Proteção de Dados

Lei 58/2019: a execução do RGPD em Portugal

Lei 58/2019, a execução do RGPD em Portugal, artigo a artigo: menores aos 13 anos, videovigilância, dados de trabalhadores, coimas e a Deliberação 494/2019.

Also available in:Deutsch·Español

A Lei n.º 58/2019, de 8 de agosto, é a lei que assegura a execução do RGPD na ordem jurídica portuguesa. Não substitui o regulamento europeu — completa-o nas margens que o RGPD deixou aos Estados-Membros: fixou a idade de consentimento digital em 13 anos, regulou a videovigilância e os dados de trabalhadores, definiu o regime de coimas e estabeleceu regras próprias para dados de pessoas falecidas. O que torna esta lei singular é que a própria CNPD, logo à entrada em vigor, declarou que desaplicaria várias das suas normas por as considerar incompatíveis com o RGPD — a célebre Deliberação 2019/494.

Este guia percorre a Lei 58/2019 artigo a artigo, com destaque para as opções nacionais que mais afetam as empresas portuguesas.

Pontos essenciais

  • A Lei 58/2019 executa o RGPD em Portugal; o regulamento continua a aplicar-se diretamente.
  • Idade de consentimento digital: 13 anos (artigo 16.º), o mínimo permitido pelo artigo 8.º RGPD.
  • Videovigilância (artigo 19.º) e dados de trabalhadores (artigo 28.º) têm regras nacionais específicas.
  • A Deliberação 2019/494 da CNPD desaplicou várias normas da lei por incompatibilidade com o RGPD.

O que a Lei 58/2019 acrescenta ao RGPD

O RGPD é um regulamento de aplicação direta, mas contém dezenas de «cláusulas de abertura» que remetem para o direito nacional. A Lei 58/2019 é o exercício português dessas margens. Não a leia como um substituto do RGPD — leia-a como o conjunto de decisões que Portugal tomou onde o regulamento permitia escolher, e apenas nesses pontos. Fora das cláusulas de abertura, é o texto europeu que vale, mesmo que a lei nacional diga o contrário — foi essa a lógica que conduziu à desaplicação de várias normas pela CNPD, adiante analisada.

Matéria Artigo (Lei 58/2019) Opção portuguesa
Consentimento de menores Art. 16.º 13 anos
Videovigilância Art. 19.º Regras de instalação e conservação
Dados de trabalhadores Art. 28.º Limites à biometria e à videovigilância
Pessoas falecidas Art. 17.º Proteção de certos dados após a morte
Regime sancionatório Art. 37.º-38.º Contraordenações e coimas
Entidades públicas Art. 44.º Regime transitório de dispensa

Consentimento de menores: 13 anos (artigo 16.º)

O artigo 8.º RGPD permite aos Estados-Membros fixar a idade de consentimento digital entre os 13 e os 16 anos. Portugal escolheu o mínimo: 13 anos. Abaixo dessa idade, os serviços da sociedade da informação exigem o consentimento dos titulares das responsabilidades parentais. Esta escolha é relevante para plataformas, aplicações e qualquer serviço online dirigido a jovens — e deve refletir-se nos modelos de consentimento.

Videovigilância (artigo 19.º)

O artigo 19.º sujeita a videovigilância a regras específicas de instalação, sinalização e conservação de imagens, e articula-se com a exigência de avaliação de impacto para os sistemas de vigilância sistemática de espaços acessíveis ao público. É uma das áreas mais fiscalizadas, tanto no espaço público (municípios) como nas empresas.

Dados de trabalhadores (artigo 28.º)

Uma das normas de maior impacto empresarial. O artigo 28.º estabelece que os sistemas de videovigilância no local de trabalho não podem ser usados para avaliar o desempenho do trabalhador, e limita o tratamento de dados biométricos ao controlo de assiduidade e de acessos. É a base do enquadramento dos dados de pessoal em Portugal — desenvolvido no guia sobre RGPD nos recursos humanos. O tratamento de dados sensíveis dos trabalhadores cruza-se ainda com o artigo 9.º RGPD, abordado no guia sobre dados sensíveis.

Regime de coimas (artigos 37.º e 38.º)

Os artigos 37.º e 38.º definem o regime contraordenacional português, distinguindo contraordenações graves e muito graves e fixando molduras de coima que se articulam com os tetos do artigo 83.º RGPD. Para o setor público, o artigo 44.º previu um regime transitório de dispensa de coimas durante três anos após a entrada em vigor — período já terminado. A análise dos valores praticados e da graduação está no guia das coimas RGPD da CNPD. Os poderes e o modo de atuação da autoridade estão detalhados no guia da CNPD.

A Deliberação 2019/494: quando a CNPD desaplicou a própria lei

Este é o ângulo que distingue a Lei 58/2019 de qualquer outra lei nacional de execução do RGPD. Poucos dias após a entrada em vigor, a CNPD aprovou a Deliberação 2019/494, na qual declarou que, no exercício das suas competências, desaplicaria um conjunto de normas da lei por as considerar desconformes com o RGPD e com o Direito da União. Entre as normas visadas estavam disposições sobre limitações a direitos dos titulares, sobre a transferência de dados e sobre restrições que a CNPD entendeu exceder as margens do regulamento.

O fundamento é o primado do Direito da União: um regulamento europeu prevalece sobre a lei nacional incompatível, e a autoridade de controlo, ao aplicar diretamente o RGPD, pode afastar a norma interna. Para as empresas, a consequência prática é que não basta ler a Lei 58/2019 — é preciso saber quais das suas normas a CNPD não aplica. É um caso raro de uma autoridade a declarar publicamente a desaplicação parcial da lei que a enquadra.

O que isto significa para a sua conformidade

A Lei 58/2019 não muda a arquitetura do RGPD — o registo de atividades de tratamento, o encarregado de proteção de dados e os contratos de subcontratação continuam a ser o núcleo. O que a lei acrescenta são especificidades nacionais que a documentação tem de refletir: os 13 anos, os limites do artigo 28.º, as regras de videovigilância. Plataformas de conformidade concebidas para Portugal, como a Legiscope, incorporam estas opções nacionais na documentação gerada, o que evita aplicar mecanicamente modelos internacionais que ignoram a Lei 58/2019 e as normas desaplicadas pela CNPD. As organizações com atividade também no Brasil devem ainda distinguir este regime da LGPD brasileira — ver LGPD vs RGPD: diferenças.

Perguntas frequentes

A Lei 58/2019 substitui o RGPD em Portugal?

Não. O RGPD é um regulamento de aplicação direta e continua a vigorar plenamente. A Lei 58/2019 apenas executa o RGPD, preenchendo as margens que o regulamento deixou ao legislador nacional, como a idade de consentimento ou o regime de coimas.

Qual é a idade de consentimento digital em Portugal segundo a Lei 58/2019?

13 anos, fixada no artigo 16.º. É o limite mínimo que o artigo 8.º RGPD permite. Abaixo dessa idade, é necessário o consentimento dos titulares das responsabilidades parentais para os serviços online.

O que foi a Deliberação 2019/494 da CNPD?

Uma deliberação em que a CNPD, logo após a entrada em vigor da Lei 58/2019, anunciou que desaplicaria várias normas da lei por as considerar incompatíveis com o RGPD e com o Direito da União, invocando o primado do direito europeu. É um caso singular de uma autoridade a afastar normas da própria lei nacional.

O que diz a Lei 58/2019 sobre dados de trabalhadores?

O artigo 28.º proíbe usar a videovigilância no trabalho para avaliar o desempenho e limita o tratamento de dados biométricos ao controlo de assiduidade e de acessos. É uma das normas de maior impacto para os departamentos de recursos humanos.

Conclusão

A Lei 58/2019 é a peça portuguesa do RGPD: fixa os 13 anos, regula a videovigilância e os dados de trabalhadores, define as coimas — mas fá-lo com a particularidade única de a própria CNPD ter desaplicado parte dela. Para uma empresa em Portugal, a conformidade não se faz só com o RGPD nem só com a Lei 58/2019, mas com a leitura combinada das duas, filtrada pelas normas que a autoridade decidiu não aplicar.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →