ChatGPT
Claude
Perplexity
Gemini
GrokA adoção de um chatbot de inteligência artificial num estabelecimento de ensino superior em Portugal — universidade pública, politécnico, escola de gestão privada ou instituição acreditada pela A3ES (Agência de Avaliação e Acreditação do Ensino Superior) — implica obrigações jurídicas que vão muito além da configuração técnica do sistema. O quadro aplicável é o Regulamento Geral sobre a Proteção de Dados (RGPD — Regulamento UE 2016/679), complementado pela Lei 58/2019 de 8 de agosto, que assegura a execução do RGPD na ordem jurídica nacional. A autoridade supervisora é a Comissão Nacional de Proteção de Dados (CNPD), que tem vindo a intensificar a fiscalização no setor educativo.
72 % das perguntas que os candidatos colocam num chatbot são automatizáveis — desde condições de acesso através da DGES até propinas, calendários de candidatura e estruturas curriculares. (Fonte: classificação automática de 12.000 conversações Skolbot, 2025.) Cada uma dessas interações gera dados pessoais para os quais a instituição, enquanto responsável pelo tratamento nos termos do artigo 4.º do RGPD, necessita de uma base jurídica válida e de garantias técnicas adequadas.
Este artigo destina-se ao encarregado de proteção de dados (EPD), ao diretor de tecnologias de informação ou ao diretor de admissões de uma instituição de ensino superior portuguesa que esteja a avaliar ou a renegociar um contrato com um fornecedor de chatbot. Não é uma introdução teórica ao RGPD — é um guia de compra com critérios concretos e perguntas diretas.
Para o enquadramento geral da proteção de dados na sua instituição, consulte o nosso guia RGPD completo para dados estudantis. Para as obrigações específicas de recolha de dados por um chatbot IA, leia Chatbot IA e RGPD: que dados podem as escolas recolher?.
Por que a conformidade com o RGPD é um critério de compra incontornável para chatbots em escolas
A conformidade com o RGPD não é uma vantagem diferencial de um fornecedor de chatbot — é o limiar mínimo para que o sistema possa funcionar legalmente em Portugal. A CNPD tem competência para aplicar coimas de até 20 milhões de euros ou 4 % do volume de negócios anual global por infracção às disposições fundamentais do RGPD, designadamente as relativas às bases jurídicas do tratamento, ao consentimento e às obrigações de segurança.
A Lei 58/2019 introduz especificidades nacionais relevantes: designadamente, o artigo 20.º alarga as situações em que a designação de um EPD é obrigatória, incluindo as entidades do ensino superior que tratem dados pessoais em grande escala. Uma instituição que utilize um chatbot ativo no seu sítio web durante todo o período de candidaturas — potencialmente com dezenas de milhares de conversações por ano — dificilmente escapa a esta obrigação.
As instituições que integram bem a conformidade colhem resultados concretos: +62 % de leads qualificados com −38 % no custo por lead são os resultados medianos obtidos em 18 instituições de ensino que utilizaram um chatbot com plenas garantias de conformidade. (Fonte: resultados medianos de 18 escolas, 2024–2025.) O chatbot responde em 3 segundos, 24 horas por dia — contra 47 horas de espera por correio eletrónico. (Fonte: estudo de mystery shopping Skolbot, 2025, 80 instituições FR.) Um incidente de proteção de dados que force a suspensão do chatbot destrói diretamente este vantagem competitiva.
Os 8 critérios técnicos RGPD a exigir a qualquer fornecedor de chatbot
1. Localização do servidor: Portugal ou EEE, confirmada por escrito
O artigo 44.º do RGPD proíbe as transferências de dados pessoais para países terceiros salvo se existirem garantias adequadas. Para uma instituição portuguesa, o risco prático centra-se nos fornecedores de infraestrutura cloud sediados nos EUA: ainda que os dados estejam alojados em servidores europeus, se o fornecedor estiver sujeito ao CLOUD Act americano, existe um risco residual de acesso por parte de autoridades norte-americanas que a CNPD e o Comité Europeu para a Proteção de Dados (CEPD) consideraram incompatível com o RGPD em vários pareceres. Exija uma declaração escrita que especifique o centro de dados, o país e o operador, incluindo cópias de segurança e infraestrutura de treino de IA.
2. Contrato de subcontratante conforme ao artigo 28.º do RGPD
Qualquer fornecedor de chatbot que trate dados pessoais em nome da sua instituição é um subcontratante e a relação deve ser formalizada num contrato de subcontratante nos termos do artigo 28.º do RGPD. Este contrato deve incluir obrigatoriamente: objeto e duração do tratamento, natureza e finalidade, tipo de dados e categorias de titulares, obrigações e direitos do responsável, lista de subtratadores por nome, medidas de segurança técnicas e organizativas (MSTO), e procedimento de devolução ou eliminação de dados no fim do contrato. Um fornecedor que remete para as suas condições gerais de utilização como substituto deste contrato não cumpre os requisitos mínimos do RGPD.
3. Avaliação de Impacto sobre a Proteção de Dados (AIPD)
A utilização de um chatbot de IA para a captação de candidatos é, na generalidade dos casos, um tratamento que implica avaliação ou definição de perfis de pessoas singulares em larga escala, o que aciona a obrigação de realizar uma AIPD nos termos do artigo 35.º do RGPD. A CNPD publicou orientações sobre as categorias de tratamentos que requerem obrigatoriamente uma AIPD; o tratamento automatizado de dados de candidatos com sistemas de IA enquadra-se nessas categorias. Um fornecedor sério deve disponibilizar-lhe um modelo de AIPD adaptado ao uso do seu chatbot, que a instituição completará com os seus dados específicos.
4. Medidas de segurança técnicas e organizativas (MSTO) verificáveis
O artigo 32.º do RGPD exige medidas de segurança adequadas ao risco. Para um chatbot de uma instituição de ensino, isso implica minimamente: encriptação das comunicações com TLS 1.3, encriptação dos dados em repouso (AES-256 ou equivalente), pseudonimização após um período configurável, controlo de acesso baseado em funções com separação de responsabilidades, registo de auditoria de todos os acessos a dados pessoais, e um relatório de teste de intrusão (pentest) com antiguidade máxima de 12 meses. Solicite o documento de MSTO como anexo ao contrato de subcontratante.
5. Gestão do consentimento e obrigações de transparência
O artigo 13.º do RGPD obriga o responsável pelo tratamento a informar o titular no momento da recolha dos seus dados sobre: identidade do responsável, finalidades do tratamento, base jurídica, destinatários, prazos de conservação e direitos que pode exercer. No contexto de um chatbot, esta informação deve apresentar-se de forma visível e compreensível antes da primeira troca de dados. O sistema deve registar tecnicamente o consentimento prestado: marca temporal, versão da política de privacidade aceite, e canal de revogação disponível. Adicionalmente, o artigo 50.º do Regulamento da IA (Regulamento UE 2024/1689) exige que os utilizadores sejam informados de que estão a interagir com um sistema de IA.
6. Prazos de conservação e eliminação automatizada
O princípio da limitação da conservação (artigo 5.º, n.º 1, alínea e) do RGPD) exige que os dados não sejam conservados por mais tempo do que o necessário para as finalidades do tratamento. Para registos de conversação de candidatos que não efetuaram matrícula, um prazo máximo de 12 meses após o último contacto ativo é razoável e alinhado com as orientações da CNPD. O fornecedor deve demonstrar a existência de rotinas de eliminação automatizadas, configuráveis por categoria de dado, com registo de auditoria que comprove a eliminação efetiva.
7. Direitos dos titulares: acesso, apagamento e portabilidade
Os artigos 15.º a 20.º do RGPD reconhecem aos candidatos o direito de acesso, retificação, apagamento (direito a ser esquecido, artigo 17.º), limitação do tratamento, portabilidade e oposição. O fornecedor deve disponibilizar uma interface técnica que permita à instituição dar resposta a estes pedidos no prazo de um mês (artigo 12.º, n.º 3, do RGPD). Em particular, o direito de apagamento — frequentemente exercido por candidatos que desistem do processo — deve propagar-se a todos os sistemas: chatbot, CRM, ferramenta de email marketing e cópias de segurança.
8. Notificação de violações de dados no prazo de 72 horas
O artigo 33.º do RGPD impõe a notificação à CNPD de qualquer violação de dados pessoais no prazo de 72 horas após tomar conhecimento da mesma. Para cumprir este prazo, o fornecedor deve estar contratualmente obrigado a comunicar-lhe qualquer incidente de segurança no prazo máximo de 24 horas após a sua deteção. Um fornecedor sem um processo documentado de resposta a incidentes torna materialmente impossível o cumprimento do prazo de notificação à CNPD — com as respetivas coimas como consequência.
Matriz de avaliação de fornecedores: as perguntas que deve fazer
| Critério | Padrão mínimo exigível | Perguntas ao fornecedor |
|---|---|---|
| Localização do servidor | Portugal ou EEE, confirmado por escrito, inclui cópias de segurança | "Em que centro de dados e país são processados e armazenados os dados? Aplica-se também a cópias de segurança e treino de IA?" |
| Contrato de subcontratante | Art. 28.º RGPD completo, subtratadores nomeados | "Dispõe de um contrato de subcontratante em português? Como são comunicadas alterações aos subtratadores?" |
| AIPD | Modelo de AIPD disponível, atualizado nos últimos 12 meses | "Pode disponibilizar-me um modelo de AIPD para o uso do seu chatbot numa universidade ou politécnico português?" |
| MSTO | TLS 1.3, AES-256, pentest <12 meses, registo de auditoria | "Pode partilhar o documento de MSTO e o relatório de pentest mais recente em formato PDF?" |
| Gestão do consentimento | Opt-in granular, marca temporal registada, revogação propagada | "Como é armazenado tecnicamente o consentimento? Como é processada a revogação em todos os sistemas?" |
| Prazos de conservação | Prazos configuráveis por categoria, eliminação automatizada com registo | "Posso configurar prazos de retenção por tipo de dado? Como comprova que os dados foram efetivamente eliminados?" |
| Direitos dos titulares | Interface de acesso/apagamento, SLA de 1 mês | "Quanto tempo demora tecnicamente a preparar uma resposta completa a um pedido de acesso?" |
| Notificação de incidentes | Comunicação ao cliente em máx. 24 h, processo documentado | "Qual é o seu processo de notificação de violações de dados? Em que prazo me informaria de um incidente?" |
5 cláusulas essenciais no contrato de subcontratante
1. Cláusula de localização de dados: O subcontratante obriga-se por escrito a tratar e armazenar todos os dados pessoais exclusivamente em servidores situados em Portugal ou no EEE, com indicação do país e do centro de dados. Qualquer alteração requer consentimento prévio por escrito do responsável.
2. Transparência sobre subtratadores: O contrato deve listar nominalmente todos os subtratadores que terão acesso aos dados. A integração de novos subtratadores deve ser notificada ao responsável com uma antecedência mínima de 14 dias, com direito de oposição.
3. Notificação de incidentes em 24 horas: O subcontratante obriga-se a notificar o responsável de qualquer violação ou incidente de segurança que afete dados pessoais tratados em seu nome no prazo máximo de 24 horas após a sua deteção, com indicação da natureza do incidente, das categorias de dados afetadas e das medidas imediatas adotadas.
4. Eliminação certificada no fim do contrato: No prazo de 30 dias após a cessação do contrato, o subcontratante eliminará ou restituirá todos os dados pessoais do responsável, incluindo cópias de segurança e modelos de IA treinados com os referidos dados. O subcontratante emitirá comprovativo escrito da eliminação.
5. Direito de auditoria: O responsável tem o direito de verificar o cumprimento das obrigações do subcontratante, diretamente ou através de auditores autorizados, pelo menos uma vez por ano e adicionalmente na sequência de qualquer incidente de segurança. O subcontratante fornecerá toda a documentação necessária no prazo de 5 dias úteis.
Sinais de alerta: 5 red flags num fornecedor de chatbot
Red flag 1 — Sem contrato de subcontratante independente: Um fornecedor que não disponibiliza um contrato de subcontratante autónomo nos termos do artigo 28.º do RGPD, ou que pretende substituí-lo pelas condições gerais de utilização, não pode ser legalmente contratado por uma instituição de ensino superior portuguesa. Não é matéria de negociação.
Red flag 2 — Localização do servidor ambígua ou "cloud europeia" sem especificação: A expressão "infraestrutura cloud europeia" é juridicamente insuficiente. Questione o centro de dados específico, o país e o operador. Muitos fornecedores alojam dados na Europa mas processam-nos parcialmente nos EUA (por exemplo, através de serviços de IA da AWS ou Azure US), o que pode ser incompatível com o RGPD à luz da jurisprudência do Tribunal de Justiça da UE.
Red flag 3 — Treino de IA com dados de clientes por defeito: Alguns fornecedores utilizam as conversações dos candidatos para treinar os seus modelos de linguagem. Sem base jurídica e sem consentimento explícito dos titulares, isso constitui uma alteração de finalidade incompatível nos termos do artigo 5.º, n.º 1, alínea b) do RGPD. Verifique explicitamente se os seus dados são utilizados para treino e exija uma cláusula de exclusão contratual.
Red flag 4 — Sem registos de eliminação auditáveis: Se o fornecedor não consegue demonstrar tecnicamente que os dados são eliminados após o termo dos prazos de conservação, a instituição não pode cumprir o princípio da limitação da conservação do RGPD. Numa inspeção da CNPD, o ónus da prova recai sobre o responsável pelo tratamento — ou seja, a sua instituição.
Red flag 5 — EPD ou contacto de proteção de dados não identificável: Um fornecedor sem um EPD identificável ou sem um ponto de contacto específico em matéria de privacidade opera fora das exigências do RGPD. Para a sua própria responsabilização (artigo 5.º, n.º 2, do RGPD), deve poder demonstrar que avaliou diligentemente o fornecedor antes de o contratar.
Para uma auditoria completa da conformidade RGPD da sua instituição, consulte a nossa checklist de auditoria RGPD para universidades. Para comparar funcionalidades e garantias de conformidade entre plataformas, reveja o nosso comparativo do melhor chatbot IA para ensino superior.
Quer ver como o Skolbot cumpre os oito critérios técnicos descritos neste artigo? Solicite uma demonstração personalizada e analisamos juntos a sua situação de conformidade.
FAQ
Pode um chatbot alojado nos Estados Unidos ser conforme ao RGPD?
Formalmente sim, se o fornecedor aplicar cláusulas contratuais-tipo (CCT) nos termos da Decisão de Execução 2021/914 da Comissão Europeia, acompanhadas de medidas complementares suficientes. Na prática, a CNPD e o CEPD adotaram uma posição restritiva: os fornecedores sujeitos ao CLOUD Act americano apresentam um risco residual que é difícil de mitigar completamente através de CCT isoladas. Vários reguladores europeus sancionaram transferências baseadas exclusivamente em CCT sem medidas complementares adequadas. Para uma instituição portuguesa, a opção mais segura continua a ser um fornecedor com servidores exclusivamente na UE.
O que deve cobrir uma AIPD para um chatbot de captação de candidatos?
Uma AIPD para este caso de utilização deve incluir: (1) descrição sistemática do tratamento — que dados, com que finalidade, que fluxos; (2) avaliação da necessidade e proporcionalidade — é o chatbot o instrumento menos invasivo para o objetivo?; (3) identificação dos riscos para os direitos dos candidatos — em particular o risco de recolha inadvertida de dados de categorias especiais (saúde, origem étnica) em conversações de texto livre; (4) medidas de mitigação — pseudonimização, prazos curtos, filtros automáticos de dados sensíveis; (5) avaliação do risco residual. Se o risco residual permanecer elevado, deve consultar previamente a CNPD nos termos do artigo 36.º do RGPD.
O chatbot deve informar o utilizador de que é uma IA desde a primeira mensagem?
Sim. O artigo 50.º, n.º 1, do Regulamento da IA (Regulamento UE 2024/1689), aplicável em Portugal desde agosto de 2026 para sistemas de IA com contacto humano, obriga os fornecedores de sistemas de IA que interagem com pessoas singulares a informá-las de que estão a interagir com um sistema de IA, quando tal não seja evidente de outro modo. No contexto de uma instituição de ensino superior, onde um candidato pode expectar um orientador humano, a informação explícita é obrigatória. Um nome humanizado para o chatbot sem aviso explícito não é suficiente.
Qual o prazo de conservação recomendado para as transcrições de conversações?
O RGPD não estabelece um prazo uniforme, mas impõe o princípio da limitação da conservação (artigo 5.º, n.º 1, alínea e)). Para dados de conversação de candidatos que não efetuaram matrícula, um prazo máximo de 12 meses após o último contacto ativo é razoável e alinhado com as orientações da CNPD. Para estudantes matriculados, os prazos são determinados pelas normas académicas aplicáveis e pelas obrigações fiscais, geralmente entre 5 e 10 anos. O fornecedor do chatbot deve tornar esses prazos configuráveis tecnicamente.
Qual o prazo de notificação em caso de violação de dados?
O artigo 33.º do RGPD estabelece um prazo de 72 horas após tomar conhecimento da violação para notificar a CNPD, salvo se for improvável que a violação resulte num risco para os direitos e liberdades das pessoas singulares. Se a violação implicar um elevado risco para os titulares afetados, o artigo 34.º obriga ainda a comunicar-lhes a violação sem demora injustificada. A Lei 58/2019 não altera estes prazos, mas reforça as exigências de conteúdo da notificação à CNPD. É por isso essencial que o fornecedor o informe em 24 horas, deixando-lhe as restantes 48 horas para avaliação interna e notificação à autoridade supervisora.
