ChatGPT
Claude
Perplexity
Gemini
GrokAviso regulatório: Este artigo tem carácter informativo e não constitui aconselhamento jurídico. Para situações específicas do seu estabelecimento, consulte um advogado especializado em proteção de dados ou o vosso Encarregado de Proteção de Dados (EPD).
O Registo de Atividades de Tratamento (RAT) é o documento central da conformidade RGPD de qualquer escola privada portuguesa — e na maioria dos casos, a obrigação aplica-se independentemente da dimensão do estabelecimento. Este guia apresenta um modelo pronto a preencher, adaptado às três principais categorias de tratamento: admissões, marketing e chatbot de IA.
Para o enquadramento completo da proteção de dados no ensino, consulte o nosso Guia RGPD para dados de estudantes.
O que é o RAT e quem está obrigado
O artigo 30.º do Regulamento (UE) 2016/679 (RGPD) impõe ao responsável pelo tratamento a obrigação de manter um registo escrito — ou eletrónico — de todas as atividades de tratamento de dados pessoais sob a sua responsabilidade. O RAT não é um formulário único: é um inventário estruturado que documenta o quê, porquê, como e durante quanto tempo os dados são tratados.
A isenção prevista no artigo 30.º, n.º 5, aplica-se a organizações com menos de 250 trabalhadores, mas inclui três exceções que, na prática, tornam esta isenção inaplicável à generalidade das escolas privadas portuguesas:
- O tratamento seja suscetível de implicar um risco para os direitos e liberdades dos titulares.
- O tratamento não seja ocasional (o que nunca acontece no ensino — os dados de candidatos e alunos são tratados de forma sistemática e contínua).
- O tratamento inclua categorias especiais de dados (saúde, origem étnica, religião — comuns em pedidos de equivalência, bolsas sociais ou adaptações curriculares).
Em resumo: uma universidade privada, um instituto politécnico cooperativo ou uma escola profissional privada com 80 funcionários está quase sempre sujeita à obrigação de manter um RAT completo. As orientações da CNPD sobre o Registo de Atividades de Tratamento confirmam esta interpretação.
As três categorias de tratamento essenciais para escolas privadas
1. Admissões — concurso nacional e candidaturas diretas
As escolas e institutos privados com cursos reconhecidos recebem candidatos através do concurso nacional coordenado pela DGES — Direção-Geral do Ensino Superior e, em paralelo, mediante candidaturas diretas (maiores de 23 anos, transferências, regimes especiais). Cada uma destas vias implica tratamentos distintos com bases jurídicas próprias.
A base jurídica para o tratamento de dados no âmbito do concurso nacional é a obrigação legal (artigo 6.º, n.º 1, alínea c) do RGPD), derivada das normas de acesso ao ensino superior. Para candidaturas diretas, a base é geralmente o contrato (artigo 6.º, n.º 1, alínea b)) ou, na fase pré-contratual, medidas a pedido do titular.
2. Marketing e captação de candidatos
Formulários de interesse no sítio Web, participação em feiras de ensino, ações de open day e campanhas em redes sociais geram dados de candidatos potenciais — os chamados "prospects". O tratamento destes dados para fins de marketing direto requer, regra geral, consentimento (artigo 6.º, n.º 1, alínea a)), exceto quando existe uma relação pré-existente que justifique o interesse legítimo nos termos do considerando 47 do RGPD.
Para uma análise detalhada dos prazos de conservação aplicáveis a estes dados, veja o nosso artigo sobre prazos de retenção de dados de candidatos em escolas.
3. Chatbot de IA no sítio Web da escola
O chatbot é uma atividade de tratamento autónoma que deve figurar no RAT com as suas próprias entradas. 72% das perguntas dos candidatos são automatizáveis por um chatbot de IA (Fonte: análise Skolbot, 12.000 conversas 2025–2026), o que significa que um volume considerável de dados pessoais — nome, e-mail, área de interesse, histórico de perguntas — é recolhido e tratado por este canal. A base jurídica depende da configuração: se o chatbot apenas responde a FAQs sem recolher dados identificativos, o tratamento pode ser mínimo; se qualifica leads e envia os dados para um CRM, a base jurídica e os destinatários devem ser claramente documentados.
Consulte também o nosso artigo sobre chatbot RGPD para escolas: avaliação de fornecedores antes de escolher uma solução.
Modelo de RAT — tabela pronta a preencher
A tabela seguinte apresenta três entradas modelo para uma escola privada portuguesa. Adapte os campos às circunstâncias concretas do vosso estabelecimento.
| Atividade de Tratamento | Finalidade | Base Jurídica (Art. 6.º RGPD) | Categorias de Dados | Destinatários | Prazo de Conservação | Transferências Internacionais |
|---|---|---|---|---|---|---|
| Candidaturas — Concurso Nacional (DGES) | Instrução e avaliação de candidaturas ao ensino superior; matrícula e inscrição | Obrigação legal (al. c)); Execução de contrato (al. b)) | Dados de identificação, contacto, habilitações académicas, notas de acesso, NIF | DGES, Serviços Académicos, Serviço de Bolsas | 5 anos após conclusão ou desistência (conservar prova de cumprimento legal) | Não (processamento em território UE) |
| Marketing — Captação de candidatos | Envio de comunicações promocionais, convites para open days, nutrição de leads via CRM | Consentimento (al. a)); Interesse legítimo (al. f)) para contactos pré-existentes | Nome, e-mail, telefone, área de interesse, fase do funil, fonte de captação | Plataforma de e-mail marketing (subcontratante), equipa de marketing | 3 anos a contar da última interação, ou até retirada do consentimento | Possível (ex.: Mailchimp/HubSpot — verificar cláusulas-tipo da CE) |
| Chatbot IA — Qualificação de candidatos | Resposta automatizada a FAQs; recolha de contacto para follow-up; qualificação de interesse | Consentimento (al. a)) recolhido no início da conversa | Nome, e-mail, histórico de conversação, área de interesse, estado de candidatura | Fornecedor do chatbot (subcontratante), CRM interno, equipa de admissões | 12 meses após a conversa; ou até retirada do consentimento | Possível (verificar localização dos servidores do fornecedor) |
Nota de utilização: Esta tabela é um ponto de partida. O RAT completo de uma escola inclui habitualmente 10 a 20 entradas adicionais: gestão de recursos humanos, videovigilância, plataformas de e-learning, sistema de pagamentos de propinas, entre outras.
Erros frequentes no RAT de universidades e institutos privados portugueses
A análise de registos de estabelecimentos de ensino superior privado revela padrões de incumprimento recorrentes:
1. Omissão de subcontratantes tecnológicos. O artigo 30.º, n.º 2, do RGPD exige que os subcontratantes também mantenham o seu próprio registo. Mas, do ponto de vista do responsável pelo tratamento (a escola), os subcontratantes — CRM, plataforma LMS, fornecedor do chatbot, processador de pagamentos — devem ser identificados como destinatários ou processadores em cada entrada do RAT. Omiti-los é um dos erros mais comuns.
2. Base jurídica errada para o marketing. Muitos estabelecimentos listam "interesse legítimo" como base para toda a comunicação de marketing, incluindo candidatos que nunca manifestaram qualquer relação com a escola. O interesse legítimo não se aplica a contactos frios; nesses casos, a base deve ser o consentimento.
3. Prazos de conservação indefinidos ou excessivos. Indicar "enquanto necessário" não cumpre o princípio da limitação da conservação (artigo 5.º, n.º 1, alínea e)). Os prazos devem ser concretos e justificados — seja por obrigação legal, seja por critério interno documentado.
4. Ausência de documentação para transferências internacionais. Plataformas como Google Workspace, Microsoft 365, HubSpot ou Salesforce podem implicar transferências de dados para fora da UE. O RAT deve identificar o mecanismo de transferência (adequação, cláusulas-tipo, etc.) para cada destinatário fora do Espaço Económico Europeu.
5. RAT desatualizado após mudança de fornecedores. O RAT não é um documento que se elabora uma vez e se arquiva. Deve ser revisto sempre que um novo sistema é implementado, um fornecedor é substituído ou uma nova atividade de tratamento é iniciada. A CNPD recomenda revisão periódica, no mínimo anual.
O chatbot de IA como atividade de tratamento autónoma
O chatbot merece uma entrada própria no RAT — e, frequentemente, uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) associada, se tratar dados em escala ou utilizar decisões automatizadas para qualificação de candidatos.
Os pontos críticos a documentar no RAT para o chatbot são:
- Momento e forma de recolha do consentimento: o utilizador deve consentir antes de introduzir dados pessoais na conversa. O banner ou pop-up de consentimento deve ser específico para o chatbot, não confundível com o consentimento de cookies.
- Localização do processamento: os dados das conversas são processados nos servidores do fornecedor. Se esses servidores estão fora da UE, é necessário documentar o mecanismo de transferência.
- Retenção dos logs de conversa: quanto tempo o fornecedor conserva os logs? Este prazo deve constar do contrato de subcontratação (artigo 28.º do RGPD) e ser refletido no RAT.
- Decisões automatizadas: se o chatbot classifica automaticamente um candidato como "qualificado" ou "não qualificado" sem intervenção humana, pode estar em causa o artigo 22.º do RGPD, que impõe salvaguardas específicas.
Se o vosso estabelecimento não tem EPD (Encarregado de Proteção de Dados) designado, veja o nosso artigo sobre EPD externo para escola privada para perceber quando esta figura é obrigatória e como selecionar um serviço adequado.
Como manter o RAT atualizado: processo interno recomendado
Um RAT não documentado ou desatualizado tem valor jurídico nulo em caso de inspeção da CNPD. O processo recomendado para escolas privadas portuguesas:
- Designar um responsável interno pelo RAT — habitualmente o EPD, o Diretor de Operações ou o Responsável de Compliance.
- Criar um inventário de sistemas — listar todas as aplicações que tratam dados pessoais (SGA, CRM, LMS, ferramentas de e-mail, plataformas de videoconferência, chatbot, etc.).
- Para cada sistema, preencher uma entrada no RAT com os campos do artigo 30.º: finalidade, base jurídica, categorias de dados, destinatários, prazos de conservação, transferências internacionais e medidas de segurança.
- Rever o RAT em cada ciclo de avaliação de risco — pelo menos anualmente — e sempre que um sistema é adicionado, alterado ou retirado.
- Manter o RAT disponível para apresentação à CNPD mediante pedido, sem demora injustificada.
Perguntas frequentes
O artigo 30.º do RGPD aplica-se a escolas privadas com menos de 250 trabalhadores?
Sim, na quase totalidade dos casos. A isenção para organizações com menos de 250 trabalhadores (artigo 30.º, n.º 5) não se aplica quando o tratamento é sistemático (não ocasional), inclui categorias especiais de dados ou implica riscos para os direitos dos titulares. No ensino privado, estas três condições verificam-se simultaneamente, pelo que a obrigação de manter um RAT completo subsiste independentemente do número de funcionários.
Qual é a diferença entre o RAT e a política de privacidade?
São documentos distintos com finalidades e destinatários diferentes. A política de privacidade é um documento público, dirigido aos titulares dos dados (candidatos, alunos, funcionários), que cumpre o dever de informação dos artigos 13.º e 14.º do RGPD. O RAT é um documento interno, de uso operacional e regulatório, que descreve em detalhe todas as atividades de tratamento e é disponibilizado à autoridade de controlo (CNPD) quando solicitado. Uma escola privada precisa de ambos.
Precisamos de um Encarregado de Proteção de Dados (EPD)?
Para a maioria das escolas e institutos privados portugueses, a resposta é sim. O artigo 37.º do RGPD impõe a designação de EPD quando o tratamento de dados é efetuado em grande escala ou inclui categorias especiais de dados de forma sistemática — o que se verifica no ensino. A nomeação do EPD deve ser comunicada à CNPD. O EPD pode ser um funcionário interno ou um prestador externo.
Quanto tempo devemos conservar os dados dos candidatos que não se matricularam?
Para candidatos que não concluíram a matrícula, o prazo razoável oscila entre 12 meses e 3 anos, dependendo da base jurídica do tratamento e da eventual existência de litígios ou reclamações pendentes. Dados recolhidos com base no consentimento devem ser eliminados quando o consentimento é retirado ou o prazo definido expira. Para um aprofundamento desta questão, consulte o nosso artigo sobre prazos de retenção de dados de candidatos.
O chatbot de IA deve constar do RAT?
Sim, obrigatoriamente. Qualquer ferramenta que recolha, armazene ou transmita dados pessoais constitui uma atividade de tratamento que deve ser documentada no RAT. O chatbot gera logs de conversação que podem conter nome, e-mail, área de interesse e outras informações identificativas. Além disso, se o chatbot envia dados para um CRM ou plataforma de e-mail marketing, os destinatários desse fluxo devem também estar documentados. Em função da escala e da natureza do tratamento, pode ser necessária uma AIPD (Avaliação de Impacto sobre a Proteção de Dados) nos termos do artigo 35.º do RGPD.
A Skolbot integra conformidade RGPD por defeito: consentimento granular no chatbot, retenção de dados configurável, registos de auditoria exportáveis e documentação de subcontratante pronta a incluir no vosso RAT.
Solicitar uma demonstração personalizada
