A CNPD — Comissão Nacional de Proteção de Dados — é a autoridade de controlo independente que fiscaliza a aplicação do RGPD em Portugal, com sede em Lisboa e estatuto fixado na Lei n.º 58/2019. Recebe reclamações dos cidadãos, realiza fiscalizações, emite orientações e aplica coimas até aos limites do artigo 83.º RGPD. Para qualquer empresa que trate dados de pessoas em Portugal, a CNPD é o interlocutor e o fiscalizador — e saber o que ela verifica primeiro numa inspeção é a diferença entre uma fiscalização gerível e uma coima.
Este guia explica o estatuto, os poderes e o modo de atuação da CNPD, e o que ela pede logo à cabeça quando bate à porta de uma empresa.
Pontos essenciais
- A CNPD é a autoridade de controlo portuguesa nos termos do artigo 51.º RGPD, com estatuto na Lei 58/2019.
- Poderes de investigação e correção — dos artigos 57.º e 58.º RGPD — incluem aceder a dados, ordenar medidas e aplicar coimas.
- O primeiro documento pedido numa fiscalização é o registo de atividades de tratamento (artigo 30.º).
- Qualquer pessoa pode reclamar à CNPD (artigo 77.º RGPD), gratuitamente.
Estatuto e composição
A CNPD funciona junto da Assembleia da República, com plena independência no exercício das suas funções. É composta por membros designados por diferentes órgãos de soberania, o que reforça a sua autonomia. O seu enquadramento nacional consta da Lei n.º 58/2019, que executa o RGPD em Portugal e define as competências, a orgânica e o regime sancionatório da comissão. A CNPD é membro do Comité Europeu para a Proteção de Dados (CEPD), participando na aplicação coerente do RGPD em toda a UE.
Os poderes da CNPD
O RGPD dota as autoridades de controlo de três tipos de poderes, todos exercidos pela CNPD:
| Tipo | Base | Exemplos |
|---|---|---|
| Investigação | Art. 57.º e 58.º, n.º 1 | Fiscalizações, pedidos de informação, acesso a instalações e dados |
| Correção | Art. 58.º, n.º 2 | Advertências, ordens de conformação, limitação ou proibição de tratamentos, coimas |
| Consultivo/autorizador | Art. 57.º, 36.º | Pareceres, consulta prévia, aprovação de cláusulas |
O poder mais temido é o sancionatório: a CNPD pode aplicar as coimas do artigo 83.º RGPD, cujos tetos vão até 20 milhões de euros ou 4% do volume de negócios anual mundial. Para o detalhe do regime e dos valores praticados, veja a análise das coimas RGPD em Portugal.
Como decorre uma fiscalização
Uma fiscalização da CNPD pode ser desencadeada por reclamação, por notícia pública, na sequência de uma violação notificada ou por iniciativa própria em ações setoriais. O padrão é reconhecível: a CNPD pede primeiro os documentos estruturantes e, a partir deles, aprofunda.
O primeiro pedido é quase sempre o registo de atividades de tratamento (artigo 30.º). É o mapa de tudo o que a organização faz com dados; a sua ausência ou desatualização é, por si só, uma infração e um sinal de alerta. A seguir vêm: os contratos com subcontratantes (artigo 28.º), a designação e a atuação do encarregado de proteção de dados, o registo de violações (artigo 33.º, n.º 5), as avaliações de impacto (artigo 35.º) e as políticas de informação aos titulares.
A lição prática: a organização que mantém estes documentos vivos atravessa uma fiscalização sem drama; a que os tem desatualizados ou inexistentes começa já em incumprimento antes de discutir o mérito. A CNPD costuma conceder um prazo para a apresentação dos documentos, mas esse prazo é curto e não permite reconstruir de raiz o que deveria existir há anos. A postura da autoridade tende a ser mais exigente quando percebe que a documentação foi elaborada à pressa, apenas para responder à inspeção, do que quando encontra um sistema imperfeito mas genuinamente em funcionamento.
