RGPD E-commerce 2026: 7 Erros CNPD

← Blog Fundamentos do RGPD Comércio eletrónico
9 min de leitura
WebLegal Team

Gratuito · Sem registo · Resultado em 30 segundos

A CNPD inclui o e-commerce no seu programa anual de fiscalizações temáticas desde 2022, e o número de processos sancionatórios contra lojas online cresce todos os anos. À escala europeia, o montante médio das coimas quase duplicou em dois anos. A razão é estrutural: as lojas online recolhem volumes importantes de dados pessoais (pagamento, morada, histórico de compras), sendo frequentemente menos maduras juridicamente do que as grandes plataformas. Resultado: o e-commerce ocupa um lugar prioritário no programa de controlo anual da CNPD.

Se gere uma loja online, os sete erros seguintes são os que sistematicamente colocam os sites na lista prioritária da CNPD. Este artigo detalha cada um com as referências jurídicas exatas e as correções concretas. Comece por analisar gratuitamente a sua loja com um scanner de conformidade para identificar as lacunas, depois siga o plano de ação RGPD em 10 passos para corrigir.

Porque a CNPD visa especialmente o e-commerce

Todos os anos a CNPD publica um programa de fiscalizações temáticas. Desde 2022, o e-commerce está sempre na lista, ao lado da saúde digital e do marketing direto. As razões são estruturais.

Volume: uma loja online média recolhe mais de 30 categorias de dados por cliente (identidade, pagamento, comportamento de navegação, preferências, geolocalização). Multiplicado por dezenas de milhares de clientes, a exposição é considerável.

Rastreabilidade do percurso do utilizador: cookies de terceiros, pixels publicitários, retargeting, marketing automation. Cada ferramenta adicionada enfraquece o quadro do consentimento.

Subcontratação: entre o alojamento, a plataforma (Shopify, WooCommerce, PrestaShop), o gestor de pagamento, a ferramenta de email marketing e a solução de scoring, uma loja online média tem entre 8 e 15 subcontratantes. O mapeamento raramente está atualizado.

Transferências internacionais: Google Analytics, Mailchimp, Stripe, AWS — muitos serviços alojados nos Estados Unidos exigem garantias contratuais específicas (cláusulas contratuais-tipo, medidas suplementares pós-Schrems II).

Erro 1: Cookies sem consentimento explícito válido

É o erro mais frequente, e o mais facilmente detetável do exterior. Um banner de cookies deve cumprir três requisitos cumulativos (orientações do Comité Europeu para a Proteção de Dados + recomendações da CNPD atualizadas em 2024):

  • Consentimento livre: recusar deve ser tão fácil como aceitar. Um botão “Aceitar tudo” sem botão “Recusar tudo” de visibilidade equivalente é uma infração.
  • Consentimento específico: por finalidade (publicidade, medição de audiência, personalização), não global.
  • Consentimento prévio: nenhum cookie de terceiros pode ser instalado antes do clique.

Sanções recentes: a CNPD, juntamente com a CNIL francesa e o Garante italiano, sancionou grandes plataformas por estes motivos com coimas entre 60 e 150 milhões de euros. Para PME, as coimas oscilam tipicamente entre 20 000 € e 200 000 € consoante a dimensão da empresa e a duração da não conformidade.

A correção: implementar um banner de cookies conforme com bloqueio automático de rastreadores antes do consentimento. O banner de cookies gratuito WebLegal bloqueia automaticamente mais de 37 rastreadores e respeita as orientações do CEPD e da CNPD, além do Google Consent Mode v2.

Erro 2: Política de privacidade genérica ou ausente

Uma parte significativa dos sites e-commerce portugueses fiscalizados nos últimos anos não tinha política de privacidade conforme. As lacunas mais frequentes:

  • Avisos copiados-colados de outro site sem adaptação aos fluxos reais de dados.
  • Prazos de conservação não especificados por categoria de dados.
  • Lista de subcontratantes ausente ou desatualizada.
  • Bases jurídicas do tratamento não precisadas (consentimento, contrato, interesse legítimo, obrigação legal).

O artigo 13.º do RGPD impõe 12 menções obrigatórias quando os dados são recolhidos diretamente da pessoa. A omissão de uma só constitui um incumprimento, mesmo que o site seja por outro lado seguro.

A correção: gerar uma política adaptada à sua atividade real. Evite os modelos genéricos. Para mais detalhe, consulte o nosso artigo Política de privacidade LGPD: modelo e requisitos.

O aviso legal num site e-commerce é regulado pela Lei 7/2004 (comércio eletrónico), pelo DL 24/2014 (contratos à distância) e, para os dados pessoais, pelo RGPD e Lei 58/2019. Deve incluir:

  • Identidade do vendedor (nome, denominação social, forma jurídica)
  • Sede social e endereço de email profissional
  • Número de telefone
  • Número de matrícula na Conservatória e capital social para sociedades
  • NIF
  • Identidade do diretor da publicação
  • Dados do prestador de alojamento

A ausência destas menções pode acarretar coimas administrativas até 30 000 € para pessoas singulares e 750 000 € para pessoas coletivas, segundo o regime das contraordenações em matéria de defesa do consumidor (Lei 24/96). A CNPD intervém especificamente no que respeita aos dados pessoais (RGPD + Lei 58/2019). Para mais detalhe, veja o nosso guia Aviso legal: coima de 75 000 € se ausente.

Erro 4: Transferências fora da UE sem garantias

Desde o acórdão Schrems II (julho 2020), qualquer transferência de dados para os Estados Unidos (e outros países sem decisão de adequação) deve ser enquadrada por garantias específicas:

  • Cláusulas Contratuais-Tipo (CCT), versão de junho de 2021 — as versões anteriores deixaram de ser válidas a 27 de dezembro de 2022.
  • Avaliação de Impacto da Transferência (TIA) documentada.
  • Medidas suplementares quando as CCT não bastam (cifragem, pseudonimização).

Ferramentas concretas afetadas no e-commerce:

ServiçoRiscoMedida
Google Analytics 4Sancionado pela CNIL/Garante/AEPD entre 2022 e 2023Ativar a anonimização de IP + Consent Mode v2, ou migrar para Matomo / Plausible
MailchimpAlojamento nos EUACCT + auditoria anual, ou alternativa UE (Brevo, Mailjet)
StripeAlojamento parcialmente nos EUACCT ativas por defeito, verificar a versão
AWS / GCPConsoante a região escolhidaPreferir eu-west-* / europe-west-*

A correção: fazer o inventário dos subcontratantes, verificar as CCT e considerar alternativas europeias para ferramentas não críticas. Especificamente para Google Analytics, veja o nosso guia Google Analytics e RGPD: alternativas conformes.

Erro 5: Subcontratantes sem contrato

O artigo 28.º do RGPD impõe um contrato escrito (Data Processing Agreement) entre o responsável pelo tratamento (você) e cada subcontratante que aceda aos dados pessoais dos seus clientes. O contrato deve conter 9 cláusulas obrigatórias: objeto, duração, finalidades, tipos de dados, obrigações do subcontratante, direitos do responsável, transferências fora da UE, subcontratação ulterior, cláusulas de fim.

As plataformas principais (Shopify, Stripe, AWS, Mailchimp) fornecem um Data Processing Agreement padrão assinado online. O importante: tem de o assinar efetivamente e arquivá-lo. A CNPD solicita sistematicamente estes acordos numa fiscalização. A ausência do acordo para um único subcontratante pode bastar para desencadear um requerimento.

A correção: manter um registo dos subcontratantes com, para cada entrada: tipos de dados tratados, país de alojamento, data de assinatura do Data Processing Agreement, link para o contrato arquivado. Atualizar a cada novo serviço.

Erro 6: Ausência de processo para os direitos das pessoas

O RGPD garante aos clientes sete direitos oponíveis: acesso, retificação, apagamento, limitação, portabilidade, oposição e direitos relativos às decisões automatizadas (artigos 15.º a 22.º). A empresa deve responder no prazo máximo de um mês (extensível a três meses para pedidos complexos).

Na prática, a CNPD constata regularmente:

  • Nenhum endereço de email dedicado aos pedidos (o email genérico do contacto não basta).
  • Sem procedimento interno documentado: os pedidos arrastam-se ou são esquecidos.
  • Resposta incompleta: por exemplo, num pedido de acesso, a empresa envia uma exportação dos dados da conta cliente mas esquece os logs de ligação, os dados de pagamento arquivados ou os emails de marketing recebidos.
  • Sem verificação da identidade do requerente, ou pelo contrário, exigências excessivas (cópia sistemática do documento de identificação).

A correção: criar um endereço dpo@oseusite.pt ou privacidade@oseusite.pt, documentar o processo interno (quem recebe, quem valida, quem responde, em que prazo), e verificar a frequência de formação da equipa.

Erro 7: Violações de segurança não notificadas em 72h

O artigo 33.º do RGPD impõe a notificação de uma violação de dados à CNPD nas 72 horas seguintes ao conhecimento, salvo se a violação não for suscetível de gerar um risco para os direitos e liberdades das pessoas. Se o risco for elevado, o artigo 34.º impõe ainda a notificação individual aos clientes envolvidos.

No e-commerce, as violações mais frequentes:

  • Fuga da base de clientes por bug de exportação (URL pública errada).
  • Acesso não autorizado após comprometimento da conta de administrador.
  • Roubo de dados por SQL injection ou XSS.
  • Erro de envio em massa (email contendo a base de clientes em anexo).

A CNPD constata regularmente que os e-commerce, por desconhecimento ou receio de imagem, não notificam dentro do prazo. É um fator agravante: as sanções tornam-se substancialmente mais pesadas do que para uma violação inicialmente menor reportada a tempo.

A correção: preparar a montante um protocolo de notificação (modelo de carta para a CNPD, equipa responsável, registo de violações). A CNPD disponibiliza um formulário de notificação online específico para estas comunicações.

Como ficar em conformidade rapidamente

Os sete erros acima são corrigíveis em menos de uma semana para a maioria das PME. A sequência recomendada:

  1. Dia 1: auditoria do existente através de um scanner automático de conformidade para identificar erros públicos (cookies, aviso legal, política de privacidade).
  2. Dia 2: gerar ou atualizar os documentos legais (política de privacidade, aviso legal, condições gerais) com uma ferramenta especializada.
  3. Dia 3: implementar um banner de cookies conforme com bloqueio automático.
  4. Dia 4: fazer o inventário dos subcontratantes e verificar os Data Processing Agreement.
  5. Dia 5: criar o endereço dedicado aos direitos + documentar o processo interno.
  6. Dia 6-7: preparar o protocolo de notificação de violações e formar a equipa.

Para as coimas em caso de fiscalização, veja o nosso dossiê Multas RGPD: top 15 sanções CNIL em França ou o nosso guia Site não conforme RGPD: até 300 000 € de multa.

FAQ

A CNPD fiscaliza aleatoriamente ou apenas por queixa?

Ambos. A maioria das fiscalizações segue uma queixa (cliente, concorrente, associação). As restantes são fiscalizações temáticas anuais (e-commerce, saúde, setor público) ou fiscalizações de seguimento após um requerimento anterior.

Qual é a coima média para uma PME e-commerce portuguesa em 2026?

Para PME (faturação < 5 M €), a faixa típica é entre 5 000 € e 50 000 €. Para empresas mid-market, entre 50 000 € e 500 000 €. As sanções de vários milhões dizem respeito sobretudo a grandes plataformas ou violações deliberadas.

É preciso um Encarregado de Proteção de Dados (EPD) para um e-commerce?

Nem sempre. O EPD é obrigatório se trata dados em larga escala (artigo 37.º do RGPD). Um e-commerce generalista com menos de 50 000 clientes/ano geralmente não precisa, mas pode designar um responsável RGPD interno. A partir de 100 000 clientes/ano ou se trata categorias especiais de dados (saúde, dados bancários sem cifragem), o EPD torna-se necessário.

Como saber se o meu Google Analytics está conforme?

Três pontos: (1) anonimização de IP ativada, (2) Consent Mode v2 ligado ao seu banner de cookies, (3) Data Processing Agreement assinado com a Google. Se tem dúvidas em algum dos três pontos, é melhor considerar Plausible ou Matomo, conformes por defeito.

O que fazer se descobrir hoje uma violação de dados?

Por ordem: (1) conter a fuga (mudar palavras-passe comprometidas, isolar o sistema), (2) avaliar o risco para as pessoas (quem, quantos, que dados), (3) notificar a CNPD em 72h via formulário online se o risco for confirmado, (4) se o risco for elevado, prevenir individualmente os clientes envolvidos, (5) documentar tudo no registo de violações.

Quanto tempo dura uma fiscalização da CNPD?

Uma fiscalização presencial dura um a dois dias. A fase de instrução posterior pode durar de seis meses a dois anos antes da decisão final. Durante este período, é obrigatório cooperar e responder aos pedidos de documentos complementares.

Auditar hoje a sua loja online demora menos de cinco minutos com um scanner automático, e poupa-lhe semanas de incerteza em caso de fiscalização. Para as obrigações específicas Shopify, veja também o nosso dossiê Shopify e RGPD: proteger a sua loja de multas.

Site Institucional e RGPD: Está Conforme? - Fundamentos do RGPD

Site Institucional e RGPD: Está Conforme?

⏱ 9 min de leitura
Fundamentos do RGPD Multi

83% dos sites institucionais violam o RGPD. Verifique: política de privacidade, cookies, formulários.

Ler artigo →
Conformidade RGPD E-commerce: 10 Passos - Fundamentos do RGPD

Conformidade RGPD E-commerce: 10 Passos

⏱ 10 min de leitura
Fundamentos do RGPD Comércio eletrónico Multi

Plano de ação RGPD em 10 passos para o seu e-commerce: da auditoria inicial à conformidade total. Guia prático para proteger a sua loja online.

Ler artigo →
LGPD: Guia Completo Para Empresas Brasileiras - Fundamentos do RGPD

LGPD: Guia Completo Para Empresas Brasileiras

⏱ 9 min de leitura
Fundamentos do RGPD LGPD

Guia completo da LGPD para empresas brasileiras: principios, bases legais, direitos dos titulares, ANPD e penalidades.

Ler artigo →