Um cliente cujo site foi hackeado pode responsabilizar a agência? E se o site ficou em baixo durante 6 horas durante uma campanha de paid ads? Ou se dados pessoais foram expostos por uma vulnerabilidade num plugin que a agência não actualizou? A responsabilidade técnica da agência é um tema que a maioria evita pensar — até que é tarde.
A posição legal da agência quando algo corre mal
Em Portugal, a relação entre agência e cliente está sujeita ao Código Civil, à legislação de prestação de serviços e, quando envolve dados pessoais, ao RGPD. A responsabilidade concreta depende do que está ou não está escrito no contrato — mas a ausência de contrato não protege a agência; pelo contrário, cria ambiguidade que os tribunais tendem a resolver contra o prestador de serviços.
O princípio geral é: se a agência propõe e o cliente aceita um serviço que inclui gestão técnica do site, a agência é responsável pelos resultados desse serviço. Se o site é hackeado e a agência não actualizava plugins há 6 meses, a agência tem dificuldade em argumentar que não tinha responsabilidade.
Os três cenários de risco mais comuns
Cenário 1: Site hackeado com exposição de dados pessoais
O site do cliente é comprometido e dados pessoais de utilizadores (leads, clientes de e-commerce) são expostos. Nos termos do RGPD, o responsável pelo tratamento de dados (o cliente) tem obrigação de notificar a CNPD em 72 horas e, se houver risco elevado, notificar os titulares dos dados.
Risco para a agência: se a exposição foi causada por negligência técnica (plugin com vulnerabilidade conhecida não corrigida, passwords fracas não alteradas), o cliente pode exigir indemnização pelos custos da notificação, multas regulatórias e danos de reputação.
Mitigação: contrato que define claramente o âmbito de responsabilidade técnica; processo documentado de updates de segurança com evidência de execução.
Cenário 2: Downtime durante campanha de paid ads
O cliente tem uma campanha de Google Ads ou Meta Ads activa. O site cai durante 8 horas. O cliente perde o budget de campanha e as conversões esperadas.
Risco para a agência: se a agência gere tanto o site como a campanha, pode ser responsabilizada pelos custos. Mesmo que gerir apenas o site, o cliente vai associar a perda à falta de monitorização.
Mitigação: monitorização de uptime activa com alertas imediatos; contrato com definição clara de SLA de disponibilidade e exclusões (falhas de hosting externo, ataques DDoS).
Cenário 3: Perda de dados críticos por falta de backup
O servidor do hosting tem falha. O site perde dados recentes. A agência não tinha backup externo ou o backup estava desactualizado.
Risco para a agência: se o cliente estava a pagar manutenção que supostamente incluía backups, a agência tem responsabilidade directa pela perda de dados.
Mitigação: backups externos automatizados com retenção documentada; restore drills com evidência; contrato que especifica o RPO (Recovery Point Objective) comprometido.
O que deve estar no contrato de manutenção
Um contrato de manutenção WordPress que protege a agência deve incluir:
- Âmbito do serviço: lista explícita do que está e do que não está incluído. "Manutenção de segurança" deve ser definida — quais os checks realizados, com que frequência.
- Exclusões de responsabilidade: problemas causados por terceiros (hosting provider, plugin developers), acções do próprio cliente no backoffice, ataques de força maior.
- SLA de disponibilidade: se não há SLA de disponibilidade, a agência não pode ser responsabilizada por downtime. Se há, deve ter limites de responsabilidade associados (ex: crédito de serviço, não indemnização ilimitada).
- Limitação de responsabilidade: limitar a responsabilidade máxima ao valor pago pelo serviço nos últimos X meses é prática standard e protege contra claims desproporcionais.
- Obrigações do cliente: cliente tem responsabilidade por não modificar o site sem aviso, por manter passwords seguras, por comunicar alterações que possam afectar o site.
O paradoxo da responsabilidade não formalizada
Muitas agências gerem sites de clientes sem contrato de manutenção — o site foi entregue e a agência continua a "dar suporte" informalmente. Esta situação é a mais arriscada: a agência tem responsabilidade moral (e frequentemente legal) pelo estado técnico do site, sem ter formalizado o âmbito, o SLA, ou a remuneração correspondente.
Formalizar a manutenção em contrato — mesmo que o cliente pague menos do que custaria entregá-la correctamente — é melhor do que a ausência de formalização. Permite definir expectativas, limitar responsabilidade e criar a base para um serviço que seja sustentável para a agência.
Queres estruturar a manutenção com processo, documentação e responsabilidade clara?
A manutenção WordPress da Vuvo inclui documentação de cada intervenção, restore drills documentados e processo claro de escalada — evidência do trabalho feito que protege a agência.
Conhecer o serviço