Em 2026, qualquer empresa ou organização que recolha dados pessoais através do seu site web é obrigada a publicar uma política de privacidade. O RGPD exige-o, e a Comissão Nacional de Proteção de Dados (CNPD) controla-o ativamente, tal como as demais autoridades de proteção de dados europeias. No entanto, muitas políticas de privacidade continuam incompletas, vagas ou puramente decorativas. Uma política de privacidade que não contenha todas as informações exigidas pelos artigos 13 e 14 do RGPD equivale juridicamente a não ter nenhuma política de privacidade. Para compreender o alcance completo dos riscos envolvidos, consulte o nosso artigo sobre política de privacidade obrigatória: riscos e multas.
Este artigo detalha um a um os elementos que a sua política de privacidade deve obrigatoriamente conter para estar em conformidade com o RGPD em 2026.
Porque é que cada elemento importa
Os artigos 13 e 14 do RGPD estabelecem uma lista precisa das informações que o responsável pelo tratamento deve fornecer aos titulares dos dados. O artigo 12 acrescenta que estas informações devem ser comunicadas de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples.
Não se trata de uma recomendação, mas de uma obrigação legal. Uma política de privacidade incompleta constitui uma violação destes artigos, punível nos termos do artigo 83 do RGPD com coimas até 20 milhões de euros ou 4 % do volume de negócios mundial anual. Em Portugal, o RGPD é complementado pela Lei n.º 58/2019, de 8 de agosto, que assegura a execução do regulamento na ordem jurídica nacional. A CNPD tem sancionado organizações cuja política de privacidade existia mas não continha todos os elementos obrigatórios.
Para saber se a sua organização está sujeita a estas obrigações, consulte o nosso guia RGPD: quem está realmente envolvido.
Os elementos obrigatórios de uma política de privacidade
Eis os 11 elementos que toda política de privacidade conforme ao RGPD deve conter. Cada um corresponde a uma exigência específica dos artigos 13 ou 14 do regulamento.
1. Identidade e dados de contacto do responsável pelo tratamento
A sua política deve identificar claramente quem é responsável pelo tratamento dos dados: denominação social completa, morada da sede, endereço de email de contacto e número de identificação fiscal (NIF/NIPC). Se foi designado um Encarregado da Proteção de Dados (EPD ou DPO), os seus dados de contacto devem igualmente figurar (artigo 13.1.b).
2. Finalidades e base jurídica de cada tratamento
Para cada tratamento de dados, deve indicar a finalidade (por que razão os dados são recolhidos) e a base jurídica correspondente entre as seis previstas pelo artigo 6 do RGPD: consentimento, execução de um contrato, obrigação legal, interesses vitais, interesse público ou interesses legítimos. Por exemplo: “Recolhemos o seu endereço de email para o envio da nossa newsletter (base: consentimento)” ou “Tratamos os seus dados de faturação para a execução da sua encomenda (base: execução do contrato).“
3. Categorias de dados pessoais recolhidos
Enumere de forma exaustiva os tipos de dados que recolhe: dados de identificação (nome, email), dados de conexão (endereço IP, registos), dados de pagamento (número de cartão, através de prestador de serviços de pagamento), dados de navegação (páginas visitadas, cookies) e dados de localização, quando aplicável. A transparência é essencial: o utilizador deve saber exatamente que dados possui sobre ele.
4. Destinatários dos dados
Identifique todas as pessoas ou entidades que têm acesso aos dados: equipas internas (serviço ao cliente, marketing, equipa técnica), subcontratantes (fornecedor de alojamento, processador de pagamentos, plataforma de email marketing) e eventuais parceiros comerciais. O artigo 13.1.e exige esta informação mesmo quando os destinatários são subcontratantes que atuam por sua conta.
5. Transferências para fora da União Europeia
Se os dados forem transferidos para países fora da UE — por exemplo, através da utilização de serviços cloud norte-americanos — deve mencioná-lo explicitamente. Deve indicar os países em causa, o mecanismo de garantia utilizado (decisão de adequação da Comissão Europeia, cláusulas contratuais-tipo (CCT) ou regras vinculativas aplicáveis às empresas) e como o utilizador pode obter uma cópia dessas garantias (artigo 13.1.f).
6. Prazos de conservação dos dados
Para cada categoria de dados, especifique o prazo de conservação ou os critérios utilizados para a sua determinação (artigo 13.2.a). Por exemplo: “Dados de clientes: 3 anos após o fim da relação comercial. Dados de faturação: 10 anos (obrigação legal). Dados de navegação: 13 meses.” Evite formulações vagas como “pelo tempo necessário” sem maior detalhe.
7. Direitos dos titulares dos dados
O RGPD concede aos utilizadores um conjunto de direitos que a sua política deve listar e explicar claramente: direito de acesso (artigo 15), direito de retificação (artigo 16), direito ao apagamento ou “direito a ser esquecido” (artigo 17), direito à limitação do tratamento (artigo 18), direito à portabilidade dos dados (artigo 20) e direito de oposição (artigo 21). A Lei n.º 58/2019 contém disposições específicas sobre o exercício destes direitos no contexto português.
8. Modalidades de exercício dos direitos
Não basta listar os direitos: deve indicar concretamente como exercê-los. Especifique o endereço de email dedicado (por exemplo: epd@oseusitio.pt), um formulário de contacto, se aplicável, a morada postal para pedidos escritos e o prazo de resposta (máximo 1 mês nos termos do artigo 12.3 do RGPD, prorrogável por 2 meses em caso de complexidade). Mencione também os eventuais comprovativos de identidade necessários para o tratamento do pedido.
9. Direito de reclamação junto da autoridade de controlo
O artigo 13.2.d obriga a informar o utilizador do seu direito de apresentar reclamação junto de uma autoridade de controlo. Em Portugal, trata-se da CNPD (Comissão Nacional de Proteção de Dados). Indique o nome da autoridade, a sua morada postal e uma ligação para o seu serviço de reclamação online. Esta menção é frequentemente esquecida, mas é obrigatória.
10. Cookies e rastreadores
Mesmo que disponha de uma política de cookies separada, a sua política de privacidade deve mencionar a utilização de cookies e rastreadores, resumir brevemente as categorias de cookies utilizados (essenciais, analíticos, publicitários) e remeter para a sua política de cookies completa para informações detalhadas e gestão do consentimento.
11. Alteração da política
Indique como os utilizadores serão informados em caso de alteração substancial da política: notificação por email, banner informativo no site, data da última atualização visível no início ou no fim do documento. Indique a data da versão atual e, idealmente, mantenha um histórico de versões acessível.
Os erros mais comuns
Mesmo com a melhor das intenções, certos erros repetem-se com frequência nas políticas de privacidade:
Formulações demasiado vagas. Frases como “utilizamos os seus dados para melhorar os nossos serviços” não satisfazem a exigência de transparência. Cada finalidade deve ser descrita de forma específica e concreta.
Copiar e colar de um concorrente. Cada site web tem tratamentos de dados diferentes. Uma política copiada será necessariamente inexata para a sua atividade e constitui por si só uma violação.
Base jurídica ausente ou incorreta. Mencionar uma finalidade sem indicar a base jurídica correspondente, ou invocar o consentimento quando o tratamento se baseia na execução de um contrato, constitui uma não conformidade.
Ausência dos dados de contacto do EPD. Se a sua organização tem a obrigação de designar um Encarregado da Proteção de Dados (artigo 37), os seus dados de contacto devem figurar na política. A sua ausência é uma violação distinta.
Política desatualizada. Uma política que menciona serviços que já não utiliza, ou que não abrange novos tratamentos adicionados desde a sua redação, já não é conforme. A atualização regular é indispensável.
Documento não acessível. A política deve ser acessível em no máximo 2 cliques a partir de qualquer página do site. Uma ligação apenas no rodapé da página inicial não é suficiente se a navegação interna não a reproduz.
Como obter uma política de privacidade completa
Face à complexidade das exigências, existem várias soluções:
Contratar um advogado especializado (200-500 €): a solução mais personalizada, mas o custo e o prazo (várias semanas) podem ser um obstáculo, especialmente para PME e trabalhadores independentes.
Redigir pessoalmente (0 € mas arriscado): sem experiência jurídica, o risco de omissão ou erro é elevado. Os artigos 13 e 14 do RGPD contêm mais de 20 pontos de informação obrigatória, e uma única omissão é suficiente para tornar o documento não conforme.
Utilizar uma IA genérica (0 € + revisão de advogado 150-300 €): ferramentas como o ChatGPT podem produzir um primeiro rascunho, mas não conhecem as especificidades do seu site e requerem revisão jurídica para garantir a conformidade.
Utilizar uma ferramenta jurídica especializada (14,90-19,90 €): soluções como WebLegal.ai guiam-no passo a passo por cada elemento obrigatório, garantindo que nenhuma menção é omitida. O documento é gerado em minutos, adaptado à sua atividade e conforme às mais recentes exigências do RGPD. Para uma proteção completa, considere os 4 documentos legais obrigatórios para o seu site web.
Conclusão
Uma política de privacidade conforme ao RGPD não é um simples texto jurídico a assinalar numa checklist de conformidade: é um instrumento de transparência que protege tanto os seus utilizadores como a sua empresa. Cada um dos 11 elementos detalhados neste artigo responde a uma exigência específica do regulamento. Omitir um único que seja expõe a sua organização a sanções até 20 milhões de euros ou 4 % do seu volume de negócios mundial. Em 2026, com a intensificação dos controlos pela CNPD e pelas autoridades europeias, não deixe nada ao acaso — assegure-se de que a sua política de privacidade é completa, atualizada e acessível.