ChatGPT
Claude
Perplexity
Gemini
GrokAviso: Este artigo é informativo. Para questões jurídicas específicas, consulte o seu EPD (encarregado de proteção de dados) ou um advogado especializado em proteção de dados.
Quando um candidato preenche o formulário de candidatura no site da sua escola, ou interage com o chatbot de admissões, os seus dados pessoais percorrem um caminho que raramente termina nos servidores de Lisboa ou do Porto. O Google Analytics processa o comportamento de navegação em servidores nos EUA. A Meta Ads recebe o evento de conversão via píxel. O modelo de linguagem que alimenta o assistente de admissões pode ser gerido por uma empresa americana com infraestrutura fora da União Europeia. 58% dos candidatos que interagem com escolas não são falantes nativos — a maioria das interações com candidatos passa por ferramentas multilingues de fornecedores norte-americanos. (Fonte: Deteção automática de idioma em 8.500 conversas Skolbot, 2025–2026.)
O RGPD (Regulamento 2016/679) não proíbe estas transferências — mas exige que sejam feitas com garantias concretas e documentadas. Em 2026, após a entrada em plena vigor do Quadro de Privacidade de Dados UE-EUA e o reforço da fiscalização pela CNPD (Comissão Nacional de Proteção de Dados), a conformidade das escolas privadas portuguesas com o Capítulo V do RGPD deixou de ser uma questão teórica.
Este artigo destina-se ao diretor de admissões, ao responsável de marketing e ao EPD de um instituto politécnico ou universidade privada em Portugal que pretenda perceber, concretamente, o que cada fornecedor faz com os dados dos seus candidatos e o que a instituição tem de fazer para estar conforme.
Para o enquadramento geral da proteção de dados no ensino superior, consulte o nosso guia RGPD completo para dados estudantis. Para os critérios de conformidade específicos dos chatbots de admissão, leia o nosso artigo sobre chatbot RGPD conforme para escolas.
Que dados dos seus candidatos saem da UE
Os dados pessoais de candidatos que transitam para fora do Espaço Económico Europeu (EEE) pertencem a três categorias principais, todas com implicações práticas para as equipas de admissões.
Dados de navegação e comportamento. O Google Analytics 4 — ainda utilizado pela maioria das escolas privadas portuguesas — transmite dados de sessão, incluindo identificadores de utilizador e endereços IP parciais, para servidores nos EUA. O píxel da Meta funciona de forma idêntica: quando um candidato visita a página de um programa de mestrado e o píxel está ativo, o evento de pageview é enviado para servidores da Meta fora da UE. As soluções de heatmap e de gravação de sessão (Hotjar, Microsoft Clarity) seguem a mesma lógica.
Dados de interação direta. Os formulários de contacto processados por ferramentas de CRM americanas (HubSpot, Salesforce), as plataformas de email marketing (Mailchimp, Brevo com infraestrutura fora do EEE) e os chatbots baseados em modelos de linguagem de terceiros envolvem o envio de dados identificativos — nome, email, número de telefone, curso de interesse — para sistemas fora da União Europeia.
Dados conversacionais com contexto educativo. As conversações que os candidatos têm com assistentes de IA podem incluir informações sobre percurso académico, dificuldades financeiras, necessidades especiais ou situação profissional. Quando esses dados são processados por um modelo de linguagem alojado fora do EEE sem as garantias adequadas, a transferência é irregular ao abrigo do Capítulo V do RGPD — independentemente de a escola ter ou não conhecimento disso.
RGPD e transferências internacionais: as regras em vigor
O Capítulo V do RGPD (artigos 44.º a 49.º) estabelece que as transferências de dados pessoais para países terceiros só são lícitas se existir um mecanismo adequado. Em 2026, três mecanismos são aplicáveis às transferências para os EUA.
Quadro de Privacidade de Dados UE-EUA (DPF — Data Privacy Framework). Vigente desde julho de 2023, o DPF substitui o Privacy Shield, invalidado pelo Tribunal de Justiça da UE em 2020 no acórdão Schrems II (Processo C-311/18). Os fornecedores americanos certificados no DPF podem receber dados de cidadãos da UE sem necessidade de mecanismos adicionais. A certificação é pública e verificável no site do DPF. O EDPB (Comité Europeu para a Proteção de Dados) mantém orientações atualizadas sobre o DPF e as suas limitações.
Cláusulas Contratuais-Tipo (CCT). A Decisão de Execução 2021/914 da Comissão Europeia estabelece as CCT atualmente vigentes para transferências internacionais. As CCT são um contrato-padrão incorporado no Contrato de Subcontratação (DPA — Data Processing Agreement) entre a escola e o fornecedor. A sua utilização isolada não é suficiente desde o Schrems II: devem ser acompanhadas de uma Avaliação de Impacto de Transferência (TIA — Transfer Impact Assessment) que analise as condições jurídicas do país de destino e as medidas complementares necessárias. A CNPD disponibiliza orientações sobre transferências internacionais aplicáveis às instituições portuguesas.
Derrogações do artigo 49.º do RGPD. Para transferências ocasionais não cobertas pelos mecanismos anteriores, o artigo 49.º prevê derrogações limitadas, incluindo o consentimento explícito do titular. Esta base é inadequada para transferências sistemáticas e recorrentes — como as que ocorrem num chatbot de admissões com centenas de interações por semana.
A Lei n.º 58/2019, que assegura a execução do RGPD na ordem jurídica portuguesa, não altera estes mecanismos mas reforça as competências de fiscalização da CNPD e as obrigações de notificação em caso de violação.
Google Workspace, Meta Ads, OpenAI — tabela de conformidade RGPD 2026
A situação de conformidade de cada fornecedor depende da configuração utilizada pela escola — não há uma resposta uniforme para todos os casos de uso.
| Fornecedor | Mecanismo de transferência | Estado DPF | Contrato de Subcontratação (DPA) | Nível de risco | Condições para conformidade |
|---|---|---|---|---|---|
| Google Workspace for Education | DPF + CCT | Certificado | Disponível (Google Workspace DPA) | Baixo com configuração correta | Ativar alojamento de dados na UE; assinar o DPA; desativar personalização de anúncios |
| Google Analytics 4 | DPF + CCT | Certificado | Disponível (Google Ads DPA) | Médio | Ativar anonimização de IP; configurar retenção de dados para 2 meses; considerar alternativa europeia (Matomo, Plausible) |
| Meta Ads (píxel + CAPI) | DPF + CCT | Certificado | Disponível (Meta Business Terms) | Médio-alto | Assinar DPA Meta; ativar Conversions API do lado servidor; rever consentimento de cookies; documentar TIA |
| OpenAI API | DPF + CCT | Certificado | Disponível (OpenAI DPA enterprise) | Baixo com controlos enterprise | Ativar Zero Data Retention (ZDR) para API; assinar DPA; confirmar Residência de Dados na Europa para ChatGPT Enterprise |
| HubSpot | DPF + CCT | Certificado | Disponível (HubSpot DPA) | Baixo com configuração correta | Assinar DPA; confirmar centros de dados europeus na configuração da conta |
| Mailchimp (Intuit) | DPF + CCT | Certificado | Disponível (Mailchimp DPA) | Médio | Assinar DPA; verificar subprocessadores; considerar migração para Brevo (servidores UE) |
Google Workspace for Education é, dos três fornecedores centrais, o que apresenta o quadro de conformidade mais robusto. O DPA da Google para instituições de ensino superior inclui CCT e compromissos específicos de localização de dados europeus quando a funcionalidade de região de alojamento está ativada. A configuração padrão não garante alojamento na UE — tem de ser explicitamente ativada pelo administrador da conta.
Meta Ads representa o risco mais difícil de gerir. O píxel Meta envia dados de comportamento de utilizadores da UE para servidores nos EUA em tempo real. A Meta suspendeu o treino de modelos de IA com dados de utilizadores europeus na sequência de decisões do EDPB em 2023 e 2024, mas os dados de conversão continuam a fluir para os EUA. O DPA da Meta cobre estas transferências com CCT, mas a TIA tem de ser realizada pela escola — a Meta não a fornece. Escolas sem consentimento de cookies adequado para píxeis de publicidade enfrentam um risco duplo: transferência internacional sem base adequada e recolha de dados sem consentimento.
OpenAI melhorou significativamente o seu enquadramento de conformidade europeu desde 2024. A opção de Residência de Dados na Europa para o ChatGPT Enterprise garante que os dados permanecem em servidores da UE. Para uso da API, a opção Zero Data Retention elimina o risco de retenção de dados de candidatos nos sistemas da OpenAI. O DPF e as CCT cobrem as transferências residuais de metadados. Para uma escola que utilize a API da OpenAI para o seu chatbot de admissões com ZDR ativado e DPA assinado, a conformidade é defensável.
O que a sua escola precisa de fazer agora
Passo 1 — Mapear todas as transferências internacionais. Antes de qualquer ação de remediação, a instituição precisa de saber quais os fornecedores que recebem dados de candidatos e em que país esses dados são processados. Este mapeamento é a base do Registo de Atividades de Tratamento (RAT) exigido pelo artigo 30.º do RGPD. Para cada fornecedor: identificar o país de processamento, verificar se consta do registo DPF, e verificar se existe DPA assinado.
Passo 2 — Assinar o DPA com cada fornecedor que trate dados pessoais. O artigo 28.º do RGPD obriga a formalizar a relação com qualquer subcontratante através de um Contrato de Subcontratação. Para o Google, a Meta e a OpenAI, estes contratos estão disponíveis nos respetivos centros de privacidade — mas não são assinados automaticamente. A maioria das escolas privadas portuguesas nunca assinou formalmente o DPA da Google ou da Meta, mesmo utilizando os serviços há anos. Esta lacuna é um incumprimento autónomo do artigo 28.º, independentemente do mérito das transferências internacionais.
Passo 3 — Realizar a Avaliação de Impacto de Transferência (TIA) para fornecedores fora do EEE. A TIA analisa se as garantias contratuais (DPF, CCT) são suficientes à luz das condições jurídicas do país de destino — nomeadamente a legislação de vigilância americana (FISA 702, Executive Order 12333). Para fornecedores certificados no DPF, a TIA é simplificada mas não dispensada: o DPF cobre os dados pessoais em si, mas não garante automaticamente que todas as configurações específicas da escola estão conformes. A CNPD e o EDPB publicaram modelos e orientações para a realização de TIA.
Passo 4 — Verificar a gestão do consentimento para píxeis e cookies. As transferências para Meta Ads e Google Ads só são lícitas se assentarem em consentimento válido para cookies de publicidade — ou numa outra base jurídica adequada. Um aviso de cookies genérico que não permita ao candidato recusar granularmente os píxeis de publicidade não constitui consentimento válido ao abrigo do RGPD. A Plataforma de Gestão de Consentimento (CMP) utilizada pela escola tem de bloquear o carregamento dos píxeis antes de o candidato dar o consentimento. Para uma análise detalhada, consulte o nosso guia sobre prazos de retenção de dados de candidatos.
Passo 5 — Documentar e manter o registo de conformidade. O princípio de responsabilidade do artigo 5.º, n.º 2 do RGPD exige que a instituição seja capaz de demonstrar o cumprimento — não apenas de o cumprir. Isto implica conservar cópias dos DPA assinados, o resultado das TIA realizadas, as configurações aplicadas em cada ferramenta e os registos de consentimento dos candidatos. Em caso de fiscalização pela CNPD, a instituição tem de apresentar estes documentos no prazo de 72 horas.
Perguntas frequentes
O DPF garante que os dados dos candidatos estão seguros nos EUA?
O DPF é um mecanismo de adequação que permite a transferência de dados pessoais da UE para empresas americanas certificadas. Não garante o mesmo nível de proteção de dados que o RGPD na Europa, mas fornece mecanismos de recurso e obrigações de segurança para as empresas certificadas. A Comissão Europeia pode suspender ou revogar o DPF se as condições de adequação deixarem de ser cumpridas — como aconteceu com o Privacy Shield em 2020. Utilizar fornecedores certificados no DPF é uma condição necessária mas não suficiente: o DPA tem de estar assinado, a TIA realizada e as configurações de localização de dados verificadas.
A escola pode usar o Google Analytics sem violar o RGPD?
Sim, com configuração adequada. Vários reguladores europeus — incluindo a CNIL francesa e a DSB austríaca — declararam o Google Analytics (versão Universal Analytics) incompatível com o RGPD no passado. O Google Analytics 4 com anonimização de IP ativada, consentimento de cookies adequado, retenção de dados configurada para o mínimo necessário e DPA assinado é, em 2026, defensável ao abrigo do DPF. A alternativa mais segura continua a ser uma ferramenta de análise com servidores exclusivamente na UE — Matomo (auto-alojado) ou Plausible (servidores europeus) não implicam transferências internacionais.
A OpenAI pode ser utilizada para o chatbot de admissões de uma escola portuguesa?
Sim, com os controlos corretos. Para uso da API da OpenAI com a opção Zero Data Retention ativada, os dados de candidatos enviados em cada pedido não são retidos pela OpenAI após a geração da resposta. Com DPA assinado e DPF como mecanismo de transferência, o uso da API para o chatbot de admissões é conforme ao RGPD. Para implementações ChatGPT Enterprise com Residência de Dados na Europa, os dados permanecem em servidores da UE e o risco de transferência internacional é eliminado. O que não é conforme é usar a API da OpenAI sem DPA, sem ZDR e sem verificar as políticas de retenção de dados do fornecedor.
O que acontece se a CNPD detetar que a escola transfere dados sem garantias?
A CNPD tem competência para aplicar coimas até 20 milhões de euros ou 4% do volume de negócios anual global, consoante o que for mais elevado, por infrações ao Capítulo V do RGPD. Além das coimas, pode ordenar a suspensão da transferência — o que na prática significa a interrupção do uso da ferramenta em causa até a conformidade ser estabelecida. Para uma escola que dependa da Meta Ads para o seu recrutamento ou do Google Workspace para as operações académicas, uma ordem de suspensão tem consequências operacionais imediatas. A conformidade preventiva é, em todos os cenários, menos dispendiosa do que a remediação após uma decisão regulatória.
A conformidade com o Capítulo V do RGPD não exige a eliminação de todos os fornecedores americanos do ecossistema tecnológico de uma escola. Exige que a escola saiba exatamente quais os dados que saem da UE, com que mecanismo legal, e que tenha a documentação para o demonstrar. Em 2026, os principais fornecedores têm os mecanismos disponíveis — o trabalho de conformidade está do lado da escola: assinar os contratos, ativar as configurações certas e documentar as decisões tomadas.
Para uma análise das obrigações de conformidade RGPD dos chatbots de admissão, incluindo os critérios de avaliação de fornecedores, consulte o nosso artigo sobre chatbot RGPD conforme para escolas. Para compreender os prazos de conservação de dados de candidatos após a transferência para os fornecedores, leia o guia sobre prazos de retenção de dados de candidatos.
Teste o Skolbot na sua escola em 30 segundos
