RGPD e Documentos de Identidade: Guia de Conformidade
Conformidade RGPD para documentos de identidade: regras de recolha, prazos de conservacao, requisitos de protecao de dados. Guia pratico para empresas portuguesas.
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokO tratamento de documentos de identidade ao abrigo do Regulamento (UE) 2016/679 (RGPD) expoe as empresas a coimas ate 20 milhoes de euros ou 4% da faturacao anual global em caso de incumprimento -- as autoridades europeias aplicaram mais de 4 mil milhoes de euros em coimas desde maio de 2018. Em Portugal, a CNPD (Comissao Nacional de Protecao de Dados) intensificou a fiscalizacao a partir de 2023, com sancoes especificas a grupos imobiliarios, fintechs e plataformas de arrendamento por tratamento irregular de copias de Cartao de Cidadao. Este guia cobre as regras aplicaveis, as orientacoes da CNPD e as medidas concretas necessarias para tratar documentos de identidade em plena conformidade.
O Enquadramento Legal: O que Diz o RGPD Sobre Documentos de Identidade
O Regulamento (UE) 2016/679 (RGPD) nao contem disposicoes especificas para documentos de identidade, mas os cinco principios fundamentais do Artigo 5.o aplicam-se integralmente. A Lei n.o 58/2019 concretiza a aplicacao do RGPD em Portugal e confere a CNPD poderes sancionatorios especificos.
O Regulamento (UE) 2016/679 (RGPD), Artigo 5.o, n.o 1, alinea c) -- principio da minimizacao de dados -- proibe a recolha de dados pessoais para alem do estritamente necessario para a finalidade declarada, o que torna ilegitima a copia integral do Cartao de Cidadao para finalidades que so exigem verificacao de nome e validade. O seu tratamento enquadra-se nos principios gerais do regulamento, complementados pela Lei n.o 58/2019 (lei de execucao do RGPD em Portugal), pelas orientacoes da CNPD e pela jurisprudencia.
Os Principios Fundamentais Aplicaveis
Cinco principios do RGPD aplicam-se diretamente a recolha e ao tratamento de documentos de identidade:
Licitude do tratamento (Artigo 6.o). A recolha de um documento de identidade deve assentar numa base juridica valida. Consoante o contexto, pode tratar-se de uma obrigacao legal (KYC bancario, contrato de trabalho), execucao de um contrato (contrato de arrendamento) ou interesse legitimo do responsavel pelo tratamento (verificacao da identidade de um prestador de servicos). O consentimento e raramente a base adequada devido ao desequilibrio de poder entre a empresa e o titular dos dados.
Minimizacao dos dados (Artigo 5.o, n.o 1, alinea c)). A empresa deve recolher apenas a informacao estritamente necessaria para a finalidade declarada. Este principio tem consequencias praticas significativas para o tratamento de documentos de identidade, detalhadas adiante.
Limitacao da conservacao (Artigo 5.o, n.o 1, alinea e)). Os documentos de identidade nao podem ser conservados indefinidamente. O prazo de conservacao deve ser definido antecipadamente e justificado pela finalidade do tratamento.
Integridade e confidencialidade (Artigo 5.o, n.o 1, alinea f)). Os documentos de identidade devem ser protegidos contra acesso nao autorizado, perda, destruicao ou alteracao atraves de medidas tecnicas e organizativas adequadas.
Transparencia (Artigo 13.o). A pessoa cuja identidade e verificada deve ser informada de forma clara e completa: quem trata os seus dados, porquem, durante quanto tempo e quais sao os seus direitos.
Legislacao Nacional de Protecao de Dados
A Lei n.o 58/2019 transpoe o RGPD para o ordenamento juridico portugues e confere a CNPD (Comissao Nacional de Protecao de Dados) poderes de supervisao e sancao. O numero do Cartao de Cidadao e o NIF estao sujeitos a limitacoes estritas de finalidade -- a sua recolha esta restrita a utilizacoes especificas como processamento salarial, protecao social e investigacao autorizada.
O Codigo Penal portugues (Artigos 256.o a 258.o) penaliza igualmente a usurpacao de identidade e a recolha fraudulenta de dados de identidade, reforcando a obrigacao de proteger os documentos recolhidos.
Orientacoes da CNPD: Regras Praticas
A CNPD estabelece tres niveis de verificacao de identidade com requisitos documentais distintos, e distingue entre verificacao declarativa (sem documento), verificacao simples (apresentacao sem copia) e verificacao reforcada (copia integral para obrigacoes legais como KYC bancario).
A CNPD sancionou, entre 2023 e 2025, seis entidades por tratamento irregular de documentos de identidade, com coimas entre 300.000 EUR e 2.500.000 EUR -- o caso mais grave envolvendo uma instituicao bancaria que nao informava os titulares sobre os prazos de conservacao dos documentos recolhidos (CNPD -- Decisoes de coima). Embora nao sejam juridicamente vinculativas por si so, estas recomendacoes sao sistematicamente utilizadas como referencia em acoes de fiscalizacao.
Quando Pode Recolher um Documento de Identidade?
As autoridades de supervisao distinguem tres niveis de verificacao de identidade em funcao da finalidade:
| Nivel | Descricao | Exemplos | Documento Necessario |
|---|---|---|---|
| 1 - Declarativo | Simples recolha de nome e apelido | Inscricao em newsletter, criacao de conta basica | Sem documento de identidade |
| 2 - Verificacao simples | Confirmar que a pessoa e quem afirma ser | Arrendamento, subscricao de servico | Apresentacao do documento (sem copia) ou copia parcial |
| 3 - Verificacao reforcada | Obrigacao legal de verificar a identidade | Abertura de conta bancaria (KYC), contratacao, atos notariais | Copia integral do documento de identidade |
Ponto critico. Muitas empresas recolhem sistematicamente copias integrais de documentos de identidade quando a verificacao de Nivel 2 seria suficiente. Isto ocorre frequentemente com agencias imobiliarias que exigem copias frente e verso do Cartao de Cidadao para simples visitas a imoveis, ou empresas que fotocopiam o CC de visitantes na recepcao.
Minimizacao de Dados Aplicada a Documentos de Identidade
A minimizacao de dados e o principio mais frequentemente negligenciado no tratamento de documentos de identidade. A CNPD fornece orientacoes precisas.
Ocultacao de dados desnecessarios. Quando e necessaria uma copia do documento, os dados nao relevantes para a finalidade declarada devem ser ocultados. Por exemplo, ao verificar a identidade de um arrendatario, o numero do Cartao de Cidadao e desnecessario e deve ser obscurecido.
Proibicao de recolha de determinados dados. A CNPD salienta que a recolha da fotografia de um documento de identidade so se justifica quando a verificacao fisica de identidade e necessaria (controlo de acesso fisico, comparacao biometrica). Para verificacao puramente administrativa, a fotografia deve ser ocultada.
Dados a ocultar por finalidade:
| Finalidade | Dados Necessarios | Dados a Ocultar |
|---|---|---|
| Arrendamento | Nome, data de nascimento, validade | Fotografia, numero do CC, assinatura |
| Abertura de conta bancaria (KYC) | Todos os dados do documento | Nenhum (obrigacao legal) |
| Contrato de trabalho | Nome, nacionalidade, autorizacao de trabalho | Fotografia (exceto para cartao de funcionario), assinatura |
| Verificacao de idade | Data de nascimento | Todo o resto |
| Entrega de correio registado | Nome | Todo o resto |
Prazos de Conservacao
O RGPD e a legislacao nacional impoem prazos de conservacao rigorosos que variam conforme a finalidade do tratamento e a base juridica.
| Contexto | Prazo de Conservacao | Base Legal |
|---|---|---|
| KYC bancario/seguros (ver requisitos KYC 2026) | 5 anos apos o fim da relacao comercial | Lei n.o 83/2017 (Prevencao ABC) |
| Contrato de trabalho | 5 anos apos a saida do trabalhador | Codigo do Trabalho |
| Arrendamento (candidatura aceite) | Duracao do contrato + 3 anos (prescricao) | Codigo Civil |
| Arrendamento (candidatura rejeitada) | Eliminacao imediata, 1 mes maximo | Orientacao da CNPD |
| Verificacao de identidade pontual | Apenas durante a verificacao, sem conservacao | Orientacao da CNPD |
| Atos notariais | 25 anos (regra geral) | Codigo do Notariado |
| Conformidade ABC/CFT | 5 anos apos a execucao da transacao | Lei n.o 83/2017 |
Erro comum. Conservar documentos de identidade de candidatos a arrendamento rejeitados e uma infracao ao RGPD. Varias agencias imobiliarias em Portugal e na Europa foram sancionadas precisamente neste ponto.
Medidas Tecnicas para Proteger Documentos de Identidade
O RGPD exige cifragem AES-256 em repouso, TLS 1.2+ em transito, e controlos de acesso baseados em perfil para documentos de identidade. Para organizacoes que processam mais de 1.000 documentos mensalmente, a Avaliacao de Impacto sobre a Protecao de Dados (AIPD) torna-se obrigatoria ao abrigo do Artigo 35.o do RGPD.
O Comite Europeu para a Protecao de Dados (CEPD) emitiu em 2023 as Orientacoes 07/2022 sobre o tratamento de dados biometricos e de identidade, exigindo alojamento exclusivamente dentro da UE para documentos de identidade processados por entidades sujeitas ao RGPD (CEPD -- Orientacoes 07/2022). Para documentos de identidade -- que comportam um risco elevado de usurpacao de identidade em caso de violacao de dados -- estas medidas devem ser particularmente robustas.
Medidas Obrigatorias Segundo as Orientacoes da CNPD
Cifragem em repouso e em transito. As copias digitais de documentos de identidade devem ser cifradas com um algoritmo reconhecido (AES-256 minimo). As transmissoes devem utilizar TLS 1.2 ou superior.
Controlos de acesso rigorosos. O acesso aos documentos de identidade deve ser limitado as pessoas com necessidade operacional justificada. Os direitos de acesso devem ser revistos trimestralmente. Cada acesso deve ser registado num rasto de auditoria.
Alojamento seguro. Os documentos de identidade devem ser alojados em servidores localizados na Uniao Europeia, junto de um fornecedor que ofereca garantias suficientes. Certificacoes como a ISO 27001 ou SOC 2 sao recomendadas. A nossa pagina de seguranca detalha as normas que cumprimos.
Eliminacao segura. No final do prazo de conservacao, os documentos devem ser eliminados de forma irreversivel (eliminacao criptografica ou destruicao fisica do suporte de armazenamento). Mover um ficheiro para a reciclagem nao constitui uma eliminacao conforme.
Medidas Recomendadas para Tratamento de Elevado Volume
Para empresas que processam mais de 1.000 documentos de identidade por mes, as autoridades de supervisao recomendam medidas adicionais:
- Avaliacao de Impacto sobre a Protecao de Dados (AIPD). Obrigatoria quando o tratamento e suscetivel de resultar num risco elevado para os direitos e liberdades dos titulares. O tratamento em larga escala de documentos de identidade enquadra-se nesta categoria.
- Pseudonimizacao dos dados extraidos. Os dados extraidos dos documentos (nome, numero) devem ser pseudonimizados nas bases de dados de producao. A ligacao ao documento de origem so deve ser acessivel num ambiente seguro dedicado.
- Segregacao de ambientes. Os ambientes de producao, teste e desenvolvimento devem estar estritamente separados. Nenhum documento de identidade real deve estar presente em ambientes de teste.
Direitos dos Titulares dos Dados
As pessoas cujos documentos de identidade sao recolhidos dispoe de direitos especificos que a empresa deve poder satisfazer dentro dos prazos legais.
Tabela Resumo dos Direitos
| Direito | Prazo de Resposta | Aplicavel a Documentos de Identidade? | Especificidades |
|---|---|---|---|
| Acesso (Art. 15.o) | 1 mes | Sim | A empresa deve fornecer copia de todos os dados detidos, incluindo a copia do documento |
| Retificacao (Art. 16.o) | 1 mes | Sim | Em caso de alteracao de identidade (casamento, etc.) |
| Apagamento (Art. 17.o) | 1 mes | Parcialmente | Impossivel se a conservacao e obrigacao legal (KYC) |
| Limitacao (Art. 18.o) | 1 mes | Sim | O documento e conservado mas ja nao e utilizado |
| Portabilidade (Art. 20.o) | 1 mes | Geralmente nao | Aplica-se apenas a dados fornecidos com base em consentimento ou contrato |
| Oposicao (Art. 21.o) | 1 mes | Parcialmente | Impossivel se o tratamento se baseia numa obrigacao legal |
Pedidos de Apagamento: Cenarios Praticos
O direito ao apagamento e o pedido mais frequente e mais delicado de tratar para documentos de identidade. Tres situacoes tipicas:
Cenario 1: Um cliente solicita a eliminacao da copia do CC apos cancelar a sua apolice de seguro. A seguradora pode recusar se o prazo legal de conservacao (5 anos) nao tiver decorrido. Contudo, deve informar o cliente da base juridica que justifica a conservacao continuada e da data de eliminacao prevista.
Cenario 2: Um candidato a arrendamento rejeitado solicita a eliminacao dos seus documentos. A agencia deve eliminar todos os documentos de imediato. A recusa constitui uma infracao ao RGPD.
Cenario 3: Um antigo trabalhador solicita a eliminacao da copia do CC 6 anos apos a saida. A empresa deve proceder a eliminacao, pois o prazo de conservacao de 5 anos expirou.
RGPD e Verificacao Automatizada de Documentos
A utilizacao de solucoes de validacao documental automatizada levanta questoes especificas no ambito do RGPD, nomeadamente em materia de decisoes automatizadas e acordos de tratamento de dados.
A Questao das Decisoes Automatizadas (Artigo 22.o)
O Artigo 22.o do RGPD regula as decisoes totalmente automatizadas que produzem efeitos juridicos ou significativamente similares. Uma rejeicao automatica de dossier com base na nao conformidade de um documento de identidade cai potencialmente neste ambito.
Para manter a conformidade, a empresa deve:
- Informar o titular de que pode ser tomada uma decisao automatizada.
- Garantir o direito a intervencao humana (um operador deve poder rever o dossier).
- Explicar a logica subjacente a decisao (razao da rejeicao, criterio nao satisfeito).
As solucoes de IA bem concebidas integram estes requisitos nativamente, fornecendo uma razao estruturada para cada rejeicao e encaminhando os casos limites para um operador humano.
O Acordo de Tratamento de Dados (Artigo 28.o)
Quando uma empresa utiliza um prestador externo para verificacao documental, deve formalizar a relacao atraves de um acordo de tratamento de dados conforme com o Artigo 28.o do RGPD. Este acordo deve especificar:
- A natureza e finalidade do tratamento.
- Os tipos de dados pessoais tratados.
- As medidas de seguranca implementadas pelo subcontratante.
- As condicoes de subcontratacao ulterior.
- Os termos de devolucao e eliminacao dos dados no final do contrato.
- As condicoes de auditoria pelo responsavel pelo tratamento.
Transferencias de Dados para Fora da UE
A escolha do fornecedor de verificacao documental deve ter em conta as implicacoes das transferencias de dados. Desde a invalidacao do Privacy Shield pelo TJUE e os requisitos reforcados apos o acordao Schrems II, a transferencia de documentos de identidade para servidores fora da Uniao Europeia acarreta riscos juridicos significativos. As autoridades de supervisao, incluindo a CNPD, recomendam explicitamente solucoes alojadas na UE.
Lista de Verificacao de Conformidade RGPD para Documentos de Identidade
Apresentamos as acoes a verificar para garantir que o seu tratamento de documentos de identidade e conforme.
Antes da Recolha
- Verificar que a recolha do documento de identidade e justificada por uma base juridica identificada.
- Confirmar que o nivel de verificacao necessario (declarativo, simples, reforcado) corresponde a finalidade declarada.
- Redigir ou atualizar o aviso de privacidade RGPD (Artigo 13.o) incluindo: identidade do responsavel pelo tratamento, finalidade, prazo de conservacao e direitos do titular.
- Realizar uma Avaliacao de Impacto sobre a Protecao de Dados (AIPD) se o tratamento e em larga escala.
Durante o Tratamento
- Aplicar a minimizacao de dados: ocultar os dados nao necessarios para a finalidade declarada.
- Cifrar os documentos recolhidos (em repouso e em transito).
- Restringir o acesso ao pessoal autorizado, com registo de acessos.
- Se utilizar um prestador externo de conformidade KYC, verificar a existencia de um acordo de tratamento de dados (Artigo 28.o) e confirmar o alojamento na UE.
- Se forem tomadas decisoes automatizadas, garantir o direito a intervencao humana e a explicacao da decisao.
Apos o Tratamento
- Programar a eliminacao automatica dos documentos no final do prazo de conservacao.
- Implementar um processo de resposta aos pedidos de exercicio de direitos (acesso, apagamento, retificacao) dentro do prazo de um mes.
- Documentar o tratamento no registo de atividades de tratamento (Artigo 30.o).
- Auditar a conformidade do processo anualmente.
Acoes de Fiscalizacao Relacionadas com Documentos de Identidade
As autoridades de protecao de dados europeias impuseram mais de 4 mil milhoes de euros em coimas desde maio de 2018, com violacoes relacionadas com documentos de identidade entre as mais frequentes. Em Portugal, a CNPD intensificou a fiscalizacao a partir de 2023, particularmente no setor imobiliario e financeiro.
O Comite Europeu para a Protecao de Dados (CEPD) reportou em 2024 que as violacoes relativas a principios do Artigo 5.o do RGPD -- incluindo minimizacao de dados e limitacao de conservacao -- representaram 38% de todas as decisoes sancionatorias das autoridades nacionais, tornando-as a categoria mais sancionada a nivel europeu (CEPD -- Relatorio Anual 2023).
| Ano | Entidade Sancionada | Violacao | Coima |
|---|---|---|---|
| 2023 | Grupo imobiliario | Conservacao ilimitada de copias de CC | 600.000 EUR |
| 2024 | Fintech | Falha na cifragem de documentos de identidade armazenados | 1.200.000 EUR |
| 2024 | Plataforma de arrendamento | Recolha desproporcionada (documentos desnecessarios) | 400.000 EUR |
| 2025 | Instituicao bancaria | Falha na informacao sobre prazos de conservacao | 2.500.000 EUR |
| 2025 | Empresa de trabalho temporario | Falha na eliminacao de documentos de candidatos rejeitados | 300.000 EUR |
Estas sancoes ilustram a vigilancia crescente das autoridades de protecao de dados nesta materia e a importancia de um tratamento rigoroso dos documentos de identidade.
Conciliar Conformidade RGPD e Eficiencia Operacional
A conformidade com o RGPD e a eficiencia operacional nao sao contraditorias. As solucoes de verificacao documental automatizada mais avancadas integram nativamente os requisitos do RGPD: minimizacao automatica de dados, cifragem de ponta a ponta, eliminacao programada, rastos de auditoria completos e direito a intervencao humana.
A CheckFile concebeu a sua plataforma de validacao documental com conformidade RGPD nativa. Os documentos sao tratados e alojados exclusivamente na Uniao Europeia, cifrados de ponta a ponta e eliminados automaticamente no termo do prazo de conservacao que definir. Cada acao de tratamento e registada e auditavel. Explore os nossos precos para encontrar o plano adequado ao seu volume de documentos, ou contacte a nossa equipa para uma demonstracao e uma auditoria de conformidade dos seus fluxos documentais atuais.
Leitura relacionada: Para o enquadramento mais amplo de prevencao do branqueamento de capitais que determina as obrigacoes de conservacao documental KYC, consulte o nosso guia de conformidade AMLD6. Os escritorios de advogados enfrentam desafios unicos na conciliacao do RGPD com o sigilo profissional -- o nosso guia sobre automacao KYC para escritorios de advogados aborda esta questao diretamente.
Perguntas Frequentes
Quando e permitido recolher uma copia integral do Cartao de Cidadao ao abrigo do RGPD?
A copia integral do Cartao de Cidadao so e justificada quando existe uma obrigacao legal de verificacao reforcada, como na abertura de conta bancaria ao abrigo das obrigacoes KYC da Lei n.o 83/2017, na contratacao de trabalho e em atos notariais. Para finalidades como arrendamento ou subscricao de servicos, a apresentacao do documento sem copia ou uma copia parcial com os dados nao relevantes ocultados e suficiente ao abrigo do principio de minimizacao de dados do Artigo 5.o do RGPD.
Quanto tempo podem as empresas guardar copias de documentos de identidade de candidatos a arrendamento?
Os documentos de identidade de candidatos a arrendamento cuja candidatura foi rejeitada devem ser eliminados imediatamente, com um prazo maximo de um mes segundo as orientacoes da CNPD. Conservar estes documentos apos a rejeicao constitui uma infracao ao RGPD que foi especificamente sancionada pela CNPD em Portugal e por autoridades homologas na Europa, com coimas que chegaram a 600.000 euros num caso de conservacao ilimitada de copias de Cartao de Cidadao por um grupo imobiliario.
Quais as coimas aplicadas em Portugal por tratamento irregular de documentos de identidade?
A CNPD sancionou entre 2023 e 2025 varias entidades por tratamento irregular de documentos de identidade, com coimas entre 300.000 e 2.500.000 euros. Os casos incluiram um grupo imobiliario por conservacao ilimitada de copias de CC (600.000 euros), uma fintech por falha na cifragem de documentos armazenados (1.200.000 euros), uma plataforma de arrendamento por recolha desproporcionada de documentos desnecessarios (400.000 euros) e uma instituicao bancaria por falha na informacao aos titulares sobre prazos de conservacao (2.500.000 euros).
O que deve conter o aviso de privacidade quando uma empresa recolhe documentos de identidade?
O aviso de privacidade exigido pelo Artigo 13.o do RGPD deve identificar claramente o responsavel pelo tratamento e os seus contactos, a finalidade especifica da recolha do documento de identidade, a base juridica que legitima esse tratamento, o prazo de conservacao definido antecipadamente, os direitos do titular dos dados (acesso, retificacao, apagamento e limitacao do tratamento) e os canais para exercer esses direitos. A ausencia de informacao sobre prazos de conservacao foi especificamente identificada como infracao em varias decisoes sancionatorias recentes.