Créditos: Arquivo fotográfico da Assembleia da República O GT visa analisar as Entidades Administrativas Independentes e demais Organismos Externos que funcionam junto da Assembleia da República

A Presidente da Comissão Nacional de Proteção de Dados (CNPD), Professora Doutora Paula Meira Lourenço, foi ouvida, no dia 1 de julho de 2026, pelo “Grupo de Trabalho para análise das Entidades Administrativas Independentes e demais Organismos Externos que funcionam junto da Assembleia da República”, constituído pelo Presidente da Assembleia da República, através do Despacho n.º 148/XVII, de 17 de abril de 2026 (publicado no Diário da Assembleia da República n.º 68, II Série – E), e do Despacho n.º 186/XVII, de 29 de maio de 2026 (publicado no Diário da Assembleia da República n.º 75, II Série – E).

O Grupo de Trabalho tem por missão acompanhar e desenvolver a análise das Entidades Administrativas Independentes e demais Organismos Externos que funcionam junto da Assembleia da República, proceder à apreciação da informação recolhida e a recolher, promover as audições que entenda necessárias, elaborar um relatório final e concluir os seus trabalhos no prazo de seis meses (cf. Despacho n.º 148/XVII)*.

Na sua intervenção, a Presidente da CNPD sublinhou que desde maio de 2023 está em curso a reorganização da CNPD, que foi anunciada no seu discurso de tomada de posse como Presidente da CNPD, no 11 de maio de 2023, a par da Proposta de Lei que a CNPD já apresentou à Assembleia da República, em setembro de 2025, tendo em vista a reorganização da CNPD e a previsão de um novo regime jurídico aplicável às contraordenações em matéria de proteção de dados pessoais.

E aproveitou para esclarecer a visão estratégica da CNPD, o seu plano de atividades e a execução desse plano (em particular, as Ações Estratégicas 16 a 19 do Plano Plurianual da CNPD para o triénio 2024-2026; as Ações Estratégicas 16 a 19 do Plano de Atividades para 2024; e as Ações Estratégicas 16 a 19, 21, 22 e 23 dos Planos de Atividades da CNPD para os anos de 2025 e de 2026), incluindo a execução das medidas internas sugeridas no estudo “Visão de Melhoria para Reorganização Interna”), e a relevância e atualidade da Proposta de Lei apresentada pela CNPD (Exposição de Motivos e projeto de articulado), que visa:

  1. Proceder à alteração da Lei de Organização e Funcionamento da CNPD (Lei n.º 43/2004, de 18 de agosto, na redação atual), e da Lei de Execução, na ordem interna, do RGPD (Lei n.º 58/2019, de 8 de agosto), para se prever: (i) a norma de habilitação legal de delegação de competências do órgão colegial “Comissão” pois não é comportável que qualquer, e todos os processos, só possam ser decididos em reunião ordinária do órgão colegial, designadamente, os processos de averiguação e contraordenacionais; e (ii) a correção do lapso relativo à necessidade de emissão de parecer do Fiscal Único sobre bens móveis (quando se queria ter previsto bens “imóveis”).
  2. Estabelecer o Novo Regime Jurídico aplicável às Contraordenações em matéria de proteção de dados pessoais, através (i) de um processo eletrónico simples, ágil e célere; e, (ii) em caso de impugnação judicial de uma decisão da CNPD de aplicação de coimas em sede de processo contraordenacional, (ii.1.) prever o Tribunal de Concorrência, Regulação e Supervisão como o tribunal competente (visando colocar termo a expedientes dilatórios, conflitos negativos de competência, com os consequentes riscos de prescrição, que importam colmatar para salvaguarda da eficácia da ação sancionatória da CNPD); e (ii.2) estabelecer a possibilidade de a CNPD intervir, de forma autónoma, ou seja, conferindo-lhe legitimidade processual (cf. artigo 58.º, n.º 5 do RGPD, e artigo 36.º da Lei n.º 58/2019, de 8 de Agosto), à semelhança do que já acontece com Entidades Reguladoras como a Autoridade da Concorrência, a Autoridade Nacional de Comunicações, o Banco de Portugal ou a Comissão do Mercado de Valores Mobiliários.

Relativamente à reorganização da CNPD, a Presidente da CNPD esclareceu que esta foi precedida de uma rigorosa análise e diagnóstico dos procedimentos da CNPD e dos recursos humanos necessários a uma resposta célere e adequada, realizada pelo Instituto Kaizen e entregue à CNPD em outubro de 2023 – o estudo intitulado “Visão de Melhoria para Reorganização Interna” do Instituto Kaizen tem sido o Guião da CNPD nos últimos três anos.


A Presidente da CNPD abordou ainda os quatro pontos que correspondem aos temas indicado no Despacho n.º 148/XVII, de 17 de abril, de criação do Grupo de Trabalho: enquadramento jurídico, recursos humanos e regime remuneratório; orçamentos e respetiva execução; e atividade desenvolvida.

A Presidente da CNPD salientou a prioridade que, nos últimos três anos, a CNPD tem conferido ao recrutamento de pessoas qualificadas em matéria de proteção de dados pessoais (para colmatar a falta estrutural de recursos humanos na função pública, em geral, e com esta expertise, em particular), e ao rejuvenescimento do pessoal da CNPD; e, consequentemente, a falta de instalações físicas, atento o aumento do n.º de pessoas.

A Presidente da CNPD apresentou ainda uma súmula da atuação da CNPD nos últimos quatro anos (2022–2025), que evidencia um reforço global da sua atividade, demonstrado pelo aumento da sua capacidade de resposta e intervenção.

Assim, sublinhou que a CNPD emitiu 93 Pareceres em 2022, 107 em 2023 (+15,05%), 80 em 2024 (−25,23%) e 85 em 2025 (+6,25%), em sede legislativa de apoio à competência legislativa da Assembleia da República e do Governo, e em sede regulamentar.

Destacou ainda a abertura de processos que manteve uma trajetória ascendente ao longo do período: 2.688 processos em 2022, 2.656 em 2023 (−1,2%), 2.879 em 2024 (+8,4%) e 3.201 em 2025 (+11,2% face a 2024). No conjunto dos quatro anos, o número de processos abertos cresceu cerca de 19%.

Os processos de averiguação acompanharam esta tendência até 2024, passando de 1.785 (2022) para 1.818 (2023, +1,8%) e 2.046 (2024, +12,5%), estabilizando em 2.037 em 2025 (−0,4%, praticamente o mesmo nível do ano anterior).

Os processos de garantia de direitos (incluindo Schengen) registaram a evolução mais expressiva: após uma quebra acentuada em 2023 (67 processos, −55,0% face aos 149 de 2022), recuperaram para 103 em 2024 (+53,7%) e atingiram 234 em 2025 (+127,2%). Estes processos relacionam-se com o exercício dos direitos de acesso e de eliminação, bem como com o direito exercido junto dos motores de busca quanto à supressão de referências da lista de resultados quando a pesquisa é feita com base no nome de uma pessoa singular (de-listing). A componente Schengen foi determinante neste crescimento, saltando de 52 processos em 2024 para 201 em 2025 (+286,5%).

Na estreita ligação entre proteção de dados pessoais e cibersegurança, salientou que, entre 2022 e 2024 verificou-se uma diminuição global de cerca de 9,5% no número de notificações de violação de dados (data breach), apesar das oscilações intermédias (367 em 2022, 409 em 2023 com +11,4%, e 332 em 2024 com −18,8%). Em 2025, esta tendência inverteu-se de forma marcada, com o registo de 472 violações de dados pessoais (+42,2% face a 2024), o valor mais elevado do período.

Nos processos concluídos de data breach, a CNPD adotou 485 deliberações em 2025, formulando recomendações específicas para que as organizações reforcem o nível de segurança dos seus tratamentos, através da adoção de medidas adequadas a cada situação concreta.

Quanto à origem dos incidentes, e considerando que esta informação advém das declarações dos responsáveis pelos tratamentos nas notificações à CNPD, destacou em 2025 a falha humana (128 casos), um aumento de 28% em relação aos 100 casos do ano anterior. Seguem-se os esquemas de engenharia social, como o phishing (72 casos), que aumentou 41,18% em relação a 2024. Estas foram as principais causas das violações de dados pessoais notificadas.

No âmbito dos processos de inspeção, após um período de redução progressiva - 155 inspeções em 2022, 144 em 2023 (−7,1%) e 122 em 2024 (−15,3%) -, a atividade inspetiva duplicou em 2025, atingindo 244 inspeções (+100%), realizadas pela Unidade de Inspeção da CNPD e, no âmbito da colaboração com as forças de segurança, pela PSP e pela GNR, a maior parte das quais nas instalações dos responsáveis pelos tratamentos.

A Presidente da CNPD referiu ainda que os pedidos de consulta prévia (ao abrigo do disposto no artigo 36.º do RGPD) subiram 20% de 2022 para 2023, e escalaram para mais 216,7% de 2023 para 2024. Em 2025, registou-se uma diminuição de 36,8% face a 2024.

A Presidente da CNPD apresentou ainda os números da atividade da CNPD no 1.º semestre de 2026: a CNPD abriu 901 processos, entre os quais, 280 processos de averiguação. Em matéria de violações de dados pessoais, registaram-se 247 notificações em apenas meio ano (cerca de 52% do total de 2025), trajetória que, a manter-se, igualaria ou superaria o registo do ano anterior.

E destacou três áreas em que a atividade do 1.º semestre de 2026 já ultrapassou o total do ano de 2025: (i) 280 averiguações abertas, e 3021 concluídas; (ii) 317 inspeções realizadas (face a 244 em todo o ano de 2025); (iii) 1.402 Participações de videovigilância (face a 1.243 em 2025); (iv) 150 Processos de contraordenação instaurados (face a 88 de 2025); (v) 44.500 € de coimas aplicadas (face a 47.000 € de 2025).

E sublinhou ainda: (i) 48 Pareceres emitidos; (ii) 3 pedidos de consulta prévia; (iii) 74 processos de garantia de direitos e Schengen; (iv) 81 processos de linhas chamadoras; (v) 486 participações relativas a SPAM.

Por fim, a Presidente da CNPD entregou a cada Membro do Grupo de Trabalho um exemplar da Proposta de Lei elaborada pela CNPD e apresentada ao Presidente da República, em setembro de 2025.

 

*— pelo Grupo Parlamentar do PSD, o Sr. Deputado Hugo Carneiro;
— pelo Grupo Parlamentar da IL, o Sr. Deputado Rui Rocha;
— pelo Grupo Parlamentar do PCP, a Sr.ª Deputada Paula Santos;
— pelo Grupo Parlamentar do CDS-PP, o Sr. Deputado Paulo Núncio;
— pelo Deputado único representante do PAN, a Sr.ª Deputada Inês de Sousa Real;

— Professor Doutor Pedro Costa Gonçalves;
— Professor Doutor Tiago Fidalgo de Freitas.