RGPD e site em 2026: guia de conformidade para PME europeias
Uma PME alcança a conformidade com o RGPD validando 8 pontos: Consent Mode v2 implementado, banner de cookies sem dark patterns, registo de tratamentos atualizado, alojamento UE confirmado, EPD designado se obrigatório, direitos do utilizador operacionais (acesso/apagamento), prazos de conservação documentados e política de privacidade acessível. As coimas acumuladas em 2024-2025 ultrapassaram mil milhões de euros para a Meta, TikTok e Uber.
O RGPD faz 8 anos em 2026, mas 70% dos sites de PME europeias continuam parcialmente não conformes segundo o inquérito Cookiebot 2025. Entre a chegada obrigatória do Consent Mode v2 em março de 2024, o DSA, o fim do Privacy Shield e a sua ressurreição no Data Privacy Framework, e as novas decisões sobre dark patterns, o terreno muda constantemente. Aqui está a checklist aplicada pela OptionWeb a todos os sites de clientes em 2026.
1. Google Consent Mode v2 obrigatório
Desde 6 de março de 2024, a Google exige a implementação do Consent Mode v2 para utilizar Google Ads e Google Analytics com utilizadores europeus. Sem o Consent Mode v2, as suas campanhas deixam de poder usar dados do EEE para otimizar e as conversões ficam massivamente subnotificadas.
Concretamente, é necessário transmitir 7 parâmetros de consentimento à Google: ad_storage, ad_user_data, ad_personalization, analytics_storage, functionality_storage, personalization_storage, security_storage. Uma CMP (Consent Management Platform) certificada Google trata disso automaticamente.
| CMP | Preço mensal | Vantagens | Desvantagens |
|---|---|---|---|
| Cookiebot | 12-39 € / 100k visualizações | Robusto, certificado Google, scan automático de cookies | Caro acima de 100k visualizações, UI desatualizada |
| Didomi | Sob orçamento (~80-300 €) | Referência enterprise, conformidade multi-país | Caro para PME |
| Axeptio | 9-49 € | UX moderna, tom amigável, sede UE | Menor granularidade técnica |
| Iubenda | 5-30 € | Boa relação qualidade/preço, multilingue | Documentação menos clara |
| CMP open-source (Klaro) | 0 € | Self-hosted, gratuita, compatível RGPD | Manutenção manual, sem scan automático |
Recomendação OptionWeb: Axeptio para PME até 100k visualizações/mês (UX, preço, sede UE), Cookiebot acima disso se precisar de scan automático multi-domínio.
2. Banner de cookies sem dark patterns
A CNPD portuguesa e a CNIL francesa multiplicaram as sanções a banners de cookies em 2024-2025. Padrões explicitamente proibidos: botão 'Recusar tudo' escondido ou menos visível que 'Aceitar', caixas pré-marcadas para cookies não essenciais, scroll da página = consentimento implícito, fecho do banner sem escolha equivalente a aceitação.
Regra rígida: 'Aceitar tudo' e 'Recusar tudo' no mesmo nível visual — mesmo tamanho, cor e posição. Recusar deve ser tão fácil como aceitar. Uma PME francesa foi multada em 8.000 € em 2024 simplesmente porque o seu botão 'Recusar' era duas vezes menor.
3. Registo de atividades de tratamento
O registo das atividades de tratamento é obrigatório para qualquer organização com mais de 250 trabalhadores e fortemente recomendado abaixo. Para uma PME inspecionada, é o primeiro documento que a CNPD pede.
Para cada tratamento (newsletter, formulário de contacto, pagamento, recrutamento, contabilidade), documentar:
- Finalidade — Porque é que recolhe estes dados (ex.: enviar uma newsletter mensal).
- Base jurídica — Consentimento, contrato, obrigação legal, interesse legítimo, missão de interesse público ou interesses vitais.
- Categorias de dados — Email, nome, IP, comportamento, dados bancários, etc.
- Categorias de pessoas — Prospects, clientes, trabalhadores, subcontratantes, candidatos.
- Destinatários — Quem recebe os dados: equipa interna, subcontratantes (Mailchimp, Stripe), parceiros.
- Transferências fora da UE — Se aplicável: país, base jurídica (CCT, BCR, decisão de adequação).
- Prazo de conservação — Ativo + arquivo intermédio + arquivo legal.
- Medidas de segurança — Cifragem, controlo de acessos, cópias de segurança, formação da equipa.
Formato prático: tabela Excel ou Notion, atualizada em cada novo tratamento. A CNPD disponibiliza um modelo gratuito. Conte com 1-2 dias de trabalho para o constituir pela primeira vez.
4. Alojamento e transferências fora da UE
Desde o acórdão Schrems II (julho de 2020), alojar um site com utilizadores europeus em AWS US, Google Cloud US ou Azure US sem Standard Contractual Clauses + análise de impacto = não conformidade clara. O Data Privacy Framework UE-EUA de julho de 2023 estabilizou a situação para alojadores americanos certificados DPF, mas o risco residual mantém-se (recurso de anulação pendente).
Solução simples para PME: alojamento na UE (AWS Frankfurt, OVH, Hetzner, Scaleway, Verpex EU). Sem transferência fora da UE = sem discussão. É a nossa escolha por defeito na OptionWeb com a Verpex (datacenter nos Países Baixos).
Para subcontratantes americanos incontornáveis (Stripe, Mailchimp, HubSpot, Google Workspace) é preciso:
- Verificar a certificação DPF do subcontratante em dataprivacyframework.gov
- Assinar um DPA (Data Processing Agreement) (geralmente automático nas suas condições)
- Verificar as CCT (Standard Contractual Clauses) anexas ao DPA
- Documentar no registo de tratamentos a transferência e a sua base jurídica
- Mencionar explicitamente a transferência na política de privacidade
5. EPD: obrigatório ou não?
O Encarregado da Proteção de Dados (EPD) é obrigatório apenas em 3 casos: autoridade pública, monitorização sistemática em larga escala de pessoas, tratamento em larga escala de dados sensíveis (saúde, opiniões, religião, biometria). Para 95% das PME, não é obrigatório.
Mas é fortemente recomendado para PME B2C ou e-commerce: um EPD externo partilhado custa 200-500 €/mês e dá cobertura jurídica em caso de inspeção. Três opções:
| Opção | Custo | Para quem |
|---|---|---|
| EPD interno (gerente ou RH formado) | Formação 800-2000 € | PME 10-50 pessoas, tratamentos simples |
| EPD externo partilhado | 200-500 €/mês | PME B2C ou e-commerce com dados de utilizadores |
| EPD interno dedicado | Salário 50-80k €/ano | Empresa 100+ colaboradores ou tratamentos sensíveis |
6. Direitos dos utilizadores (acesso, apagamento)
Cada utilizador tem 6 direitos oponíveis: acesso, retificação, apagamento (direito ao esquecimento), limitação, portabilidade, oposição. Uma PME deve tratar um pedido em 1 mês (extensível a 2 meses para casos complexos com justificação).
Setup mínimo: endereço de e-mail dedicado (privacy@seudominio.eu), formulário de contacto rotulado 'Pedido RGPD', procedimento interno documentado para identificar o pedido, recuperar os dados, exportá-los ou eliminá-los e notificar o utilizador.
7. Prazos de conservação
Manter dados 'por precaução' = violação do RGPD. Cada categoria de dados deve ter um prazo de conservação justificado. Modelo para PME:
| Categoria | Ativo | Arquivo intermédio | Legal |
|---|---|---|---|
| Prospects (formulário contacto) | 3 anos após último contacto | — | — |
| Clientes | Duração da relação + 3 anos | 5 anos | 10 anos (faturas) |
| Subscritores newsletter | Enquanto subscritos | 1 ano após cancelamento | — |
| CV não selecionados | 2 anos (salvo pedido de apagamento) | — | — |
| Logs de servidor (segurança) | Máx. 1 ano | — | — |
| Cookies analytics | Máx. 13 meses | — | — |
8. Política de privacidade acessível
Página dedicada, ligação no rodapé de cada página, redigida em linguagem clara (sem juridiquês ilegível). Deve conter: identidade do responsável pelo tratamento, finalidades e bases jurídicas, prazos de conservação, direitos dos utilizadores e como exercê-los, eventuais transferências fora da UE, lista dos subcontratantes terceiros (Google Analytics, Mailchimp, etc.), EPD se designado, direito de reclamação à autoridade (CNPD em Portugal, CNIL em França).
Atualizar em cada novo subcontratante ou nova finalidade. Data da última atualização visível no topo da página.
Coimas recentes: o que reter
As coimas RGPD ultrapassaram em 2024 mil milhões de euros acumulados só para a Meta (1,2 mil M€), TikTok (345 M€) e Uber (290 M€). Para as PME, as sanções continuam mais modestas, mas os motivos recorrentes são reveladores:
- Botão 'Recusar' escondido ou mais pequeno — Sanções repetidas entre 5.000 € e 100.000 € em 2024.
- Newsletter sem double opt-in verificado — Caso típico: 10.000 € de coima para uma PME que importou uma lista sem prova de consentimento.
- Prazo de conservação excessivo — Manter CV durante 10 anos 'por precaução' = sanção. Limite recomendado de 2 anos.
- Transferência para subcontratante americano sem CCT — Sanção de 2025 contra uma PME que usava ferramenta de marketing americana não-DPF: 25.000 €.
- Política de privacidade ausente ou incompleta — Coima mínima de 5.000 € quase sistemática em caso de queixa.
Read next
Acessibilidade web e European Accessibility Act 2025: guia WCAG 2.2
O European Accessibility Act entrou em vigor a 28 de junho de 2025. Que empresas estão abrangidas, que obrigações WCAG 2.2 e 2.4, e como auditar e corrigir um site PME em 2026.
Hospedagem web na Bélgica em 2026: o guia completo para PMEs
Como escolher uma hospedagem web belga em 2026 — critérios de seleção, custos reais, conformidade RGPD, centros de dados locais, desempenho. Guia prático da OptionWeb.
Local SEO e Google Business Profile para PME belgas em 2026
Como posicionar-se no local pack do Google: otimização do Google Business Profile, citações NAP, review velocity, schema LocalBusiness e estratégia específica para PME belgas.