RGPD em inscrições online: onde ficam os dados dos participantes?
Quem abre inscrições online recolhe dados pessoais — nomes, contactos, por vezes NIF, idades ou dados de saúde em atividades desportivas. Este guia explica, em termos práticos, o que o RGPD exige a quem organiza e o que muda entre usar uma plataforma SaaS e um software instalado em infraestrutura própria. É informativo e não substitui aconselhamento jurídico.
Atualizado a 10 de junho de 2026
Dados onde decidir
Instalação própria: infraestrutura e domínio escolhidos pela organização.
Minimização
Formulários personalizados recolhem apenas o necessário.
Cartões no gateway
Dados de pagamento ficam no fornecedor de pagamento, não no Activitly.
O que o RGPD exige a quem recolhe inscrições
A organização que abre as inscrições é, em regra, a responsável pelo tratamento: decide que dados recolhe e para quê. Isso implica recolher apenas o necessário (minimização), informar os participantes da finalidade, definir prazos de conservação e conseguir responder a pedidos de acesso ou apagamento.
A plataforma onde as inscrições correm entra nesta equação como parte do mapa de tratamento: é preciso saber onde os dados ficam guardados, quem lhes acede e que subcontratantes existem pelo caminho.
SaaS internacional vs instalação própria
Numa plataforma SaaS, os dados dos participantes ficam na infraestrutura do fornecedor — por vezes fora da União Europeia ou com subcontratantes em vários países. O responsável pelo tratamento precisa de contrato de subcontratação (DPA) e de verificar as transferências internacionais.
Num software instalado em infraestrutura própria, como o Activitly, os dados ficam no servidor e no domínio que a organização escolher. O mapa simplifica-se: a organização sabe exatamente onde os dados estão, quem lhes acede e como se exportam ou apagam — embora continue responsável por proteger essa infraestrutura.
| Pergunta | SaaS internacional | Instalação própria (self-hosted) |
|---|---|---|
| Onde ficam os dados? | Na infraestrutura do fornecedor, por vezes fora da UE | No servidor e domínio escolhidos pela organização |
| Que subcontratantes existem? | Vários, definidos pelo fornecedor | Os que a organização contratar (ex.: alojamento) |
| Há transferências fora da UE? | A verificar caso a caso | Não, se o alojamento for na UE |
| Exportar e apagar dados? | Depende das ferramentas da plataforma | Acesso direto à base de dados própria |
| Quem controla os acessos? | O fornecedor e a organização | A organização |
Checklist RGPD para avaliar uma plataforma de inscrições
Antes de escolher, pergunte: onde ficam guardados os dados (país e fornecedor)? Que subcontratantes existem? Há DPA disponível? Os dados são usados pelo fornecedor para outros fins? Consegue exportar e apagar tudo se sair da plataforma? Os dados de pagamento passam por quem?
E internamente: que campos são mesmo necessários no formulário? Quem na equipa precisa de aceder aos dados? Por quanto tempo precisa de os guardar depois da atividade?
Como o Activitly se posiciona
O Activitly é self-hosted: a instalação e os dados ficam na infraestrutura escolhida pela organização, na UE ou onde esta decidir. Os formulários são personalizados, o que facilita a minimização — recolhe-se apenas o necessário para cada atividade. As permissões por departamento limitam quem acede a quê, e há registo de atividade para auditoria.
Nos pagamentos, os dados de cartão nunca passam pelo Activitly: o processamento fica no gateway português contratado pela organização (IfThenPay, EasyPay, EuPago, MEO Wallet). A organização continua a ser a responsável pelo tratamento; o Activitly dá-lhe é o controlo da infraestrutura onde ele acontece.
O caso particular das entidades públicas
Autarquias e entidades públicas tratam dados de munícipes sob maior escrutínio: avaliações de impacto, encarregado de proteção de dados, preferência por fornecedores e infraestrutura nacionais ou europeias.
Para estes casos, um sistema instalado em infraestrutura definida pela entidade responde de forma direta à pergunta mais frequente em qualquer avaliação: "onde ficam os dados dos munícipes?" — ficam onde a entidade decidir.
Perguntas frequentes
Numa instalação self-hosted, o Activitly é subcontratante?
Numa instalação própria, o tratamento corre na infraestrutura da organização e os dados não passam pela Activitly no dia a dia. Se contratar o serviço de implementação ou suporte, o acesso pontual da equipa Activitly deve ficar enquadrado contratualmente.
Os dados dos participantes saem da União Europeia?
Só se a organização instalar fora da UE. Com alojamento em Portugal ou na UE, os dados das inscrições não saem do espaço europeu.
Consigo apagar os dados de um participante?
Sim. A organização gere a sua própria base de dados e pode responder a pedidos de apagamento ou acesso sem depender de um fornecedor externo.
E os dados de pagamento?
Os dados de cartão são processados pelo gateway de pagamento contratado pela organização; o Activitly trabalha apenas com estados e referências, sem guardar dados de cartão.
Este guia substitui aconselhamento jurídico?
Não. É um guia prático para enquadrar a escolha de plataforma; decisões de conformidade devem ser validadas com o encarregado de proteção de dados ou apoio jurídico da organização.
Precisa de inscrições com os dados sob controlo?
Fale connosco para avaliar requisitos de dados, alojamento e RGPD no seu cenário.