A Lei n.º 58/2019, de 8 de agosto, é a lei que assegura a execução do RGPD na ordem jurídica portuguesa. Não substitui o regulamento europeu — completa-o nas margens que o RGPD deixou aos Estados-Membros: fixou a idade de consentimento digital em 13 anos, regulou a videovigilância e os dados de trabalhadores, definiu o regime de coimas e estabeleceu regras próprias para dados de pessoas falecidas. O que torna esta lei singular é que a própria CNPD, logo à entrada em vigor, declarou que desaplicaria várias das suas normas por as considerar incompatíveis com o RGPD — a célebre Deliberação 2019/494.
Este guia percorre a Lei 58/2019 artigo a artigo, com destaque para as opções nacionais que mais afetam as empresas portuguesas.
Pontos essenciais
- A Lei 58/2019 executa o RGPD em Portugal; o regulamento continua a aplicar-se diretamente.
- Idade de consentimento digital: 13 anos (artigo 16.º), o mínimo permitido pelo artigo 8.º RGPD.
- Videovigilância (artigo 19.º) e dados de trabalhadores (artigo 28.º) têm regras nacionais específicas.
- A Deliberação 2019/494 da CNPD desaplicou várias normas da lei por incompatibilidade com o RGPD.
O que a Lei 58/2019 acrescenta ao RGPD
O RGPD é um regulamento de aplicação direta, mas contém dezenas de «cláusulas de abertura» que remetem para o direito nacional. A Lei 58/2019 é o exercício português dessas margens. Não a leia como um substituto do RGPD — leia-a como o conjunto de decisões que Portugal tomou onde o regulamento permitia escolher, e apenas nesses pontos. Fora das cláusulas de abertura, é o texto europeu que vale, mesmo que a lei nacional diga o contrário — foi essa a lógica que conduziu à desaplicação de várias normas pela CNPD, adiante analisada.
| Matéria | Artigo (Lei 58/2019) | Opção portuguesa |
|---|---|---|
| Consentimento de menores | Art. 16.º | 13 anos |
| Videovigilância | Art. 19.º | Regras de instalação e conservação |
| Dados de trabalhadores | Art. 28.º | Limites à biometria e à videovigilância |
| Pessoas falecidas | Art. 17.º | Proteção de certos dados após a morte |
| Regime sancionatório | Art. 37.º-38.º | Contraordenações e coimas |
| Entidades públicas | Art. 44.º | Regime transitório de dispensa |
Consentimento de menores: 13 anos (artigo 16.º)
O artigo 8.º RGPD permite aos Estados-Membros fixar a idade de consentimento digital entre os 13 e os 16 anos. Portugal escolheu o mínimo: 13 anos. Abaixo dessa idade, os serviços da sociedade da informação exigem o consentimento dos titulares das responsabilidades parentais. Esta escolha é relevante para plataformas, aplicações e qualquer serviço online dirigido a jovens — e deve refletir-se nos modelos de consentimento.
Videovigilância (artigo 19.º)
O artigo 19.º sujeita a videovigilância a regras específicas de instalação, sinalização e conservação de imagens, e articula-se com a exigência de avaliação de impacto para os sistemas de vigilância sistemática de espaços acessíveis ao público. É uma das áreas mais fiscalizadas, tanto no espaço público (municípios) como nas empresas.
Dados de trabalhadores (artigo 28.º)
Uma das normas de maior impacto empresarial. O artigo 28.º estabelece que os sistemas de videovigilância no local de trabalho não podem ser usados para avaliar o desempenho do trabalhador, e limita o tratamento de dados biométricos ao controlo de assiduidade e de acessos. É a base do enquadramento dos dados de pessoal em Portugal — desenvolvido no guia sobre RGPD nos recursos humanos. O tratamento de dados sensíveis dos trabalhadores cruza-se ainda com o artigo 9.º RGPD, abordado no guia sobre dados sensíveis.
Regime de coimas (artigos 37.º e 38.º)
Os artigos 37.º e 38.º definem o regime contraordenacional português, distinguindo contraordenações graves e muito graves e fixando molduras de coima que se articulam com os tetos do artigo 83.º RGPD. Para o setor público, o artigo 44.º previu um regime transitório de dispensa de coimas durante três anos após a entrada em vigor — período já terminado. A análise dos valores praticados e da graduação está no guia das coimas RGPD da CNPD. Os poderes e o modo de atuação da autoridade estão detalhados no guia da CNPD.
A Deliberação 2019/494: quando a CNPD desaplicou a própria lei
Este é o ângulo que distingue a Lei 58/2019 de qualquer outra lei nacional de execução do RGPD. Poucos dias após a entrada em vigor, a CNPD aprovou a Deliberação 2019/494, na qual declarou que, no exercício das suas competências, desaplicaria um conjunto de normas da lei por as considerar desconformes com o RGPD e com o Direito da União. Entre as normas visadas estavam disposições sobre limitações a direitos dos titulares, sobre a transferência de dados e sobre restrições que a CNPD entendeu exceder as margens do regulamento.
O fundamento é o primado do Direito da União: um regulamento europeu prevalece sobre a lei nacional incompatível, e a autoridade de controlo, ao aplicar diretamente o RGPD, pode afastar a norma interna. Para as empresas, a consequência prática é que não basta ler a Lei 58/2019 — é preciso saber quais das suas normas a CNPD não aplica. É um caso raro de uma autoridade a declarar publicamente a desaplicação parcial da lei que a enquadra.
O que isto significa para a sua conformidade
A Lei 58/2019 não muda a arquitetura do RGPD — o registo de atividades de tratamento, o encarregado de proteção de dados e os contratos de subcontratação continuam a ser o núcleo. O que a lei acrescenta são especificidades nacionais que a documentação tem de refletir: os 13 anos, os limites do artigo 28.º, as regras de videovigilância. Plataformas de conformidade concebidas para Portugal, como a Legiscope, incorporam estas opções nacionais na documentação gerada, o que evita aplicar mecanicamente modelos internacionais que ignoram a Lei 58/2019 e as normas desaplicadas pela CNPD. As organizações com atividade também no Brasil devem ainda distinguir este regime da LGPD brasileira — ver LGPD vs RGPD: diferenças.
Perguntas frequentes
A Lei 58/2019 substitui o RGPD em Portugal?
Não. O RGPD é um regulamento de aplicação direta e continua a vigorar plenamente. A Lei 58/2019 apenas executa o RGPD, preenchendo as margens que o regulamento deixou ao legislador nacional, como a idade de consentimento ou o regime de coimas.
Qual é a idade de consentimento digital em Portugal segundo a Lei 58/2019?
13 anos, fixada no artigo 16.º. É o limite mínimo que o artigo 8.º RGPD permite. Abaixo dessa idade, é necessário o consentimento dos titulares das responsabilidades parentais para os serviços online.
O que foi a Deliberação 2019/494 da CNPD?
Uma deliberação em que a CNPD, logo após a entrada em vigor da Lei 58/2019, anunciou que desaplicaria várias normas da lei por as considerar incompatíveis com o RGPD e com o Direito da União, invocando o primado do direito europeu. É um caso singular de uma autoridade a afastar normas da própria lei nacional.
O que diz a Lei 58/2019 sobre dados de trabalhadores?
O artigo 28.º proíbe usar a videovigilância no trabalho para avaliar o desempenho e limita o tratamento de dados biométricos ao controlo de assiduidade e de acessos. É uma das normas de maior impacto para os departamentos de recursos humanos.
Conclusão
A Lei 58/2019 é a peça portuguesa do RGPD: fixa os 13 anos, regula a videovigilância e os dados de trabalhadores, define as coimas — mas fá-lo com a particularidade única de a própria CNPD ter desaplicado parte dela. Para uma empresa em Portugal, a conformidade não se faz só com o RGPD nem só com a Lei 58/2019, mas com a leitura combinada das duas, filtrada pelas normas que a autoridade decidiu não aplicar.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial