ChatGPT
Claude
Perplexity
Gemini
GrokQue dados pessoais recolhe um chatbot IA no site da sua escola?
Um chatbot com inteligência artificial instalado no site da sua escola, instituto politécnico ou universidade começa a tratar dados pessoais no instante em que um candidato escreve a primeira mensagem. Esse tratamento está integralmente sujeito ao RGPD (Regulamento 2016/679), à Lei n.º 58/2019 (lei de execução portuguesa) e à supervisão da CNPD (Comissão Nacional de Proteção de Dados). A CNPD publicou orientações específicas sobre o uso de IA em contextos educativos que as instituições de ensino superior devem conhecer.
Na prática, um chatbot para uma escola superior recolhe quatro categorias de dados pessoais:
- Dados de contacto fornecidos pelo candidato — nome, endereço de e-mail, número de telemóvel.
- Dados de interesse académico — curso de interesse, campus preferido, regime (presencial/online), ano de início.
- Conteúdo das conversas — o texto completo do diálogo, incluindo perguntas e respostas.
- Metadados técnicos — endereço IP, carimbo de data/hora, ID de sessão, tipo de browser.
72% das interações do chatbot nos sites de escolas são perguntas FAQ padrão — cada uma delas um tratamento de dados que exige uma base jurídica válida ao abrigo do RGPD. (Fonte: classificação automática de 12.000 conversações Skolbot, 2025)
Para o enquadramento global de todas as obrigações de proteção de dados da sua instituição, consulte o nosso guia RGPD para escolas.
Que base jurídica do RGPD se aplica a cada tipo de dado?
O RGPD reconhece seis bases jurídicas (artigo 6.º, n.º 1). Para um chatbot de uma escola superior, três são relevantes: consentimento (al. a)), execução de medidas pré-contratuais (al. b)) e interesse legítimo (al. f)). A escolha da base jurídica determina os direitos do candidato e os prazos de conservação permitidos.
| Tipo de dado | Base jurídica | Prazo de conservação | Notas importantes |
|---|---|---|---|
| Nome e e-mail (fornecidos pelo candidato) | Medidas pré-contratuais (art. 6.º, n.º 1, al. b)) ou consentimento (al. a)) | Máx. 12 meses após último contacto ativo | Consentimento necessário se os dados forem usados para fins de marketing |
| Número de telemóvel | Consentimento (art. 6.º, n.º 1, al. a)) | Máx. 12 meses após último contacto ativo | Recolher apenas se o candidato fornecer voluntariamente |
| Curso de interesse e campus preferido | Interesse legítimo (art. 6.º, n.º 1, al. f)) | Máx. 12 meses após último contacto ativo | Documentar a ponderação de interesses; candidato pode opor-se |
| Conteúdo completo das conversas | Interesse legítimo (art. 6.º, n.º 1, al. f)) ou consentimento (al. a)) | Máx. 12 meses; anonimização de dados sensíveis ao fim de <30 dias | Conversas podem conter dados de categorias especiais |
| Endereço IP e metadados de sessão | Interesse legítimo (art. 6.º, n.º 1, al. f)) | Máx. 30 dias | IP é dado pessoal; anonimizar o mais depressa possível |
| Estatísticas de conversação (anonimizadas) | Interesse legítimo (art. 6.º, n.º 1, al. f)) | Ilimitado (se verdadeiramente anonimizadas) | Verificar se os dados são realmente não identificáveis |
Tempos de resposta como argumento de conformidade: um chatbot IA responde em 3 segundos, 24 horas por dia, 7 dias por semana. O e-mail demora 47 horas; o formulário de contacto, 72 horas. (Fonte: auditoria mystery shopping Skolbot, 2025, 80 instituições FR.) Essa velocidade só é sustentável se a infraestrutura de tratamento de dados estiver devidamente configurada — uma violação de dados ou uma inspeção da CNPD interrompe imediatamente o processo de recrutamento.
Minimização de dados: o princípio que limita o que o chatbot pode recolher
A minimização de dados é um dos princípios fundamentais do RGPD (artigo 5.º, n.º 1, al. c)) e o mais frequentemente ignorado nas implementações de chatbot. A regra é simples: recolhe apenas os dados estritamente necessários para a finalidade declarada.
O que isto significa na prática para um chatbot de escola superior:
- Não pedir o número de telemóvel se a comunicação é feita exclusivamente por e-mail.
- Não pedir a data de nascimento a menos que seja necessário verificar requisitos de acesso a um curso específico.
- Não conservar o histórico completo de conversas indefinidamente. O conteúdo de conversas que não resultaram em candidatura não tem finalidade operacional após 12 meses.
- Anonimizar os endereços IP o mais rapidamente possível — de preferência nas primeiras 24–48 horas após a sessão.
- Não utilizar pixels de rastreamento na interface do chatbot sem base de consentimento válida.
A Diretriz 1/2018 da CNPD sobre tratamento de dados em contexto educativo estabelece que as instituições de ensino superior devem ser capazes de demonstrar, para cada dado recolhido, a necessidade concreta face à finalidade declarada. A questão que deve colocar a cada campo do chatbot: "Este dado é absolutamente necessário para responder à questão do candidato?" Se a resposta for "não" ou "seria útil, mas não indispensável", o dado não deve ser recolhido.
Dados de categorias especiais: cautela redobrada
Os candidatos partilham voluntariamente, nas conversas com chatbots, informações que podem não reconhecer como sensíveis, mas que são juridicamente categorias especiais ao abrigo do artigo 9.º do RGPD:
- Dados de saúde: "Tenho uma deficiência motora e gostaria de saber se o campus é acessível."
- Origem étnica ou racial: "Como estudante internacional vinda de…"
- Orientação sexual: questões sobre inclusividade LGBTQ+ no campus.
- Convicções religiosas ou filosóficas: questões sobre alimentação halal ou kosher nas cantinas.
O tratamento de categorias especiais de dados é em princípio proibido (artigo 9.º RGPD) salvo exceções específicas. Para um chatbot de escola superior: não precisa de dados de categorias especiais para responder a perguntas gerais de candidatura. Configure o seu chatbot de modo que:
- As conversas sejam automaticamente analisadas para detetar categorias especiais.
- Esses dados sejam anonimizados ou eliminados automaticamente ao fim de <30 dias.
- As conversas que contenham categorias especiais não sejam utilizadas para treinar o modelo de IA sem consentimento explícito.
Para orientações detalhadas sobre a gestão do consentimento nos formulários de inscrição em jornadas de portas abertas e newsletters, consulte o nosso artigo sobre consentimento de cookies e RGPD para escolas.
AIPD: quando é obrigatória uma avaliação de impacto?
O RGPD obriga a realizar uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) antes de iniciar um tratamento que apresente um elevado risco para os direitos e liberdades dos titulares dos dados (artigo 35.º). A CNPD publicou uma lista de tipos de tratamento que exigem AIPD.
Um chatbot com IA para uma escola superior requer quase certamente uma AIPD porque:
- Tratamento automatizado em grande escala: o chatbot processa conversas de milhares de candidatos.
- Definição de perfis: se o chatbot categoriza candidatos com base nas suas perguntas (curso popular, perfil de risco, preferência de campus), está a fazer definição de perfis.
- Possível tratamento de categorias especiais: mesmo que não seja intencional, as conversas podem conter esses dados.
- Regulamento IA: a CNPD acompanha a aplicação do Regulamento IA (Regulamento 2024/1689); os sistemas de IA para educação podem ser classificados como sistemas de alto risco a partir de agosto de 2026.
A AIPD documenta os riscos, as medidas para os mitigar e — quando os riscos não podem ser completamente eliminados — a consulta prévia à CNPD. Conserve a AIPD e reveja-a sempre que o sistema de chatbot sofrer alterações materiais.
Transparência e direitos dos titulares: o que o chatbot deve comunicar
O RGPD obriga a informar o titular dos dados no momento da recolha (artigo 13.º). Para um chatbot, isso implica uma nota de privacidade ao abrir a janela de chat — não apenas uma ligação para a política de privacidade, mas informação direta e compreensível.
O que a mensagem de boas-vindas ou a primeira interação do chatbot deve obrigatoriamente incluir:
- Identidade do responsável pelo tratamento: a sua escola, pelo nome completo.
- Aviso de IA: ao abrigo do artigo 50.º do Regulamento IA (aplicável a partir de agosto 2026, mas já uma exigência de transparência RGPD), o candidato deve saber que está a interagir com uma IA.
- Finalidade do tratamento: "Os seus dados são tratados para responder às suas perguntas e fornecer informação sobre os nossos cursos."
- Prazo de conservação: "O conteúdo das conversas é conservado por um máximo de 12 meses."
- Direitos: "Pode aceder, retificar ou solicitar a eliminação dos seus dados através de [e-mail ou formulário]."
Os candidatos têm os seguintes direitos que a sua instituição deve ser capaz de exercer operacionalmente:
- Direito de acesso (artigo 15.º): fornecer cópia de todos os dados da conversa no prazo de um mês.
- Direito de retificação (artigo 16.º): corrigir dados incorretos.
- Direito ao apagamento (artigo 17.º): eliminar os dados se a base jurídica era o consentimento e o candidato o revoga.
- Direito de limitação (artigo 18.º): suspender o tratamento ativo enquanto uma oposição é avaliada.
- Direito de oposição (artigo 21.º): quando o tratamento se baseia no interesse legítimo.
Certifique-se de que o contrato de subcontratação com o fornecedor do chatbot (artigo 28.º RGPD) especifica como e em que prazo o fornecedor responde a pedidos de acesso, retificação ou eliminação.
Lista de verificação prática para um chatbot conforme com o RGPD
Use esta lista como ponto de partida para a auditoria interna. Para uma auditoria RGPD completa da sua instituição, consulte a nossa checklist de auditoria RGPD para universidades.
- Atividades de tratamento do chatbot registadas no registo de atividades (artigo 30.º RGPD)
- AIPD realizada e documentada antes da entrada em funcionamento
- Contrato de subcontratação com o fornecedor do chatbot assinado e atualizado
- Subcontratantes do fornecedor (alojamento, modelo de IA) identificados e documentados
- Para alojamento fora do EEE: garantias adequadas para transferência internacional presentes (CCT)
- Nota de privacidade visível ao abrir a janela de chat (identidade, finalidade, prazo, direitos)
- Aviso de IA presente (candidato sabe que está a interagir com uma inteligência artificial)
- Prazos de conservação configurados tecnicamente (eliminação automática após 12 meses)
- Anonimização automática de conteúdo sensível das conversas ao fim de <30 dias configurada
- Procedimento para resposta a pedidos RGPD (acesso, eliminação) operacional
- Chatbot incluído na política de cookies se utilizar cookies de sessão ou localStorage
FAQ
A nossa escola precisa de um contrato de subcontratação com o fornecedor do chatbot?
Sim, sempre. Quando um fornecedor externo trata dados pessoais em nome da sua escola — o que qualquer fornecedor de chatbot faz por definição —, é obrigatório celebrar um contrato de subcontratação ao abrigo do artigo 28.º do RGPD. Esse contrato define o que o fornecedor pode e não pode fazer com os dados, as medidas de segurança aplicáveis, os prazos de conservação, a notificação de violações de dados e a forma como o fornecedor responde a pedidos dos titulares. Um contrato de serviço padrão sem cláusulas RGPD não é suficiente. Verifique também se o fornecedor utiliza subcontratantes (alojamento, fornecedor do modelo de IA) e se esses subcontratantes estão identificados no contrato.
O chatbot pode usar o conteúdo das conversas para treinar o modelo de IA?
Apenas com uma base jurídica explícita e válida — e na maioria dos casos isso significa consentimento do candidato (artigo 6.º, n.º 1, al. a) e artigo 22.º, n.º 2, al. c)). O interesse legítimo é difícil de sustentar aqui, porque o candidato não tem uma expectativa razoável de que a sua conversa com um chatbot de uma escola seja usada para treino de IA. O contrato de subcontratação deve especificar explicitamente se o fornecedor pode usar os dados para treino do modelo — e se não desejar que isso aconteça, deve estar contratualmente proibido. Verifique as condições gerais do seu fornecedor: em muitos casos, o treino com dados de utilizadores está ativado por padrão.
Qual é o prazo máximo de conservação das conversas do chatbot?
O RGPD não estabelece um prazo máximo absoluto, mas exige que os dados não sejam conservados por mais tempo do que o necessário para a finalidade declarada (artigo 5.º, n.º 1, al. e)). Para conversas que não resultaram em candidatura, 12 meses é o prazo sectorialmente aceite. Para conversas que conduziram a uma candidatura, pode conservar o conteúdo durante o tempo em que for operacionalmente relevante para o percurso académico — mas deve eliminar ou anonimizar o conteúdo que já não contribua para essa finalidade. O conteúdo sensível (categorias especiais partilhadas inadvertidamente) deve ser anonimizado ao fim de <30 dias, mesmo que a conversa seja ainda operacionalmente relevante.
Como protegemos os dados de candidatos menores de 16 anos?
Em Portugal, a Lei n.º 58/2019 fixou a idade de consentimento para serviços da sociedade de informação nos 13 anos — abaixo do máximo de 16 anos previsto no RGPD. No entanto, para qualquer tratamento baseado no consentimento com candidatos menores de 16 anos, a Lei 58/2019 exige o consentimento dos pais ou tutores para candidatos com menos de 13 anos. Para institutos politécnicos e escolas superiores que recrutam candidatos do ensino secundário (maioritariamente com 17–18 anos), o risco é limitado mas real: inclua uma verificação de idade nos formulários do chatbot e configure fluxos adequados para menores. Se a sua escola oferecer cursos de especialização tecnológica (CET) ou cursos de curta duração acessíveis a menores, este requisito torna-se particularmente relevante.
O que fazer se o chatbot causar uma violação de dados?
O artigo 33.º do RGPD obriga a notificar a CNPD de uma violação de dados no prazo de 72 horas após a sua deteção, sempre que a violação seja suscetível de resultar num risco para os direitos e liberdades dos titulares. Para violações envolvendo chatbots — como acesso não autorizado a históricos de conversas — esse risco está tipicamente presente. Notifique a violação, documente a natureza do incidente, o número de titulares afetados, as categorias de dados envolvidas e as medidas adotadas. Se a violação implicar um risco elevado para os titulares individuais, é também obrigatório informá-los diretamente (artigo 34.º RGPD). Certifique-se de que o contrato com o fornecedor do chatbot inclui uma obrigação contratual de notificação em <24 horas — para que possa cumprir o prazo legal de 72 horas.
Um chatbot com IA conforme com o RGPD não é um projeto burocrático — é a infraestrutura técnica e jurídica que permite à sua escola apoiar candidatos da forma que esperam: rápida, personalizada e de confiança. Os 7% de conversas que requerem intervenção humana (Fonte: Skolbot, 2025) são precisamente aquelas em que a sua equipa acrescenta mais valor. Os restantes 93% automatiza-os com total conformidade RGPD.
Teste o Skolbot na sua universidade em 30 segundos
