O RGPD é um regulamento complexo em termos de conformidade: abrange muitos sectores, afecta um grande número de empresas e está presente ao longo de todo o ciclo de vida de um cliente ou utilizador. Mas, além disso, para garantir que o tratamento de dados é efectuado em conformidade com o regulamento, é necessário ter em conta outras caraterísticas, como o tipo de modelo de negócio em que cada empresa pode ser classificada: B2B, B2C ou B2B2C (mais complexo).
Nesta publicação da nossa série de conteúdos sobre o RGPD, analisamos a conformidade com o Regulamento Geral sobre a Proteção de Dados aplicado a estes modelos.
Modelo B2B
O negócio B2B refere-se a modelos de negócio em que “as transacções de bens ou serviços têm lugar entre duas empresas”.
Neste caso, as organizações estabelecem ligações com outras empresas e, como consequência, são geradas, partilhadas e armazenadas grandes quantidades de dados, por vezes de natureza pessoal. Os exemplos incluem os nomes das empresas, dos seus diretores ou empregados, capital, outros dados financeiros e informações confidenciais, como números de conta, nomes próprios e apelidos, e-mails, endereços IP, etc. Um caso típico em que alguns destes dados são partilhados é a troca de informações contratuais entre qualquer empresa e qualquer sector, como os fornecedores de bens e/ou serviços entre empresas (créditos, produtos de investimento, meios de pagamento…).
Descobre! O NIS 2 está prestes a entrar em vigor. A tua empresa está preparada?
Modelo B2C
As empresas do modelo B2C são aquelas que vendem ou servem os seus produtos e serviços diretamente aos clientes finais, sem a presença de intermediários. Estas organizações fabricam elas próprias os seus produtos e comercializam-nos sem passar por sistemas de distribuição externos.
Neste caso, tal como no caso anterior, os dados pessoais também são tratados de forma massiva, tanto os dados de identificação (nome, endereço postal, documento de identidade, número de telefone, etc.) como os dados financeiros (número de cartão bancário ou de conta, entre outros). Em algumas ocasiões, podem mesmo ser enviadas comunicações comerciais que, dependendo do produto em questão, podem ou não requerer o consentimento do destinatário.
Um exemplo claro disso é o caso das empresas de fornecimento de energia ou de seguros, em que pedes o consentimento do cliente antes de lhe enviares uma oferta de um produto diferente daquele que contratou.

Modelo B2B2C
Neste tipo de modelo de negócio, as empresas chegam a um consumidor final através de outras empresas. Mas, ao mesmo tempo, tem a capacidade de interagir com o cliente final através da sua própria marca. Por outras palavras, temos uma empresa com um modelo de negócio B2B(Business-to-Business) que se associa a outra empresa B2C(Business-to-Consumer). Esta sinergia envolve uma combinação de esforços em que o fornecedor (B2B) estabelece uma aliança comercial com os seus distribuidores, grossistas ou retalhistas (B2C), com o objetivo de alcançar mais clientes finais.
Um exemplo são as empresas de serviços financeiros que oferecem os seus produtos através de bancos ou corretores de seguros.
| Modelo | Definição | Dados pessoais tratados | Exemplo típico |
|---|---|---|---|
| B2B | Transações entre empresas | Nomes de gestores/funcionários, e-mails, IP, dados financeiros e de conta | Troca de informações contratuais entre o fornecedor e a empresa cliente |
| B2C | Venda direta ao cliente final, sem intermediários | Dados de identificação (nome, morada, número de identificação) e financeiros (cartão, conta) | Empresas de energia ou seguros que oferecem produtos adicionais com o teu consentimento |
| B2B2C | Empresa B2B que chega ao cliente final através de outra empresa B2C, mantendo a sua própria marca | Dados combinados de ambas as relações; maior complexidade na rastreabilidade do consentimento | Serviços financeiros distribuídos através de bancos ou corretores de seguros |
Relação entre o RGPD e estes modelos empresariais
Em qualquer um dos modelos de negócio acima referidos, as empresas têm de processar dados pessoais e, por conseguinte, têm de cumprir as disposições do atual Regulamento Geral de Proteção de Dados, nos países e casos aplicáveis.
Quer isto dizer que uma empresa não pode enviar e-mails e trocar comunicações com o pessoal de outra empresa?
Neste caso, a empresa de envio tem de verificar previamente se pode comunicar com essa pessoa em conformidade com as disposições do RGPD. Existem seis bases legais para o tratamento de dados pessoais: consentimento, contrato, obrigação legal, interesses vitais, missão pública e interesse legítimo.
| Base jurídica | O que isso implica | É revogável pelo utilizador? |
|---|---|---|
| Consentimento | O utilizador autoriza expressamente o tratamento; este deve ser verificável e guardado | Sim, a qualquer momento |
| Contrato | O tratamento de dados é necessário para cumprir um contrato com o titular dos dados | Não se aplica enquanto o contrato estiver em vigor |
| Obrigação legal | O tratamento é exigido por uma norma aplicável à empresa | Não |
| Interesses vitais | O tratamento protege a vida ou a integridade de uma pessoa | Não |
| Função pública | O tratamento é feito no âmbito do exercício de funções de interesse público | Não |
| Interesse legítimo | A empresa tem um interesse razoável que não prejudica os direitos do titular dos dados | O utilizador pode opor-se a qualquer momento |
Ao abrigo do interesse legítimo, os dados devem ser utilizados de uma forma que as pessoas esperam razoavelmente, mas que também tenha um impacto mínimo na privacidade (no caso de os direitos de um indivíduo serem violados, os seus direitos prevalecerão sobre o interesse legítimo). Assim, a empresa terá de garantir que envia e-mails para as pessoas certas com uma mensagem que possa ser do seu interesse.
Se, por outro lado, a empresa que pretende enviar a comunicação tiver obtido um consentimento verificável através de um formulário de registo, por exemplo, pode proceder sem problemas. Enquanto responsável pelo tratamento de dados, é importante recolher o consentimento de uma forma válida, e este deve também ser armazenado. Por isso, o consentimento deve ser obtido através de qualquer canal que comprove o recebimento, como e-mail, telefonema e/ou WhatsApp, entre outros.
No entanto, decidir qual a base jurídica a aplicar pode ser complicado e, por isso, a nossa recomendação a qualquer responsável pelo tratamento de dados é que consulte o responsável pela proteção de dados da sua organização.
Por último, se o endereço de correio eletrónico para o qual a informação é enviada não estiver ligado a nenhuma pessoa (por exemplo, info@company.com), pode mesmo não ser abrangido pela definição de “dados pessoais”.
Que mais temos de ter em conta? Se o interesse legítimo for utilizado como base para o envio de comunicações comerciais, o utilizador e/ou cliente deve poder opor-se facilmente.
Se a base for o consentimento, a pessoa que recebe a comunicação tem o direito de o retirar em qualquer altura. E a empresa é obrigada a interromper o tratamento logo que isso aconteça.
Descobre o nosso post: Da assistência à acreditação: a Lei SAC (Lei n.º 10/2025).

Como é que as organizações acima referidas podem cumprir o RGPD?
Existem algumas chaves para garantir a conformidade com o RGPD e, portanto, evitar sanções (no caso de Espanha, pela Agência Espanhola de Proteção de Dados, uma das mais activas na Europa). Estas recomendações são:
- Deve ser aplicado o princípio da minimização dos dados: quanto maior for o número de tipos de dados tratados, maior é o risco de incumprimento.
- É fundamental identificar e analisar a base jurídica para o tratamento de dados pessoais. É preferível que o faças em conjunto com um profissional da área jurídica.
- As políticas de privacidade devem ser fáceis de ler e compreender e de aceder. Além disso, devem conter informações corretas e permanentemente actualizadas.
- Os sistemas têm de ser revistos regularmente para verificar se estão a funcionar em conformidade com o RGPD.
- É preciso manter um registo válido dos consentimentos.
A nossa solução para a gestão do consentimento do RGPD
Desde 2018, o Regulamento Geral sobre a Proteção de Dados (RGPD) regula o tratamento dos dados pessoais das pessoas, o que implica uma gestão complexa que o Grupo MailComms, através da nossa consultoria RGPD e da nossa tecnologia proprietária, pode fornecer-lhe. A nossa solução para a gestão dos consentimentos RGPD permitir-te-á gerir de forma abrangente os consentimentos ao longo do ciclo de vida do cliente.
Perguntas mais frequentes
Qual é a diferença entre a conformidade com o RGPD nos modelos B2B e B2C?
No B2B, os dados pessoais tratados costumam pertencer a dirigentes ou funcionários de outra empresa (endereços de e-mail, cargos, dados de contacto) no âmbito de uma relação contratual. No B2C, a empresa trata dados pessoais do consumidor final em grande escala, tanto dados identificativos como económicos, e muitas vezes precisa de uma base jurídica específica — consentimento ou interesse legítimo — para enviar comunicações comerciais.
Quais são os seis fundamentos jurídicos do RGPD para o tratamento de dados pessoais?
Os seis fundamentos jurídicos do RGPD são: consentimento, contrato, obrigação legal, interesses vitais, missão pública e interesse legítimo. Cada um deles determina o que a empresa tem de provar e quais são os direitos da pessoa cujos dados são tratados; por exemplo, só o consentimento e o interesse legítimo podem ser revogados ou contestados diretamente pelo utilizador.
Posso enviar comunicações comerciais a um cliente sem o seu consentimento?
Sim, se a empresa puder invocar o interesse legítimo: o tratamento de dados tem de ser algo que a pessoa esperaria razoavelmente, com um impacto mínimo na sua privacidade, e sempre de forma a facilitar que ela possa opor-se facilmente. Se essa base não existir, é preciso obter um consentimento verificável e devidamente guardado antes de enviar qualquer comunicação comercial.
Quais são as obrigações de uma empresa que opera no modelo B2B2C no que diz respeito ao RGPD?
No modelo B2B2C, a empresa fornecedora (B2B) e o seu distribuidor ou parceiro (B2C) tratam os dados do mesmo cliente final a partir de relações diferentes. Ambas as partes têm de identificar a sua base jurídica para o tratamento de dados de forma independente, manter registos de consentimento separados e garantir que a rastreabilidade do consentimento se mantém, mesmo que os dados passem de uma empresa para outra.
Como é que uma empresa deve gerir o registo e a revogação dos consentimentos ao abrigo do RGPD?
O consentimento tem de ser obtido através de um canal que permita comprovar a sua receção — formulário, e-mail, chamada gravada ou WhatsApp certificado — e tem de poder ser revogado a qualquer momento pela pessoa em questão. Assim que a revogação ocorrer, a empresa é obrigada a interromper imediatamente o tratamento desses dados.
