RGPD em RH: Tratamento de Dados dos Colaboradores
O RGPD impõe aos serviços de RH obrigações rigorosas sobre o tratamento de dados pessoais dos colaboradores. Descubra como responder de forma concreta.
9 min
Guia de conformidade 2026
Assinatura eletrônica e RGPD: guia para DPOs
A adoção de uma solução de assinatura eletrônica levanta várias questões de RGPD: onde os dados são hospedados? Quem pode acessá-los? Há risco de Cloud Act? Este guia responde a essas perguntas e explica como escolher uma solução em conformidade com o RGPD para sua organização.
Atualizado em
Quais dados pessoais uma solução de assinatura eletrônica processa?
Uma plataforma de assinatura eletrônica processa várias categorias de dados pessoais.
- Identidade do signatário: nome, sobrenome, email, número de telefone
- Conteúdo dos documentos: potencialmente dados pessoais sensíveis (contratos de trabalho, dados de saúde, dados financeiros)
- Dados de audit trail: endereço IP, timestamp, user-agent
- Dados comportamentais: traço de assinatura manuscrita em tablet (se QES biométrico)
Hospedagem e transferências fora da UE
O RGPD exige que os dados pessoais sejam transferidos para fora da UE apenas para países que ofereçam um nível adequado de proteção ou sob garantias apropriadas (SCCs, BCRs). Para soluções de assinatura, isso significa:
- Hospedagem UE → transferência nativa, sem formalidades adicionais
- Hospedagem US com SCCs → possível, mas risco residual do Cloud Act
- Entidade US (Cloud Act) → risco não eliminável mesmo com hospedagem na UE
Cloud Act americano e assinatura eletrônica
O Cloud Act (2018) autoriza as autoridades americanas a acessar dados hospedados por empresas de direito americano, mesmo que esses dados sejam armazenados na Europa. DocuSign, Adobe Sign e Dropbox Sign são empresas americanas sujeitas ao Cloud Act. Certyneo é uma entidade francesa, não sujeita a essa extraterritorialidade.
| Solution | Nível de risco do Cloud Act por solução |
|---|---|
| Certyneo | Sem risco — entidade francesa |
| Yousign | Sem risco — entidade francesa |
| DocuSign | Risco residual — entidade americana |
| Adobe Acrobat Sign | Risco residual — entidade americana |
| Dropbox Sign | Risco residual — entidade americana |
DPA e bases legais
O processamento de dados por uma solução de assinatura deve ser baseado em uma base legal válida (contrato, interesse legítimo ou consentimento). Um Data Processing Agreement (DPA) deve ser celebrado com o provedor de assinatura. Certyneo oferece um DPA em conformidade com RGPD, assinável eletronicamente, com os elementos exigidos pelo artigo 28 do RGPD.
Recomendações para DPOs
- 1Escolha um provedor cuja entidade legal seja domiciliada na UE ou no Reino Unido (pós-Brexit com decisão de adequação)
- 2Verifique se a hospedagem é exclusivamente na UE, sem replicação em servidores fora da UE
- 3Obtenha e assine um DPA em conformidade com o artigo 28 do RGPD
- 4Documente a análise de impacto (AIPD) se processar dados sensíveis em seus documentos
- 5Verifique o período de retenção de dados e a política de exclusão ao término do contrato
Perguntas sobre RGPD e assinatura eletrônica
- Uma assinatura eletrônica implica processamento de dados pessoais?
- Sim. O email, nome e potencialmente o número de telefone do signatário são coletados. O conteúdo dos documentos também pode conter dados pessoais. O provedor de assinatura é um processador de dados no sentido do RGPD, sujeito às obrigações do artigo 28.
- DocuSign está em conformidade com RGPD?
- DocuSign afirma estar em conformidade com RGPD e oferece SCCs. Porém, sendo uma empresa americana, permanece sujeita ao Cloud Act. A CNIL reiterou que o Cloud Act cria um risco não eliminável para dados europeus hospedados por entidades americanas, mesmo na UE.
- Certyneo está em conformidade com RGPD?
- Sim. Certyneo é uma entidade francesa, hospedada na UE (IONOS Alemanha), não sujeita ao Cloud Act. Os dados são criptografados em trânsito (TLS 1.3) e em repouso. Certyneo oferece um DPA em conformidade com o artigo 28 do RGPD.
- É necessário realizar uma AIPD para o uso de uma solução de assinatura?
- Uma AIPD não é sistematicamente obrigatória para assinatura eletrônica padrão. Ela é necessária se você assinar documentos contendo dados sensíveis (saúde, RH com dados sindicais, etc.) ou se o uso da assinatura envolver perfilagem ou vigilância em larga escala.
Artigos recomendados
RGPD em RH: Tratamento de Dados dos Colaboradores
O RGPD impõe aos empregadores regras rigorosas sobre a coleta e o tratamento de dados pessoais de seus colaboradores. Descubra como garantir sua conformidade e evitar sanções.
8 min
Assinatura eletrônica RH & RGPD: guia completo 2026
Entre eIDAS, RGPD e gestão de dados pessoais dos colaboradores, a assinatura eletrônica de seus documentos RH obedece a regras rigorosas. Descubra como permanecer em conformidade.
9 min
Assinatura eletrônica no setor médico: RGPD & HDS
O setor médico está sujeito às restrições mais rigorosas em matéria de conformidade digital. Descubra como implementar uma assinatura eletrônica legal, compatível com RGPD e certificada HDS para seus estabelecimentos de saúde.
9 min
RGPD em RH: Tratamento de Dados de Colaboradores
RGPD e recursos humanos: bases legais, registro de tratamento, prazos de conservação e direitos dos colaboradores em 2026.
4 min
Proteção de dados de clientes e-commerce: Conformidade LGPD
Conformidade LGPD para e-comerciantes: política de privacidade, consentimento de cookies, segurança de dados e contratos de fornecedores assinados eletronicamente.
4 min