Voltar aos artigos
RGPD
RGPD Conformidade Auditoria Erros

Os 10 erros RGPD mais comuns das empresas

12 de fevereiro de 2026 13 min de leitura DPLIANCE

Os 10 erros RGPD mais comuns das empresas

Oito anos após a entrada em vigor do RGPD, os mesmos erros repetem-se. Vezes sem conta. E a CNIL (autoridade francesa de proteção de dados) já não faz pedagogia — sanciona. Em 2025, 486,8 milhões de euros em coimas. Em 2024, 87 sanções num total de 55 milhões de euros. O procedimento simplificado permite agora sancionar rapidamente os casos mais flagrantes (coimas até 20 000 euros sem audiência).

O problema não é que as empresas recusem cumprir. É que pensam estar em conformidade quando não estão.

Eis os 10 erros RGPD mais comuns — com, para cada um, um exemplo concreto, os riscos envolvidos e a solução para os remediar.

Erro 1: política de privacidade ausente ou copiada

É o erro mais visível e mais difundido. Ou a política de privacidade simplesmente não existe, ou foi copiada de outro site sem qualquer adaptação.

O problema: Uma política de privacidade genérica não reflete os tratamentos reais da sua empresa. Não menciona as finalidades corretas, nem os destinatários corretos, nem os prazos de conservação corretos. Em caso de fiscalização, é um sinal de alarme imediato.

O que diz o RGPD: Os artigos 13 e 14 impõem uma informação transparente, inteligível e facilmente acessível sobre os tratamentos de dados.

A dimensão do problema: Nas suas fiscalizações online, a CNIL (autoridade francesa de proteção de dados) constata que numerosas empresas utilizam modelos de política de privacidade encontrados na internet, frequentemente em inglês mal traduzido, que não correspondem em nada aos seus tratamentos reais. Algumas mencionam serviços que não utilizam, outras omitem tratamentos essenciais como o emailing ou o CRM.

Como corrigir: Redigir uma política específica para a sua atividade, detalhando cada tratamento, a sua finalidade, a sua base legal, os seus destinatários e os direitos das pessoas. O Complio audita automaticamente o seu site web e identifica as falhas na sua política de privacidade.

Erro 2: cookies depositados sem consentimento

Google: 325 milhões de euros de coima em setembro de 2025. SHEIN: 150 milhões de euros. O motivo? Cookies publicitários depositados antes mesmo de o utilizador ter tido a possibilidade de consentir ou recusar.

O problema: Muitos sites depositam rastreadores logo no carregamento da página, antes de qualquer interação com o banner de cookies. Outros tornam a recusa mais difícil do que a aceitação (dark patterns).

O que diz a CNIL (autoridade francesa de proteção de dados): Desde 2021, as recomendações da CNIL sobre cookies impõem que a recusa seja tão simples como a aceitação. Nenhum rastreador não essencial pode ser depositado antes de um consentimento explícito.

Os dark patterns mais frequentes: Um botão “Aceitar” em verde vivo ao lado de um link “Configurar” em cinzento discreto. Um banner que se fecha aceitando os cookies se o utilizador clicar em qualquer parte da página. Um botão “Recusar” escondido num segundo ecrã de configuração. Todas estas práticas são consideradas não conformes.

Como corrigir: Implementar uma CMP (Consent Management Platform) conforme como o Cookilio, que bloqueia todos os rastreadores não essenciais enquanto o utilizador não der o seu consentimento, e que propõe a recusa ao mesmo nível que a aceitação.

Erro 3: registo de tratamentos ausente

O registo de tratamentos é obrigatório para qualquer empresa com mais de 250 trabalhadores, mas também para as mais pequenas se efetuarem tratamentos não ocasionais (o que abrange a quase totalidade das empresas com um site web, um CRM ou uma base de contactos).

O problema: Muitas empresas simplesmente não têm registo. Outras têm um documento criado uma única vez e nunca atualizado, que já não reflete a realidade dos tratamentos.

O que diz o RGPD: O artigo 30 impõe a manutenção de um registo detalhando as finalidades, categorias de dados, destinatários, prazos de conservação e medidas de segurança para cada tratamento.

O que muitos desconhecem: A exceção “menos de 250 trabalhadores” é ilusória. O RGPD precisa que mesmo as empresas com menos de 250 trabalhadores devem manter um registo se os seus tratamentos não forem ocasionais, se incidirem sobre dados sensíveis, ou se forem suscetíveis de comportar um risco para os direitos e liberdades das pessoas. Na prática, qualquer empresa com um site web que tenha um formulário de contacto, uma newsletter ou uma ferramenta CRM está abrangida.

Como corrigir: Começar por mapear todos os tratamentos existentes (site web, CRM, emailing, salários, contabilidade). A CNPD (Comissão Nacional de Proteção de Dados) em Portugal e a CNIL em França disponibilizam modelos de registo gratuitos. O Complio facilita este mapeamento para a sua presença web.

Erro 4: direitos das pessoas ignorados

Os seus clientes e utilizadores têm o direito de saber que dados detém sobre eles, de os fazer retificar, apagar ou transferir para outro serviço. Na prática, muitas empresas não têm qualquer processo para tratar estes pedidos.

O problema: Nenhum endereço de email dedicado, nenhum procedimento interno, nenhum acompanhamento dos pedidos. O prazo legal de resposta (um mês) é regularmente ultrapassado ou ignorado.

O que diz o RGPD: Os artigos 15 a 22 definem os direitos das pessoas. O artigo 12 impõe responder num prazo de um mês.

Um caso concreto: Um cliente pede acesso aos seus dados por email. A mensagem chega à caixa geral da empresa, ninguém sabe quem deve tratá-la, ninguém responde. Três meses depois, o cliente apresenta uma queixa à autoridade de proteção de dados. O procedimento simplificado permite sancionar este tipo de incumprimento em poucas semanas.

Como corrigir: Implementar um endereço de email dedicado (dpo@suaempresa.pt ou rgpd@suaempresa.pt), um procedimento documentado com modelos de resposta para cada tipo de direito, e um registo de acompanhamento dos pedidos com as datas de receção e de resposta.

Erro 5: subcontratantes não enquadrados

Utiliza um alojamento cloud, uma ferramenta de emailing, um CRM, uma ferramenta de analytics? Cada um destes prestadores é um subcontratante na aceção do RGPD. E cada subcontratante deve ser enquadrado por um contrato conforme ao artigo 28.

O problema: Muitas empresas nem sequer sabem quantos subcontratantes acedem aos seus dados. Menos ainda têm um contrato conforme com cada um deles.

O que diz o RGPD: O artigo 28 impõe um contrato escrito detalhando as obrigações do subcontratante, a natureza do tratamento, as medidas de segurança e as condições de subcontratação ulterior.

A subcontratação em cascata: Um risco frequentemente subestimado. O seu prestador de emailing talvez utilize a AWS para o seu alojamento, que por sua vez pode estar sujeito ao CLOUD Act americano. O seu CRM pode transferir dados para servidores fora da União Europeia sem que saiba. Cada elo da cadeia de subcontratação deve ser identificado e enquadrado.

Como corrigir: Listar todas as ferramentas e prestadores que manipulam dados pessoais. Verificar a existência de um Data Processing Agreement (DPA) para cada um. Privilegiar subcontratantes alojados na Europa para evitar as problemáticas de transferência para fora da UE.

Erro 6: consentimento por caixa pré-selecionada

Uma caixa pré-selecionada não é um consentimento. Um scroll na página não é um consentimento. A simples continuação da navegação não é um consentimento.

O problema: O consentimento deve ser livre, específico, informado e inequívoco (artigo 4.11 do RGPD). Qualquer forma de consentimento presumido ou implícito é inválida.

Para além dos cookies: O consentimento viciado não diz respeito apenas aos cookies. Os formulários de inscrição numa newsletter com uma caixa pré-selecionada “Aceito receber ofertas de parceiros”, as condições gerais que incluem um consentimento ao tratamento de dados num bloco de texto ilegível, ou os pop-ups que não deixam outra escolha senão “Aceitar” são igualmente práticas não conformes.

