IA e Direito
Privacidade
Notas Práticas de Compliance
Decreto-Lei n.º 25/2026
Guia operacional para prestadores de serviços de alojamento virtual
Por Luís Nuno Perdigão
30/JAN/2026
Powered by
Notas práticas de compliance ao Decreto-Lei n.º 25/2026, de 28 de janeiro
Objeto: adaptação interna ao Regulamento (UE) 2021/784 (combate à difusão de conteúdos terroristas em linha), com designação de autoridades, mecanismos processuais e regime contraordenacional. (Diário da República)
Datas e impacto imediato
Entrada em vigor
O Decreto-Lei entra em vigor 60 dias após a publicação.
Data específica
Publicado em 28-01-2026: entrada em vigor em 29-03-2026
Regulamento base
Define regras em Portugal relativas ao Regulamento 2021/784 (EUR-Lex)
Autoridades competentes em Portugal (quem faz o quê)
Polícia Judiciária (PJ)
  • emite decisões de supressão/bloqueio (art. 3.º do Regulamento) e é ponto de contacto para o art. 12.º/2 do Regulamento;
  • analisa/execução de decisões de supressão emitidas por outros EM (art. 4.º do Regulamento).
ANACOM
  • supervisiona medidas específicas (art. 5.º do Regulamento) e demais obrigações com relevância contraordenacional;
  • aplica sanções (art. 18.º do Regulamento).
Regra operacional base: 1 hora para remover/bloquear + dever de retorno de informação
Ao receber uma decisão de supressão:
01
Prazo de execução
Deve suprimir ou bloquear "logo que possível e, em qualquer caso, no prazo de 1 hora" a contar da receção.
02
Registo obrigatório
A decisão deve chegar por meio eletrónico com registo escrito que permita provar autenticidade e data/hora de envio/receção — use isto como "timestamp" oficial do início do prazo.
03
Confirmação
Depois de executar, deve informar a autoridade competente, sem demora injustificada, indicando data e hora da supressão/bloqueio (modelo do anexo II do Regulamento).
Exceções operacionais relevantes (mas formalizadas)
Força maior / impossibilidade não imputável
(p. ex., falha técnica objetivamente justificável): deve informar sem demora a autoridade emissora (anexo III) e o prazo de 1 hora conta quando cessarem os motivos.
Erros manifestos / falta de informação suficiente
Deve informar e pedir esclarecimentos sem demora (anexo III) e o prazo de 1 hora recomeça quando receber os esclarecimentos.
Procedimento Interno
Procedimento interno sugerido (workflow "1 hora")
Preparação (antes de entrar a primeira decisão)
1
Ponto de contacto 24/7 (obrigatório)
Designar/criar ponto de contacto para receção eletrónica e tratamento expedito; informação publicamente disponível; indicar línguas de contacto (incluindo pelo menos uma língua oficial do EM do estabelecimento principal/representante).
2
Equipa e cadeia de decisão
Escala 24/7 com "on-call" (Legal/Trust&Safety/Engenharia), com poderes para executar bloqueio/supressão imediato.
3
Capacidade técnica
Ferramentas para: remoção rápida; geo-blocking (se aplicável); preservação de prova; restauração rápida (ver ponto 6).
4
Registo e auditoria
Log imutável: receção (data/hora), autenticidade, URL/identificadores, ação executada, data/hora de execução, comunicação de retorno.
Receção e triagem (minutos 0 a 10)
Validar autenticidade
Validar autenticidade formal mínima (origem/certificação, assinatura/traço eletrónico; elementos exigidos no Regulamento, como URL exato, base legal, data/hora/assinatura e vias de recurso).
Classificar
Classificar: (i) decisão nacional (PJ) vs (ii) decisão transfronteiriça; (iii) se inclui "não divulgação" ao fornecedor de conteúdos (art. 11.º/3 do Regulamento).
Execução (minutos 10 a 55)
Executar supressão/bloqueio
Executar supressão/bloqueio em produção (incluindo réplicas/CDN/caches), garantindo que o efeito é "em todos os Estados-Membros" quando aplicável.
Preservar conteúdo
Preservar conteúdo e dados conexos (ver ponto 7) antes de purgar (quando tecnicamente possível).
Retorno à autoridade (até minuto 60 + "sem demora injustificada")
Confirmação obrigatória
Enviar confirmação com data/hora de execução (modelo anexo II).
Impossibilidade de execução
Se não executou por impossibilidade/erro: notificar (anexo III), documentando causas e evidência técnica.
Direitos dos Fornecedores
Informação ao fornecedor de conteúdos e "mecanismos de reclamação"
Informação ao fornecedor de conteúdos (Regulamento, art. 11.º)
Regra geral
Se suprimiu/bloqueou, deve informar o fornecedor de conteúdos; e, a pedido, fornecer motivos e/ou cópia da decisão e o direito de contestar.
Exceção importante
Se a autoridade decidir não divulgação por segurança pública, não pode divulgar por período até 6 semanas, prorrogável por mais 6.
Reclamações (Regulamento, art. 10.º)
Mecanismo obrigatório
Obrigatório ter mecanismo eficaz e acessível para reclamações quando a remoção/bloqueio decorra de medidas específicas; se a remoção for injustificada, deve repor/desbloquear sem demora indevida e responder em 2 semanas.
Decisões transfronteiriças e obrigação de reposição/desbloqueio
Decisões transfronteiriças
Se receber decisão transfronteiriça, deve cumprir as medidas do art. 3.º e preparar capacidade para repor/desbloquear se houver decisão que faça cessar os efeitos.
Cessação de efeitos
Se a autoridade competente do EM do estabelecimento principal/representante concluir infração grave/manifesta, a decisão de supressão cessa efeitos, e o prestador deve repor/desbloquear imediatamente (sem prejuízo de T&C).
Direito de análise
Há ainda o direito de pedir análise no prazo de 48h (prestador e fornecedor de conteúdos).
Contraordenação
No plano nacional, o incumprimento de decisão de reposição/desbloqueio é contraordenação (DL, art. 5.º/1, al. d)).
Conservação de conteúdos e dados conexos (prova e cadeia de custódia)
Obrigação de conservação
Deve conservar conteúdos terroristas suprimidos/bloqueados e dados conexos necessários para: (i) recursos/reclamações; (ii) prevenção/investigação/repressão.
Prazo
6 meses a contar da supressão/bloqueio; pode ser prorrogado por pedido da autoridade/tribunal, apenas pelo tempo necessário ao fim indicado.
Garantias
Exigidas garantias técnicas e organizativas para restringir acesso/uso e assegurar segurança de dados pessoais.
Medidas específicas (para prestadores "expostos")
Um prestador pode ser considerado "exposto" se, p. ex., tiver recebido duas ou mais decisões definitivas em 12 meses e for notificado.
Se exposto, deve adotar medidas específicas (escolha do prestador), podendo incluir:
reforço de meios técnicos/operacionais e dotação de pessoal para identificar/remover rapidamente;
mecanismos simples de denúncia/sinalização por utilizadores;
moderação/sensibilização e outras medidas adequadas.

Requisitos: eficácia, proporcionalidade, respeito por direitos fundamentais (incl. liberdade de expressão e dados pessoais), aplicação diligente e não discriminatória; se usar meios técnicos, garantir supervisão/verificação humana para evitar falsos positivos.
Dever de reporte à autoridade competente: comunicar as medidas tomadas e a tomar em 3 meses após notificação e depois anualmente.
E não há obrigação geral de monitorização, nem obrigação de usar ferramentas automatizadas.
"Red flags" criminais/urgentes: ameaça iminente à vida
Se o prestador tomar conhecimento de conteúdos terroristas com ameaça iminente à vida, deve informar imediatamente as autoridades de investigação/repressão — art. 14.º, n.º 5 do Regulamento.
Sanções
Regime sancionatório (DL 25/2026): mapa útil para compliance
Tipos de infrações e coimas
Tipos de infrações (art. 5.º do DL)
O DL tipifica como contraordenações, entre outras:
incumprimento do prazo de 1 hora (nacional e transfronteiriço); falta de "retorno de informação" (data/hora); incumprimento de medidas específicas; conservação; transparência; mecanismos de reclamação; deveres de informação aos fornecedores; ponto de contacto; representante legal; comunicação de ameaça iminente.
Graves
alíneas b), d), e), g), h), i), j) — incluem: incumprimento de decisão de reposição/desbloqueio; falta de mecanismo de reclamação; incumprimento de deveres de informação ao fornecedor de conteúdos; falta de ponto de contacto; incumprimento de obrigações de transparência.
Muito graves
alíneas a), c), f), k), l), m), n) — incluem: incumprimento do prazo de 1 hora (nacional e transfronteiriço); incumprimento de medidas específicas; falta de conservação de conteúdos; falta de comunicação de ameaça iminente à vida; falta de representante legal.
Coimas (valores)
Contraordenações graves
pessoa singular: €3.000–€8.000; micro: €5.500–€10.500; pequena: €10.500–€25.500; média: €20.500–€50.500; grande: €100.500–€1.000.500.
Contraordenações muito graves
pessoa singular: €8.000–€20.500; micro: €10.500–€50.500; pequena: €25.500–€150.500; média: €50.500–€450.500; grande: €1.000.500–€5.000.500.
Reincidência
Reincidência no incumprimento do prazo de 1 hora (alíneas a) e c)) pode ir até 4% do volume de negócios global do exercício anterior (nos termos do DL).
Tentativa e negligência
Tentativa e negligência são puníveis (coima reduzida a metade dos limites mínimo e máximo).
Responsabilidade e competência sancionatória
Podem ser responsabilizados: prestadores, representantes legais (quando aplicável) e fornecedores de conteúdos; regras de imputação a pessoas coletivas; responsabilidade do representante legal em certos termos.
A ANACOM instaura e instrui os processos e aplica as coimas (conselho de administração).
Checklists rápidas (para operacionalizar)
A) Checklist "pré-decisão"
  • Ponto de contacto 24/7 publicado + línguas definidas.
  • Processo interno "1 hora": on-call + playbook + logs.
  • Mecanismo de preservação (6 meses) e controlos de acesso.
  • Política/T&C e transparência (incl. relatório até 1 de março do ano seguinte, quando aplicável).
  • Mecanismo de reclamação (para medidas específicas) + SLA 2 semanas.
B) Checklist "incidente"
  • Timestamp oficial (registo da receção) e verificação formal mínima.
  • Execução (suprimir/bloquear) ≤ 1 hora.
  • Preservação de conteúdo/dados conexos.
  • Retorno à autoridade com data/hora.
  • Informação ao fornecedor de conteúdos (ou "hold" por não divulgação).
  • Preparação para reposição/desbloqueio imediato se aplicável (especialmente transfronteiriço).

Nota: consulte sempre um Advogado ou Jurista
O Juristech.pt não é um site de consulta jurídica, é um site de análise e de artigos sobre IA e Direito, Legaltech e Lawtech.
Esta nota é uma síntese prática para desenho de processos de compliance e não substitui aconselhamento jurídico especializado.
Juristech.pt — Onde a Tecnologia encontra o Direito
© 2026 Luís Nuno Perdigão