O Regulamento Geral sobre a Proteção de Dados (RGPD) é, desde maio de 2018, o principal instrumento legal europeu de proteção de dados pessoais. Aplica-se a qualquer organização — pública ou privada, grande ou pequena — que trate dados de pessoas singulares residentes na União Europeia. Em Portugal, a CNPD (Comissão Nacional de Proteção de Dados) é a autoridade de controlo responsável pela supervisão e fiscalização do cumprimento.
O que é o RGPD
O Regulamento (UE) 2016/679 — RGPD — aplicável desde 25 de maio de 2018, estabelece os direitos dos titulares de dados e as obrigações das organizações que tratam dados pessoais. Substituiu a Diretiva de Proteção de Dados de 1995 e introduziu um regime sancionatório significativamente mais severo. Em Portugal, é complementado pela Lei n.º 58/2019, que adapta o RGPD ao ordenamento jurídico nacional.
A quem se aplica
| Critério | Âmbito | Exemplos |
|---|---|---|
| Estabelecimento na UE | Qualquer organização estabelecida na UE que trate dados pessoais, independentemente do local de tratamento | Empresas portuguesas, sucursais de empresas estrangeiras na UE |
| Tratamento de dados de residentes na UE | Organizações fora da UE que ofereçam bens/serviços a residentes na UE ou monitorizem o seu comportamento | E-commerce global com clientes europeus, plataformas digitais |
| Responsável pelo tratamento | Quem determina as finalidades e os meios do tratamento | Empregadores (dados de RH), hospitais (dados de saúde), lojas online |
| Subcontratante | Quem trata dados por conta do responsável | Fornecedores de cloud, empresas de payroll, agências de marketing |
Principais obrigações
- Base legal para o tratamento — Todo o tratamento de dados pessoais necessita de uma base legal válida: consentimento, execução de contrato, obrigação legal, interesses vitais, interesse público ou interesses legítimos.
- Transparência e informação — Informar os titulares dos dados sobre quem trata os seus dados, para que fins, por quanto tempo e quais os seus direitos — geralmente através de uma política de privacidade clara e acessível.
- Direitos dos titulares — Garantir o exercício dos direitos de acesso, retificação, apagamento (“direito ao esquecimento”), portabilidade, limitação do tratamento e oposição.
- Segurança dos dados — Implementar medidas técnicas e organizativas adequadas ao risco: encriptação, pseudonimização, controlo de acessos, backups seguros e formação dos colaboradores.
- Notificação de violações de dados — Comunicar violações de dados pessoais à CNPD em 72 horas após tomar conhecimento; notificar os titulares quando o risco for elevado.
- Encarregado de Proteção de Dados (DPO) — Designar um DPO quando obrigatório: autoridades públicas, tratamento em grande escala de dados sensíveis ou monitorização sistemática em grande escala.
- Registo das atividades de tratamento — Manter um registo interno documentado de todas as atividades de tratamento de dados (obrigatório para organizações com 250+ trabalhadores ou que tratem dados sensíveis).
- Avaliação de Impacto (DPIA) — Realizar uma avaliação de impacto sobre proteção de dados antes de iniciar tratamentos de alto risco (videovigilância em larga escala, perfis comportamentais, dados de saúde).
Sanções pelo incumprimento
| Nível | Coima máxima | Infrações típicas |
|---|---|---|
| Nível 1 | 10.000.000 € ou 2% do volume de negócios global anual | Violação das obrigações do responsável/subcontratante, DPO, certificação |
| Nível 2 | 20.000.000 € ou 4% do volume de negócios global anual | Violação dos princípios básicos, direitos dos titulares, transferências internacionais |
Estado atual
O RGPD está em plena vigência desde 2018. A CNPD tem aumentado a sua atividade de fiscalização e a emissão de coimas. Em 2024, a aplicação do RGPD foi reforçada com o alinhamento com outros regulamentos europeus (IA Act, DORA, NIS2) que incorporam obrigações de proteção de dados. As organizações devem manter uma revisão periódica da sua conformidade, especialmente quando introduzem novas tecnologias ou mudam processos de negócio.
Recursos úteis
- CNPD — Comissão Nacional de Proteção de Dados: autoridade de controlo portuguesa, publica orientações e decisões
- EDPB — Comité Europeu para a Proteção de Dados: orientações europeias harmonizadas sobre RGPD
- Lei n.º 58/2019 — Lei de execução do RGPD em Portugal (Diário da República)
- Regulamento (UE) 2016/679 — Texto oficial do RGPD no EUR-Lex