Is a CCTV pictogram alone enough under GDPR?

No. The pictogram is the layered approach's first level — the second level (controller name, contact, lawful basis, retention, DPO contact, link to full privacy notice) must be available either on the same sign or on a clearly visible companion sign nearby. The European Data Protection Board's 3/2019 guidance explicitly requires this two-level approach for any CCTV deployment processing personal data.

Can I use one sign for multiple cameras?

Yes, if the sign is positioned at every entry point to the monitored area and is visible before a person enters the camera coverage. For large sites with multiple zones (parking + lobby + corridors), a sign at each zone boundary is the safe pattern. A single sign at the main entrance is insufficient for visitors who enter via secondary doors.

What size and material should the sign be?

GDPR doesn't mandate a specific size, but DPAs across the EU consistently fine for signs that are too small or too high to be read at the natural approach distance. Practical rule: pictogram must be readable from 5 m, second-level text from 1.5 m. UV-stable PVC or aluminium dibond is standard for outdoor durability. Avoid laminated paper — sun and rain make it unreadable within months and the DPA treats illegible signs as no signage.

Do I need to translate the sign?

Yes, into every language a visitor would reasonably understand. In a tourist area or international airport that's typically English plus the national language. For workplace CCTV, every working language at the site. Single-language signs in multilingual contexts have been fined as inadequate notice. The pictogram itself is universal but the second-level text needs translation.

Conformidade · Sinalização · Atualizado 2026-05-05

Requisitos de sinalização e pictogramas GDPR para a videovigilância

Um pictograma na porta, por si só, não constitui sinalização CCTV em conformidade GDPR. A orientação da Autoridade Europeia para a Proteção de Dados, que adota uma abordagem por camadas, exige um primeiro nível (pictograma + informação crítica mínima) e um segundo nível (aviso de privacidade completo, acessível a partir do mesmo local). A maioria das ações de fiscalização relacionadas com CCTV em residências e pequenas empresas começa com uma falha na sinalização, e não com o processamento de dados subjacente.

O conteúdo obrigatório da sinalização de primeiro nível

Pictograma — O ícone universal da câmara CCTV, grande o suficiente para ser lido a uma distância de aproximação de 5 metros.
Identidade do controlador — "O nome legal do operador (empresa, agregado familiar, entidade pública). Apenas "Proprietário" não é suficiente."
Contacto — No mínimo, um endereço de e-mail; telefone ou endereço postal são práticas recomendadas.
Finalidade — Breve descrição da finalidade da segurança (ex.: "proteção de bens", "prevenção de roubo").
Fundamento jurídico — Normalmente, «artigo 6.º, n.º 1, alíneaf), GDPR — interesse legítimo»; em contextos de trabalho, acrescente a referência relevante à legislação laboral.
Período de retenção — em dias, por exemplo, "imagens retidas durante 30 dias".
Aviso de direitos — Uma declaração de uma linha informando que os titulares dos dados podem exercer os seus direitos GDPR, com o link ou contacto para o fazer.
Contato do DPO — Obrigatório para as organizações que tenham indicado um; opcional para operadores residenciais e de pequenas empresas.
Consulte o aviso de privacidade completo. — URL ou código QR que aponta para o aviso de segundo nível.

Complementos específicos para cada país

Polónia (orientações RODO + UODO). O pictograma deve incluir o nome legal completo e o endereço do responsável pelo tratamento, o período de retenção em dias e uma referência ao catálogo de direitos GDPR. A UODO multou os operadores por omissão do endereço do controlador e por declarações de retenção que se referem apenas ao "período necessário".

Alemanha (RGPD + orientações da autoridade estadual de proteção de dados). Cada autoridade de proteção de dados estadual publica o seu próprio modelo; o mínimo exigido a nível federal é: controlador, contacto, finalidade, base legal, retenção, direitos e DPO. As autoridades de proteção de dados da Baviera e de Baden-Württemberg têm sido particularmente rigorosas quanto à especificidade da retenção — "30 dias" é aceitável, "enquanto for necessário" não é.

Itália (modelo Garante). A Garante publica um pictograma vinculativo + modelo de segundo nível. A sinalização CCTV no local de trabalho deve, adicionalmente, fazer referência ao acordo sindical ou à autorização da Inspeção do Trabalho, nos termos do Artigo 4.º do estatuto dos trabalhadores.

Espanha (modelo AEPD). A AEPD disponibiliza um pictograma para download e um modelo de aviso de segundo nível. Ambos são praticamente obrigatórios; em caso de desvio, o responsável pelo tratamento necessita de demonstrar que a informação fornecida é equivalente ou melhor.

Reino Unido (Código de Práticas de Emprego da ICO + Código de Práticas do Comissário das Câmaras de Vigilância). O ICO não publica um modelo de sinalização vinculativa, mas o seu Código de Práticas de Emprego é considerado como referência. O Código de Práticas do Comissário das Câmaras de Vigilância acrescenta pontos de boas práticas para os operadores (sinalização visível da aproximação, em inglês e outras línguas relevantes, com inspeção regular para garantir a legibilidade).

Onde colocar as placas

Em cada ponto de entrada da área monitorizada, antes de um visitante entrar no FOV da câmara. Para uma loja com uma única entrada, uma placa na porta. Para um parque de estacionamento com três entradas para veículos mais um portão para peões, no mínimo quatro placas. Para um edifício de escritórios com vários pisos, placas em todos os pisos, nas entradas dos elevadores e escadas.

A sinalização deve estar ao nível natural dos olhos (1,5–2,0 m) e não pode ser obstruída por folhagem, prateleiras, veículos estacionados ou decorações sazonais. As autoridades de proteção de dados de toda a UE aplicam regularmente multas por sinalização que, embora esteja tecnicamente presente, é praticamente invisível.

Para lojas com serviço de drive-thru e estacionamento, instale a primeira placa na cancela de entrada, onde os veículos param, e a segunda placa na entrada da fila de lugares. O condutor deve ter lido a matrícula antes de ser apanhado pela câmara.

Manutenção — o modo de falha silencioso

As placas externas degradam-se. Os raios UV desbotam o pictograma, a chuva remove a tinta e o vandalismo apaga-as. Inspecione as chapas trimestralmente, fotografe cada uma e registe a inspeção. Uma placa que estava em conformidade no momento da instalação, mas ilegível no momento da reclamação, é considerada como se não existisse — a Garante, a UODO e a AEPD já aplicaram coimas por casos de "placa em conformidade na instalação, degradada na auditoria".

Gere um plano de posicionamento de sinalização com base no seu projeto de CCTV.

O CCTVplanner exporta um mapa de campo de FOV por câmara que pode utilizar para identificar todos os pontos de entrada que necessitam de sinalização. O plano gratuito cobre 1 local.

Referência completa RODO / GDPR →

O nosso guia completo de conformidade para controladores de CCTV.

CCTV no local de trabalho de acordo com GDPR →

DPIA, conselho de trabalhadores, regras de retenção para monitorização de colaboradores.