Como este tema funciona no porte da sua empresa
Os documentos com dados pessoais mais frequentes são os de RH (fichas de funcionários, exames, contratos de trabalho) e de clientes (cadastros, contratos). Digitalizar sem controle de acesso cria um risco desproporcional ao tamanho da empresa: um arquivo digital de RH acessível por todos os funcionários expõe salários, endereços e dados de saúde de pessoas identificadas. O passo mínimo é restringir o acesso a esses documentos por configuração de pasta.
O volume de documentos com dados pessoais já justifica uma política de acesso por tipo de documento. O fornecedor de digitalização precisa assinar contrato com cláusulas de proteção de dados — o gestor administrativo é responsável por garantir esse instrumento antes de entregar o acervo para digitalização terceirizada.
Há DPO (encarregado de dados) e política de proteção de dados estabelecida. O gestor administrativo executa dentro dessa política, garantindo que o processo de digitalização e o arquivo digital resultante estão alinhados com os controles e com a política de retenção e descarte aprovados.
A relação entre digitalização e proteção de dados decorre do fato de que documentos físicos, ao serem digitalizados, não perdem as obrigações legais sobre os dados pessoais que contêm — e passam a ter risco ampliado de acesso, cópia e compartilhamento indevidos. Os controles operacionais que o gestor administrativo precisa garantir são: acesso restrito à finalidade que justificou a guarda do documento, prazo de guarda respeitado com exclusão definitiva ao término, e contrato com cláusulas de proteção de dados com qualquer fornecedor que processe esses documentos.
O que muda no arquivo digital quando há dados pessoais nos documentos
Digitalizar um documento que contém dados pessoais não transfere as obrigações de proteção para a cópia digital — mantém as mesmas obrigações do original físico, com riscos adicionais específicos do formato digital.
No arquivo físico, quem quer acessar um documento precisa estar fisicamente no local, abrir a pasta, retirar o documento — ações visíveis e rastreáveis por observação direta. No arquivo digital, o acesso pode ocorrer remotamente, sem presença física, e sem deixar rastro se não houver trilha de auditoria ativa. Um único download pode copiar centenas de fichas de funcionários com CPF, endereço e dados de saúde sem nenhum sinal visível.
Isso não significa que o arquivo digital é necessariamente mais arriscado — significa que os controles precisam ser adaptados ao ambiente digital. O mesmo documento que no arquivo físico era acessado por uma pessoa de vez, no digital pode ser acessado por cem pessoas simultaneamente se as permissões não forem configuradas.
Quais documentos digitalizados contêm dados pessoais
A identificação dos documentos com dados pessoais no acervo é o ponto de partida para definir quais pastas do arquivo digital precisam de controle de acesso mais restritivo.
| Tipo de documento | Dados pessoais presentes | Titular dos dados |
|---|---|---|
| Fichas de admissão e demissão, contratos de trabalho | CPF, RG, endereço, data de nascimento, dados bancários | Funcionário |
| Exames médicos, ASOs, laudos | Dados de saúde (dado pessoal sensível) | Funcionário |
| Folhas de pagamento, holerites | Salário, descontos, dados bancários | Funcionário |
| Contratos com clientes, propostas aprovadas | Nome, CPF ou CNPJ, endereço, dados de contato | Cliente / Pessoa física |
| Notas fiscais ao consumidor (NF-e ou cupom fiscal) | CPF do consumidor (quando informado) | Consumidor |
| Cadastros de fornecedores pessoa física | CPF, dados de contato | Fornecedor pessoa física |
Documentos que não contêm dados pessoais — manuais, plantas, catálogos, certidões de pessoa jurídica — não estão sujeitos às mesmas obrigações e podem ter acesso mais amplo no arquivo digital.
Os quatro controles operacionais que o gestor precisa garantir
As obrigações de proteção de dados se traduzem em quatro controles operacionais concretos para o arquivo digital.
- Acesso restrito por finalidade e perfil: cada documento com dados pessoais deve ser acessível apenas por quem tem necessidade funcional para isso. O arquivo de exames médicos de funcionários, por exemplo, é acessado pelo RH para controle de validade do ASO — não pelo gestor financeiro, não pelo marketing, não pelo comercial. Configurar as permissões do arquivo digital por tipo de documento e por cargo é a implementação prática desse controle.
- Prazo de guarda respeitado com exclusão definitiva: dados pessoais devem ser descartados após o prazo de guarda — não quando "sobrar tempo" ou "alguém se lembrar". No arquivo digital, isso significa exclusão definitiva do arquivo (não apenas mover para lixeira ou remover da indexação), sem possibilidade de recuperação. Quando a guarda do documento ainda é necessária mas o dado pessoal específico não é, a alternativa é a anonimização — substituir o CPF ou o nome por identificador não vinculável à pessoa real.
- Finalidade definida para o acesso: o documento digitalizado deve ser acessado apenas para a finalidade que justificou sua guarda. O contrato de trabalho é guardado para fins trabalhistas — não para consulta livre de qualquer gestor que queira verificar os termos acordados. Definir explicitamente a finalidade de cada tipo de documento no arquivo digital é o que fundamenta a restrição de acesso.
- Contrato com cláusulas de proteção de dados com o fornecedor: o fornecedor de digitalização que processa documentos com dados pessoais está tratando esses dados em nome da empresa — é um operador de dados. A empresa é a responsável pelo tratamento e precisa garantir, por contrato, que o fornecedor mantém confidencialidade, não usa os dados para finalidade própria e adota medidas de segurança adequadas. Para detalhes sobre a formalização desse instrumento, ver o artigo "Segurança e sigilo na digitalização".
Descarte de dados pessoais no arquivo digital: como fazer corretamente
Mover um arquivo para a lixeira e esvaziar a lixeira não é exclusão definitiva — dependendo do sistema, o arquivo permanece recuperável por outros meios. Para garantir que dados pessoais foram de fato descartados após o prazo de guarda, o processo de exclusão precisa ser definitivo e verificável.
As abordagens práticas variam por tipo de sistema. Em serviços de nuvem corporativos, a exclusão definitiva exige confirmação em dois passos (excluir da pasta e excluir da lixeira permanente) e, em alguns sistemas, período de retenção configurável pelo administrador. Em sistemas de GED, a função de descarte automático ao término do prazo de guarda pode ser configurada como regra. Em armazenamento local (NAS, servidor), a exclusão definitiva pode requerer ferramenta de sobrescrita de dados para garantir que o arquivo não seja recuperável por software de recuperação de dados.
Quando a empresa precisa manter o documento por obrigação legal mas não precisa mais do dado pessoal nele contido, a anonimização é a alternativa: retirar ou substituir os campos identificadores (CPF, nome, endereço) por identificadores não vinculáveis à pessoa, mantendo os demais dados do documento para os fins que justificam a guarda.
Formalização com o fornecedor de digitalização
O fornecedor de digitalização que processa documentos com dados pessoais precisa de instrumento contratual que formalize as obrigações de proteção de dados — independentemente do porte da empresa contratante.
Cláusula de confidencialidade e de proteção de dados no próprio contrato de serviço é o mínimo necessário. A cláusula deve proibir o uso dos dados para finalidade própria do fornecedor e obrigar a exclusão dos dados após a entrega do projeto.
DPA (Data Processing Agreement) formalizado como anexo contratual, com cláusulas específicas sobre: finalidade do tratamento, medidas de segurança adotadas pelo fornecedor, obrigação de notificação de incidentes, prazo de exclusão dos dados após entrega e responsabilidades em caso de incidente.
O DPA é parte do processo de onboarding de qualquer fornecedor que trate dados pessoais. O encarregado de dados (DPO) ou a área jurídica valida o instrumento antes da assinatura do contrato de serviço.
Sinais de que a empresa precisa revisar os controles de proteção de dados no arquivo digital
Se você se reconhece em três ou mais cenários abaixo, há lacunas nos controles de proteção de dados do arquivo digital.
- Documentos digitalizados com dados pessoais de funcionários ou clientes são acessíveis por qualquer funcionário sem restrição.
- Não há contrato com cláusulas de proteção de dados com o fornecedor de digitalização que processou documentos com dados pessoais.
- O arquivo digital não tem controle de acesso por perfil — qualquer pessoa com acesso à pasta vê todos os documentos.
- Não há processo de exclusão definitiva de dados pessoais após o prazo de guarda — o arquivo cresce sem descarte.
- A empresa não sabe quais documentos no arquivo digital contêm dados pessoais sujeitos a controles específicos.
Caminhos para adequar o arquivo digital aos controles de proteção de dados
Há dois caminhos para estruturar os controles de proteção de dados no arquivo digital, com nível de complexidade que varia conforme o volume de documentos com dados pessoais e a maturidade dos sistemas da empresa.
Configurar controle de acesso e processo de descarte com o time e os sistemas disponíveis.
- Perfil necessário: responsável de TI para configurar as permissões de acesso e o processo de exclusão definitiva; gestor administrativo para definir a política de acesso por tipo de documento.
- Tempo estimado: 2 a 6 semanas para mapear os documentos com dados pessoais, definir as permissões e configurar o controle de acesso.
- Faz sentido quando: a empresa tem TI interna e o volume de tipos de documento com dados pessoais é gerenciável.
- Risco principal: política de acesso mal definida que restringe demais e impede o trabalho, ou que restringe de menos e deixa lacunas.
Contar com consultoria de proteção de dados ou TI especializada para estruturar os controles e validar a conformidade.
- Tipo de fornecedor: Conformidade e LGPD, TI, Digitalização/GED, Consultoria Documental.
- Vantagem: metodologia de mapeamento de dados pessoais no acervo, configuração de GED com controle de acesso e trilha de auditoria, e validação da política de proteção de dados.
- Faz sentido quando: a empresa não tem DPO interno, o volume de documentos com dados pessoais é alto, ou há necessidade de auditoria formal de conformidade do arquivo digital.
- Resultado típico: arquivo digital com controles mapeados, política de acesso implementada e processo de descarte documentado em 1 a 3 meses.
Precisa de apoio para garantir que a digitalização dos seus documentos está em conformidade com a proteção de dados?
Se adequar o arquivo digital aos controles de proteção de dados é prioridade, o oHub conecta a sua empresa, de forma gratuita, a fornecedores de Conformidade e LGPD, TI e Digitalização/GED. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
A digitalização de documentos precisa seguir a LGPD?
Sim. Documentos digitalizados que contêm dados pessoais de funcionários, clientes ou fornecedores mantêm as mesmas obrigações de proteção de dados que o original físico — e o arquivo digital exige controles adicionais de acesso, trilha de auditoria e exclusão definitiva após o prazo de guarda, dada a facilidade de cópia e compartilhamento do formato digital.
O que fazer com documentos digitalizados que contêm dados pessoais?
Restringir o acesso por tipo de documento e por perfil de usuário, definir a finalidade do acesso, respeitar o prazo de guarda com exclusão definitiva ao término e garantir que qualquer fornecedor que processou esses documentos assinou instrumento contratual com cláusulas de proteção de dados.
Como controlar o acesso a documentos digitalizados com dados pessoais?
Configurando permissões de acesso por pasta (em serviços de nuvem) ou por perfil de usuário (em sistemas de GED) para que cada tipo de documento com dados pessoais seja acessível apenas por quem tem necessidade funcional. Documentos de RH acessíveis apenas pelo RH, documentos financeiros apenas pelo financeiro — e com trilha de auditoria para registrar quem acessou cada arquivo.
Por quanto tempo guardar documentos digitalizados com dados pessoais?
O prazo de guarda é determinado pela finalidade do documento e pelas obrigações legais correspondentes — trabalhistas, fiscais, contratuais — e não pela legislação de proteção de dados em si. Após o término do prazo de guarda, os dados pessoais devem ser excluídos definitivamente. A avaliação dos prazos específicos por tipo de documento requer orientação jurídica.
O fornecedor de digitalização precisa assinar algum documento de proteção de dados?
Sim. O fornecedor que processa documentos com dados pessoais é um operador de dados e precisa de instrumento contratual com cláusulas de proteção de dados — no mínimo, cláusula de confidencialidade e proibição de uso dos dados para finalidade própria. Para volumes maiores ou documentos mais sensíveis, formalizar um DPA (Data Processing Agreement) como anexo contratual é a prática recomendada.
Fontes e referências
- Autoridade Nacional de Proteção de Dados (ANPD). Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado. ANPD, Brasil. Disponível em: gov.br/anpd.
- Autoridade Nacional de Proteção de Dados (ANPD). Guia de boas práticas para implementação da Lei Geral de Proteção de Dados Pessoais (LGPD). ANPD, Brasil. Disponível em: gov.br/anpd.