Preciso mesmo de política de privacidade?

Sim. Qualquer entidade que trate dados pessoais em Portugal — incluindo sites, aplicações, lojas físicas, associações e profissionais liberais — está obrigada ao dever de informação dos artigos 13.º e 14.º do RGPD. A política de privacidade é o principal instrumento para cumprir este dever. A sua inexistência ou insuficiência configura infracção autónoma e expõe a entidade a coimas da CNPD, para além de responsabilidade civil perante os titulares.

Que informação deve constar da política?

No mínimo, os elementos exigidos pelos artigos 13.º e 14.º do RGPD: identidade e contactos do responsável, contactos do DPO, finalidades e base legal, categorias de dados, destinatários, transferências internacionais, prazos de conservação, direitos do titular, direito de reclamar à CNPD e, quando aplicável, existência de decisões automatizadas. Deve ainda, em conformidade com o artigo 12.º, ser redigida em linguagem clara, concisa e acessível.

Preciso de nomear Encarregado de Protecção de Dados (DPO)?

Depende. O artigo 37.º do RGPD impõe a nomeação de DPO quando o responsável seja autoridade pública, ou quando as actividades principais consistam em operações de tratamento que exijam controlo regular e sistemático em larga escala, ou no tratamento em larga escala de categorias especiais de dados. Nos demais casos, a nomeação é facultativa, embora recomendável para organizações de média e grande dimensão ou que tratem dados sensíveis.

A política cobre a utilização de cookies?

Cobre, mas não substitui o dever de obter consentimento específico para cookies não estritamente necessários. A regulação dos cookies decorre do RGPD e da Directiva 2002/58/CE (ePrivacy), transposta pela Lei n.º 41/2004. A política de privacidade deve informar sobre os tipos de cookies (necessários, analíticos, marketing), finalidades e prazos; a gestão do consentimento deve ser feita através de banner ou preferências de cookies.

Como devo comunicar uma violação de dados?

O artigo 33.º do RGPD impõe notificação à CNPD no prazo de 72 horas após o conhecimento da violação, sempre que esta implique risco para os direitos e liberdades dos titulares. A notificação deve descrever a natureza da violação, as categorias e número de titulares afectados, as consequências prováveis e as medidas adoptadas. Se o risco for elevado, o artigo 34.º obriga ainda a comunicação aos titulares afectados em linguagem clara e directa.

Posso transferir dados para fora da União Europeia?

Sim, mas só com fundamento legal específico. Os artigos 44.º a 50.º do RGPD regulam as transferências internacionais de dados, admissíveis em três situações principais: existência de decisão de adequação da Comissão Europeia (artigo 45.º), utilização de garantias adequadas como as cláusulas contratuais-tipo ou regras vinculativas aplicáveis às empresas (artigo 46.º), ou aplicação das derrogações do artigo 49.º em situações específicas (consentimento explícito, execução de contrato, defesa de direitos).

Que direitos pode o titular exercer?

Os artigos 15.º a 22.º do RGPD reconhecem ao titular o direito de acesso, rectificação, apagamento (direito a ser esquecido), limitação do tratamento, portabilidade e oposição, bem como o direito de não ficar sujeito a decisões exclusivamente automatizadas. O responsável pelo tratamento deve responder, em regra, no prazo máximo de um mês, prorrogável por mais dois em casos complexos (artigo 12.º, n.º 3). Em caso de recusa injustificada, o titular pode reclamar à CNPD ou recorrer aos tribunais.

Quais as coimas previstas em caso de incumprimento?

O artigo 83.º do RGPD prevê coimas até €20 milhões ou 4% do volume de negócios mundial anual, o que for mais elevado, para as infracções mais graves (violação dos princípios, condições do consentimento, direitos dos titulares, transferências internacionais). Infracções menos graves (deveres de registo, segurança, notificação de violações) são puníveis com coimas até €10 milhões ou 2% do volume de negócios. A Lei n.º 58/2019 concretiza o regime sancionatório em Portugal, cabendo à CNPD a aplicação das coimas.

Jurídico & EmpresarialPortugal

Modelo gratuito de Política de Privacidade RGPD

Uma política de privacidade profissional para sites, aplicações e actividades empresariais em Portugal, em conformidade com o Regulamento (UE) 2016/679 (RGPD) e a Lei n.º 58/2019. Ideal para empresas, profissionais liberais, associações e e-commerce que recolham dados de utilizadores ou clientes.

Create Your Política de Privacidade (RGPD)

Free to useInstant PDFNo account required

POLÍTICA DE PRIVACIDADE

Regulamento UE 2016/679 (RGPD) · Lei N.º 58/2019

Entidade: DigiCommerce Portugal, Lda. · Vigor: 21 de março de 2026

Website: www.digicommerce.pt

A presente Política de Privacidade regula o tratamento de dados pessoais realizado por DigiCommerce Portugal, Lda., em conformidade com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (RGPD), a Lei n.º 58/2019, de 8 de agosto (lei de execução do RGPD em Portugal) e demais legislação aplicável. Ao utilizar os nossos serviços, o titular dos dados confirma ter lido e compreendido a presente Política.

RESPONSÁVEL PELO TRATAMENTO

O Responsável pelo Tratamento dos dados pessoais é:

DigiCommerce Portugal, Lda.
NIPC: 509 876 543
Sede/Morada: Avenida da República, 50, 1050-193 Lisboa
Email: privacidade@digicommerce.pt
Telefone: +351 21 987 6543
Website: www.digicommerce.pt

Para exercer os seus direitos ou colocar questões sobre o tratamento dos seus dados, o titular pode contactar o Responsável pelo Tratamento através do endereço de email acima indicado.

DADOS PESSOAIS RECOLHIDOS

O Responsável pelo Tratamento recolhe e trata as seguintes categorias de dados pessoais:

Nome completo, email, telefone, morada, NIF, dados de pagamento (Stripe), endereço IP, dados de navegação, histórico de compras.

Os dados pessoais são recolhidos diretamente junto do titular, mediante preenchimento de formulários, celebração de contratos, utilização do website ou contacto direto, ou, quando aplicável, junto de terceiros autorizados.

FINALIDADES DO TRATAMENTO

Os dados pessoais são tratados para as seguintes finalidades:

Gestão de encomendas e entregas, processamento de pagamentos, envio de newsletters (mediante consentimento), cumprimento de obrigações fiscais e legais, melhoria dos serviços.

Os dados não serão tratados para finalidades incompatíveis com as indicadas, sem o prévio consentimento do titular ou sem outra base jurídica legítima, em conformidade com o princípio da limitação das finalidades consagrado no art. 5.º, n.º 1, al. b) do RGPD.

BASES JURÍDICAS DO TRATAMENTO

O tratamento dos dados pessoais assenta nas seguintes bases jurídicas, nos termos do art. 6.º do RGPD:

Consentimento (art. 6.º, n.º 1, al. a) para newsletters; execução de contrato (al. b) para encomendas; obrigação legal (al. c) para fiscalidade; interesses legítimos (al. f) para prevenção de fraude.

O tratamento apenas é realizado quando existe uma base jurídica válida, designadamente: consentimento (art. 6.º, n.º 1, al. a) RGPD), execução de contrato (al. b)), obrigação legal (al. c)), interesses vitais (al. d)), interesse público (al. e)) ou interesses legítimos (al. f)). O titular tem o direito de retirar o consentimento a qualquer momento, sem que isso comprometa a licitude do tratamento efetuado com base no consentimento previamente dado.

PRAZO DE CONSERVAÇÃO DOS DADOS

Os dados pessoais são conservados pelo seguinte prazo:

Dados conservados durante a relação contratual e por 5 anos para obrigações fiscais (art. 52.º CIVA), 10 anos para obrigações contabilísticas. Dados de marketing eliminados após revogação do consentimento.

Findo o prazo de conservação, os dados são eliminados ou anonimizados de forma irreversível, em conformidade com o princípio da limitação da conservação (art. 5.º, n.º 1, al. e) do RGPD). Os dados podem ser conservados por prazo superior quando exigido por obrigação legal ou para efeitos de defesa de direitos em processo judicial.

DIREITOS DOS TITULARES DOS DADOS

O titular dos dados dispõe dos seguintes direitos, nos termos dos arts. 15.º a 22.º do RGPD:

Direito de acesso (art. 15.º RGPD): obter confirmação sobre se os seus dados estão a ser tratados e aceder aos mesmos, bem como a informações sobre as finalidades, categorias, destinatários e prazos de conservação.
Direito de retificação (art. 16.º RGPD): solicitar a correção de dados inexatos ou incompletos que lhe digam respeito.
Direito ao apagamento (art. 17.º RGPD): solicitar a eliminação dos seus dados pessoais quando estes já não sejam necessários, quando retire o consentimento ou quando se oponha ao tratamento, salvo nos casos previstos na lei.
Direito à limitação do tratamento (art. 18.º RGPD): requerer a suspensão do tratamento dos seus dados em determinadas circunstâncias, como durante a verificação da exatidão dos dados ou da licitude do tratamento.
Direito à portabilidade dos dados (art. 20.º RGPD): receber os dados que forneceu num formato estruturado, de uso corrente e de leitura automática, e transmiti-los a outro responsável pelo tratamento.
Direito de oposição (art. 21.º RGPD): opor-se ao tratamento dos seus dados baseado em interesses legítimos ou para fins de marketing direto.
Direito a não sujeição a decisões automatizadas (art. 22.º RGPD): não ser sujeito a decisões baseadas exclusivamente no tratamento automatizado, incluindo a definição de perfis, que produzam efeitos jurídicos ou que o afetem significativamente.

Para exercer qualquer um destes direitos, o titular pode contactar o Responsável pelo Tratamento através do endereço de email privacidade@digicommerce.pt. O pedido será respondido no prazo de 30 (trinta) dias, podendo ser prorrogado por mais dois meses em casos de especial complexidade, com notificação ao titular.

O titular tem ainda o direito de apresentar reclamação junto da Comissão Nacional de Proteção de Dados (CNPD), a autoridade de controlo nacional, através do website www.cnpd.pt ou por carta dirigida à Rua de São Bento, 148-3.º, 1200-821 Lisboa.

COOKIES E TECNOLOGIAS SIMILARES

O website utiliza cookies e tecnologias similares para melhorar a experiência de navegação, nos termos da Lei n.º 41/2004, de 18 de agosto (Lei das Comunicações Eletrónicas), com a redação dada pela Lei n.º 46/2012, de 29 de agosto.

São utilizados os seguintes tipos de cookies:

Cookies essenciais (sessão, carrinho), cookies analíticos (Google Analytics 4 com anonimização de IP), cookies de marketing (Meta Pixel, com consentimento).

Os cookies não essenciais apenas são instalados após obtenção do consentimento explícito do utilizador através do banner de cookies apresentado no acesso ao website. Os cookies estritamente necessários ao funcionamento do serviço são utilizados sem necessidade de consentimento prévio.

O utilizador pode gerir as suas preferências de cookies a qualquer momento através do banner de cookies ou das definições do browser. A desativação de determinados cookies pode afetar a funcionalidade do website.

PARTILHA DE DADOS COM TERCEIROS

Os dados pessoais podem ser partilhados com os seguintes prestadores de serviços terceiros, que atuam como subcontratantes nos termos do art. 28.º do RGPD:

Google Analytics 4, Stripe (pagamentos), Mailchimp (newsletters), Cloudflare (CDN), Amazon Web Services (alojamento).

Os subcontratantes estão vinculados por contratos de tratamento de dados que garantem o cumprimento das obrigações do RGPD e o tratamento dos dados exclusivamente de acordo com as instruções do Responsável pelo Tratamento. Os dados não são vendidos nem transmitidos a terceiros para fins comerciais próprios desses terceiros.

LEI APLICÁVEL E ALTERAÇÕES À POLÍTICA

A presente Política de Privacidade é regida pelo Regulamento (UE) 2016/679 (RGPD), pela Lei n.º 58/2019, de 8 de agosto e pela demais legislação portuguesa aplicável em matéria de proteção de dados pessoais.

O Responsável pelo Tratamento reserva o direito de atualizar a presente Política a qualquer momento, nomeadamente em resultado de alterações legislativas, jurisprudenciais ou de práticas internas. Em caso de alterações substanciais que afetem os direitos dos titulares, será efetuada notificação adequada, através do website ou por email.

Recomenda-se a consulta periódica da presente Política para se manter informado sobre o modo como os dados pessoais são tratados. A versão em vigor é sempre a publicada no website.

10.

TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

Alguns dados pessoais podem ser transferidos para países terceiros ou organizações internacionais fora do Espaço Económico Europeu (EEE), nos termos dos arts. 44.º a 49.º do RGPD. Tais transferências só se realizam quando está assegurado um nível de proteção adequado, designadamente através de:

Decisão de adequação da Comissão Europeia (art. 45.º RGPD).
Cláusulas contratuais-tipo adotadas pela Comissão Europeia (art. 46.º, n.º 2, al. c) RGPD).
Regras vinculativas aplicáveis às empresas (Binding Corporate Rules — art. 47.º RGPD).
Outras garantias adequadas nos termos do art. 46.º RGPD.

Estados Unidos (Google LLC, Stripe Inc.) — cláusulas contratuais-tipo (Decisão 2021/914). Irlanda (AWS EMEA) — país UE, sem garantias adicionais.

O titular pode solicitar informação adicional sobre as salvaguardas adotadas nas transferências internacionais, contactando o Responsável pelo Tratamento.

11.

ENCARREGADO DA PROTEÇÃO DE DADOS (EPD/DPO)

Nos termos do art. 37.º do RGPD, o Responsável pelo Tratamento designou um Encarregado da Proteção de Dados (EPD), também designado Data Protection Officer (DPO):

Nome: Dr. Manuel Oliveira
Email: dpo@digicommerce.pt

O EPD pode ser contactado pelo titular dos dados para qualquer questão relacionada com o tratamento dos seus dados pessoais e com o exercício dos seus direitos ao abrigo do RGPD. O EPD é responsável por assegurar o cumprimento interno do RGPD, servir de ponto de contacto com a CNPD e aconselhar o Responsável pelo Tratamento em matéria de proteção de dados.

12.

MEDIDAS DE SEGURANÇA

Nos termos do art. 32.º do RGPD, o Responsável pelo Tratamento implementa medidas técnicas e organizativas adequadas para assegurar um nível de segurança apropriado ao risco, tendo em conta o estado da arte, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos para os direitos e liberdades dos titulares dos dados.

Encriptação SSL/TLS, autenticação de dois fatores, firewalls, backups diários encriptados, formação anual de colaboradores, controlo de acessos RBAC.

Não obstante as medidas adotadas, nenhum sistema de transmissão eletrónica ou de armazenamento de dados pode garantir segurança absoluta. O Responsável pelo Tratamento reavalia periodicamente as medidas de segurança e procede às atualizações necessárias.

13.

PROCEDIMENTO EM CASO DE VIOLAÇÃO DE DADOS PESSOAIS

Em caso de violação de dados pessoais, o Responsável pelo Tratamento cumpre os seguintes procedimentos, nos termos dos arts. 33.º e 34.º do RGPD:

Notificação à CNPD em 72 horas (art. 33.º RGPD). Informação aos titulares se elevado risco (art. 34.º RGPD). Registo interno de todas as violações.

A CNPD é notificada no prazo de 72 horas após o conhecimento da violação, sempre que esta seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares (art. 33.º RGPD). Quando a violação for suscetível de implicar um elevado risco para os direitos e liberdades dos titulares, estes são informados sem demora injustificada (art. 34.º RGPD). Todas as violações são registadas internamente, independentemente da obrigação de notificação.

14.

AVALIAÇÃO DE IMPACTO SOBRE A PROTEÇÃO DE DADOS (AIPD)

Nos termos do art. 35.º do RGPD, quando um tipo de tratamento for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, designadamente em virtude da utilização de novas tecnologias, o Responsável pelo Tratamento realiza uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) antes de iniciar o tratamento.

A AIPD inclui: (i) uma descrição sistemática das operações de tratamento previstas e as suas finalidades; (ii) uma avaliação da necessidade e proporcionalidade do tratamento; (iii) uma avaliação dos riscos para os direitos e liberdades dos titulares; e (iv) as medidas previstas para fazer face aos riscos. Os resultados da AIPD são comunicados ao EPD e, quando aplicável, à CNPD (art. 36.º RGPD). As AIPD são objeto de revisão periódica para assegurar que o tratamento seja efetuado em conformidade com os seus resultados.

15.

SUBCONTRATANTES (PROCESSADORES)

O Responsável pelo Tratamento recorre aos seguintes subcontratantes (processadores) para o tratamento de dados pessoais, nos termos do art. 28.º do RGPD:

Amazon Web Services EMEA SARL (alojamento), Stripe Payments Europe Ltd (pagamentos), Google Ireland Ltd (analytics), The Rocket Science Group LLC - Mailchimp (newsletters).

Todos os subcontratantes estão vinculados por contratos de tratamento de dados que garantem: o tratamento exclusivo segundo as instruções do Responsável pelo Tratamento; a implementação de medidas de segurança adequadas; a assistência ao Responsável no exercício dos direitos dos titulares; a eliminação ou devolução dos dados findo o contrato; e a disponibilização de todas as informações necessárias para demonstrar o cumprimento das obrigações do art. 28.º RGPD.

Última atualização: 21 de março de 2026

O que é uma política de privacidade?

A política de privacidade é o documento pelo qual uma organização (responsável pelo tratamento) cumpre o dever de informação previsto nos artigos 13.º e 14.º do Regulamento Geral sobre a Protecção de Dados (RGPD), tornando transparente ao titular dos dados quais as operações que realiza com os seus dados pessoais, as finalidades, a base legal, os destinatários, o prazo de conservação e os direitos que lhe assistem. É de publicação obrigatória para qualquer entidade que trate dados pessoais em Portugal, seja através de site, aplicação, loja física ou outra forma de recolha.

A transparência é um dos princípios nucleares do RGPD, consagrado no artigo 5.º, n.º 1, alínea a). Implica que as informações sobre o tratamento sejam apresentadas de forma concisa, transparente, inteligível e de fácil acesso, em linguagem clara e simples, nos termos do artigo 12.º do Regulamento. Uma política de privacidade adequada é a peça central deste dever de transparência, não bastando a simples remissão para textos legais ou a utilização de linguagem excessivamente técnica.

Em Portugal, a Comissão Nacional de Protecção de Dados (CNPD) é a autoridade de controlo competente nos termos do artigo 28.º da Lei n.º 58/2019. Pode fiscalizar o cumprimento do RGPD, receber reclamações dos titulares e aplicar coimas até €20 milhões ou 4% do volume de negócios mundial (artigo 83.º do RGPD). Ter política de privacidade escrita, actualizada e publicada é a primeira linha de defesa em qualquer inspecção.

O que inclui este modelo

O modelo da Doxuno reúne todos os elementos exigidos pelos artigos 13.º e 14.º do RGPD e pela Lei n.º 58/2019 para uma política de privacidade conforme.

Identificação do responsável

Firma, NIPC, sede e contactos

Encarregado de Protecção de Dados

Contactos do DPO quando aplicável

Categorias de dados

Tipologia dos dados recolhidos

Finalidades do tratamento

Fins específicos e legítimos

Bases legais

Consentimento, contrato, interesse legítimo

Destinatários

Subcontratantes e terceiros

Transferências internacionais

Para fora do EEE e garantias

Prazos de conservação

Períodos e critérios de retenção

Direitos do titular

Acesso, rectificação, apagamento e outros

Cookies e tecnologias

Informação específica sobre cookies

Segurança

Medidas técnicas e organizativas

Reclamação à CNPD

Direito e canais de queixa

Como redigir a política de privacidade

Siga estes cinco passos para publicar uma política de privacidade conforme com o RGPD e que resista a uma fiscalização da CNPD.

1
Identifique o responsável e o DPO
Indique a denominação social completa, NIPC, sede e contactos (telefone e correio electrónico) do responsável pelo tratamento. Se a organização tiver Encarregado de Protecção de Dados (DPO) — obrigatório nos casos do artigo 37.º do RGPD —, inclua os seus contactos directos. A transparência na identificação é condição da confiança do utilizador e do cumprimento dos deveres dos artigos 13.º e 14.º do RGPD.
2
Liste as categorias de dados e as finalidades
Identifique as categorias de dados pessoais recolhidos (identificativos, contacto, financeiros, localização, comportamento online) e, para cada uma, as finalidades específicas do tratamento. Indique a base legal do artigo 6.º do RGPD aplicável a cada finalidade (consentimento, execução de contrato, obrigação legal, interesse legítimo). Quando tratar categorias especiais (saúde, biometria, etc.), identifique a condição adicional do artigo 9.º que legitima o tratamento.
3
Clarifique destinatários e transferências
Indique os destinatários ou categorias de destinatários dos dados: subcontratantes (fornecedores de alojamento, plataformas de email, CRM, contabilistas), parceiros comerciais, autoridades públicas. Se houver transferência para fora do Espaço Económico Europeu (EEE), especifique os países e as garantias previstas nos artigos 44.º a 50.º do RGPD (decisão de adequação da Comissão, cláusulas contratuais-tipo, regras vinculativas aplicáveis às empresas).
4
Fixe prazos de conservação e direitos do titular
Indique os prazos de conservação ou os critérios utilizados para os determinar. Enumere os direitos do titular previstos nos artigos 15.º a 22.º do RGPD: acesso (art. 15.º), rectificação (art. 16.º), apagamento/direito a ser esquecido (art. 17.º), limitação (art. 18.º), portabilidade (art. 20.º) e oposição (art. 21.º). Indique os canais para exercício destes direitos (correio, email, formulário) e o prazo de resposta, em regra de um mês (artigo 12.º, n.º 3).
5
Inclua cookies, segurança e reclamação à CNPD
Se o site usar cookies, inclua informação específica sobre os tipos, finalidades e prazos, e disponibilize mecanismo de gestão do consentimento. Descreva sumariamente as medidas técnicas e organizativas de segurança implementadas nos termos do artigo 32.º do RGPD. Informe o titular do direito de reclamar junto da CNPD (Rua de São Bento, n.º 148, Lisboa; www.cnpd.pt; linha 213 928 400). Publique a política em local acessível do site e mantenha-a actualizada.

Considerações jurídicas em Portugal

A protecção de dados pessoais é uma das áreas de maior risco sancionatório. Conheça os pilares jurídicos antes de publicar a sua política.

Este modelo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico. Para operações de elevado valor, situações laborais complexas ou em caso de dúvida sobre os requisitos aplicáveis ao seu caso, consulte um advogado inscrito na Ordem dos Advogados.

Revisto por profissionais do Direito português. O conteúdo desta página e as cláusulas do modelo foram revistos por advogados inscritos na Ordem dos Advogados para garantir exactidão e solidez jurídica em situações habituais.

Deveres de transparência e informação

Os artigos 12.º, 13.º e 14.º do RGPD impõem ao responsável pelo tratamento o dever de prestar ao titular informação completa, concisa, transparente, inteligível e de fácil acesso, em linguagem clara e simples. A informação inclui, no mínimo: identidade e contactos do responsável, contactos do DPO, finalidades e base legal do tratamento, destinatários, transferências internacionais, período de conservação, direitos do titular e direito de reclamação à autoridade de controlo. A violação destes deveres configura infracção autónoma e pode dar origem, só por si, a coimas nos termos do artigo 83.º, n.º 5, alínea b), do RGPD.

Privacidade desde a concepção e segurança

O artigo 25.º do RGPD consagra os princípios da protecção de dados desde a concepção (privacy by design) e por defeito (privacy by default), impondo ao responsável a implementação de medidas técnicas e organizativas adequadas desde a fase de desenvolvimento. O artigo 32.º complementa com a obrigação geral de segurança, proporcional ao risco: pseudonimização, cifragem, confidencialidade, integridade, disponibilidade e resiliência dos sistemas. Em caso de violação de dados susceptível de implicar risco, o artigo 33.º impõe notificação à CNPD em 72 horas; se o risco for elevado, o artigo 34.º exige comunicação aos titulares.

Bases legais e consentimento

O artigo 6.º do RGPD enumera seis bases legais para o tratamento: consentimento, execução de contrato, obrigação legal, defesa de interesses vitais, exercício de funções de interesse público e interesse legítimo. A escolha da base correcta para cada finalidade é uma das decisões mais críticas. O consentimento deve obedecer aos requisitos do artigo 7.º (livre, específico, informado, inequívoco e revogável), não podendo ser usado quando exista desequilíbrio manifesto entre as partes (por exemplo, em relações laborais, conforme o artigo 20.º da Lei n.º 58/2019). O tratamento de categorias especiais de dados (saúde, biometria, origem étnica) exige fundamento adicional nos termos do artigo 9.º.

Fiscalização e regime sancionatório

A Comissão Nacional de Protecção de Dados (CNPD) é a autoridade de controlo competente em Portugal, nos termos do artigo 28.º da Lei n.º 58/2019. Tem poderes de investigação, correcção e aplicação de coimas. O artigo 83.º do RGPD fixa coimas até €20 milhões ou 4% do volume de negócios mundial anual, o que for mais elevado. A Lei n.º 58/2019 concretiza o regime sancionatório nacional. Os titulares podem ainda recorrer aos tribunais judiciais para reclamar indemnização pelos danos patrimoniais e não patrimoniais sofridos (artigo 82.º do RGPD), independentemente da aplicação de coima pela CNPD.

Perguntas frequentes

Pronto para publicar a sua política de privacidade?

Preencha os dados do responsável pelo tratamento, das finalidades e dos direitos e descarregue uma política de privacidade em PDF conforme com o RGPD e a Lei n.º 58/2019. Modelo gratuito.

Create Your Política de Privacidade (RGPD)Browse All Templates

Free · Instant PDF · No account required