Proteção de Dados

RGPD para e-commerce: obrigações das lojas online

RGPD para e-commerce: checklist de obrigações das lojas online em Portugal — política de privacidade, cookies (Lei 41/2004), newsletters, pagamentos e subcontratantes.

Also available in:English·Français·Español·Deutsch

Uma loja online recolhe dados pessoais em cada etapa: registo de conta, carrinho, checkout, pagamento, newsletter e reviews. Para cumprir o RGPD, uma loja portuguesa precisa de cinco pilares — uma política de privacidade completa (arts. 13.º-14.º), um sistema de consentimento válido para cookies ao abrigo da Lei n.º 41/2004, consentimento para marketing eletrónico, contratos com todos os subcontratantes (gateway de pagamento, transportadora, plataforma) e um registo de tratamentos que reflita a realidade da loja. Este guia é uma checklist prática de obrigações, tratamento a tratamento, para quem gere um e-commerce.

Pontos-chave

  • Cada tratamento da loja — conta, checkout, marketing, reviews — deve constar do registo do art. 30.º.
  • Os cookies de rastreio exigem consentimento prévio (Lei 41/2004), nunca interesse legítimo.
  • A newsletter exige consentimento, com a exceção limitada dos clientes existentes.
  • O gateway de pagamento e a transportadora são subcontratantes — exigem contrato do art. 28.º.

Mapear os tratamentos de uma loja online

O primeiro passo não é escrever textos legais, mas mapear o que a loja faz com dados pessoais. Uma loja típica realiza, no mínimo, estes tratamentos, todos a inscrever no registo de atividades de tratamento:

Tratamento Base de licitude Nota
Conta de cliente Execução de contrato (art. 6.º, al. b) Perfil, morada, histórico
Processamento de encomenda Execução de contrato Dados de entrega e faturação
Pagamento Contrato + obrigação legal Gateway é subcontratante
Faturação Obrigação legal (art. 6.º, al. c) Conservação fiscal 10 anos
Newsletter Consentimento (art. 6.º, al. a) Exceção clientes existentes
Carrinhos abandonados Interesse legítimo ou consentimento Depende do canal
Reviews de produtos Consentimento / interesse legítimo Moderação e publicação
Cookies e análise Consentimento (Lei 41/2004) Prévio ao rastreio

Mapear estes tratamentos revela imediatamente onde estão as obrigações — e é a base de todo o resto.

Política de privacidade e informação aos clientes

Os artigos 13.º e 14.º exigem que a loja informe os clientes sobre quem é o responsável, que dados recolhe, para que finalidades e com que base, quem são os destinatários, se há transferências, quanto tempo conserva os dados e quais os direitos do titular, incluindo a queixa à CNPD. Um modelo de política de privacidade bem construído cobre estes elementos secção a secção. O erro mais comum em lojas portuguesas é copiar uma política inglesa de outra plataforma, deixando o responsável por identificar e as finalidades genéricas — precisamente o que a CNPD aponta.

Cookies e a Lei 41/2004

Em Portugal, os cookies e outras tecnologias de rastreio regem-se pela Lei n.º 41/2004 (transposição da Diretiva ePrivacy), conjugada com o RGPD. A regra: cookies não estritamente necessários exigem consentimento prévio, obtido antes de qualquer leitura ou escrita no dispositivo. Isto significa:

  • Nada de cookies de análise ou publicidade antes do consentimento.
  • Sem caixas pré-marcadas nem cookie walls.
  • Recusar deve ser tão fácil como aceitar.

Um modelo de política de cookies com tabela por categoria e duração, mais um banner conforme, resolve a maior parte dos casos. As Orientações 05/2020 do CEPD sobre consentimento confirmam que a inação ou o scroll não valem como aceitação.

Marketing eletrónico e newsletters

O envio de newsletters e comunicações comerciais por email exige, em regra, consentimento prévio, também ao abrigo da Lei n.º 41/2004. Existe uma exceção limitada (soft opt-in): a loja pode enviar comunicações sobre produtos ou serviços análogos aos já adquiridos por um cliente existente, desde que este tenha tido a oportunidade de recusar na recolha e em cada mensagem. Todo o email deve incluir um mecanismo de cancelamento fácil. A validade do consentimento segue as regras gerais explicadas no guia de consentimento RGPD com exemplos.

Subcontratantes: pagamentos, entregas e plataforma

Uma loja online delega vários tratamentos a terceiros. Cada um destes é subcontratante e exige um contrato de subcontratação nos termos do artigo 28.º:

  • Gateway de pagamento (processa dados de pagamento).
  • Transportadora (recebe dados de entrega).
  • Plataforma de e-commerce e alojamento (aloja toda a base).
  • Ferramentas de email marketing e análise.

Verifique onde cada um aloja os dados. Se algum estiver fora da UE, aplicam-se as regras das transferências internacionais, com cláusulas contratuais-tipo ou decisão de adequação. Manter este inventário de subcontratantes e contratos atualizado é trabalhoso à mão — plataformas como a Legiscope mantêm o registo, os contratos e o mapa de transferências ligados entre si, o que também facilita depois a avaliação do custo de um software RGPD.

Segurança e dados de pagamento

A loja não deve armazenar dados de cartão em texto claro; o processamento de pagamentos deve passar por um prestador conforme com as normas do setor (PCI DSS). O artigo 32.º exige medidas técnicas e organizativas adequadas: cifragem, controlo de acessos, atualizações de segurança e cópias de segurança. Em caso de acesso indevido a dados de clientes, aplica-se a obrigação de notificação de violação em 72 horas.

Direitos dos clientes: o que a loja tem de conseguir fazer

Uma loja online recebe, mais cedo ou mais tarde, pedidos de exercício de direitos dos clientes. Estar preparada para os satisfazer no prazo de um mês (art. 12.º, n.º 3) é parte da conformidade, e um sistema mal desenhado torna estes pedidos num pesadelo operacional. Na prática, a loja deve conseguir:

  • Aceder e exportar todos os dados de um cliente (direito de acesso, art. 15.º).
  • Corrigir dados inexatos de conta ou faturação (art. 16.º).
  • Apagar a conta e os dados associados, respeitando os prazos fiscais que prevalecem (art. 17.º).
  • Suspender o marketing de imediato quando o cliente se opõe (art. 21.º, n.º 3).

Estas funções devem estar previstas desde a conceção da plataforma. Uma loja que só consegue exportar dados manualmente, procurando em vários sistemas, arrisca falhar o prazo legal — e o incumprimento reiterado de pedidos de direitos é uma das fontes mais comuns de queixa. Desenhar a arquitetura de dados de modo a responder a estes pedidos com poucos cliques é, também ele, uma aplicação da proteção de dados desde a conceção.

Perguntas frequentes

Uma loja online precisa de banner de cookies?

Se usar cookies não estritamente necessários (análise, publicidade, redes sociais), sim. A Lei n.º 41/2004 exige consentimento prévio, obtido antes de qualquer rastreio, sem caixas pré-marcadas e com recusa tão fácil como a aceitação.

Posso enviar newsletters a quem comprou na loja?

Pode, dentro da exceção do soft opt-in: comunicações sobre produtos análogos aos já adquiridos, se o cliente teve oportunidade de recusar na recolha e pode cancelar em cada mensagem. Para prospeção a não clientes, é necessário consentimento prévio.

O gateway de pagamento é responsável ou subcontratante?

Depende do modelo, mas em regra trata os dados por conta da loja e é subcontratante, exigindo contrato do artigo 28.º. Alguns processadores atuam como responsáveis autónomos para certas finalidades — verifique o que o contrato diz.

Quanto tempo posso guardar os dados de encomendas?

Os dados de faturação seguem o prazo fiscal (tipicamente 10 anos); os dados de conta enquanto a relação existir; as candidaturas de marketing enquanto o consentimento for válido. Defina cada prazo com a sua fonte legal na política de conservação.

Conclusão

Cumprir o RGPD num e-commerce não começa nos textos legais, mas no mapa dos tratamentos: conta, checkout, pagamento, faturação, marketing, reviews e cookies. A partir desse mapa, cada obrigação encaixa — política de privacidade completa, consentimento prévio para cookies e newsletters ao abrigo da Lei n.º 41/2004, contratos com todos os subcontratantes e prazos de conservação com fonte legal. Uma loja que mantém este mapa atualizado responde a qualquer pedido da CNPD sem sobressaltos; uma loja que copiou textos de outra plataforma está a um clique de uma queixa.

Outros guias setoriais de RGPD: RGPD para imobiliárias, RGPD na hotelaria e turismo e RGPD para contabilistas.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →