Proteção de Dados

Coimas RGPD em Portugal: sanções da CNPD em 2026

Coimas RGPD em Portugal: molduras do art. 83.º RGPD e do regime da Lei 58/2019, casos reais da CNPD e como reduzir o risco de sanção com documentação sólida.

Also available in:English·Français·Deutsch·Español·Italiano

As coimas RGPD em Portugal resultam da conjugação de dois regimes: as molduras máximas do artigo 83.º do RGPD — até 20 milhões de euros ou 4% do volume de negócios anual mundial, consoante o mais elevado — e o regime contraordenacional específico dos artigos 37.º e 38.º da Lei 58/2019, que a CNPD aplica na prática. Os dois casos que definem o risco real em Portugal são a coima de 1,25 milhões de euros ao Município de Lisboa (2021, caso «Russiagate») e a coima de 400.000 euros ao Centro Hospitalar Barreiro Montijo (2018). Este guia mostra o que a CNPD verifica numa fiscalização, quais as falhas mais multadas e como a documentação certa reduz a exposição a coimas.

Principais conclusões

  • As coimas do RGPD podem atingir 20 M€ ou 4% do volume de negócios mundial (art. 83.º, n.º 5).
  • Em Portugal, a graduação da coima segue os artigos 37.º-38.º da Lei 58/2019, com molduras diferenciadas para PME e grandes empresas.
  • Os casos de referência da CNPD são o Município de Lisboa (1,25 M€) e o Centro Hospitalar Barreiro Montijo (400.000 €).
  • A ausência de registo de tratamentos, de contratos de subcontratação e de violações documentadas são as falhas mais penalizadas.
  • Documentação completa e atualizada é a defesa mais eficaz numa fiscalização.

As molduras do artigo 83.º do RGPD

O artigo 83.º do RGPD organiza as coimas em dois escalões. O primeiro, até 10 milhões de euros ou 2% do volume de negócios anual a nível mundial, aplica-se a violações de obrigações do responsável e do subcontratante — registo de atividades (art. 30.º), segurança (art. 32.º), notificação de violações (arts. 33.º-34.º) e designação de encarregado (arts. 37.º-39.º).

O segundo escalão, até 20 milhões de euros ou 4%, aplica-se às violações mais graves: princípios do tratamento (arts. 5.º-7.º e 9.º), direitos dos titulares (arts. 12.º-22.º) e transferências internacionais (arts. 44.º-49.º). Em ambos os casos, aplica-se o valor mais elevado entre o montante fixo e a percentagem.

A nível europeu, estas molduras já produziram sanções recordes: a Meta foi multada em 1,2 mil milhões de euros pela autoridade irlandesa (DPC) em 2023 por transferências ilícitas para os EUA, e a Amazon em 746 milhões de euros pela autoridade luxemburguesa (CNPD/LU) em 2021. São referências úteis para dimensionar o teto legal, ainda que os valores portugueses sejam, naturalmente, mais modestos.

O regime português: Lei 58/2019

A Lei 58/2019, que executa o RGPD em Portugal, acrescenta o regime contraordenacional concreto. O artigo 37.º classifica as infrações muito graves e o artigo 38.º as graves, fixando em cada caso molduras diferenciadas conforme a dimensão do infrator:

Tipo de entidade Infração grave (art. 38.º) Infração muito grave (art. 37.º)
Grande empresa 2.500 – 10 M€ ou 2% 5.000 – 20 M€ ou 4%
PME 1.000 – 1 M€ ou 2% 2.000 – 2 M€ ou 4%
Pessoa singular 500 – 250.000 € 1.000 – 500.000 €

Em cada bracket, a coima concreta é sempre a mais elevada entre o valor fixo e a percentagem do volume de negócios, o que, para empresas com faturação relevante, significa que é a percentagem que domina.

O artigo 44.º prevê ainda um tratamento diferenciado para as entidades públicas, com possibilidade de dispensa de coima durante um período inicial — um regime que a própria CNPD tem aplicado com cautela. Vale a pena recordar que, na Deliberação 494/2019, a CNPD anunciou que desaplicaria várias normas da Lei 58/2019 por as considerar incompatíveis com o RGPD, o que introduz alguma incerteza sobre a validade de partes deste regime. O papel e os poderes da autoridade estão detalhados no nosso guia da CNPD.

Os dois casos que definem o risco em Portugal

Município de Lisboa — 1,25 M€ (2021)

No caso conhecido como «Russiagate», a CNPD aplicou uma coima de 1,25 milhões de euros à Câmara Municipal de Lisboa por partilha ilícita de dados pessoais de participantes em manifestações — incluindo dados de ativistas — com embaixadas estrangeiras. A decisão sancionou múltiplas violações: falta de fundamento de licitude, ausência de avaliação de impacto e transferências indevidas. É a maior coima aplicada a uma entidade pública portuguesa e demonstra que o setor público não está imune.

Centro Hospitalar Barreiro Montijo — 400.000 € (2018)

A CNPD aplicou 400.000 euros ao Centro Hospitalar Barreiro Montijo por deficiências no controlo de acessos aos processos clínicos: existiam perfis de acesso indevidos e um número de utilizadores «médico» muito superior ao número real de médicos. A decisão sancionou a violação dos princípios de integridade e confidencialidade (art. 5.º, n.º 1, al. f) e do artigo 9.º, relativo a dados de saúde. Para o setor, ver o guia de RGPD na saúde.

O que a CNPD verifica numa fiscalização

Numa fiscalização, a CNPD segue uma sequência previsível. Conhecê-la permite antecipar as falhas mais multadas:

  1. Registo de atividades de tratamento (art. 30.º) — é o primeiro documento solicitado. A sua ausência é, por si só, uma infração.
  2. Fundamentos de licitude — a CNPD verifica se cada tratamento tem base válida no artigo 6.º e, para dados sensíveis, no artigo 9.º.
  3. Contratos de subcontratação (art. 28.º) — a inexistência de contrato com fornecedores que tratam dados é uma falha frequente.
  4. Registo de violações (art. 33.º, n.º 5) — mesmo violações não notificadas devem estar documentadas.
  5. Medidas de segurança (art. 32.º) — controlo de acessos, cifragem e registos de acesso.

A maioria das coimas não resulta de uma única falha catastrófica, mas da acumulação de lacunas documentais que sinalizam ausência de governação. Um registo incompleto agrava a leitura de todas as restantes deficiências.

Além destes cinco pontos, a CNPD avalia a resposta da organização durante a própria fiscalização. A coerência entre o que está declarado no registo e o que se observa nos sistemas, e a existência de um responsável capaz de explicar as decisões de tratamento, pesam na graduação. Quem apresenta prontamente o registo, os contratos do artigo 28.º e o histórico de violações transmite diligência e atenua a moldura; quem responde com documentação reconstruída à pressa produz o efeito inverso. O artigo 83.º, n.º 2, do RGPD elenca precisamente estes fatores — cooperação, medidas técnicas e organizativas, e caráter intencional ou negligente — como critérios de fixação do montante.

Como reduzir a exposição a coimas

A defesa mais eficaz é a documentação completa, atualizada e coerente. Na prática, isto significa manter um registo de atividades de tratamento vivo, ter contratos do artigo 28.º com todos os subcontratantes, um procedimento de violações e a designação — quando obrigatória — de um encarregado de proteção de dados.

O problema é que manter esta documentação manualmente, em folhas de cálculo dispersas, faz com que fique desatualizada em semanas — e um registo desatualizado, numa fiscalização, é quase tão prejudicial como a sua ausência. É aqui que o software de conformidade RGPD tem retorno claro.

Legiscope face às alternativas

Solução Foco Registo automatizado Preço indicativo
Legiscope PME, documentação RGPD Sim, guiado Sob consulta
OneTrust Grandes empresas, suite completa Sim Elevado, sob consulta
TrustArc Multinacionais, avaliações Sim Sob consulta
Didomi Consentimento e cookies Parcial Sob consulta
Folha de cálculo Micro-organizações Não Gratuito (custo em tempo)

Ferramentas como a OneTrust ou a TrustArc são poderosas, mas foram desenhadas para grandes organizações com equipas de privacidade dedicadas, o que se reflete no preço e na complexidade. A Didomi é forte em consentimento e cookies, mas não cobre toda a documentação. A Legiscope posiciona-se na documentação central do RGPD para PME portuguesas, gerando o registo e mantendo-o atualizado a partir de perguntas orientadas. Para comparar opções, veja o nosso guia do melhor software RGPD.

Perguntas frequentes

Qual é a coima máxima do RGPD em Portugal?

O teto é o do artigo 83.º do RGPD: 20 milhões de euros ou 4% do volume de negócios anual mundial, consoante o mais elevado. Em Portugal, a Lei 58/2019 fixa molduras diferenciadas por dimensão: numa infração muito grave, uma PME arrisca até 2 M€ ou 4% e uma grande empresa até 20 M€ ou 4%; nas graves, os tetos descem para 1 M€/2% (PME) e 10 M€/2% (grande empresa).

As entidades públicas pagam coimas RGPD em Portugal?

O artigo 44.º da Lei 58/2019 prevê um regime diferenciado, com possibilidade de dispensa inicial de coima. Ainda assim, o Município de Lisboa foi sancionado em 1,25 M€ em 2021, o que demonstra que a dispensa não é automática nem absoluta.

Uma pequena empresa pode ser multada pela CNPD?

Sim. A dimensão reduz as molduras aplicáveis mas não isenta de responsabilidade. As falhas mais penalizadas em PME são a ausência de registo de tratamentos, a falta de contratos de subcontratação e a inexistência de fundamento de licitude documentado.

Como é que a documentação reduz o risco de coima?

A CNPD gradua as coimas segundo o artigo 83.º, n.º 2, valorizando a cooperação e as medidas implementadas. Documentação completa e atualizada demonstra diligência, atenua a gravidade e, em muitos casos, evita mesmo a abertura de processo contraordenacional.

Conclusão

As coimas RGPD em Portugal combinam as molduras elevadas do artigo 83.º com o regime graduado da Lei 58/2019. Os casos do Município de Lisboa e do Centro Hospitalar Barreiro Montijo mostram que o risco é real e transversal ao setor público e privado. A maioria das sanções nasce de lacunas documentais acumuladas, não de uma única falha. Manter o registo de tratamentos, os contratos de subcontratação e o registo de violações atualizados é a defesa mais eficaz — e é exatamente aí que uma ferramenta dedicada como a Legiscope se paga.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →