ChatGPT
Claude
Perplexity
Gemini
GrokO que o RGPD e a Lei 58/2019 exigem do site da sua escola
O RGPD (Regulamento 2016/679) e a Lei n.º 58/2019 — a lei nacional de execução em Portugal — estabelecem um quadro claro: qualquer tratamento de dados pessoais exige uma base jurídica válida e, para cookies não essenciais, essa base é o consentimento prévio e informado do visitante.
Na prática, o site da sua escola ou instituto politécnico coloca dados pessoais em dois momentos distintos:
- Quando o visitante navega — cookies de analytics, cookies de redes sociais, pixels de retargeting.
- Quando o candidato preenche um formulário — pedido de informação, inscrição num dia aberto, subscrição de newsletter.
Ambos os momentos exigem uma abordagem jurídica diferente, e a CNPD (Comissão Nacional de Proteção de Dados) publicou orientações específicas que as instituições de ensino superior devem ter em conta.
O que a Lei 58/2019 acrescenta ao RGPD: ao nível dos cookies, a lei portuguesa reforça a transposição da Diretiva ePrivacy. Proíbe expressamente o acesso a informação armazenada no dispositivo do utilizador — e a instalação de cookies — sem consentimento prévio, salvo para cookies estritamente necessários ao funcionamento do serviço. A CNPD pode aplicar coimas autónomas ao abrigo desta lei, além das previstas no RGPD.
Para o enquadramento global de todas as obrigações de proteção de dados da sua instituição, consulte o nosso guia RGPD completo para escolas.
Que cookies carecem de consentimento?
A distinção fundamental é entre cookies essenciais (dispensados de consentimento) e cookies não essenciais (que requerem consentimento prévio, expresso e documentado).
| Categoria | Exemplos concretos | Consentimento obrigatório? | Base jurídica |
|---|---|---|---|
| Cookies essenciais / técnicos | Sessão, autenticação, carrinho, preferências de idioma | Não | Interesse legítimo / necessidade contratual |
| Cookies de analytics | Google Analytics 4, Matomo sem anonimização, Hotjar | Sim | Consentimento (art. 6.º, n.º 1, al. a)) |
| Cookies de marketing / retargeting | Meta Pixel, Google Ads, LinkedIn Insight Tag | Sim | Consentimento (art. 6.º, n.º 1, al. a)) |
| Cookies de redes sociais | Botões «Partilhar», widgets de feed do Instagram | Sim | Consentimento (art. 6.º, n.º 1, al. a)) |
| Cookies de personalização | Testes A/B, sistemas de recomendação de conteúdo | Sim | Consentimento (art. 6.º, n.º 1, al. a)) |
Ponto crítico para as escolas: o Google Analytics 4 não está isento de consentimento pelo facto de ser «apenas analytics». A CNPD confirma que qualquer ferramenta que transmita dados para servidores fora do EEE — ou que permita a identificação indireta do utilizador — cai na categoria dos cookies que requerem consentimento. Se o seu site carrega o GA4 antes de o visitante clicar em «Aceitar», está em incumprimento.
Erro frequente: exibir o banner de cookies enquanto os trackers já estão ativos. O consentimento deve ser recolhido antes de qualquer cookie não essencial ser depositado — não apenas antes de o banner desaparecer.
Formulários de dias abertos, contacto e newsletters: regras de conformidade
Os formulários são o segundo perímetro de risco na conformidade RGPD de uma escola. Cada formulário é um ponto de recolha de dados pessoais que deve respeitar cinco obrigações cumulativas.
1. Informação prévia obrigatória. Antes de submeter o formulário, o candidato deve saber: quem trata os dados (a instituição, identificada por nome completo e morada), para que finalidade, com que base jurídica, durante quanto tempo, e quais os seus direitos. Um link para a política de privacidade não é suficiente se a informação essencial não estiver visível no próprio formulário.
2. Consentimento granular para comunicações de marketing. O formulário de inscrição num dia aberto tem uma finalidade (inscrição no evento) e outra distinta (envio de newsletters, informação sobre cursos). Cada finalidade exige uma caixa de consentimento separada, desmarcada por defeito. Não é possível condicionar a inscrição no evento à aceitação de comunicações de marketing — o consentimento não seria livre na aceção do artigo 7.º do RGPD.
3. Minimização dos dados. O formulário de contacto não precisa de pedir a data de nascimento, a morada completa ou o número de telemóvel se o objetivo é responder a uma questão por email. Cada campo deve estar justificado pela finalidade declarada. A DGES (Direção-Geral do Ensino Superior) não exige qualquer campo específico para pedidos de informação — a decisão de recolher dados adicionais é sempre da instituição e deve ter justificação documentada.
4. Prova de consentimento conservada. A instituição deve poder demonstrar que o consentimento foi prestado: data, hora, versão do formulário apresentado, conteúdo das caixas selecionadas. Esta prova é o que a CNPD solicita em caso de inspeção ou de queixa de um candidato.
5. Prazo de conservação indicado e respeitado. Indicar «conservamos os seus dados pelo tempo necessário» não é suficiente. O prazo deve ser específico (por exemplo, «12 meses após o evento» para dados de inscrição em dias abertos) e deve ser efetivamente aplicado por eliminação automática.
Para um guia detalhado sobre a proteção de dados de candidatos, incluindo os prazos de conservação por tipo de dado e os erros mais frequentes das equipas de admissões, consulte o artigo dedicado.
Como implementar um banner de cookies conforme a CNPD
A CNPD publicou orientações específicas sobre cookies que definem o que constitui um banner conforme. Em 2026, os critérios de avaliação são mais exigentes do que em anos anteriores — o que era tolerado em 2022 pode hoje ser objeto de sanção.
O que o banner deve garantir:
- Recusa tão simples quanto a aceitação. O botão «Recusar» ou «Continuar sem aceitar» deve ser igualmente visível, no mesmo nível hierárquico, e não exigir mais cliques do que «Aceitar tudo». Um «Aceitar» em verde em destaque com as opções de recusa escondidas em «Gerir preferências» não é conforme.
- Bloqueio técnico prévio. Os cookies não essenciais devem estar tecnicamente bloqueados antes da interação com o banner — não apenas «não exibidos». A verificação é simples: abrir o site num browser em modo privado e inspecionar os pedidos de rede antes de qualquer clique.
- Consentimento específico por categoria. O visitante deve poder aceitar cookies de analytics sem aceitar cookies de marketing, e vice-versa.
- Renovação do consentimento. O consentimento não é permanente. A CNPD recomenda que seja solicitado novamente após 12 meses, ou quando a política de cookies for alterada de forma substantiva.
- Prova armazenada. A plataforma de gestão de consentimento (CMP) deve registar cada consentimento: data, hora, versão do banner, escolhas feitas. Estas provas devem ser conservadas pelo prazo do consentimento mais um período adicional para responder a eventuais queixas.
Plataformas de gestão de consentimento (CMP): Axeptio, Cookiebot, Didomi, e OneTrust são soluções utilizadas por instituições de ensino em Portugal. A escolha deve ter em conta a localização dos servidores (de preferência UE), a existência de um DPA (contrato de subcontratação RGPD) e a capacidade de exportar as provas de consentimento em formato auditável.
Auditoria técnica recomendada: usar o Google Tag Manager em modo de depuração ou a extensão de browser «cookiebot.com/scanner» para verificar quais os cookies efetivamente depositados antes e depois do consentimento. Esta verificação deve ser repetida a cada atualização do site.
Para incluir a gestão de cookies na sua auditoria RGPD global, a checklist de auditoria RGPD cobre este ponto no conjunto do perímetro de conformidade.
Caso especial: chatbot com IA e dados de conversação
72% das interações do chatbot nos sites de escolas são perguntas FAQ padrão — cada uma delas um tratamento de dados que a sua política de cookies deve contemplar. (Fonte: classificação automática de 12.000 conversações Skolbot, 2025)
O chatbot IA instalado no site da sua escola coloca desafios específicos que os banners de cookies tradicionais não resolvem por si só.
O chatbot recolhe dados pessoais antes de o candidato os fornecer explicitamente. A sessão de chat é um cookie de sessão — tecnicamente essencial para o funcionamento do chat. Mas o modelo de linguagem que processa as mensagens pode transmitir dados para servidores fora da UE, o que constitui uma transferência internacional de dados que exige garantias específicas (cláusulas contratuais-tipo, alojamento europeu, ou decisão de adequação).
O que a política de cookies deve contemplar relativamente ao chatbot:
- Identificação do chatbot como ferramenta de IA (obrigação do Regulamento IA, artigo 50.º, e boa prática RGPD de transparência)
- Informação de que as conversas são registadas e durante quanto tempo
- Identificação do subcontratante que aloja o modelo de linguagem e localização dos servidores
- Prazo de conservação dos históricos de conversação (recomendação: 12 meses, com anonimização automática de dados sensíveis ao fim de 30 dias)
Dados sensíveis nas conversas: os candidatos partilham frequentemente informação que não antecipam ser sensível — menção a deficiência, dificuldades financeiras, situação familiar. O chatbot deve ter mecanismos de deteção e eliminação automática destes dados, e o acesso aos históricos deve ser restrito ao pessoal com necessidade operacional justificada.
O chatbot e o banner de cookies: se o chatbot utiliza cookies para manter o histórico de sessão entre visitas (não apenas dentro da mesma sessão), esses cookies devem ser incluídos no banner como categoria separada. Se a sessão termina com o fecho do browser e não há cookie persistente, o chatbot pode não exigir entrada no banner — mas o tratamento de dados de conversação deve constar na política de privacidade.
FAQ
A nossa escola precisa de um banner de cookies se apenas usa o Google Analytics?
Sim. O Google Analytics 4, independentemente da versão ou das definições, coloca cookies que permitem a rastreabilidade dos utilizadores e transmite dados para servidores do Google nos Estados Unidos. A CNPD classifica-o como cookie não essencial que requer consentimento prévio. A única exceção seria uma configuração com anonimização completa do IP, sem cookies persistentes e com dados alojados integralmente na UE — configuração que o GA4 padrão não oferece. Se a sua escola pretende utilizar analytics sem banner de consentimento, deve avaliar alternativas como o Matomo em modo «cookieless» com dados alojados em servidores europeus.
Como obter consentimento válido nos formulários de inscrição em dias abertos?
O formulário de inscrição num dia aberto (ou jornada de portas abertas) deve separar claramente duas finalidades: a inscrição no evento em si e o eventual envio de comunicações de marketing posteriores. A inscrição pode basear-se no interesse legítimo da instituição ou na execução de medidas pré-contratuais — não requer consentimento de marketing. As comunicações posteriores (newsletter, informação sobre cursos, seguimento comercial) exigem uma caixa de consentimento separada, desmarcada por defeito, com texto claro: «Aceito receber informação sobre os cursos e atividades da [nome da instituição] por email. Posso revogar este consentimento a qualquer momento.» O formulário deve indicar o prazo de conservação dos dados do evento (recomendação: 12 meses após o dia aberto se não houver candidatura subsequente).
Pode um candidato pedir a eliminação dos seus dados após um dia aberto?
Sim. O direito ao apagamento (artigo 17.º do RGPD) é aplicável sempre que o tratamento se baseia no consentimento e o candidato o revoga, ou quando os dados já não são necessários para a finalidade para que foram recolhidos. Na prática, se um candidato inscrito num dia aberto solicitar a eliminação dos seus dados, a instituição tem 30 dias para confirmar e executar a eliminação em todos os sistemas: CRM, plataforma de email, histórico do chatbot, ficheiros partilhados, listas de presença digitalizadas. A eliminação deve ser total e verificável. O único limite são obrigações legais de conservação que possam sobrepor-se — por exemplo, se o candidato se matriculou e existem dados contabilísticos sujeitos a prazos fiscais. Mas para dados de um dia aberto sem candidatura subsequente, o direito ao apagamento é, em princípio, absoluto.
Durante quanto tempo podemos conservar dados de formulários de contacto?
A CNPD não fixou um prazo único, mas as suas orientações e a jurisprudência europeia convergem: o prazo deve ser proporcional à finalidade e ao tipo de dado. Para formulários de contacto sem candidatura subsequente, 12 meses após o último contacto ativo é o prazo razoável e amplamente aceite. Para dados de inscrição em dias abertos sem candidatura, o mesmo prazo. Para formulários de candidatura formal abandonada, até 24 meses (o candidato pode candidatar-se no ano letivo seguinte). Estes prazos devem estar documentados na política de privacidade e implementados por eliminação automática no CRM — não podem depender de processos manuais. A indicação de um prazo na política de privacidade que não é tecnicamente aplicado é, em si mesma, uma não conformidade.
Descubra como as escolas protegem os dados dos seus candidatos
