RGPD e dados de estudantes: guia completo para instituições de ensino

O RGPD aplica-se a cada dado que a sua instituição recolhe sobre um candidato ou estudante

Desde 25 de maio de 2018, o Regulamento Geral sobre a Proteção de Dados (RGPD — Regulamento 2016/679) regula todo o tratamento de dados pessoais na União Europeia. Para uma instituição de ensino superior, o âmbito vai muito além do processo de matrícula: formulários de contacto, interações com chatbot, analítica web, inscrições em dias abertos, resultados académicos, dados de saúde e até fotografias captadas em eventos no campus.

O incumprimento não é um risco teórico. A CNPD (Comissão Nacional de Proteção de Dados) tem intensificado a sua atividade fiscalizadora e, a nível europeu, as autoridades de controlo aplicaram coimas superiores a 4 mil milhões de euros entre 2018 e 2025. O teto das coimas — 20 milhões de euros ou 4 % do volume de negócios anual mundial — torna os riscos tangíveis para qualquer instituição.

Este guia cobre as obrigações concretas para as instituições de ensino superior em Portugal: tipos de dados, bases legais, consentimento, direitos dos titulares, papel do Encarregado de Proteção de Dados (EPD), e as implicações do Regulamento de IA para as ferramentas de admissão e os chatbots.

Categorias de dados pessoais tratados por uma instituição

Dados dos candidatos (pré-matrícula)

Os dados recolhidos antes da matrícula constituem o primeiro perímetro RGPD de uma instituição:

• Dados de identificação — nome, endereço eletrónico, número de telefone, recolhidos através de formulários de contacto, chatbot ou inscrição em dias abertos
• Dados de navegação — páginas visitadas, tempo de permanência, origem do tráfego, recolhidos pelo Google Analytics ou ferramentas equivalentes
• Dados conversacionais — perguntas colocadas ao chatbot, histórico de conversação, idioma utilizado
• Dados de candidatura — currículo, carta de motivação, certificados de habilitações, documentos de identificação

89 % dos candidatos perguntam sobre as propinas e 78 % informam-se sobre estágios ou formação em contexto de trabalho (Fonte: análise de 12.000 conversas de chatbot Skolbot, set. 2025 — fev. 2026). Estas interações constituem dados pessoais assim que um identificador (nome, e-mail) é associado à conversa.

Dados dos estudantes matriculados

Após a matrícula, o estudante gera um volume de dados consideravelmente maior:

• Dados académicos — classificações, assiduidade, progressão, diplomas
• Dados financeiros — propinas, planos de pagamento, bolsas de estudo (DGES, fundações)
• Dados de vida no campus — acesso a edifícios (cartão de estudante), cantina, residência universitária
• Dados sensíveis — deficiência, situação social, dados de saúde (serviços de ação social, gabinete de apoio ao estudante)

Os dados sensíveis (artigo 9.º do RGPD) exigem proteções reforçadas: base legal específica, limitação estrita do acesso e proibição de tratamento automatizado para efeitos de tomada de decisão, salvo exceções expressas.

Dados dos alumni

O tratamento de dados de alumni (diretório, donativos, eventos de networking) requer uma base legal distinta da utilizada durante a formação. O consentimento prestado para a matrícula não cobre automaticamente o contacto pós-graduação.

Bases legais aplicáveis no ensino superior

As 6 bases legais do RGPD e a sua aplicação às instituições

O RGPD (artigo 6.º) define seis bases legais para o tratamento de dados pessoais. No ensino superior, quatro são utilizadas de forma predominante:

• Execução de um contrato (artigo 6.º, n.º 1, alínea b)) — A base mais sólida para os dados relacionados com a matrícula, a formação e a faturação. O contrato de formação justifica o tratamento dos dados necessários à sua execução.

• Interesse legítimo (artigo 6.º, n.º 1, alínea f)) — Aplicável ao marketing de captação (envio de brochuras, follow-ups) e à analítica web. Exige um teste de ponderação documentado: o interesse da instituição não deve prevalecer sobre os direitos do titular. O EDPB (Comité Europeu para a Proteção de Dados) recomenda documentação formal desta ponderação para cada tratamento.

• Consentimento (artigo 6.º, n.º 1, alínea a)) — Exigido para newsletters de marketing, cookies não essenciais e partilha de dados com terceiros. O consentimento deve ser livre, específico, informado e inequívoco. Um formulário de contacto com uma caixa pré-assinalada "Desejo receber comunicações" não constitui um consentimento válido.

• Obrigação jurídica (artigo 6.º, n.º 1, alínea c)) — Abrange a transmissão de dados às autoridades (DGES — Direção-Geral do Ensino Superior, A3ES — Agência de Avaliação e Acreditação do Ensino Superior, Segurança Social) e a conservação de diplomas durante o prazo legal.

Erro frequente: o consentimento como base por defeito

Muitas instituições utilizam o consentimento como base legal única para todos os tratamentos. É um erro estratégico. O consentimento é revogável a qualquer momento (artigo 7.º, n.º 3), o que significa que, se um estudante revogar o consentimento, a instituição perde o direito de tratar os seus dados — incluindo os necessários à sua formação.

A abordagem correta: utilizar a execução do contrato para os tratamentos ligados à formação, a obrigação jurídica para as transmissões regulamentares, o interesse legítimo para a captação (com teste de ponderação documentado) e o consentimento apenas para o marketing e os cookies.

O consentimento no contexto educativo

Consentimento de menores

O RGPD (artigo 8.º) fixa o limiar de consentimento digital nos 16 anos, mas cada Estado-Membro pode reduzi-lo até aos 13 anos. Em Portugal, a Lei n.º 58/2019 fixa o limiar nos 13 anos. Para o ensino superior, a maioria dos candidatos é maior de idade, mas os CTeSP (Cursos Técnicos Superiores Profissionais) e os programas de acesso aos maiores de 23 anos podem incluir candidatos menores.

Para candidatos menores: o consentimento dos pais ou tutores legais é necessário para qualquer tratamento baseado no consentimento (newsletter de marketing, cookies de marketing). Os formulários devem prever um mecanismo de verificação (e-mail parental, dupla confirmação).

Consentimento e chatbot IA

Um chatbot IA que recolha dados pessoais deve informar o candidato antes do início da conversa:

• Que está a interagir com uma inteligência artificial (obrigação de transparência do Regulamento de IA, artigo 52.º)
• Quais os dados recolhidos e para que finalidade
• Como exercer os seus direitos (acesso, retificação, apagamento)
• O prazo de conservação das conversas

Um banner informativo ao iniciar o chatbot, com ligação para a política de privacidade, cumpre esta obrigação. O chatbot não deve condicionar o acesso à informação ao fornecimento de dados pessoais: um candidato deve poder colocar questões sobre os programas sem indicar o nome ou o endereço eletrónico.

Direitos dos titulares dos dados

Os 8 direitos que a sua instituição deve garantir

O RGPD confere aos titulares dos dados (candidatos, estudantes, alumni) oito direitos fundamentais. A sua instituição deve dispor de procedimentos operacionais para responder a cada um no prazo de um mês:

• Direito de acesso (artigo 15.º) — O estudante pode solicitar uma cópia de todos os dados que a instituição detém sobre si.
• Direito de retificação (artigo 16.º) — Correção de dados inexatos ou incompletos.
• Direito ao apagamento (artigo 17.º) — O "direito a ser esquecido". Limitado pelas obrigações legais de conservação (diplomas, contabilidade).
• Direito à limitação do tratamento (artigo 18.º) — Suspensão do tratamento em caso de contestação.
• Direito à portabilidade (artigo 20.º) — Transferência dos dados em formato estruturado para outra instituição.
• Direito de oposição (artigo 21.º) — Recusa do tratamento baseado no interesse legítimo, incluindo a definição de perfis para efeitos de marketing.
• Direito a não ficar sujeito a decisões automatizadas (artigo 22.º) — Fundamental para ferramentas de admissão que utilizam IA.
• Direito de retirar o consentimento (artigo 7.º, n.º 3) — A qualquer momento, sem necessidade de justificação.

O apagamento em cascata: um desafio técnico

Quando um candidato exerce o seu direito ao apagamento, todos os dados que lhe dizem respeito devem ser eliminados de todos os sistemas: CRM, chatbot, ferramenta de e-mail marketing, analítica nominativa, cópias de segurança. O custo de captação por estudante matriculado situa-se entre 900 e 1.500 EUR em Portugal (Fonte: estimativas baseadas em dados da EAIE, StudyPortals, EAB e DGES). Cada pedido de apagamento representa uma perda de investimento em marketing — razão acrescida para minimizar a recolha de dados desde o início.

O apagamento deve ser efetivo no prazo de um mês. Um processo de apagamento em cascata documentado, testado periodicamente, é indispensável.

O EPD: papel e obrigações para as instituições

Quando é obrigatória a designação de um EPD?

O RGPD (artigo 37.º) torna obrigatória a designação de um Encarregado de Proteção de Dados (EPD) quando o tratamento é efetuado por uma entidade pública, ou quando as atividades principais do responsável pelo tratamento exijam um controlo regular e sistemático dos titulares em grande escala.

Para uma instituição de ensino superior, a CNPD considera que o tratamento de dados de centenas ou milhares de candidatos e estudantes constitui um tratamento em grande escala. A designação de um EPD é, na prática, quase sempre obrigatória. As universidades públicas portuguesas estão abrangidas pela obrigação enquanto entidades públicas; as instituições privadas, pelo critério de tratamento em grande escala.

EPD interno ou externo?

Ambas as opções são válidas. Um EPD interno conhece melhor os processos da instituição, mas corre o risco de conflito de interesses se acumular funções decisórias (diretor de TI, diretor jurídico). Um EPD externo traz experiência especializada e independência garantida, mas necessita de tempo para compreender as especificidades do ensino superior.

O EPD deve ter acesso direto à direção, não pode ser sancionado pelo exercício das suas funções e deve dispor de meios suficientes (orçamento, tempo, ferramentas).

O Regulamento de IA e as suas implicações para as instituições

Classificação dos sistemas IA no ensino

O Regulamento de IA da UE (Regulamento 2024/1689) classifica os sistemas de inteligência artificial por nível de risco. Para o ensino superior, duas categorias são relevantes:

Alto risco (Anexo III) — Os sistemas de IA utilizados para a admissão, a avaliação de candidaturas ou a classificação automatizada de exames são classificados como de alto risco. Exigem:

• Um sistema documentado de gestão de riscos
• Conjuntos de dados de treino de qualidade, representativos e sem enviesamentos
• Supervisão humana efetiva (a IA recomenda, o ser humano decide)
• Transparência completa perante os titulares
• Registo na base de dados europeia de sistemas IA de alto risco

Risco limitado (artigo 52.º) — Os chatbots informativos na fase de pré-admissão enquadram-se no risco limitado. A obrigação principal é a transparência: o candidato deve saber que está a interagir com IA. Sem avaliação de conformidade, sem registo, mas com uma obrigação clara de informação.

Calendário de entrada em vigor

O Regulamento de IA entra em vigor de forma faseada. As proibições relativas a sistemas de risco inaceitável estão em vigor desde fevereiro de 2025. As obrigações para sistemas de alto risco aplicam-se plenamente a partir de agosto de 2026. As instituições que utilizam ferramentas de IA para a pré-seleção de candidaturas devem preparar-se desde já.

A A3ES (Agência de Avaliação e Acreditação do Ensino Superior) ainda não publicou orientações específicas sobre IA nos processos de admissão, mas o enquadramento do Regulamento de IA prevalece sobre a ausência de regulamentação nacional específica.

Obrigações específicas por país

Portugal — CNPD

A CNPD é a autoridade de controlo portuguesa. Para além do RGPD, a Lei n.º 58/2019 impõe obrigações adicionais:

• Consentimento digital aos 13 anos (a idade mais baixa entre os países da Europa Ocidental)
• Obrigação de notificação de violações de dados à CNPD no prazo de 72 horas
• A CNPD tem publicado deliberações específicas sobre videovigilância em estabelecimentos de ensino e sobre o tratamento de dados biométricos
• As instituições devem respeitar os prazos de conservação previstos na legislação portuguesa para diplomas e registos académicos

A DGES (Direção-Geral do Ensino Superior) exige a transmissão de dados sobre matrículas, vagas e diplomados — esta transmissão assenta na base legal de obrigação jurídica e não requer consentimento dos estudantes.

Espanha — AEPD

A AEPD fixa o consentimento digital nos 14 anos e publicou guias específicos para o setor educativo. As instituições portuguesas que recrutam estudantes em Espanha devem ter em conta as diferenças regulamentares.

França — CNIL

A CNIL é a autoridade francesa. Aplica o consentimento digital aos 15 anos e impõe requisitos reforçados para cookies. Publica orientações específicas para o setor da formação.

Países Baixos — AP

A AP (Autoriteit Persoonsgegevens) tem dedicado particular atenção ao setor educativo neerlandês. Foram aplicadas sanções a instituições pelo uso de software de supervisão de exames em linha (proctoring) sem base legal adequada.

Reino Unido — ICO

O ICO aplica o UK GDPR pós-Brexit. As instituições portuguesas que recrutam no Reino Unido devem tratar a transferência de dados como transferência internacional, com as garantias adequadas (cláusulas contratuais-tipo). Isto é particularmente relevante para as instituições que participam em programas de mobilidade com universidades britânicas.

Segurança dos dados: medidas técnicas e organizativas

O princípio da minimização

O artigo 5.º, n.º 1, alínea c) do RGPD impõe que sejam recolhidos apenas os dados estritamente necessários para a finalidade declarada. Para um chatbot, isto significa: não exigir nome, endereço eletrónico ou número de telefone para responder a uma pergunta sobre os programas. A recolha de identificadores só se justifica quando o candidato pretende ser recontactado.

Medidas técnicas indispensáveis

• Cifragem — Em trânsito (TLS 1.3) e em repouso (AES-256) para todos os dados pessoais
• Alojamento europeu — Servidores na UE, em conformidade com as recomendações do EDPB sobre transferências internacionais
• Pseudonimização — Separação de identificadores diretos e dados comportamentais
• Registo de acessos — Rastreabilidade de quem acede a que dados e quando
• Cópias de segurança cifradas — Com testes periódicos de recuperação
• Eliminação automatizada — Purga de dados para além do prazo de conservação definido

Avaliação de impacto sobre a proteção de dados (AIPD)

O artigo 35.º do RGPD exige uma AIPD antes de qualquer tratamento suscetível de implicar um risco elevado. Para uma instituição, isto abrange:

• A implementação de um chatbot IA que recolhe dados pessoais
• A utilização de ferramentas de IA para a avaliação de candidaturas
• A videovigilância do campus
• A definição de perfis de candidatos para efeitos de marketing

A AIPD deve descrever o tratamento, avaliar a sua necessidade e proporcionalidade, identificar os riscos e propor medidas de mitigação.

67 % das interações com candidatos ocorre fora do horário de expediente (Fonte: registos de interação Skolbot, 200.000 sessões, out. 2025 — fev. 2026). Isto significa que um chatbot operacional 24/7 processa dados pessoais de forma contínua — e que as medidas de segurança devem ser igualmente robustas fora do horário laboral.

FAQ

Um chatbot IA é conforme ao RGPD?

Sim, desde que sejam respeitadas quatro obrigações: informar o candidato de que está a interagir com IA (transparência do Regulamento de IA), recolher apenas os dados estritamente necessários (minimização), disponibilizar acesso, retificação e apagamento de forma simples (direitos dos titulares) e alojar os dados na UE. Um chatbot conforme informa antes de recolher e não condiciona o acesso à informação ao fornecimento de dados pessoais.

Durante quanto tempo podem ser conservados os dados de um candidato não matriculado?

A CNPD estabelece que os dados pessoais devem ser conservados apenas durante o período estritamente necessário. Na prática, para dados de prospeção, o limite situa-se entre 2 e 3 anos após o último contacto. Para um candidato cuja candidatura foi indeferida: conservação do processo durante 1 ano (eventual contencioso), seguido de apagamento. Estes prazos devem constar do registo de atividades de tratamento.

O Regulamento de IA proíbe a utilização de IA nas admissões?

Não. O Regulamento de IA não a proíbe, mas classifica-a como sistema de alto risco (Anexo III). Isto implica obrigações reforçadas: gestão de riscos, qualidade dos dados de treino, supervisão humana efetiva, transparência perante os candidatos e registo. A IA pode recomendar, mas a decisão final de admissão deve ser humana.

É obrigatório designar um EPD numa instituição com 500 estudantes?

Na prática, sim. A CNPD considera que o tratamento de dados de centenas de estudantes (classificações, dados financeiros, saúde) constitui um tratamento em grande escala. A designação de um EPD é praticamente sempre obrigatória para as instituições de ensino superior, independentemente da sua dimensão. O EPD pode ser partilhado entre várias instituições ou externalizado.

Como gerir um pedido de apagamento de um estudante diplomado?

O apagamento não pode ser total: a instituição tem a obrigação legal de conservar os comprovativos de emissão do diploma (obrigação jurídica, artigo 6.º, n.º 1, alínea c)). Os dados financeiros estão sujeitos a prazos de conservação contabilística (10 anos em Portugal, conforme o Código Comercial). Contudo, os dados de vida no campus, de navegação e de comunicação de marketing devem ser apagados. Documente a resposta por escrito, discriminando quais os dados apagados e quais os conservados com a respetiva base legal.

A conformidade com o RGPD não é um projeto pontual. É um processo contínuo que atravessa todos os departamentos da sua instituição — admissões, serviços académicos, marketing, TI, direção. As instituições que integram a proteção de dados desde a conceção das suas ferramentas (privacidade desde a conceção) protegem os seus estudantes e protegem-se a si próprias.

Para compreender como o Regulamento de IA altera especificamente as obrigações das instituições de ensino, consulte o nosso artigo sobre o Regulamento de IA e o ensino superior. Para as medidas técnicas de proteção, descubra o nosso guia sobre a proteção de dados dos candidatos.