O RGPD entrou em vigor em 2018, mas a maioria dos sites portugueses ainda tem problemas de compliance. A Comissão Nacional de Protecção de Dados (CNPD) aplicou mais de 2,5 milhões de euros em coimas a entidades portuguesas entre 2018 e 2023 (CNPD — Relatório de Actividades, 2023). Para um site de pequena empresa, os riscos são reais — e a maioria dos problemas é fácil de corrigir com o processo certo.
Destaques
- A CNPD aplicou 2,5 milhões de euros em coimas entre 2018 e 2023 em Portugal
- Cookie banner sem opção de rejeição é o erro mais comum — e é ilegal
- Google Analytics sem Consent Mode v2 não cumpre o RGPD desde Março de 2024
- Política de privacidade copiada da internet não serve — tem de ser específica ao teu negócio
[INTERNAL-LINK: criar loja online → artigo “Como Criar uma Loja Online em Portugal: Guia Completo 2025”]
O que é o RGPD e a quem se aplica em Portugal?
O Regulamento Geral sobre a Protecção de Dados (RGPD) aplica-se a qualquer entidade que recolha ou trate dados pessoais de pessoas na União Europeia — independentemente da dimensão ou localização da empresa. Um site que tem um formulário de contacto, que usa Google Analytics, ou que tem cookies de redes sociais está a recolher dados pessoais e cai no âmbito do RGPD.
Em Portugal, a autoridade de supervisão é a CNPD (Comissão Nacional de Protecção de Dados). É a CNPD que recebe queixas, investiga e aplica coimas. As coimas máximas previstas são de 20 milhões de euros ou 4% do volume de negócios global — mas para PME, as coimas reais situam-se tipicamente entre 1.000€ e 50.000€.
O que deve ter o cookie banner do teu site?
O cookie banner é o elemento mais visível de RGPD para os visitantes — e o que gera mais erros. A CNPD tem directrizes claras: o utilizador deve ter a capacidade real de rejeitar cookies não essenciais com a mesma facilidade com que os aceita.
O que é obrigatório no banner:
- Botão “Aceitar todos” visível
- Botão “Rejeitar todos” igualmente visível e acessível (não escondido em submenu)
- Opção de personalizar preferências por categoria de cookie
- Informação sobre o que cada categoria de cookie faz
O que é ilegal:
- Banner com apenas botão “Aceitar” sem opção de rejeição
- Botão “Rejeitar” visualmente menos proeminente ou mais difícil de encontrar do que “Aceitar”
- Pré-selecção de categorias de cookies não essenciais como activas por defeito
- Usar o scroll ou a continuação de navegação como “consentimento”
As ferramentas mais usadas em Portugal para gestão de cookies: Cookiebot, CookieYes, e Complianz (para WordPress). Todas têm versão gratuita com funcionalidade básica.
| Ferramenta | Preço base | Compatibilidade | CNPD-compliant |
|---|---|---|---|
| Cookiebot | Grátis até 100 páginas | Universal | Sim |
| CookieYes | Grátis até 25.000 visitas/mês | Universal | Sim |
| Complianz | Grátis (plugin WordPress) | WordPress | Sim |
| Termly | Grátis (básico) | Universal | Sim |
Política de privacidade: o que tem de constar?
A política de privacidade é um documento legal obrigatório para qualquer site que recolha dados pessoais. Não é o “Termos e Condições” — são documentos diferentes com propósitos distintos.
A política de privacidade tem de responder explicitamente a estas questões:
Quem é o responsável pelo tratamento? Nome da empresa, NIF, morada, e dados de contacto. Se tens Encarregado de Protecção de Dados (DPO), o contacto do DPO.
Que dados recolhes e porquê? Para cada tipo de dado (dados de contacto do formulário, endereço IP via analytics, cookies de sessão), indica a finalidade e a base jurídica do tratamento.
Com quem partilhas os dados? Google Analytics, Facebook Pixel, plataforma de email marketing, processador de pagamentos — cada prestador de serviços que tem acesso a dados dos teus visitantes tem de ser identificado.
Por quanto tempo guardas os dados? Formulários de contacto: prazo razoável para resposta + arquivação mínima necessária. Dados de analytics: conforme configurado na plataforma.
Quais os direitos do utilizador? Direito de acesso, rectificação, apagamento, portabilidade, e oposição. E como os exercer (email de contacto).
[UNIQUE INSIGHT]: Políticas de privacidade copiadas de outros sites são facilmente detectáveis pela CNPD em caso de investigação — e podem não cobrir os tratamentos específicos do teu negócio. Uma política genérica que menciona tratamentos que não fazes (ou não menciona os que fazes) é problemática. O documento tem de ser específico à tua realidade.
Google Analytics e o Consent Mode v2
Desde Março de 2024, o Google exige que os sites que usam Google Analytics 4 com medição de conversões implementem o Consent Mode v2. Sem esta implementação, o GA4 pode não funcionar correctamente no Espaço Económico Europeu — e os dados recolhidos sem consentimento são uma violação do RGPD.
O Consent Mode v2 funciona assim: quando o utilizador recusa cookies de analytics, o Google Analytics não coloca cookies de identificação, mas pode ainda registar dados de conversão de forma agregada e anonimizada.
Para implementar correctamente:
- Usa uma das ferramentas de cookie consent que já integram o Consent Mode v2 (Cookiebot, CookieYes — ambas têm integração directa)
- Configura os sinais de consentimento no Google Tag Manager
- Activa as funcionalidades de modelação de conversões no GA4
Sem esta configuração, se o teu site tem publicidade Google Ads activa, os dados de conversão ficam incompletos — o que prejudica directamente a optimização das campanhas.
Formulários de contacto: o que tens de declarar?
Qualquer formulário que recolha nome, email, telefone ou outra informação pessoal precisa de:
Declaração de finalidade no formulário. Um texto simples abaixo ou ao lado do formulário: “Os dados recolhidos serão usados exclusivamente para resposta ao seu pedido de contacto, conforme a nossa Política de Privacidade.”
Checkbox de consentimento para marketing — separado e opcional, se enviares newsletter ou comunicações comerciais. Este consentimento tem de ser explícito e não pode ser pré-seleccionado.
Não enviar os dados de formulário para ferramentas de automação de marketing sem consentimento explícito para esse fim. Se o formulário alimenta automaticamente um CRM com campanhas de email, o visitante tem de saber e consentir.
[PERSONAL EXPERIENCE]: O erro de RGPD mais frequente que encontramos nos sites que auditamos em Portugal é o formulário de contacto que envia automaticamente o email para uma lista de Mailchimp ou ActiveCampaign. O visitante pediu uma resposta ao seu pedido — não deu consentimento para receber comunicações de marketing. São dois consentimentos diferentes e ambos têm de ser recolhidos explicitamente.
Checklist RGPD para sites portugueses em 2025
Antes de considerar o teu site compliant, verifica estes pontos:
- Cookie banner com opção de rejeição visível e igualmente acessível
- Cookies não essenciais não activados por defeito antes do consentimento
- Política de privacidade específica ao teu negócio, com todos os tratamentos identificados
- Formulários com declaração de finalidade e checkbox de marketing separado
- Google Analytics configurado com Consent Mode v2
- NIF e dados da empresa no rodapé do site
- Processo para responder a pedidos de acesso, rectificação ou apagamento de dados
- Dados de contacto do responsável pelo tratamento visíveis na política
Um site sem estes elementos não está em conformidade com o RGPD, independentemente da dimensão do negócio.
Na fassst.pt/site, todos os sites que desenvolvemos incluem configuração de cookie banner compliant, política de privacidade adaptada ao negócio, e formulários correctamente configurados. Se tens dúvidas sobre o estado do teu site, contacta-nos.