Lançar um site em Portugal sem cumprir os requisitos legais pode resultar em coimas até 20 milhões de euros ou 4% do volume de negócios anual, no caso do RGPD (CNPD — Comissão Nacional de Proteção de Dados, 2024). Mas a realidade para PMEs é menos dramática: a maioria das infracções são corrigíveis, e cumprir a lei é mais simples do que parece. Este guia não é aconselhamento jurídico — é um mapa prático para não cometer os erros mais comuns.
Destaques
- A CNPD pode aplicar coimas até 20M€ ou 4% do volume de negócios por violações graves do RGPD
- Todo o site comercial em Portugal tem de exibir NIF, sede social e contacto — exigência da LRE (DL 7/2004)
- Cookies de analytics e marketing requerem consentimento activo do utilizador (opt-in, não opt-out)
- O livro de reclamações electrónico é obrigatório para empresas com actividade económica que vendam a consumidores
- O incumprimento da LRE pode resultar em coimas até 30.000€
[INTERNAL-LINK: criação de sites legalmente completos → artigo “Quanto Custa um Site em Portugal”]
O que é a LRE e o que obriga o teu site a ter?
A LRE (Lei do Comércio Eletrónico), consagrada no Decreto-Lei 7/2004 de 7 de Janeiro, define as obrigações de informação para qualquer prestador de serviços da sociedade da informação estabelecido em Portugal. Segundo a ANACOM, qualquer empresa ou profissional liberal com presença comercial online está sujeito a estas regras (ANACOM, 2024). Isto inclui sites de serviços, lojas online, e landing pages com formulário de contacto.
Informações obrigatórias em todo o site comercial
A LRE exige que as seguintes informações estejam acessíveis de forma permanente e directa. A prática mais comum é colocá-las no rodapé e numa página dedicada (frequentemente chamada “Informações Legais” ou “Sobre”):
Identificação do prestador de serviços:
- Nome completo da empresa ou nome e apelido do titular (em caso de empresário em nome individual)
- Número de Identificação Fiscal (NIF)
- Morada da sede social ou domicílio profissional
- Endereço de email de contacto (email, não apenas formulário)
- Número de telefone (recomendado, não sempre obrigatório)
- Número de registo comercial (para sociedades)
- Ordem profissional e número de cédula (para profissões regulamentadas: médicos, advogados, arquitectos, etc.)
Informações comerciais:
- Preços com IVA incluído (obrigatório quando há transacção comercial)
- Referência ao regime de IVA aplicável
- Condições gerais de venda ou de utilização do serviço
Identificação na comunicação electrónica:
- Qualquer comunicação comercial não solicitada (email marketing) tem de ser identificável como tal
- O remetente tem de ser identificado claramente
[UNIQUE INSIGHT] Um erro muito frequente em sites de PMEs portuguesas: têm NIF no rodapé mas em formato incompleto (sem indicar “NIF:”), ou apenas o número de contribuinte sem identificar a empresa. A LRE exige identificação clara — o NIF isolado sem nome da entidade não cumpre o requisito.
Comunicações comerciais e spam
A LRE proíbe o envio de comunicações comerciais não solicitadas sem que o destinatário as tenha expressamente pedido. Em Portugal, o regime do “opt-in” é obrigatório para email marketing desde 2004 — não podes enviar newsletters a pessoas que não deram consentimento explícito.
Isto articula-se directamente com o RGPD, que detalharemos na secção seguinte.
O que o RGPD exige ao teu site?
O RGPD (Regulamento Geral sobre a Proteção de Dados), em vigor desde Maio de 2018, aplica-se a qualquer organização que trate dados de cidadãos europeus. Em Portugal, a autoridade de supervisão é a CNPD. Segundo os dados da CNPD, em 2023 foram registadas 1.247 queixas e aplicadas coimas a empresas de todas as dimensões, incluindo PMEs (CNPD Relatório Anual 2023, 2023).
O que são “dados pessoais” no contexto de um site?
Qualquer informação que permita identificar uma pessoa singular é dado pessoal:
- Nome e apelido
- Endereço de email
- Número de telefone
- Endereço IP (sim, este também)
- Cookies de identificação individual
- Dados de formulários de contacto
Quando o teu site recolhe qualquer um destes dados, o RGPD aplica-se.
Política de privacidade: o que tem de incluir?
A política de privacidade não pode ser texto copiado da internet. Tem de ser específica ao teu site e descrever:
- Quem trata os dados — nome, NIF, e contacto do responsável pelo tratamento
- Que dados são recolhidos — lista específica (email de formulário, IP via Analytics, etc.)
- Para que fins — cada dado deve ter um fim declarado (ex: “email para responder ao pedido de orçamento”)
- Base legal — consentimento, contrato, interesse legítimo, ou obrigação legal
- Período de conservação — quanto tempo guardas os dados
- Com quem partilhas — ferramentas de terceiros (Google Analytics, Facebook Pixel, Mailchimp, etc.)
- Direitos do titular — acesso, rectificação, apagamento, portabilidade, oposição
- Como exercer os direitos — email de contacto para pedidos RGPD
- Direito de reclamação — informação de que o utilizador pode reclamar à CNPD
Formulários de contacto e RGPD
Cada formulário no site que recolha dados pessoais precisa de:
- Checkbox de consentimento não pré-seleccionada (opt-in activo)
- Link para a política de privacidade junto ao checkbox
- Texto que explique para que serve o consentimento (“Aceito que os meus dados sejam tratados para responder ao meu pedido de orçamento”)
Guardar o formulário submetido durante um prazo razoável (geralmente 12-24 meses) é boa prática para demonstrar cumprimento do RGPD em caso de inspecção.
Google Analytics, Facebook Pixel e ferramentas de terceiros
Instalar Google Analytics 4 ou o Facebook Pixel no site implica transferir dados dos utilizadores para servidores da Google e da Meta. Estas transferências requerem:
- Divulgação na política de privacidade (com link para as políticas de privacidade da Google e da Meta)
- Consentimento via banner de cookies antes de carregar as ferramentas (ver secção seguinte)
- Configuração de anonimização de IP no GA4 (activada por defeito no GA4, mas deve ser verificada)
[CHART: Fluxo de dados de um utilizador em site típico — browser → servidor do site → GA4 → Facebook Pixel → Mailchimp — fonte: CNIL/CNPD guidelines]
Cookies: que tipos existem e quando precisas de consentimento?
Os cookies são regulados pela Directiva ePrivacy (transposta em Portugal pelo artigo 13.º-A da Lei 41/2004, alterada pelo DL 46/2012). O princípio base é simples: cookies não essenciais requerem consentimento prévio e informado do utilizador, antes de serem colocados.
Tipos de cookies por categoria
| Categoria | Exemplos | Consentimento necessário? |
|---|---|---|
| Estritamente necessários | Sessão de login, carrinho de compras, preferências de cookie | Não — são obrigatórios para o site funcionar |
| Funcionais / preferências | Idioma escolhido, região, modo escuro | Geralmente não — mas depende do âmbito |
| Analytics / estatísticas | Google Analytics, Matomo, Hotjar | Sim — requerem opt-in activo |
| Marketing / publicidade | Facebook Pixel, Google Ads, LinkedIn Insight Tag | Sim — requerem opt-in activo |
| Redes sociais | Botões de partilha, widgets do Instagram | Sim — se criarem cookies de terceiros |
O que tem de ter um banner de cookies legal?
O banner de cookies legal em Portugal tem de cumprir estes requisitos:
- Aparecer antes de qualquer cookie não essencial ser colocado
- Ter botões equivalentes para aceitar e recusar (não podes esconder o “Recusar” nem torná-lo menos visível)
- Não ter consentimento pré-seleccionado (caixas pré-marcadas são ilegais)
- Permitir granularidade — o utilizador deve poder aceitar analytics mas recusar marketing
- Ser reversível — o utilizador deve poder mudar as preferências depois
- Registar o consentimento — guardar prova de que o utilizador aceitou (data, versão da política)
O que não é legal:
- Banner que apenas tem botão “Aceitar”
- Continuar a navegar = consentimento implícito
- Botão “Recusar” que leva a uma página diferente
- Texto enganoso (“Se não aceitar não podemos garantir a melhor experiência” como condição)
[PERSONAL EXPERIENCE] Em auditorias a sites de PMEs portuguesas, encontramos frequentemente banners de cookies com apenas um botão “Aceitar tudo” e sem opção de recusa fácil. Este é o incumprimento mais comum e um dos que a CNPD tem penalizado com mais regularidade.
Ferramentas para gestão de cookies em conformidade
- CookieYes ou Cookiebot: soluções externas que gerem o banner, registam consentimentos, e detectam automaticamente os cookies. A partir de 0-10€/mês para sites pequenos.
