RGPD e comércio eletrónico em Portugal: as 7 obrigações das lojas online
A CNPD não aplica muitas coimas. Mas está a observar.
Em 2024, a CNPD aplicou 23 coimas num total de 138.375 euros. Números modestos. A França aplicou 486 milhões no mesmo período. A Espanha, 40 milhões. Portugal nem aparece nos rankings europeus de volume de coimas.
Mas há outro número que importa mais: mais de 2.000 averiguações abertas pela CNPD em 2024 — o recorde absoluto. As investigações estão a multiplicar-se. E o comércio eletrónico português está a crescer a um ritmo que torna esta tendência particularmente relevante.
Mais de 2.000 averiguações em 2024. O número de coimas é baixo, mas as investigações estão a bater recordes. O comércio eletrónico português, em pleno crescimento, é um alvo natural.
O e-commerce em Portugal registou um crescimento superior a 15 % em volume de negócios nos últimos anos. Mais lojas online significa mais dados pessoais processados, mais cookies depositados, mais emails de marketing enviados, mais pagamentos tratados. E inevitavelmente, mais queixas à CNPD.
O enquadramento legal é triplo: o RGPD (Regulamento Geral sobre a Proteção de Dados), a Lei 58/2019 (que executa o RGPD em Portugal) e a Lei 41/2004 (que transpõe a diretiva ePrivacy e regula as comunicações eletrónicas, incluindo cookies e email marketing). Para o comércio eletrónico, acresce ainda o Decreto-Lei 7/2004, a lei do comércio eletrónico portuguesa.
Se gere uma loja online em Portugal, o risco não se mede apenas pelas coimas já aplicadas. Mede-se pelo que está a vir.
Porque é que a conformidade importa para o e-commerce português
Um mercado em crescimento sob maior escrutínio
O comércio eletrónico português já não é um nicho. Os portugueses compram cada vez mais online, e as empresas portuguesas vendem cada vez mais além-fronteiras. Este crescimento traz três consequências para a proteção de dados:
- Mais dados pessoais tratados — cada encomenda gera nome, morada, email, número de telefone, dados de pagamento, histórico de compras, cookies de navegação
- Mais transferências internacionais — plataformas de pagamento, serviços de análise, ferramentas de marketing — frequentemente alojados nos EUA
- Mais queixas de consumidores — o número de queixas à CNPD acompanha o crescimento do e-commerce
A Lei 41/2004: a lei que as lojas online ignoram
A maioria dos comerciantes online portugueses conhece o RGPD. Poucos conhecem a Lei 41/2004, que transpõe a diretiva ePrivacy para Portugal. Esta lei regula especificamente:
- Depósito de cookies e rastreadores — no terminal do utilizador (artigo 5.º)
- Comunicações eletrónicas não solicitadas — email marketing, SMS, notificações push (artigo 13.º-A)
Lei 41/2004: das 23 coimas da CNPD em 2024, 11 foram por violação desta lei — essencialmente comunicações comerciais não solicitadas. É o motivo de sanção mais frequente em Portugal. E o comércio eletrónico é o setor mais exposto.
Implicações transfronteiriças
Uma loja online portuguesa que venda para Espanha, França ou Alemanha está sujeita à fiscalização das autoridades desses países. O mecanismo de cooperação do RGPD (artigos 60 a 63) permite que uma autoridade estrangeira investigue uma empresa portuguesa se esta tratar dados de residentes do seu território. E as autoridades desses países são consideravelmente mais ativas do que a CNPD.
As 7 obrigações RGPD para lojas online em Portugal
1. Consentimento de cookies (Lei 41/2004 + RGPD)
O artigo 5.º da Lei 41/2004 é claro: qualquer depósito de informação no terminal do utilizador — cookies, pixels, scripts — exige consentimento prévio, salvo se for estritamente necessário ao funcionamento do serviço.
Na prática, para uma loja online, isto significa:
- Cookies de sessão e carrinho — isentos (estritamente necessários)
- Google Analytics, Meta Pixel, TikTok Pixel — consentimento obrigatório
- Cookies de remarketing — consentimento obrigatório
- Cookies de personalização — consentimento obrigatório
O banner de cookies deve oferecer um botão “Recusar” tão visível como o botão “Aceitar”. Nenhum cookie não essencial pode ser depositado antes do consentimento. Nenhum script de terceiros pode ser executado antes da escolha do utilizador.
O Cookilio bloqueia todos os rastreadores antes do consentimento e garante a prova server-side de cada escolha — a partir de 9 EUR s/IVA/mês.
2. Email marketing (Lei 41/2004, artigo 13.º-A)
A Lei 41/2004 estabelece uma regra que é frequentemente ignorada no e-commerce: o envio de comunicações eletrónicas para fins de marketing direto necessita de consentimento prévio e expresso.
Existe uma exceção limitada (soft opt-in): se o destinatário for um cliente existente e a comunicação disser respeito a produtos ou serviços semelhantes aos que já adquiriu, pode enviar-lhe emails sem consentimento prévio — desde que lhe tenha dado a oportunidade de recusar no momento da recolha e em cada comunicação subsequente.
O que isto implica para lojas online:
- Subscrição de newsletter — exige consentimento separado (não pode ser pré-selecionada)
- Emails promocionais sem compra — envio a quem apenas criou conta exige consentimento
- Cancelamento de subscrição — cada email deve conter um mecanismo funcional
- Documentação do consentimento — deve ser conservado como prova
Lembre-se: 11 das 23 coimas da CNPD em 2024 foram por comunicações comerciais não solicitadas. Este é o erro mais caro que uma loja online portuguesa pode cometer.
3. Dados de clientes e prazos de conservação
O RGPD (artigo 5.º, n.º 1, alínea e) impõe a limitação da conservação: os dados pessoais não podem ser conservados para além do período necessário às finalidades para as quais foram recolhidos.
Para uma loja online, os prazos típicos são:
| Dados | Prazo de conservação | Fundamento |
|---|---|---|
| Dados de faturação | 10 anos | Obrigação fiscal portuguesa |
| Dados de encomendas | 5 anos | Prazo de garantia / prescrição civil |
| Dados de conta inativa | 3 anos após última atividade | Prática recomendada |
| Dados de prospeção comercial | 3 anos após último contacto | Prática recomendada |
| Cookies e rastreadores | 13 meses máximo | Orientações europeias |
Cada loja online deve documentar estes prazos na sua política de privacidade e implementar mecanismos automáticos de purga.
4. Segurança dos pagamentos
O tratamento de dados de pagamento é uma das áreas de maior risco. O artigo 32.º do RGPD exige medidas técnicas e organizativas adequadas para garantir a segurança dos dados.
Para lojas online, isto significa:
- Nunca armazenar dados de cartão de crédito — delegar para prestadores certificados PCI DSS (Stripe, SIBS, ifthenpay)
- HTTPS obrigatório — em todas as páginas, não apenas no checkout
- Autenticação forte (SCA) — conforme a diretiva PSD2
- Monitorização de acessos — aos dados de clientes
Uma violação de dados de pagamento obriga a notificação à CNPD no prazo de 72 horas (artigo 33.º do RGPD) e, se o risco for elevado, notificação direta aos titulares dos dados (artigo 34.º).
5. Avaliações e conteúdo gerado por utilizadores
As avaliações de produtos e comentários de clientes contêm dados pessoais. Obrigações:
- Informar o utilizador — sobre o tratamento dos seus dados antes da publicação
- Base legal definida — consentimento ou interesse legítimo (com ponderação documentada)
- Direito de apagamento — o cliente pode pedir a remoção da sua avaliação
- Moderação obrigatória — não publicar dados sensíveis (saúde, religião, origem étnica) mesmo que o utilizador os inclua voluntariamente
6. Remarketing e rastreadores de terceiros
Meta Pixel, Google Ads, TikTok Pixel, Pinterest Tag — estas ferramentas de remarketing são omnipresentes no e-commerce. Mas cada uma implica:
- Consentimento prévio — antes do carregamento do script (Lei 41/2004)
- Transferência de dados para países terceiros — Meta e Google transferem dados para os EUA
- Responsabilidade conjunta — o comerciante e a plataforma publicitária são corresponsáveis pelo tratamento
Sem uma CMP que bloqueie tecnicamente estes scripts antes do consentimento, a loja online está em infração desde o primeiro carregamento de página.
Para a medição de audiência sem necessidade de consentimento, o Mirage Analytics é uma alternativa conforme: sem cookies, sem dados pessoais, alojado na Europa — 19 EUR/mês.
7. Transferências internacionais de dados (incluindo Brasil/LGPD)
O caso INE (4,3 milhões de euros de coima) demonstrou que as transferências de dados para fora da UE são um risco real e concreto em Portugal. Para lojas online, os fluxos internacionais são frequentes:
- Plataformas de pagamento — Stripe, PayPal — frequentemente com servidores nos EUA
- Ferramentas de marketing — Mailchimp, Klaviyo, HubSpot — maioritariamente americanas
- Serviços de análise — Google Analytics — dados transferidos para os EUA
- CDN e alojamento — Cloudflare, AWS — servidores potencialmente fora da UE
Para cada transferência, é necessário: uma decisão de adequação da Comissão Europeia, cláusulas contratuais-tipo (SCCs) ou outra garantia do capítulo V do RGPD, e uma avaliação de impacto da transferência (TIA).
Caso especial: Portugal e Brasil. Muitas empresas portuguesas operam nos dois mercados lusófonos. Mas o RGPD e a LGPD (Lei Geral de Proteção de Dados brasileira) são dois regimes distintos. O Brasil não tem decisão de adequação da UE. As transferências de dados de clientes portugueses para servidores no Brasil exigem as mesmas garantias que qualquer outra transferência para fora da UE. E os dados de clientes brasileiros tratados por uma empresa portuguesa em território europeu estão abrangidos pelo RGPD — não pela LGPD.
Portugal vs. resto da UE: coimas baixas não significam risco baixo
A CNPD é uma das autoridades de controlo menos ativas da Europa em termos de volume de coimas. Mas esta perceção de brandura é perigosa, por três razões:
1. As averiguações estão a aumentar exponencialmente. Mais de 2.000 em 2024. A máquina de fiscalização está a ser montada — as coimas seguirão.
2. O RGPD é supranacional. Se a sua loja online vende para França, a CNIL pode investigá-lo. Se vende para Espanha, a AEPD pode fazê-lo. Estas autoridades aplicam coimas de dezenas de milhões de euros.
3. A Lei 58/2019 estabelece coimas mínimas obrigatórias. Para grandes empresas: 5.000 euros (infrações muito graves), 2.500 euros (infrações graves). Para PME: 2.000 euros e 1.000 euros, respetivamente. Ninguém escapa com uma simples advertência para infrações comprovadas.
| País | Coimas 2024 | Autoridade |
|---|---|---|
| França | 486,8 M€ | CNIL |
| Espanha | 40 M€ | AEPD |
| Itália | 24 M€ | Garante |
| Portugal | 138 K€ | CNPD |
A verdadeira questão não é “a CNPD vai multar-me?” — é “posso dar-me ao luxo de tratar os dados dos meus clientes de forma negligente?”
Casos emblemáticos da CNPD: as lições para o e-commerce
| Entidade | Coima | Motivo |
|---|---|---|
| INE | 4,3 M€ | Tratamento de dados do censos |
| Câmara de Lisboa | 1 M€ | Partilha de dados com embaixadas |
| Hospital do Barreiro | 400 K€ | Acesso não autorizado a dados clínicos |
INE: 4,3 milhões de euros — a transferência que custou caro
O Instituto Nacional de Estatística foi sancionado em dezembro de 2022 por cinco contraordenações relativas aos Censos 2021. O ponto central: os dados dos Censos eram transferidos para os Estados Unidos através da Cloudflare, sem avaliação de impacto e sem garantias adequadas.
Lição para lojas online: Cada serviço americano que utiliza na sua loja — Google Analytics, Cloudflare, Mailchimp, Stripe — implica uma transferência internacional de dados. Sem mapeamento e sem avaliação de impacto, está a reproduzir exatamente o mesmo erro que custou 4,3 milhões ao INE. Substitua o que puder por alternativas europeias: Mirage Analytics para a medição de audiência, prestadores de pagamento europeus, ferramentas de email marketing com servidores na UE.
Câmara Municipal de Lisboa: 1 milhão de euros — os dados têm dono
A Câmara de Lisboa partilhou dados pessoais de organizadores de manifestações com embaixadas estrangeiras. A coima de 1.027.500 euros foi confirmada pelo Tribunal Administrativo em julho de 2024.
Lição para lojas online: Os dados dos seus clientes não podem ser partilhados com terceiros sem base legal. Cada partilha — com parceiros logísticos, plataformas de marketing, redes de afiliação — deve ser contratualizada e documentada.
Hospital do Barreiro: 400.000 euros — o acesso importa
Uma das primeiras coimas RGPD na Europa. O Hospital do Barreiro foi sancionado por permitir o acesso indiscriminado a dados clínicos de pacientes — profissionais sem necessidade de acesso podiam consultar qualquer ficha.
Lição para lojas online: O controlo de acessos é fundamental. Quem pode aceder aos dados de clientes na sua loja? O estagiário de marketing tem acesso às moradas de entrega? O prestador de serviços técnicos tem acesso aos dados de pagamento? Implemente o princípio do mínimo privilégio.
Checklist de conformidade RGPD para lojas online
Cookies e rastreadores
- CMP instalada com bloqueio técnico — antes do consentimento
- Botão “Recusar” tão visível como “Aceitar” — ao mesmo nível visual
- Nenhum cookie não essencial — antes do consentimento explícito
- Inventário atualizado — de todos os cookies e scripts de terceiros
- Prova de consentimento — conservada server-side
Email marketing
- Consentimento documentado — para cada subscritor
- Mecanismo de cancelamento de subscrição — funcional em cada email
- Separação de consentimentos — entre consentimento de compra e consentimento de marketing
- Soft opt-in limitado — a produtos semelhantes (clientes existentes)
Informação e transparência
- Política de privacidade — completa e atualizada
- Política de cookies — detalhada
- Menção de informação — em cada formulário de recolha
- Contacto do EPD — (se aplicável) ou do responsável pelo tratamento
Segurança e dados
- HTTPS em todas as páginas — sem exceção
- Dados de pagamento delegados — a prestador certificado PCI DSS
- Prazos de conservação — definidos e implementados
- Controlo de acessos — com princípio do mínimo privilégio
- Procedimento de notificação — de violação de dados (72 horas)
Transferências internacionais
- Mapeamento completo — de todos os fluxos de dados para fora da UE
- SCCs ou outra garantia — para cada transferência
- Avaliação de impacto da transferência (TIA) — documentada
| Ferramenta | Função | Preço |
|---|---|---|
| Complio | Auditoria de conformidade do sítio web | 89 EUR |
| Cookilio | CMP conforme com bloqueio técnico | a partir de 9 EUR/mês |
| Mirage Analytics | Analytics sem cookies, isento de consentimento | 19 EUR/mês |
O Complio audita automaticamente a conformidade do seu sítio web e identifica as lacunas nos pontos técnicos — cookies, scripts, páginas legais, headers de segurança — em 10 minutos por 89 EUR.
FAQ
A CNPD fiscaliza lojas online?
Sim. Embora a CNPD tenha historicamente focado as suas ações de fiscalização no setor público e na saúde, o comércio eletrónico está cada vez mais no radar. As queixas de consumidores relativas a comunicações não solicitadas e a cookies são as mais frequentes. Com mais de 2.000 averiguações em 2024, nenhum setor está excluído.
Qual a diferença entre RGPD e LGPD?
O RGPD é o regulamento europeu, aplicável a todos os estados-membros da UE, incluindo Portugal. A LGPD é a lei brasileira de proteção de dados. Apesar das semelhanças, são dois regimes jurídicos distintos com autoridades de controlo diferentes (CNPD em Portugal, ANPD no Brasil). O Brasil não tem decisão de adequação da UE, pelo que as transferências de dados de Portugal para o Brasil exigem garantias adicionais (SCCs, por exemplo).
Posso enviar emails de marketing a clientes sem consentimento?
Apenas no quadro do soft opt-in: se o destinatário já é cliente e a comunicação diz respeito a produtos ou serviços semelhantes aos que adquiriu. Mesmo neste caso, deve ter dado a oportunidade de recusar no momento da recolha e em cada comunicação subsequente. Para não-clientes, o consentimento prévio é sempre obrigatório.
Que cookies posso usar sem consentimento?
Apenas cookies estritamente necessários ao funcionamento do serviço: cookies de sessão, carrinho de compras, autenticação, segurança. Todos os cookies de análise, marketing, personalização e redes sociais exigem consentimento prévio. Para medição de audiência sem consentimento, utilize uma solução isenta como o Mirage Analytics.
Quanto tempo posso conservar os dados dos meus clientes?
Depende da finalidade. Dados de faturação: 10 anos (obrigação fiscal). Dados de encomendas: 5 anos (garantia e prescrição civil). Contas inativas: recomenda-se a eliminação após 3 anos sem atividade. Dados de prospeção: 3 anos após o último contacto.
Leia também — Checklist RGPD sítio web | Cookies e RGPD: tudo o que é preciso saber | Sanções RGPD em Portugal | Banner de cookies conforme ao RGPD
Fontes: CNPD — Relatório de atividades 2024, CNPD — Sanção INE, Lei 41/2004 — Privacidade nas comunicações eletrónicas, Lei 58/2019 — Execução do RGPD em Portugal, Decreto-Lei 7/2004 — Comércio eletrónico. Publicado a 9 de abril de 2026.