Gestora portuguesa revisa contrato SaaS com DPA na mesa de escritório em Porto, com laptop e documentos RGPD visíveis

Contrato SaaS: como proteger os dados da sua PME com o RGPD

João João SantosInformática
9 min de leitura 14 de junho de 2026

TL;DR: Um contrato SaaS conforme com o Regulamento Geral sobre a Proteção de Dados (RGPD) deve incluir obrigatoriamente um Aditamento de Tratamento de Dados (ATD), cláusulas de saída com portabilidade de dados, notificação de violações em 72 horas e garantias de segurança técnica. A ausência destas cláusulas pode expor a sua PME a coimas até 20 milhões de euros ou 4% do volume de negócios anual global.

O que é um contrato SaaS e porque importa para as PMEs portuguesas

Software as a Service (SaaS) é um modelo de distribuição de software em que o fornecedor aloja e mantém a aplicação na cloud, disponibilizando-a mediante subscrição periódica. Em Portugal, as Pequenas e Médias Empresas (PMEs) representam 99,9% do tecido empresarial nacional e empregam 78,2% dos trabalhadores do setor privado [INE, 2024]. A adoção de soluções SaaS neste segmento é crescente: contabilidade, gestão de recursos humanos, CRM e ferramentas de comunicação interna estão cada vez mais alojadas em plataformas de terceiros.

Ao subscrever um SaaS, a PME cede frequentemente dados pessoais de clientes, colaboradores e fornecedores ao ambiente tecnológico do prestador. Neste momento, a empresa torna-se Responsável pelo Tratamento nos termos do RGPD, e o fornecedor SaaS passa a ser Subcontratante. Esta distinção tem implicações contratuais diretas: o artigo 28.º do Regulamento (UE) 2016/679 obriga à celebração de um contrato escrito entre ambas as partes que regule especificamente o tratamento de dados pessoais.

As cláusulas RGPD obrigatórias num contrato SaaS

O artigo 28.º do RGPD enumera o conteúdo mínimo que o contrato entre o Responsável pelo Tratamento (a PME) e o Subcontratante (o fornecedor SaaS) deve conter. Na prática, este contrato assume a forma de um Aditamento de Tratamento de Dados (em inglês, Data Processing Agreement ou DPA), que pode ser um anexo ao contrato principal ou um documento autónomo.

Cláusula RGPD Conteúdo mínimo obrigatório (art. 28.º RGPD)
Objeto e duração Tipos de dados pessoais, categorias de titulares, finalidade e período de retenção
Medidas de segurança Criptografia, controlo de acessos, pseudonimização, planos de recuperação (artigo 32.º RGPD)
Sub-processadores Lista de terceiros e obrigação de autorização prévia escrita da PME
Transferências internacionais Mecanismo aplicável: Cláusulas Contratuais-Tipo (CCT) ou decisão de adequação
Notificação de violações Obrigação de notificar a PME em 72 horas após deteção do incidente
Direitos dos titulares Assistência da PME na resposta a pedidos de acesso, retificação e eliminação
Auditoria Direito da PME de auditar ou exigir relatórios independentes (ISO 27001, SOC 2 Tipo II)
Devolução e eliminação de dados Procedimentos obrigatórios após cessação do contrato

Mãos de gestora portuguesa a rever cláusulas de um DPA SaaS numa mesa de escritório em Porto, com laptop e documentos visíveis

A ausência de qualquer destas cláusulas configura uma irregularidade face ao RGPD. A Comissão Nacional de Proteção de Dados (CNPD), enquanto autoridade de controlo em Portugal, pode aplicar coimas que chegam a 20 milhões de euros ou 4% do volume de negócios global anual (artigo 83.º do RGPD), consoante o montante que for mais elevado. Em 2023, a CNPD emitiu 14 decisões sancionatórias, com coimas entre 2 500 € e 4,3 milhões de euros [CNPD, Relatório de Atividades 2023].

Cláusulas de saída: proteja os seus dados antes de assinar

Uma das cláusulas mais frequentemente negligenciadas pelas PMEs portuguesas é a cláusula de saída (exit clause). Muitos contratos SaaS impõem períodos de aviso prévio longos, limitações técnicas na exportação de dados ou formatos proprietários que tornam a migração para outro fornecedor difícil e onerosa. Esta situação cria um vendor lock-in que prejudica a autonomia da empresa e pode complicar a devolução de dados pessoais exigida pelo RGPD no final do contrato.

À retenir: A portabilidade de dados é um direito dos titulares consagrado no artigo 20.º do RGPD, mas não existe um direito equivalente automático para as empresas enquanto clientes SaaS. É a cláusula contratual que garante esta proteção — ou a sua ausência que a nega.

Antes de assinar um contrato SaaS, verifique os seguintes cinco pontos:

  1. Formato de exportação: Os dados são exportáveis em formatos abertos e legíveis por máquina (CSV, JSON, XML)? Evite contratos que apenas permitam exportação em formatos proprietários que exijam ferramentas pagas do mesmo fornecedor.
  2. Prazo de acesso pós-cancelamento: Quanto tempo após o cancelamento pode a PME aceder e exportar os seus dados? O mínimo razoável é 30 dias; 90 dias é o padrão nos contratos de referência do mercado.
  3. Eliminação certificada: O contrato especifica quando e como o fornecedor elimina os dados após a exportação? Esta eliminação deve ser documentada e certificada por escrito.
  4. Plano de continuidade: Em cenários de insolvência do fornecedor, existe um mecanismo de escrow de código-fonte ou acesso garantido aos dados?
  5. Custos de saída: Existem penalizações financeiras desproporcionais que desincentivam a mudança de fornecedor? Cláusulas de rescisão antecipada com custos superiores a três mensalidades são consideradas excessivas.

Transferências internacionais de dados: o risco oculto nos contratos SaaS

A maioria dos grandes fornecedores SaaS — Microsoft, Salesforce, Google, AWS, HubSpot — aloja dados em infraestruturas localizadas nos Estados Unidos ou em outros países terceiros fora do Espaço Económico Europeu (EEE). A transferência de dados pessoais para fora do EEE é regulada pelo Capítulo V do RGPD e requer mecanismos de salvaguarda específicos.

Após o acórdão Schrems II do Tribunal de Justiça da União Europeia (julho de 2020), que invalidou o Privacy Shield, as transferências para os EUA baseiam-se fundamentalmente nas Cláusulas Contratuais-Tipo (CCT) adotadas pela Comissão Europeia em 2021 (Decisão de Execução 2021/914/UE). O Data Privacy Framework UE-EUA, adotado em julho de 2023, facilita algumas transferências para empresas certificadas nos EUA, mas a situação jurídica permanece em evolução e o risco de nova impugnação judicial existe.

O contrato SaaS deve identificar explicitamente:

  • Todos os países para onde os dados podem ser transferidos, incluindo sub-processadores
  • O mecanismo de salvaguarda aplicável a cada transferência (CCT 2021, decisão de adequação, regras vinculativas das empresas)
  • A Avaliação de Impacto da Transferência (Transfer Impact Assessment ou TIA) realizada pelo fornecedor

A CNPD disponibiliza orientações específicas sobre transferências internacionais no seu portal, incluindo modelos de TIA adaptados ao contexto português. Ignorar esta cláusula expõe a PME a responsabilidade solidária com o fornecedor em caso de violação.

Empresário português em Coimbra a consultar advogado de proteção de dados, ambos a rever checklist RGPD num portátil numa sala de reuniões

Como negociar cláusulas RGPD com fornecedores SaaS

As PMEs portuguesas enfrentam uma assimetria de poder negocial face a gigantes tecnológicos. Os grandes fornecedores SaaS oferecem DPAs padronizados que raramente são negociáveis na substância das cláusulas de tratamento de dados. Contudo, existem estratégias práticas para maximizar a proteção contratual.

Com fornecedores enterprise (contratos superiores a 10 000€/ano)

Para contratos de maior valor, é possível negociar:

  • Localização de dados (data residency): exija que os dados sejam armazenados exclusivamente em centros de dados situados na União Europeia, preferencialmente com certificação ISO/IEC 27001:2022
  • Prazos de notificação mais curtos: o padrão legal é 72 horas, mas 24 horas é um standard negociável para incidentes críticos
  • Direito de auditoria in loco: além dos relatórios SOC 2 Tipo II, negoceie o direito de realizar auditorias técnicas anuais nas instalações do fornecedor

Com fornecedores SaaS de menor dimensão

Com fornecedores de menor escala, a margem de negociação é maior:

  • Solicite a incorporação explícita das CCT 2021 no DPA se o fornecedor estiver fora da UE
  • Negoceie limites de responsabilidade proporcionais (evite cláusulas que limitam a indemnização ao valor de uma mensalidade)
  • Exija a lista completa e atualizada de sub-processadores antes da assinatura, com direito de veto para novos sub-processadores

Verificações obrigatórias para qualquer fornecedor

Independentemente da dimensão do fornecedor, antes de assinar qualquer contrato SaaS, confirme:

  • A designação de um Encarregado de Proteção de Dados (EPD) pelo fornecedor — obrigatório para subcontratantes que tratam dados em grande escala (artigo 37.º do RGPD)
  • Certificações de segurança ativas: ISO/IEC 27001:2022, SOC 2 Tipo II ou equivalente reconhecido
  • Ausência de historial de coimas graves no registo público do EDPB (European Data Protection Board)

Perguntas frequentes sobre contratos SaaS e RGPD em Portugal

O que acontece se o fornecedor SaaS sofrer uma violação de dados que afete a minha PME?

O contrato deve obrigar o fornecedor a notificar a PME sem demora injustificada e, em qualquer caso, no prazo máximo de 72 horas após a deteção do incidente. A PME, enquanto Responsável pelo Tratamento, tem então a obrigação de avaliar o risco e, se este for elevado para os direitos e liberdades dos titulares, notificar a CNPD (artigo 33.º do RGPD) e informar diretamente os titulares afetados (artigo 34.º do RGPD). A ausência de notificação tempestiva pode resultar em coimas adicionais.

É obrigatório ter um DPA mesmo que o fornecedor SaaS seja uma empresa portuguesa?

Sim. A obrigação decorre do artigo 28.º do RGPD, que se aplica independentemente da localização geográfica do subcontratante. A exceção ocorre apenas quando o fornecedor atua como Responsável pelo Tratamento independente — o que raramente acontece num modelo SaaS típico em que a PME mantém o controlo dos dados.

As PMEs com menos de 250 trabalhadores têm isenções nas obrigações RGPD?

As PMEs com menos de 250 trabalhadores beneficiam de uma isenção parcial do registo de atividades de tratamento (artigo 30.º, n.º 5 do RGPD), mas esta isenção não se aplica quando o tratamento é habitual, envolve risco para os direitos dos titulares ou inclui categorias especiais de dados (saúde, dados biométricos, convicções políticas). A obrigação de celebrar um DPA com fornecedores SaaS aplica-se a todas as empresas, independentemente da dimensão.

Como verificar se um fornecedor SaaS cumpre o RGPD antes de contratar?

Solicite o DPA padrão do fornecedor antes da assinatura e verifique se cobre todas as cláusulas do artigo 28.º do RGPD. Confirme as certificações de segurança ativas (ISO 27001, SOC 2 Tipo II). Consulte o registo público de decisões sancionatórias do EDPB para verificar o historial do fornecedor na UE. Por fim, procure revisões independentes do DPA do fornecedor publicadas por associações de proteção de dados ou advogados especializados.

Qual é o papel da CNPD na fiscalização de contratos SaaS para PMEs?

A Comissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo competente em Portugal para fiscalizar o cumprimento do RGPD. Pode investigar queixas de titulares de dados, realizar auditorias às empresas, emitir advertências, recomendações e ordens vinculativas, e aplicar coimas administrativas. As PMEs podem consultar gratuitamente o portal da CNPD para obter orientações, modelos de DPA e formulários de notificação de violações de dados.

Aviso: As informações presentes nesta página são fornecidas a título meramente informativo e não constituem aconselhamento jurídico. Para situações específicas da sua empresa, consulte um advogado especializado em proteção de dados ou em direito tecnológico.

Artigos semelhantes

Revista
Profissional português em escritório corporativo no Porto a rever documentos de conformidade com a Diretiva NIS2 num laptop
Informática

NIS2 em Portugal 2026: obrigações, prazos e o que o CNCS recomenda

TL;DR: A Diretiva NIS2 (Diretiva (UE) 2022/2555) impõe obrigações de cibersegurança a milhares de empresas portuguesas em 2026. As entidades abrangidas devem implementar gestão de riscos, notifica

10 min de leitura14 de junho de 2026
Especialista informático português a diagnosticar um servidor num escritório em Lisboa com monitores e equipamento de rede
Informática

Como Encontrar o Especialista Informático Certo em Portugal

Contratar um especialista informático em Portugal pode reduzir em até 60% o tempo de resolução de problemas técnicos, segundo dados do Instituto Nacional de Estatística [INE, 2024]. Seja para recu

6 min de leitura30 de março de 2026

Os nossos especialistas

Vantagens

Respostas rápidas e precisas para todas as suas questões e pedidos de assistência em mais de 200 categorias.

Milhares de utilizadores obtiveram uma satisfação de 4,9 em 5 para os conselhos e recomendações fornecidas pelos nossos assistentes.

Expert Zoom

Como funciona?Quem são os nossos especialistas?RevistaNotícias

Negócios

Ferramentas práticas

Contacte-nos

Email
Siga-nos
Política de privacidadeTermos de utilização