O direito ao apagamento — ou «direito a ser esquecido» — do artigo 17.º do RGPD permite ao titular obter do responsável a eliminação dos seus dados pessoais quando se verifique um dos motivos previstos: os dados deixaram de ser necessários, o consentimento foi retirado, o titular opôs-se com sucesso ao tratamento, ou os dados foram tratados ilicitamente. Do lado da empresa, a questão decisiva não é como apagar, mas se o pedido procede — porque o artigo 17.º, n.º 3, prevê exceções importantes, sobretudo quando uma obrigação legal de conservação (fiscal, laboral, contabilística) prevalece. Este guia explica quando o apagamento é obrigatório, quando pode ser recusado, e como executá-lo em backups e junto de subcontratantes. O prazo de resposta é de um mês (art. 12.º, n.º 3).
Principais conclusões
- O apagamento procede quando existe um dos motivos do art. 17.º, n.º 1.
- Não procede quando prevalece uma obrigação legal de conservação (art. 17.º, n.º 3, al. b).
- O prazo de resposta é de 1 mês, prorrogável por mais 2.
- O apagamento deve abranger backups e ser comunicado aos subcontratantes.
- Retirar o consentimento não apaga automaticamente os dados conservados noutra base legal.
Quando o pedido de apagamento procede
O artigo 17.º, n.º 1, do RGPD enumera os motivos que obrigam ao apagamento:
- Os dados deixaram de ser necessários para a finalidade que motivou a recolha;
- O titular retira o consentimento e não há outra base legal;
- O titular opõe-se ao tratamento (art. 21.º) e não prevalecem interesses legítimos imperiosos;
- Os dados foram objeto de tratamento ilícito;
- O apagamento é necessário para cumprir uma obrigação jurídica;
- Os dados foram recolhidos no contexto da oferta de serviços a menores.
Basta um destes motivos para o pedido, à partida, proceder. A tarefa do responsável é verificar se se aplica alguma exceção.
Quando o apagamento pode ser recusado
O artigo 17.º, n.º 3, estabelece que o direito ao apagamento não se aplica na medida em que o tratamento seja necessário para:
- Exercício da liberdade de expressão e de informação;
- Cumprimento de uma obrigação legal que exija conservação;
- Motivos de interesse público na área da saúde pública;
- Fins de arquivo, investigação ou estatística;
- Declaração, exercício ou defesa de um direito num processo.
A exceção mais frequente na prática empresarial é a obrigação legal de conservação. Um cliente que peça o apagamento das suas faturas não pode obtê-lo enquanto correr o prazo de conservação fiscal e contabilístico; um antigo trabalhador não pode apagar dados que a lei laboral obriga a conservar. A resposta correta não é «não apagamos», mas «bloqueamos o tratamento para outras finalidades e apagamos no final do prazo legal».
| Situação | Apagar? | Base |
|---|---|---|
| Dados de marketing após retirada de consentimento | Sim | Art. 17.º, n.º 1, al. b) |
| Faturas dentro do prazo fiscal | Não (bloquear) | Art. 17.º, n.º 3, al. b) |
| Dados laborais dentro do prazo legal | Não (bloquear) | Art. 17.º, n.º 3, al. b) |
| Candidatura de não admitido, prazo esgotado | Sim | Art. 17.º, n.º 1, al. a) |
Para saber quanto tempo cada tipo de dado deve ser conservado antes de poder — ou dever — ser apagado, consulte o guia de prazos de conservação de dados em Portugal.
Retirar o consentimento não é apagar
Um equívoco comum: retirar o consentimento e pedir o apagamento não são a mesma coisa. Se um dado for tratado com base no consentimento e noutra base legal (por exemplo, execução de contrato ou obrigação legal), a retirada do consentimento só afeta a finalidade que nele assentava. Os dados podem continuar a ser conservados ao abrigo da outra base. Distinguir as bases de licitude de cada tratamento — trabalho que se faz no registo de atividades de tratamento e ao escolher a base legal do artigo 6.º — é o que permite responder a estes pedidos com rigor. O apagamento distingue-se ainda do direito de portabilidade, que permite ao titular obter e reutilizar os seus dados noutro serviço em vez de os eliminar.
Executar o apagamento: backups e subcontratantes
Um apagamento incompleto não cumpre o artigo 17.º. Dois pontos são regularmente esquecidos:
Backups. Os dados em cópias de segurança também estão abrangidos. Como apagar seletivamente num backup é tecnicamente difícil, a abordagem aceite é documentar que os dados serão eliminados quando o backup for sobrescrito no ciclo normal, mantendo-os inacessíveis entretanto e não os restaurando para produção. O importante é ter uma política de retenção de backups definida e documentada.
Subcontratantes. Se os dados foram partilhados com subcontratantes (alojamento, CRM, processamento salarial), o responsável tem de instruir cada um a apagar. Esta obrigação de apagar ou devolver os dados no fim do tratamento deve constar do contrato de subcontratação do artigo 28.º.
Adicionalmente, quando o responsável tornou os dados públicos, o artigo 17.º, n.º 2, obriga-o a tomar medidas razoáveis para informar outros responsáveis que os tratem de que o titular pediu o apagamento das ligações, cópias ou reproduções. Esta dimensão do «direito a ser esquecido» ganhou contornos práticos com a jurisprudência sobre motores de busca: o Comité Europeu para a Proteção de Dados (CEPD) emitiu orientações sobre a desindexação de resultados, na sequência do acórdão Google Spain do Tribunal de Justiça. Para a maioria das empresas, porém, o apagamento relevante é o dos seus próprios sistemas e dos seus subcontratantes, não o de terceiros.
Convém ainda registar cada pedido de apagamento e a decisão tomada. Se recusar, deve informar o titular dos motivos e do direito de reclamar à CNPD, no prazo de um mês (art. 12.º, n.º 4). Um apagamento executado sem rasto documental é indistinguível, numa fiscalização, de um pedido ignorado.
Operacionalizar o apagamento
Responder a pedidos de apagamento de forma defensável exige três coisas: saber onde estão os dados, saber qual a base legal de cada tratamento e ter um prazo de conservação definido para cada categoria. Sem isto, cada pedido gera hesitação e risco. Uma solução como a Legiscope liga o inventário de tratamentos aos prazos de conservação e aos subcontratantes, o que permite decidir rapidamente se o pedido procede e a quem propagar a instrução de apagamento. O encarregado de proteção de dados supervisiona estas decisões quando a organização o designou.
Perguntas frequentes
Sou obrigado a apagar todos os dados quando um cliente pede?
Não. Só apaga os dados para os quais não exista uma exceção do artigo 17.º, n.º 3. Dados sujeitos a prazos legais de conservação (fiscais, laborais, contabilísticos) devem ser conservados até ao fim desse prazo, ficando bloqueados para outras finalidades.
Qual é o prazo para responder a um pedido de apagamento?
Um mês a contar da receção (art. 12.º, n.º 3), prorrogável por mais dois em casos complexos, com comunicação dos motivos ao titular dentro do primeiro mês.
Tenho de apagar os dados dos backups?
Sim, mas admite-se que o apagamento nos backups ocorra no ciclo normal de sobrescrita, desde que os dados fiquem inacessíveis e não sejam restaurados. Deve ter uma política de retenção de backups documentada.
Retirar o consentimento apaga automaticamente os meus dados?
Não necessariamente. Se existir outra base legal para o tratamento — como uma obrigação legal ou a execução de um contrato — os dados podem continuar a ser conservados ao abrigo dessa base, mesmo após a retirada do consentimento.
Conclusão
O direito ao apagamento é menos absoluto do que o nome sugere. O trabalho da empresa é distinguir os pedidos que procedem daqueles em que prevalece uma obrigação legal de conservação, responder no prazo de um mês e executar o apagamento de forma completa — incluindo backups e subcontratantes. A chave é ter os tratamentos mapeados, as bases legais identificadas e os prazos de conservação definidos: com essa base, um pedido de apagamento resolve-se com segurança em vez de gerar risco.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial