ChatGPT
Claude
Perplexity
Gemini
GrokPor que razão a transferência de dados fora da UE é urgente para as escolas superiores portuguesas
A sua escola usa Google Workspace, um CRM na nuvem e uma plataforma de recrutamento. O departamento de TI sabe que os dados estão "algures na nuvem". Mas em que país? Com que garantia jurídica? Quem tem acesso?
58% dos candidatos de escolas privadas são falantes não nativos — o que cria fluxos transfronteiriços de dados reais através de CRM, chatbot e ferramentas de marketing. (Fonte: deteção automática de idioma Skolbot, 8.500 conversas, 2025-2026)
Sempre que um estudante do Brasil, de Angola ou de Moçambique preenche um formulário ligado a um serviço SaaS americano, ocorre uma transferência de dados pessoais para fora do EEE. O RGPD (Regulamento Geral sobre a Proteção de Dados) regula essa transferência de forma estrita — e a CNPD (Comissão Nacional de Proteção de Dados) supervisiona e fiscaliza ativamente.
Para o enquadramento geral das obrigações RGPD da sua instituição, consulte o nosso guia RGPD completo para dados estudantis.
O que o RGPD entende por "transferência para fora do EEE"
Qualquer transmissão de dados pessoais a um destinatário num país fora do Espaço Económico Europeu (EEE) constitui uma transferência na aceção do RGPD — mesmo que seja realizada por um subcontratante que trate os seus dados sem que disso se aperceba. O EEE inclui os 27 Estados-membros da UE, mais a Islândia, a Noruega e o Liechtenstein.
Exemplos concretos de transferências que ocorrem diariamente nas escolas superiores:
- Um responsável de marketing envia um e-mail de nurturing via HubSpot. Os dados são tratados em servidores nos EUA.
- Um colaborador de admissões introduz dados de candidatos no Salesforce. Os centros de dados da Salesforce estão parcialmente nos EUA.
- Um candidato preenche um formulário via Google Forms. A Google trata os dados na sua infraestrutura global.
- Um docente realiza uma videochamada com um candidato internacional via Zoom. Os dados da sessão podem transitar por servidores americanos.
O RGPD não autoriza automaticamente estas transferências. O artigo 44 determina que qualquer transferência para fora do EEE exige uma base jurídica válida.
Os três mecanismos que a sua escola deve conhecer
Decisões de adequação: o caminho mais simples
Uma decisão de adequação é uma decisão da Comissão Europeia que reconhece que um país terceiro garante um nível de proteção equivalente ao do RGPD. Quando existe uma decisão de adequação em vigor, pode transferir dados pessoais para esse país sem garantias adicionais.
Atualmente, os seguintes países dispõem de decisão de adequação: Suíça, Noruega, Islândia, Liechtenstein, Andorra, Argentina, Canadá (parcialmente), Ilhas Faroé, Guernsey, Ilha de Man, Israel, Japão, Jersey, Nova Zelândia, Uruguai, Coreia do Sul e Reino Unido. A lista completa e atualizada está disponível na Comissão Europeia.
Os Estados Unidos não dispõem de uma decisão de adequação geral para todas as organizações. O Quadro de Privacidade de Dados UE-EUA (Data Privacy Framework, DPF) é uma solução parcial: apenas as empresas certificadas ao abrigo do DPF podem beneficiar de um regime de transferência simplificado. A Google, a Microsoft e a Salesforce estão certificadas. Verifique sempre na lista DPF se o seu fornecedor específico está certificado.
Cláusulas contratuais-tipo (CCT): o padrão prático
As cláusulas contratuais-tipo (CCT) — também designadas Standard Contractual Clauses (SCC) — são cláusulas contratuais modelo aprovadas pela Comissão Europeia. Ao celebrar um acordo CCT com um fornecedor fora do EEE, a sua transferência é, em princípio, conforme com o RGPD.
Todos os grandes fornecedores cloud (Google, Microsoft, Zoom, Salesforce, HubSpot) oferecem CCT como parte do seu Acordo de Tratamento de Dados (DPA). É necessário aceitar ativamente esse DPA — não é aplicado automaticamente.
Após o acórdão do Tribunal de Justiça da UE no caso Schrems II (2020), ao utilizar CCT para transferências para os EUA deve ainda realizar uma Avaliação do Impacto da Transferência (TIA). Nessa avaliação, pondera se o acesso governamental no país destinatário compromete a proteção das CCT. Na prática, para a maioria das aplicações comerciais, basta uma análise de risco documentada com referência à certificação DPF do fornecedor.
Para maior aprofundamento, consulte o guia EDPB sobre transferências internacionais de dados.
Regras vinculativas para empresas (BCR)
As regras vinculativas para empresas (BCR) são regras internas aprovadas para grupos multinacionais que transferem dados dentro do mesmo grupo empresarial. Este instrumento é relevante para grandes instituições com estabelecimentos fora da UE, mas demasiado complexo para a maioria das escolas superiores portuguesas. A CNPD aprova as BCR para os responsáveis pelo tratamento estabelecidos em Portugal.
Síntese: mecanismo de transferência por ferramenta
| Ferramenta | Localização dos servidores | Mecanismo | DPA disponível | Pontos de atenção |
|---|---|---|---|---|
| Google Workspace | EUA (região UE disponível) | DPF + CCT | Sim, via Google Admin | Configurar armazenamento de dados na UE na consola de administração |
| Microsoft 365 | EUA + UE | DPF + CCT | Sim, via Microsoft Admin | Fronteira de dados UE disponível (Sovereign Cloud) |
| Zoom | EUA | DPF + CCT | Sim, via portal Zoom | Dados de sessão podem transitar por servidores EUA |
| Salesforce | EUA (instância UE disponível) | DPF + CCT | Sim, via Salesforce | Selecionar instância UE no momento do onboarding |
| HubSpot | EUA (alojamento UE disponível) | DPF + CCT | Sim, via HubSpot | Configurar região de servidores UE nas definições da conta |
Nota: a certificação DPF pode ser alterada. Verifique o estado de cada fornecedor anualmente através da lista oficial DPF.
Passos práticos para a sua instituição
Passo 1 — Inventariar todos os subcontratantes com dados no estrangeiro
Elabore um registo de todas as ferramentas que tratam dados pessoais de estudantes e candidatos. Para cada ferramenta, registe: nome, país de tratamento, mecanismo (DPF, CCT, decisão de adequação) e se o DPA está assinado. Este registo é o ponto de partida de qualquer auditoria RGPD e o primeiro documento que a CNPD solicita em caso de inspeção.
Passo 2 — Assinar ou aceitar o DPA de cada subcontratante
A maioria dos fornecedores SaaS disponibiliza um DPA através da sua consola de administração. A aceitação é ativa, não tácita. Google Workspace: via Google Admin → Conta → Jurídico. HubSpot: via Definições → Privacidade e Consentimento. Salesforce: via o portal de cliente. Zoom: via o portal de administração Zoom.
Passo 3 — Realizar uma Avaliação do Impacto da Transferência para transferências para os EUA
Para cada transferência para os EUA que se baseia exclusivamente em CCT (e não em DPF), documente:
- Que categorias de dados são transferidos?
- O fornecedor tem certificação DPF?
- Quais são os riscos de acesso governamental nos EUA (FISA 702, EO 12333)?
- Que medidas técnicas (encriptação, pseudonimização) reduzem esse risco?
Passo 4 — Estabelecer o DPA para o chatbot da sua escola
Se a sua escola utiliza um chatbot de IA para acompanhamento de candidatos, o modelo de linguagem é um subcontratante na aceção do artigo 28 do RGPD. Verifique onde o modelo está alojado, qual CCT se aplica e se o fornecedor do chatbot disponibiliza um DPA. Para os requisitos RGPD específicos dos chatbots, leia o nosso guia sobre consentimento de cookies e RGPD para escolas.
Passo 5 — Documentar e conservar as provas
A CNPD espera que, em caso de inspeção, possa demonstrar que avaliou a transferência. Conserve: os DPA assinados, a documentação TIA, as referências à certificação DPF e a data da sua verificação anual.
Recrutar estudantes internacionais e as consequências para a transferência de dados
Recrutar estudantes internacionais — do Brasil, de Angola, de Moçambique, de Cabo Verde — intensifica as transferências de dados em três pontos. Em primeiro lugar, as equipas de recrutamento utilizam plataformas como LinkedIn, Hotjar ou Typeform alojadas fora da UE. Em segundo lugar, as ferramentas de marketing automation (HubSpot, Mailchimp) tratam as comunicações de campanha dirigidas a estudantes fora da UE. Em terceiro lugar, os chatbots registam conversas com estudantes que acedem a partir de países não pertencentes ao EEE.
Para uma visão mais abrangente das implicações RGPD no recrutamento internacional, consulte o nosso guia de recrutamento de estudantes internacionais.
FAQ
O Google Workspace é conforme com o RGPD para dados de alunos?
Sim, desde que corretamente configurado. A Google está certificada ao abrigo do Quadro de Privacidade de Dados UE-EUA e disponibiliza CCT como parte do seu DPA. São necessários dois passos: (1) aceitar ativamente o DPA via Google Admin e (2) configurar a região de armazenamento como "Europa" na consola de administração. Sem essa configuração, os dados podem ser armazenados por defeito em servidores nos EUA.
O que é uma decisão de adequação?
Uma decisão de adequação é uma decisão formal da Comissão Europeia que reconhece que um país fora do EEE garante um nível de proteção equivalente ao do RGPD. Com uma decisão de adequação válida, não são necessárias garantias jurídicas adicionais para a transferência. A Comissão revê periodicamente as decisões existentes; a decisão relativa ao Reino Unido, por exemplo, está a ser reavaliada. Consulte a lista atualizada de decisões de adequação para o estado mais recente.
O que são cláusulas contratuais-tipo (CCT)?
As cláusulas contratuais-tipo (CCT) — também conhecidas como Standard Contractual Clauses (SCC) — são cláusulas contratuais modelo aprovadas pela Comissão Europeia como mecanismo para transferências seguras para fora do EEE. São anexadas ao acordo de tratamento de dados. Os grandes fornecedores como Google, Microsoft, Salesforce, HubSpot e Zoom incluem CCT nos respetivos DPA. Após o acórdão Schrems II (2020), é necessário realizar ainda uma Avaliação do Impacto da Transferência para avaliar a eficácia das CCT relativamente ao país destinatário.
Quais as sanções do RGPD para transferências não conformes?
O RGPD prevê coimas de até 20 milhões de euros ou 4% do volume de negócios anual mundial — aplica-se o montante mais elevado. As transferências não conformes enquadram-se no artigo 83, n.º 5, a categoria de coimas mais grave. A CNPD sancionou em 2025 organismos de formação por falta de base jurídica em transferências internacionais. Para além da sanção financeira, uma decisão pública da CNPD prejudica a reputação junto dos candidatos e das suas famílias — precisamente o público que a sua escola procura atrair. Consulte o site da CNPD para os casos de fiscalização mais recentes.
A transferência internacional de dados não é um detalhe técnico — é uma obrigação de conformidade que qualquer escola superior que utilize ferramentas cloud já enfrenta, mas que muitas vezes documenta de forma insuficiente. A combinação de estudantes internacionais, ferramentas SaaS americanas e uma autoridade de controlo ativa torna esta matéria uma prioridade para qualquer DPO ou responsável de sistemas.
Experimente o Skolbot na sua escola — 30 segundos, sem compromissoLeia também: Auditoria RGPD para universidades: checklist em 20 pontos
