ChatGPT
Claude
Perplexity
Gemini
GrokO direito ao apagamento — consagrado no artigo 17.º do RGPD — confere a qualquer titular de dados o direito de solicitar que uma instituição elimine os seus dados pessoais. Quando um prospeto exerce esse direito, a universidade ou instituto politécnico tem um mês para agir. A inação ou uma execução incompleta expõem a instituição a fiscalização pela CNPD — Comissão Nacional de Proteção de Dados, a autoridade de controlo portuguesa.
Para uma visão abrangente da conformidade com o RGPD no ensino superior, consulte o nosso guia RGPD completo para dados estudantis.
O que é o direito ao apagamento ao abrigo do RGPD?
O direito ao apagamento está previsto no artigo 17.º do Regulamento (UE) 2016/679, complementado em Portugal pela Lei n.º 58/2019, que transpõe o RGPD para a ordem jurídica nacional. Este direito permite ao titular solicitar a eliminação dos seus dados quando a base jurídica do tratamento deixa de existir ou quando o titular se opõe ao tratamento para fins de marketing direto.
Para as instituições de ensino superior que tratam dados de prospetos com fins de recrutamento e comunicação — universidades privadas, institutos politécnicos privados, instituições públicas com atividade de marketing — este direito é exercido com frequência crescente. A CNPD tem intensificado a fiscalização no sector da educação, tornando a existência de um procedimento documentado uma prioridade e não apenas uma formalidade.
O prazo de resposta é de um mês a contar da data de receção do pedido. Em casos complexos ou com grande volume de pedidos, é admissível uma prorrogação de dois meses adicionais, desde que o titular seja informado dentro do primeiro mês. A Lei 58/2019 não altera este prazo, mas clarifica os procedimentos de identificação do titular e os meios de comunicação aceites.
O direito aplica-se a todos os titulares cujos dados a instituição trate: candidatos que solicitaram uma brochura, participantes em Dias Abertos, contactos provenientes do Concurso Nacional de Acesso (CNA) que não completaram a candidatura, ou pessoas que interagiram com um chatbot e ficaram registadas no CRM.
As três principais razões para um pedido de apagamento
Os pedidos de apagamento de prospetos enquadram-se habitualmente em três situações distintas. Conhecer cada uma delas permite à instituição responder com precisão e dentro do prazo legal.
| Fundamento | Artigo RGPD | Situação na prática | Prazo de resposta |
|---|---|---|---|
| Revogação do consentimento | Art. 7.º, n.º 3 e art. 17.º, n.º 1, al. b) | Prospeto revoga o consentimento de marketing e solicita eliminação total | 1 mês |
| Dados já não necessários | Art. 17.º, n.º 1, al. a) | Prospeto nunca respondeu a comunicações; finalidade caducou | 1 mês |
| Direito de oposição | Art. 21.º e art. 17.º, n.º 1, al. c) | Prospeto opõe-se ao tratamento com base em interesse legítimo | 1 mês |
Revogação do consentimento é o fundamento mais frequente. Assim que o prospeto revoga o consentimento, a instituição perde a base jurídica para o tratamento dos dados para fins de marketing. O pedido de apagamento segue-se naturalmente. A CNPD tem reiterado que revogar o consentimento deve ser tão fácil quanto prestá-lo: um link de cancelamento num email ou um formulário online acessível são condições mínimas.
Dados já não necessários ocorre quando a finalidade para a qual os dados foram recolhidos deixou de se verificar. Se um prospeto demonstrou interesse há três anos sem qualquer contacto posterior, a base jurídica para conservar os dados extinguiu-se. A instituição não deve aguardar um pedido — deve proceder à eliminação por iniciativa própria, de acordo com a política de retenção documentada.
Direito de oposição ao marketing direto é absoluto ao abrigo do artigo 21.º, n.º 2 do RGPD. Quando o prospeto se opõe ao tratamento para fins de marketing direto, a instituição deve cessar imediatamente o tratamento para essa finalidade, sem necessidade de ponderação adicional. O apagamento dos dados de perfil associados a essa finalidade decorre diretamente desta obrigação.
Quando pode a instituição recusar o apagamento?
O artigo 17.º, n.º 3 do RGPD lista taxativamente as exceções ao direito ao apagamento. A instituição que invocar uma dessas exceções deve fazê-lo por escrito, fundamentando a recusa e indicando quais os dados que permanecerão tratados e com que base.
Obrigação legal. Determinados dados devem ser conservados por imperativo legal, independentemente do pedido do titular. Os dados financeiros sujeitos ao prazo de conservação fiscal (dez anos ao abrigo do Código do IRS e do Código do IRC) não podem ser eliminados mesmo que o prospeto solicite. O mesmo se aplica a dados que a instituição tenha de comunicar à DGES — Direção-Geral do Ensino Superior ou a outros organismos públicos no âmbito de obrigações de reporte.
Execução de contrato ou medidas pré-contratuais. Se o prospeto já submeteu uma candidatura formal e o processo de admissão está em curso, a instituição pode conservar os dados estritamente necessários para a conclusão desse processo. Após a conclusão — quer resulte em matrícula, quer em rejeição — a exceção cessa.
Declaração ou exercício de direitos em processo judicial. Quando a instituição está envolvida ou se prepara para um litígio em que os dados do titular são relevantes como prova, pode diferir o apagamento durante a vigência do processo. Esta é uma exceção restrita que não pode ser invocada de forma preventiva ou generalizável.
Recusa parcial é o cenário mais comum em contexto universitário. A instituição elimina os dados de marketing (perfil no CRM, histórico de chatbot, listas de segmentação de email), mas conserva um conjunto mínimo de dados ao abrigo de uma obrigação legal ou para defesa judicial. É obrigatório informar o titular dos dados que foram eliminados, dos que foram conservados e da base jurídica dessa conservação.
Procedimento em cinco passos com calendário detalhado
Uma resposta adequada a um pedido de apagamento requer um processo estruturado. O calendário seguinte respeita o prazo de um mês fixado pelo RGPD e está alinhado com as orientações da CNPD.
Dias 1-2: receção e confirmação. Confirme a receção do pedido por escrito, de preferência por email. Registe a data de receção — é a partir daqui que conta o prazo legal. Verifique se o pedido é suficientemente claro para tratamento; se for necessário confirmar a identidade do titular, solicite a informação mínima necessária de imediato.
Dias 3-7: identificação e mapeamento. Identifique todos os sistemas que contêm dados do titular: CRM, plataforma de email marketing, históricos de chatbot, registos de eventos (Dias Abertos, feiras), ficheiros partilhados, cópias de segurança. Envolva o Encarregado de Proteção de Dados (EPD) se a instituição tiver um designado. Verifique se alguma exceção do artigo 17.º, n.º 3 é aplicável.
Dias 8-20: execução do apagamento. Elimine os dados em todos os sistemas identificados. Assegure-se de que a eliminação abrange os fluxos de automatização de marketing, os segmentos de campanha e o histórico de interações — uma simples dessubscrição de email não equivale a um apagamento conforme. Documente cada sistema e confirme a eliminação.
Dias 21-25: verificação. Confirme que o apagamento foi efetivamente executado em todos os sistemas. Realize uma pesquisa pelo endereço de email ou nome do titular no CRM e nas listas de email marketing para garantir que não existem registos residuais.
Dias 26-30: resposta ao titular. Elabore uma resposta escrita: confirme o apagamento realizado, identifique os sistemas abrangidos e — em caso de recusa parcial — indique os dados conservados e a respetiva base jurídica. Guarde uma cópia da resposta no dossiê do pedido. O prazo de um mês é imperativo: uma resposta tardia constitui, por si só, uma violação do RGPD.
Prazos de conservação: as orientações da CNPD para dados de prospetos
A CNPD recomenda um prazo máximo de três anos após o último contacto ativo para dados de marketing e prospetos, em linha com as orientações do Comité Europeu para a Proteção de Dados (CEPD). Decorridos três anos sem qualquer interação, a base jurídica para conservar os dados extingue-se: a instituição deve proceder ao apagamento por iniciativa própria, sem aguardar um pedido formal.
Para candidatos rejeitados, o prazo é mais curto. A CNPD orienta para uma conservação máxima de seis meses após a notificação da rejeição, salvo se estiver pendente um recurso ou processo contencioso. Conservar o dossiê de um candidato rejeitado além desse prazo não tem justificação operacional e expõe a instituição a risco regulatório desnecessário.
Os dados recolhidos no contexto do Concurso Nacional de Acesso (CNA) são tratados pela DGES como responsável pelo tratamento para a fase concursal. A partir do momento em que a instituição recebe os dados do candidato colocado, torna-se responsável pelo tratamento desses dados na sua esfera. Os dados de candidatos não colocados que a instituição tenha recolhido de forma autónoma (via formulário próprio, chatbot ou Dia Aberto) ficam sujeitos ao prazo de seis meses após a decisão do concurso.
A A3ES — Agência de Avaliação e Acreditação do Ensino Superior não impõe prazos de conservação de dados de prospetos, mas a conformidade com o RGPD é considerada nas avaliações institucionais. Documentar uma política de retenção clara e demonstrar a sua aplicação efetiva é uma boa prática que vai além da conformidade mínima.
Chatbot de IA e CRM: implicações para a gestão de pedidos
A utilização de um chatbot de IA para o recrutamento estudantil aumenta o volume de dados de prospetos e torna a gestão dos pedidos de apagamento mais exigente. As instituições parceiras da Skolbot processam uma mediana de 195 leads qualificados por mês (Fonte: Benchmark Skolbot 2024-2025, painel de 18 instituições). Com este volume, e uma taxa anual de pedidos de apagamento de alguns pontos percentuais, uma instituição pode facilmente receber dezenas de pedidos por ano — cada um deles envolvendo múltiplos sistemas.
O chatbot armazena históricos de conversa que contêm dados pessoais: nome, endereço de email, cursos de interesse, por vezes informação sensível que o prospeto partilha espontaneamente (situação financeira, necessidades especiais, circunstâncias familiares). Num pedido de apagamento, estes dados têm de ser incluídos no mapeamento. Uma arquitetura de dados clara — que documente quais os sistemas que contêm quais dados de quais titulares — é condição necessária para uma resposta atempada e completa.
O CRM é o registo central dos dados de prospetos e o sistema primário na execução de um apagamento. Certifique-se de que o CRM disponibiliza uma função de eliminação que abrange também os dados em fluxos de automatização, segmentos de campanha e histórico de interações. Uma dessubscrição de email não equivale a um apagamento no CRM — a CNPD torna esta distinção explícita nas suas orientações.
Boas práticas para instituições com chatbot de IA:
- Configure no chatbot uma eliminação automática dos históricos de conversa que não foram convertidos em dossiê ativo (prazo máximo recomendado: doze meses).
- Inclua no contrato de subcontratação com o fornecedor do chatbot o procedimento de apagamento por instrução da instituição e o prazo de execução.
- Mantenha no CRM um registo centralizado dos pedidos de apagamento e das ações executadas por sistema.
- Forme as equipas de admissões e marketing: quem recebe o pedido, quem executa o apagamento, quem responde ao titular e quem reporta ao EPD.
Para os requisitos específicos do RGPD relativos ao chatbot e à recolha de dados de prospetos, leia o nosso artigo sobre proteção de dados de candidatos. Para a gestão de cookies e formulários, consulte o nosso guia sobre consentimento de cookies para escolas. Para uma auditoria RGPD completa da sua instituição, aceda à nossa checklist de auditoria RGPD para universidades.
FAQ
O pedido de apagamento tem de ser apresentado por escrito?
Não. O RGPD não exige uma forma específica para o pedido. Um email, uma mensagem enviada pelo chatbot ou uma comunicação oral são igualmente válidos. A instituição pode verificar razoavelmente a identidade do titular, mas não pode exigir documentação desproporcionada. Se a identidade for suficientemente clara pelo contexto (nome e email reconhecidos no sistema), esse nível de identificação é suficiente.
O que fazer se o prospeto não fornecer dados suficientes para ser identificado?
Se a instituição não consegue identificar o titular com a informação fornecida, pode solicitar dados adicionais mínimos para a identificação — desde que proporcionais. Se após essa diligência o titular não for encontrado nos sistemas, a instituição responde informando que não foram localizados dados correspondentes ao pedido.
As cópias de segurança também têm de ser eliminadas?
Tecnicamente sim, mas a CNPD reconhece que a eliminação imediata nas cópias de segurança pode não ser operacionalmente viável. A prática aceite consiste em documentar a presença dos dados na cópia de segurança, assegurar a sua eliminação no próximo ciclo programado de gestão de backups e registar este procedimento no dossiê do pedido.
Pode a instituição recusar o apagamento se o prospeto tiver uma propina em dívida?
Sim, de forma parcial. Os dados financeiros necessários à cobrança do crédito ou sujeitos à obrigação de conservação fiscal não têm de ser eliminados. Os restantes dados de prospeto — perfil de marketing, histórico de chatbot, interesses de formação — devem ser eliminados. A instituição emite uma recusa parcial fundamentada para os dados financeiros.
O EPD tem de ser envolvido em todos os pedidos?
Não necessariamente nos pedidos de rotina. O procedimento pode ser executado pelas equipas de admissões ou marketing, desde que exista um processo documentado. O EPD deve ser envolvido nos casos complexos: recusas parciais ao abrigo do artigo 17.º, n.º 3, conflitos com o titular, ou pedidos que cruzem múltiplas bases jurídicas. A CNPD recomenda que o EPD receba uma reportagem anual dos pedidos tratados e das suas resoluções.
Descubra como as escolas melhoram o recrutamento estudantil com Skolbot