Como corrigir: Garantir que cada formulário de recolha utiliza caixas não selecionadas por defeito, com uma informação clara sobre o uso previsto. Para os cookies, utilizar uma CMP como o Cookilio que garante um consentimento conforme.

Erro 7: dados conservados indefinidamente

“Guardamos tudo, nunca se sabe.” Esta é provavelmente a frase mais perigosa em matéria de conformidade RGPD.

O problema: Conservar dados para além do prazo necessário à finalidade para a qual foram recolhidos constitui uma violação do artigo 5.1.e do RGPD (princípio de limitação da conservação).

O que diz o RGPD: Os dados só podem ser conservados durante o tempo necessário às finalidades para as quais foram recolhidos. Para além disso, devem ser eliminados ou anonimizados.

Exemplos concretos de prazos: A CNIL (autoridade francesa de proteção de dados) publica referenciais setoriais. Para um potencial cliente que não deu seguimento a uma solicitação comercial, o prazo máximo de conservação é de 3 anos a contar do último contacto ativo. Para os dados de candidatura a emprego, são 2 anos no máximo. Para os logs de conexão, é geralmente 1 ano. Para os dados de faturação, as obrigações contabilísticas impõem uma conservação de 10 anos, mas isso não justifica conservar a totalidade dos dados associados à encomenda.

Como corrigir: Definir um prazo de conservação para cada tratamento no seu registo. Implementar procedimentos de purga automática.

Erro 8: ausência de EPD quando é obrigatório

Certas empresas são obrigadas a designar um Encarregado da Proteção de Dados e não o fazem, seja por desconhecimento da obrigação, seja por recusa em alocar os recursos necessários.

O problema: A ausência de EPD quando é obrigatório é uma não conformidade em si, independentemente de qualquer outro incumprimento.

O que diz o RGPD: O artigo 37 impõe um EPD às autoridades públicas, às empresas cuja atividade principal implique um acompanhamento regular e sistemático em grande escala, e àquelas que tratem dados sensíveis em grande escala.

A confusão sobre o perímetro: Muitas empresas pensam não estar abrangidas porque não são do setor “tech”. Contudo, uma agência de trabalho temporário que gere milhares de perfis de candidatos, uma rede de farmácias que trata dados de saúde, ou uma cadeia de grande distribuição com um programa de fidelização estão todas potencialmente sujeitas à obrigação de designar um EPD.

Como corrigir: Avaliar objetivamente se a sua empresa se enquadra num dos três casos obrigatórios. Se sim, designar um EPD interno ou externalizado. Se não, considerar igualmente um referente RGPD interno.

Erro 9: transferências para fora da UE não documentadas

Utilizar Google Analytics, AWS alojado nos EUA, Mailchimp, ou qualquer outro serviço americano sem garantias adequadas constitui uma transferência de dados para fora da UE potencialmente ilegal.

O problema: Desde o acórdão Schrems II (julho de 2020), as transferências para os Estados Unidos já não beneficiam de uma proteção automática. O EU-US Data Privacy Framework adotado em 2023 é contestado juridicamente e poderá ser invalidado (potencial “Schrems III”).

O que diz o RGPD: Os artigos 44 a 49 enquadram estritamente as transferências para fora da UE. O responsável pelo tratamento deve garantir um nível de proteção equivalente ao RGPD.

O icebergue das transferências invisíveis: Para além das ferramentas de que tem consciência, o seu site web pode transferir dados para os Estados Unidos de forma invisível. Google Fonts carrega ficheiros de servidores americanos e transmite o endereço IP do visitante à Google. Um CDN americano como Cloudflare vê passar todos os dados trocados entre o seu site e os seus visitantes. Um pixel Facebook deposita cookies e transfere dados comportamentais para os servidores da Meta nos Estados Unidos.

Como corrigir: Mapear os fluxos de dados para países terceiros. Privilegiar soluções alojadas na Europa. Substituir Google Analytics pelo Mirage Analytics, alojado na Scaleway na Europa, que não transfere nenhum dado para fora da UE.

Erro 10: ausência de notificação em caso de violação

FREE Mobile e FREE: 42 milhões de euros de coima em janeiro de 2026 por medidas de segurança insuficientes que permitiram o acesso aos dados de 24 milhões de assinantes. France Travail: 5 milhões de euros por falhas que expuseram os dados de milhões de inscritos.

O problema: Muitas empresas não têm qualquer procedimento de deteção e notificação de violações de dados. Algumas descobrem a fuga pela imprensa.

O que diz o RGPD: O artigo 33 impõe uma notificação à autoridade de proteção de dados nas 72 horas seguintes à descoberta da violação. O artigo 34 impõe informar as pessoas afetadas se o risco for elevado.

As 72 horas começam na descoberta, não no incidente. As autoridades consideram que o responsável pelo tratamento deve ter implementado medidas que permitam detetar rapidamente as violações. Um sistema de deteção inexistente ou deficiente não constitui uma desculpa para um atraso na notificação.

Como corrigir: Implementar um processo de deteção de incidentes (logs, monitorização, alertas). Documentar um procedimento de notificação com responsabilidades claras e modelos pré-redigidos. Formar as equipas para identificar e comunicar incidentes de segurança.

O verdadeiro custo da não conformidade

As coimas são apenas a parte visível. Uma violação de dados mal gerida é também:

  • Uma perda de confiança dos seus clientes
  • Um risco reputacional duradouro
  • Custos jurídicos e técnicos de remediação
  • Uma vantagem concorrencial oferecida aos seus concorrentes conformes
  • Uma exclusão potencial de concursos públicos e privados
  • Um impacto na valorização da empresa em caso de ronda de financiamento ou cessão

A conformidade RGPD não é um fardo. É um investimento na confiança.

FAQ

Quais são as coimas RGPD mais elevadas em França?

Em 2025, as coimas mais importantes da CNIL (autoridade francesa de proteção de dados) foram: Google (325 milhões de euros por cookies depositados sem consentimento), SHEIN (150 milhões de euros pelo mesmo motivo), FREE Mobile e FREE (42 milhões de euros por falhas de segurança), e France Travail (5 milhões de euros por segurança insuficiente). Fonte: CNIL — Balanço das sanções 2025.

A autoridade de proteção de dados fiscaliza as pequenas empresas?

Sim. Em Portugal, a CNPD (Comissão Nacional de Proteção de Dados) e em França a CNIL fiscalizam empresas de todas as dimensões. O procedimento simplificado permite sancionar rapidamente os casos sem complexidade particular, com coimas até 20 000 euros. As TPE e PME não estão isentas de fiscalização. A CNIL utiliza robots para analisar automaticamente os sites web, o que lhe permite detetar os incumprimentos mais comuns sem qualquer intervenção humana.

Pode utilizar-se o Google Analytics em conformidade com o RGPD?

É juridicamente arriscado. O Google Analytics transfere dados para os Estados Unidos. O EU-US Data Privacy Framework é contestado e poderá ser invalidado. Para uma conformidade serena, privilegie uma solução como o Mirage Analytics que aloja todos os dados na Europa e não deposita nenhum cookie.

Como saber se o meu site web está conforme ao RGPD?

Uma auditoria de conformidade permite identificar os incumprimentos: cookies não conformes, política de privacidade ausente ou incompleta, rastreadores de terceiros não declarados. O Complio realiza esta auditoria automaticamente e fornece-lhe um relatório acionável com uma pontuação de conformidade e recomendações concretas.

Quanto tempo para se colocar em conformidade?

Para uma TPE com um site web simples, alguns dias bastam para o essencial (política de privacidade, CMP, analytics conforme). Para uma PME ou ETI com tratamentos complexos, conte com várias semanas a alguns meses para um programa de conformidade completo. O importante é começar pelos riscos mais visíveis — nomeadamente o site web, que as autoridades podem fiscalizar a qualquer momento — e progredir por etapas.

Fontes: CNIL — Balanço das sanções 2025, CNIL — Sanções e medidas corretivas 2024. Artigo atualizado a 25 de março de 2026.

Escreva-nos

contact@dpliance.com
Fale conosco