- Implementação manual: possível para sites simples, mas requer conhecimento técnico para bloquear scripts até consentimento.
- Solução integrada: sites desenvolvidos na fassst.pt incluem configuração de cookies conforme o RGPD.
Livro de reclamações electrónico: quem precisa e como funciona?
O livro de reclamações electrónico é obrigatório para todas as entidades que forneçam bens ou serviços a consumidores em Portugal, com ou sem estabelecimento físico. A base legal é o DL 74/2017 e a Portaria 201-A/2010 (alterada). A entidade responsável pelo sistema é o CNIACC — Centro Nacional de Informação e Arbitragem do Conflito de Consumo.
Quem precisa?
- Lojas online com clientes consumidores (B2C)
- Empresas de serviços que vendam a particulares
- Restaurantes, clínicas, ginásios com presença online
- Qualquer empresa com CAE de actividade comercial ou de serviços ao consumidor
Não precisam (geralmente):
- Sites puramente informativos sem transacção comercial
- Empresas B2B que apenas vendam a outras empresas (com CAE adequado)
- Freelancers sem actividade comercial registada
Como implementar?
- Registar no portal do Livro de Reclamações Electrónico (www.livroreclamacoes.pt)
- Obter o logótipo oficial
- Colocar o logótipo/link bem visível no site — geralmente no rodapé e na página de contactos
- Monitorizar as reclamações recebidas e responder nos prazos legais (15 dias úteis)
O logótipo tem de ser clicável e levar directamente ao formulário de reclamação electrónico. Uma imagem estática sem link não cumpre o requisito.
Acessibilidade digital: obrigações em Portugal
O DL 83/2018 transpôs a Directiva Europeia de Acessibilidade Web para o ordenamento jurídico português. Este diploma aplica-se directamente a organismos públicos — municípios, ministérios, institutos públicos, hospitais do SNS, universidades públicas, etc.
Para empresas privadas, o DL 83/2018 não é directamente obrigatório. No entanto, há dois ângulos a considerar:
1. Responsabilidade civil: Um site inacessível a pessoas com deficiência pode ser considerado discriminatório ao abrigo da Lei 46/2006 (anti-discriminação por deficiência). Este risco existe para empresas que sirvam o público em geral.
2. Directiva de Acessibilidade para Produtos e Serviços (Directiva UE 2019/882): Esta directiva, transposta em Portugal pelo DL 82/2022, aplica-se progressivamente ao sector privado para determinadas categorias de produtos e serviços. Sites de comércio electrónico estão no âmbito e a conformidade passou a ser obrigatória a partir de Junho de 2025.
O que é a conformidade WCAG?
As WCAG (Web Content Accessibility Guidelines) são o padrão técnico internacional. O nível AA é o mínimo recomendado e o exigido pela legislação portuguesa para o sector público.
Principais requisitos WCAG 2.1 AA relevantes para PMEs:
- Contraste de texto mínimo de 4.5:1 (verificável com ferramentas como o WebAIM Contrast Checker)
- Alternativas textuais para imagens (atributo alt descritivo)
- Navegação possível apenas com teclado
- Formulários com etiquetas visíveis (não apenas placeholder)
- Vídeos com legendas
[INTERNAL-LINK: desenvolvimento web acessível → artigo sobre boas práticas de desenvolvimento web]
Outros requisitos legais a ter em conta
Termos e condições de venda (lojas online)
Para lojas online com clientes consumidores, os T&Cs têm de incluir:
- Identidade e contacto do vendedor
- Características dos produtos/serviços
- Preço total com IVA e custos de entrega
- Modalidades de pagamento
- Direito de arrependimento: 14 dias a contar da recepção do bem (DL 24/2014)
- Prazo e condições de devolução
- Garantia legal de conformidade (mínimo 2 anos para bens novos)
Facturação electrónica
Desde 2022, todas as empresas em Portugal são obrigadas a emitir facturas electrónicas para clientes do sector público. Para transacções B2C, a factura em formato digital (PDF enviado por email) é aceitável desde que cumpra os requisitos AT (nome, NIF, data, descrição, valor e IVA).
Obrigações específicas por sector
Alguns sectores têm requisitos adicionais:
- Farmácias e saúde: regulamentação INFARMED para venda online de medicamentos
- Serviços financeiros: supervisão do Banco de Portugal ou CMVM
- Viagens e turismo: obrigações do Turismo de Portugal e IATA
- Advogados: regras da Ordem dos Advogados sobre publicidade e honorários online
Checklist de conformidade legal para sites portugueses
Antes de lançar qualquer site em Portugal, verifica estes 15 pontos:
| # | Item | Obrigação legal | Onde aplicar |
|---|---|---|---|
| 1 | NIF visível | LRE (DL 7/2004) | Rodapé + página legal |
| 2 | Nome/empresa visível | LRE | Rodapé + página legal |
| 3 | Morada da sede | LRE | Rodapé + página legal |
| 4 | Email de contacto | LRE | Rodapé + contactos |
| 5 | Preços com IVA incluído | LRE + DL 24/2014 | Páginas de produto/serviço |
| 6 | Política de privacidade completa | RGPD | Página dedicada + link no rodapé |
| 7 | Banner de cookies com opt-in/recusa | ePrivacy + RGPD | Aparecer antes de cookies não essenciais |
| 8 | Checkbox de consentimento nos formulários | RGPD | Todos os formulários com dados pessoais |
| 9 | Link para política de privacidade nos formulários | RGPD | Junto ao checkbox |
| 10 | Livro de reclamações electrónico | DL 74/2017 | Rodapé (se B2C) |
| 11 | Termos e condições de venda | DL 24/2014 | Página dedicada (lojas online) |
| 12 | Política de devoluções (14 dias) | DL 24/2014 | Página dedicada + checkout (lojas online) |
| 13 | Certificado SSL activo (HTTPS) | Boa prática + RGPD | Servidor/alojamento |
| 14 | Google Analytics com anonimização de IP | RGPD | Configuração GA4 |
| 15 | Registo de actividade de tratamento | RGPD (art.30) | Documento interno |
Perguntas frequentes sobre obrigações legais de sites em Portugal
Preciso de registar o meu site na CNPD?
Não. O RGPD eliminou a obrigação de notificação prévia à CNPD que existia na lei anterior (Lei 67/98). O que é obrigatório é manter internamente um Registo das Actividades de Tratamento (RAT), documento que lista que dados tratas, para que fins, com que base legal, e durante quanto tempo.
O meu site é apenas informativo — ainda preciso de política de privacidade?
Depende. Se o site tem Google Analytics instalado (que recolhe IPs e dados de comportamento), a política de privacidade é obrigatória. Se o site é realmente estático, sem analytics, sem formulários, e sem cookies de terceiros, a obrigação é menor — mas a política é sempre recomendada.
Posso usar um template de política de privacidade?
Com cuidado. Templates genéricos frequentemente mencionam ferramentas que não usas (e omitem as que usas), têm durações de conservação de dados irrealistas, e não identificam correctamente o responsável pelo tratamento. Um template é um ponto de partida, não um documento final.
O que acontece se a CNPD detectar incumprimento?
O processo típico começa com uma queixa de um utilizador ou uma inspecção. A CNPD notifica a empresa, que tem oportunidade de se defender e corrigir. Para PMEs com boa-fé e incumprimentos técnicos (não intencionais), a CNPD tende a dar prazo para regularização antes de aplicar coimas. As coimas mais elevadas (próximas do máximo) aplicam-se a violações graves como fuga de dados em massa ou tratamento deliberadamente ilegal.
Sou freelancer em nome individual — estas regras aplicam-se a mim?
Sim. A LRE aplica-se a qualquer “prestador de serviços da sociedade da informação”, independentemente de ser empresa ou pessoa singular. O teu NIF pessoal, nome, e morada profissional têm de estar no site. O RGPD aplica-se desde que trates dados de terceiros (o que acontece assim que tens um formulário de contacto).
Conclusão: conformidade legal é protecção, não burocracia
Cumprir a lei não é apenas evitar coimas. É construir confiança com os teus clientes. Um site com política de privacidade clara, banner de cookies transparente, e informações legais visíveis transmite profissionalismo e seriedade — especialmente num mercado onde os consumidores estão cada vez mais atentos à forma como as suas informações são usadas.
A boa notícia é que, para a maioria das PMEs, cumprir estes requisitos não exige um advogado especializado nem meses de trabalho. Exige atenção aos detalhes e um site bem construído desde o início.
[INTERNAL-LINK: criar um site legal e profissional → página de criação de sites fassst.pt]