Pedido de Portabilidade de Dados (RGPD) em Portugal

O Pedido de Portabilidade de Dados (RGPD) é o documento pessoal usado em Portugal nos termos de Regulamento (UE) 2016/679 (RGPD) artigo 20.º.

O direito à portabilidade dos dados é uma das novidades fundamentais do RGPD em vigor desde 25 de Maio de 2018 e responde à filosofia de empoderamento do titular consagrada no Considerando 7 do Regulamento. O Artigo 20.º nº 1 do RGPD enuncia o direito em três componentes interligadas: o direito a receber os dados pessoais (componente passiva); o direito a transmitir os dados a outro responsável (componente ativa, com transmissão pelo próprio titular); e o direito a que os dados sejam transmitidos diretamente entre responsáveis quando tecnicamente possível, conforme Artigo 20.º nº 2 (componente ativa com transmissão direta). Este direito visa facilitar a mobilidade do titular entre prestadores de serviço — designadamente em telecomunicações, banca, seguros, energia, plataformas digitais — e fomentar a concorrência no mercado interno digital.

As condições de exercício do direito estão delimitadas pelo Artigo 20.º nº 1 do RGPD. Em primeiro lugar, o tratamento deve basear-se em consentimento (Artigo 6.º nº 1 alínea a) ou em contrato (Artigo 6.º nº 1 alínea b) — não estão abrangidos os tratamentos baseados em obrigação legal, interesse vital, missão de interesse público, ou interesse legítimo. Em segundo lugar, o tratamento deve ser efetuado por meios automatizados — estão excluídos os arquivos em papel não estruturados em base de dados. Em terceiro lugar, os dados em causa devem ser dados "que lhe digam respeito" e que o titular tenha "fornecido" ao responsável — abrange dados ativamente fornecidos pelo titular (formulários, registos de utilização) e dados "observados" pelo responsável a partir da utilização do serviço (histórico de transações, dados de geolocalização gerados pelo dispositivo do utilizador), mas não abrange dados "derivados" ou "inferidos" criados pelo responsável a partir de análise (perfis, scoring de risco), conforme orientação WP242 do Grupo de Trabalho do Artigo 29.º (atualmente Comité Europeu para a Proteção de Dados — CEPD).

O formato dos dados portados é regulado pelo Artigo 20.º nº 1 do RGPD e pelas Orientações WP242 do CEPD. O responsável deve disponibilizar os dados num formato "estruturado, de uso corrente e de leitura automática" — exemplos típicos são CSV, JSON, XML ou outros formatos abertos compatíveis com sistemas de informação genéricos. Não cumprem o requisito formatos proprietários ou de difícil leitura por sistemas terceiros (PDF imagem, formatos de software específico). O Considerando 68 do RGPD encoraja os responsáveis a desenvolverem formatos interoperáveis, mas não impõe a sua adoção. Em sectores regulados, autoridades sectoriais (ANACOM para telecomunicações, Banco de Portugal para serviços de pagamento) podem estabelecer formatos sectoriais comuns.

O Artigo 12.º do RGPD estabelece o regime do exercício do direito. O responsável deve responder ao pedido sem demora injustificada e o mais tardar no prazo de um mês a contar da receção do pedido (prorrogável até dois meses adicionais em casos complexos, mediante comunicação fundamentada ao titular no prazo inicial). A resposta deve ser gratuita, exceto quando os pedidos sejam manifestamente infundados ou excessivos, designadamente devido ao seu carácter repetitivo, caso em que o responsável pode cobrar taxa razoável ou recusar dar seguimento. O responsável deve fornecer informação sobre as medidas tomadas e, em caso de recusa, fundamentar e informar o titular dos seus direitos de reclamação à Comissão Nacional de Proteção de Dados (CNPD) e de ação judicial perante o Tribunal Administrativo competente.

A Comissão Nacional de Proteção de Dados (CNPD), instituída pelo Artigo 35.º da Constituição da República Portuguesa e regulada pela Lei nº 58/2019, é a autoridade de supervisão competente em Portugal nos termos do Artigo 51.º do RGPD. As reclamações por violação do direito à portabilidade são apresentadas perante a CNPD nos termos do Artigo 77.º do RGPD e do Artigo 4.º da Lei nº 43/2004. A CNPD pode aplicar coimas administrativas até 20 milhões de euros ou 4% do volume de negócios anual mundial nos termos do Artigo 83.º nº 5 do RGPD em caso de violação. A forms-legal.com disponibiliza este modelo como ponto de partida adaptável.

O Pedido de Portabilidade de Dados (RGPD) em Portugal é necessário sempre que o titular dos dados pessoais pretenda exercer o direito de portabilidade consagrado no Artigo 20.º do Regulamento (UE) 2016/679 perante um responsável pelo tratamento, designadamente para mudança de prestador de serviços, transferência de histórico para nova plataforma, ou simples obtenção de cópia estruturada dos dados pessoais para utilização em ferramentas próprias.

Na mudança de operador de telecomunicações eletrónicas (operadores móveis e fixos como MEO, NOS, Vodafone, NOWO), o titular pode pedir a portabilidade dos dados de utilização — histórico de chamadas, mensagens, dados de utilização de Internet, registos de localização — para análise comparativa de planos ou para transferência para o novo operador. A portabilidade do número telefónico é regulada autonomamente pela Autoridade Nacional de Comunicações (ANACOM) ao abrigo do Regulamento (UE) 2018/1971, mas a portabilidade dos dados pessoais associados (faturas, histórico de utilização, preferências) segue o regime do RGPD.

Na mudança de instituição de crédito ou de prestador de serviços de pagamento, o titular pode pedir a portabilidade dos dados de movimentos bancários, histórico de transações, perfil de utilização. Em complemento, a Diretiva (UE) 2015/2366 (PSD2), transposta pelo Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (Decreto-Lei nº 91/2018 de 12 de Novembro), impõe regime específico de partilha de dados de conta com prestadores terceiros de serviços de informação sobre contas (Account Information Service Providers — AISP) e de iniciação de pagamentos (Payment Initiation Service Providers — PISP), supervisionados pelo Banco de Portugal. A portabilidade RGPD complementa estes regimes para dados não cobertos pela PSD2.

Na mudança de prestador de serviços de saúde privado, o titular pode pedir a portabilidade do histórico clínico digitalizado para entrega ao novo prestador ou para arquivo pessoal. A Direção-Geral da Saúde (DGS) e a Entidade Reguladora da Saúde (ERS) têm desenvolvido orientações sectoriais sobre portabilidade de dados clínicos, em articulação com a CNPD. O regime da portabilidade RGPD aplica-se sem prejuízo de regimes específicos sobre conservação obrigatória de processos clínicos pelo prestador (designadamente o regime do processo clínico hospitalar regulamentado pelo Decreto Regulamentar nº 23/85 de 5 de Abril e legislação subsequente).

Na mudança de plataforma digital ou rede social, o titular pode pedir a portabilidade dos dados gerados pela sua atividade — publicações, mensagens, contactos, conteúdos carregados, preferências. Plataformas designadas como "gatekeepers" pelo Regulamento (UE) 2022/1925 (Digital Markets Act — DMA) têm obrigações específicas reforçadas de portabilidade contínua e em tempo real, em complemento ao RGPD.

Na mudança de prestador de serviços energéticos (eletricidade, gás), o titular pode pedir a portabilidade do histórico de consumos, faturas e perfil de utilização. A Entidade Reguladora dos Serviços Energéticos (ERSE) e os Operadores das Redes de Distribuição de eletricidade (E-REDES) e gás natural (REN) facilitam a transferência por força de regimes sectoriais que se articulam com o RGPD.

Na mudança de empregador ou na cessação do contrato de trabalho, o trabalhador pode pedir a portabilidade dos dados de avaliação de desempenho, formação profissional e currículo internalizado em sistemas de gestão de recursos humanos do anterior empregador, sem prejuízo dos regimes laborais específicos sobre conservação de dados pelo empregador previstos no Código do Trabalho (Lei nº 7/2009) e na lei.

Na cessação de uma relação contratual de utilização de plataforma digital com a qual o titular tenha celebrado contrato, a portabilidade pode ser exercida em paralelo ou independentemente do exercício do direito ao apagamento (Artigo 17.º do RGPD), permitindo ao titular conservar cópia dos dados antes da eliminação pelo responsável.

Na preparação de um processo judicial ou administrativo em que os dados sejam relevantes como meio de prova, o titular pode pedir a portabilidade para obter cópia estruturada que possa ser apresentada como documento probatório, sem prejuízo das regras processuais sobre obtenção de prova ao abrigo do Código de Processo Civil ou do Código de Processo Administrativo.

Na preparação de uma reclamação à CNPD ou de uma ação judicial contra o responsável pelo tratamento, a portabilidade permite ao titular obter cópia da informação de que o responsável dispõe a seu respeito, complementarmente ao direito de acesso previsto no Artigo 15.º do RGPD.

Um Pedido de Portabilidade de Dados (RGPD) em Portugal juridicamente eficaz, para fundamentar o exercício do direito perante o responsável pelo tratamento e perante a Comissão Nacional de Proteção de Dados (CNPD) ao abrigo do Artigo 20.º do RGPD, deve conter um conjunto preciso de elementos formais e substanciais.

Identificação completa do titular dos dados. Nome civil completo conforme Cartão de Cidadão, número de identificação civil (campo CC do cartão), número de identificação fiscal (NIF), data de nascimento, morada com código postal NNNN-NNN, contacto de correio eletrónico e contacto telefónico. A identificação rigorosa permite ao responsável pelo tratamento associar inequivocamente o pedido aos dados pessoais detidos e cumprir o dever de verificação da identidade do requerente previsto no Artigo 12.º nº 6 do RGPD. Quando o responsável tenha dúvidas razoáveis sobre a identidade, pode solicitar elementos adicionais necessários e proporcionados (cópia do Cartão de Cidadão com elementos não relevantes ocultados, código de cliente, número de contrato).

Identificação completa do responsável pelo tratamento. Denominação social do responsável pelo tratamento, número de identificação de pessoa coletiva (NIPC), sede social, endereço postal e endereço de correio eletrónico para comunicações sobre proteção de dados (endereço habitual: [email protected] ou [email protected]), e identificação do encarregado de proteção de dados (DPO) quando aplicável nos termos dos artigos 37.º a 39.º do RGPD. Em Portugal, a designação obrigatória do DPO recai sobre autoridades públicas, responsáveis cuja atividade principal envolva monitorização sistemática em larga escala, e responsáveis cuja atividade principal envolva tratamento em larga escala de categorias especiais de dados ou dados de natureza penal.

Indicação do fundamento legal — Artigo 20.º do RGPD. A invocação expressa do Artigo 20.º do Regulamento (UE) 2016/679 e da Lei nº 58/2019 de 8 de Agosto facilita a apreciação pelo responsável e demonstra o conhecimento jurídico do titular. Recomenda-se referência ao Considerando 68 do RGPD e às Orientações WP242 do Grupo de Trabalho do Artigo 29.º (atualmente Comité Europeu para a Proteção de Dados — CEPD) sobre o âmbito do direito.

Delimitação rigorosa dos dados objeto de portabilidade. O pedido deve identificar com precisão as categorias de dados pessoais cuja portabilidade se requer, designadamente: dados fornecidos pelo titular ao responsável (dados de registo, dados de contacto, dados de pagamento); dados "observados" pelo responsável a partir da utilização do serviço (histórico de transações, registos de acesso, dados de geolocalização gerados pelo dispositivo do utilizador). O pedido deve excluir explicitamente, ou pelo menos identificar separadamente, os dados "derivados" ou "inferidos" criados pelo responsável (perfis, scoring de risco, segmentações comerciais), que não são abrangidos pelo direito conforme orientação WP242 do CEPD. Esta delimitação reduz o risco de recusa parcial pelo responsável.

Indicação do formato pretendido. O Artigo 20.º nº 1 do RGPD exige que o responsável disponibilize os dados num formato "estruturado, de uso corrente e de leitura automática". O pedido deve indicar o formato preferido — designadamente CSV (Comma-Separated Values), JSON (JavaScript Object Notation), XML (eXtensible Markup Language), ou outros formatos abertos compatíveis com sistemas de informação genéricos. Em sectores regulados, podem ser indicados formatos sectoriais comuns (designadamente formatos definidos pela ANACOM para telecomunicações, ou pelo Banco de Portugal para serviços de pagamento). Não cumprem o requisito formatos proprietários ou de difícil leitura por sistemas terceiros (PDF imagem digitalizado, formatos de software específico).

Indicação do destino dos dados. O pedido pode requerer apenas a entrega ao titular ou pode requerer a transmissão direta a outro responsável pelo tratamento nos termos do Artigo 20.º nº 2 do RGPD. Em caso de transmissão direta, o pedido deve identificar o novo responsável (denominação, NIPC, sede, contacto), explicar o contexto da transferência (designadamente mudança de prestador de serviços), e demonstrar a viabilidade técnica da transmissão. Quando a transmissão direta não seja tecnicamente possível, o responsável deve assim o fundamentar e proceder à entrega ao titular.

Indicação do prazo de resposta. O pedido deve recordar o prazo do Artigo 12.º nº 3 do RGPD — resposta sem demora injustificada e o mais tardar no prazo de um mês a contar da receção do pedido. O prazo pode ser prorrogado por dois meses adicionais em casos complexos, mediante comunicação fundamentada ao titular no prazo inicial. A inobservância do prazo constitui violação do RGPD suscetível de reclamação à CNPD e de ação judicial perante o Tribunal Administrativo competente.

Indicação dos meios de comunicação. O pedido deve indicar o canal preferido para a entrega dos dados (correio eletrónico para morada do titular, descarga em portal seguro do responsável com credenciais de acesso, suporte físico encriptado entregue por correio registado, transmissão direta a outro responsável). O canal escolhido deve ter em conta o volume e a sensibilidade dos dados, com aplicação de medidas de segurança adequadas nos termos do Artigo 32.º do RGPD (encriptação em trânsito e em repouso, autenticação forte).

Referência aos direitos de reclamação. O pedido deve recordar o direito do titular a apresentar reclamação à Comissão Nacional de Proteção de Dados (CNPD) ao abrigo do Artigo 77.º do RGPD em caso de incumprimento ou de resposta insatisfatória, e o direito a recurso jurisdicional efetivo perante o Tribunal Administrativo competente nos termos do Artigo 79.º do RGPD.

Local, data e assinatura. Local, data em formato DD/MM/AAAA, assinatura manuscrita do titular ou assinatura eletrónica qualificada com Cartão de Cidadão ou Chave Móvel Digital ao abrigo do Regulamento (UE) 910/2014 (eIDAS) e do Decreto-Lei nº 12/2021. Para reforço probatório, recomenda-se o envio por correio registado com aviso de receção ou por correio eletrónico com confirmação de leitura.

A forms-legal.com disponibiliza este modelo de Pedido de Portabilidade de Dados RGPD em Portugal como ponto de partida adaptável às várias finalidades. Documentos relacionados disponíveis no nosso catálogo: Pedido de Acesso a Dados Pessoais (RGPD) ao abrigo do Artigo 15.º e Pedido de Apagamento de Dados Pessoais (RGPD) ao abrigo do Artigo 17.º.

O preenchimento do Pedido de Portabilidade de Dados (RGPD) em Portugal segue uma sequência prática que reduz o risco de recusa pelo responsável pelo tratamento ou de fundamentação ineficaz em sede de reclamação à Comissão Nacional de Proteção de Dados (CNPD).

Primeiro passo: confirmar o cumprimento dos requisitos do Artigo 20.º do RGPD. Antes de redigir, verifique cumulativamente: (i) o tratamento dos dados em causa tem como base de licitude o consentimento (Artigo 6.º nº 1 alínea a) do RGPD) ou o contrato (Artigo 6.º nº 1 alínea b); (ii) o tratamento é efetuado por meios automatizados; (iii) os dados em causa foram fornecidos pelo titular ou observados a partir da sua utilização do serviço (não inclui dados derivados ou inferidos pelo responsável). Se algum dos requisitos não estiver preenchido, considere antes o exercício do direito de acesso ao abrigo do Artigo 15.º do RGPD.

Segundo passo: identificar o responsável pelo tratamento. Confirme a denominação social, NIPC, sede e canal de contacto para proteção de dados — habitualmente publicado na política de privacidade do website do responsável e em comunicações comerciais. Identifique o encarregado de proteção de dados (DPO) quando aplicável (designadamente em autoridades públicas, responsáveis com monitorização sistemática em larga escala, ou tratamento em larga escala de categorias especiais).

Terceiro passo: reunir os elementos de identificação do titular. Cartão de Cidadão (para extração de número de identificação civil, NIF, validade), comprovativo de morada, número ou código de cliente atribuído pelo responsável (NIB no caso de banco, número de cliente no caso de operador de telecomunicações, número de contrato no caso de prestador de serviços), endereço de correio eletrónico associado ao serviço.

Quarto passo: delimitar com precisão as categorias de dados objeto de portabilidade. Liste por categorias os dados cuja portabilidade se requer: dados de registo (nome, contacto, morada, dados de identificação), dados contratuais (histórico de contratos, planos contratados), dados de utilização (histórico de transações, registos de acesso, conteúdos carregados, mensagens trocadas), dados de pagamento (histórico de faturação). Distinga claramente entre dados fornecidos/observados (abrangidos pelo direito) e dados derivados/inferidos (não abrangidos), conforme orientação WP242 do CEPD. Esta delimitação reduz o risco de recusa parcial.

Quinto passo: indicar o formato pretendido. O Artigo 20.º nº 1 do RGPD exige um formato "estruturado, de uso corrente e de leitura automática". Recomende um ou mais formatos compatíveis: CSV (especialmente adequado para dados tabulares como histórico de transações), JSON (especialmente adequado para dados estruturados em árvore como registos de utilização de plataformas), XML (especialmente adequado para integração com sistemas empresariais). Para dados específicos de sectores regulados, indique formatos sectoriais comuns quando aplicável.

Sexto passo: indicar o destino dos dados. Indique se a entrega é ao próprio titular (em formato eletrónico para correio eletrónico ou para descarga em portal do responsável) ou se requer a transmissão direta a outro responsável pelo tratamento ao abrigo do Artigo 20.º nº 2 do RGPD. Em caso de transmissão direta, identifique o novo responsável (denominação, NIPC, sede, contacto técnico para a transferência) e indique o contexto da transferência. A transmissão direta pressupõe interoperabilidade técnica entre os dois responsáveis — quando esta não exista, o responsável atual deve fundamentar a impossibilidade técnica e proceder à entrega ao titular.

Sétimo passo: recordar os prazos e fundamentos jurídicos. Recorde no pedido o Artigo 12.º nº 3 do RGPD — resposta sem demora injustificada e o mais tardar no prazo de um mês a contar da receção do pedido, prorrogável por dois meses adicionais em casos complexos mediante comunicação fundamentada ao titular no prazo inicial. Recorde a gratuitidade do exercício do direito (Artigo 12.º nº 5 do RGPD), exceto quando os pedidos sejam manifestamente infundados ou excessivos.

Oitavo passo: indicar os meios de comunicação. Indique o canal preferido para a entrega dos dados — correio eletrónico, descarga em portal seguro com credenciais de acesso, suporte físico encriptado entregue por correio registado. Para dados de elevada sensibilidade ou volume significativo, recomenda-se a aplicação de medidas reforçadas de segurança ao abrigo do Artigo 32.º do RGPD (encriptação ponto-a-ponto, autenticação forte, integridade verificável).

Nono passo: recordar os direitos de reclamação. Recorde no pedido o direito a apresentar reclamação à Comissão Nacional de Proteção de Dados (CNPD) ao abrigo do Artigo 77.º do RGPD em caso de incumprimento ou de resposta insatisfatória pelo responsável, e o direito a recurso jurisdicional efetivo perante o Tribunal Administrativo competente nos termos do Artigo 79.º do RGPD. A CNPD pode aplicar coimas administrativas até 20 milhões de euros ou 4% do volume de negócios anual mundial nos termos do Artigo 83.º nº 5 do RGPD.

Décimo passo: assinar e enviar. Assine de forma manuscrita ou utilize assinatura eletrónica qualificada com Cartão de Cidadão ou Chave Móvel Digital ao abrigo do Regulamento (UE) 910/2014 (eIDAS) e do Decreto-Lei nº 12/2021. Envie o pedido por correio registado com aviso de receção ou por correio eletrónico com confirmação de leitura para a morada de proteção de dados do responsável (habitualmente [email protected] ou [email protected]). Conserve cópia datada e prova de receção em arquivo pessoal. Caso o responsável não responda no prazo legal ou responda de forma insatisfatória, apresente reclamação à CNPD através do formulário disponível em www.cnpd.pt.

Os requisitos legais do exercício do direito à portabilidade dos dados pessoais em Portugal resultam da combinação entre o Regulamento (UE) 2016/679 (RGPD) — diretamente aplicável em todos os Estados-Membros desde 25 de Maio de 2018 — e a Lei nº 58/2019 de 8 de Agosto que assegura a sua execução na ordem jurídica portuguesa, com a fiscalização da Comissão Nacional de Proteção de Dados (CNPD) ao abrigo do Artigo 51.º do RGPD.

Âmbito subjetivo. O Artigo 20.º nº 1 do RGPD reconhece o direito ao titular dos dados, definido no Artigo 4.º nº 1 do RGPD como pessoa singular identificada ou identificável. O direito não se aplica a pessoas coletivas (sociedades, associações, fundações), ainda que a Lei nº 58/2019 reconheça, no seu Artigo 7.º, certas garantias paralelas a pessoas coletivas em matéria de comunicações eletrónicas.

Âmbito objetivo. O Artigo 20.º nº 1 do RGPD aplica-se cumulativamente quando: (a) o tratamento se baseie em consentimento ao abrigo do Artigo 6.º nº 1 alínea a) ou no consentimento explícito do Artigo 9.º nº 2 alínea a) para categorias especiais de dados, ou em contrato ao abrigo do Artigo 6.º nº 1 alínea b); (b) o tratamento seja efetuado por meios automatizados. Estão excluídos os tratamentos baseados em obrigação legal (alínea c)), interesse vital (alínea d)), missão de interesse público (alínea e)) ou interesse legítimo (alínea f)) — para estes, os titulares dispõem do direito de acesso (Artigo 15.º) mas não da portabilidade. Estão também excluídos os tratamentos não automatizados ou em arquivos não estruturados em base de dados.

Dados abrangidos. Conforme orientação WP242 do Grupo de Trabalho do Artigo 29.º (atualmente Comité Europeu para a Proteção de Dados — CEPD), o direito abrange os dados "fornecidos" pelo titular, conceito que inclui: dados ativamente fornecidos pelo titular através de formulários, registos, pedidos de adesão; dados "observados" pelo responsável a partir da utilização do serviço (histórico de transações, registos de acesso, dados de geolocalização gerados pelo dispositivo do utilizador, dados de utilização de wearables). Não estão abrangidos os dados "derivados" ou "inferidos" criados pelo responsável a partir de análise (perfis psicográficos, scoring de risco, segmentações comerciais, resultados de inteligência artificial). Esta distinção é frequentemente objeto de litígio entre titulares e responsáveis.

Direitos do titular. O Artigo 20.º do RGPD enuncia três componentes do direito: (i) receber os dados num formato estruturado, de uso corrente e de leitura automática (componente passiva); (ii) transmitir esses dados a outro responsável pelo tratamento sem que o responsável a quem foram fornecidos o possa impedir (componente ativa, com transmissão pelo próprio titular); (iii) que os dados sejam transmitidos diretamente entre responsáveis quando tecnicamente possível (componente ativa com transmissão direta, Artigo 20.º nº 2). O exercício do direito não pode prejudicar os direitos e liberdades de terceiros (Artigo 20.º nº 4).

Obrigações do responsável pelo tratamento. O Artigo 12.º do RGPD estabelece o regime do exercício do direito. O responsável deve: (a) responder sem demora injustificada e o mais tardar no prazo de um mês a contar da receção do pedido (Artigo 12.º nº 3), prorrogável por dois meses adicionais em casos complexos mediante comunicação fundamentada ao titular no prazo inicial; (b) responder gratuitamente, exceto quando os pedidos sejam manifestamente infundados ou excessivos, designadamente devido ao seu carácter repetitivo, caso em que pode cobrar taxa razoável ou recusar dar seguimento (Artigo 12.º nº 5); (c) verificar a identidade do requerente, podendo solicitar elementos adicionais necessários e proporcionados quando tenha dúvidas razoáveis (Artigo 12.º nº 6); (d) fornecer a informação por meios eletrónicos quando o pedido seja apresentado por meios eletrónicos, salvo solicitação em contrário do titular (Artigo 12.º nº 3); (e) em caso de recusa, fundamentar e informar o titular dos seus direitos de reclamação à CNPD e de recurso jurisdicional (Artigo 12.º nº 4); (f) tomar medidas técnicas e organizativas adequadas à segurança dos dados portados nos termos do Artigo 32.º do RGPD (encriptação em trânsito e em repouso, autenticação forte).

Formato dos dados. O Artigo 20.º nº 1 do RGPD exige formato "estruturado, de uso corrente e de leitura automática". O Considerando 68 do RGPD encoraja os responsáveis a desenvolverem formatos interoperáveis, mas não impõe a sua adoção. Em sectores regulados, autoridades sectoriais podem estabelecer formatos sectoriais comuns: ANACOM para telecomunicações ao abrigo do Regulamento (UE) 2018/1971 e do Regime Jurídico das Comunicações Eletrónicas (Lei nº 16/2022 de 16 de Agosto); Banco de Portugal para serviços de pagamento ao abrigo da PSD2 (Diretiva (UE) 2015/2366) e do Decreto-Lei nº 91/2018 de 12 de Novembro.

Limites do direito. O Artigo 20.º nº 4 do RGPD estabelece que o exercício do direito não pode prejudicar os direitos e liberdades de terceiros — designadamente quando os dados pessoais a portar incluam informação sobre outros titulares (correspondência com terceiros, fotografias com terceiros). O Considerando 68 esclarece que o direito não cria obrigação para o responsável de adotar ou manter sistemas de tratamento tecnicamente compatíveis. O Artigo 23.º do RGPD admite restrições por medidas legislativas dos Estados-Membros para salvaguarda de objetivos de interesse público, mas em Portugal a Lei nº 58/2019 não consagra restrições significativas ao direito à portabilidade.

Reclamação à CNPD. O Artigo 77.º do RGPD reconhece ao titular o direito de apresentar reclamação à Comissão Nacional de Proteção de Dados (CNPD) em caso de violação do RGPD. A CNPD aprecia as reclamações nos termos do Artigo 78.º do RGPD e dos artigos 4.º e seguintes da Lei nº 43/2004 de 18 de Agosto sobre organização e funcionamento da CNPD. As reclamações são apresentadas através de formulário próprio disponível em www.cnpd.pt.

Recurso jurisdicional. O Artigo 79.º do RGPD reconhece ao titular o direito a recurso jurisdicional efetivo, exercido em Portugal perante o Tribunal Administrativo competente nos termos da Lei do Tribunal Administrativo (Lei nº 13/2002 de 19 de Fevereiro) e do Código de Processo nos Tribunais Administrativos (CPTA, Lei nº 15/2002 de 22 de Fevereiro), com possibilidade de pedido de indemnização por danos materiais e não patrimoniais ao abrigo do Artigo 82.º do RGPD.

Sanções. A violação do direito à portabilidade pode dar lugar à aplicação de coimas administrativas pela CNPD até 20 milhões de euros ou 4% do volume de negócios anual mundial nos termos do Artigo 83.º nº 5 do RGPD, e a sanções acessórias previstas no Artigo 38.º da Lei nº 58/2019.

Os erros mais frequentes na elaboração do Pedido de Portabilidade de Dados (RGPD) em Portugal podem comprometer a apreciação pelo responsável pelo tratamento, conduzir a recusa fundamentada ou a recusa parcial, ou enfraquecer a posição do titular em sede de reclamação à Comissão Nacional de Proteção de Dados (CNPD).

