Um contabilista certificado ou um gabinete de contabilidade ocupa uma posição particular no RGPD: ao processar salários, faturação e obrigações fiscais dos seus clientes, atua como subcontratante de cada um deles — o que exige um contrato de subcontratação nos termos do artigo 28.º com cada cliente, e não um único documento genérico. Simultaneamente, o gabinete é responsável pelo tratamento dos dados dos seus próprios trabalhadores e contactos comerciais. A esta dupla condição somam-se os deveres de branqueamento de capitais (Lei n.º 83/2017) e os prazos de conservação fiscais. Este guia é o kit mínimo de conformidade para um gabinete de contabilidade português.
Pontos-chave
- O contabilista é subcontratante dos dados dos clientes que processa — precisa de contrato do art. 28.º com cada um.
- É responsável pelos dados dos próprios trabalhadores e contactos comerciais.
- Os deveres AML (Lei 83/2017) e os prazos fiscais impõem conservações longas e finalidades fechadas.
- O envio de dados à AT e à Segurança Social é um tratamento a documentar no registo do cliente.
Responsável ou subcontratante: a distinção que muda tudo
A primeira decisão é qualificar o papel do gabinete em cada tratamento, porque disso dependem as obrigações. Quando o contabilista processa o salário dos trabalhadores de um cliente, quem decide as finalidades e os meios é o cliente (a empresa) — o contabilista limita-se a executar por conta dele. Logo, o contabilista é subcontratante. Quando o gabinete gere os salários dos seus próprios colaboradores, ou a sua carteira comercial, é responsável.
| Tratamento | Papel do gabinete |
|---|---|
| Salários dos trabalhadores de um cliente | Subcontratante do cliente |
| Contabilidade e IVA de um cliente | Subcontratante do cliente |
| Salários dos próprios colaboradores | Responsável |
| Base de contactos comerciais | Responsável |
| Identificação AML dos clientes | Responsável (dever próprio) |
Esta distinção não é académica: define quem informa os titulares, quem responde a pedidos e quem assina o quê.
O contrato do artigo 28.º com cada cliente
Como subcontratante, o gabinete tem de celebrar com cada cliente um contrato de subcontratação nos termos do artigo 28.º do RGPD — que descrevemos em detalhe no guia sobre contratos de subcontratação. Este contrato — não um documento único genérico — deve prever, no mínimo:
- O objeto, a duração, a natureza e a finalidade do tratamento.
- A obrigação de tratar os dados apenas segundo instruções do cliente.
- O dever de confidencialidade das pessoas envolvidas.
- As medidas de segurança do artigo 32.º.
- As condições de recurso a subsubcontratantes (por exemplo, software de contabilidade).
- O apoio ao cliente no exercício dos direitos dos titulares e nas notificações de violação.
Na prática, muitos gabinetes usam um modelo de contrato uniforme que enviam a todos os clientes na contratação. É uma solução válida desde que cada relação fique efetivamente coberta. Manter o controlo de que clientes têm contrato assinado — e de que software é subsubcontratante — é o tipo de trabalho que plataformas como a Legiscope organizam, ligando cada cliente ao respetivo contrato e cada tratamento ao seu prazo, o que também clarifica o custo real de um software RGPD para um gabinete pequeno.
Deveres AML e envio de dados à AT e à Segurança Social
O gabinete tem deveres próprios de identificação de clientes ao abrigo da Lei n.º 83/2017, que geram tratamentos de dados como responsável — não como subcontratante. Estes dados de identificação seguem a finalidade e o prazo de AML e não podem ser usados para outros fins.
O envio de declarações e dados à Autoridade Tributária e à Segurança Social é parte da execução do serviço prestado ao cliente. Estes destinatários e transferências de dados devem constar do registo de atividades de tratamento do cliente, com a base de obrigação legal correspondente. O gabinete apoia o cliente a documentar estes fluxos.
Prazos de conservação fiscais e contabilísticos
A contabilidade impõe alguns dos prazos de conservação mais longos: os documentos contabilísticos e fiscais conservam-se, em regra, por dez anos, por força do Código Comercial e da legislação tributária. Estes prazos funcionam como base de licitude (obrigação legal) e como limite temporal, e prevalecem sobre pedidos de apagamento durante o respetivo período (art. 17.º, n.º 3, al. b). Findo o prazo, os dados devem ser eliminados ou anonimizados. A política deve integrar-se na abordagem geral de prazos de conservação, com a fonte legal de cada prazo — nunca valores inventados.
Segurança: o kit mínimo
Um gabinete trata grandes volumes de dados financeiros e fiscais, o que o torna alvo atrativo. O artigo 32.º exige medidas adequadas ao risco:
- Cifragem dos ficheiros e das comunicações com os clientes.
- Controlo de acessos por colaborador (necessidade de conhecer).
- Cópias de segurança e plano de recuperação.
- Atualizações do software de contabilidade.
- Procedimento para notificar violações em 72 horas — tanto internamente como apoiando o cliente.
Sobre o enquadramento sancionatório de falhas nestas obrigações, ver o guia de coimas RGPD da CNPD.
Informação aos titulares e resposta a incidentes
Enquanto responsável pelos seus próprios trabalhadores e contactos, o gabinete deve informá-los sobre o tratamento dos seus dados (arts. 13.º-14.º) e conseguir satisfazer os seus direitos, incluindo o direito de queixa à CNPD. Enquanto subcontratante dos clientes, o seu papel é diferente: apoiar cada cliente a responder aos pedidos dos respetivos titulares e a notificar violações, conforme o contrato do artigo 28.º.
As violações de dados merecem atenção especial num gabinete: um único incidente — um ficheiro de salários enviado ao destinatário errado, um ataque de ransomware ao servidor — afeta simultaneamente vários clientes. O contrato de subcontratação deve prever que o gabinete informa cada cliente afetado sem demora injustificada, para que este possa cumprir o prazo de 72 horas do artigo 33.º. Ter um procedimento interno de deteção e comunicação de incidentes, e saber exatamente que clientes são afetados por cada sistema, é o que permite reagir a tempo. Um gabinete que trata a segurança e a resposta a incidentes de forma reativa expõe não só os seus dados, mas os de toda a sua carteira.
Perguntas frequentes
O contabilista é responsável ou subcontratante dos dados dos clientes?
Subcontratante, quanto aos dados que trata por conta dos clientes (salários, contabilidade, IVA), pois é o cliente que decide as finalidades. É responsável apenas quanto aos dados dos próprios colaboradores, da sua carteira comercial e da identificação AML.
Preciso de um contrato de subcontratação com cada cliente?
Sim. O artigo 28.º exige um contrato para cada relação de subcontratação. Um modelo uniforme enviado a todos os clientes é aceitável, desde que cada relação fique efetivamente coberta por um contrato válido.
Um cliente pode pedir o apagamento dos dados de contabilidade?
O apagamento não procede quanto aos dados sujeitos a prazos de conservação fiscais e contabilísticos (tipicamente dez anos), que prevalecem sobre o pedido durante esse período (art. 17.º, n.º 3). Findos os prazos, os dados devem ser eliminados.
Quem responde a um pedido de acesso de um trabalhador do cliente?
Em regra, o cliente (a empresa empregadora), que é o responsável pelo tratamento. O contabilista, como subcontratante, deve apoiar o cliente a responder, disponibilizando os dados que trata por conta dele, conforme o contrato do artigo 28.º.
Conclusão
Para um contabilista certificado, o RGPD começa numa distinção prática: subcontratante dos dados dos clientes, responsável pelos dados próprios. Dessa distinção decorre tudo — um contrato do artigo 28.º com cada cliente, o cumprimento dos deveres AML como responsável, a documentação dos envios à AT e à Segurança Social nos registos dos clientes, e prazos de conservação fiscais que prevalecem sobre pedidos de apagamento. Um gabinete que organiza estes elementos, cliente a cliente, tem um kit de conformidade sólido; um que trata a proteção de dados como um formulário único genérico está exposto.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial