Proteção de Dados

RGPD para imobiliárias: guia de conformidade 2026

RGPD para imobiliárias em Portugal: como tratar dados de compradores, vendedores e arrendatários, deveres AML da Lei 83/2017 e partilha com bancos e notários.

Also available in:Français·Español·Deutsch

Uma mediadora imobiliária trata dados pessoais em grande quantidade e com particularidades próprias: recolhe informação de compradores, vendedores e arrendatários, angaria imóveis com fotografias e visitas, e tem de conjugar duas exigências opostas — o dever de conservação imposto pela lei de branqueamento de capitais (Lei n.º 83/2017) e o princípio da minimização do RGPD. Uma imobiliária cumpre o RGPD quando inscreve todos estes tratamentos no registo do artigo 30.º, escolhe a base de licitude correta e respeita os limites na partilha de dados com bancos, notários e portais. Este guia percorre as obrigações concretas do setor.

Pontos-chave

  • A Lei n.º 83/2017 (AML) obriga a identificar clientes e a conservar cópias — uma exceção ao apagamento.
  • A conservação AML não legitima usar esses dados para marketing ou outras finalidades.
  • Fotografias e visitas virtuais podem captar dados de terceiros — exigem cuidado de minimização.
  • A partilha com bancos e notários deve ter base própria e constar da informação ao cliente.

Os tratamentos de uma imobiliária

O ponto de partida é mapear o que a mediadora faz com dados pessoais, para inscrever cada tratamento no registo de atividades de tratamento:

Tratamento Base de licitude típica Nota
Angariação de imóveis Contrato de mediação (art. 6.º, al. b) Dados do proprietário
Ficha de comprador / arrendatário Diligência pré-contratual / interesse legítimo Minimizar
Identificação AML Obrigação legal (art. 6.º, al. c) Lei 83/2017
Prospeção e newsletters Consentimento (art. 6.º, al. a) Marketing eletrónico
Fotografias e visitas virtuais Contrato / interesse legítimo Evitar terceiros
Partilha com bancos e notários Contrato / obrigação legal Informar o cliente

Mapear estes tratamentos revela onde estão as obrigações e onde estão os riscos — sobretudo na tensão entre AML e minimização.

AML versus minimização: o equilíbrio central

A Lei n.º 83/2017 impõe às mediadoras imobiliárias, como entidades obrigadas, deveres de identificação e diligência sobre os clientes, incluindo a recolha e conservação de cópias de documentos de identificação por um prazo legal. Este é um caso claro de obrigação legal (art. 6.º, n.º 1, al. c, do RGPD) que funciona simultaneamente como base de licitude e como prazo de conservação — e que prevalece sobre um pedido de apagamento durante o período legal, ao abrigo do artigo 17.º, n.º 3, al. b).

Mas há um limite crucial: os dados recolhidos para cumprir a AML só podem ser usados para essa finalidade. Usá-los depois para marketing, ou conservá-los além do prazo AML sem outra base, viola o princípio da limitação da finalidade (art. 5.º, n.º 1, al. b). A regra prática: separe claramente os dados de AML dos dados comerciais, com prazos e finalidades distintos, na sua política de prazos de conservação.

Fotografias, visitas e dados de terceiros

A angariação envolve fotografar e filmar imóveis. Estas imagens podem captar dados de terceiros — moradores, vizinhos, objetos que identifiquem pessoas. A minimização exige cuidado: evitar captar pessoas identificáveis, obter acordo quando o imóvel está habitado, e não publicar detalhes que exponham a segurança dos ocupantes. As visitas virtuais e os tours 360.º acentuam este risco, pois tornam o interior amplamente acessível.

Partilha com bancos, notários e portais

Uma transação imobiliária envolve várias partilhas de dados. Cada uma precisa de enquadramento:

  • Bancos (para crédito): a partilha assenta em geral no interesse do próprio cliente e no seu pedido; deve ser informada.
  • Notários e advogados: a partilha para a escritura tem base contratual/legal.
  • Portais imobiliários (Idealista, Imovirtual): tratam dados por conta da mediadora e podem ser subcontratantes — verifique o contrato.
  • Software de gestão e CRM: são subcontratantes e exigem contrato do artigo 28.º.