Pedido de portabilidade fora do âmbito do Artigo 20.º do RGPD. Muitos titulares apresentam pedidos de portabilidade quando o tratamento dos dados em causa não tem como base de licitude o consentimento (Artigo 6.º nº 1 alínea a) do RGPD) nem o contrato (Artigo 6.º nº 1 alínea b), mas antes a obrigação legal, o interesse vital, a missão de interesse público ou o interesse legítimo. Nestes casos, o responsável recusa fundamentadamente o pedido. A solução é avaliar previamente a base de licitude (publicada na política de privacidade do responsável) e, em caso de não cumprimento dos requisitos, optar pelo direito de acesso ao abrigo do Artigo 15.º do RGPD que tem âmbito mais alargado.

Delimitação vaga ou abrangente em excesso dos dados objeto de portabilidade. Pedidos genéricos como "quero todos os meus dados" não permitem ao responsável apreciar com rigor o âmbito do pedido e podem conduzir a recusa parcial ou a entrega de dados não pertinentes. A solução é enumerar com precisão as categorias de dados (dados de registo, dados contratuais, dados de utilização, dados de pagamento) e distinguir claramente entre dados fornecidos/observados (abrangidos pelo direito) e dados derivados/inferidos (não abrangidos), conforme orientação WP242 do Comité Europeu para a Proteção de Dados (CEPD).

Ausência de indicação do formato pretendido. A omissão da indicação do formato pode conduzir o responsável a entregar os dados em formato proprietário ou de difícil leitura por sistemas terceiros, frustrando a finalidade da portabilidade. A solução é indicar expressamente um ou mais formatos compatíveis com sistemas genéricos: CSV, JSON, XML, ou formatos sectoriais comuns quando aplicável (designadamente formatos definidos pela ANACOM para telecomunicações ou pelo Banco de Portugal para serviços de pagamento).

Falta de identificação do destino dos dados em caso de transmissão direta. Quando o titular pretenda exercer o direito à transmissão direta entre responsáveis ao abrigo do Artigo 20.º nº 2 do RGPD, a omissão da identificação do novo responsável (denominação, NIPC, sede, contacto técnico) impossibilita a operacionalização. A solução é identificar com precisão o novo responsável e, sempre que possível, fornecer a referência da equipa técnica que se ocupará da transferência.

Falta de prova da identidade. O Artigo 12.º nº 6 do RGPD permite ao responsável solicitar elementos adicionais para verificação da identidade do requerente quando tenha dúvidas razoáveis. A omissão de elementos identificativos pode atrasar significativamente a resposta. A solução é incluir no pedido cópia do Cartão de Cidadão (com elementos não relevantes ocultados — designadamente fotografia, número de Segurança Social), número ou código de cliente atribuído pelo responsável, e endereço de correio eletrónico associado ao serviço.

Envio para canal incorreto. Muitos pedidos são enviados para morada de correio eletrónico geral ([email protected]) ou para serviço de apoio ao cliente, atrasando o encaminhamento para a equipa de proteção de dados. A solução é identificar a morada específica para proteção de dados (habitualmente [email protected] ou [email protected]), publicada na política de privacidade do responsável.

Falta de prazo expresso e referência ao prazo legal. A omissão de referência expressa ao prazo legal de um mês previsto no Artigo 12.º nº 3 do RGPD enfraquece a posição do titular em caso de inércia do responsável. A solução é recordar expressamente no pedido o prazo do Artigo 12.º nº 3 do RGPD e indicar a intenção de apresentar reclamação à CNPD em caso de incumprimento.

Falta de prova de envio e de receção. A apresentação do pedido sem obtenção de prova de receção pelo responsável dificulta a fundamentação posterior em sede de reclamação à CNPD. A solução é enviar por correio registado com aviso de receção ou por correio eletrónico com confirmação de leitura, e conservar prova em arquivo pessoal por pelo menos 5 anos (prazo geral de prescrição da contraordenação por violação do RGPD nos termos do regime aplicável).

Duplicação com outros direitos do titular. Alguns titulares apresentam simultaneamente pedidos de acesso (Artigo 15.º), retificação (Artigo 16.º), apagamento (Artigo 17.º), portabilidade (Artigo 20.º) e oposição (Artigo 21.º) num único documento, gerando confusão sobre o âmbito de cada pedido. A solução é apresentar pedidos autónomos para cada direito, ou estruturar o pedido único em secções claramente identificadas com referência ao artigo aplicável e ao âmbito específico de cada componente.