Voltar aos artigos
Sanções RGPD em Portugal: balanço completo das coimas da CNPD e como evitá-las
RGPD CNPD Coimas Sanções Proteção de dados Auditoria

Sanções RGPD em Portugal: balanço completo das coimas da CNPD e como evitá-las

DPLIANCEFornecedor de soluções Data e IA soberanas
7 min de leitura

O RGPD em Portugal: poucas coimas, mas riscos reais

A CNPD (Comissão Nacional de Proteção de Dados) é uma das autoridades de controlo menos ativas da Europa em termos de volume de coimas. Mas isso não significa que o risco seja inexistente.

Em 2024, a CNPD aplicou 23 coimas num total de 138.375 euros. Números modestos comparados com a França (486,8 M€), a Espanha (40 M€) ou a Itália (24 M€). Porém, a CNPD registou mais de 2.000 averiguações por violação de dados pessoais em 2024 — o número mais elevado de sempre. As investigações aumentam, mesmo que as coimas ainda não reflitam essa tendência.

E quando a CNPD sanciona a sério, os montantes são significativos: 4,3 milhões de euros contra o INE, a terceira maior coima aplicada a uma entidade pública na Europa.

O enquadramento legal é claro: as coimas podem atingir 20 milhões de euros ou 4 % do volume de faturação mundial. A lei de execução nacional estabelece mínimos: 5.000 euros para infrações muito graves e 2.500 euros para infrações graves de grandes empresas. Para PME, os mínimos oscilam entre 1.000 e 2.000 euros.

Os casos emblemáticos em Portugal

INE: 4,3 milhões de euros (dezembro de 2022)

A maior coima RGPD alguma vez aplicada em Portugal. A CNPD sancionou o Instituto Nacional de Estatística (INE) por cinco contraordenações relacionadas com os Censos 2021.

As violações: o INE tratou dados pessoais relativos à saúde e religião de forma ilícita, não cumpriu as obrigações de informação aos inquiridos, violou os deveres de diligência na escolha do subcontratante (Cloudflare, empresa americana sediada na Califórnia), infringiu disposições relativas a transferências internacionais de dados e não realizou uma avaliação de impacto sobre a proteção de dados.

O ponto mais sensível: os dados dos Censos eram transferidos para os Estados Unidos através da Cloudflare, sem garantias de que a informação não seria acessível a terceiros. O INE suspendeu posteriormente o contrato com a Cloudflare.

As cinco contraordenações totalizavam 6,5 milhões de euros, mas a CNPD aplicou uma coima única de 4,3 milhões, tendo em conta a ausência de infrações anteriores do INE.

Lição: As transferências internacionais de dados são um risco real — mesmo para organismos públicos. A utilização de serviços americanos (Cloudflare, AWS, Google) sem avaliação de impacto expõe a coimas milionárias.

Câmara Municipal de Lisboa: 1,03 milhões de euros (confirmada em 2024)

A Câmara Municipal de Lisboa foi sancionada com uma coima de 1.027.500 euros por violações do RGPD. O Tribunal Administrativo do Círculo de Lisboa confirmou a decisão em julho de 2024.

Lição: O setor público não está isento. As autarquias e organismos públicos estão sujeitos às mesmas obrigações que as empresas privadas.

Tendências: comunicações eletrónicas

Das 23 coimas aplicadas em 2024, 11 (no valor de 50.000 euros) foram por violação da lei da privacidade nas comunicações eletrónicas — essencialmente spam e comunicações comerciais não solicitadas.

Lição: O marketing digital sem consentimento é o motivo mais frequente de coimas em Portugal.

Contexto europeu: o que muda para Portugal

Embora a CNPD aplique menos coimas do que outras autoridades europeias, as decisões tomadas noutros países da UE criam precedentes diretos:

  • Enel Energia (Itália): 79,1 M€ — telemarketing ilícito
  • Google (França): 325 M€ — cookies sem consentimento
  • Vodafone (Alemanha): 45 M€ — falhas de segurança e controlo de subcontratantes
  • Aena (Espanha): 10 M€ — dados biométricos sem avaliação de impacto

Estas decisões aplicam o mesmo RGPD que vigora em Portugal. Qualquer empresa portuguesa que cometa violações semelhantes está exposta aos mesmos riscos.

Além disso, o mecanismo de cooperação do RGPD (Art. 60-63) permite que uma autoridade de controlo de outro país investigue uma empresa portuguesa se esta tratar dados de residentes desse país.

Os motivos de sanção mais frequentes

1. Comunicações comerciais sem consentimento

O motivo mais frequente em Portugal. Emails, SMS e chamadas de telemarketing sem base legal adequada.

Como proteger-se: Verificar a base legal de cada comunicação. Para cookies e rastreadores no sítio web, implementar uma CMP conforme. O Cookilio bloqueia todos os rastreadores antes do consentimento.

2. Transferências internacionais de dados

O caso INE (4,3 M€) demonstrou que a utilização de serviços americanos sem avaliação de impacto é um risco real.

Como proteger-se: Mapear todos os fluxos de dados para países terceiros. O Mirage Analytics está alojado na Scaleway em França — nenhum dado sai da UE.

3. Falta de informação e transparência

Políticas de privacidade ausentes, incompletas ou incompreensíveis.

Como proteger-se: O Complio audita automaticamente o seu sítio web e identifica as lacunas na informação aos utilizadores.

4. Medidas de segurança insuficientes

Violações de dados por falta de encriptação, controlo de acessos inadequado ou notificação tardia à CNPD.

Como proteger-se: Implementar monitorização de acessos, encriptação de dados sensíveis e um plano de resposta a incidentes.

5. Ausência de avaliação de impacto

O INE foi especificamente sancionado por não ter realizado uma AIPD antes dos Censos 2021.

Como proteger-se: Realizar uma AIPD antes de qualquer tratamento de alto risco (dados sensíveis, tratamento em larga escala, vigilância sistemática).

Como evitar uma sanção da CNPD: a checklist

Nível 1: urgências (< 1 semana)

  • Auditar o sítio web — O Complio realiza esta auditoria em minutos com relatório de conformidade.
  • Implementar uma CMP conforme — O Cookilio bloqueia todos os rastreadores antes do consentimento.
  • Substituir o Google Analytics — O Mirage Analytics está alojado na Europa, sem cookies, 19 €/mês.
  • Publicar uma política de privacidade — Completa, específica, em linguagem clara.

Nível 2: conformidade estrutural (< 1 mês)

  • Registo de atividades de tratamento — Obrigatório (Art. 30.º RGPD).
  • Contratos com subcontratantes — DPA conformes com cada prestador.
  • Prazos de conservação — Definidos para cada categoria de dados.
  • Processo de gestão de direitos — Endereço dedicado, resposta no prazo de um mês.

Nível 3: conformidade proativa (contínuo)

  • EPD (Encarregado de Proteção de Dados) — Obrigatório para entidades públicas e tratamentos em larga escala.
  • AIPD — Avaliação de impacto para tratamentos de alto risco.
  • Formação — Regular e documentada para todo o pessoal.
  • Auditorias periódicas — A conformidade degrada-se com o tempo.

O verdadeiro custo da não conformidade

Em Portugal, as coimas da CNPD são ainda relativamente baixas comparadas com outros países europeus. Mas o risco está a crescer: as averiguações aumentaram para mais de 2.000 em 2024, e a tendência europeia aponta para coimas cada vez mais elevadas.

O cálculo é simples:

  • Coima mínima para PME (infração grave): 1.000 a 2.000 €
  • Coima máxima teórica: 20 milhões de euros ou 4 % do volume de faturação
  • Auditoria web com o Complio: 89 € em 10 minutos
  • CMP conforme com o Cookilio: implementação em 5 minutos
  • Analytics soberano com o Mirage Analytics: 19 €/mês

A conformidade não é um custo. É um seguro.

FAQ

Qual é a coima máxima do RGPD em Portugal?

Até 20 milhões de euros ou 4 % do volume de faturação anual mundial. Em Portugal, a coima mais elevada foi de 4,3 milhões de euros (INE, 2022). A lei de execução nacional estabelece mínimos de 1.000 a 5.000 euros.

A CNPD sanciona PME?

Sim, embora com menor frequência do que outras autoridades europeias. As coimas mínimas para PME são de 1.000 euros (infrações graves) e 2.000 euros (infrações muito graves).

Portugal é menos rigoroso do que outros países da UE?

Em volume de coimas, sim — 138.375 euros em 2024 contra 40 milhões em Espanha. Mas o número de averiguações está a crescer rapidamente (mais de 2.000 em 2024), e as decisões de outras autoridades europeias criam precedentes aplicáveis em Portugal.

Como sei se o meu sítio está conforme?

O Complio realiza automaticamente uma auditoria de conformidade com relatório detalhado e recomendações priorizadas.

Leia tambémOs 10 erros RGPD mais comuns das empresas | Checklist RGPD sítio web | Auditoria RGPD sítio web: guia completo 2026

Fontes: CNPD — Relatório de atividades 2024, CNPD — Sanção INE, Observador — Multa INE, CNPD — Câmara de Lisboa, Correio da Manhã — Averiguações 2024. Publicado a 30 de março de 2026.

Escreva-nos

contact@dpliance.com
Fale conosco