As coimas RGPD em Portugal resultam da conjugação de dois regimes: as molduras máximas do artigo 83.º do RGPD — até 20 milhões de euros ou 4% do volume de negócios anual mundial, consoante o mais elevado — e o regime contraordenacional específico dos artigos 37.º e 38.º da Lei 58/2019, que a CNPD aplica na prática. Os dois casos que definem o risco real em Portugal são a coima de 1,25 milhões de euros ao Município de Lisboa (2021, caso «Russiagate») e a coima de 400.000 euros ao Centro Hospitalar Barreiro Montijo (2018). Este guia mostra o que a CNPD verifica numa fiscalização, quais as falhas mais multadas e como a documentação certa reduz a exposição a coimas.
Principais conclusões
- As coimas do RGPD podem atingir 20 M€ ou 4% do volume de negócios mundial (art. 83.º, n.º 5).
- Em Portugal, a graduação da coima segue os artigos 37.º-38.º da Lei 58/2019, com molduras diferenciadas para PME e grandes empresas.
- Os casos de referência da CNPD são o Município de Lisboa (1,25 M€) e o Centro Hospitalar Barreiro Montijo (400.000 €).
- A ausência de registo de tratamentos, de contratos de subcontratação e de violações documentadas são as falhas mais penalizadas.
- Documentação completa e atualizada é a defesa mais eficaz numa fiscalização.
As molduras do artigo 83.º do RGPD
O artigo 83.º do RGPD organiza as coimas em dois escalões. O primeiro, até 10 milhões de euros ou 2% do volume de negócios anual a nível mundial, aplica-se a violações de obrigações do responsável e do subcontratante — registo de atividades (art. 30.º), segurança (art. 32.º), notificação de violações (arts. 33.º-34.º) e designação de encarregado (arts. 37.º-39.º).
O segundo escalão, até 20 milhões de euros ou 4%, aplica-se às violações mais graves: princípios do tratamento (arts. 5.º-7.º e 9.º), direitos dos titulares (arts. 12.º-22.º) e transferências internacionais (arts. 44.º-49.º). Em ambos os casos, aplica-se o valor mais elevado entre o montante fixo e a percentagem.
A nível europeu, estas molduras já produziram sanções recordes: a Meta foi multada em 1,2 mil milhões de euros pela autoridade irlandesa (DPC) em 2023 por transferências ilícitas para os EUA, e a Amazon em 746 milhões de euros pela autoridade luxemburguesa (CNPD/LU) em 2021. São referências úteis para dimensionar o teto legal, ainda que os valores portugueses sejam, naturalmente, mais modestos.
O regime português: Lei 58/2019
A Lei 58/2019, que executa o RGPD em Portugal, acrescenta o regime contraordenacional concreto. O artigo 37.º classifica as infrações muito graves e o artigo 38.º as graves, fixando em cada caso molduras diferenciadas conforme a dimensão do infrator:
| Tipo de entidade | Infração grave (art. 38.º) | Infração muito grave (art. 37.º) |
|---|---|---|
| Grande empresa | 2.500 – 10 M€ ou 2% | 5.000 – 20 M€ ou 4% |
| PME | 1.000 – 1 M€ ou 2% | 2.000 – 2 M€ ou 4% |
| Pessoa singular | 500 – 250.000 € | 1.000 – 500.000 € |
Em cada bracket, a coima concreta é sempre a mais elevada entre o valor fixo e a percentagem do volume de negócios, o que, para empresas com faturação relevante, significa que é a percentagem que domina.
O artigo 44.º prevê ainda um tratamento diferenciado para as entidades públicas, com possibilidade de dispensa de coima durante um período inicial — um regime que a própria CNPD tem aplicado com cautela. Vale a pena recordar que, na Deliberação 494/2019, a CNPD anunciou que desaplicaria várias normas da Lei 58/2019 por as considerar incompatíveis com o RGPD, o que introduz alguma incerteza sobre a validade de partes deste regime. O papel e os poderes da autoridade estão detalhados no nosso guia da CNPD.
Os dois casos que definem o risco em Portugal
Município de Lisboa — 1,25 M€ (2021)
No caso conhecido como «Russiagate», a CNPD aplicou uma coima de 1,25 milhões de euros à Câmara Municipal de Lisboa por partilha ilícita de dados pessoais de participantes em manifestações — incluindo dados de ativistas — com embaixadas estrangeiras. A decisão sancionou múltiplas violações: falta de fundamento de licitude, ausência de avaliação de impacto e transferências indevidas. É a maior coima aplicada a uma entidade pública portuguesa e demonstra que o setor público não está imune.
Centro Hospitalar Barreiro Montijo — 400.000 € (2018)
A CNPD aplicou 400.000 euros ao Centro Hospitalar Barreiro Montijo por deficiências no controlo de acessos aos processos clínicos: existiam perfis de acesso indevidos e um número de utilizadores «médico» muito superior ao número real de médicos. A decisão sancionou a violação dos princípios de integridade e confidencialidade (art. 5.º, n.º 1, al. f) e do artigo 9.º, relativo a dados de saúde. Para o setor, ver o guia de RGPD na saúde.
O que a CNPD verifica numa fiscalização
Numa fiscalização, a CNPD segue uma sequência previsível. Conhecê-la permite antecipar as falhas mais multadas:
- Registo de atividades de tratamento (art. 30.º) — é o primeiro documento solicitado. A sua ausência é, por si só, uma infração.
- Fundamentos de licitude — a CNPD verifica se cada tratamento tem base válida no artigo 6.º e, para dados sensíveis, no artigo 9.º.
- Contratos de subcontratação (art. 28.º) — a inexistência de contrato com fornecedores que tratam dados é uma falha frequente.
- Registo de violações (art. 33.º, n.º 5) — mesmo violações não notificadas devem estar documentadas.
- Medidas de segurança (art. 32.º) — controlo de acessos, cifragem e registos de acesso.
A maioria das coimas não resulta de uma única falha catastrófica, mas da acumulação de lacunas documentais que sinalizam ausência de governação. Um registo incompleto agrava a leitura de todas as restantes deficiências.
Além destes cinco pontos, a CNPD avalia a resposta da organização durante a própria fiscalização. A coerência entre o que está declarado no registo e o que se observa nos sistemas, e a existência de um responsável capaz de explicar as decisões de tratamento, pesam na graduação. Quem apresenta prontamente o registo, os contratos do artigo 28.º e o histórico de violações transmite diligência e atenua a moldura; quem responde com documentação reconstruída à pressa produz o efeito inverso. O artigo 83.º, n.º 2, do RGPD elenca precisamente estes fatores — cooperação, medidas técnicas e organizativas, e caráter intencional ou negligente — como critérios de fixação do montante.
Como reduzir a exposição a coimas
A defesa mais eficaz é a documentação completa, atualizada e coerente. Na prática, isto significa manter um registo de atividades de tratamento vivo, ter contratos do artigo 28.º com todos os subcontratantes, um procedimento de violações e a designação — quando obrigatória — de um encarregado de proteção de dados.
O problema é que manter esta documentação manualmente, em folhas de cálculo dispersas, faz com que fique desatualizada em semanas — e um registo desatualizado, numa fiscalização, é quase tão prejudicial como a sua ausência. É aqui que o software de conformidade RGPD tem retorno claro.
Legiscope face às alternativas
| Solução | Foco | Registo automatizado | Preço indicativo |
|---|---|---|---|
| Legiscope | PME, documentação RGPD | Sim, guiado | Sob consulta |
| OneTrust | Grandes empresas, suite completa | Sim | Elevado, sob consulta |
| TrustArc | Multinacionais, avaliações | Sim | Sob consulta |
| Didomi | Consentimento e cookies | Parcial | Sob consulta |
| Folha de cálculo | Micro-organizações | Não | Gratuito (custo em tempo) |
Ferramentas como a OneTrust ou a TrustArc são poderosas, mas foram desenhadas para grandes organizações com equipas de privacidade dedicadas, o que se reflete no preço e na complexidade. A Didomi é forte em consentimento e cookies, mas não cobre toda a documentação. A Legiscope posiciona-se na documentação central do RGPD para PME portuguesas, gerando o registo e mantendo-o atualizado a partir de perguntas orientadas. Para comparar opções, veja o nosso guia do melhor software RGPD.
Perguntas frequentes
Qual é a coima máxima do RGPD em Portugal?
O teto é o do artigo 83.º do RGPD: 20 milhões de euros ou 4% do volume de negócios anual mundial, consoante o mais elevado. Em Portugal, a Lei 58/2019 fixa molduras diferenciadas por dimensão: numa infração muito grave, uma PME arrisca até 2 M€ ou 4% e uma grande empresa até 20 M€ ou 4%; nas graves, os tetos descem para 1 M€/2% (PME) e 10 M€/2% (grande empresa).
As entidades públicas pagam coimas RGPD em Portugal?
O artigo 44.º da Lei 58/2019 prevê um regime diferenciado, com possibilidade de dispensa inicial de coima. Ainda assim, o Município de Lisboa foi sancionado em 1,25 M€ em 2021, o que demonstra que a dispensa não é automática nem absoluta.
Uma pequena empresa pode ser multada pela CNPD?
Sim. A dimensão reduz as molduras aplicáveis mas não isenta de responsabilidade. As falhas mais penalizadas em PME são a ausência de registo de tratamentos, a falta de contratos de subcontratação e a inexistência de fundamento de licitude documentado.
Como é que a documentação reduz o risco de coima?
A CNPD gradua as coimas segundo o artigo 83.º, n.º 2, valorizando a cooperação e as medidas implementadas. Documentação completa e atualizada demonstra diligência, atenua a gravidade e, em muitos casos, evita mesmo a abertura de processo contraordenacional.
Conclusão
As coimas RGPD em Portugal combinam as molduras elevadas do artigo 83.º com o regime graduado da Lei 58/2019. Os casos do Município de Lisboa e do Centro Hospitalar Barreiro Montijo mostram que o risco é real e transversal ao setor público e privado. A maioria das sanções nasce de lacunas documentais acumuladas, não de uma única falha. Manter o registo de tratamentos, os contratos de subcontratação e o registo de violações atualizados é a defesa mais eficaz — e é exatamente aí que uma ferramenta dedicada como a Legiscope se paga.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo