Proteção de Dados

Prazos de conservação de dados pessoais em Portugal

Prazos de conservação de dados no RGPD (art. 5.º, n.º 1, al. e): tabela prática por tipo de documento em Portugal e como construir uma política de conservação.

Also available in:English·Français·Deutsch·Español·Italiano

O RGPD não fixa prazos de conservação de dados pessoais em números concretos: o artigo 5.º, n.º 1, al. e) estabelece apenas o princípio da limitação da conservação, segundo o qual os dados não podem ser conservados mais tempo do que o necessário para as finalidades que justificaram o seu tratamento. Os prazos concretos resultam, em Portugal, de outras leis — fiscais, laborais, contabilísticas — e da própria finalidade de cada tratamento. Este guia reúne uma tabela prática de prazos aplicáveis por tipo de documento, indica sempre a fonte legal e mostra como construir uma política de conservação a partir do registo de tratamentos, sem inventar valores.

Pontos-chave

  • O RGPD não define prazos numéricos: fixa o princípio da necessidade e remete para a lei setorial.
  • Um mesmo documento pode ter prazos diferentes consoante a finalidade (fiscal, laboral, prova).
  • Findo o prazo, os dados devem ser apagados ou anonimizados — a anonimização retira-os do âmbito do RGPD.
  • A ausência de prazos documentados é uma das falhas mais frequentes detetadas pela CNPD.

O que exige o princípio da limitação

O artigo 5.º, n.º 1, al. e), obriga a conservar os dados «apenas durante o período necessário para as finalidades para as quais são tratados». Terminada a finalidade, cessa a licitude da conservação. O princípio articula-se com dois outros: a minimização (só os dados necessários) e a responsabilidade (art. 5.º, n.º 2), que exige demonstrar que existe uma política de prazos.

Na prática, a maioria dos prazos deriva de obrigações legais de conservação — que funcionam simultaneamente como base de licitude (art. 6.º, n.º 1, al. c) e como limite temporal. Quando não existe obrigação legal específica, o prazo decorre da finalidade e do prazo de prescrição aplicável para efeitos de prova.

Tabela prática de prazos em Portugal

Tipo de documento Prazo indicativo Fonte legal
Documentos fiscais e faturas 10 anos Código do IVA / Lei Geral Tributária
Documentos contabilísticos 10 anos Código Comercial (art. 40.º)
Contrato de trabalho e processo individual 5 anos após cessação Código do Trabalho
Recibos de vencimento / mapas 5 anos Código do Trabalho / Código Contributivo
Candidaturas não selecionadas Curto, findo o recrutamento Finalidade (RGPD)
Imagens de videovigilância Até 30 dias, salvo incidente Art. 19.º da Lei 58/2019
Dados de marketing (consentimento) Enquanto válido o consentimento Finalidade (RGPD)
Dados de clientes / prova contratual Até ao fim da prescrição Código Civil (prazos de prescrição)

Os valores são indicativos e devem ser confirmados face à obrigação legal concreta de cada organização — o objetivo da tabela é mostrar que cada prazo tem uma fonte, e nunca um número inventado. A Lei n.º 58/2019 é especialmente relevante quanto à videovigilância: o artigo 19.º limita a conservação das imagens a 30 dias, salvo se forem prova de infração.

Como construir a política de conservação

A política de conservação constrói-se diretamente a partir do registo de atividades de tratamento. Para cada tratamento inscrito no registo do artigo 30.º, defina:

  1. A finalidade — que determina quando os dados deixam de ser necessários.
  2. A obrigação legal de conservação, se existir, com a fonte.
  3. O gatilho de contagem — a data a partir da qual o prazo corre (fim do contrato, última fatura, retirada do consentimento).
  4. O destino no fim do prazo — apagamento ou anonimização.
  5. O responsável pela execução da eliminação.

Um erro comum é conservar «por precaução». A conservação sem finalidade nem base legal é uma violação do artigo 5.º. Outro erro é definir a política mas nunca a executar: os prazos têm de traduzir-se em eliminações efetivas, incluindo em cópias de segurança e junto dos subcontratantes.

Manter esta ligação entre finalidade, base legal e prazo é exatamente o tipo de trabalho que se desatualiza depressa numa folha de cálculo. Plataformas como a Legiscope associam a cada tratamento o seu prazo e a respetiva fonte legal, gerando a política de conservação a partir do registo e assinalando revisões.

Apagamento versus anonimização

No fim do prazo há duas vias válidas. O apagamento elimina os dados definitivamente. A anonimização transforma-os de modo irreversível, de forma que deixam de identificar qualquer pessoa — e, por isso, deixam de estar sujeitos ao RGPD, o que permite conservá-los para fins estatísticos. Cuidado: a pseudonimização não é anonimização; dados pseudonimizados continuam a ser dados pessoais. A execução do apagamento é também a face operacional do direito ao apagamento do artigo 17.º, que os titulares podem exercer antes de esgotado o prazo — salvo quando uma obrigação legal de conservação prevalece.

Erros de conservação mais frequentes

Na experiência de fiscalização, os problemas com prazos de conservação concentram-se num pequeno número de erros recorrentes:

  • Conservar «para sempre»: bases de clientes e de candidatos que nunca são depuradas, acumulando dados sem finalidade atual.
  • Não distinguir a finalidade da fonte legal: usar o prazo fiscal de dez anos para justificar a conservação de dados de marketing, quando o marketing tem finalidade e prazo próprios.
  • Definir a política e não a executar: ter um documento de prazos que ninguém aplica, sem eliminações reais.
  • Esquecer os backups e os subcontratantes: apagar da base principal mas manter cópias vivas em sistemas de segurança ou em fornecedores.
  • Não registar quem elimina e quando: sem rasto da execução, é impossível demonstrar a conformidade (art. 5.º, n.º 2).

Estes erros são fáceis de corrigir uma vez identificados, mas difíceis de detetar sem uma revisão sistemática. A ligação entre cada tratamento e o seu prazo deve ser mantida como parte do trabalho corrente do encarregado de proteção de dados ou de quem coordena a conformidade, e revista periodicamente. As orientações do Comité Europeu para a Proteção de Dados (CEPD) sobre os princípios do tratamento reforçam que a limitação da conservação é um elemento estrutural da responsabilidade, e não um detalhe administrativo.

Perguntas frequentes

O RGPD fixa um prazo máximo de conservação?

Não. O RGPD estabelece o princípio da necessidade (art. 5.º, n.º 1, al. e), mas os prazos concretos resultam da lei setorial portuguesa e da finalidade de cada tratamento. Não existe um prazo único aplicável a todos os dados.

Posso conservar dados «por precaução»?

Não. A conservação tem de ter uma finalidade atual e uma base de licitude. Guardar dados sem finalidade nem base legal viola o artigo 5.º. O prazo de prescrição para prova é uma justificação válida; a mera precaução não é.

O que fazer quando terminam os prazos?

Apagar ou anonimizar. A anonimização irreversível retira os dados do âmbito do RGPD e permite conservar informação agregada para estatística. A pseudonimização não basta, pois os dados continuam a ser pessoais.

Um pedido de apagamento sobrepõe-se aos prazos legais?

Nem sempre. Se existir uma obrigação legal de conservação (fiscal, laboral), esta prevalece sobre o pedido de apagamento durante o respetivo prazo, ao abrigo do artigo 17.º, n.º 3, al. b).

Conclusão

Os prazos de conservação são o ponto onde o RGPD se cruza com o direito português: o artigo 5.º dá o princípio, e as leis fiscais, contabilísticas e laborais dão os números. A boa prática é construir uma tabela em que cada prazo tem uma fonte, ligá-la ao registo de tratamentos e executá-la de facto — apagando ou anonimizando no fim, incluindo em backups e subcontratantes. Nunca invente prazos nem conserve por precaução: ambas as práticas são falhas que a CNPD deteta e sanciona.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →