Em 2026, um número alarmante de sites portugueses ainda não cumpre o RGPD. Ausência de política de privacidade, cookies instalados sem consentimento, formulários de contacto sem informação sobre o tratamento de dados: as violações são frequentemente básicas, mas as coimas da Comissão Nacional de Proteção de Dados (CNPD) podem atingir os 300.000 € para uma PME e até 20 milhões de euros ou 4 % do volume de negócios mundial para as estruturas de maior dimensão. Se tem um site, é muito provável que esteja abrangido.
O que torna um site não conforme com o RGPD?
Um site é considerado não conforme a partir do momento em que recolhe ou trata dados pessoais sem cumprir as exigências do RGPD e da Lei n.º 58/2019 (lei de execução nacional do RGPD). A recolha de dados pessoais começa muito antes do que a maioria dos empresários imagina.
O seu site recolhe dados pessoais se:
- Dispõe de um formulário de contacto (nome, email, mensagem)
- Utiliza Google Analytics, Meta Pixel ou qualquer ferramenta de rastreamento
- Oferece uma newsletter ou contas de cliente
- Instala cookies não essenciais ao carregar a página
- Dispõe de um chat online ou sistema de comentários
Para saber se a sua empresa é abrangida, consulte o nosso guia sobre o âmbito de aplicação do RGPD. Na prática, a quase totalidade dos sites profissionais está sujeita ao RGPD.
As sanções em jogo: muito além da coima simbólica
O artigo 83.º do RGPD prevê dois níveis de coimas:
Primeiro nível (art. 83.º, n.º 4): até 10 milhões de euros ou 2 % do volume de negócios anual mundial para violações das obrigações do responsável pelo tratamento.
Segundo nível (art. 83.º, n.º 5): até 20 milhões de euros ou 4 % do volume de negócios anual mundial para violações dos princípios fundamentais.
A Lei n.º 58/2019 estabelece limites mínimos para as coimas: 1.000 € para contraordenações graves de pessoas singulares e 2.500 € para pessoas coletivas. A CNPD tem vindo a reforçar progressivamente a sua atividade de fiscalização. Para conhecer as sanções mais significativas, consulte o nosso top 15 das sanções CNPD.
Para além das coimas, a CNPD pode determinar:
- Uma advertência pública
- Uma ordem de cessação do tratamento
- Uma limitação temporária do tratamento
- A proibição do tratamento
Os 7 incumprimentos mais comuns em sites web
1. Ausência de política de privacidade
Os artigos 13.º e 14.º do RGPD exigem informação clara e acessível aos titulares dos dados. Um site sem política de privacidade — ou com uma política incompleta — está em violação direta. É o incumprimento mais frequentemente identificado.
2. Cookies instalados sem consentimento
A Lei n.º 41/2004 (art. 5.º) e o RGPD exigem consentimento prévio e informado antes da instalação de cookies não essenciais. Sites que carregam ferramentas de análise ou píxeis publicitários sem consentimento expõem-se a coimas significativas.
3. Aviso legal ausente ou incompleto
O DL 7/2004 exige um aviso legal obrigatório em todo o site profissional, com identificação do titular, NIF, sede e dados de contacto.
4. Formulários sem informação RGPD
Cada formulário que recolhe dados pessoais deve ser acompanhado de informação: identidade do responsável, finalidade, base jurídica, prazo de conservação e direitos dos titulares.
5. Ausência de registo de atividades de tratamento
O artigo 30.º do RGPD impõe a manutenção de um registo de atividades de tratamento que documente cada operação de tratamento.
6. Transferências internacionais sem garantias
A utilização de serviços norte-americanos (alojamento, analytics, email marketing) implica frequentemente transferências de dados para fora da UE que devem estar protegidas por garantias adequadas.
7. Direitos dos titulares não garantidos
O RGPD garante o direito de acesso (art. 15.º), retificação (art. 16.º), apagamento (art. 17.º) e portabilidade (art. 20.º). Um site que não permita o exercício efetivo destes direitos está em violação.
Como a CNPD deteta sites não conformes
Queixas e reclamações: a CNPD recebe centenas de queixas por ano. Um cliente insatisfeito, um concorrente ou um ex-colaborador pode apresentar uma reclamação.
Inspeções setoriais: a CNPD conduz campanhas de inspeção por setor — câmaras municipais, hospitais, escolas e empresas de telecomunicações têm sido alvos frequentes.
Violações de dados: uma violação de segurança que exija notificação (art. 33.º RGPD) pode desencadear uma inspeção completa das práticas do site.
Como pôr o seu site em conformidade
Contratar um advogado especializado (500-2.000 € por auditoria): um advogado especializado em proteção de dados realizará uma auditoria aprofundada. Recomendado para sites com dados de saúde ou videovigilância.
Fazer sozinho com modelos online (0 € mas arriscado): os modelos disponíveis frequentemente não contemplam as especificidades da legislação portuguesa (Lei n.º 58/2019, Lei n.º 41/2004). O risco de lacunas é elevado.
Usar uma IA genérica (ChatGPT, Claude) (0 € + revisão advogado 150-300 €): estas ferramentas podem produzir rascunhos, mas raramente dominam as particularidades do quadro jurídico português.
Usar uma IA jurídica especializada (14,90-19,90 €): soluções como WebLegal.ai geram todos os seus documentos legais obrigatórios — política de privacidade, política de cookies, termos de uso, condições de venda — em minutos, conformes ao RGPD e adaptados à sua atividade.
Conclusão
Um site não conforme com o RGPD não é apenas um risco jurídico: é uma bomba-relógio. As coimas podem atingir montantes devastadores para uma PME, e a CNPD tem vindo a intensificar progressivamente a sua atividade de fiscalização. Os incumprimentos mais sancionados são frequentemente os mais básicos: ausência de política de privacidade, cookies sem consentimento, formulários sem informação. Em 2026, a conformidade é acessível e rápida. Aja agora para proteger a sua empresa.