17 · Proteção de Dados — UE

Regulamento (UE) 2016/679 — RGPD

Do Parlamento Europeu e do Conselho, de 27 de abril de 2016 · Aplicável desde 25 de maio de 2018 · Regulamento Geral sobre a Proteção de Dados · Revoga a Diretiva 95/46/CE · Base jurídica: arts. 16.º e 114.º TFUE · Transposto em Portugal pela Lei 58/2019 (v. Resumo 15)

RGPD GDPR Regulamento 2016/679 Dados Pessoais Direitos dos Titulares CNPD

Índice

Natureza jurídica, base legal e estrutura (11 capítulos)
Âmbito material e territorial
Conceitos fundamentais (art. 4.º)
Princípios do tratamento (art. 5.º)
Bases legais do tratamento (art. 6.º)
Categorias especiais de dados (art. 9.º)
Obrigações de transparência e consentimento
Direitos dos titulares (arts. 12.º–23.º)
Obrigações dos responsáveis pelo tratamento
Encarregado de Proteção de Dados (EPD/DPO)
Transferências internacionais (FATCA, CRS, DAC)
Autoridade de controlo — CNPD
Regime sancionatório
Sigilo fiscal vs. RGPD — tensão e compatibilização
Síntese para o inspetor tributário

1. Natureza Jurídica, Base Legal e Estrutura

O RGPD é um regulamento europeu diretamente aplicável em todos os EM sem necessidade de transposição (ao contrário de uma diretiva). Aplica-se uniformemente em toda a UE desde 25 de maio de 2018. A Lei 58/2019 não o transpõe mas antes concretiza as margens de apreciação que o próprio regulamento deixou para os EM. O RGPD tem como base jurídica o art. 16.º TFUE (proteção de dados) e o art. 114.º TFUE (mercado interno).

Capítulo	Arts.	Conteúdo
I — Disposições gerais	1.º–4.º	Objeto, âmbito material e territorial, definições
II — Princípios	5.º–11.º	6 princípios; bases legais (art. 6.º); consentimento (art. 7.º); categorias especiais (art. 9.º); dados criminais (art. 10.º)
III — Direitos dos titulares	12.º–23.º	Transparência; informação; acesso; retificação; apagamento; limitação; portabilidade; oposição; decisões automatizadas; restrições nacionais
IV — Responsável e subcontratante	24.º–43.º	Responsabilidade; proteção desde a conceção (privacy by design); registos de atividades; cooperação com a AC; DPO; AIPD; consulta prévia; certificação
V — Transferências internacionais	44.º–49.º	Decisões de adequação; garantias adequadas (SCCs, BCRs, códigos de conduta); derrogações
VI — Autoridades de controlo independentes	50.º–59.º	Independência; competências; poderes investigativos, corretivos, autorizativos, consultivos
VII — Cooperação e coerência	60.º–76.º	One-stop-shop; mecanismo de coerência; Comité Europeu para a Proteção de Dados (CEPD)
VIII — Vias de recurso e responsabilidade	77.º–84.º	Queixa à AC; recurso judicial; responsabilidade civil; coimas
IX — Disposições específicas	85.º–91.º	Tratamento para fins jornalísticos/académicos; acesso público; estatísticas; sigilo profissional; igrejas
X–XI — Atos delegados/finais	92.º–99.º	Poderes delegados à Comissão; disposições finais; revogação da Diretiva 95/46/CE

2. Âmbito Material e Territorial

Âmbito material (art. 2.º)

Aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados e ao tratamento não automatizado que faça parte de um ficheiro. Excluído: tratamento para segurança nacional (competência exclusiva dos EM); tratamento por pessoas singulares para fins exclusivamente pessoais ou domésticos; atividades fora do âmbito do direito da UE.

Âmbito territorial (art. 3.º) — princípio da extraterritorialidade

Critério do estabelecimento: Aplica-se ao tratamento realizado por responsável ou subcontratante estabelecido na UE, independentemente de o tratamento ocorrer na UE ou fora dela
Critério da localização do titular: Aplica-se ao tratamento de dados de pessoas que se encontrem na UE por responsável não estabelecido na UE, se o tratamento se relacionar com: (a) oferta de bens ou serviços a essas pessoas; (b) monitorização do seu comportamento na UE
Critério do direito internacional público: Aplica-se também quando o responsável está num local sujeito ao direito de um EM por força do direito internacional público (ex.: embaixadas)
RAM: Todos os organismos públicos e privados na Madeira e Porto Santo estão sujeitos ao RGPD, incluindo a AT-RAM

3. Conceitos Fundamentais (Art. 4.º)

Dados pessoais (n.º 1)

Definição ampla

Qualquer informação relativa a pessoa singular identificada ou identificável. Inclui: nome, NIF, morada, email, endereço IP, dados de localização, dados bancários, rendimentos fiscais, matéria coletável, biometria, dados de saúde. O NIF é per se um dado pessoal que identifica diretamente o contribuinte.

Tratamento (n.º 2)

Qualquer operação

Recolha, registo, organização, estruturação, conservação, adaptação, alteração, consulta, utilização, divulgação por transmissão, difusão, disponibilização, alinhamento, combinação, limitação, apagamento ou destruição. Uma simples consulta de uma base de dados é «tratamento».

Responsável pelo tratamento (n.º 7)

Quem decide as finalidades

A pessoa singular, coletiva, autoridade pública, agência ou organismo que, individualmente ou em conjunto, determina as finalidades e os meios do tratamento. A AT-RAM é responsável pelo tratamento dos dados dos contribuintes que gere. Nos tratamentos conjuntos (art. 26.º), dois responsáveis podem determinar conjuntamente as finalidades.

Subcontratante (n.º 8)

Quem executa por conta de outrem

Pessoa ou organismo que trata dados pessoais em nome do responsável. Ex.: empresa de TI que gere os servidores da AT-RAM; fornecedor de software tributário. O subcontratante tem obrigações próprias e deve celebrar contrato de subcontratação (art. 28.º RGPD) que inclua cláusulas obrigatórias sobre instrução do responsável, confidencialidade, segurança e auditoria.

Consentimento (n.º 11)

Manifestação de vontade livre

Manifestação de vontade livre, específica, informada e inequívoca pela qual o titular aceita o tratamento. Nas relações de autoridade (Estado-contribuinte), o consentimento raramente é válido — o contribuinte não tem escolha real de consentir, logo a AT-RAM não usa esta base legal para dados fiscais.

Violação de dados pessoais (n.º 12)

Quebra de segurança

Violação de segurança que provoque, de modo acidental ou ilícito, a destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado a dados pessoais. Exemplos na AT-RAM: fuga de dados de contribuintes; acesso indevido a bases de dados fiscais; ransomware que encripte os sistemas. Obriga a notificação à CNPD em 72 horas.

Outros conceitos relevantes do art. 4.º

Pseudonimização (n.º 5): Tratamento pelo qual os dados pessoais deixam de poder ser diretamente atribuídos a um titular sem recurso a informações suplementares, mantidas separadamente e sujeitas a medidas de segurança. Reduz o risco mas não torna os dados anónimos — continuam a ser dados pessoais sujeitos ao RGPD.
Anonimização: Processo irreversível de desvincular dados de um indivíduo identificável. Dados verdadeiramente anonimizados não são dados pessoais e saem do âmbito do RGPD.
Definição de perfis (n.º 4): Qualquer forma de tratamento automatizado de dados pessoais para avaliar aspetos pessoais de uma pessoa, em particular para analisar ou prever o seu comportamento. Relevante para os modelos de análise de risco da AT-RAM para seleção de contribuintes a inspecionar.
Autoridade de controlo (n.º 21): Autoridade pública independente instituída por um EM. Em Portugal: CNPD (Comissão Nacional de Proteção de Dados).

4. Princípios do Tratamento (Art. 5.º)

O artigo 5.º enuncia os 6 princípios fundamentais. Todos os tratamentos devem cumpri-los cumulativamente. A violação de qualquer princípio é infração de nível 1 (coima até 20 M€ ou 4% VN).

Princípio	Conteúdo	Aplicação AT-RAM
Licitude, lealdade e transparência	Base legal; tratamento honesto; titulares informados	Base legal dos tratamentos fiscais: art. 6.º c) (obrigação jurídica) ou e) (interesse público). Política de privacidade publicada no portal AT-RAM.
Limitação das finalidades	Fins determinados, explícitos e legítimos; não reutilizar para fins incompatíveis	Dados recolhidos para fins de liquidação de imposto não podem ser usados para fins de investigação criminal sem base legal específica. Exceção: fins de arquivo de interesse público, investigação científica e fins estatísticos (art. 89.º RGPD) são presumivelmente compatíveis.
Minimização dos dados	Só dados adequados, pertinentes e limitados ao necessário	Nas inspeções, o inspetor só deve solicitar documentos relevantes para o período e os impostos objeto de verificação. Não deve recolher dados que não sejam necessários para as correções a efetuar.
Exatidão	Dados exatos e atualizados; dados inexatos eliminados ou retificados	A AT-RAM deve manter os dados dos contribuintes atualizados (morada, atividade, NIFs de TOC responsáveis). Os contribuintes podem pedir retificação de dados incorretos nos sistemas fiscais.
Limitação da conservação	Só conservados durante o tempo necessário para as finalidades	Dados fiscais: conservados pelo período de caducidade de liquidação (4 anos) + prescrição tributária (8 anos) + prazo de arquivo (variável). Após esses prazos, obrigação de eliminação ou anonimização.
Integridade e confidencialidade	Segurança adequada: cifragem, pseudonimização, controlo de acesso, proteção contra destruição acidental	Sistemas informáticos da AT-RAM com controlo de acessos por perfil; sigilo fiscal dos trabalhadores (art. 64.º LGT); planos de resposta a incidentes de segurança.

Responsabilidade (art. 5.º, n.º 2): O responsável deve ser capaz de demonstrar o cumprimento de todos os princípios — é o princípio da accountability. A AT-RAM tem de documentar os tratamentos que realiza e as medidas que adota para garantir conformidade.

5. Bases Legais do Tratamento (Art. 6.º)

Alínea	Base Legal	Relevância AT-RAM
a)	Consentimento do titular para um ou mais fins específicos	Raramente usável: nas relações com a AT-RAM não existe consentimento livre. Eventualmente aplicável para newsletters ou serviços voluntários no portal do contribuinte.
b)	Execução de contrato de que o titular é parte ou diligências pré-contratuais	Aplicável aos contratos de fornecimento e prestação de serviços da AT-RAM com fornecedores externos.
c)	Cumprimento de obrigação jurídica do responsável	Base legal principal para dados fiscais. A LGT (arts. 59.º ss.), CIRS, CIRC, CIVA e CPPT obrigam a AT-RAM ao tratamento. Inclui tratamentos de dados em inspeções, liquidações, execuções, reclamações e recursos.
d)	Defesa de interesses vitais do titular ou de terceiros	Raramente aplicável. Situações de urgência de segurança pública associadas ao processo tributário.
e)	Exercício de funções de interesse público ou de autoridade pública	Base legal subsidiária para dados fiscais. O exercício de funções tributárias é claramente de interesse público. Pode ser usada em conjunto com a alínea c).
f)	Interesses legítimos do responsável ou de terceiros	Não aplicável à AT-RAM no exercício de funções de autoridade pública. O RGPD exclui expressamente as entidades públicas neste contexto.

6. Categorias Especiais de Dados (Art. 9.º)

As categorias especiais de dados têm proteção reforçada porque a sua divulgação ou uso indevido pode causar discriminação grave. O tratamento destas categorias é proibido por defeito e só é permitido com base numa das condições do art. 9.º, n.º 2.

Categorias especiais (art. 9.º, n.º 1)

Dados que revelem: origem racial ou étnica; opiniões políticas; convicções religiosas ou filosóficas; filiação sindical; dados genéticos; dados biométricos para identificação única; dados relativos à saúde; dados relativos à vida sexual ou orientação sexual.

Exceções relevantes para a AT-RAM (art. 9.º, n.º 2)

Alínea b) — Obrigações e direitos em matéria de emprego e segurança social: Dados de saúde dos trabalhadores da AT-RAM (ausências por doença, adaptação de posto de trabalho) podem ser tratados com base nesta alínea, desde que a lei nacional o permita.
Alínea g) — Interesse público substancial: Quando o direito nacional prevê salvaguardas adequadas. Pode ser base para tratamento de dados de saúde ou religiosos se relevantes para a investigação de irregularidades fiscais (ex.: confirmação de isenção fiscal por razões religiosas ou de saúde).
Alínea j) — Fins de arquivo, investigação científica ou estatística: Quando o tratamento é necessário para fins de arquivo de interesse público, investigação científica, histórica ou estatística, com salvaguardas adequadas.

Dados relativos a condenações criminais (art. 10.º)

O tratamento de dados de infrações penais e condenações criminais só pode ser realizado sob o controlo da autoridade pública, ou quando autorizado pelo direito de um EM com salvaguardas adequadas. Relevante para a AT-RAM nos processos com vertente criminal tributária (comunicações ao MP, processos de RGIT).

7. Obrigações de Transparência e Consentimento

Art. 7.º — Condições do consentimento

Consentimento válido

Para ser válido, o consentimento deve ser: (1) livre — sem coerção ou desequilíbrio de poder; (2) específico — para fim determinado; (3) informado — titular sabe o que consente; (4) inequívoco — ato positivo claro. O consentimento pode ser retirado a qualquer momento sem prejuízo da licitude dos tratamentos anteriores.

Arts. 13.º–14.º — Informação ao titular

Momento e conteúdo da informação

Art. 13.º: Informação quando os dados são recolhidos diretamente do titular (ex.: declaração de rendimentos) — no momento da recolha.
Art. 14.º: Informação quando os dados são obtidos de terceiros (ex.: comunicação de rendimentos por entidades patronais) — no prazo de 1 mês.
Conteúdo: identidade do responsável, finalidades, bases legais, destinatários, transferências, prazo de conservação, direitos do titular.

8. Direitos dos Titulares (Arts. 12.º–23.º)

Direito	Art.	Conteúdo	Limitações na AT-RAM
Acesso	15.º	Obter confirmação e cópia dos dados tratados	Pode ser restringido quando comprometer investigações fiscais em curso (art. 23.º + Lei 58/2019 art. 20.º)
Retificação	16.º	Corrigir dados inexatos ou completar incompletos	Dados fiscais retificam-se por meios próprios (declaração de substituição, reclamação graciosa)
Apagamento	17.º	«Direito a ser esquecido»	AT-RAM pode recusar quando necessário para obrigação jurídica, interesse público ou exercício de direito em processo judicial
Limitação	18.º	Suspender o tratamento enquanto se resolve contestação	Possível durante período de reclamação ou impugnação; mas não paralisa a execução fiscal
Portabilidade	20.º	Receber dados em formato estruturado e transferi-los	Não aplicável a dados fiscais tratados com base em obrigação legal ou interesse público (só se aplica a tratamentos baseados em consentimento ou contrato)
Oposição	21.º	Opor-se ao tratamento baseado em interesse legítimo ou público	Não aplicável a tratamentos baseados em autoridade pública (liquidação, execução, inspeção). O contribuinte não pode «opor-se» com fundamento no RGPD.
Decisões automatizadas	22.º	Não ser sujeito a decisão exclusivamente automatizada com efeitos significativos	A AT-RAM deve garantir revisão humana nas decisões de seleção por modelos de risco; pode haver exceção para fins de interesse público com salvaguardas adequadas
Restrições nacionais	23.º	Os EM podem restringir os direitos dos titulares por lei, para fins de: segurança pública, defesa, segurança nacional, prevenção e investigação de infrações penais, cobrança de impostos	A Lei 58/2019, em Portugal, concretiza estas restrições para a administração tributária (sigilo fiscal prevalece sobre direitos de acesso e portabilidade em processos em curso)

9. Obrigações dos Responsáveis pelo Tratamento

Art. 24.º — Responsabilidade

Accountability (prestação de contas)

O responsável adota medidas técnicas e organizativas para garantir e poder demonstrar que o tratamento está em conformidade com o RGPD. A AT-RAM deve documentar as suas políticas, procedimentos e medidas de conformidade — e estar pronta a demonstrá-las à CNPD em caso de fiscalização.

Art. 25.º — Privacy by design e by default

Proteção desde a conceção

By design: Ao conceber qualquer novo sistema informático, processo ou produto que trate dados pessoais, a AT-RAM deve incorporar proteção de dados desde o início (ex.: anonimização por defeito, minimização de dados).
By default: Por defeito, só são tratados os dados estritamente necessários para a finalidade específica. Os sistemas não devem, por defeito, tornar dados acessíveis a um número indeterminado de pessoas.

Art. 28.º — Subcontratante

Contrato de subcontratação obrigatório

O contrato deve estipular: tratamento apenas segundo instruções do responsável; obrigação de confidencialidade dos colaboradores; medidas de segurança (art. 32.º); não subcontratação sem autorização; assistência ao responsável para responder a pedidos dos titulares; eliminação ou devolução de dados após fim do serviço; disponibilização de informação para auditorias.

Art. 30.º — Registo das atividades

Registo obrigatório

Obrigatório para entidades com ≥ 250 trabalhadores, ou que tratem dados sistemática ou em grande escala, ou que tratem categorias especiais. A AT-RAM está sempre obrigada. Conteúdo: identidade do responsável, finalidades, categorias de titulares e dados, destinatários, transferências internacionais, prazos de conservação, medidas de segurança.

Art. 32.º — Segurança

Medidas técnicas e organizativas

Medidas adequadas ao risco: pseudonimização e cifragem; capacidade de garantir confidencialidade, integridade, disponibilidade e resiliência dos sistemas; capacidade de restaurar o acesso a dados em caso de incidente; processo de teste e avaliação periódica das medidas. Devem ter em conta o estado da arte e os custos.

Arts. 33.º–34.º — Notificação de violação

72 horas para notificar a CNPD

Art. 33.º: Em caso de violação, notificar a CNPD em 72 horas após tomada de conhecimento. Conteúdo: natureza da violação, categorias e número de titulares afetados, consequências prováveis, medidas tomadas.
Art. 34.º: Notificar os próprios titulares afetados sem demora injustificada quando a violação seja suscetível de resultar em danos elevados (roubo de identidade, discriminação, fraude financeira).

Art. 35.º — Avaliação de Impacto sobre a Proteção de Dados (AIPD)

Obrigatória antes de iniciar tratamentos suscetíveis de implicar risco elevado para os titulares. A CNPD publicou lista de tratamentos que a obrigam. Na AT-RAM, são tratamentos que provavelmente exigem AIPD:

Implementação de novos sistemas de cruzamento automático de dados fiscais com dados bancários
Sistemas de análise de risco (definição de perfis) para seleção de contribuintes a inspecionar
Tratamento sistemático de dados em grande escala relativos a infrações penais (processos RGIT)
Implementação de sistemas de vigilância em instalações da AT-RAM (videovigilância)

A AIPD deve incluir: descrição sistemática do tratamento; avaliação da necessidade e proporcionalidade; avaliação dos riscos para os titulares; medidas previstas para fazer face aos riscos. Se o risco residual for elevado após as medidas, a AT-RAM deve consultar a CNPD previamente ao tratamento (art. 36.º RGPD).

10. Encarregado de Proteção de Dados — EPD/DPO (Arts. 37.º–39.º)

Obrigatoriedade de designação

O Encarregado de Proteção de Dados (EPD, também conhecido pela sigla inglesa DPO — Data Protection Officer) é de designação obrigatória para:

Autoridades e organismos públicos (exceto tribunais no exercício da função jurisdicional) — a AT-RAM está obrigada
Entidades cujas atividades principais consistam em operações de tratamento que exijam controlo regular e sistemático dos titulares em grande escala
Entidades cujas atividades principais consistam no tratamento em grande escala de categorias especiais de dados

Funções do EPD (art. 39.º)

Informar e aconselhar o responsável e os trabalhadores sobre as obrigações RGPD
Controlar o cumprimento do RGPD, das políticas internas e das competências, sensibilização e formação do pessoal
Prestar aconselhamento sobre as AIPDs e verificar a sua execução
Cooperar com a CNPD e ser o ponto de contacto com ela
Ser o ponto de contacto dos titulares para o exercício dos seus direitos

Estatuto e independência (art. 38.º)

O EPD não pode receber instruções no exercício das suas funções, não pode ser exonerado nem penalizado por exercer as suas funções, e reporta diretamente ao mais alto nível hierárquico do responsável. Na AT-RAM, o EPD reporta ao Conselho Diretivo e não pode ser sujeito a pressões dos diretores de serviços ou dos inspetores tributários.

11. Transferências Internacionais de Dados (Arts. 44.º–49.º) — FATCA, CRS e DAC

As transferências de dados pessoais para países terceiros (fora da UE) só são permitidas se o país de destino oferecer proteção equivalente à da UE. Esta regra é particularmente relevante para a AT-RAM no contexto das obrigações de troca automática de informações fiscais internacionais.

Mecanismos de transferência legítima

Mecanismo	Art.	Descrição
Decisão de adequação	45.º	A Comissão reconhece que o país terceiro oferece proteção equivalente. Ex.: países adequados incluem Suíça, Japão, Reino Unido (pós-Brexit, com reservas). EUA: sem decisão de adequação geral — as transferências usam outros mecanismos.
Garantias adequadas (SCCs)	46.º	Cláusulas Contratuais Padrão (Standard Contractual Clauses) adotadas pela Comissão — instrumento mais usado para transferências para os EUA e outros países terceiros.
Regras vinculativas corporativas (BCRs)	47.º	Políticas de proteção de dados de grupos multinacionais, aprovadas pelas autoridades de controlo da UE. Para grupos empresariais com entidades fora e dentro da UE.
Derrogações específicas	49.º	Inclui: interesse público substancial; defesa de direitos em processos judiciais; consentimento explícito. Relevante para transferências no âmbito de pedidos de Assistência Administrativa Mútua (AAM) entre administrações tributárias.

FATCA, CRS (DAC2) e DAC — contexto RGPD

A AT-RAM participa em mecanismos de troca automática de informações fiscais que envolvem transferência de dados pessoais para países terceiros:

FATCA (Foreign Account Tax Compliance Act): Acordo Portugal-EUA para troca automática de informações sobre contas financeiras de cidadãos americanos em Portugal. Transferência de dados pessoais para os EUA. O tratamento assenta no art. 6.º, n.º 1 c) (obrigação jurídica) e o art. 49.º, n.º 1 d) RGPD (interesse público) para a transferência.
CRS/DAC2 (Common Reporting Standard): Norma da OCDE transposta pela Diretiva DAC2 (Diretiva 2014/107/UE) — troca automática de informações sobre contas financeiras entre 100+ países. Inclui transferências para países terceiros com base em acordos de AAM.
DAC6 (intermediários): Troca automática de informações sobre esquemas de planeamento fiscal agressivo. Os dados de contribuintes incluídos em esquemas comunicados são partilhados entre administrações fiscais da UE.
Base jurídica: O art. 49.º, n.º 1 d) RGPD (interesse público substancial reconhecido no direito do EM) justifica estas transferências internacionais no contexto fiscal.

12. Autoridade de Controlo — CNPD (Arts. 51.º–59.º)

Composição e independência

A CNPD (Comissão Nacional de Proteção de Dados) é a autoridade de controlo portuguesa, estabelecida pela Lei 58/2019 (arts. 3.º ss.). Atua com total independência; os seus membros não podem receber instruções de qualquer entidade pública ou privada. Tem sede em Lisboa e competência nacional, incluindo a AT-RAM na Madeira.

Poderes da autoridade de controlo (art. 58.º RGPD)

Tipo de poder	Descrição
Poderes de investigação	Acesso a instalações e equipamentos; notificação do responsável; condução de auditorias; obtenção de informações; acesso a qualquer dado pessoal ou informação necessária
Poderes corretivos	Advertência/repreensão; instrução de conformidade com prazos; limitação ou proibição temporária de tratamento; imposição de AIPD; retirada de certificação; coima administrativa
Poderes de autorização/consultivos	Emitir pareceres sobre propostas legislativas; aprovar cláusulas contratuais; aprovar BCRs; autorizar transferências internacionais; emitir certificações; adotar listas de AIPD obrigatória

Mecanismo de «balcão único» (one-stop-shop) — art. 56.º

Quando um responsável atua em vários EM, a autoridade de controlo do EM do seu estabelecimento principal é competente como «autoridade principal». Para a AT-RAM (estabelecimento único na Madeira), a CNPD é sempre a autoridade competente.

13. Regime Sancionatório (Arts. 83.º–84.º)

Nível	Infrações	Coima máxima
Nível superior	Violação dos princípios (art. 5.º); bases legais (arts. 6.º–7.º); categorias especiais (art. 9.º); direitos dos titulares (arts. 12.º–22.º); transferências internacionais (arts. 44.º–49.º)	20 000 000 € ou 4% do VN anual global (o mais elevado)
Nível inferior	Obrigações do responsável/subcontratante (arts. 25.º–39.º, incluindo AIPD, DPO, segurança, registos); não certificação (arts. 41.º–43.º); não cooperação com a CNPD (art. 83.º, n.º 4)	10 000 000 € ou 2% do VN anual global (o mais elevado)

Aplicação a entidades públicas em Portugal

Em Portugal, a Lei 58/2019 (art. 42.º) limitou a aplicação de coimas a entidades do setor público: as coimas aplicadas a entidades públicas são reduzidas para um máximo de 2 000 000 € para o nível superior e 1 000 000 € para o nível inferior. Além das coimas, a CNPD pode aplicar à AT-RAM as restantes medidas corretivas: advertência, repreensão, instrução de conformidade, limitação do tratamento.

Responsabilidade civil (art. 82.º)

Qualquer pessoa que tiver sofrido danos materiais ou imateriais em resultado de tratamento ilícito tem direito a indemnização do responsável ou subcontratante. O responsável e o subcontratante ficam isentos se provarem que o dano não lhes é de modo algum imputável.

14. Sigilo Fiscal vs. RGPD — Tensão e Compatibilização

O sigilo fiscal (art. 64.º LGT) e o RGPD regulam, a partir de perspetivas diferentes, o mesmo objeto: os dados fiscais dos contribuintes. O sigilo fiscal protege os contribuintes face a divulgações indevidas pela AT-RAM. O RGPD garante os direitos dos titulares (acesso, retificação, apagamento). A compatibilização destas normas é uma das questões mais práticas para o inspetor tributário.

Dimensão	Sigilo Fiscal (LGT art. 64.º)	RGPD / Lei 58/2019	Solução
Proteção dos dados do contribuinte	Proíbe a divulgação de dados tributários a terceiros sem consentimento ou base legal	Proíbe tratamentos ilícitos; garante confidencialidade (princípio de integridade e confidencialidade)	Convergem: ambos protegem o contribuinte; o sigilo fiscal é concretização do RGPD no domínio tributário
Direito de acesso do contribuinte	O contribuinte tem direito de acesso ao seu processo (art. 60.º LGT + CPA)	Art. 15.º RGPD: direito de acesso a dados pessoais tratados	Convergem, com sobreposição: o acesso ao processo tributário satisfaz simultaneamente o RGPD e a LGT
Restrições ao acesso em investigações	Art. 64.º, n.º 2 LGT prevê exceções ao sigilo (cooperação administrativa, processos criminais)	Art. 23.º RGPD + Lei 58/2019 art. 20.º: restrição do direito de acesso para fins de prevenção e investigação de infrações penais, cobrança de impostos	O direito de acesso do contribuinte pode ser restringido durante inspeções em curso ou investigações criminais tributárias
Troca de informações fiscais internacionais	Exceção ao sigilo: informações trocadas ao abrigo de convenções de dupla tributação e acordos de AAM	Art. 49.º RGPD: interesse público substancial como base de transferência para países terceiros	A troca de informações FATCA/CRS/DAC é justificada cumulativamente pela exceção ao sigilo fiscal e pelo interesse público do RGPD

15. Síntese para o Inspetor Tributário

Situação prática	Regra RGPD aplicável	Artigo
Inspeção: recolha de documentos e dados contabilísticos	Tratamento com base em obrigação jurídica (LGT + RCPIT); princípio da minimização: só recolher o necessário para o período inspecionado e os impostos visados	Arts. 5.º e 6.º c)
Relatório de inspeção contém dados pessoais de terceiros	Os dados de terceiros (sócios, gerentes, clientes, fornecedores) são dados pessoais protegidos; só podem ser incluídos se necessários para as correções propostas; acesso ao relatório sujeito a sigilo fiscal	Art. 5.º + art. 64.º LGT
Contribuinte pede acesso aos dados tratados sobre si	Direito de acesso (art. 15.º RGPD); pode ser restringido se comprometer inspeção em curso; não restringe o acesso ao processo tributário concluído	Arts. 15.º e 23.º + Lei 58/2019 art. 20.º
Fuga de dados do sistema da AT-RAM	Violação de dados pessoais: notificação à CNPD em 72h; avaliação de necessidade de notificação aos contribuintes afetados; plano de contenção	Arts. 33.º–34.º
Modelo de risco para seleção de contribuintes a inspecionar	Definição de perfis automatizada (art. 4.º n.º 4); obrigação de garantir revisão humana; possivelmente exige AIPD (art. 35.º) antes de implementar	Arts. 22.º e 35.º
Envio de dados de contribuintes para EUA (FATCA)	Transferência internacional; base: interesse público (art. 49.º) + obrigação jurídica decorrente do acordo FATCA; EPD deve documentar e registar a transferência	Arts. 44.º e 49.º
Contratação de empresa TI para gerir sistemas da AT-RAM	Empresa é subcontratante; obrigatório contrato com cláusulas do art. 28.º RGPD; a AT-RAM mantém a responsabilidade como responsável pelo tratamento	Art. 28.º