O registo de atividades de tratamento previsto no artigo 30.º do RGPD é a documentação estruturada de todos os tratamentos de dados pessoais que uma organização realiza. Deve conter as finalidades do tratamento, as categorias de titulares e de dados pessoais, os destinatários, eventuais transferências para países terceiros, os prazos de conservação previstos e uma descrição das medidas técnicas e organizativas de segurança. O registo é o primeiro documento que a CNPD solicita numa fiscalização e constitui a espinha dorsal de todo o trabalho de proteção de dados: sem um registo completo e atualizado, falta a base para cumprir quase todas as restantes obrigações. Este guia explica o que o registo deve conter, quando é obrigatório e como construir um que resista.
O que exige o artigo 30.º?
O artigo 30.º do RGPD obriga tanto os responsáveis pelo tratamento como os subcontratantes a manter um registo. Os dois papéis mantêm registos distintos.
O registo do responsável (art. 30.º, n.º 1) deve conter:
- Nome e contactos do responsável e, se aplicável, do encarregado de proteção de dados
- As finalidades do tratamento
- As categorias de titulares e de dados pessoais
- As categorias de destinatários
- Eventuais transferências para países terceiros e as garantias aplicáveis
- Os prazos previstos para o apagamento
- Uma descrição geral das medidas técnicas e organizativas de segurança (art. 32.º)
O registo do subcontratante (art. 30.º, n.º 2) é mais limitado e descreve as categorias de tratamento efetuadas por conta de cada responsável.
Quando é obrigatório?
O artigo 30.º, n.º 5, prevê uma aparente isenção para organizações com menos de 250 trabalhadores. Na prática, a isenção é quase sempre inaplicável, pois não se aplica se o tratamento:
- não for ocasional, ou
- for suscetível de implicar um risco para os direitos dos titulares, ou
- incluir categorias especiais de dados (art. 9.º) ou dados relativos a condenações penais.
Qualquer organização que tenha trabalhadores, opere um sítio web com ferramentas de análise ou mantenha uma base de clientes realiza tratamentos regulares e está, por isso, abrangida. Na prática, quase todas as empresas portuguesas precisam de um registo.
O que o registo deve conter? Visão dos campos
| Campo | Descrição | Exemplo |
|---|---|---|
| Nome do tratamento | Designação breve | Processamento salarial |
| Finalidade | Porque se tratam os dados | Pagamento de salários |
| Fundamento jurídico | Base do art. 6.º (e art. 9.º) | Obrigação legal |
| Titulares | Categorias de pessoas | Trabalhadores |
| Dados pessoais | Categorias de dados | Nome, NIF, dados bancários |
| Destinatários | Com quem se partilham | Banco, Autoridade Tributária |
| Transferências | País e garantia | Nenhuma / CCT |
| Prazo de conservação | Quando se apagam | 5 anos após cessação |
| Segurança | Medidas técnicas e organizativas (art. 32.º) | Controlo de acessos, cifragem |
Modelo prático e método de trabalho
Um registo funcional constrói-se tratamento a tratamento. Comece por mapear os processos da organização — recursos humanos, salários, gestão de clientes, marketing, TI — e documente cada tratamento segundo os campos acima. Um erro comum é descrever sistemas em vez de tratamentos: o registo deve responder ao porquê do tratamento, não apenas ao onde os dados são armazenados.
As folhas de cálculo servem para uma primeira versão, mas ficam depressa desatualizadas. O registo é um documento vivo, a atualizar sempre que surgem novos tratamentos, mudam prazos de conservação ou se contratam novos fornecedores. É aqui que uma solução dedicada dá retorno claro: plataformas como a Legiscope geram o registo a partir de perguntas orientadas e mantêm-no atualizado, eliminando a atualização manual que, de outro modo, faz o registo perder valor em semanas.
O registo liga-se a dois outros documentos: os contratos de subcontratação, que regem os destinatários e subsubcontratantes que o registo identifica, e a avaliação sobre a necessidade de um encarregado de proteção de dados, que assenta nos tratamentos que o registo revela. Um registo completo torna, ainda, mais simples a escolha do software RGPD, por revelar o volume real.
Exemplo: um registo típico para recursos humanos
Para tornar concreto, é assim que um registo para a gestão de pessoal pode surgir quando está completo:
- Tratamento: Gestão de pessoal
- Finalidade: Administrar a relação laboral, salários e benefícios
- Fundamento jurídico: Execução de contrato (art. 6.º, n.º 1, al. b) para a relação laboral; obrigação legal (art. 6.º, n.º 1, al. c) para as obrigações fiscais e laborais
- Titulares: Trabalhadores, antigos trabalhadores, candidatos
- Dados pessoais: Nome, NIF, contactos, dados bancários, recibos de vencimento; em caso de baixa, também dados de saúde (art. 9.º)
- Destinatários: Contabilista ou empresa de processamento salarial (subcontratante), Autoridade Tributária, Segurança Social, fundos de pensões
- Transferências: Nenhuma, se os sistemas estiverem alojados na UE
- Prazo de conservação: Documentos de suporte conservados pelo período legal aplicável; candidaturas de não admitidos eliminadas dentro de um prazo após o fim do recrutamento
- Segurança: Controlo de acessos, cifragem, registo de acessos
Repare que um único tratamento tem, muitas vezes, vários fundamentos jurídicos para partes diferentes, e que os dados sensíveis (saúde) exigem um fundamento adicional do artigo 9.º. É precisamente esta nuance que um modelo vazio em folha de cálculo raramente capta.
O registo numa fiscalização
Quando a CNPD inicia uma fiscalização, o registo é, habitualmente, o primeiro documento solicitado, e serve de mapa para o resto da análise. Um registo completo demonstra que a organização tem controlo; um registo incompleto ou desatualizado sinaliza o contrário e pode levar ao alargamento da fiscalização. Mantenha, por isso, o registo atualizado de forma contínua, e não à pressa perante uma fiscalização iminente — e documente quem é responsável pela atualização e com que periodicidade. É esta atualidade permanente, e não a primeira versão, que distingue um registo valioso de um registo meramente formal.
Perguntas frequentes
As pequenas empresas têm de manter um registo?
Na prática, sim. A isenção para organizações com menos de 250 trabalhadores não se aplica a tratamentos regulares, a tratamentos que possam implicar risco ou a tratamentos de dados sensíveis — e quase toda a atividade normal com trabalhadores e clientes cai em, pelo menos, uma destas condições.
Quanto custa manter um registo?
Com folhas de cálculo, o custo direto é nulo, mas o tempo interno é elevado, sobretudo na manutenção. Uma plataforma para PME que automatize o registo custa, tipicamente, 1.500 a 4.000 euros por ano; veja o nosso guia de preços. O custo deve ser ponderado face às coimas da CNPD e ao tempo gasto na manutenção manual.
O que acontece se a CNPD pedir o registo e ele não existir?
A ausência de registo é, por si só, uma violação do artigo 30.º e pode dar origem a uma coima. Um registo incompleto ou desatualizado sinaliza, além disso, deficiências de governação, o que constitui uma circunstância agravante numa fiscalização mais ampla.
Conclusão
O registo de atividades de tratamento é a base de todo o trabalho de proteção de dados e o primeiro documento que a CNPD quer ver. Deve documentar cada tratamento com finalidade, fundamento jurídico, categorias, destinatários, prazos de conservação e medidas de segurança — tratamento a tratamento. A isenção para organizações menores é, na prática, inaplicável, pelo que quase todas as empresas portuguesas precisam de um registo. Construa-o a partir das finalidades e não dos sistemas, indique prazos de conservação concretos e mantenha-o vivo. A manutenção manual é o custo real, e é aí que uma ferramenta dedicada se paga.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial