Proteção de Dados

RGPD nos municípios e setor público: guia 2026

RGPD nos municípios e setor público: EPD obrigatório, bases de licitude, videovigilância e o regime de coimas da Lei 58/2019 para entidades públicas.

Also available in:Français·Deutsch

Um município português que trate dados pessoais — e todos tratam, desde o recenseamento eleitoral às taxas, à ação social e à videovigilância urbana — está sujeito ao RGPD e à Lei n.º 58/2019, com três obrigações estruturantes: designar um encarregado de proteção de dados (obrigatório para qualquer autoridade pública, artigo 37.º, n.º 1, alínea a)), fundamentar cada tratamento numa base de licitude adequada às funções públicas, e manter o registo de atividades de tratamento atualizado. O RGPD aplica-se ao setor público de forma tão exigente como ao privado — e a coima de 1,25 milhões de euros aplicada pela CNPD ao Município de Lisboa em 2021 prova-o.

Este guia percorre as obrigações concretas de câmaras municipais, juntas de freguesia e entidades públicas, o regime de coimas específico da Lei 58/2019 e os erros que a CNPD mais fiscaliza.

Pontos essenciais

  • O EPD é sempre obrigatório para autoridades e organismos públicos (artigo 37.º, n.º 1, alínea a) RGPD), independentemente do volume de dados.
  • A base de licitude típica do setor público é o exercício de funções de interesse público (artigo 6.º, n.º 1, alínea e)), não o consentimento.
  • A videovigilância urbana tem regras próprias no artigo 19.º da Lei 58/2019 e exige avaliação de impacto.
  • As entidades públicas não estão isentas de coimas: o artigo 44.º da Lei 58/2019 previu um regime específico, mas a CNPD e os tribunais têm aplicado sanções pesadas.

Porque é que o setor público é um alvo prioritário de fiscalização

O caso «Russiagate» é o marco. Em 2021, a Comissão Nacional de Proteção de Dados aplicou ao Município de Lisboa uma coima de 1,25 milhões de euros por ter partilhado dados pessoais de promotores de manifestações — incluindo de opositores a regimes estrangeiros — com embaixadas de países terceiros. Em 2024, o Tribunal Administrativo de Círculo de Lisboa confirmou a ilicitude, fixando a coima em 1.027.500 euros. É a maior sanção alguma vez aplicada a uma entidade pública portuguesa em matéria de proteção de dados.

A lição para qualquer autarquia: a divulgação de dados a terceiros sem base legal é a falha mais cara. O tratamento de dados de manifestantes, requerentes de apoios sociais ou munícipes identificáveis exige uma base de licitude explícita e limites claros de comunicação.

As bases de licitude no exercício de funções públicas

O erro mais comum das autarquias é pedir consentimento quando exercem poderes de autoridade. Se o município recolhe dados para liquidar o IMI, instruir um processo de licenciamento ou atribuir um subsídio, a base não é o consentimento — é a obrigação legal (artigo 6.º, n.º 1, alínea c)) ou o exercício de funções de interesse público (alínea e)). Pedir consentimento nestes casos é juridicamente inválido, porque o munícipe não pode recusar sem perder o serviço.

Tratamento municipal Base de licitude correta Fonte
Liquidação de taxas e impostos Obrigação legal (art. 6.º, n.º 1, c)) Lei das Finanças Locais
Ação social e atribuição de apoios Interesse público (art. 6.º, n.º 1, e)) Competências legais da autarquia
Newsletter municipal facultativa Consentimento (art. 6.º, n.º 1, a)) RGPD
Videovigilância urbana Interesse público + art. 19.º Lei 58/2019 Autorização legal específica
Recenseamento eleitoral Obrigação legal Lei do recenseamento

A escolha correta da base deve ficar documentada no registo de atividades de tratamento, que é o primeiro documento que a CNPD pede numa fiscalização. Para aprofundar a escolha, veja o guia sobre a licitude do tratamento e as seis bases legais.

Videovigilância urbana: o regime do artigo 19.º

A videovigilância em espaços públicos é uma das áreas mais sensíveis para as autarquias. O artigo 19.º da Lei 58/2019 sujeita a instalação de câmaras em espaços públicos a regras específicas, e a jurisprudência exige uma avaliação de impacto sobre a proteção de dados (artigo 35.º RGPD) antes da instalação de sistemas de vigilância sistemática de zonas acessíveis ao público.

Antes de instalar câmaras, o município deve realizar uma avaliação de impacto de proteção de dados (AIPD), definir prazos de conservação das imagens proporcionais à finalidade, sinalizar a captação e limitar os acessos. A gravação sistemática sem base legal e sem prazos definidos é uma das falhas mais recorrentes.

O encarregado de proteção de dados é obrigatório

Ao contrário do setor privado, onde o EPD só é exigido em certos casos, qualquer autoridade ou organismo público tem de designar um encarregado (artigo 37.º, n.º 1, alínea a) RGPD). Vários municípios pequenos podem designar um único EPD partilhado (artigo 37.º, n.º 3), solução que a CNPD admite para juntas de freguesia e pequenas entidades. O encarregado tem de ter independência, reportar à direção e ser o ponto de contacto da CNPD.

Se ainda não designou um, comece pelo nosso guia sobre o encarregado de proteção de dados (EPD) e as suas funções.

O regime de coimas para entidades públicas

O artigo 44.º da Lei 58/2019 estabeleceu um regime diferenciado: previu que as coimas às entidades públicas pudessem ser objeto de dispensa nos três anos seguintes à entrada em vigor da lei. Esse período transitório terminou, e a CNPD tem hoje competência plena para sancionar entidades públicas. Importa sublinhar que na Deliberação 2019/494, a própria CNPD declarou que desaplicaria várias normas da Lei 58/2019 por incompatibilidade com o RGPD — um sinal de que os limites nacionais às coimas não são absolutos.

Para dimensionar o risco financeiro e perceber como a CNPD gradua as sanções, veja a nossa análise das coimas RGPD em Portugal.

Como estruturar a conformidade numa autarquia

O caminho prático para um município é sequencial: primeiro designar o EPD; segundo levantar todos os tratamentos e inscrevê-los no registo do artigo 30.º; terceiro validar a base de licitude de cada um; quarto realizar AIPD nos tratamentos de risco elevado (videovigilância, ação social, dados de saúde); quinto rever os contratos com fornecedores de software e cloud à luz do artigo 28.º.

Manter esta documentação viva à mão, numa autarquia com dezenas de serviços, é moroso. Plataformas de conformidade como a Legiscope geram e atualizam o registo de tratamentos e auditam os contratos de subcontratação de forma automática, o que reduz a carga sobre os serviços jurídicos municipais. A automatização não substitui o EPD — fornece-lhe a documentação que a CNPD exige.

Perguntas frequentes

Um município tem sempre de designar um encarregado de proteção de dados?

Sim. O artigo 37.º, n.º 1, alínea a) do RGPD torna a designação obrigatória para qualquer autoridade ou organismo público, sem exceções de dimensão. Municípios pequenos e juntas de freguesia podem partilhar um único EPD (artigo 37.º, n.º 3).

Qual é a base de licitude para o município tratar dados dos munícipes?

Na maioria dos casos é a obrigação legal (artigo 6.º, n.º 1, alínea c)) ou o exercício de funções de interesse público (alínea e)), nunca o consentimento. O consentimento só se aplica a serviços facultativos, como uma newsletter, em que o munícipe pode recusar sem consequências.

As entidades públicas podem ser multadas pela CNPD?

Sim. O regime transitório do artigo 44.º da Lei 58/2019 já terminou e a CNPD sanciona entidades públicas. O caso do Município de Lisboa, com coima confirmada em tribunal em mais de um milhão de euros, demonstra que a fiscalização do setor público é real e severa.

É preciso avaliação de impacto para a videovigilância urbana?

Sim. A videovigilância sistemática de espaços públicos é um tratamento de risco elevado que exige uma AIPD nos termos do artigo 35.º RGPD, além de respeitar as regras específicas do artigo 19.º da Lei 58/2019.

Conclusão

O setor público português não beneficia de qualquer indulgência face ao RGPD: o EPD é obrigatório, as bases de licitude têm de refletir o exercício de funções públicas e não o consentimento, a videovigilância exige AIPD, e as coimas aplicam-se — como o Município de Lisboa aprendeu. Comece pelo registo de tratamentos e pela designação do encarregado, e trate a documentação como um sistema vivo, e não como um dossiê arquivado.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →