RGPD em escolas em Portugal

O RGPD entrou em vigor em 2018 e afecta directamente o quotidiano de qualquer escola que trate dados pessoais — na prática, todas. As escolas têm uma combinação rara de obrigações: tratam dados de crianças (categoria especialmente protegida), de encarregados de educação, de funcionários, e por vezes de candidatos que não chegam a inscrever-se.

Este guia não substitui aconselhamento jurídico. Resume os pontos que mais frequentemente surgem em conversas com directores e que costumam ser fonte de erro.

O que conta como dado pessoal numa escola

Tudo o que permita identificar uma pessoa, directa ou indirectamente. Para uma escola, isso inclui:

• Dados identificativos — nome, NIF, número de cartão de cidadão, morada, contactos
• Dados de menores — todos os identificativos, sobre crianças, com protecção reforçada
• Dados académicos — notas, faltas, comportamentos, relatórios pedagógicos
• Dados de saúde — alergias, medicação, necessidades especiais (categoria especial)
• Dados biométricos — fotografias, vídeos, impressões digitais para controlo de acesso (categoria especial)
• Dados financeiros — IBAN, histórico de pagamentos

Regra prática: se podem usar isto para identificar a criança ou a família, é dado pessoal.

As quatro bases legais que cobrem 95% dos casos

O RGPD exige base legal para cada tratamento. Numa escola, são quatro as bases que cobrem quase tudo:

Execução de contrato (Art. 6, n.º 1, alínea b). Para dados necessários ao cumprimento do contrato de serviços educativos — matrícula, gestão pedagógica, comunicação com encarregados, facturação. Cobre o essencial sem precisar de consentimento adicional.

Obrigação legal (alínea c). Para dados que a escola é obrigada a recolher e reportar — DGE, DGEEC, Segurança Social, Autoridade Tributária. Também sem precisar de consentimento.

Consentimento (alínea a). Para tratamentos que vão além do estritamente necessário. Inclui publicação de fotos em redes sociais, no site, em brochuras. Tem de ser explícito, específico, informado e revogável.

Interesse legítimo (alínea f). Base mais delicada. Defensável em casos como envio de newsletter a famílias actuais ou videovigilância para segurança. Não é defensável para marketing comercial.

Erro mais comum: misturar bases. Fotos em redes sociais não podem ser tratadas como "interesse legítimo" — precisam de consentimento explícito porque envolvem menores em contextos públicos.

Fotos de crianças — onde a maioria tropeça

Publicar fotos de crianças no site, redes sociais, brochuras ou jornal da escola requer consentimento explícito por escrito dos encarregados. Quatro regras práticas:

Consentimento separado por finalidade — autorização para foto no jornal interno não cobre Instagram. Por escrito (verbal não conta); formulário assinado, idealmente digital com timestamp. Revogável a qualquer momento, com obrigação de remover em tempo razoável. Renovação anual vale como boa prática (não é obrigatório).

Como deve ser o formulário

Um formulário sólido de autorização de imagem cobre: identificação do encarregado e da criança; lista específica de canais (site, Instagram, Facebook, jornal interno, brochura, vídeo institucional) com checkbox independente para cada; duração da autorização ("durante o tempo em que a criança estiver matriculada"); direito a revogar a qualquer momento e como fazê-lo; assinatura e data.

O que não vale: "ao matricular o aluno, autoriza a escola a utilizar a sua imagem em qualquer suporte de comunicação". Cláusulas genéricas em contratos não constituem consentimento RGPD válido.

Formulários de inscrição e pedidos de informação

Quando uma família preenche um formulário de pedido, a escola tem de identificar a finalidade ("estes dados são usados para resposta ao pedido e gestão da candidatura"), o período de retenção (tipicamente 6-24 meses se a candidatura não avançar), os direitos do titular (acesso, rectificação, apagamento, oposição), e a base legal (execução de medidas pré-contratuais).

Uma simples linha "os seus dados são tratados conforme a Política de Privacidade — link" cumpre o mínimo, desde que a política de privacidade exista e seja realmente acessível.

A política de privacidade pública

Toda a escola que recolhe dados online (basicamente todas) precisa de política de privacidade pública. Os elementos obrigatórios:

Identificação do responsável (escola, NIF, morada). Identificação do DPO se aplicável. Finalidades por tipo de tratamento. Bases legais por finalidade. Categorias de dados. Destinatários (a quem podem ser comunicados). Períodos de retenção. Direitos dos titulares. Direito a reclamar à CNPD. Existência de decisões automatizadas (raro em escolas).

A CNPD tem templates iniciais. Não devem ser usados directamente — têm de ser adaptados à escola.

O Encarregado de Protecção de Dados (DPO)

A maioria das escolas é obrigada a designar um. A regra prática: se a actividade principal envolve tratamento em larga escala de dados de crianças, é obrigatório. Para escolas com mais de 100 alunos, considera-se aplicável.

O DPO pode ser interno (sem conflito de interesses — não pode ser o director-geral) ou externo (entidade especializada, €100-400/mês). Deve estar identificado no site, no contrato e em qualquer ponto de recolha de dados.

Direitos dos titulares — como responder

Encarregados, alunos maiores de idade e funcionários têm direitos sobre os seus dados. A escola tem 30 dias (prorrogáveis por 2 meses em casos complexos) para responder a pedidos de:

• Acesso (cópia dos seus dados)
• Rectificação (corrigir dados errados)
• Apagamento (com limites: dados académicos têm de ser preservados por anos)
• Oposição (a tratamentos baseados em interesse legítimo ou marketing)
• Portabilidade (receber dados em formato estruturado)
• Limitação (limitar tratamento enquanto se verifica algo)

A escola deve ter procedimento interno claro de como receber e responder a estes pedidos. Tipicamente: email dedicado ([email protected]), formulário próprio, ou contacto no site.

Quanto tempo guardar dados

Prazos variam por categoria. Em geral:

• Dados pedagógicos (notas, certificados): perpétuos ou ciclos longos (15-30 anos) por obrigações legais
• Dados de candidatura não concretizada: 6-24 meses
• Dados financeiros: 10 anos por obrigações fiscais
• Imagens de videovigilância: 30 dias
• CV de candidatos a vagas docentes: 6 meses após decisão

A escola deve ter política de retenção formal — não vale "guardamos tudo para sempre" nem "apagamos quando alguém pede".

Quando comunicar uma violação à CNPD

Se houver fuga de dados — base de alunos hackeada, email com dados sensíveis para destinatário errado, perda de pen com fotos não autorizadas — a escola tem 72 horas para notificar a CNPD. Em casos de risco elevado para os titulares, também tem de notificar os encarregados.

A maioria das escolas nunca passou por isto. Mas vale ter procedimento de incidente preparado — quem ligar primeiro, que registar, que formulários CNPD aplicar.

Recursos oficiais

• CNPD — Comissão Nacional de Protecção de Dados
• Texto do RGPD em português
• Lei 58/2019 — transposição PT

Como o Skoolist se posiciona

O Skoolist é processador de dados quando uma escola gere candidaturas via plataforma. Os dados das candidaturas são propriedade da escola, não do Skoolist. Existe contrato de subcontratação que cobre os termos do RGPD (disponível mediante pedido). A exportação CSV permite portabilidade dos dados se a escola decidir sair. E não há reaproveitamento de dados para outros fins — não vendemos contactos nem fazemos perfis comerciais.

A reivindicação do perfil inclui aceitação destes termos.

Para aprofundar:

• Software de gestão de admissões — ferramentas que cumprem RGPD by default
• Marketing escolar em Portugal — RGPD em comunicação e redes sociais
• Aumentar matrículas em colégio privado — funnel + compliance no formulário de candidatura