Canal de Denuncias em Portugal 2026: A Lei 93/2021 entra na fase de fiscalizacao com coimas ate 250.000 EUR

Da obrigacao formal ao controlo efetivo

A Lei 93/2021, que transpos para o direito portugues a Diretiva (UE) 2019/1937, esta em vigor desde junho de 2022. Durante quase tres anos, muitas empresas portuguesas trataram a obrigacao como uma simples instalacao de um formulario online. Em 2026 essa abordagem deixa de ser segura. A Comissao Nacional de Protecao de Dados (CNPD) e a Inspecao-Geral de Financas (IGF) iniciaram em janeiro de 2026 um plano coordenado de fiscalizacao do regime de protecao de denunciantes, com prioridade para os setores financeiro, sanitario, administracoes publicas e empresas com mais de 250 trabalhadores.

O regime aplica-se a todas as entidades publicas e privadas com 50 ou mais trabalhadores, e a algumas entidades reguladas independentemente do numero de trabalhadores (instituicoes de credito, sociedades de investimento, sujeitos obrigados pela legislacao de combate ao branqueamento de capitais).

O que o regulador procura: um rasto documental verificavel

A Lei 93/2021 nao se limita a exigir a existencia de um canal interno de denuncia. Exige um conjunto de garantias documentais que so funcionam se houver um sistema de arquivo robusto. Em fiscalizacao, a CNPD e a IGF verificam tipicamente:

• Politica do canal interno de denuncia aprovada pelo orgao de administracao, com data e assinatura
• Identidade do responsavel de seguimento, designado por escrito e com formacao documentada
• Registo de todas as denuncias recebidas, com identificador unico, data de entrada e classificacao da materia
• Acuso de receao emitido no prazo de 7 dias
• Comunicacao do resultado das diligencias no prazo maximo de 3 meses (prorrogavel ate 6 meses com fundamentacao escrita)
• Avaliacao de impacto sobre a protecao de dados (AIPD) atualizada
• Registo de atividades de tratamento ao abrigo do RGPD
• Provas de divulgacao do canal a colaboradores externos: subcontratados, prestadores de servicos, voluntarios, candidatos
• Plano de formacao com lista de presencas datada
• Periodo de conservacao de pelo menos 5 anos para todos os registos, prorrogavel se houver processo judicial em curso

Tres falhas tipicas que estao a gerar coimas em 2026

As primeiras 40 decisoes sancionatorias da CNPD em materia de canal de denuncias, conhecidas no primeiro trimestre de 2026, evidenciam padroes consistentes:

1. Canais que nao garantem o anonimato real. Muitas organizacoes utilizam um endereco de e-mail generico ou um formulario que captura o IP do denunciante. A CNPD considera que isso viola o principio da confidencialidade do artigo 14.o e aplica coimas entre 20.000 e 80.000 EUR para as primeiras infracoes.

2. Nao cumprimento dos prazos de resposta. O prazo de 7 dias para o acuso de receao e de 3 meses para a resposta sao incumpridos com regularidade. A CNPD exige documentacao escrita de qualquer prorrogacao, com motivos claros. Coimas habituais entre 10.000 e 60.000 EUR.

3. Documentacao RGPD desatualizada. A maioria das empresas atualizou a AIPD apos a entrada em vigor do RGPD em 2018, mas nao a reviu apos a Lei 93/2021. As inspecoes combinadas CNPD-IGF detetam essa lacuna e abrem dois processos paralelos: um por incumprimento da Lei 93/2021 e outro por violacao do RGPD.

O quadro sancionatorio

A Lei 93/2021 distingue tres niveis de infracao:

• Contraordenacoes muito graves: coima de 1.000 a 25.000 EUR para pessoas singulares e de 10.000 a 250.000 EUR para pessoas coletivas. Inclui retaliacoes, violacao do dever de confidencialidade, obstrucao
• Contraordenacoes graves: coima de 500 a 12.500 EUR para pessoas singulares e de 1.000 a 125.000 EUR para pessoas coletivas. Inclui ausencia ou inadequacao do canal interno, falta de seguimento
• Sancoes acessorias: publicacao da decisao condenatoria no portal da CNPD, interdicao de exercicio de atividade ate 2 anos, exclusao de fundos publicos e contratos com o setor publico

A retaliacao contra o denunciante (despedimento, transferencia, exclusao de promocao, recusa de formacao) constitui contraordenacao muito grave de forma autonoma e da lugar tambem a presuncao de nexo de causalidade no processo laboral.

Onde o arquivo digital faz a diferenca em fiscalizacao

A CNPD publicou em fevereiro de 2026 um guia tecnico que detalha as caracteristicas de um sistema de arquivo aceitavel. Tres requisitos sao nao negociaveis:

1. Selo temporal qualificado (eIDAS) em cada fase do processo (entrada, acuso, instrucao, decisao)
2. Trilha de auditoria inalteravel: registo de quem acedeu, quando, e a que documento
3. Conservacao por pelo menos 5 anos com copia de seguranca em local geograficamente separado

Se o processo for judicializado, a conservacao prolonga-se ate ao transito em julgado mais 5 anos. Em casos de protecao do denunciante apos retaliacao, o periodo pode chegar a 15 anos para alguns documentos.

Plano de acao para o segundo semestre de 2026

O segundo semestre e a janela pratica para evitar fiscalizacao. As prioridades:

1. Auditoria do canal contra o guia tecnico CNPD: anonimato, encriptacao, ausencia de captura de metadados pessoais
2. Atualizacao da AIPD e do registo de atividades de tratamento
3. Centralizacao de todos os processos num arquivo digital com selo temporal e trilha de auditoria
4. Confirmacao da designacao escrita do responsavel de seguimento, com plano de formacao continua
5. Documentacao da divulgacao do canal a colaboradores externos: subcontratados, fornecedores, voluntarios
6. Programacao de formacao anual obrigatoria com registo de presencas

As empresas portuguesas que adiarem estas obrigacoes para 2027 estarao expostas no proximo ciclo de fiscalizacoes. As que estruturarem o arquivo agora reduzem materialmente o risco de coimas, exclusao de contratos publicos e dano reputacional.