Formulários do site e RGPD: checklist para estares mesmo conforme
Quase todos os sites de PME em Portugal têm formulários: contacto, orçamento, newsletter, marcação. E quase todos falham um ou mais requisitos do RGPD, não por má-fé, mas porque o template do tema veio do estrangeiro e ninguém o reviu.
Este guia dá-te a checklist concreta. Não é juridiquês. É o que tem de existir no formulário, no email que sai, e no que ficas a guardar.
Antes de tudo: qual é a base legal
O RGPD não exige consentimento para tudo. Exige uma base legal, e há seis. Para formulários típicos de PME, três interessam:
- Consentimento (artigo 6.º/1/a): newsletter, comunicações promocionais. Tem de ser ativo, específico e revogável.
- Execução de contrato ou diligência pré-contratual (6.º/1/b): pedido de orçamento, marcação, contacto comercial sobre serviço que vais prestar.
- Interesse legítimo (6.º/1/f): seguimento comercial razoável, segurança do site. Exige teste de ponderação.
A diferença prática: para pedido de orçamento não precisas de checkbox "aceito o tratamento dos meus dados". O contacto é a própria diligência pré-contratual. Para newsletter, precisas. Confundir os dois é o erro mais comum.
A checklist mínima por formulário
Imprime, cola ao lado do monitor. Cada formulário do site tem de cumprir:
- Recolhe só o necessário. Nome + email + mensagem chega para contacto. Pedir NIF, morada e telefone num formulário de "fala connosco" é violação do princípio da minimização.
- Identifica o responsável pelo tratamento. Nome, NIF, contacto. Não obrigatório no próprio formulário, mas tem de constar na política de privacidade ligada.
- Indica a finalidade. "Vamos usar estes dados para te responder ao pedido." Frase curta perto do botão de envio.
- Indica o prazo de retenção. "Mantemos durante 24 meses ou até pedires apagamento." Não precisa estar no formulário, mas tem de estar acessível.
- Liga à política de privacidade. Link visível antes do botão. Não em rodapé minúsculo.
- Checkbox de consentimento só quando necessário. Newsletter sim. Contacto comercial pré-contratual não. Pré-marcado é proibido.
- Mecanismo de revogação. Para newsletter: link "unsubscribe" em cada email enviado. Para outros: contacto direto.
- Confirmação de envio. O utilizador tem de saber que os dados foram recebidos.
- Honeypot ou CAPTCHA acessível. Não para RGPD diretamente, mas para evitar processar dados de bots (que também é processamento).
- HTTPS obrigatório. Sem TLS, qualquer formulário viola o artigo 32.º (segurança do tratamento).
Falhas frequentes: checkboxes pré-marcadas, "ao continuar concordas com tudo", política linkada em letra cinza no rodapé.
Consentimento, o que torna um consentimento válido
O artigo 7.º do RGPD e as orientações da CNPD dizem que o consentimento tem de ser:
- Livre, sem condicionar acesso ao serviço (não podes obrigar a aceitar newsletter para descarregar um ebook que prometeste grátis).
- Específico, uma finalidade por consentimento. "Newsletter + parceiros + remarketing" tudo numa caixa é inválido.
- Informado, quem trata, para quê, durante quanto tempo, direitos.
- Inequívoco, ato afirmativo. Caixa pré-marcada não conta. Continuar a navegar não conta.
- Revogável, tão fácil revogar como dar. Se deste consentimento com um clique, revogar não pode exigir telefonema ou carta.
E tens de conseguir provar que houve consentimento. Guarda data, hora, IP, texto exato apresentado e versão da política aceite. Sem registo, não conseguiste provar nada.
Retenção, quanto tempo guardar
Não há prazo único no RGPD, depende da finalidade. Padrões usados em PME portuguesas:
- Contacto/orçamento que não converteu: 12 a 24 meses (interesse legítimo de seguimento comercial).
- Cliente ativo: durante a relação + 10 anos (obrigações fiscais, Código do IVA).
- Newsletter: enquanto subscrição ativa + 30 dias após cancelamento.
- Logs de servidor: 6 meses é o standard razoável.
- Marcações de serviço (clínicas, etc.): depende da legislação setorial. Para saúde, mínimo 5 anos.
Define para cada formulário. Documenta. Cumpre. "Guardamos para sempre" não é resposta aceitável.
Encarregado da Proteção de Dados (DPO): és obrigado?
A maioria das PMEs não é obrigada a designar DPO. A obrigação aplica-se quando:
- A atividade principal envolve monitorização sistemática em larga escala de pessoas (ex.: plataformas com tracking pesado).
- A atividade principal trata categorias especiais em larga escala (saúde, biometria, opinião política).
- Entidades públicas (sempre).
Uma loja online típica de PME com Google Analytics não cai aqui. Uma clínica com 50 médicos a tratar processos clínicos cai.
Não sendo obrigado, designar um ponto de contacto interno (privacidade@empresa.pt) é boa prática. Mostra organização sem custo.
O que tem de estar na política de privacidade ligada
A política linkada pelo formulário (e que vive em /privacidade) deve cobrir:
- Identidade e contactos do responsável pelo tratamento.
- Finalidades e base legal de cada tratamento.
- Categorias de dados recolhidos.
- Destinatários (alojamento, email marketing, gateway de pagamento, sim, todos contam).
- Transferências para fora da UE, se houver, e salvaguardas.
- Prazos de conservação.
- Direitos do titular (acesso, retificação, apagamento, portabilidade, oposição, retirada de consentimento).
- Como exercer esses direitos.
- Direito de reclamação à CNPD.
Política genérica copiada de modelo brasileiro não serve. Tem de mencionar as ferramentas que usas mesmo (Mailchimp, Brevo, Stripe, etc.) e a base legal de cada uma.
Registo das atividades de tratamento (artigo 30.º)
O RGPD exige um registo interno das atividades de tratamento. PMEs com menos de 250 trabalhadores estão dispensadas a menos que o tratamento seja sistemático (e qualquer formulário recorrente é sistemático).
Na prática, todas as PMEs com site devem manter o registo. Formato: folha de cálculo com colunas:
- Atividade (ex.: "Formulário de contacto").
- Finalidade.
- Base legal.
- Categorias de titulares (clientes, prospects).
- Categorias de dados.
- Destinatários.
- Prazo de retenção.
- Medidas de segurança.
10 linhas chegam para a maioria das PMEs. Não é trabalho de consultor de 5.000€, é uma tarde.
Email do formulário: onde mora outro buraco
O email que sai do formulário também trata dados pessoais. Verifica:
- Servidor SMTP em zona UE ou com cláusulas-tipo da UE (Resend, Postmark e SendGrid têm). Se usas Gmail SMTP pessoal, problema.
- Destinatário interno em domínio próprio (geral@empresa.pt, não no Gmail pessoal do gerente).
- Encriptação em trânsito (TLS), confirma com o teu provider.
- Não reencaminhar para terceiros sem base legal.
O Reset/spam folder cheio com 3 anos de pedidos de orçamento também é um problema de retenção. Apaga periodicamente.
Cookies e formulários
Se o formulário usa reCAPTCHA do Google, estás a injetar cookies de terceiro antes de consentimento, violação. Alternativas:
- hCaptcha (mais respeitoso de privacidade).
- Cloudflare Turnstile (sem cookies de tracking).
- Honeypot simples (campo escondido que humanos não preenchem), chega para 90% do spam de PME.
O banner de consentimento de cookies liga-se a este problema diretamente.
Subcontratantes, o ponto que mais escapa
Cada serviço externo que processa dados do formulário é subcontratante ao abrigo do artigo 28.º. Precisas de contrato de subcontratação com cada um. Lista típica para PME portuguesa:
- Alojamento do site (SiteGround, Vercel, AWS), onde a base de dados vive.
- Provider de email (Resend, Mailgun, Brevo), por onde sai o email do formulário.
- Email marketing (Mailchimp, Brevo), onde armazena subscritores.
- CRM (HubSpot, Pipedrive, Notion), se sincronizas leads.
- Plataforma de pagamento (Stripe, ifthenpay), se há checkout.
- Analytics (Google, Plausible, Matomo), se tracking.
Para cada um, confirma três coisas: (1) tens DPA (Data Processing Agreement) assinado, quase todos os fornecedores SaaS sérios têm aceitação automática nos termos; (2) o serviço opera em UE ou tem cláusulas-tipo aprovadas; (3) listaste no registo de tratamento.
Não é trabalho de jurista, é uma manhã de organização documental.
Transferências internacionais, Schrems II ainda importa
Depois do acórdão Schrems II (2020), transferir dados para fora do Espaço Económico Europeu exige salvaguardas. Os fornecedores americanos sérios (Google, Microsoft, AWS) aderiram ao EU-US Data Privacy Framework (2023), confere base legal para transferências EUA, se o subcontratante está certificado.
Verifica em dataprivacyframework.gov se o teu fornecedor está. Se não está, precisas de cláusulas-tipo + avaliação de impacto (TIA). Trabalhoso. Para PME pequena, alternativa simples: usar fornecedores em UE (Hetzner, OVH, Resend EU region).
Auditoria rápida: 15 minutos por formulário
Senta-te à frente do site. Em cada formulário:
- Conta os campos. Mais do que nome+email+mensagem? Justifica cada um.
- Há checkbox pré-marcada? Apaga.
- Link para política antes do botão? Sem link, adiciona.
- Submete e vê o email que chega. Domínio próprio? Encriptado?
- Há registo automático em algum lado? Quanto tempo fica?
- Se peço apagamento, sabes como executar?
Falha em 2+ destas perguntas significa que tens trabalho. A boa notícia: a maior parte resolve-se em 2 horas.
Em resumo
A conformidade RGPD dos formulários do site não é misterioso. É: base legal certa, minimização (só o que precisas), consentimento ativo quando necessário (newsletter sim, contacto comercial não), retenção definida e cumprida, política de privacidade ligada com tudo o que usas mesmo, e registo interno das atividades. A maioria das PMEs portuguesas passa de não-conforme a conforme em meio dia de trabalho, desde que pare de copiar templates internacionais e ajuste à realidade. O risco de coima existe, mas o risco real é o cliente que reclama à CNPD e gera processo. Vale a pena fazer bem uma vez.
No sitesfixe.pt construímos sites com formulários conforme RGPD à partida, base legal correta, política ligada, sem reCAPTCHA cookies. Se queres pôr o teu site em conformidade sem reescrever tudo, fala connosco. Sites desde 1.500€.
Lê também:
- Conformidade RGPD do website
- Política de privacidade e termos do site
- Formulários que convertem (sem assustar)
Fontes
Precisas de um site ou loja online?
Agência digital em Portugal. Sites e lojas online rápidos, otimizados para o Google e feitos para destacar a tua empresa e vender mais.
Pedir orçamento