Antes de contratar qualquer fornecedor de software, verifique onde ficam alojados os dados e se há transferências internacionais a acautelar. Manter o inventário destas partilhas, os contratos e os prazos ligados entre si é o tipo de trabalho que uma plataforma como a Legiscope automatiza a partir do registo, evitando que a documentação se desatualize.

Prospeção e marketing imobiliário

A prospeção — enviar oportunidades a potenciais compradores ou angariar proprietários por email/telefone — está sujeita às regras do marketing eletrónico. O envio de comunicações comerciais por email exige, em regra, consentimento prévio, com um mecanismo de cancelamento em cada mensagem. Comprar listas de contactos para prospeção sem base de licitude nem informação ao titular é uma prática ilícita e frequentemente objeto de queixa. A validade destes consentimentos segue as regras gerais e deve ficar registada. Sobre o enquadramento sancionatório do incumprimento, ver o guia de coimas RGPD da CNPD.

Informação e direitos dos clientes

A mediadora tem o dever de informar compradores, vendedores e arrendatários sobre o tratamento dos seus dados (arts. 13.º-14.º): que dados recolhe, para que finalidades, com que base, com quem os partilha e por quanto tempo os conserva, incluindo o direito de apresentar queixa à CNPD. Esta informação é normalmente prestada na ficha de angariação e no contrato de mediação, e deve ser clara quanto às finalidades distintas — a comercial e a de cumprimento da AML.

Os clientes conservam os direitos de acesso, retificação, oposição e, dentro dos limites legais, apagamento. Um ponto sensível é a partilha com terceiros para prospeção: a mediadora não pode passar os contactos de um cliente a outra empresa sem base própria e informação. Do mesmo modo, os dados de uma pessoa que apenas visitou um imóvel, ou que pediu informação sobre um anúncio, não devem ser incorporados numa base de prospeção permanente sem enquadramento. Organizar estes fluxos — quem tem consentimento, quem está apenas em fase pré-contratual, que dados são AML — evita a mistura de finalidades que está na origem da maioria das queixas no setor. Uma base de contactos bem segmentada por finalidade e base de licitude é, na prática, a melhor proteção de uma imobiliária contra uma fiscalização.

Perguntas frequentes

A Lei 83/2017 obriga-me a guardar cópias do cartão de cidadão dos clientes?

Como entidade obrigada, a mediadora tem deveres de identificação e conservação ao abrigo da Lei n.º 83/2017. Esses dados devem ser conservados pelo prazo legal e usados apenas para a finalidade de AML — nunca para marketing ou outros fins.

Um cliente pode pedir o apagamento dos seus dados?

Pode, mas o apagamento não procede quanto aos dados sujeitos a obrigação legal de conservação (AML, fiscal) durante o respetivo prazo (art. 17.º, n.º 3). Os dados comerciais sem base de conservação devem ser apagados.

Posso publicar fotografias de um imóvel habitado?

Deve minimizar: evitar captar pessoas identificáveis e objetos que exponham a identidade ou a segurança dos ocupantes, e obter o acordo do morador. As visitas virtuais exigem cuidado acrescido por tornarem o interior amplamente acessível.

Os portais imobiliários são subcontratantes?

Quando tratam dados por conta da mediadora, sim, e exigem contrato do artigo 28.º. Verifique sempre o que o contrato do portal estabelece, pois alguns tratam certos dados como responsáveis autónomos.

Conclusão

O RGPD para imobiliárias resume-se a três tensões bem geridas: cumprir a AML da Lei n.º 83/2017 sem contaminar as finalidades comerciais, angariar imóveis sem captar dados de terceiros, e partilhar com bancos, notários e portais com base e informação corretas. Tudo assenta num registo de tratamentos que separe claramente os dados de identificação obrigatória dos dados de marketing, com prazos distintos. Uma mediadora que domina esta separação cumpre a lei e responde a qualquer queixa; uma que mistura tudo na mesma base de contactos está exposta.

Ver também: RGPD nos recursos humanos, para a gestão dos dados dos colaboradores da mediadora.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →