Proteção de Dados

Portabilidade dos dados (art. 20.º RGPD): como funciona

Portabilidade dos dados (art. 20.º RGPD) para empresas: em que difere do acesso, quando se aplica, formatos estruturados (CSV, JSON) e transmissão direta.

Also available in:English·Français·Italiano

O direito de portabilidade do artigo 20.º do RGPD permite ao titular receber os dados pessoais que forneceu a um responsável num formato estruturado, de uso corrente e de leitura automática (CSV, JSON, XML) e transmiti-los a outro responsável sem impedimentos. É um direito mais restrito do que o direito de acesso: só se aplica aos dados fornecidos pelo próprio titular, quando o tratamento se baseia no consentimento ou na execução de um contrato e é realizado por meios automatizados (art. 20.º, n.º 1). Do lado da empresa, importa saber distinguir a portabilidade do acesso, identificar que dados são portáveis e preparar exportações em formato reutilizável. Este guia explica como.

Principais conclusões

  • A portabilidade aplica-se apenas a dados fornecidos pelo titular, tratados por consentimento ou contrato, por meios automatizados (art. 20.º, n.º 1).
  • Os dados devem ser entregues em formato estruturado e de leitura automática (CSV, JSON, XML).
  • O titular pode pedir a transmissão direta a outro responsável, quando tecnicamente possível (art. 20.º, n.º 2).
  • Difere do direito de acesso, que é mais amplo e não exige formato reutilizável.
  • Prazo de resposta: 1 mês (art. 12.º, n.º 3).

O direito de portabilidade nasceu com o RGPD — não existia na diretiva anterior. A sua lógica é de mercado: reduzir a dependência de um fornecedor (lock-in) e permitir ao titular mudar de serviço levando consigo o seu histórico. É por isso que é o direito mais «técnico» dos previstos no artigo 20.º do RGPD e o que mais depende da forma como os dados estão organizados internamente. Uma empresa portuguesa que trate reclamações de portabilidade sem preparação técnica arrisca-se a falhar o prazo de um mês — e as queixas por direitos dos titulares são a principal fonte de processos na CNPD.

Portabilidade vs. direito de acesso

Os dois direitos confundem-se com frequência, mas têm âmbitos distintos. Compreender a diferença evita entregar de menos — ou de mais.

Critério Portabilidade (art. 20.º) Acesso (art. 15.º)
Dados abrangidos Só os fornecidos pelo titular Todos os dados tratados
Bases legais Só consentimento ou contrato Qualquer base
Meios Só tratamento automatizado Qualquer
Formato Estruturado e legível por máquina Cópia legível
Objetivo Reutilizar/transferir Conhecer e controlar

Um titular que peça acesso quer saber o que a empresa tem; um titular que peça portabilidade quer levar os seus dados para outro fornecedor. Para o exercício do direito de acesso, ver o guia dedicado ao direito de acesso aos dados pessoais.

Que dados são portáveis

As orientações WP242 do Grupo do Artigo 29.º distinguem três tipos de dados:

  • Dados fornecidos ativamente pelo titular (nome, email, morada num formulário) — portáveis.
  • Dados observados a partir da atividade do titular (histórico de compras, dados de utilização, localização) — portáveis, por serem «fornecidos» no sentido amplo.
  • Dados inferidos ou derivados pelo responsável (um score de crédito, um perfil, uma categorização) — não portáveis, por serem criação do responsável.

Esta distinção é decisiva. Uma loja online tem de exportar o histórico de encomendas de um cliente (dados observados), mas não o segmento de marketing que lhe atribuiu (dado inferido). Saber que dados existem e como foram obtidos exige um registo de atividades de tratamento rigoroso.

Formatos e transmissão direta

O artigo 20.º, n.º 1, exige um formato estruturado, de uso corrente e de leitura automática. Na prática, isto significa CSV, JSON ou XML — não um PDF, e muito menos uma imagem digitalizada. O objetivo é a interoperabilidade: o titular tem de poder importar os dados noutro serviço sem os reintroduzir manualmente.

O artigo 20.º, n.º 2, acrescenta o direito à transmissão direta de responsável para responsável, «sempre que tal seja tecnicamente possível». O RGPD não obriga à adoção de sistemas técnicos compatíveis entre concorrentes, mas obriga a não criar obstáculos artificiais à portabilidade. A ausência de uma norma técnica comum não pode servir de pretexto sistemático para recusar a transmissão direta.

Limites do direito de portabilidade

A portabilidade não é ilimitada. O artigo 20.º, n.º 4, prevê que não pode prejudicar os direitos e liberdades de terceiros. Se os dados de um titular incluírem dados de outras pessoas (por exemplo, uma lista de contactos), a transmissão a outro responsável deve fazer-se apenas para uso pessoal do titular, não para reutilização comercial que prejudique os terceiros.

Além disso, a portabilidade não se aplica a tratamentos baseados em interesse legítimo ou em obrigação legal — apenas a consentimento e contrato. Um tratamento de dados de faturação, assente em obrigação legal, não confere direito de portabilidade (embora confira direito de acesso). Para perceber que base legal sustenta cada tratamento, ver o guia da licitude do tratamento e das bases legais.

Um último limite, muitas vezes esquecido, é o do exercício de funções de interesse público: também aqui a portabilidade não se aplica, o que exclui grande parte dos tratamentos do setor público. A recusa de portabilidade nestes casos não é uma restrição discricionária do responsável — é uma consequência direta da base legal do tratamento, e deve ser explicada ao titular com essa fundamentação, indicando que o direito de acesso continua a estar disponível.

Como operacionalizar

Responder a pedidos de portabilidade exige capacidade técnica de exportação em formato reutilizável e a certeza de que dados exportar. As organizações que já mapearam os seus tratamentos e identificaram a base legal de cada um respondem sem dificuldade; as que não o fizeram tendem a exportar de mais (incluindo dados inferidos) ou de menos. Plataformas como a Legiscope ajudam a mapear os tratamentos, a base legal e a origem dos dados, o que torna simples separar os dados portáveis dos não portáveis. Quando existe encarregado de proteção de dados, é ele quem valida o âmbito da exportação. O prazo de resposta é o mesmo dos restantes direitos: um mês (art. 12.º, n.º 3).

Perguntas frequentes

Qual a diferença entre portabilidade e direito de acesso?

O direito de acesso (art. 15.º) abrange todos os dados tratados, em qualquer base legal, e entrega-se numa cópia legível. A portabilidade (art. 20.º) abrange só os dados fornecidos pelo titular, tratados por consentimento ou contrato e por meios automatizados, e exige formato estruturado e reutilizável.

Tenho de exportar os perfis e scores que atribuí ao cliente?

Não. Os dados inferidos ou derivados pelo responsável — perfis, scores, categorizações — não estão sujeitos a portabilidade, segundo as orientações WP242. Já os dados observados, como o histórico de atividade, estão.

Em que formato devo entregar os dados?

Num formato estruturado, de uso corrente e de leitura automática, como CSV, JSON ou XML. Um PDF ou uma imagem não cumprem o requisito de interoperabilidade do artigo 20.º.

A portabilidade aplica-se a dados tratados por interesse legítimo?

Não. O direito de portabilidade só existe quando a base legal é o consentimento ou a execução de um contrato. Tratamentos baseados em interesse legítimo ou obrigação legal não conferem portabilidade, embora confiram direito de acesso.

Conclusão

A portabilidade é o mais técnico dos direitos dos titulares e o mais mal compreendido. A chave é o seu âmbito estreito: só dados fornecidos pelo titular, só nas bases de consentimento ou contrato, só em tratamento automatizado, e sempre em formato reutilizável. Uma organização que conhece a origem e a base legal de cada dado responde a estes pedidos com precisão — exportando exatamente o que deve, nem mais nem menos.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →