Proteção de Dados

RGPD para contabilistas certificados: guia prático

RGPD para contabilistas certificados: o contabilista como subcontratante, contrato do art. 28.º com cada cliente, deveres AML e prazos de conservação fiscais.

Also available in:Français·Español·Deutsch

Um contabilista certificado ou um gabinete de contabilidade ocupa uma posição particular no RGPD: ao processar salários, faturação e obrigações fiscais dos seus clientes, atua como subcontratante de cada um deles — o que exige um contrato de subcontratação nos termos do artigo 28.º com cada cliente, e não um único documento genérico. Simultaneamente, o gabinete é responsável pelo tratamento dos dados dos seus próprios trabalhadores e contactos comerciais. A esta dupla condição somam-se os deveres de branqueamento de capitais (Lei n.º 83/2017) e os prazos de conservação fiscais. Este guia é o kit mínimo de conformidade para um gabinete de contabilidade português.

Pontos-chave

  • O contabilista é subcontratante dos dados dos clientes que processa — precisa de contrato do art. 28.º com cada um.
  • É responsável pelos dados dos próprios trabalhadores e contactos comerciais.
  • Os deveres AML (Lei 83/2017) e os prazos fiscais impõem conservações longas e finalidades fechadas.
  • O envio de dados à AT e à Segurança Social é um tratamento a documentar no registo do cliente.

Responsável ou subcontratante: a distinção que muda tudo

A primeira decisão é qualificar o papel do gabinete em cada tratamento, porque disso dependem as obrigações. Quando o contabilista processa o salário dos trabalhadores de um cliente, quem decide as finalidades e os meios é o cliente (a empresa) — o contabilista limita-se a executar por conta dele. Logo, o contabilista é subcontratante. Quando o gabinete gere os salários dos seus próprios colaboradores, ou a sua carteira comercial, é responsável.

Tratamento Papel do gabinete
Salários dos trabalhadores de um cliente Subcontratante do cliente
Contabilidade e IVA de um cliente Subcontratante do cliente
Salários dos próprios colaboradores Responsável
Base de contactos comerciais Responsável
Identificação AML dos clientes Responsável (dever próprio)

Esta distinção não é académica: define quem informa os titulares, quem responde a pedidos e quem assina o quê.

O contrato do artigo 28.º com cada cliente

Como subcontratante, o gabinete tem de celebrar com cada cliente um contrato de subcontratação nos termos do artigo 28.º do RGPD — que descrevemos em detalhe no guia sobre contratos de subcontratação. Este contrato — não um documento único genérico — deve prever, no mínimo:

  • O objeto, a duração, a natureza e a finalidade do tratamento.
  • A obrigação de tratar os dados apenas segundo instruções do cliente.
  • O dever de confidencialidade das pessoas envolvidas.
  • As medidas de segurança do artigo 32.º.
  • As condições de recurso a subsubcontratantes (por exemplo, software de contabilidade).
  • O apoio ao cliente no exercício dos direitos dos titulares e nas notificações de violação.

Na prática, muitos gabinetes usam um modelo de contrato uniforme que enviam a todos os clientes na contratação. É uma solução válida desde que cada relação fique efetivamente coberta. Manter o controlo de que clientes têm contrato assinado — e de que software é subsubcontratante — é o tipo de trabalho que plataformas como a Legiscope organizam, ligando cada cliente ao respetivo contrato e cada tratamento ao seu prazo, o que também clarifica o custo real de um software RGPD para um gabinete pequeno.

Deveres AML e envio de dados à AT e à Segurança Social

O gabinete tem deveres próprios de identificação de clientes ao abrigo da Lei n.º 83/2017, que geram tratamentos de dados como responsável — não como subcontratante. Estes dados de identificação seguem a finalidade e o prazo de AML e não podem ser usados para outros fins.

O envio de declarações e dados à Autoridade Tributária e à Segurança Social é parte da execução do serviço prestado ao cliente. Estes destinatários e transferências de dados devem constar do registo de atividades de tratamento do cliente, com a base de obrigação legal correspondente. O gabinete apoia o cliente a documentar estes fluxos.

Prazos de conservação fiscais e contabilísticos

A contabilidade impõe alguns dos prazos de conservação mais longos: os documentos contabilísticos e fiscais conservam-se, em regra, por dez anos, por força do Código Comercial e da legislação tributária. Estes prazos funcionam como base de licitude (obrigação legal) e como limite temporal, e prevalecem sobre pedidos de apagamento durante o respetivo período (art. 17.º, n.º 3, al. b). Findo o prazo, os dados devem ser eliminados ou anonimizados. A política deve integrar-se na abordagem geral de prazos de conservação, com a fonte legal de cada prazo — nunca valores inventados.

Segurança: o kit mínimo

Um gabinete trata grandes volumes de dados financeiros e fiscais, o que o torna alvo atrativo. O artigo 32.º exige medidas adequadas ao risco:

  • Cifragem dos ficheiros e das comunicações com os clientes.
  • Controlo de acessos por colaborador (necessidade de conhecer).
  • Cópias de segurança e plano de recuperação.
  • Atualizações do software de contabilidade.
  • Procedimento para notificar violações em 72 horas — tanto internamente como apoiando o cliente.

Sobre o enquadramento sancionatório de falhas nestas obrigações, ver o guia de coimas RGPD da CNPD.

Informação aos titulares e resposta a incidentes

Enquanto responsável pelos seus próprios trabalhadores e contactos, o gabinete deve informá-los sobre o tratamento dos seus dados (arts. 13.º-14.º) e conseguir satisfazer os seus direitos, incluindo o direito de queixa à CNPD. Enquanto subcontratante dos clientes, o seu papel é diferente: apoiar cada cliente a responder aos pedidos dos respetivos titulares e a notificar violações, conforme o contrato do artigo 28.º.

As violações de dados merecem atenção especial num gabinete: um único incidente — um ficheiro de salários enviado ao destinatário errado, um ataque de ransomware ao servidor — afeta simultaneamente vários clientes. O contrato de subcontratação deve prever que o gabinete informa cada cliente afetado sem demora injustificada, para que este possa cumprir o prazo de 72 horas do artigo 33.º. Ter um procedimento interno de deteção e comunicação de incidentes, e saber exatamente que clientes são afetados por cada sistema, é o que permite reagir a tempo. Um gabinete que trata a segurança e a resposta a incidentes de forma reativa expõe não só os seus dados, mas os de toda a sua carteira.

Perguntas frequentes

O contabilista é responsável ou subcontratante dos dados dos clientes?

Subcontratante, quanto aos dados que trata por conta dos clientes (salários, contabilidade, IVA), pois é o cliente que decide as finalidades. É responsável apenas quanto aos dados dos próprios colaboradores, da sua carteira comercial e da identificação AML.

Preciso de um contrato de subcontratação com cada cliente?

Sim. O artigo 28.º exige um contrato para cada relação de subcontratação. Um modelo uniforme enviado a todos os clientes é aceitável, desde que cada relação fique efetivamente coberta por um contrato válido.

Um cliente pode pedir o apagamento dos dados de contabilidade?

O apagamento não procede quanto aos dados sujeitos a prazos de conservação fiscais e contabilísticos (tipicamente dez anos), que prevalecem sobre o pedido durante esse período (art. 17.º, n.º 3). Findos os prazos, os dados devem ser eliminados.

Quem responde a um pedido de acesso de um trabalhador do cliente?

Em regra, o cliente (a empresa empregadora), que é o responsável pelo tratamento. O contabilista, como subcontratante, deve apoiar o cliente a responder, disponibilizando os dados que trata por conta dele, conforme o contrato do artigo 28.º.

Conclusão

Para um contabilista certificado, o RGPD começa numa distinção prática: subcontratante dos dados dos clientes, responsável pelos dados próprios. Dessa distinção decorre tudo — um contrato do artigo 28.º com cada cliente, o cumprimento dos deveres AML como responsável, a documentação dos envios à AT e à Segurança Social nos registos dos clientes, e prazos de conservação fiscais que prevalecem sobre pedidos de apagamento. Um gabinete que organiza estes elementos, cliente a cliente, tem um kit de conformidade sólido; um que trata a proteção de dados como um formulário único genérico está exposto.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →