Proteção de Dados

Modelo de consentimento RGPD: formulários prontos

Modelos de consentimento RGPD prontos a usar: newsletter, contacto, fotografias, dados de saúde e menores (13 anos), com texto e prova do consentimento.

Also available in:English·Deutsch

Um modelo de consentimento conforme com o RGPD tem quatro características não negociáveis: é livre (sem condicionar o serviço), específico (uma finalidade por caixa), informado (diz quem trata e para quê) e inequívoco (uma ação afirmativa, nunca uma caixa pré-marcada). Além disso, exige que o responsável guarde prova de que o titular consentiu (artigo 7.º, n.º 1) e que a retirada seja tão fácil como a concessão (artigo 7.º, n.º 3). Abaixo encontra formulários prontos a adaptar para os casos mais comuns em Portugal — newsletter, contacto, fotografias, dados de saúde e menores.

Estes modelos poupam-lhe tempo, mas o essencial é perceber o que os torna válidos: sem isso, copiar texto não protege de nada.

Pontos essenciais

  • Uma caixa por finalidade — o consentimento agrupado («aceito tudo») é inválido.
  • Nunca caixas pré-marcadas (acórdão Planet49, C-673/17; Guidelines 05/2020 do CEPD).
  • Prova obrigatória — o responsável tem de demonstrar o consentimento (artigo 7.º, n.º 1).
  • Menores: 13 anos em Portugal — a idade de consentimento digital foi fixada no artigo 16.º da Lei 58/2019.

O que torna um consentimento válido

O consentimento é uma das seis bases de licitude do artigo 6.º, mas é a mais frágil, porque pode ser retirado a qualquer momento. Os artigos 4.º, n.º 11 e 7.º RGPD, lidos com as Guidelines 05/2020 do CEPD, impõem quatro requisitos cumulativos:

Requisito Significa Erro típico
Livre Sem prejuízo se recusar Cookie wall, consentimento como condição do serviço
Específico Uma finalidade por consentimento «Aceito o tratamento dos meus dados» genérico
Informado Sabe quem e para quê Não identificar o responsável
Inequívoco Ação afirmativa clara Caixa pré-marcada, silêncio, inação

Se o tratamento tiver outra base adequada — execução de contrato ou obrigação legal — não peça consentimento. Pedir consentimento para algo que já tem de fazer por lei é um dos erros que mais confunde os titulares: cria a falsa expectativa de que podem recusar, quando não podem, e obriga a organização a gerir retiradas que não deveriam existir. Veja quando cada base se aplica no guia sobre a licitude do tratamento.

Um segundo princípio orienta todos os modelos abaixo: o consentimento tem de ser modular. Sempre que existam várias finalidades — receber a newsletter, permitir a partilha de dados com parceiros, aceitar cookies de marketing — cada uma exige a sua própria caixa e a sua própria decisão. Agrupar tudo numa aceitação única invalida o conjunto, porque o titular não consentiu de forma específica em cada tratamento. É por esta razão que um bom formulário parece, à primeira vista, mais trabalhoso do que um simples «li e aceito»: a granularidade é a condição da validade.

Modelos prontos a usar

Newsletter / marketing por email

☐ «Aceito receber a newsletter da [Empresa] com novidades e promoções, por email. Posso retirar o consentimento a qualquer momento através da ligação de cancelamento em cada mensagem ou escrevendo para [email].»

Caixa separada, não pré-marcada, com finalidade única. Não a agrupe com a aceitação dos termos gerais.

Formulário de contacto

«Ao submeter este formulário, os seus dados serão usados apenas para responder ao seu pedido, com base no nosso interesse legítimo em processar contactos. Consulte a política de privacidade

Aqui o consentimento nem sempre é necessário — responder a um pedido do próprio titular assenta melhor no interesse legítimo ou em diligências pré-contratuais.

Fotografias em eventos

☐ «Autorizo a [Empresa] a captar e publicar fotografias em que possa surgir, no evento [nome], nos seus canais de comunicação (site e redes sociais). Esta autorização é facultativa e revogável.»

A imagem é um dado pessoal; a captação e difusão exige consentimento específico, separado da inscrição no evento.

Dados de saúde (ginásios, clínicas)

☐ «Consinto que a [Empresa] trate os meus dados de saúde (histórico clínico, avaliação física) para a finalidade de [acompanhamento/prescrição], nos termos do artigo 9.º, n.º 2, alínea a) do RGPD.»

Os dados de saúde são categoria especial (artigo 9.º). O consentimento tem de ser explícito e reforçado. Veja o guia sobre dados sensíveis (art. 9.º).

Menores de idade

☐ «Declaro ter 13 anos ou mais.» / Para menores de 13 anos: «Consentimento dado pelo titular das responsabilidades parentais: [identificação e validação].»

Em Portugal, o artigo 16.º da Lei n.º 58/2019 fixou em 13 anos a idade de consentimento digital, abaixo da qual é necessário o consentimento dos pais. O responsável deve fazer esforços razoáveis para verificar a autorização parental (artigo 8.º, n.º 2 RGPD).

Como guardar prova do consentimento

O artigo 7.º, n.º 1 impõe que o responsável demonstre que obteve consentimento. Na prática, isto significa registar, para cada consentimento: quem consentiu, quando, a que versão do texto, e por que meio. Um simples «sim» sem contexto não é prova. Guarde o timestamp, o texto exato mostrado e a origem (formulário, IP quando aplicável). Estes registos devem estar refletidos no registo de atividades de tratamento.

A retirada tem de ser tão fácil como a concessão (artigo 7.º, n.º 3): se o utilizador consentiu com um clique, tem de poder retirar com um clique, sem ter de telefonar, escrever uma carta ou navegar por menus escondidos. A retirada não é retroativa — não afeta a licitude do tratamento feito antes dela —, mas obriga a cessar o tratamento para o futuro, o que na prática exige propagar a retirada por todos os sistemas onde o dado circula. Para o enquadramento completo com exemplos válidos e inválidos, veja o guia de consentimento RGPD com exemplos.

Gerir consentimentos à escala

Numa organização com newsletters, formulários, eventos e várias finalidades, guardar prova de cada consentimento em folhas de cálculo torna-se ingerível — sobretudo quando um titular retira o consentimento e é preciso propagar essa retirada por todos os sistemas. Plataformas de conformidade como a Legiscope centralizam os registos de consentimento e ligam-nos ao registo de tratamentos, o que facilita demonstrar a prova exigida pelo artigo 7.º numa fiscalização. Ainda assim, a ferramenta só é útil se os textos de consentimento forem, à partida, válidos.

Perguntas frequentes

Uma caixa pré-marcada vale como consentimento?

Não. O Tribunal de Justiça (acórdão Planet49, C-673/17) e as Guidelines 05/2020 do CEPD são claros: o consentimento exige uma ação afirmativa. Uma caixa já assinalada, o silêncio ou a mera continuação da navegação não constituem consentimento válido.

Qual é a idade de consentimento digital em Portugal?

13 anos. O artigo 16.º da Lei n.º 58/2019 usou a margem do artigo 8.º RGPD (que admite entre 13 e 16 anos) e fixou o limite mínimo em 13. Abaixo dessa idade é necessário o consentimento dos titulares das responsabilidades parentais.

Tenho mesmo de guardar prova de cada consentimento?

Sim. O artigo 7.º, n.º 1 coloca o ónus da prova sobre o responsável: tem de conseguir demonstrar quem consentiu, quando e a quê. Sem prova, presume-se que não houve consentimento válido.

Posso usar consentimento para os dados de faturação de um cliente?

Não deve. A faturação assenta na execução do contrato e em obrigações legais fiscais, não no consentimento. Se pedisse consentimento, o cliente poderia retirá-lo — e não pode, porque a lei obriga à conservação. Reserve o consentimento para o que é genuinamente facultativo.

Conclusão

Um bom modelo de consentimento resolve-se com quatro regras: uma caixa por finalidade, nunca pré-marcada, com o responsável identificado e a prova guardada. Os formulários acima cobrem os casos mais comuns em Portugal, incluindo a especificidade dos 13 anos. Mas antes de copiar qualquer texto, confirme que o consentimento é mesmo a base certa — na maioria dos tratamentos empresariais, não é.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →