RGPD e IA em Empresas: o que o seu fornecedor precisa de garantir

Porque é que IA + RGPD é um problema diferente

Sistemas tradicionais de software tratam dados pessoais de forma previsível. O programador define o que entra, o que sai, onde é guardado. Sistemas de IA têm três características que tornam a conformidade mais complexa. Primeiro, frequentemente envolvem fornecedores externos (OpenAI, Anthropic, Google) que processam os dados em infraestrutura própria. Segundo, podem tomar decisões automatizadas que afetam pessoas. Terceiro, a forma como o modelo "aprende" não é totalmente transparente, o que dificulta o cumprimento do dever de explicação. Os três pontos juntos exigem cuidados que muitas empresas e muitos fornecedores ainda não interiorizaram.

Os 5 pilares de conformidade que o seu fornecedor tem de garantir

Pilar 1 · Base legal clara para o tratamento

Toda a IA que processa dados pessoais precisa de base legal definida (consentimento, execução de contrato, interesse legítimo, obrigação legal). O fornecedor não escolhe; a empresa escolhe e o fornecedor implementa. Se a sua empresa não consegue articular em uma frase qual a base legal para o tratamento que a IA vai fazer, o projeto não está pronto para arrancar.

Pilar 2 · Direito a revisão humana (Artigo 22)

O Artigo 22 do RGPD garante ao titular o direito de não ser sujeito a decisão exclusivamente automatizada com efeitos significativos. Aplica-se a recrutamento, scoring de crédito, atribuição de tarifários, decisões de suporte com impacto contratual. Em qualquer destes casos, o sistema tem de prever fluxo de revisão humana e o cliente/candidato/utilizador tem de saber como a invocar. Para o caso específico de recrutamento, ver como automatizar análise de CVs sem violar o RGPD.

Pilar 3 · Transferências internacionais de dados

Quando dados pessoais saem da UE para fornecedores como OpenAI, Anthropic ou Google nos EUA, é necessária base válida de transferência. Em 2026, a base mais usada é o Data Privacy Framework (DPF), mas com fragilidade conhecida (já foi anulado duas vezes em versões anteriores). Cláusulas Contratuais Tipo (SCC) são complemento prudente. O fornecedor tem de documentar exatamente que dados saem, para onde, com que finalidade e com que garantias.

Pilar 4 · Período de retenção definido e respeitado

Cada categoria de dado pessoal tem de ter prazo de retenção definido (típico: 6 meses, 1 ano, 5 anos, conforme finalidade). O fornecedor tem de implementar mecanismo de eliminação automática no final do prazo. Empresas que mantêm dados "para o caso de" estão em incumprimento, mesmo que nunca usem os dados.

Pilar 5 · Direitos do titular operacionalizáveis

Acesso, retificação, apagamento, portabilidade, oposição. Cada um destes tem de ser executável em prazo razoável (tipicamente 30 dias). Se o fornecedor não consegue, em 30 dias, identificar e remover todos os dados de uma pessoa específica do sistema, o sistema não está conforme. Esta é a pergunta-teste mais simples e mais reveladora.

Quando é DPIA obrigatória em projetos de IA

A Avaliação de Impacto sobre a Proteção de Dados (DPIA) é obrigatória quando o tratamento provavelmente apresenta risco elevado para os direitos das pessoas. A CNPD publicou lista de casos onde DPIA é obrigatória, e vários cobrem aplicações típicas de IA:

• Tratamento sistemático em larga escala de dados de candidatos a emprego (qualquer ATS com IA acima de certa escala).
• Decisões automatizadas com efeitos jurídicos ou similarmente significativos sobre pessoas singulares.
• Vigilância sistemática de zonas acessíveis ao público (incluindo análise de imagem com IA).
• Tratamento de dados sensíveis (saúde, biométricos) por sistema automatizado.
• Combinação de conjuntos de dados de fontes distintas para perfilamento.
• Tratamento de dados de menores, beneficiários de prestações sociais ou outros grupos vulneráveis.

Cláusulas contratuais que devem estar obrigatoriamente no contrato

1. Identificação clara dos papéis · responsável pelo tratamento (a sua empresa) e subcontratante (o fornecedor de IA).
2. Lista exaustiva das categorias de dados pessoais tratados e finalidades de cada categoria.
3. Localização dos servidores onde os dados são processados e armazenados (UE, EUA, outro).
4. Bases legais para transferências internacionais (DPF, SCC, decisão de adequação).
5. Prazos de retenção por categoria de dado e mecanismos de eliminação.
6. Direito da empresa a auditar o fornecedor (auditorias regulares ou em caso de incidente).
7. Notificação obrigatória em 24 a 48 horas em caso de violação de dados.
8. Cláusulas de subcontratação · o fornecedor não pode subcontratar sem autorização e documentação.
9. Devolução ou eliminação certificada de dados no fim do contrato.
10. Distribuição de responsabilidade em caso de coima, com seguro adequado por parte do fornecedor.

O papel do DPO e como integrá-lo no processo

Para empresas com mais de 250 colaboradores, ou que tratam dados pessoais em larga escala como atividade principal, o Data Protection Officer (DPO) é obrigatório. Em projetos de IA, o DPO deve estar envolvido desde a fase de avaliação do fornecedor, não apenas na fase de revisão de contrato. As empresas que tratam o DPO como obstáculo formal pagam o preço em retrabalho e bloqueios na fase de implementação. As que tratam o DPO como consultor desde o início avançam mais rápido e com menos risco. Para empresas sem DPO interno, contratar consultor externo qualificado para a fase de avaliação é boa prática.

Casos onde a IA cria risco regulatório elevado

Recrutamento automatizado

Filtragem de CVs por IA é tratamento automatizado de dados pessoais com efeitos significativos. Exige DPIA, transparência com candidato, direito a revisão humana garantido e auditoria regular de viés. Empresas que aplicam IA a recrutamento sem este conjunto de garantias estão em risco material.

Scoring de crédito ou risco de cliente

Decisões de concessão ou rejeição com base em modelo são caso clássico de Artigo 22. O cliente tem direito a explicação compreensível dos fatores que pesaram na decisão e a contestar. Modelos black-box sem capacidade de explicação não são adequados a este caso de uso.

Análise de imagem em espaços públicos

Reconhecimento facial, contagem de pessoas, análise de comportamento em zonas acessíveis ao público têm escrutínio elevado e DPIA quase sempre obrigatória. O AI Act classifica algumas destas aplicações como alto risco ou mesmo proibidas. Antes de investir, validar com DPO ou consultor jurídico especializado.

Personalização de marketing com perfilamento

Modelos que constroem perfis detalhados de cliente para personalização precisam de base legal sólida (consentimento típico) e direito de oposição claro. A LinkedIn Workforce Report de 2025 indica que esta é a área de IA com mais reclamações de utilizadores em Portugal e na UE.

Os 5 erros mais comuns em conformidade RGPD em projetos de IA

• Assumir que o fornecedor garante conformidade só por usar OpenAI ou outro "big name". A conformidade é da empresa, não do fornecedor de modelo.
• Não fazer DPIA quando obrigatória, na esperança que ninguém pergunte. A CNPD pergunta cada vez mais.
• Contratos que não distinguem responsável e subcontratante, ou que não cobrem subcontratação por parte do fornecedor.
• Inexistência de mecanismo prático de eliminação de dados de pessoa específica em prazo razoável.
• Falta de auditoria periódica de viés em sistemas que tomam decisões sobre pessoas.

A escolha do fornecedor é determinante para mitigar estes riscos. Para um framework completo de avaliação, ver como escolher fornecedor de IA com critérios objetivos.

Checklist prática · 12 perguntas a fazer antes de assinar

1. Que dados pessoais saem da minha empresa, para onde e com que finalidade?
2. Que base legal fundamenta cada transferência internacional?
3. Como é executado o direito ao apagamento de uma pessoa específica?
4. Em quanto tempo o fornecedor consegue cumprir um pedido de acesso aos dados?
5. Que retenção está definida por categoria de dado e como é executada a eliminação?
6. O sistema toma decisões automatizadas com efeitos significativos? Como é a revisão humana?
7. Que auditoria de viés está prevista, com que periodicidade e por quem?
8. Em caso de violação de dados, qual o protocolo e em quanto tempo me notificam?
9. Que subcontratação está prevista da parte do fornecedor e como é controlada?
10. Que seguro de responsabilidade civil cobre o fornecedor em caso de coima por incumprimento?
11. Como é certificada a eliminação dos dados no fim do contrato?
12. DPIA já foi feita? Se não, quem a faz e em que prazo?