O direito de portabilidade do artigo 20.º do RGPD permite ao titular receber os dados pessoais que forneceu a um responsável num formato estruturado, de uso corrente e de leitura automática (CSV, JSON, XML) e transmiti-los a outro responsável sem impedimentos. É um direito mais restrito do que o direito de acesso: só se aplica aos dados fornecidos pelo próprio titular, quando o tratamento se baseia no consentimento ou na execução de um contrato e é realizado por meios automatizados (art. 20.º, n.º 1). Do lado da empresa, importa saber distinguir a portabilidade do acesso, identificar que dados são portáveis e preparar exportações em formato reutilizável. Este guia explica como.
Principais conclusões
- A portabilidade aplica-se apenas a dados fornecidos pelo titular, tratados por consentimento ou contrato, por meios automatizados (art. 20.º, n.º 1).
- Os dados devem ser entregues em formato estruturado e de leitura automática (CSV, JSON, XML).
- O titular pode pedir a transmissão direta a outro responsável, quando tecnicamente possível (art. 20.º, n.º 2).
- Difere do direito de acesso, que é mais amplo e não exige formato reutilizável.
- Prazo de resposta: 1 mês (art. 12.º, n.º 3).
O direito de portabilidade nasceu com o RGPD — não existia na diretiva anterior. A sua lógica é de mercado: reduzir a dependência de um fornecedor (lock-in) e permitir ao titular mudar de serviço levando consigo o seu histórico. É por isso que é o direito mais «técnico» dos previstos no artigo 20.º do RGPD e o que mais depende da forma como os dados estão organizados internamente. Uma empresa portuguesa que trate reclamações de portabilidade sem preparação técnica arrisca-se a falhar o prazo de um mês — e as queixas por direitos dos titulares são a principal fonte de processos na CNPD.
Portabilidade vs. direito de acesso
Os dois direitos confundem-se com frequência, mas têm âmbitos distintos. Compreender a diferença evita entregar de menos — ou de mais.
| Critério | Portabilidade (art. 20.º) | Acesso (art. 15.º) |
|---|---|---|
| Dados abrangidos | Só os fornecidos pelo titular | Todos os dados tratados |
| Bases legais | Só consentimento ou contrato | Qualquer base |
| Meios | Só tratamento automatizado | Qualquer |
| Formato | Estruturado e legível por máquina | Cópia legível |
| Objetivo | Reutilizar/transferir | Conhecer e controlar |
Um titular que peça acesso quer saber o que a empresa tem; um titular que peça portabilidade quer levar os seus dados para outro fornecedor. Para o exercício do direito de acesso, ver o guia dedicado ao direito de acesso aos dados pessoais.
Que dados são portáveis
As orientações WP242 do Grupo do Artigo 29.º distinguem três tipos de dados:
- Dados fornecidos ativamente pelo titular (nome, email, morada num formulário) — portáveis.
- Dados observados a partir da atividade do titular (histórico de compras, dados de utilização, localização) — portáveis, por serem «fornecidos» no sentido amplo.
- Dados inferidos ou derivados pelo responsável (um score de crédito, um perfil, uma categorização) — não portáveis, por serem criação do responsável.
Esta distinção é decisiva. Uma loja online tem de exportar o histórico de encomendas de um cliente (dados observados), mas não o segmento de marketing que lhe atribuiu (dado inferido). Saber que dados existem e como foram obtidos exige um registo de atividades de tratamento rigoroso.
Formatos e transmissão direta
O artigo 20.º, n.º 1, exige um formato estruturado, de uso corrente e de leitura automática. Na prática, isto significa CSV, JSON ou XML — não um PDF, e muito menos uma imagem digitalizada. O objetivo é a interoperabilidade: o titular tem de poder importar os dados noutro serviço sem os reintroduzir manualmente.
O artigo 20.º, n.º 2, acrescenta o direito à transmissão direta de responsável para responsável, «sempre que tal seja tecnicamente possível». O RGPD não obriga à adoção de sistemas técnicos compatíveis entre concorrentes, mas obriga a não criar obstáculos artificiais à portabilidade. A ausência de uma norma técnica comum não pode servir de pretexto sistemático para recusar a transmissão direta.
Limites do direito de portabilidade
A portabilidade não é ilimitada. O artigo 20.º, n.º 4, prevê que não pode prejudicar os direitos e liberdades de terceiros. Se os dados de um titular incluírem dados de outras pessoas (por exemplo, uma lista de contactos), a transmissão a outro responsável deve fazer-se apenas para uso pessoal do titular, não para reutilização comercial que prejudique os terceiros.
Além disso, a portabilidade não se aplica a tratamentos baseados em interesse legítimo ou em obrigação legal — apenas a consentimento e contrato. Um tratamento de dados de faturação, assente em obrigação legal, não confere direito de portabilidade (embora confira direito de acesso). Para perceber que base legal sustenta cada tratamento, ver o guia da licitude do tratamento e das bases legais.
Um último limite, muitas vezes esquecido, é o do exercício de funções de interesse público: também aqui a portabilidade não se aplica, o que exclui grande parte dos tratamentos do setor público. A recusa de portabilidade nestes casos não é uma restrição discricionária do responsável — é uma consequência direta da base legal do tratamento, e deve ser explicada ao titular com essa fundamentação, indicando que o direito de acesso continua a estar disponível.
Como operacionalizar
Responder a pedidos de portabilidade exige capacidade técnica de exportação em formato reutilizável e a certeza de que dados exportar. As organizações que já mapearam os seus tratamentos e identificaram a base legal de cada um respondem sem dificuldade; as que não o fizeram tendem a exportar de mais (incluindo dados inferidos) ou de menos. Plataformas como a Legiscope ajudam a mapear os tratamentos, a base legal e a origem dos dados, o que torna simples separar os dados portáveis dos não portáveis. Quando existe encarregado de proteção de dados, é ele quem valida o âmbito da exportação. O prazo de resposta é o mesmo dos restantes direitos: um mês (art. 12.º, n.º 3).
Perguntas frequentes
Qual a diferença entre portabilidade e direito de acesso?
O direito de acesso (art. 15.º) abrange todos os dados tratados, em qualquer base legal, e entrega-se numa cópia legível. A portabilidade (art. 20.º) abrange só os dados fornecidos pelo titular, tratados por consentimento ou contrato e por meios automatizados, e exige formato estruturado e reutilizável.
Tenho de exportar os perfis e scores que atribuí ao cliente?
Não. Os dados inferidos ou derivados pelo responsável — perfis, scores, categorizações — não estão sujeitos a portabilidade, segundo as orientações WP242. Já os dados observados, como o histórico de atividade, estão.
Em que formato devo entregar os dados?
Num formato estruturado, de uso corrente e de leitura automática, como CSV, JSON ou XML. Um PDF ou uma imagem não cumprem o requisito de interoperabilidade do artigo 20.º.
A portabilidade aplica-se a dados tratados por interesse legítimo?
Não. O direito de portabilidade só existe quando a base legal é o consentimento ou a execução de um contrato. Tratamentos baseados em interesse legítimo ou obrigação legal não conferem portabilidade, embora confiram direito de acesso.
Conclusão
A portabilidade é o mais técnico dos direitos dos titulares e o mais mal compreendido. A chave é o seu âmbito estreito: só dados fornecidos pelo titular, só nas bases de consentimento ou contrato, só em tratamento automatizado, e sempre em formato reutilizável. Uma organização que conhece a origem e a base legal de cada dado responde a estes pedidos com precisão — exportando exatamente o que deve, nem mais nem menos.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial