Uma política de privacidade conforme com o RGPD tem de conter todos os elementos de informação dos artigos 13.º e 14.º: a identidade e contactos do responsável pelo tratamento, as finalidades e as bases de licitude, os destinatários dos dados, as transferências internacionais, os prazos de conservação, os direitos dos titulares e o direito de reclamar junto da CNPD. Não é um texto decorativo no rodapé — é uma obrigação legal cujo incumprimento a CNPD sanciona, e a falha mais comum em Portugal é publicar uma política traduzida do inglês onde nem sequer se identifica o responsável português.
Este guia dá-lhe um modelo secção a secção, com blocos de texto prontos a adaptar, e assinala os erros que mais desqualificam uma política de privacidade numa fiscalização.
Pontos essenciais
- Os artigos 13.º e 14.º RGPD listam a informação obrigatória — uma política incompleta é uma violação, mesmo que exista.
- A base de licitude tem de constar para cada finalidade, não em abstrato.
- A política tem de identificar o responsável português concreto, com nome, morada e contacto de EPD quando exista.
- Tem de referir o direito de reclamar à CNPD (artigo 77.º RGPD).
Estrutura obrigatória de uma política de privacidade
O RGPD distingue a informação a prestar quando os dados são recolhidos junto do titular (artigo 13.º) da informação devida quando são obtidos indiretamente, junto de terceiros (artigo 14.º). Uma política de site cobre normalmente ambos os casos, porque a maioria das organizações recolhe dados diretamente dos utilizadores mas também os obtém de parceiros, plataformas e fontes públicas. Estas são as secções que não podem faltar em nenhuma política conforme:
| Secção | Base no RGPD | O que incluir |
|---|---|---|
| Responsável pelo tratamento | Art. 13.º, n.º 1, a) | Nome, morada, NIPC, contacto |
| Encarregado (EPD) | Art. 13.º, n.º 1, b) | Contacto do EPD, se designado |
| Finalidades e bases | Art. 13.º, n.º 1, c) | Cada finalidade com a sua base de licitude |
| Destinatários | Art. 13.º, n.º 1, e) | Categorias de subcontratantes e terceiros |
| Transferências | Art. 13.º, n.º 1, f) | Países terceiros e garantias |
| Prazos de conservação | Art. 13.º, n.º 2, a) | Prazo ou critério por finalidade |
| Direitos dos titulares | Art. 13.º, n.º 2, b) | Acesso, retificação, apagamento, etc. |
| Reclamação | Art. 13.º, n.º 2, d) | Direito de reclamar à CNPD |
Modelo de política de privacidade, secção a secção
1. Identificação do responsável
«O responsável pelo tratamento dos seus dados pessoais é [Nome da empresa], com sede em [morada], NIPC [número], contactável através de [email]. O encarregado de proteção de dados pode ser contactado em [email do EPD].»
O erro mais frequente que a CNPD aponta é a ausência de um responsável português identificável — políticas copiadas de modelos internacionais que mencionam uma empresa estrangeira ou nenhuma. Se a sua empresa é a responsável, tem de estar lá o seu nome.
2. Finalidades e bases de licitude
Cada finalidade precisa da sua base. Não basta escrever «tratamos os seus dados para lhe prestar serviços».
«Tratamos os seus dados para: (a) gerir a sua conta de cliente — base: execução de contrato (art. 6.º, n.º 1, b)); (b) enviar comunicações de marketing — base: consentimento (art. 6.º, n.º 1, a)); © cumprir obrigações fiscais — base: obrigação legal (art. 6.º, n.º 1, c)).»
Para escolher corretamente cada base, veja o guia sobre a licitude do tratamento e, quando invocar o interesse legítimo, documente o teste de ponderação.
3. Destinatários e subcontratantes
Identifique as categorias de destinatários: alojamento, gateways de pagamento, transportadoras, ferramentas de email marketing. Cada um deve estar coberto por um contrato de subcontratação nos termos do artigo 28.º.
4. Transferências internacionais
Se usa fornecedores fora da UE (por exemplo, ferramentas de análise ou cloud norte-americanas), tem de o dizer e indicar a garantia — decisão de adequação ou cláusulas contratuais-tipo. Consulte o nosso guia sobre transferências internacionais de dados.
5. Prazos de conservação
Indique um prazo ou um critério por finalidade. «Conservamos os dados de faturação durante 10 anos por obrigação fiscal; os dados de marketing até à retirada do consentimento.» A tabela completa está no guia de prazos de conservação de dados.
6. Direitos dos titulares
Liste os direitos e como exercê-los: acesso, retificação, apagamento, limitação, oposição, portabilidade. Ligue ao canal concreto (email, formulário). Refira o direito de acesso aos dados pessoais e o direito ao apagamento.
7. Direito de reclamação à CNPD
«Sem prejuízo de qualquer outra via, tem o direito de apresentar reclamação à Comissão Nacional de Proteção de Dados (www.cnpd.pt), a autoridade de controlo competente em Portugal.»
Os erros que desqualificam uma política de privacidade
Numa fiscalização, a CNPD verifica a substância, não só a existência do documento. Os erros mais penalizados são: responsável não identificado ou estrangeiro; finalidades genéricas sem base de licitude; ausência de prazos de conservação; falta de menção aos direitos e à CNPD; e remissão para uma política de cookies inexistente. Uma política que exista mas esteja incompleta é tratada como incumprimento do dever de informação.
A política de privacidade não vive sozinha: deve articular-se com o modelo de política de cookies e com os exemplos de consentimento válido para os tratamentos baseados em consentimento.
Como manter a política atualizada
O maior risco não é redigir a política, é mantê-la a par da realidade. Cada novo fornecedor, cada nova finalidade, cada nova ferramenta de análise altera o conteúdo obrigatório. A forma mais fiável é derivar a política do registo de atividades de tratamento: se o registo estiver atualizado, a política pode ser gerada a partir dele. Plataformas como a Legiscope mantêm o registo vivo e sinalizam quando um novo tratamento exige atualizar a informação prestada — evitando o cenário clássico de uma política que descreve a empresa como era há três anos.
Perguntas frequentes
É obrigatório ter uma política de privacidade no site?
Sim, sempre que o site recolha dados pessoais — o que inclui formulários de contacto, contas de utilizador, cookies analíticos ou newsletters. Os artigos 13.º e 14.º RGPD impõem o dever de informar os titulares, e a política é a forma prática de o cumprir.
Posso copiar a política de privacidade de outra empresa?
Não sem a adaptar por completo. A base de licitude, as finalidades, os subcontratantes e os prazos são específicos de cada organização. Copiar uma política estrangeira sem identificar o responsável português é precisamente o erro que a CNPD mais assinala.
A política de privacidade tem de estar em português?
Se dirige a sua atividade ao mercado português, a informação tem de ser inteligível para o titular médio, o que na prática exige o português. Uma política apenas em inglês para clientes portugueses é considerada informação inadequada.
Com que frequência devo atualizar a política de privacidade?
Sempre que mude um elemento material: novo tratamento, novo subcontratante, nova finalidade, nova transferência internacional. Na prática, uma revisão pelo menos anual, ancorada no registo de atividades de tratamento, é a boa prática.
Conclusão
Uma política de privacidade conforme não é um texto genérico — é o espelho fiel dos tratamentos reais da sua organização, com o responsável identificado, cada finalidade ligada à sua base de licitude, os prazos definidos e os direitos explicados. Construa-a a partir do registo de tratamentos, mantenha-a alinhada com a política de cookies e reveja-a sempre que a realidade mudar. Uma política incompleta é pior do que nenhuma, porque documenta o próprio incumprimento.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial