skolbot.Chatbot IA para escolas
ProdutoPreços
Demo gratuita
Demo gratuita
Guia operacional de protecao de dados de candidatos no ensino superior
  1. Início
  2. /Blog
  3. /Conformidade
  4. /Proteger os dados dos seus candidatos: guia operacional RGPD para instituicoes de ensino superior
Voltar ao blog
Conformidade10 min read

Proteger os dados dos seus candidatos: guia operacional RGPD para instituicoes de ensino superior

Como recolher, armazenar e utilizar dados de candidatos em conformidade com o RGPD. Checklist operacional para equipas de admissoes e marketing.

S

Equipa Skolbot · 12 de março de 2026

Resumir este artigo com

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Índice

  1. 01Os seus candidatos tem direitos antes mesmo de se candidatarem
  2. 02Bases juridicas para o tratamento de dados de candidatos
  3. Consentimento (artigo 6.o, n.o 1, alinea a))
  4. Interesse legitimo (artigo 6.o, n.o 1, alinea f))
  5. Execucao de medidas pre-contratuais (artigo 6.o, n.o 1, alinea b))
  6. 03O que recolhe — e o que nao deveria recolher
  7. O principio da minimizacao dos dados
  8. Dados recolhidos pelo chatbot
  9. 04Prazos de conservacao: a zona cinzenta
  10. Prazos recomendados por tipo de dados
  11. O erro de "guardar tudo"
  12. 05Direitos dos candidatos: o que a sua equipa deve saber responder
  13. 06O caso dos menores
  14. 07Checklist operacional para equipas de admissoes
  15. Recolha de dados
  16. Armazenamento e acesso
  17. Conservacao e eliminacao
  18. Exercicio de direitos
  19. 08Os cinco erros RGPD mais frequentes nas admissoes
  20. 09O dividendo da confianca: para alem da conformidade

Os seus candidatos tem direitos antes mesmo de se candidatarem

A conformidade com o RGPD nao comeca na matricula. Comeca no primeiro contacto. No momento em que um candidato partilha o seu email, nome ou telefone — atraves de um formulario, chatbot, feira educativa ou Dia Aberto — a instituicao torna-se responsavel pelo tratamento na acecao do RGPD (Fonte: CNPD — Comissao Nacional de Protecao de Dados, orientacoes sobre responsaveis pelo tratamento, atualizadas 2025).

Isto e importante porque as equipas de admissoes e marketing tratam dados de candidatos muito antes da fase de candidatura formal. E esses dados sao frequentemente os menos protegidos de todo o sistema de informacao: ficheiros Excel partilhados por email, listas de contactos exportadas de feiras sem consentimento documentado, conversas de chatbot armazenadas sem politica de retencao.

62% das instituicoes inquiridas nao tem um procedimento documentado para o tratamento de dados de candidatos (Fonte: inquerito Skolbot a 62 responsaveis de marketing de instituicoes europeias, dezembro 2025). Este guia operacional preenche essa lacuna.

Para uma visao global da conformidade RGPD no ensino superior, consulte o nosso guia RGPD completo para dados estudantis.

Bases juridicas para o tratamento de dados de candidatos

O RGPD exige uma base juridica para cada tratamento de dados pessoais. No contexto do recrutamento estudantil, tres bases sao relevantes.

Consentimento (artigo 6.o, n.o 1, alinea a))

O consentimento e a base mais utilizada — e a mais mal implementada. Para ser valido, deve ser livre (nao obrigar ao consentimento de marketing para receber uma brochura), especifico (um consentimento por finalidade, nao um "aceito tudo"), informado (informacao visivel no momento da recolha, nao apenas um link) e inequivoco (acao afirmativa clara, nao uma caixa pre-assinalada).

Erro frequente: recolher emails numa feira educativa com um tablet que diz "Deixe o seu email para mais informacoes" nao constitui consentimento RGPD valido.

Interesse legitimo (artigo 6.o, n.o 1, alinea f))

O interesse legitimo permite o tratamento sem consentimento explicito — seguimento de formularios abandonados, informacao complementar sobre um curso de interesse. Nao justifica comunicacoes nao solicitadas, partilha com parceiros ou perfilagem comportamental. Cada utilizacao deve ser documentada numa avaliacao de ponderacao de interesses.

A CNPD publicou orientacoes detalhadas sobre interesse legitimo que sao leitura obrigatoria para qualquer equipa de admissoes que se apoie nesta base.

Execucao de medidas pre-contratuais (artigo 6.o, n.o 1, alinea b))

Quando um candidato submete uma candidatura formal, o tratamento do seu dossier e necessario para a execucao de medidas pre-contratuais. Base solida, mas limitada a fase de candidatura formal.

O que recolhe — e o que nao deveria recolher

O principio da minimizacao dos dados

O RGPD exige que apenas sejam recolhidos os dados estritamente necessarios para a finalidade declarada. Na pratica, cada campo de formulario deve ser justificavel.

Dados necessarios para um pedido de informacao: nome, apelido, email, curso de interesse. Quatro campos bastam.

Dados questionaveis: data de nascimento (para que antes da candidatura?), morada (envia realmente brochuras impressas?), telefone (vai realmente ligar?).

Dados problematicos: nacionalidade (salvo se relevante para requisitos de admissao internacional), situacao familiar, rendimentos dos pais. Por vezes recolhidos "para o caso", mas constituem um risco RGPD sem justificacao documentada.

Cada campo adicional no formulario reduz a taxa de conclusao em 5 a 8% (Fonte: analise Skolbot de 45 formularios de contacto de instituicoes, 2025). A minimizacao dos dados nao e apenas uma obrigacao legal — e uma alavanca de conversao. O nosso artigo sobre benchmarks de conversao de sites universitarios confirma esta correlacao.

Dados recolhidos pelo chatbot

Um chatbot recolhe mais dados do que um formulario. Os candidatos partilham espontaneamente informacao sensivel (deficiencia, dificuldades financeiras, saude). Tres medidas sao indispensaveis: informacao previa de que a conversa e gravada, eliminacao automatica de dados sensiveis e acesso restrito aos historiais de conversa.

Prazos de conservacao: a zona cinzenta

A conservacao e o ponto mais fraco da maioria das instituicoes. A CNPD recomenda um prazo maximo de 3 anos apos o ultimo contacto ativo para dados de candidatos (Fonte: CNPD, orientacoes de gestao comercial). Mas esta recomendacao e um teto, nao um objetivo.

Prazos recomendados por tipo de dados

Dados de primeiro contacto (formulario, chat): 12 meses apos o ultimo contacto se o candidato nao se candidatou. Para alem disso, o projeto formativo esta provavelmente abandonado.

Dados de candidatura incompleta: 24 meses apos o ultimo contacto. O candidato pode candidatar-se no ano letivo seguinte.

Dados de candidatura rejeitada: 6 meses apos a notificacao de rejeicao. Conservar mais tempo nao tem justificacao operacional.

Conversas de chatbot: 12 meses, com anonimizacao automatica de dados sensiveis aos 30 dias.

Dados de eventos (Dias Abertos, feiras): 12 meses apos o evento se o candidato nao empreendeu nenhuma acao posterior.

O erro de "guardar tudo"

47% das instituicoes conservam dados de candidatos indefinidamente (Fonte: inquerito Skolbot, dezembro 2025). Duplo risco: regulatorio (coimas ate 20 milhoes EUR ou 4% do volume de negocios anual segundo o RGPD) e operacional (deliverability degradada, metricas falseadas, superficie de ataque ampliada).

Direitos dos candidatos: o que a sua equipa deve saber responder

O RGPD confere oito direitos aos titulares dos dados. Na pratica, quatro sao regularmente exercidos por candidatos estudantis.

Direito de acesso (art. 15.o): o candidato pode solicitar que dados a instituicao detem. Resposta obrigatoria em 30 dias, o que implica saber onde estao armazenados (CRM, chatbot, ficheiros, emails).

Direito de retificacao (art. 16.o): correcao de dados inexatos, propagada a todos os sistemas.

Direito ao apagamento (art. 17.o): eliminacao de todos os dados. Absoluto quando o tratamento se baseia no consentimento. A eliminacao deve ser efetiva em todos os sistemas: CRM, plataforma de email, chatbot, ficheiros partilhados.

Direito de oposicao (art. 21.o): a oposicao ao marketing direto e absoluta e nao exige justificacao. Um candidato que diz "parem de me enviar emails" deve ser removido imediatamente.

O caso dos menores

Em Portugal, a idade para o consentimento digital autonomo e de 13 anos (Fonte: Lei n.o 58/2019, artigo 16.o, transposicao do RGPD). Abaixo dessa idade, e necessario o consentimento dos pais. Para programas de orientacao vocacional em escolas secundarias e campanhas em redes sociais dirigidas a menores de 13 anos, inclua uma pergunta sobre a idade nos seus formularios e tenha preparado um fluxo de consentimento parental.

Checklist operacional para equipas de admissoes

Recolha de dados

  • Cada formulario apresenta a informacao obrigatoria (identidade do responsavel, finalidade, prazo de conservacao, direitos)
  • As caixas de consentimento nao estao pre-assinaladas
  • Os consentimentos sao granulares (um por finalidade)
  • O chatbot identifica-se como IA e informa que as conversas sao gravadas
  • Os formularios de feiras incluem avisos de protecao de dados
  • Apenas os dados necessarios sao recolhidos (principio da minimizacao)

Armazenamento e acesso

  • Os dados de candidatos estao armazenados num CRM com controlo de acesso baseado em funcoes
  • Nenhum ficheiro Excel com dados pessoais circula por email
  • Os acessos aos dados sao registados
  • Os dados sensiveis (deficiencia, situacao familiar) estao isolados com acesso restrito
  • As palavras-passe do CRM cumprem as recomendacoes da CNPD (12+ caracteres, MFA ativado)

Conservacao e eliminacao

  • Uma politica de conservacao esta documentada e e aplicada
  • A eliminacao automatica esta configurada no CRM
  • Os candidatos sem interacao durante 12 meses sao eliminados ou entram numa sequencia de reativacao antes da eliminacao
  • Os dados de candidaturas rejeitadas sao eliminados aos 6 meses

Exercicio de direitos

  • Um procedimento para tratar pedidos de acesso, retificacao e apagamento esta documentado
  • A equipa de admissoes sabe quem contactar internamente
  • O prazo de 30 dias e monitorizado e cumprido
  • As remocoes de marketing sao processadas imediatamente

Os cinco erros RGPD mais frequentes nas admissoes

Erro 1: a folha de calculo da feira. Recolher 200 emails numa feira, enviar o ficheiro para si proprio por email e depois importar para o CRM sem consentimento documentado. Tripla infracao.

Erro 2: opt-in por defeito. Caixa pre-assinalada "Aceito receber comunicacoes". Consentimento invalido.

Erro 3: conservacao infinita. Dados de candidatos de 2019 ainda no CRM. Infracao mais metricas falseadas por contactos inativos.

Erro 4: resposta tardia. Um pedido de apagamento a circular entre tres departamentos durante tres semanas. Prazo de 30 dias ultrapassado.

Erro 5: o chatbot sem aviso. O chatbot recolhe nome, email, curso de interesse sem informar sobre o tratamento. Violacao do principio da transparencia.

O dividendo da confianca: para alem da conformidade

73% dos jovens de 18 a 24 anos declaram que a protecao dos seus dados influencia a escolha de instituicao (Fonte: inquerito Harris Interactive para a CNIL, 2025 — dados consistentes com estudos da A3ES em Portugal). A conformidade com o RGPD nao e apenas uma obrigacao legal — e um sinal de profissionalismo que influencia diretamente o recrutamento.

FAQ

O consentimento obtido numa feira e valido?

Apenas se estiver documentado, for especifico e informado. Um scan de cracha ou uma assinatura num tablet sem mencao das finalidades do tratamento nao constitui consentimento RGPD valido. Prepare um formulario em papel ou digital com as mencoes obrigatorias e conserve a prova do consentimento.

Pode enviar-se um email de seguimento sem consentimento de marketing?

Sim, em determinados casos, com base no interesse legitimo. Se o candidato iniciou uma candidatura sem a completar, um email de seguimento relacionado com esse processo especifico e justificavel. Contudo, uma newsletter ou a promocao de outro curso exige consentimento explicito.

O que fazer em caso de violacao de dados de candidatos?

Notificar a CNPD no prazo de 72 horas se a violacao apresentar um risco para os titulares. Informar os candidatos afetados se o risco for elevado. Documentar o incidente (natureza, dados afetados, medidas tomadas). O procedimento deve ser conhecido por todos os colaboradores com acesso a dados.

Um subcontratante (CRM, fornecedor de chatbot) e responsavel em caso de fuga?

A instituicao continua a ser a responsavel pelo tratamento. Um contrato de subcontratacao (artigo 28.o do RGPD) deve ser assinado com cada fornecedor, especificando medidas de seguranca e procedimentos de notificacao de incidentes.

Como formar equipas sem EPD interno?

Planeie uma sessao de sensibilizacao de duas horas por ano, centrada em casos praticos (recolha em feiras, formularios, seguimentos). Designe um ponto de contacto para protecao de dados. A CNPD disponibiliza orientacoes e ferramentas gratuitas especificamente concebidas para organizacoes.

O site da nossa instituição também deve ser acessível a pessoas com deficiência?

Sim, e desde junho de 2025 é uma obrigação legal para a maioria das instituições privadas. O nosso guia sobre acessibilidade digital do site universitário detalha as obrigações WCAG, as sanções previstas e os 10 pontos prioritários a verificar.

Para a gestão específica de cookies e formulários web, consulte o nosso guia sobre o consentimento de cookies e formulários RGPD para escolas.

Artigos relacionados

Guia RGPD para a proteção de dados de estudantes no ensino superior
Conformidade

RGPD e dados de estudantes: guia completo para instituições de ensino

Ilustração de transferência internacional de dados fora da UE para escolas superiores portuguesas: conformidade RGPD, CCT e ferramentas cloud em estilo isométrico
Conformidade

Transferência de dados fora da UE: guia para escolas internacionais

Direito ao apagamento RGPD prospeto escola: ilustração de pedido de eliminação numa universidade portuguesa
Conformidade

Direito ao apagamento RGPD: como responder a um pedido de um prospeto

Voltar ao blog

RGPD · Lei da IA da UE · Alojamento UE

skolbot.

SoluçãoPreçosBlogEstudos de casoComparativoAI CheckFAQEquipaAviso legalPolítica de privacidade

© 2026 Skolbot