RGPD e o Seu Website: Checklist Prática para PMEs (2026)

O RGPD aplica-se a qualquer empresa portuguesa que tenha um website com formulário, área de cliente, newsletter ou loja online. Esta checklist explica o mínimo que precisa de ter em 2026 — escrita para quem gere o negócio, não para advogados.

Aviso importante: esta checklist é informativa. Não substitui aconselhamento jurídico especializado. Para situações complexas (especialmente B2B com tratamento sistemático de dados sensíveis), consulte um advogado em direito digital ou um Encarregado de Proteção de Dados (EPD/DPO).

O que é o RGPD em uma frase

O Regulamento Geral sobre a Proteção de Dados (Regulamento UE 2016/679) é a lei europeia que regula como as empresas recolhem, usam e protegem dados pessoais. Em Portugal é complementado pela Lei n.º 58/2019, e a autoridade de supervisão é a CNPD — Comissão Nacional de Proteção de Dados (cnpd.pt).

Aplica-se à minha empresa?

Se o seu website faz pelo menos uma destas coisas, o RGPD aplica-se:

• Tem formulário de contacto
• Recolhe inscrições para newsletter
• Tem registo de utilizador / área de cliente
• Vende online (loja, marcações, subscrições)
• Usa Google Analytics, Meta Pixel, Hotjar ou similares
• Tem comentários de blog

Por outras palavras: aplica-se a praticamente qualquer site empresarial. O tamanho da empresa não isenta — a lei aplica-se a qualquer organização que trate dados pessoais de pessoas na UE.

Checklist mínima para o seu website

1. Política de Privacidade

Tem de existir, ser facilmente acessível (link no rodapé), e conter:

• Identificação da empresa (nome, NIF, morada)
• Que dados pessoais recolhe (nome, email, IP, etc.)
• Para que finalidades os usa
• Qual a base legal (consentimento, execução de contrato, interesse legítimo, etc.)
• Por quanto tempo guarda os dados
• Com quem os partilha (alojamento, faturação, analytics, processadores de pagamento)
• Os direitos dos titulares (acesso, retificação, eliminação, portabilidade, oposição)
• Como exercer esses direitos (email de contacto)
• Direito de queixa à CNPD

2. Política de Cookies + banner conforme

Esta é onde a maioria dos sites portugueses falha. As regras em 2026:

• Cookies essenciais (sessão, carrinho de compras) — não precisam de consentimento
• Cookies de analytics, marketing, redes sociais — precisam de consentimento prévio explícito
• O banner tem de oferecer “Rejeitar” tão visível como “Aceitar” (a CNPD clarificou isto em 2023)
• Não pode ter pre-tickets — o utilizador tem de ativar manualmente cada categoria
• Tem de poder retirar o consentimento tão facilmente como o deu

Plugins recomendados para WordPress: Complianz, CookieYes, ou Real Cookie Banner. Evite os “auto-aceitar” tipo Cookiebot na configuração padrão — não cumprem.

3. Formulários conforme

Todos os formulários (contacto, newsletter, encomenda) têm de:

• Indicar que dados são recolhidos e para que servem
• Ter checkbox não pré-marcada de aceitação da política de privacidade
• Para newsletter: checkbox separada, opt-in claro, e link de unsubscribe em todas as comunicações
• Não recolher dados que não sejam necessários para a finalidade (princípio da minimização)

4. Identificação completa da empresa visível

Em qualquer página do site (tipicamente rodapé), tem de constar:

• Nome ou denominação social completa
• NIF (Número de Identificação Fiscal)
• Morada física (não só caixa postal)
• Email de contacto e/ou telefone
• Para sociedades comerciais: número de registo na Conservatória do Registo Comercial e capital social

5. Livro de Reclamações Eletrónico (obrigatório para todas as empresas)

Todas as empresas com website em Portugal têm de ter link visível para o Livro de Reclamações Eletrónico em www.livroreclamacoes.pt. Tipicamente vai no rodapé. Reclamações recebidas têm de ser respondidas em 15 dias úteis.

6. Processo de resposta a pedidos de titulares

Se um cliente pedir para ver, retificar ou apagar os dados que tem dele, tem 30 dias para responder. Tem de ter um processo (mesmo que seja só “todos os pedidos chegam ao email X e são tratados em 5 dias úteis”). Não ter processo é incumprimento.

7. Notificação de violação de dados — 72 horas

Se houver uma quebra de segurança que afete dados pessoais (hack, fuga, etc.), tem 72 horas para notificar a CNPD. Garanta que o seu programador/responsável de IT sabe disto.

8. Contratos com subcontratantes

Toda a entidade que processa dados em seu nome (alojamento, email marketing, processador de pagamentos, software de faturação) é um subcontratante e tem de ter contrato escrito conforme o RGPD (geralmente um Data Processing Agreement — DPA). A maioria dos serviços maiores (Google, Microsoft, Stripe, AWS) tem DPA padrão que aceita online.

Pequenas empresas — o que pode dispensar

Empresas com menos de 250 trabalhadores que não tratam dados sensíveis em larga escala podem dispensar:

• Registo formal de atividades de tratamento (mas é boa prática ter na mesma)
• Nomeação obrigatória de Encarregado de Proteção de Dados (EPD)

Tudo o resto da checklist acima continua a aplicar-se.

Coimas reais

As coimas máximas do RGPD chegam a 20 milhões de euros ou 4% do volume de negócios mundial. Para PMEs, as coimas reais aplicadas em Portugal pela CNPD têm rondado entre €2.000 e €50.000 nos últimos anos, conforme a gravidade. Não é assustadoramente alto, mas é o suficiente para inviabilizar muitas pequenas empresas.

Conclusão prática

Cumprir o RGPD não é um projeto de meses para uma PME típica. É um conjunto de oito pontos que se resolvem em 1–2 semanas de trabalho concentrado, e depois mantêm-se com revisão anual. O custo de incumprimento (coimas + perda de confiança + tempo a remediar) é sempre superior ao custo de cumprir.

Se quer que façamos uma auditoria RGPD ao seu website e implementemos as correções, contacte-nos. Se preferir DIY, comece pela política de privacidade, banner de cookies e identificação completa — são 80% da exposição legal.

Última revisão: maio de 2026. Para alterações na legislação, consulte cnpd.pt.