HostReady
Blog
Segurança e prevenção

RGPD para anfitrioes de AL: o que tem de por no seu site, no contrato e na resposta ao Airbnb

Autor:
RGPD para anfitrioes de AL: o que tem de por no seu site, no contrato e na resposta ao Airbnb

Politica de privacidade AL, base juridica, retencao 5 anos, CCTV/CNPD, prazo 30 dias para responder a hospede. Pacote PT + EN para download.

DOCUMENTACAO AL PRONTA

Registe o seu AL em 2 noites.

Sem stress.

Em vez de redigir documentos do zero (40+ horas) ou pagar um advogado (2.000€+), descarregue modelos prontos conformes com RNAL e a legislacao portuguesa de AL.

Starter

€49

€79

Documentacao AL basica

Escolher
Mais popular

Standard

€69

€119

Starter + 30 dias apoio

Escolher

Full Compliance

€109

€179

Pacote completo com consultoria

Escolher
Modelos PT/ENEntrega imediata🔒Pagamento seguro
Ver todos os pacotes

RGPD para anfitrioes de AL: o que tem de por no seu site, no contrato e na resposta ao Airbnb

Politica de privacidade AL, base juridica, retencao 5 anos, CCTV/CNPD, prazo 30 dias para responder a hospede. Pacote PT + EN para download.

O Regulamento Geral de Protecao de Dados aplica-se a qualquer titular AL, mesmo um T1 com 50 noites/ano. Este artigo explica em linguagem clara o que tem de por no seu site, no regulamento interno e nas respostas a hospedes ou ao Airbnb: politica de privacidade em 4 sitios, base juridica correta, retencao de 5 anos para dados fiscais, CCTV apenas em areas comuns com notificacao a CNPD e prazo de 30 dias para responder a pedidos de acesso.

O Pacote FULL (129 EUR) inclui politica PT/EN + DPA template + ROPA + plano de resposta a violacoes.

Quero o pacote FULL 129 EUR

O AL trata dados pessoais (mais do que pensa)

Cinco categorias de dados pessoais que o seu AL trata, mesmo que so receba uma reserva por mes. Base: RGPD art. 4 (definicoes).

  • Dados de identificacao: nome, passaporte, foto.
  • Dados de contacto: email, telefone.
  • Dados de localizacao: endereco de residencia, dados de viagem.
  • Dados financeiros: IBAN, valor pago.
  • Dados especiais (opcionais): regimes alimentares, alergias, mobilidade reduzida.

As 3 obrigacoes de qualquer titular AL

Tres obrigacoes que aplicam a qualquer titular AL, mesmo um T1 com 50 noites por ano. Bases: RGPD art. 5, 6, 13 e 32.

  • Obrigacao 1 - notice: politica de privacidade visivel ao hospede.
  • Obrigacao 2 - base juridica: documentada para cada categoria de dados.
  • Obrigacao 3 - medidas de seguranca: controlo de acesso, encriptacao de backups, formacao basica.

Onde colocar a politica de privacidade (4 sitios)

A politica tem de aparecer em 4 sitios para o RGPD. Faltar um e contraordenacao da CNPD. Base: RGPD art. 13.

  • Regulamento interno - resumo da politica integrado.
  • Livro de informacoes - resumo no formato impresso.
  • Site proprio - versao completa publicada.
  • Email de confirmacao da reserva - link para a versao completa.

Base juridica: contrato + obrigacao legal (nao consentimento)

A maioria pensa "preciso do consentimento". Errado. A base juridica do AL e contrato + obrigacao legal. Base: RGPD art. 6.

  • Contrato (RGPD art. 6.1.b) - para gerir a reserva e a estadia.
  • Obrigacao legal (RGPD art. 6.1.c) - SIBA, IRS, IVA, TMT.
  • Consentimento (RGPD art. 6.1.a) - apenas para marketing direto.
  • Documentar a escolha em pista auditavel para a CNPD.

Tempo de retencao: 5 anos (IRS) + 1 ano (SIBA) + 30 dias (CCTV)

Cada categoria de dados tem o seu prazo. Apos esse prazo, eliminar - e documentar a eliminacao. Bases: RGPD art. 5.1.e e CIRS art. 122.

  • Dados fiscais: 5 anos (CIRS).
  • Dados SIBA / AIMA: 1 ano.
  • CCTV: 30 dias maximo.
  • Marketing: ate revogacao do consentimento.
  • Documentacao da eliminacao em registo proprio.

Politica + DPA + ROPA prontos com o nosso FULL 129 EUR.

Quero o pacote FULL 129 EUR

CCTV no AL: regras estritas + notificacao CNPD

CCTV no AL e legal mas com regras estritas. Quartos e WCs sao zonas proibidas - sem excecao. Bases: Lei 58/2019 art. 19 e orientacao 1/2017 da CNPD.

  • Locais permitidos: hall, escadas, exterior.
  • Locais proibidos: quartos, WC, varandas privadas.
  • Aviso obrigatorio: tabuleta + politica de privacidade.
  • Notificacao a CNPD obrigatoria antes da operacao.
  • Retencao maxima: 30 dias.
  • Acesso restrito: apenas o titular AL e excecionalmente autoridades competentes.

Direito de acesso, retificacao, apagamento: 30 dias para responder

O hospede pode pedir os seus dados a qualquer momento. Voce tem 30 dias. Sem resposta = denuncia a CNPD. Base: RGPD art. 15-22.

  • Direitos: acesso, retificacao, apagamento, portabilidade.
  • Prazo de resposta: 30 dias.
  • Extensao: +60 dias se complexo, com notificacao previa ao titular.
  • Recusa: justificar por escrito com fundamento juridico.

DPA com plataformas: Airbnb, Booking, PMS

O Airbnb e o seu sub-processador de dados. Voce e o controlador. O DPA (Data Processing Agreement) e obrigatorio. Base: RGPD art. 28.

  • Voce: controller (responsavel pelo tratamento).
  • Airbnb / Booking: processor (subcontratante).
  • DPA: assinado online (Airbnb tem default no painel do anfitriao).
  • Verificar: o DPA inclui SCC (Standard Contractual Clauses) para transferencias para os EUA.

Para a articulacao com a transmissao automatica de dados via DAC7, leia DAC7 e a sua AT.

Violacao de dados: 72h notificacao a CNPD

Em caso de violacao (hack, perda, acesso indevido): 72h para notificar a CNPD se houver risco para os hospedes. Base: RGPD art. 33-34.

  • 72h para notificar a CNPD se ha risco para os hospedes.
  • Comunicacao a hospedes se o risco for alto.
  • Diario de incidentes obrigatorio.
  • Plano de resposta pre-definido reduz tempo de reacao.

Sancoes: 20 mln EUR ou 4% do volume de negocios

A escala maxima e teorica para o seu T1, mas a CNPD multa AL: 5 000 a 50 000 EUR em casos comuns. Bases: RGPD art. 83 e relatorios CNPD 2024-2025.

  • Maximo teorico: 20 milhoes EUR ou 4% do volume de negocios.
  • Multas CNPD AL realistas: 5 000 a 50 000 EUR.
  • Mais comum: politica de privacidade ausente, CCTV sem notificacao.

Pacote HostReady: politica + DPA + register actions

O nosso pacote FULL inclui politica PT + EN, DPA template, register of processing activities (ROPA), plano de resposta a violacoes.

  • Politica de privacidade PT + EN bilingue editavel.
  • DPA template para PMS, empresa de limpeza, handyman.
  • ROPA template (registo de atividades de tratamento).
  • Plano de resposta a violacoes com 72h.

Conclusao: RGPD nao e burocracia, e protecao mutua

Bem montado (4 documentos), o RGPD do seu AL fica no automatico. Sem stress, sem CNPD a porta.

  • 4 documentos chave cobrem 99% dos requisitos.
  • Setup uma vez, gestao automatica.
  • Multa potencial evitada: 5 000 a 50 000 EUR.

Perguntas frequentes

Posso usar a politica de privacidade do Airbnb em vez da minha?

Nao. A do Airbnb cobre o tratamento que ela faz dos dados. A sua tem de cobrir o tratamento que voce faz - e os dois sao distintos.

Tenho CCTV apenas no jardim, preciso notificar a CNPD?

Sim. Qualquer CCTV operacional em estabelecimento aberto a publico exige notificacao previa a CNPD, mesmo que so cobra exterior.

O hospede pode pedir para eliminar o boletim SIBA do meu sistema?

Nao integralmente. O SIBA e obrigacao legal (RGPD art. 6.1.c) - prevalece sobre o direito ao apagamento durante o periodo de retencao.

Sou DPO da minha pequena operacao AL?

Nao. AL pequeno nao requer DPO formal. Mas tem de gerir a politica RGPD diretamente - pode delegar ao contabilista por contrato.

Tenho de manter ROPA mesmo sendo titular individual?

Para volumes pequenos, ROPA simplificado basta. A CNPD recomenda registo basico mesmo para AL com poucas reservas.

Veja tambem

Pacote completo RGPD com o nosso FULL 129 EUR.

Quero o pacote FULL 129 EUR

Este artigo tem fim informativo. HostReady fornece modelos e checklists; nao substitui aconselhamento juridico, fiscal ou urbanistico. Confirme sempre as regras municipais aplicaveis ao seu imovel.

Newsletter

Dicas e novidades - de tempos a tempos.