Deliberações marcantes da CNPD
Três decisões definem a linha de atuação da CNPD e valem como aviso a qualquer responsável:
- Município de Lisboa (2021) — coima de 1,25 milhões de euros pela partilha de dados de promotores de manifestações com embaixadas de países terceiros, o caso «Russiagate». Em 2024, o Tribunal Administrativo de Círculo de Lisboa confirmou a ilicitude, fixando a coima em 1.027.500 euros. É o marco do setor público — desenvolvido no guia RGPD nos municípios.
- Centro Hospitalar Barreiro-Montijo (2018) — coima de 400 mil euros por permitir acessos indiscriminados a processos clínicos, com perfis de acesso que não correspondiam a funções reais, violando a confidencialidade e a segurança (artigos 5.º e 32.º).
- Suspensão dos Censos 2021 (INE / Cloudflare, 2021) — a CNPD ordenou ao Instituto Nacional de Estatística a suspensão das transferências de dados dos Censos para os Estados Unidos via Cloudflare, por falta de garantias adequadas na sequência do acórdão Schrems II. Um caso central sobre transferências internacionais.
Como apresentar uma reclamação à CNPD
Qualquer titular que considere os seus direitos violados pode reclamar à CNPD (artigo 77.º RGPD), gratuitamente, através do formulário disponível em cnpd.pt. A CNPD analisa a reclamação, pode pedir esclarecimentos ao responsável e decidir. As reclamações por exercício de direitos dos titulares — sobretudo o direito de acesso e o apagamento — são uma das principais fontes de processos.
Preparar a empresa para a CNPD
Estar preparado para a CNPD não é uma tarefa pontual, é manter a documentação-base atualizada em permanência. Reunir à pressa o registo de tratamentos, os contratos do artigo 28.º e o registo de violações quando a fiscalização já chegou é o pior cenário. Plataformas de conformidade como a Legiscope mantêm estes documentos vivos e exportáveis, precisamente na ordem em que a CNPD os costuma pedir, o que transforma uma fiscalização num exercício de apresentação e não de reconstrução. A ferramenta não substitui o juízo do encarregado, mas garante que os documentos existem e estão atualizados.
Perguntas frequentes
O que é a CNPD?
A CNPD, Comissão Nacional de Proteção de Dados, é a autoridade de controlo independente que, em Portugal, fiscaliza a aplicação do RGPD e da Lei n.º 58/2019. Recebe reclamações, realiza fiscalizações, emite orientações e aplica coimas nos termos do artigo 83.º RGPD.
O que pede a CNPD primeiro numa fiscalização?
O registo de atividades de tratamento (artigo 30.º). É o documento que mapeia todos os tratamentos da organização; a partir dele, a CNPD pede os contratos de subcontratação, a designação do EPD, o registo de violações e as avaliações de impacto.
Como faço uma reclamação à CNPD?
Através do formulário disponível no site cnpd.pt. A reclamação é gratuita e qualquer titular de dados pode apresentá-la (artigo 77.º RGPD) se considerar que o tratamento dos seus dados viola o RGPD.
Que coimas pode a CNPD aplicar?
As previstas no artigo 83.º RGPD, com tetos até 20 milhões de euros ou 4% do volume de negócios anual mundial, consoante a infração. Em Portugal, o regime contraordenacional é complementado pelos artigos 37.º e 38.º da Lei n.º 58/2019.
Conclusão
A CNPD é, ao mesmo tempo, o guardião dos direitos dos titulares e o fiscalizador das empresas — e atua de forma previsível: pede primeiro o registo de tratamentos e, a partir dele, tudo o resto. A melhor preparação não é conhecer a comissão, é manter viva a documentação que ela vai pedir. Uma organização com o registo, os contratos e o registo de violações em ordem não teme uma fiscalização; teme-a quem só começa a organizar-se quando a carta da CNPD chega.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial