Implementar uma ferramenta de inteligência artificial para transcrever automaticamente reuniões ou entrevistas profissionais gera valor, mas levanta imediatamente um conjunto de obrigações jurídicas. O RGPD aplica-se sempre que são recolhidos e tratados dados que permitem identificar pessoas — voz, nomes, funções, opiniões.
Eis o essencial a reter antes de avançar:
- Informar os participantes é obrigatório antes de qualquer gravação (art. 13.º RGPD + Lei n.º 58/2019, de 8 de agosto).
- Formalizar a relação com o fornecedor através de um acordo de subcontratação (art. 28.º RGPD).
- Alojar os dados na União Europeia ou garantir um mecanismo de transferência válido.
- Limitar o prazo de conservação e eliminar o áudio assim que a transcrição estiver concluída.
- Proibir contratualmente o treino de modelos de IA com os seus dados.
Índice
- Responsável pelo tratamento e subcontratante: quem é quem?
- Obrigação de informação e proibição de gravação sem consentimento
- Base legal: que fundamento jurídico escolher?
- Alojamento de dados e transferências para fora da UE
- Conservação, minimização e eliminação do áudio
- Acordo de subcontratação (DPA) e treino de modelos de IA
- Perguntas frequentes
Responsável pelo tratamento e subcontratante: quem é quem?
O responsável pelo tratamento designa a entidade que determina as finalidades e os meios do tratamento (art. 4.º, n.º 7 RGPD). No contexto da transcrição de reuniões, é a organização que utiliza a ferramenta — e não o fornecedor tecnológico.
O subcontratante (art. 4.º, n.º 8 RGPD) é o prestador que trata os dados por conta do responsável pelo tratamento, seguindo as suas instruções. O fornecedor de IA de transcrição desempenha este papel.
Esta distinção tem consequências diretas:
- A organização mantém-se única responsável perante os titulares dos dados e a CNPD (Comissão Nacional de Proteção de Dados).
- O fornecedor só pode agir em execução das instruções documentadas recebidas.
- Qualquer violação de dados praticada pelo subcontratante implica também a responsabilidade do responsável pelo tratamento, caso o contrato seja insuficiente.
A reter: Implementar uma ferramenta de transcrição IA sem um contrato de subcontratação formalizado expõe a organização a responsabilidade direta perante a CNPD, independentemente da culpa do fornecedor.
Os registos de atividades de tratamento
O responsável pelo tratamento deve inscrever a atividade «transcrição automática de reuniões» no seu registo das atividades de tratamento (art. 30.º RGPD). Esta ficha deve mencionar a finalidade, as categorias de dados, os destinatários, o prazo de conservação e as medidas de segurança.
Obrigação de informação e proibição de gravação sem consentimento
O RGPD impõe uma informação prévia e transparente dos titulares dos dados (art. 13.º). Na prática, isso significa informar cada participante antes do início da reunião de que esta será gravada e transcrita automaticamente.
Em Portugal, o quadro legal reforça esta exigência. A Lei n.º 58/2019, de 8 de agosto, que assegura a execução do RGPD na ordem jurídica nacional, e o artigo 199.º do Código Penal português — que sanciona a gravação ou fotografação de conversas privadas sem consentimento — aplicam-se mesmo em contexto profissional. O desconhecimento da lei não constitui justificação válida.
As informações mínimas a comunicar aos participantes:
- A identidade do responsável pelo tratamento.
- A finalidade da gravação e da transcrição (ex.: elaboração da ata ou resumo da reunião).
- A base legal adotada.
- O prazo de conservação previsto.
- Os direitos dos participantes (acesso, retificação, oposição, apagamento).
- A identidade do subcontratante que aloja os dados.
Modalidades práticas de informação
A informação pode ser transmitida:
- Por uma mensagem no convite de calendário.
- Por um aviso oral no início da reunião, registado na ata.
- Através de um banner ou notificação apresentado pela ferramenta no momento de entrar na sessão.
Para as avaliações de desempenho anuais ou entrevistas de desenvolvimento profissional, recomenda-se um parágrafo dedicado na convocatória escrita. Para saber mais sobre as boas práticas documentais neste contexto, consulte o nosso artigo sobre a ata de avaliação de desempenho: modelo e boas práticas.
Base legal: que fundamento jurídico escolher?
Qualquer tratamento de dados pessoais deve assentar numa das seis bases legais do artigo 6.º, n.º 1 do RGPD. Para a transcrição de reuniões profissionais, duas bases são principalmente consideradas.
| Base legal | Condições de validade | Vantagens | Limites |
|---|---|---|---|
| Interesse legítimo (art. 6.º, n.º 1, al. f)) | Ponderação documentada; interesse não sobreposto aos direitos das pessoas | Não exige recolha de consentimento individual | Direito de oposição exercível; ponderação a documentar |
| Consentimento (art. 6.º, n.º 1, al. a)) | Livre, informado, específico, inequívoco e revogável | Legitimidade sólida | Difícil de obter livremente em contexto hierárquico; inválido se condicionado pelo vínculo laboral |
| Obrigação legal (art. 6.º, n.º 1, al. c)) | Norma legal que imponha a elaboração de ata | Sólida se aplicável | Rara fora das assembleias societárias ou órgãos com obrigações estatutárias |
A reter: O interesse legítimo é a base legal mais adequada para a maioria das reuniões internas, desde que a ponderação seja rigorosamente documentada e que não sejam transcritas conversas com dados de natureza sensível (dados de saúde, filiação sindical…) sem uma base reforçada.
O caso particular dos dados sensíveis
Se a reunião incidir sobre assuntos suscetíveis de revelar dados de categorias especiais (art. 9.º RGPD) — estado de saúde, filiação sindical, opiniões políticas — o tratamento exige uma base legal específica prevista no artigo 9.º, n.º 2, como o consentimento explícito ou uma obrigação legal. A prudência aconselha, nestes casos, a não transcrever automaticamente essas reuniões, ou a prever uma anonimização imediata.
Alojamento de dados e transferências para fora da UE
O alojamento dos dados na União Europeia constitui a garantia mais simples de conformidade. Assim que os ficheiros de áudio ou as transcrições transitam para servidores situados fora da UE, aplicam-se as regras do capítulo V do RGPD sobre transferências internacionais.
Os mecanismos de transferência válidos:
- Decisão de adequação da Comissão Europeia (ex.: Data Privacy Framework UE-EUA, cuja solidez jurídica permanece incerta).
- Cláusulas contratuais-tipo (CCT) adotadas pela Comissão — a anexar ao DPA.
- Regras vinculativas para empresas (BCR) para grupos multinacionais.
Um alojamento soberano na Europa elimina este risco na origem. Para reuniões híbridas com participantes internacionais, a questão da localização dos dados adquire uma dimensão adicional — consulte o nosso artigo sobre reuniões híbridas: como incluir toda a gente.
Avaliação do risco do fornecedor
Antes de escolher uma ferramenta, verifique:
- O país de alojamento dos servidores de tratamento e armazenamento.
- A lei aplicável aos dados em caso de litígio ou requisição judicial.
- A existência e a robustez do DPA proposto.
Conservação, minimização e eliminação do áudio
O princípio da minimização dos dados (art. 5.º, n.º 1, al. c) RGPD) impõe que apenas sejam recolhidos os dados estritamente necessários à finalidade. O princípio da limitação da conservação (art. 5.º, n.º 1, al. e)) impõe a sua eliminação assim que deixem de ser necessários.
No caso de uma transcrição automática:
- A finalidade é a produção de uma ata ou síntese da reunião.
- O áudio bruto deixa de ter razão de ser conservado após a validação da transcrição.
- A própria transcrição deve ser conservada pelo tempo estritamente necessário ao uso documental (geralmente entre 30 e 90 dias, salvo obrigação legal específica).
| Dado | Prazo recomendado | Justificação |
|---|---|---|
| Ficheiro de áudio bruto | Eliminação imediata após validação da transcrição | Minimização; risco elevado em caso de fuga de dados |
| Transcrição completa | 30 a 90 dias | Uso operacional; apagamento após arquivo da ata |
| Ata finalizada | Duração do projeto / obrigação legal | Documento de gestão; pode ser anonimizado |
A reter: Eliminar o áudio assim que a transcrição é gerada é a melhor medida de minimização — reduz drasticamente o risco em caso de violação de dados e simplifica a gestão dos pedidos de apagamento.
Para aprofundar a estruturação das restitições de reunião, consulte o nosso artigo como redigir uma ata de reunião clara e útil em 2026.
Acordo de subcontratação (DPA) e treino de modelos de IA
O acordo de subcontratação (ou DPA, Data Processing Agreement) é um contrato tornado obrigatório pelo artigo 28.º do RGPD. Deve ser assinado antes de qualquer tratamento de dados pelo fornecedor.
Conteúdo obrigatório do DPA (art. 28.º, n.º 3 RGPD)
O DPA deve especificar:
- O objeto e a duração do tratamento.
- A natureza das operações realizadas (recolha, armazenamento, análise, eliminação).
- A finalidade do tratamento e as categorias de dados em causa.
- As obrigações e direitos do responsável pelo tratamento.
- As medidas de segurança técnicas e organizativas implementadas.
- As condições de subcontratação ulterior (lista dos subcontratantes em cadeia).
- A obrigação de assistência em caso de exercício de direitos ou de violação de dados.
A questão do treino de modelos de IA
Este é um ponto de atenção crítico. Alguns fornecedores incluem nos seus termos e condições uma cláusula que autoriza a utilização dos dados para melhorar ou treinar os seus modelos. Tal constitui uma reutilização incompatível com a finalidade inicial (art. 5.º, n.º 1, al. b) RGPD), salvo consentimento explícito.
O DPA deve expressamente proibir:
- A utilização das transcrições ou ficheiros de áudio para treinar, afinar ou avaliar modelos de IA.
- A cessão ou partilha dos dados a terceiros não listados.
- Qualquer tratamento não instruído pelo responsável pelo tratamento.
A CNPD, em linha com as orientações do Comité Europeu para a Proteção de Dados (CEPD) sobre IA e RGPD, sublinha que a reutilização de dados sem base legal adequada constitui uma violação manifesta do regulamento.
Conclusão: uma checklist para agir
Garantir a conformidade do uso de uma ferramenta de transcrição IA não exige recursos jurídicos consideráveis, mas requer método. Eis as ações prioritárias:
- Inscrever o tratamento no registo das atividades de tratamento.
- Escolher e documentar a base legal (ponderação se interesse legítimo).
- Informar sistematicamente os participantes antes de cada sessão gravada.
- Assinar um DPA com o fornecedor, incluindo a proibição de treino de modelos.
- Verificar a localização dos servidores e a existência de um mecanismo de transferência válido se fora da UE.
- Configurar a eliminação automática do áudio após validação da transcrição.
- Definir um prazo máximo de conservação para as transcrições e as atas.
Uma ferramenta soberana alojada na Europa, dotada de um DPA conforme com o artigo 28.º e que elimina automaticamente os ficheiros de áudio após a transcrição, responde estruturalmente à maior parte destas exigências. A conformidade com o RGPD não deve ser um obstáculo à adoção da IA nas suas reuniões — é o seu quadro de confiança.
Perguntas frequentes
É obrigatório informar os participantes antes de gravar uma reunião?
Sim. O RGPD (art. 13.º) impõe que os titulares dos dados sejam informados antes de qualquer tratamento dos seus dados vocais. Em Portugal, o artigo 199.º do Código Penal sanciona igualmente a gravação de conversas privadas sem consentimento, mesmo em contexto profissional.
Que base legal utilizar para transcrever uma reunião profissional?
O interesse legítimo (art. 6.º, n.º 1, al. f)) é a base legal mais frequentemente adotada, desde que o interesse da organização não se sobreponha aos direitos dos participantes. O consentimento também pode ser utilizado, mas deve ser livre, informado e revogável — o que é difícil de garantir num contexto hierárquico.
Durante quanto tempo se pode conservar a gravação de áudio de uma reunião?
O princípio da limitação da conservação (art. 5.º, n.º 1, al. e) RGPD) impõe que os dados sejam armazenados apenas pelo tempo necessário à sua finalidade. Na prática, o áudio deve ser eliminado assim que a transcrição for validada; a própria transcrição é geralmente conservada entre 30 e 90 dias, de acordo com a política documental da organização.
Um fornecedor de IA pode utilizar as gravações das minhas reuniões para treinar os seus modelos?
Não, sem acordo explícito. O RGPD proíbe a reutilização de dados para finalidades incompatíveis com a finalidade inicial (art. 5.º, n.º 1, al. b)). Um contrato de subcontratação conforme com o artigo 28.º deve estipular expressamente que o fornecedor não pode treinar os seus modelos nem ceder os dados a terceiros sem instrução documentada do responsável pelo tratamento.
O que é um DPA (Data Processing Agreement) e quando é obrigatório?
Um DPA é um acordo de subcontratação exigido pelo artigo 28.º do RGPD sempre que um prestador trata dados pessoais por conta de uma organização. Deve especificar o objeto, a duração, a natureza do tratamento, as medidas de segurança e as obrigações do subcontratante. É obrigatório antes de qualquer implementação de uma ferramenta de transcrição IA.
O alojamento fora da UE de uma ferramenta de transcrição é problemático?
Sim. Qualquer transferência de dados pessoais para um país terceiro (ex.: Estados Unidos) deve assentar num mecanismo de transferência adequado: decisão de adequação, cláusulas contratuais-tipo (CCT) ou regras vinculativas para empresas. Na ausência de garantias documentadas, a transferência é ilícita.
Que dados são considerados pessoais numa transcrição de reunião?
A voz, o nome próprio, o apelido, a função, as opiniões expressas e qualquer identificador indireto que permita reconhecer uma pessoa constituem dados pessoais na aceção do artigo 4.º, n.º 1 do RGPD. A transcrição textual de uma reunião é, portanto, um tratamento de dados pessoais sujeito ao regulamento.