmica da Diretiva ePrivacy(edps.europa.eu).gov
- Conselho, Aplicação Transfronteiriça do RGPD 2025(consilium.europa.eu).gov
- Comissão, Código de Conduta sobre Conteúdos Gerados por IA 2026(digital-strategy.ec.europa.eu).gov
- Lei de IA da UE, Artigo 50.º: Obrigações de Transparência para Fornecedores e Responsáveis pela Implementação de Determinados Sistemas de IA(artificialintelligenceact.eu)
- Filmado: O Que Diz a Lei Sobre Filmar a Polícia na Europa, Open Society Justice Initiative(justiceinitiative.org)