Dossia
Pedir POC de 14 dias

RGPD para intermediários de crédito: como tratar os documentos dos seus clientes

Base legal, minimização, prazos de conservação e direitos dos titulares: o guia prático de RGPD para intermediários de crédito que recolhem documentos de clientes todos os dias.

Cover Image for RGPD para intermediários de crédito: como tratar os documentos dos seus clientes

Em resumo: um intermediário de crédito trata diariamente dados pessoais sensíveis — recibos de vencimento, extratos bancários, mapas de responsabilidades, documentos de identificação. O RGPD e a Lei n.º 58/2019 exigem uma base legal clara para cada tratamento, recolha mínima, prazos de conservação definidos, resposta aos direitos dos titulares e contratos com todos os subcontratantes. Recolher tudo por email e guardar em pastas partilhadas é, na prática, o maior risco de incumprimento do setor.

Com cerca de 6.200 intermediários de crédito registados no Banco de Portugal e mais de metade do crédito habitação a passar por intermediários, o volume de documentos pessoais em circulação é enorme. Este guia resume o que precisa de ter em ordem.

A base legal: porque pode tratar estes dados

O RGPD exige que cada tratamento assente numa base legal do artigo 6.º. Para um intermediário de crédito, as mais relevantes são:

  • Execução de contrato ou diligências pré-contratuais — recolher os documentos necessários para montar e apresentar o processo de crédito do cliente.
  • Obrigação legal — deveres impostos pelo regime jurídico dos intermediários de crédito (DL 81-C/2017) e, quando aplicável, pela legislação de prevenção do branqueamento de capitais.
  • Consentimento — apenas para tratamentos acessórios (por exemplo, comunicações de marketing), nunca como base para a recolha de documentos do processo.

Erro comum: pedir "consentimento para tudo". O consentimento é revogável a qualquer momento; se for a sua única base legal para o processo de crédito, fica com um problema no dia em que o cliente o retirar.

Minimização: peça só o que o banco vai pedir

O princípio da minimização (artigo 5.º do RGPD) obriga a recolher apenas os dados adequados, pertinentes e limitados ao necessário. Na prática:

  • Use uma checklist por perfil de cliente (conta de outrem, independente, não residente) em vez de pedir "tudo o que tiver". Uma boa referência é a nossa checklist de documentos para crédito habitação.
  • Não acumule versões e duplicados — substitua o documento errado, não o some à pilha.
  • Não peça documentos "por precaução" que nenhum banco do processo vai exigir.

Prazos de conservação: quanto tempo pode guardar

O RGPD não fixa prazos únicos — exige que os defina e os cumpra. Para um intermediário de crédito, os referenciais habituais são:

Tipo de documentoPrazo de referênciaFundamento
Documentos do processo de crédito concluídoDuração da relação + prazo de prescrição civil (em regra, até 20 anos para responsabilidade contratual; muitos operadores adotam prazos mais curtos justificados)Defesa em litígio
Documentos de identificação (deveres de prevenção de branqueamento, quando aplicáveis)7 anos após o fim da relaçãoLei n.º 83/2017
Processos não concluídos / propostas recusadasPrazo curto e definido (meses, não anos)Minimização
Comunicações comerciais e leadsAté retirada do consentimento ou inatividade prolongadaConsentimento

Estes prazos devem constar da sua política de conservação e ser confirmados caso a caso — em caso de dúvida, confirme junto da CNPD e do Banco de Portugal / Portal do Cliente Bancário.

O ponto crítico: definir um prazo implica conseguir apagá-los. Se os documentos estão espalhados por caixas de email, WhatsApp e pastas partilhadas, não consegue garantir o apagamento — e isso é, em si, um incumprimento.

Porque o email e as pastas partilhadas são um risco

A forma como a maioria dos intermediários recolhe documentos hoje é exatamente a que o RGPD desaconselha:

  • Email: o documento fica em pelo menos quatro sítios (caixa do cliente, servidores de envio, a sua caixa, o seu arquivo). Nenhum deles tem prazo de conservação, e o reenvio interno multiplica as cópias.
  • WhatsApp: cópias no telemóvel pessoal, backups automáticos em clouds fora da UE, sem qualquer controlo de acessos.
  • Pastas partilhadas genéricas: links partilhados "com quem tiver o link", permissões que ninguém revê, documentos de clientes antigos misturados com processos ativos.

Em caso de violação de dados (artigo 33.º), tem 72 horas para notificar a CNPD — e precisa de saber exatamente que dados foram expostos. Com documentos dispersos, é praticamente impossível responder.

Direitos dos titulares: o que o cliente lhe pode exigir

O seu cliente pode, a qualquer momento, exercer os direitos dos artigos 15.º a 22.º:

  • Acesso: saber que documentos tem sobre ele e para quê.
  • Retificação: corrigir dados desatualizados.
  • Apagamento: pedir a eliminação quando os dados já não são necessários (respeitando as obrigações legais de conservação).
  • Portabilidade e oposição, conforme a base legal.

Tem, em regra, um mês para responder. Pergunta-teste: se um cliente de 2023 lhe pedir hoje "apaguem tudo o que têm sobre mim", consegue localizar e eliminar todas as cópias em menos de um mês?

Subcontratantes e alojamento na UE

Qualquer ferramenta onde guarde documentos de clientes — email, cloud, CRM, portal de documentos — é um subcontratante (artigo 28.º). Isso exige:

  1. Um contrato de subcontratação (DPA) assinado com cada fornecedor.
  2. Garantias sobre a localização dos dados: alojamento na UE evita o quebra-cabeças das transferências internacionais pós-Schrems II.
  3. Um registo atualizado de quem trata o quê (registo de atividades de tratamento, artigo 30.º).

Se o fornecedor não diz claramente onde aloja os dados nem assina DPA, não o deve usar para documentos de clientes.

Checklist de conformidade em 8 pontos

  1. Base legal identificada e documentada para cada tipo de tratamento.
  2. Checklist de documentos por perfil de cliente — recolha mínima, nada "por precaução".
  3. Política de conservação escrita, com prazos por tipo de documento.
  4. Capacidade real de apagar todos os documentos de um cliente num único sítio.
  5. Informação de privacidade entregue ao cliente no primeiro contacto.
  6. Procedimento para responder a pedidos de acesso/apagamento em menos de um mês.
  7. DPA assinado com todos os subcontratantes; dados alojados na UE.
  8. Plano de resposta a violações de dados (quem faz o quê nas primeiras 72 horas).

A conformidade fica muito mais simples quando todos os documentos de cada processo vivem num único sítio, com prazos e acessos controlados. Veja também as obrigações do intermediário de crédito em 2026 para o quadro completo de deveres.

É exatamente para isto que a Dossia foi construída: cada cliente recebe um link privado (sem criar conta), carrega os documentos da checklist, recebe lembretes automáticos, e você valida cada peça com um clique — tudo alojado na UE (Frankfurt), com RGPD e apagamento por processo. Conheça o portal de documentos para intermediários de crédito ou peça um POC gratuito de 14 dias.

Este artigo é orientação geral e não constitui aconselhamento jurídico. Confirme os detalhes aplicáveis ao seu caso junto da CNPD e do Banco de Portugal / Portal do Cliente Bancário.