Como este tema funciona no porte da sua empresa
O principal cuidado é garantir que a plataforma contratada tenha política de privacidade clara, informe os signatários sobre o tratamento de dados e não use esses dados para finalidade diferente da assinatura. O gestor verifica isso antes de contratar — não é necessário processo formal, mas a verificação é obrigatória.
Com volume maior de documentos, a empresa torna-se controladora de dados pessoais de múltiplos signatários — clientes, fornecedores, colaboradores. O processo de assinatura eletrônica passa a fazer parte do mapeamento de dados (ROPA) que a organização mantém para demonstrar conformidade com a LGPD.
A conformidade da plataforma de assinatura com a LGPD faz parte do processo formal de avaliação de fornecedores que tratam dados pessoais. O DPO (encarregado de proteção de dados) é envolvido na contratação e na definição das cláusulas contratuais de proteção de dados.
Assinatura eletrônica e LGPD se conectam porque o processo de assinar um documento eletronicamente envolve necessariamente a coleta de dados pessoais dos signatários — nome, e-mail, CPF, endereço IP, data e hora, e, em alguns casos, geolocalização e biometria. Esses dados compõem a trilha de auditoria que confere validade ao ato da assinatura, e seu tratamento deve estar em conformidade com a Lei Geral de Proteção de Dados: com finalidade específica declarada, base legal adequada e transparência para o signatário.
Quais dados pessoais são coletados no processo de assinatura eletrônica
O processo de assinatura eletrônica coleta dados pessoais dos signatários como parte estrutural da trilha de auditoria — não como consequência colateral, mas como requisito técnico para comprovar quem assinou, quando, de onde e por qual meio.
Os dados coletados variam conforme o nível de assinatura e a plataforma utilizada:
- Assinatura simples: nome do signatário (fornecido por ele), endereço de e-mail (usado para o convite e para a autenticação), endereço IP do dispositivo usado na assinatura, data e hora do ato.
- Assinatura avançada: além dos dados acima, pode incluir número de CPF (para verificação de identidade), código SMS enviado para o celular (registro do número de telefone), e, em algumas plataformas, geolocalização do dispositivo no momento da assinatura.
- Assinatura qualificada com certificado ICP-Brasil: os dados do certificado digital (nome, CPF, CNPJ vinculados ao certificado) são parte da assinatura criptográfica e ficam embutidos no documento assinado.
- Biometria: algumas plataformas oferecem reconhecimento facial ou de documento como método de autenticação. Quando usados, esses dados biométricos são categorizados pela LGPD como dados sensíveis, com tratamento mais restrito.
Todos esses dados integram o registro de auditoria do documento — o log que a plataforma gera e que fica associado ao arquivo assinado. É justamente esse log que permite provar, em caso de questionamento, que a assinatura é autêntica.
Base legal para o tratamento dos dados no processo de assinatura
O tratamento dos dados coletados no processo de assinatura eletrônica tem base legal clara na LGPD, mas o contexto determina qual hipótese se aplica — e o gestor deve conhecer as principais sem precisar de análise jurídica aprofundada.
Execução de contrato: quando a assinatura faz parte de um contrato entre a empresa e o signatário (por exemplo, um contrato de prestação de serviços com um cliente), a base legal é a execução desse contrato. Os dados são coletados para possibilitar e comprovar o ato jurídico — há fundamento direto.
Obrigação legal: em documentos trabalhistas (admissão, demissão, termos de rescisão), a empresa tem obrigação legal de manter o registro. A assinatura eletrônica é o meio pelo qual esse registro é feito — a base legal é a conformidade com obrigação prevista em norma.
Legítimo interesse: em casos em que nem o contrato nem a obrigação legal se aplicam diretamente, a plataforma pode usar legítimo interesse como base — mas esse fundamento é mais sensível e exige análise cuidadosa. Para dúvidas sobre a base legal aplicável a um tipo específico de documento, consultar um especialista em proteção de dados.
O ponto prático para o gestor: a coleta de dados para fins de assinatura e auditoria do documento é, em regra, juridicamente sustentada. O problema surge quando esses dados são usados para outra finalidade — marketing, enriquecimento de base, análise de comportamento — sem base legal adicional.
A verificação é informal: antes de contratar a plataforma, o gestor lê a política de privacidade e confirma que os dados são usados apenas para o processo de assinatura. Não é necessário envolver DPO ou fazer mapeamento formal.
O processo de assinatura eletrônica entra no ROPA (Registro de Operações de Tratamento de Dados) da empresa. O gestor administrativo fornece as informações sobre o processo para o responsável pela conformidade com a LGPD — tipo de dados coletados, finalidade, prazo de retenção, plataforma utilizada.
A plataforma é avaliada formalmente pelo DPO e pela área de segurança da informação antes da contratação. O contrato com a plataforma inclui cláusulas específicas de proteção de dados, incluindo o papel da plataforma como operadora dos dados dos signatários.
O que o gestor deve verificar antes de contratar uma plataforma de assinatura
Antes de contratar uma plataforma de assinatura eletrônica, o gestor administrativo deve responder a estas perguntas com base na documentação e na política da plataforma — não basta perguntar ao vendedor.
- A plataforma tem política de privacidade acessível e clara? A política deve identificar quais dados são coletados, para qual finalidade e por quanto tempo são retidos.
- A plataforma informa os signatários sobre o tratamento de dados? Em geral isso é feito no momento da assinatura, por meio de aviso ou link para a política de privacidade. Verifique se o fluxo da plataforma inclui esse aviso.
- A plataforma define prazo de retenção dos dados? Dados de signatários não devem ser retidos indefinidamente. Verificar qual é o prazo definido e se ele é compatível com as necessidades da empresa.
- A plataforma permite exclusão de dados quando solicitado? A LGPD assegura ao titular o direito de solicitar a exclusão de seus dados. A plataforma deve ter processo para atender esse tipo de solicitação.
- A plataforma tem DPO identificado? Empresas que tratam dados pessoais em escala devem ter um encarregado identificado. A presença de DPO é um indicador de maturidade em proteção de dados.
- Os dados são armazenados em servidores no Brasil ou no exterior? Transferência internacional de dados tem regras específicas na LGPD. Verificar onde os dados são armazenados e se há salvaguardas adequadas para transferência internacional.
O que informar ao signatário e o que não fazer com os dados coletados
Boas práticas de transparência com o signatário começa com informar, no momento da assinatura, que o processo coleta dados e para qual finalidade — autenticar a assinatura e manter a trilha de auditoria do documento. Essa informação já está presente na maioria das plataformas estruturadas, mas o gestor deve confirmar que o fluxo da plataforma contratada inclui esse aviso.
O que não fazer: usar os dados coletados no processo de assinatura para outra finalidade. Um exemplo concreto — incluir o e-mail do signatário na lista de marketing da empresa sem que ele tenha dado consentimento específico para isso. O dado foi coletado para a assinatura; usá-lo para enviar comunicações comerciais sem base legal é uma violação da LGPD, independentemente de a coleta original ter sido legítima.
Para dúvidas sobre a adequação formal do processo de assinatura eletrônica à LGPD — especialmente em situações que envolvem volume alto de signatários externos, dados biométricos ou transferência internacional de dados — consultar um especialista em proteção de dados ou verificar as orientações da ANPD (Autoridade Nacional de Proteção de Dados).
Sinais de que a empresa precisa revisar a conformidade do processo de assinatura com a LGPD
Se você se reconhece em três ou mais cenários abaixo, o processo de assinatura eletrônica provavelmente tem lacunas de conformidade que devem ser endereçadas.
- A plataforma de assinatura foi contratada sem verificar a política de privacidade e a conformidade com a LGPD.
- Os signatários não são informados sobre quais dados são coletados no momento da assinatura.
- O processo de assinatura não está incluído no mapeamento de dados (ROPA) da empresa.
- A empresa não sabe por quanto tempo a plataforma retém os dados dos signatários.
- Não há processo definido para atender pedido de exclusão de dados de um signatário.
- E-mails ou dados de signatários coletados no processo de assinatura estão sendo usados para outras finalidades sem consentimento específico.
Caminhos para garantir conformidade com a LGPD no processo de assinatura
Há dois caminhos para endereçar a conformidade do processo de assinatura com a LGPD, dependendo da complexidade do uso e do volume de signatários envolvidos.
O gestor administrativo verifica a conformidade da plataforma antes de contratar e garante que o processo inclui a informação adequada ao signatário.
- Perfil necessário: gestor administrativo com apoio do responsável pela conformidade com LGPD da empresa (se houver) ou verificação direta da política da plataforma.
- Tempo estimado: verificação prévia de 1 a 2 dias antes da contratação; atualização do ROPA em 1 a 2 semanas.
- Faz sentido quando: o volume de signatários é gerenciável, os dados coletados são básicos (não há biometria) e a plataforma tem documentação clara de conformidade.
- Risco principal: usar uma plataforma que não informa adequadamente os signatários ou que retém dados por prazo indefinido.
Especialista em proteção de dados ou consultoria jurídica especializada conduz a avaliação formal da plataforma e do processo.
- Tipo de fornecedor: Conformidade e LGPD, Assinatura Eletrônica / Certificação Digital, TI.
- Vantagem: análise formal da base legal aplicável, revisão das cláusulas contratuais com a plataforma, inclusão correta no ROPA com terminologia adequada.
- Faz sentido quando: a empresa tem volume alto de signatários externos, usa dados biométricos, realiza transferência internacional de dados ou precisa de avaliação formal pelo DPO.
- Resultado típico: processo de assinatura mapeado no ROPA, contrato com a plataforma revisado com cláusulas de proteção de dados, e orientações documentadas para a equipe.
Precisa de apoio para garantir que o processo de assinatura eletrônica da sua empresa está em conformidade com a LGPD?
Se a conformidade do processo de assinatura com a LGPD é uma prioridade, o oHub conecta a sua empresa, de forma gratuita, a fornecedores especializados em proteção de dados e assinatura eletrônica. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
A plataforma de assinatura eletrônica precisa estar em conformidade com a LGPD?
Sim. A plataforma coleta dados pessoais dos signatários como parte do processo de autenticação e da trilha de auditoria. Ela opera como processadora de dados pessoais em nome da empresa contratante — que é a controladora. A plataforma deve ter política de privacidade, informar os signatários, definir prazo de retenção e ter processo para atender pedidos de exclusão de dados.
Quais dados pessoais são coletados no processo de assinatura eletrônica?
Dependendo do nível de assinatura: nome, e-mail, CPF (quando exigido), endereço IP, data e hora do ato, geolocalização (em algumas plataformas) e, em plataformas avançadas, biometria. Todos esses dados compõem a trilha de auditoria que confere validade ao documento assinado.
O signatário precisa ser informado sobre o tratamento de dados?
Sim. A LGPD exige que o titular dos dados seja informado sobre a coleta, a finalidade e o tratamento. Em plataformas de assinatura, isso normalmente é feito no momento da assinatura, por meio de aviso ou link para a política de privacidade. O gestor deve confirmar que o fluxo da plataforma contratada inclui essa informação.
Como garantir conformidade com a LGPD no uso de assinatura eletrônica?
Verificar a política de privacidade da plataforma antes da contratação, confirmar que os signatários são informados sobre o tratamento de dados, incluir o processo no mapeamento de dados (ROPA) da empresa e não usar os dados coletados para outras finalidades sem base legal adicional. Para casos mais complexos, consultar especialista em proteção de dados.
O que exigir da plataforma de assinatura em relação à LGPD?
Política de privacidade acessível e clara, informação ao signatário no momento da assinatura, prazo de retenção dos dados definido, processo para atender pedidos de exclusão, DPO identificado e documentação sobre onde os dados são armazenados. Plataformas maduras em conformidade têm essas informações disponíveis em sua documentação pública ou fornecida mediante solicitação.
Fontes e referências
- ANPD — Autoridade Nacional de Proteção de Dados. Orientações sobre conformidade com a LGPD para empresas. Disponível em: gov.br/anpd.
- Conteúdo baseado em interpretação operacional das hipóteses de tratamento previstas na LGPD aplicadas ao processo de assinatura eletrônica. Para adequação formal, consultar especialista em proteção de dados ou as orientações da ANPD.