Gestão e manutenção

Formulários do site e RGPD: checklist para estares mesmo conforme

Quase todos os sites de PME em Portugal têm formulários: contacto, orçamento, newsletter, marcação. E quase todos falham um ou mais requisitos do RGPD — não por má-fé, mas porque o template do tema veio do estrangeiro e ninguém o reviu.

Este guia dá-te a checklist concreta. Não é juridiquês. É o que tem de existir no formulário, no email que sai, e no que ficas a guardar.

Antes de tudo: qual é a base legal

O RGPD não exige consentimento para tudo. Exige uma base legal — e há seis. Para formulários típicos de PME, três interessam:

  • Consentimento (artigo 6.º/1/a): newsletter, comunicações promocionais. Tem de ser ativo, específico e revogável.
  • Execução de contrato ou diligência pré-contratual (6.º/1/b): pedido de orçamento, marcação, contacto comercial sobre serviço que vais prestar.
  • Interesse legítimo (6.º/1/f): seguimento comercial razoável, segurança do site. Exige teste de ponderação.

A diferença prática: para pedido de orçamento não precisas de checkbox "aceito o tratamento dos meus dados". O contacto é a própria diligência pré-contratual. Para newsletter, precisas. Confundir os dois é o erro mais comum.

A checklist mínima por formulário

Imprime, cola ao lado do monitor. Cada formulário do site tem de cumprir:

  1. Recolhe só o necessário. Nome + email + mensagem chega para contacto. Pedir NIF, morada e telefone num formulário de "fala connosco" é violação do princípio da minimização.
  2. Identifica o responsável pelo tratamento. Nome, NIF, contacto. Não obrigatório no próprio formulário, mas tem de constar na política de privacidade ligada.
  3. Indica a finalidade. "Vamos usar estes dados para te responder ao pedido." Frase curta perto do botão de envio.
  4. Indica o prazo de retenção. "Mantemos durante 24 meses ou até pedires apagamento." Não precisa estar no formulário, mas tem de estar acessível.
  5. Liga à política de privacidade. Link visível antes do botão. Não em rodapé minúsculo.
  6. Checkbox de consentimento só quando necessário. Newsletter sim. Contacto comercial pré-contratual não. Pré-marcado é proibido.
  7. Mecanismo de revogação. Para newsletter: link "unsubscribe" em cada email enviado. Para outros: contacto direto.
  8. Confirmação de envio. O utilizador tem de saber que os dados foram recebidos.
  9. Honeypot ou CAPTCHA acessível. Não para RGPD diretamente, mas para evitar processar dados de bots (que também é processamento).
  10. HTTPS obrigatório. Sem TLS, qualquer formulário viola o artigo 32.º (segurança do tratamento).

Falhas frequentes: checkboxes pré-marcadas, "ao continuar concordas com tudo", política linkada em letra cinza no rodapé.

Consentimento — o que torna um consentimento válido

O artigo 7.º do RGPD e as orientações da CNPD dizem que o consentimento tem de ser:

  • Livre — sem condicionar acesso ao serviço (não podes obrigar a aceitar newsletter para descarregar um ebook que prometeste grátis).
  • Específico — uma finalidade por consentimento. "Newsletter + parceiros + remarketing" tudo numa caixa é inválido.
  • Informado — quem trata, para quê, durante quanto tempo, direitos.
  • Inequívoco — ato afirmativo. Caixa pré-marcada não conta. Continuar a navegar não conta.
  • Revogável — tão fácil revogar como dar. Se deste consentimento com um clique, revogar não pode exigir telefonema ou carta.

E tens de conseguir provar que houve consentimento. Guarda data, hora, IP, texto exato apresentado e versão da política aceite. Sem registo, não conseguiste provar nada.

Retenção — quanto tempo guardar

Não há prazo único no RGPD — depende da finalidade. Padrões usados em PME portuguesas:

  • Contacto/orçamento que não converteu: 12 a 24 meses (interesse legítimo de seguimento comercial).
  • Cliente ativo: durante a relação + 10 anos (obrigações fiscais, Código do IVA).
  • Newsletter: enquanto subscrição ativa + 30 dias após cancelamento.
  • Logs de servidor: 6 meses é o standard razoável.
  • Marcações de serviço (clínicas, etc.): depende da legislação setorial. Para saúde, mínimo 5 anos.

Define para cada formulário. Documenta. Cumpre. "Guardamos para sempre" não é resposta aceitável.

Encarregado da Proteção de Dados (DPO): és obrigado?

A maioria das PMEs não é obrigada a designar DPO. A obrigação aplica-se quando:

  • A atividade principal envolve monitorização sistemática em larga escala de pessoas (ex.: plataformas com tracking pesado).
  • A atividade principal trata categorias especiais em larga escala (saúde, biometria, opinião política).
  • Entidades públicas (sempre).

Uma loja online típica de PME com Google Analytics não cai aqui. Uma clínica com 50 médicos a tratar processos clínicos cai.

Não sendo obrigado, designar um ponto de contacto interno (privacidade@empresa.pt) é boa prática. Mostra organização sem custo.

O que tem de estar na política de privacidade ligada

A política linkada pelo formulário (e que vive em /privacidade) deve cobrir:

  • Identidade e contactos do responsável pelo tratamento.
  • Finalidades e base legal de cada tratamento.
  • Categorias de dados recolhidos.
  • Destinatários (alojamento, email marketing, gateway de pagamento — sim, todos contam).
  • Transferências para fora da UE, se houver, e salvaguardas.
  • Prazos de conservação.
  • Direitos do titular (acesso, retificação, apagamento, portabilidade, oposição, retirada de consentimento).
  • Como exercer esses direitos.
  • Direito de reclamação à CNPD.

Política genérica copiada de modelo brasileiro não serve. Tem de mencionar as ferramentas que usas mesmo (Mailchimp, Brevo, Stripe, etc.) e a base legal de cada uma.

Registo das atividades de tratamento (artigo 30.º)

O RGPD exige um registo interno das atividades de tratamento. PMEs com menos de 250 trabalhadores estão dispensadas a menos que o tratamento seja sistemático (e qualquer formulário recorrente é sistemático).

Na prática, todas as PMEs com site devem manter o registo. Formato: folha de cálculo com colunas:

  • Atividade (ex.: "Formulário de contacto").
  • Finalidade.
  • Base legal.
  • Categorias de titulares (clientes, prospects).
  • Categorias de dados.
  • Destinatários.
  • Prazo de retenção.
  • Medidas de segurança.

10 linhas chegam para a maioria das PMEs. Não é trabalho de consultor de 5.000€ — é uma tarde.

Email do formulário: onde mora outro buraco

O email que sai do formulário também trata dados pessoais. Verifica:

  • Servidor SMTP em zona UE ou com cláusulas-tipo da UE (Resend, Postmark e SendGrid têm). Se usas Gmail SMTP pessoal, problema.
  • Destinatário interno em domínio próprio (geral@empresa.pt, não no Gmail pessoal do gerente).
  • Encriptação em trânsito (TLS) — confirma com o teu provider.
  • Não reencaminhar para terceiros sem base legal.

O Reset/spam folder cheio com 3 anos de pedidos de orçamento também é um problema de retenção. Apaga periodicamente.

Cookies e formulários

Se o formulário usa reCAPTCHA do Google, estás a injetar cookies de terceiro antes de consentimento — violação. Alternativas:

  • hCaptcha (mais respeitoso de privacidade).
  • Cloudflare Turnstile (sem cookies de tracking).
  • Honeypot simples (campo escondido que humanos não preenchem) — chega para 90% do spam de PME.

O banner de consentimento de cookies liga-se a este problema diretamente.

Subcontratantes — o ponto que mais escapa

Cada serviço externo que processa dados do formulário é subcontratante ao abrigo do artigo 28.º. Precisas de contrato de subcontratação com cada um. Lista típica para PME portuguesa:

  • Alojamento do site (SiteGround, Vercel, AWS) — onde a base de dados vive.
  • Provider de email (Resend, Mailgun, Brevo) — por onde sai o email do formulário.
  • Email marketing (Mailchimp, Brevo) — onde armazena subscritores.
  • CRM (HubSpot, Pipedrive, Notion) — se sincronizas leads.
  • Plataforma de pagamento (Stripe, ifthenpay) — se há checkout.
  • Analytics (Google, Plausible, Matomo) — se tracking.

Para cada um, confirma três coisas: (1) tens DPA (Data Processing Agreement) assinado — quase todos os fornecedores SaaS sérios têm aceitação automática nos termos; (2) o serviço opera em UE ou tem cláusulas-tipo aprovadas; (3) listaste no registo de tratamento.

Não é trabalho de jurista — é uma manhã de organização documental.

Transferências internacionais — Schrems II ainda importa

Depois do acórdão Schrems II (2020), transferir dados para fora do Espaço Económico Europeu exige salvaguardas. Os fornecedores americanos sérios (Google, Microsoft, AWS) aderiram ao EU-US Data Privacy Framework (2023) — confere base legal para transferências EUA, se o subcontratante está certificado.

Verifica em dataprivacyframework.gov se o teu fornecedor está. Se não está, precisas de cláusulas-tipo + avaliação de impacto (TIA). Trabalhoso. Para PME pequena, alternativa simples: usar fornecedores em UE (Hetzner, OVH, Resend EU region).

Auditoria rápida: 15 minutos por formulário

Senta-te à frente do site. Em cada formulário:

  1. Conta os campos. Mais do que nome+email+mensagem? Justifica cada um.
  2. Há checkbox pré-marcada? Apaga.
  3. Link para política antes do botão? Sem link, adiciona.
  4. Submete e vê o email que chega. Domínio próprio? Encriptado?
  5. Há registo automático em algum lado? Quanto tempo fica?
  6. Se peço apagamento, sabes como executar?

Falha em 2+ destas perguntas significa que tens trabalho. A boa notícia: a maior parte resolve-se em 2 horas.

Em resumo

A conformidade RGPD dos formulários do site não é misterioso. É: base legal certa, minimização (só o que precisas), consentimento ativo quando necessário (newsletter sim, contacto comercial não), retenção definida e cumprida, política de privacidade ligada com tudo o que usas mesmo, e registo interno das atividades. A maioria das PMEs portuguesas passa de não-conforme a conforme em meio dia de trabalho — desde que pare de copiar templates internacionais e ajuste à realidade. O risco de coima existe, mas o risco real é o cliente que reclama à CNPD e gera processo. Vale a pena fazer bem uma vez.

No sitesfixe.pt construímos sites com formulários conforme RGPD à partida — base legal correta, política ligada, sem reCAPTCHA cookies. Se queres pôr o teu site em conformidade sem reescrever tudo, fala connosco. Sites desde 1.500€.

Lê também:

Fontes

Precisas de um site ou loja online?

Agência digital portuguesa. Sites e lojas online rápidos, otimizados para o Google e feitos para resultado.

Pedir orçamento