Proteção de Dados

Registo de atividades de tratamento (art. 30.º RGPD) 2026: guia + modelo

Registo de atividades de tratamento (artigo 30.º RGPD): o que deve conter, quando é obrigatório, expectativas da CNPD e um modelo prático para empresas em 2026.

O registo de atividades de tratamento previsto no artigo 30.º do RGPD é a documentação estruturada de todos os tratamentos de dados pessoais que uma organização realiza. Deve conter as finalidades do tratamento, as categorias de titulares e de dados pessoais, os destinatários, eventuais transferências para países terceiros, os prazos de conservação previstos e uma descrição das medidas técnicas e organizativas de segurança. O registo é o primeiro documento que a CNPD solicita numa fiscalização e constitui a espinha dorsal de todo o trabalho de proteção de dados: sem um registo completo e atualizado, falta a base para cumprir quase todas as restantes obrigações. Este guia explica o que o registo deve conter, quando é obrigatório e como construir um que resista.

O que exige o artigo 30.º?

O artigo 30.º do RGPD obriga tanto os responsáveis pelo tratamento como os subcontratantes a manter um registo. Os dois papéis mantêm registos distintos.

O registo do responsável (art. 30.º, n.º 1) deve conter:

  • Nome e contactos do responsável e, se aplicável, do encarregado de proteção de dados
  • As finalidades do tratamento
  • As categorias de titulares e de dados pessoais
  • As categorias de destinatários
  • Eventuais transferências para países terceiros e as garantias aplicáveis
  • Os prazos previstos para o apagamento
  • Uma descrição geral das medidas técnicas e organizativas de segurança (art. 32.º)

O registo do subcontratante (art. 30.º, n.º 2) é mais limitado e descreve as categorias de tratamento efetuadas por conta de cada responsável.

Quando é obrigatório?

O artigo 30.º, n.º 5, prevê uma aparente isenção para organizações com menos de 250 trabalhadores. Na prática, a isenção é quase sempre inaplicável, pois não se aplica se o tratamento:

  • não for ocasional, ou
  • for suscetível de implicar um risco para os direitos dos titulares, ou
  • incluir categorias especiais de dados (art. 9.º) ou dados relativos a condenações penais.

Qualquer organização que tenha trabalhadores, opere um sítio web com ferramentas de análise ou mantenha uma base de clientes realiza tratamentos regulares e está, por isso, abrangida. Na prática, quase todas as empresas portuguesas precisam de um registo.

O que o registo deve conter? Visão dos campos

Campo Descrição Exemplo
Nome do tratamento Designação breve Processamento salarial
Finalidade Porque se tratam os dados Pagamento de salários
Fundamento jurídico Base do art. 6.º (e art. 9.º) Obrigação legal
Titulares Categorias de pessoas Trabalhadores
Dados pessoais Categorias de dados Nome, NIF, dados bancários
Destinatários Com quem se partilham Banco, Autoridade Tributária
Transferências País e garantia Nenhuma / CCT
Prazo de conservação Quando se apagam 5 anos após cessação
Segurança Medidas técnicas e organizativas (art. 32.º) Controlo de acessos, cifragem

Modelo prático e método de trabalho

Um registo funcional constrói-se tratamento a tratamento. Comece por mapear os processos da organização — recursos humanos, salários, gestão de clientes, marketing, TI — e documente cada tratamento segundo os campos acima. Um erro comum é descrever sistemas em vez de tratamentos: o registo deve responder ao porquê do tratamento, não apenas ao onde os dados são armazenados.

As folhas de cálculo servem para uma primeira versão, mas ficam depressa desatualizadas. O registo é um documento vivo, a atualizar sempre que surgem novos tratamentos, mudam prazos de conservação ou se contratam novos fornecedores. É aqui que uma solução dedicada dá retorno claro: plataformas como a Legiscope geram o registo a partir de perguntas orientadas e mantêm-no atualizado, eliminando a atualização manual que, de outro modo, faz o registo perder valor em semanas.

O registo liga-se a dois outros documentos: os contratos de subcontratação, que regem os destinatários e subsubcontratantes que o registo identifica, e a avaliação sobre a necessidade de um encarregado de proteção de dados, que assenta nos tratamentos que o registo revela. Um registo completo torna, ainda, mais simples a escolha do software RGPD, por revelar o volume real.

Exemplo: um registo típico para recursos humanos

Para tornar concreto, é assim que um registo para a gestão de pessoal pode surgir quando está completo:

  • Tratamento: Gestão de pessoal
  • Finalidade: Administrar a relação laboral, salários e benefícios
  • Fundamento jurídico: Execução de contrato (art. 6.º, n.º 1, al. b) para a relação laboral; obrigação legal (art. 6.º, n.º 1, al. c) para as obrigações fiscais e laborais
  • Titulares: Trabalhadores, antigos trabalhadores, candidatos
  • Dados pessoais: Nome, NIF, contactos, dados bancários, recibos de vencimento; em caso de baixa, também dados de saúde (art. 9.º)
  • Destinatários: Contabilista ou empresa de processamento salarial (subcontratante), Autoridade Tributária, Segurança Social, fundos de pensões
  • Transferências: Nenhuma, se os sistemas estiverem alojados na UE
  • Prazo de conservação: Documentos de suporte conservados pelo período legal aplicável; candidaturas de não admitidos eliminadas dentro de um prazo após o fim do recrutamento
  • Segurança: Controlo de acessos, cifragem, registo de acessos

Repare que um único tratamento tem, muitas vezes, vários fundamentos jurídicos para partes diferentes, e que os dados sensíveis (saúde) exigem um fundamento adicional do artigo 9.º. É precisamente esta nuance que um modelo vazio em folha de cálculo raramente capta.

O registo numa fiscalização

Quando a CNPD inicia uma fiscalização, o registo é, habitualmente, o primeiro documento solicitado, e serve de mapa para o resto da análise. Um registo completo demonstra que a organização tem controlo; um registo incompleto ou desatualizado sinaliza o contrário e pode levar ao alargamento da fiscalização. Mantenha, por isso, o registo atualizado de forma contínua, e não à pressa perante uma fiscalização iminente — e documente quem é responsável pela atualização e com que periodicidade. É esta atualidade permanente, e não a primeira versão, que distingue um registo valioso de um registo meramente formal.

Perguntas frequentes

As pequenas empresas têm de manter um registo?

Na prática, sim. A isenção para organizações com menos de 250 trabalhadores não se aplica a tratamentos regulares, a tratamentos que possam implicar risco ou a tratamentos de dados sensíveis — e quase toda a atividade normal com trabalhadores e clientes cai em, pelo menos, uma destas condições.

Quanto custa manter um registo?

Com folhas de cálculo, o custo direto é nulo, mas o tempo interno é elevado, sobretudo na manutenção. Uma plataforma para PME que automatize o registo custa, tipicamente, 1.500 a 4.000 euros por ano; veja o nosso guia de preços. O custo deve ser ponderado face às coimas da CNPD e ao tempo gasto na manutenção manual.

O que acontece se a CNPD pedir o registo e ele não existir?

A ausência de registo é, por si só, uma violação do artigo 30.º e pode dar origem a uma coima. Um registo incompleto ou desatualizado sinaliza, além disso, deficiências de governação, o que constitui uma circunstância agravante numa fiscalização mais ampla.

Conclusão

O registo de atividades de tratamento é a base de todo o trabalho de proteção de dados e o primeiro documento que a CNPD quer ver. Deve documentar cada tratamento com finalidade, fundamento jurídico, categorias, destinatários, prazos de conservação e medidas de segurança — tratamento a tratamento. A isenção para organizações menores é, na prática, inaplicável, pelo que quase todas as empresas portuguesas precisam de um registo. Construa-o a partir das finalidades e não dos sistemas, indique prazos de conservação concretos e mantenha-o vivo. A manutenção manual é o custo real, e é aí que uma ferramenta dedicada se paga.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →