RGPD e gestão documental: guia de conformidade
Guia prático de conformidade RGPD na gestão documental: prazos de conservação, direitos dos titulares, AIPD e medidas técnicas segundo a CNPD.
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokCada documento recolhido por uma empresa contém dados pessoais protegidos pelo Regulamento Geral sobre a Proteção de Dados (UE) 2016/679 e pela sua transposição portuguesa, a Lei n.º 58/2019, de 8 de agosto. Cópias do Cartão de Cidadão, recibos de vencimento, contratos de trabalho, comprovativos de morada -- todos geram obrigações específicas de tratamento, conservação e destruição. A CNPD (Comissão Nacional de Proteção de Dados) tem reforçado a fiscalização nesta matéria, com coimas que podem atingir 20 milhões de euros ou 4 % do volume de negócios global. Este guia detalha os princípios aplicáveis, os prazos de conservação, os direitos dos titulares e as medidas concretas para uma gestão documental conforme.
Os 7 princípios do RGPD aplicados à gestão documental
O RGPD assenta em sete princípios fundamentais que se aplicam diretamente à recolha, ao tratamento e à conservação de documentos. A sua tradução prática no contexto da gestão documental é a base de qualquer programa de conformidade.
| Princípio RGPD | Artigo | Aplicação à gestão documental |
|---|---|---|
| Licitude, lealdade, transparência | Art. 5.º, n.º 1, al. a) | Cada recolha de documentos assenta numa base jurídica identificada (obrigação legal, contrato, interesse legítimo) e o titular é informado |
| Limitação das finalidades | Art. 5.º, n.º 1, al. b) | Um Cartão de Cidadão recolhido para verificação KYC não pode ser reutilizado para marketing |
| Minimização dos dados | Art. 5.º, n.º 1, al. c) | Recolher apenas os documentos estritamente necessários: um NIB basta para uma transferência, não uma cópia do cartão bancário |
| Exatidão | Art. 5.º, n.º 1, al. d) | Documentos caducados (Cartão de Cidadão expirado, comprovativo de morada antigo) devem ser atualizados ou eliminados |
| Limitação da conservação | Art. 5.º, n.º 1, al. e) | Cada tipo de documento tem um prazo máximo de conservação, findo o qual deve ser destruído de forma segura |
| Integridade e confidencialidade | Art. 5.º, n.º 1, al. f) | Os documentos devem ser cifrados, o acesso restrito ao pessoal autorizado e as transferências seguras |
| Responsabilidade | Art. 5.º, n.º 2 | A empresa deve poder demonstrar a conformidade: registo de atividades de tratamento, política de conservação, rastreabilidade |
A CNPD reforça que o princípio da minimização é frequentemente violado por empresas que recolhem documentos "por precaução" sem necessidade demonstrada. A Lei n.º 58/2019 acrescenta disposições específicas ao ordenamento jurídico português, nomeadamente em matéria de tratamento de dados no contexto laboral (artigo 28.º) e de videovigilância (artigo 19.º).
Para orientações específicas sobre documentos de identidade no âmbito do RGPD, consulte o nosso guia RGPD e documentos de identidade.
Prazos de conservação por tipo de documento
A definição de prazos de conservação é uma das obrigações mais tangíveis do RGPD. Em Portugal, estes prazos resultam da conjugação do RGPD, da Lei n.º 58/2019 e de diversas normas setoriais. A CNPD tem sancionado entidades por conservação excessiva de documentos, sublinhando que a ausência de uma política de retenção constitui, por si só, um incumprimento.
| Tipo de documento | Base jurídica | Prazo de conservação recomendado | Regulamentação aplicável |
|---|---|---|---|
| Cópia do Cartão de Cidadão (KYC) | Obrigação legal | 7 anos após o fim da relação comercial | Lei n.º 83/2017 (BCFT), art. 51.º |
| Contrato de trabalho | Execução do contrato | 5 anos após a cessação | Código do Trabalho, art. 337.º (prescrição) |
| Recibos de vencimento | Obrigação legal | 5 anos (prescrição laboral) + 5 anos (prescrição fiscal) | CT art. 337.º, LGT art. 48.º |
| Comprovativo de morada | Interesse legítimo | Duração da relação + 1 ano | Orientação CNPD |
| Faturas | Obrigação legal | 10 anos a contar do encerramento do exercício | Código Comercial, art. 40.º |
| Documentos contabilísticos | Obrigação legal | 10 anos a contar do encerramento do exercício | Código Comercial, art. 40.º |
| Dados bancários (NIB/IBAN) | Execução do contrato | Duração da relação + 5 anos | CC art. 309.º (prescrição ordinária) |
| Fichas de aptidão médica | Obrigação legal | 40 anos após cessação da exposição | Lei n.º 102/2009, art. 46.º |
A especificidade portuguesa: Lei n.º 83/2017
Em Portugal, a Lei n.º 83/2017 relativa ao combate ao branqueamento de capitais e ao financiamento do terrorismo impõe prazos de conservação de 7 anos para os documentos de identificação de clientes, um prazo intermédio entre os 5 anos da maioria dos países europeus e os 10 anos de Espanha. Este prazo prevalece como obrigação legal sobre o princípio de limitação da conservação do RGPD, mas os documentos devem ser destruídos de forma segura logo que o prazo legal expire.
A implementação prática destes prazos exige um sistema de gestão documental capaz de aplicar regras de retenção diferenciadas por tipo de documento e de automatizar a purga no vencimento. Uma solução de verificação documental automatizada permite registar a data de cada recolha e programar as destruições.
Direitos dos titulares na gestão documental
O RGPD reconhece aos titulares dos dados um conjunto de direitos que a empresa deve poder satisfazer num prazo máximo de um mês. No contexto da gestão documental, estes direitos têm implicações operacionais concretas.
Direito de acesso (artigo 15.º)
Qualquer pessoa pode solicitar à empresa uma cópia de todos os documentos que contenham os seus dados pessoais. A empresa deve ser capaz de identificar e extrair todos os documentos associados a um indivíduo em todos os seus sistemas: gestor documental, correio eletrónico, arquivos físicos, cópias de segurança. A CNPD considera que a incapacidade técnica para satisfazer este direito constitui um incumprimento do artigo 32.º do RGPD.
Direito ao apagamento (artigo 17.º)
O titular pode solicitar a eliminação dos seus documentos, salvo quando uma obrigação legal imponha a sua conservação. Na prática, se um cliente solicitar a eliminação da cópia do Cartão de Cidadão recolhida no âmbito da Lei n.º 83/2017, a empresa pode recusar durante o prazo legal de 7 anos, mas deve destruir o documento findo esse prazo.
Direito à portabilidade (artigo 20.º)
Este direito permite ao titular obter os seus documentos num formato estruturado, de uso corrente e de leitura automática. Para documentos digitalizados, implica fornecer os ficheiros em formato standard (PDF, JPEG) acompanhados dos metadados associados (data de recolha, finalidade, prazo de conservação).
A automatização destes processos é indispensável à escala. Descubra como estruturar o seu programa de conformidade documental.
Avaliação de impacto (AIPD) para a verificação documental
A Avaliação de Impacto sobre a Proteção de Dados (AIPD) é obrigatória quando o tratamento seja suscetível de implicar um elevado risco para os direitos e liberdades das pessoas. A CNPD publicou uma lista de tratamentos que exigem AIPD, que inclui expressamente os tratamentos de verificação de identidade em larga escala.
Quando é obrigatória uma AIPD
Uma AIPD é necessária quando o tratamento documental preenche pelo menos dois dos seguintes critérios: tratamento em larga escala, dados sensíveis (biometria, documentos de identificação), monitorização sistemática, cruzamento de dados, pessoas vulneráveis. Na prática, qualquer empresa que verifique a identidade de mais de algumas centenas de pessoas por ano deve realizar uma AIPD para os seus processos de verificação documental.
Metodologia em quatro fases
A metodologia recomendada estrutura-se em quatro fases. Primeira, a descrição do tratamento: que documentos são recolhidos, por quem, com que finalidade, com que ferramentas. Segunda, a avaliação da necessidade e proporcionalidade: todos os documentos recolhidos são indispensáveis, os prazos de conservação estão justificados, existe uma alternativa menos intrusiva. Terceira, a avaliação dos riscos: que ameaças existem (violação de dados, acesso não autorizado, perda) e que impacto teriam sobre os titulares. Quarta, as medidas de mitigação: cifragem, pseudonimização, controlo de acessos, formação do pessoal.
O Encarregado da Proteção de Dados (EPD) deve ser consultado durante a elaboração da AIPD. Se o risco residual permanecer elevado após a aplicação das medidas, a empresa deve consultar a CNPD antes de iniciar o tratamento.
Medidas técnicas e organizativas
O RGPD exige a implementação de medidas técnicas e organizativas adequadas para garantir a segurança dos dados pessoais contidos nos documentos. Estas medidas devem ser proporcionais ao risco e documentadas no registo de atividades de tratamento.
Cifragem e controlo de acessos
A cifragem de documentos em repouso (AES-256) e em trânsito (TLS 1.3) constitui a base técnica mínima. Conheça os nossos padrões de segurança e as medidas que aplicamos ao tratamento documental. O controlo de acessos baseado em perfis (RBAC) garante que apenas o pessoal autorizado acede aos documentos relevantes: um responsável de recursos humanos acede aos recibos de vencimento, mas não aos expedientes KYC do departamento de conformidade.
A autenticação multifator (MFA) é recomendável para o acesso a sistemas de gestão documental que contenham dados sensíveis. A CNPD considera que a ausência de MFA para tratamentos de alto risco pode constituir um incumprimento do artigo 32.º do RGPD.
Rastreabilidade e registos de auditoria
Cada acesso, modificação ou eliminação de um documento deve ser registado num diário de auditoria datado e resistente a adulteração. Estes registos permitem demonstrar a conformidade durante as inspeções da CNPD e detetar acessos não autorizados. Cada entrada deve incluir a identidade do utilizador, a ação realizada, a marca temporal e o documento afetado.
Anonimização e pseudonimização
Quando os documentos já não são necessários na sua forma completa, a pseudonimização (substituição de identificadores diretos por códigos) ou a anonimização (eliminação irreversível de todo o elemento identificativo) permitem conservar dados para fins estatísticos ou analíticos, respeitando o princípio da minimização.
Para as empresas do setor financeiro, estas medidas enquadram-se num contexto mais amplo de conformidade. Descubra as nossas soluções para financiamento e leasing.
Formação e sensibilização
As medidas técnicas são ineficazes sem uma cultura de proteção de dados na organização. A formação dos colaboradores que manuseiam documentos pessoais deve abranger os princípios do RGPD, os procedimentos internos de conservação e destruição, e os protocolos de atuação perante uma violação de dados (notificação à CNPD no prazo de 72 horas).
Perguntas frequentes
É obrigatório nomear um Encarregado da Proteção de Dados para gerir documentos com dados pessoais
A designação de um EPD é obrigatória para organismos públicos e para entidades cuja atividade principal consista no tratamento em larga escala de dados sensíveis ou na monitorização regular e sistemática de titulares em larga escala. A Lei n.º 58/2019 não alarga esta obrigação a setores específicos como acontece noutros países europeus, mas a CNPD recomenda a designação de um EPD a qualquer entidade que trate regularmente documentos de identificação.
Durante quanto tempo pode conservar-se uma cópia do Cartão de Cidadão
Nos termos da Lei n.º 83/2017, as cópias de documentos de identificação recolhidas no âmbito de obrigações KYC devem ser conservadas durante 7 anos após o fim da relação comercial. Fora deste contexto, a conservação deve limitar-se ao prazo estritamente necessário para a finalidade, acrescido do prazo de prescrição aplicável (geralmente 5 anos nos termos do artigo 309.º do Código Civil).
O que fazer em caso de violação de dados que afete documentos com dados pessoais
Perante uma violação de dados, o responsável pelo tratamento deve notificar a CNPD no prazo de 72 horas a contar do conhecimento do incidente. Se a violação for suscetível de implicar um elevado risco para os direitos e liberdades dos titulares, estes devem ser igualmente informados sem demora injustificada. A empresa deve documentar o incidente, as suas consequências e as medidas corretivas num registo interno de violações.
O RGPD aplica-se a documentos em papel
O RGPD aplica-se a todo o tratamento de dados pessoais, incluindo ficheiros em papel estruturados (processos organizados por nome, número de cliente ou data). Os arquivos físicos estão sujeitos às mesmas regras de conservação, acesso e destruição que os documentos digitais. A destruição deve ser realizada por trituração de corte cruzado conforme a norma DIN 66399 (nível P-4 mínimo).
A notificação de violação de dados é sempre obrigatória
A notificação à CNPD é obrigatória sempre que a violação de dados pessoais seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. Se o risco for improvável (por exemplo, documentos cifrados e a chave não foi comprometida), a notificação não é obrigatória, mas o incidente deve ser documentado no registo interno. Em caso de dúvida, a CNPD recomenda a notificação.
Estruturar a conformidade documental
A conformidade RGPD na gestão documental não é um projeto pontual, mas um processo contínuo. Comece por auditar os seus tratamentos documentais atuais, defina prazos de conservação alinhados com a legislação portuguesa e as orientações da CNPD, e implemente medidas técnicas proporcionais aos riscos identificados na AIPD.
Para uma visão abrangente da conformidade documental para além do RGPD, consulte o nosso guia completo de conformidade documental. Se tiver questões específicas sobre a adequação dos seus processos, não hesite em contactar-nos para falar com a nossa equipa. Explore também todos os nossos artigos sobre conformidade e proteção de dados no nosso blog.