Contrato de Prestação de Serviços Informáticos (Portugal)

O Contrato de Prestação de Serviços Informáticos é o documento empresarial celebrado em Portugal ao abrigo de Código Civil art. 1154.º.

A particularidade do Contrato de Serviços Informáticos português está na sua articulação multidimensional: contratual (definição de SLAs, fees, modelos de subscrição), de propriedade intelectual (cessão de código-fonte ao abrigo do DL 252/94 e do CDADC — DL 63/85), de proteção de dados (obrigações RGPD em alojamento, processamento, transferências internacionais), de cibersegurança (obrigações da Lei nº 46/2018 e da NIS2 quanto a notificação de incidentes ao Centro Nacional de Cibersegurança — CNCS), e de continuidade de negócio (planos de recuperação, RPO, RTO, escrow de código-fonte).

A jurisprudência dos tribunais portugueses tem reconhecido a executoriedade plena destes contratos, com particular atenção ao cumprimento dos Service Level Agreements (SLAs) — disponibilidade mínima garantida, tempos de resposta e resolução de incidentes, taxas de erro máximas. Os litígios mais frequentes envolvem incumprimento de SLAs (com aplicação de penalidades pré-fixadas), titularidade do código-fonte de software desenvolvido à medida, gestão de incidentes de cibersegurança e violações de dados pessoais sob o RGPD. O Tribunal da Propriedade Intelectual em Lisboa tem competência para litígios sobre direitos de autor de software ao abrigo do DL 252/94.

Distinguir este contrato de outras figuras é essencial: o Contrato de Serviços Informáticos diferencia-se do Contrato de Licença de Software (que cobre apenas o uso de software pré-existente sem desenvolvimento), do Contrato SaaS (Software as a Service, que combina licença e alojamento numa subscrição), e do Contrato de Desenvolvimento de Software (focado em criação à medida sem componente continuado de manutenção). Frequentemente o Contrato de Serviços Informáticos integra elementos de várias destas figuras numa única estrutura — desenvolvimento à medida, alojamento, manutenção, suporte e integração.

O regime fiscal aplicável determina que o Prestador (sociedade comercial) emita fatura com IVA à taxa normal de 23% sobre os serviços prestados em Portugal continental. Para serviços B2B intra-UE aplica-se o regime de autoliquidação pelo Cliente nos termos do artigo 6.º do Código do IVA. Para serviços a clientes extra-UE aplica-se isenção com direito a dedução. As contribuições para inovação tecnológica podem beneficiar do regime de incentivos fiscais ao Investimento em I&D Empresarial (SIFIDE) regulado pela Lei nº 162/2014.

O Decreto-Lei nº 252/94 (transposição da Diretiva 91/250/CEE substituída pela 2009/24/CE) regula especificamente a proteção jurídica dos programas de computador, considerando o software encomendado por contrato propriedade do encomendante salvo estipulação em contrário (artigo 3.º nº 3). Esta presunção legal é favorável ao Cliente mas deve ser confirmada por cláusula expressa para evitar interpretações divergentes. A cessão de direitos de autor sobre software exige forma escrita nos termos do artigo 14.º do CDADC.

O Regime Jurídico da Segurança do Ciberespaço (Lei nº 46/2018) e a Diretiva NIS2 (UE 2022/2555) transposta pela Lei nº 6/2025 impõem aos operadores de serviços essenciais (energia, transportes, saúde, finanças, água, infraestrutura digital) e aos prestadores de serviços digitais (cloud, motores de busca, marketplaces) obrigações reforçadas de gestão de risco, notificação de incidentes em prazos curtos ao CNCS, e responsabilidade do conselho de administração. A Comissão Nacional de Proteção de Dados (CNPD) tem competência para sanções administrativas em caso de violação de dados pessoais com coimas até 20 milhões de euros ou 4% do volume de negócios anual mundial nos termos do artigo 83.º do RGPD.

O Contrato de Prestação de Serviços Informáticos em Portugal é necessário sempre que uma empresa contrata um prestador externo para serviços de tecnologias de informação que envolvam acesso a sistemas, dados ou propriedade intelectual relevantes. A formalização escrita é fortemente recomendada mesmo para projetos de menor dimensão, dado o risco específico associado a violação de dados pessoais sob o RGPD e a incidentes de cibersegurança.

O desenvolvimento de software à medida representa o cenário mais frequente. O Cliente contrata uma software house portuguesa ou estrangeira para desenvolver aplicação web, mobile, ERP, CRM ou sistema integrado, com requisitos funcionais específicos. O contrato deve articular metodologia (waterfall, agile, scrum), milestones com aceitação formal, ambiente de produção e desenvolvimento, repositório de código (tipicamente GitHub, GitLab, Bitbucket privado), testes de aceitação (UAT, performance, segurança) e deploy em produção. A cessão de código-fonte ao Cliente ao abrigo do DL 252/94 é elemento crítico — sem ela, o Cliente fica refém do Prestador para qualquer modificação ou manutenção futura.

A contratação de serviços cloud (SaaS, IaaS, PaaS) com fornecedores como Microsoft Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), Oracle Cloud, ou prestadores nacionais como Claranet, Altice Empresas, NOS Empresas exige contrato que articule disponibilidade (SLA de 99,9% ou 99,95%), localização do alojamento (Portugal, União Europeia, fora do EEE), segurança (encriptação em trânsito TLS 1.3 e em repouso AES-256, controlo de acessos, MFA, registo de auditoria), continuidade de negócio (RPO, RTO, backups, planos de recuperação) e RGPD (papel do prestador como subcontratante nos termos do artigo 28.º, transferências internacionais com cláusulas contratuais-tipo aprovadas pela Decisão de Execução UE 2021/914).

A contratação de serviços de cibersegurança — Security Operations Center (SOC), pen testing, gestão de vulnerabilidades, resposta a incidentes, deteção e resposta gerida (MDR) — exige contrato que articule as obrigações do Regime Jurídico da Segurança do Ciberespaço (Lei nº 46/2018) e da NIS2 (UE 2022/2555 transposta pela Lei nº 6/2025) quando o Cliente seja operador de serviços essenciais ou prestador de serviços digitais. O contrato deve identificar o âmbito da monitorização (24x7, 8x5, on-demand), os tempos de resposta a incidentes (incidente crítico: 15 minutos; alto: 1 hora; médio: 4 horas), os procedimentos de notificação (interna ao Cliente, externa ao Centro Nacional de Cibersegurança — CNCS) e a coordenação com a equipa interna do Cliente.

A contratação de managed services (infraestrutura gerida, helpdesk, gestão de redes, gestão de bases de dados) exige contrato que defina o âmbito da gestão (servidores, redes, endpoints, aplicações, bases de dados), o modelo de cobrança (por servidor, por utilizador, por instância), os SLAs por categoria de serviço, e o regime de transição no início e termo do contrato. A transição é frequentemente o ponto mais sensível — o contrato deve regular a migração de credenciais, documentação técnica, transferência de licenças de software, formação da equipa interna e período de sobreposição com o prestador anterior.

A contratação de outsourcing de TI (operação completa de IT delegada a prestador externo) implica contrato de longa duração (3 a 5 anos) com transição inicial detalhada, governança contínua (steering committee, comités técnicos, reuniões mensais de operação), reporting (KPIs operacionais e de qualidade), gestão de mudanças (change management board), e — crucialmente — regime de saída (exit plan) que assegure a transferência ordenada de operação, dados e know-how para o Cliente ou para um novo prestador no termo do contrato.

A contratação de serviços de integração de sistemas (ERP — SAP, Oracle, Microsoft Dynamics, Primavera; CRM — Salesforce, HubSpot, Microsoft Dynamics 365) exige contrato que articule as fases (análise funcional, desenho da arquitetura, configuração, desenvolvimento de extensões, dados mestre, testes, formação, go-live, suporte pós-arranque), os entregáveis (documentação funcional, documentação técnica, manuais de utilizador, código de extensões), e as responsabilidades (Cliente fornece dados e regras de negócio, Prestador implementa).

A contratação por entidades públicas ao abrigo do Código dos Contratos Públicos (DL 18/2008) segue regime específico, com obrigação de procedimento concursal acima de determinados limiares, cláusulas obrigatórias decorrentes do CCP, e — quando aplicável — exigências de cibersegurança decorrentes da Lei nº 46/2018 para sistemas críticos da administração pública.

Um Contrato de Prestação de Serviços Informáticos em Portugal juridicamente eficaz integra cláusulas indispensáveis à sua executoriedade perante o Juízo de Comércio do Tribunal Judicial da Comarca competente, o Tribunal da Propriedade Intelectual em Lisboa para questões de software, e — quando aplicável — perante o Centro de Arbitragem Comercial CCIP.

Identificação rigorosa das partes constitui o primeiro elemento. Para o Cliente devem constar denominação social registada na Conservatória do Registo Comercial, NIPC, sede social e identificação dos representantes legais. Para o Prestador devem constar os mesmos elementos e, quando aplicável, certificações relevantes (ISO 27001 para gestão de segurança da informação, ISO 9001 para gestão da qualidade, ISO 22301 para continuidade de negócio, SOC 2 Type II para controlo de serviços, certificações cloud específicas).

Descrição precisa do âmbito dos serviços. O contrato deve identificar com clareza o tipo de serviços (desenvolvimento de software, cloud, cibersegurança, managed services, outsourcing), o âmbito funcional, os ambientes cobertos (produção, qualidade, desenvolvimento), os entregáveis específicos e os critérios de aceitação. A descrição vaga é considerada nula por indeterminabilidade nos termos dos artigos 280.º e 281.º do Código Civil.

Definição de SLAs (Service Level Agreements). O contrato deve estabelecer indicadores de nível de serviço com metas quantitativas: disponibilidade mínima garantida (99,5%, 99,9%, 99,95%); tempo médio de resposta (response time) por categoria de incidente; tempo médio de resolução (resolution time); taxa máxima de erro; janela de manutenção planeada. Cada SLA deve ter penalidade pré-fixada por incumprimento (service credit), tipicamente como percentagem do fee mensal proporcional ao incumprimento. A medição dos SLAs deve ser objetiva e auditável (ferramentas de monitoring de terceiros, relatórios mensais).

Estrutura de honorários. O contrato deve definir a estrutura tarifária — preço fixo (projeto), time & materials (com tarifas horárias por perfil sénior, sénior+, mediano), subscrição mensal (managed services), ou híbrido. Para projetos de grande dimensão é comum estrutura de pagamento por marco com retenção até aceitação final. Aplica-se o Decreto-Lei nº 62/2013 sobre atrasos de pagamento.

Regime de propriedade intelectual sobre o software. O contrato deve regular expressamente a titularidade dos direitos de autor sobre o software desenvolvido à medida ao abrigo do Decreto-Lei nº 252/94 e do artigo 14.º do CDADC. A solução típica é cessão integral ao Cliente do software à medida (com entrega do código-fonte, documentação técnica e direitos de modificação) com ressalva dos frameworks reutilizáveis e bibliotecas pré-existentes do Prestador (que ficam objeto de licença perpétua, irrevogável e gratuita ao Cliente para o âmbito do projeto).

Entrega e escrow do código-fonte. O contrato deve assegurar a entrega regular do código-fonte ao Cliente em repositório dedicado (Git privado em GitHub, GitLab, Bitbucket, Azure DevOps) com versionamento completo, ou — em alternativa — depósito em escrow notarial ou em entidade especializada (ex.: NCC Group Escrow, EscrowTech) com regras de libertação ao Cliente em caso de insolvência ou cessação do Prestador. Para projetos críticos, recomenda-se ambas as soluções cumulativamente.

Proteção de dados pessoais (RGPD). Quando o Prestador trate dados pessoais do Cliente — alojamento de bases de dados, gestão de utilizadores, backup, recuperação — a relação configura tratamento por subcontratante exigindo contrato de subcontratação ao abrigo do artigo 28.º do RGPD. As medidas técnicas e organizativas devem cumprir o artigo 32.º do RGPD: pseudonimização e encriptação, capacidade contínua de assegurar confidencialidade integridade disponibilidade e resiliência dos sistemas, capacidade de restabelecer disponibilidade rapidamente, processo regular de teste avaliação e apreciação. A localização do alojamento deve ser identificada (Portugal, União Europeia, países com decisão de adequação da Comissão Europeia, internacional com cláusulas contratuais-tipo aprovadas pela Decisão de Execução UE 2021/914).

Cibersegurança e gestão de incidentes. O contrato deve articular obrigações da Lei nº 46/2018 e — quando aplicável — da NIS2 (UE 2022/2555 transposta pela Lei nº 6/2025): identificação de risco, gestão de vulnerabilidades, controlo de acessos, registo de auditoria, plano de resposta a incidentes, notificação de incidentes ao CNCS em prazos legais, notificação ao Cliente em 24 horas. Para incidentes que envolvam dados pessoais, aplica-se cumulativamente a notificação à CNPD em 72 horas nos termos do artigo 33.º do RGPD.

Continuidade de negócio. O contrato deve definir Recovery Point Objective (RPO — perda máxima admissível de dados) e Recovery Time Objective (RTO — tempo máximo admissível de indisponibilidade), regime de backups (frequência, retenção, encriptação, localização), planos de recuperação testados periodicamente, e procedimentos de failover.

Confidencialidade. O Prestador acede frequentemente a informação extremamente sensível (estratégia, dados financeiros, dados de clientes, propriedade intelectual). A cláusula de confidencialidade deve ser detalhada, com cláusula penal específica e articulação com NDA autónomo quando aplicável.

Duração, prorrogação e exit plan. O contrato deve fixar a duração inicial (12 a 36 meses para managed services, por projeto para desenvolvimento), o regime de prorrogação tácita, o pré-aviso para denúncia (90 dias é o padrão), e — em especial — o exit plan. O exit plan regula a transferência ordenada de operação, dados, credenciais, documentação e know-how para o Cliente ou para um novo prestador no termo, com período mínimo de cooperação (3 a 6 meses) e obrigações específicas do Prestador.

Lei aplicável e foro. O contrato rege-se pela lei portuguesa nos termos do artigo 3.º do Regulamento (CE) 593/2008 (Roma I). Foro: Juízo de Comércio do Tribunal Judicial da Comarca de Lisboa, ou arbitragem CAC-CCIP.

A forms-legal.com disponibiliza este modelo de Contrato de Prestação de Serviços Informáticos em Portugal como ponto de partida operacional. A redação final deve ser revista por advogado inscrito na Ordem dos Advogados, em particular quanto à articulação RGPD-NIS2 e ao regime de exit plan. Documentos relacionados disponíveis no nosso catálogo: Contrato de Desenvolvimento de Software e Contrato SaaS.

O preenchimento do Contrato de Prestação de Serviços Informáticos em Portugal segue uma sequência prática que assegura clareza nos SLAs, na propriedade intelectual sobre o software e nas obrigações RGPD e de cibersegurança.

Primeiro passo: identificar com precisão as partes. Para o Cliente, obtenha a certidão permanente atualizada da Conservatória do Registo Comercial em www.empresaonline.pt. Para o Prestador, exija prova de certificações relevantes (ISO 27001, ISO 9001, SOC 2 Type II, certificações cloud) e regularidade fiscal e contributiva. Para Prestadores estrangeiros, recolha cópia certificada do extrato do registo comercial do país de origem com apostila de Haia.

Segundo passo: definir o tipo e o âmbito dos serviços. Selecione entre desenvolvimento de software à medida, integração de sistemas, cloud (SaaS/IaaS/PaaS), cibersegurança, managed services ou outsourcing de TI. Descreva o âmbito com referência a requisitos funcionais, ambientes cobertos (produção, qualidade, desenvolvimento), entregáveis específicos e critérios de aceitação. Para projetos agile, identifique a metodologia (Scrum, Kanban, SAFe), a duração das sprints, o backlog inicial e o produto mínimo viável (MVP).

Terceiro passo: estabelecer SLAs. Defina indicadores de nível de serviço com metas quantitativas: disponibilidade mínima garantida (99,5% para serviços não críticos, 99,9% para serviços críticos, 99,95% para serviços essenciais); tempo de resposta por categoria de incidente (crítico 15 min, alto 1h, médio 4h, baixo 1 dia útil); tempo de resolução por categoria; taxa máxima de erro; janela de manutenção planeada (tipicamente fora do horário comercial). Defina penalidades por incumprimento (service credits, tipicamente 5% a 25% do fee mensal proporcional ao tempo de incumprimento).

Quarto passo: definir a estrutura de honorários. Selecione entre preço fixo (projeto, recomendado quando o âmbito é estável), time & materials (recomendado para projetos com âmbito evolutivo), subscrição mensal (managed services), ou híbrido. Para projetos de grande dimensão, estruture o pagamento por marco com retenção (tipicamente 10% a 20%) liberada após aceitação final. Para subscrições, identifique o ciclo de faturação (mensal, trimestral) e o período de pré-aviso para alteração tarifária.

Quinto passo: regular a propriedade intelectual sobre o software. Selecione entre cessão integral ao Cliente (incluindo código-fonte, recomendada para software desenvolvido à medida), licença perpétua ao Cliente (mais flexível para Prestador), ou regime misto (software à medida ao Cliente, frameworks reutilizáveis ao Prestador). Para cessão de direitos de autor sobre software, redija a cláusula com a especificidade exigida pelo artigo 14.º do CDADC e pelo Decreto-Lei nº 252/94, identificando direitos cedidos, modalidades, âmbito territorial e temporal, e contraprestação.

Sexto passo: assegurar entrega ou escrow do código-fonte. Para software desenvolvido à medida, exija entrega regular do código-fonte em repositório dedicado (Git privado) com versionamento completo, ou em alternativa depósito em escrow (NCC Group Escrow, EscrowTech ou equivalente) com regras de libertação ao Cliente em caso de insolvência ou cessação do Prestador. Para projetos críticos, recomenda-se cumulativamente entrega contínua e escrow.

Sétimo passo: articular RGPD. Indique o papel do Prestador (subcontratante nos termos do artigo 28.º do RGPD ou responsável conjunto nos termos do artigo 26.º). Identifique a localização do alojamento dos dados (Portugal, UE, países com decisão de adequação da Comissão Europeia, internacional com cláusulas contratuais-tipo aprovadas pela Decisão de Execução UE 2021/914). Inclua cláusulas sobre tipos de dados tratados, finalidades, medidas técnicas e organizativas (encriptação TLS 1.3 em trânsito, AES-256 em repouso, MFA, controlo de acessos por perfil, registo de auditoria), sub-subcontratação, direitos dos titulares, transferências internacionais, notificação de violações em 72 horas à CNPD.

Oitavo passo: cibersegurança e NIS2. Para Clientes que sejam operadores de serviços essenciais (energia, transportes, saúde, finanças, água, infraestrutura digital) ou prestadores de serviços digitais (cloud, marketplaces, motores de busca), articule o contrato com a Lei nº 46/2018 e com a NIS2 (UE 2022/2555 transposta pela Lei nº 6/2025). Defina obrigações de gestão de risco, controlo de acessos, registo de auditoria, plano de resposta a incidentes, notificação de incidentes ao Centro Nacional de Cibersegurança (CNCS) em prazos legais, notificação ao Cliente em 24 horas.

Nono passo: continuidade de negócio. Defina Recovery Point Objective (RPO — tipicamente 1 hora para serviços críticos, 24 horas para serviços não críticos), Recovery Time Objective (RTO — tipicamente 1 hora para serviços críticos, 24 horas para não críticos), regime de backups (frequência diária, retenção mínima 30 dias, backups encriptados em localização separada), planos de recuperação testados periodicamente (teste anual mínimo).

Décimo passo: confidencialidade. Inclua cláusula detalhada de confidencialidade aplicável ao Prestador, com cláusula penal específica nos termos dos artigos 810.º a 812.º do Código Civil. Para projetos de elevada sensibilidade, articule com NDA autónomo prévio. Para acesso de colaboradores do Prestador a sistemas do Cliente, exija termos de adesão individuais, controlo de acessos por colaborador específico, e registo de auditoria.

Décimo primeiro passo: exit plan. Regule a transferência ordenada de operação, dados, credenciais, documentação e know-how para o Cliente ou para um novo prestador no termo do contrato. Defina o período mínimo de cooperação (3 a 6 meses), as obrigações específicas do Prestador (documentação atualizada, formação da equipa de transição, transferência de licenças de software, devolução de dados em formato standard), e os custos da transição (tipicamente a cargo do Cliente, salvo cessação por incumprimento do Prestador).

Décimo segundo passo: lei aplicável e foro. Indique a lei portuguesa como lei reguladora ao abrigo do artigo 3.º do Regulamento Roma I e selecione o Juízo de Comércio do Tribunal Judicial da Comarca de Lisboa, o Tribunal da Propriedade Intelectual em Lisboa para questões específicas de software, ou arbitragem no Centro de Arbitragem Comercial CCIP.

Os requisitos legais do Contrato de Prestação de Serviços Informáticos em Portugal resultam da combinação entre o regime geral dos contratos do Código Civil (DL 47 344/66), o regime específico da prestação de serviço dos artigos 1154.º e seguintes do Código Civil, o Decreto-Lei nº 252/94 sobre proteção jurídica dos programas de computador, o Código do Direito de Autor e dos Direitos Conexos (CDADC, DL 63/85), o Regulamento (UE) 2016/679 (RGPD) com a Lei nº 58/2019, o Regime Jurídico da Segurança do Ciberespaço (Lei nº 46/2018), a Diretiva NIS2 (UE 2022/2555) transposta pela Lei nº 6/2025, e o Decreto-Lei nº 62/2013 sobre atrasos de pagamento.

Capacidade. As partes devem ter capacidade jurídica para contratar nos termos dos artigos 67.º a 130.º do Código Civil. Para o Cliente pessoa coletiva, a vinculação faz-se pelos órgãos com poderes confirmados pela certidão permanente da Conservatória do Registo Comercial. Para o Prestador, é exigida inscrição com CAE adequado (ex.: 6201 — Atividades de programação informática; 6202 — Atividades de consultoria em informática; 6203 — Gestão e exploração de equipamento informático).

Forma. O artigo 219.º do Código Civil consagra o princípio da consensualidade — o contrato não exige escritura pública nem forma solene, sendo válido por escrito particular. A forma escrita é exigida para a cessão de direitos de autor sobre software nos termos do artigo 14.º do CDADC. A assinatura eletrónica qualificada com Cartão de Cidadão ou Chave Móvel Digital ou plataformas equivalentes (DocuSign com certificado qualificado) tem o mesmo valor da assinatura manuscrita ao abrigo do artigo 25.º do Regulamento (UE) 910/2014 (eIDAS) e do Decreto-Lei nº 12/2021.

Objeto. O objeto — os serviços informáticos a prestar — deve ser determinado ou determinável e lícito nos termos dos artigos 280.º e 281.º do Código Civil. A definição vaga é considerada nula por indeterminabilidade.

Proteção do software. O Decreto-Lei nº 252/94 (transposição da Diretiva 2009/24/CE) regula especificamente a proteção jurídica dos programas de computador, considerando-os obras literárias para efeitos do CDADC. O artigo 3.º nº 3 do DL 252/94 estabelece presunção de titularidade do encomendante quando o software seja desenvolvido por encomenda no quadro de contrato de trabalho ou de prestação de serviços, salvo estipulação em contrário. Esta presunção é favorável ao Cliente mas deve ser confirmada por cláusula expressa para evitar interpretações divergentes. Os direitos morais do autor pessoa singular (paternidade, integridade) subsistem nos termos do artigo 9.º do DL 252/94.

Proteção de dados pessoais (RGPD). Quando o Prestador trate dados pessoais do Cliente, é exigido contrato de subcontratação ao abrigo do artigo 28.º do RGPD com conteúdo mínimo: objeto, duração, natureza e finalidade do tratamento, tipo de dados, categorias de titulares, obrigações do subcontratante. As medidas técnicas e organizativas devem cumprir o artigo 32.º do RGPD. As violações são notificadas à CNPD em 72 horas (artigo 33.º). As coimas administrativas previstas no artigo 83.º podem atingir 20 milhões de euros ou 4% do volume de negócios anual mundial. As transferências internacionais para fora do Espaço Económico Europeu requerem garantias adicionais ao abrigo do artigo 46.º do RGPD, designadamente cláusulas contratuais-tipo aprovadas pela Decisão de Execução (UE) 2021/914 da Comissão Europeia.

Cibersegurança (Lei nº 46/2018 e NIS2). O Regime Jurídico da Segurança do Ciberespaço (Lei nº 46/2018) impõe aos operadores de serviços essenciais e aos prestadores de serviços digitais obrigações de gestão de risco, notificação de incidentes ao Centro Nacional de Cibersegurança (CNCS) em prazos curtos (incidentes significativos: notificação inicial em 24 horas, notificação intermédia em 72 horas, relatório final em 1 mês). A Diretiva NIS2 (UE 2022/2555) transposta pela Lei nº 6/2025 alarga significativamente o âmbito subjetivo (médias e grandes empresas em sectores críticos), reforça as obrigações de gestão de risco e introduz responsabilidade pessoal do conselho de administração. As coimas podem atingir 10 milhões de euros ou 2% do volume de negócios anual para entidades essenciais, e 7 milhões de euros ou 1,4% para entidades importantes.

Responsabilidade civil. A limitação de responsabilidade é admissível ao abrigo do princípio da liberdade contratual do artigo 405.º do Código Civil, com a exceção crítica do artigo 800.º nº 2 do Código Civil que considera nula qualquer cláusula que exclua ou limite a responsabilidade por dolo ou culpa grave. Os limites em contratos de TI portugueses situam-se tipicamente entre 100% e 200% do fee anual.

Atrasos de pagamento. O Decreto-Lei nº 62/2013 (transposição da Diretiva 2011/7/UE) impõe prazo máximo de pagamento de 30 dias entre empresas (60 dias por acordo expresso). Em caso de mora, juros à taxa supletiva legal acrescida de 8 pontos percentuais e indemnização forfetária mínima de 40 € por fatura.

Prescrição. A ação por cumprimento do contrato e por responsabilidade contratual prescreve em 20 anos nos termos do artigo 309.º do Código Civil. A ação por responsabilidade extracontratual prescreve em 3 anos a contar do conhecimento do direito, nos termos do artigo 498.º do mesmo Código.

Os erros mais frequentes na celebração do Contrato de Prestação de Serviços Informáticos em Portugal comprometem a executoriedade do contrato e expõem as partes a litígios sobre SLAs, propriedade intelectual sobre software, RGPD e cibersegurança.

SLAs vagos ou não auditáveis. A redação do tipo 'esforços razoáveis para garantir a disponibilidade' não permite avaliar objetivamente o desempenho nem fundamentar resolução por incumprimento. A solução é definir SLAs com metas quantitativas precisas (disponibilidade mínima 99,9%, tempo de resposta crítico 15 min, tempo de resolução crítico 1h), fontes de dados auditáveis (ferramentas de monitoring de terceiros como Datadog, New Relic, Pingdom), e penalidades pré-fixadas por incumprimento (service credits proporcionais ao fee mensal).

Omissão da cessão expressa de código-fonte. Confiar apenas na presunção do artigo 3.º nº 3 do DL 252/94 sem cláusula expressa de cessão integral é arriscado — interpretações divergentes podem deixar o Cliente refém do Prestador para qualquer modificação ou manutenção futura. A solução é incluir cláusula de cessão integral expressa, identificar os direitos cedidos com a especificidade exigida pelo artigo 14.º do CDADC, e exigir entrega regular do código-fonte em repositório dedicado (Git privado) com versionamento completo.

Falta de escrow para projetos críticos. Para software crítico para o negócio, a ausência de escrow notarial ou em entidade especializada (NCC Group Escrow, EscrowTech) deixa o Cliente exposto ao risco de insolvência ou cessação do Prestador, sem possibilidade de aceder ao código-fonte para continuidade da operação. A solução é exigir cumulativamente entrega contínua em Git privado e depósito em escrow com regras claras de libertação.

Falta de articulação RGPD-Decisão 2021/914. Para alojamento de dados em fornecedores cloud com infraestrutura fora do Espaço Económico Europeu (AWS, GCP, Azure regiões US), a omissão das cláusulas contratuais-tipo aprovadas pela Decisão de Execução (UE) 2021/914 da Comissão Europeia viola o artigo 46.º do RGPD. A CNPD tem aplicado coimas em casos de transferências internacionais sem garantias adequadas. A solução é incluir as cláusulas contratuais-tipo no Anexo do contrato, com a categoria adequada (Module One Controller-to-Controller, Module Two Controller-to-Processor, etc.) e completar com avaliação de impacto da transferência (TIA) quando exigível.

Omissão das obrigações NIS2 para operadores de serviços essenciais. Para Clientes que sejam operadores de serviços essenciais (energia, transportes, saúde, finanças, água, infraestrutura digital) ou prestadores de serviços digitais (cloud, marketplaces, motores de busca), a omissão das obrigações da Lei nº 46/2018 e da NIS2 (UE 2022/2555 transposta pela Lei nº 6/2025) expõe o Cliente a coimas até 10 milhões de euros ou 2% do volume de negócios anual, e responsabilidade pessoal dos administradores. A solução é incluir cláusulas específicas sobre gestão de risco, notificação de incidentes ao CNCS em 24h/72h/1 mês, controlo de acessos, registo de auditoria.

Limitação de responsabilidade nula por incluir dolo e culpa grave. As cláusulas que excluem ou limitam a responsabilidade por dolo ou culpa grave são nulas nos termos do artigo 800.º nº 2 do Código Civil. A redação 'o Prestador não responde por quaisquer danos, qualquer que seja o seu título' é juridicamente inválida. A solução é redigir a cláusula limitativa com ressalva expressa: 'salvo nos casos de dolo ou culpa grave, em que se aplica responsabilidade ilimitada nos termos do artigo 800.º nº 2 do Código Civil'.

Ausência de exit plan detalhado. A omissão do regime de saída no termo do contrato gera litígios sobre transferência de operação, dados, credenciais e know-how, com risco de paralisação operacional do Cliente. A solução é incluir exit plan detalhado com período mínimo de cooperação (3 a 6 meses), obrigações específicas do Prestador (documentação atualizada, formação da equipa de transição, transferência de licenças, devolução de dados em formato standard), e custos da transição.

Falta de garantias sobre vulnerabilidades de segurança. Em projetos de desenvolvimento à medida, a ausência de garantia explícita de ausência de vulnerabilidades conhecidas (OWASP Top 10, CWE Top 25) deixa o Cliente exposto a riscos de ciberataque pós-deploy. A solução é exigir garantia contratual de ausência de vulnerabilidades críticas e altas conhecidas no momento da entrega, com obrigação do Prestador de remediar em prazos curtos (críticas 24h, altas 72h, médias 1 semana) durante o período de garantia (tipicamente 12 meses).