Multas RGPD: Top 15 Sanções da CNPD em Portugal

← Blog Segurança Fundamentos do RGPD
9 min de leitura
WebLegal Team

Desde a entrada em vigor do RGPD em maio de 2018, a Comissão Nacional de Proteção de Dados (CNPD) tem vindo a reforçar progressivamente a sua atividade de fiscalização e sanção em Portugal. Embora o panorama sancionatório português seja diferente do de outros países europeus como a França ou a Alemanha — com menos sanções de valor elevado mas com uma crescente atividade de fiscalização —, compreender o quadro de enforcement português é essencial para qualquer responsável pelo tratamento que opere no mercado nacional.

As sanções mais significativas em Portugal

A CNPD dispõe dos mesmos poderes sancionatórios previstos no RGPD: multas até 20 milhões de euros ou 4% do volume de negócios anual mundial. Portugal possui também a Lei n.º 58/2019 (lei de execução nacional do RGPD), que estabelece o quadro específico de contraordenações. Aqui estão as sanções e intervenções mais significativas em Portugal.

As sanções mais elevadas

O hospital público que recebeu a primeira grande sanção RGPD em Portugal — e uma das primeiras na Europa — quando a CNPD aplicou uma coima significativa por acesso indevido a dados de pacientes. A investigação revelou que centenas de profissionais tinham acesso a processos clínicos sem necessidade funcional, com perfis de médico atribuídos a técnicos e outros funcionários.

Empresas de telecomunicações portuguesas foram sancionadas por tratamento ilícito de dados de clientes e por comunicações de marketing direto sem consentimento válido. Operadores do setor energético receberam coimas por práticas de contratação com utilização indevida de dados pessoais de consumidores.

Entidades do setor financeiro e segurador foram alvo de procedimentos por tratamento excessivo de dados, especialmente na recolha de informações para perfilagem de clientes sem base legal adequada.

Sanções intermédias e advertências (10.000 € a 500.000 €)

Este segmento revela os padrões mais comuns de violação em Portugal:

  • Câmaras municipais e entidades públicas por sistemas de videovigilância não conformes e falta de avaliação de impacto (coimas e advertências diversas)
  • Empresas de marketing digital por envio de comunicações comerciais não solicitadas (coimas de 10.000 € a 100.000 €)
  • Estabelecimentos comerciais por videovigilância sem sinalização adequada ou com captação de via pública (coimas de 10.000 € a 50.000 €)
  • Entidades empregadoras por controlo excessivo de trabalhadores, incluindo monitorização de email e geolocalização (advertências e coimas)
  • Clínicas e consultórios por deficiências na proteção de dados de saúde (coimas de 5.000 € a 50.000 €)

Intervenções junto de PME e pequenas estruturas

A CNPD tem adotado uma abordagem que combina sanção com pedagogia junto das pequenas empresas. Numerosas PME foram alvo de procedimentos por incumprimentos básicos: ausência de política de privacidade no site, falta de registo de atividades de tratamento, cookies sem consentimento, e incumprimento do direito de acesso dos titulares.

Médicos e profissionais de saúde em consultório privado foram advertidos por deficiências na proteção de dados de pacientes. Condomínios receberam notificações por sistemas de videovigilância não conformes. Nenhuma estrutura, por pequena que seja, está isenta de fiscalização.

Os 5 motivos de sanção mais frequentes em Portugal

A análise das decisões da CNPD e do panorama nacional revela padrões específicos.

1. Videovigilância não conforme

A videovigilância é um dos temas mais frequentes na atividade da CNPD. As violações mais comuns incluem: câmaras que captam a via pública ou propriedades vizinhas, ausência de sinalização com os elementos exigidos pelo RGPD, falta de avaliação de impacto sobre a proteção de dados, e períodos de conservação das imagens superiores ao necessário. A Lei n.º 58/2019 estabelece requisitos específicos para a videovigilância em Portugal.

2. Marketing direto e comunicações não solicitadas

O envio de comunicações comerciais eletrónicas sem consentimento prévio e expresso é uma infração frequentemente sancionada em Portugal, ao abrigo da Lei n.º 41/2004 (lei das comunicações eletrónicas) e do RGPD. Empresas que enviam SMS, emails ou realizam chamadas comerciais sem consentimento válido são regularmente alvo de procedimentos.

3. Acesso indevido a dados pessoais

O caso paradigmático do hospital português evidenciou um problema transversal: o controlo de acessos a dados pessoais. A CNPD tem verificado que muitas organizações não implementam políticas adequadas de gestão de acessos, permitindo que colaboradores acedam a dados sem necessidade funcional. Este problema é particularmente grave no setor da saúde e no setor público. Para saber se a sua empresa é abrangida pelo RGPD, consulte o nosso guia sobre o âmbito de aplicação do RGPD.

4. Deficiências na informação aos titulares (artigos 13.º e 14.º RGPD)

Os artigos 13.º e 14.º do RGPD exigem informação clara, completa e acessível aos titulares dos dados. A CNPD sanciona organizações cujos sites não dispõem de política de privacidade adequada, cujas cláusulas informativas são insuficientes ou desatualizadas, ou que não informam corretamente sobre a utilização de cookies.

5. Falta de cooperação com a CNPD

Um aspeto distintivo do enforcement português é a sanção por falta de cooperação com a autoridade de controlo. A CNPD tem sancionado entidades que não respondem atempadamente aos seus pedidos de informação, que obstaculizam as inspeções, ou que não implementam as medidas corretivas determinadas. Este motivo representa uma proporção significativa dos procedimentos.

Como calcula a CNPD o montante das coimas?

O cálculo das coimas segue os critérios do artigo 83.º do RGPD, enquadrados pela Lei n.º 58/2019:

  • Natureza e gravidade da infração: violações que envolvem dados sensíveis ou grande número de titulares comportam coimas mais elevadas
  • Negligência ou dolo: infrações intencionais são punidas com maior severidade
  • Medidas adotadas para atenuar os danos: a resposta rápida e eficaz é considerada circunstância atenuante
  • Grau de cooperação com a CNPD: a cooperação ativa durante a investigação pode reduzir significativamente a coima
  • Categorias de dados afetados: dados de saúde, dados de menores e dados biométricos agravam a sanção
  • Anteriores infrações: reincidentes enfrentam coimas agravadas

A Lei n.º 58/2019 prevê limites mínimos para as coimas: 1.000 € para contraordenações graves de pessoas singulares e 2.500 € para pessoas coletivas.

Tendências recentes: a CNPD em 2024-2026

Crescimento da atividade fiscalizadora: a CNPD tem vindo a aumentar progressivamente o número de inspeções e procedimentos sancionatórios, beneficiando de reforço de meios humanos e técnicos.

Foco na administração pública: câmaras municipais, hospitais públicos e escolas têm sido alvo frequente de fiscalizações, especialmente no que respeita a videovigilância e tratamento de dados de saúde.

Cookies e rastreamento online: seguindo a tendência europeia, a CNPD tem intensificado a fiscalização da conformidade dos banners de cookies e do rastreamento online, especialmente após as orientações do Comité Europeu para a Proteção de Dados.

Transferências internacionais: à semelhança de outras autoridades europeias, a CNPD fiscaliza as transferências de dados para países terceiros, especialmente a utilização de serviços cloud americanos.

Cooperação ibérica e europeia: a CNPD participa ativamente no mecanismo de cooperação europeu e mantém colaboração estreita com a AEPD espanhola em questões transfronteiriças.

Reduzir meu risco agora

Multa potencial: Proteja-se a partir de

Baseado no art. 83 do RGPD, penalidade máxima de 4% do faturamento anual ou 20 milhões de euros, o que for maior.

Como proteger a sua empresa

Face ao reforço da fiscalização, a conformidade é uma prioridade:

Contratar um advogado especializado (500-2.000 € por uma auditoria): um advogado especializado em proteção de dados realizará uma auditoria aprofundada. Particularmente recomendado para empresas com dados de saúde ou videovigilância.

Fazer sozinho com modelos online (0 € mas arriscado): os modelos disponíveis frequentemente não contemplam as especificidades da legislação portuguesa (Lei n.º 58/2019, Lei n.º 41/2004). O risco de lacunas é elevado.

Usar uma IA genérica (ChatGPT, Claude) (0 € + revisão de advogado 150-300 €): estas ferramentas podem produzir rascunhos, mas raramente dominam as particularidades do quadro jurídico português.

Usar uma IA jurídica especializada (14,90-19,90 €): soluções como WebLegal.ai geram todos os seus documentos legais obrigatórios — política de privacidade, política de cookies, termos de uso, condições de venda — em minutos, conformes ao RGPD e adaptados à sua atividade.

Conclusão

A CNPD tem vindo a intensificar significativamente a sua atividade de fiscalização e sanção. Embora o volume de coimas em Portugal seja inferior ao de países como França ou Itália, a tendência é claramente de crescimento. Os motivos de sanção cobrem frequentemente incumprimentos básicos — videovigilância irregular, falta de política de privacidade, marketing sem consentimento. Para avaliar os riscos específicos do seu site, consulte o nosso guia sobre sites não conformes ao RGPD e as respetivas sanções. Em 2026, a conformidade com o RGPD não é opcional. Aja agora para proteger a sua empresa.