Um contrato de subcontratação é o acordo escrito que o artigo 28.º do RGPD exige sempre que um responsável pelo tratamento recorre a um subcontratante — ou seja, alguém que trata dados pessoais por conta do responsável. Aplica-se a fornecedores cloud, empresas de processamento salarial, prestadores de TI, plataformas de correio eletrónico, sistemas de CRM e praticamente qualquer serviço externo que manuseie os seus dados pessoais. O contrato deve regular, entre outros aspetos, o objeto, a duração, a natureza e a finalidade do tratamento, as obrigações do subcontratante, as medidas de segurança, a contratação de subsubcontratantes e o apoio prestado ao responsável. Sem um contrato válido, a própria transmissão dos dados é ilícita. Este guia percorre o que o contrato deve conter e como geri-lo na prática.
Responsável ou subcontratante? Distinguir os papéis
Antes de redigir o contrato, é necessário clarificar os papéis. O responsável pelo tratamento determina as finalidades e os meios do tratamento. Um subcontratante trata dados apenas de acordo com as instruções do responsável. Uma empresa de processamento salarial que trata os dados dos seus trabalhadores segundo as suas instruções é subcontratante; um banco que trata os mesmos dados para finalidades jurídicas próprias é, ele próprio, responsável. A classificação errada dos papéis é um erro comum que torna o contrato ineficaz, e é um dos aspetos que a CNPD verifica numa fiscalização. Os papéis devem constar do seu registo de atividades de tratamento, que lista os destinatários de cada tratamento.
Cláusulas obrigatórias do artigo 28.º, n.º 3
O contrato deve vincular o subcontratante às seguintes obrigações:
| Cláusula | Significado |
|---|---|
| Instruções documentadas | O subcontratante trata apenas segundo instruções do responsável |
| Confidencialidade | As pessoas autorizadas assumem dever de sigilo |
| Segurança (art. 32.º) | Medidas técnicas e organizativas adequadas |
| Subsubcontratantes | Só com autorização e nas mesmas condições |
| Apoio ao responsável | Auxílio no exercício dos direitos dos titulares (art. 12.º a 22.º) |
| Apoio em incidentes | Auxílio na segurança, notificação de violações e AIPD (art. 32.º a 36.º) |
| Apagamento ou devolução | No fim do serviço, os dados são apagados ou devolvidos |
| Auditoria | O subcontratante permite auditorias e inspeções |
Se faltar alguma destas cláusulas, o contrato não cumpre o artigo 28.º e o responsável arrisca sanções, mesmo que seja o subcontratante a falhar.
Subsubcontratantes: a armadilha mais comum
O subcontratante não pode contratar um subsubcontratante sem autorização do responsável e, quando o faz, deve impor-lhe as mesmas obrigações de proteção de dados por contrato (art. 28.º, n.º 4). Na prática, isto exige uma lista atualizada dos subcontratados dos seus fornecedores e um processo para se opor a novos. As cadeias cloud modernas podem envolver vários níveis de subsubcontratação, e o responsável mantém-se, em última análise, responsável por toda a cadeia.
Isto liga-se também às transferências internacionais: se um subsubcontratante estiver fora da UE/EEE, é necessária uma mecanismo de transferência válido, como as cláusulas contratuais-tipo. Para empresas com atividade no Brasil, note-se que a LGPD (Lei n.º 13.709/2018), fiscalizada pela ANPD, impõe exigências equivalentes ao «operador» e às transferências internacionais — uma plataforma que apoie ambos os quadros evita duplicar controlos.
Gestão prática e modelo
Um contrato de subcontratação não tem de ser redigido de raiz a cada vez — a maioria dos grandes fornecedores disponibiliza um contrato-tipo. O desafio é auditar esses contratos: cumprem todas as cláusulas do artigo 28.º, n.º 3, como regulam os subsubcontratantes e que transferências ocorrem? Auditar cada contrato manualmente consome tempo, e é aqui que uma ferramenta faz a diferença. Plataformas como a Legiscope auditam um contrato de subcontratação em poucos minutos e sinalizam as cláusulas que não cumprem os requisitos, substituindo horas de análise jurídica por contrato.
Um método sustentável: manter uma lista de todos os subcontratantes ligada ao registo de tratamentos, auditar cada novo contrato face ao artigo 28.º, n.º 3, controlar subsubcontratantes e transferências, e rever os contratos periodicamente. Para organizações com muitos fornecedores, esta é uma das partes mais morosas do trabalho de proteção de dados — e uma das que mais compensa automatizar. Se tiver dúvidas sobre os recursos que isto exige, pondere-o na avaliação sobre a necessidade de um encarregado de proteção de dados.
Lista de verificação na auditoria de um contrato
Antes de assinar o contrato-tipo de um fornecedor, confirme que este:
- vincula o subcontratante a seguir apenas as suas instruções documentadas,
- contém uma cláusula de confidencialidade,
- descreve medidas de segurança concretas nos termos do artigo 32.º,
- regula os subsubcontratantes e permite-lhe opor-se a novos,
- indica onde os dados são tratados e qual o mecanismo de transferência aplicável,
- obriga o subcontratante a auxiliá-lo no exercício dos direitos dos titulares e em incidentes,
- regula o apagamento ou a devolução no fim do serviço, e
- lhe confere o direito a auditorias e inspeções.
Se faltar algum ponto, deve solicitar uma alteração ou um adenda antes de transmitir os dados. Esta auditoria deve ser documentada e ligada ao registo correspondente no seu registo de atividades de tratamento, para que, numa fiscalização, possa demonstrar que cada relação com fornecedores está controlada. Para organizações com muitos fornecedores, esta é uma das partes mais morosas do trabalho de proteção de dados e uma forte candidata à automatização, tal como sucede na escolha de um software RGPD adequado.
Perguntas frequentes
Quando é obrigatório um contrato de subcontratação?
Sempre que recorre a alguém que trata dados pessoais por sua conta — serviços cloud, processamento salarial, TI, CRM, correio eletrónico e afins. O contrato deve existir antes de os dados serem transmitidos. Sem contrato, a transmissão é, por si só, uma violação do artigo 28.º.
Quanto custa gerir os contratos de subcontratação?
A auditoria manual custa tempo de jurista — muitas vezes várias horas por contrato. Uma plataforma que automatize a auditoria costuma estar incluída numa assinatura para PME de 1.500 a 4.000 euros por ano; veja o nosso guia de preços. Para organizações com muitos fornecedores, a poupança é significativa.
Quem é responsável se o subcontratante causar um incidente?
O responsável pelo tratamento mantém-se, em última análise, responsável perante os titulares e a autoridade de controlo, mas o artigo 82.º permite o direito de regresso sobre o subcontratante na medida em que este tenha incumprido as suas obrigações. Um contrato bem redigido, com repartição clara de responsabilidades, é, por isso, decisivo.
O paralelo com a LGPD brasileira
Para grupos com atividade em Portugal e no Brasil, vale a pena notar o paralelo: a LGPD (Lei n.º 13.709/2018) impõe ao «operador» — o equivalente brasileiro ao subcontratante — obrigações próximas das do artigo 28.º do RGPD, incluindo o dever de tratar dados apenas segundo as instruções do «controlador» e de adotar medidas de segurança. A ANPD, autoridade brasileira, já sanciona o incumprimento, tendo aplicado a primeira coima em 2023. Um grupo lusófono que opere dos dois lados do Atlântico ganha em harmonizar os seus contratos de subcontratação de modo a satisfazer ambos os regimes, em vez de manter modelos contratuais paralelos e inconsistentes. Uma plataforma que documente fornecedores para o RGPD e a LGPD em simultâneo reduz esse esforço.
Conclusão
O contrato de subcontratação é o fundamento jurídico que permite, de todo, recorrer a serviços externos que manuseiam os seus dados pessoais. O artigo 28.º, n.º 3, enumera as cláusulas que têm de existir, e a armadilha mais comum é o controlo deficiente dos subsubcontratantes e das transferências internacionais. Clarifique os papéis, audite cada contrato face a todas as cláusulas obrigatórias e mantenha uma lista atualizada ligada ao registo. Para organizações com muitos fornecedores, a auditoria contratual é morosa o suficiente para justificar uma ferramenta que a automatize.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial