Ir para o conteúdo principal
Certyneo
Guia de conformidade 2026

Assinatura eletrónica e RGPD: guia para DPO

A adoção de uma solução de assinatura eletrónica coloca várias questões RGPD: onde estão alojados os dados? Quem pode aceder-lhes? Existe risco do Cloud Act? Este guia responde a estas questões e explica como escolher uma solução em conformidade com o RGPD para a sua organização.

Atualizado em

Que dados pessoais trata uma solução de assinatura?

Uma plataforma de assinatura eletrónica trata várias categorias de dados pessoais.

  • Identidade do signatário: nome, apelido, email, número de telefone
  • Conteúdo dos documentos: potencialmente dados pessoais sensíveis (contratos de trabalho, dados de saúde, dados financeiros)
  • Dados de auditoria: endereço IP, timestamp, user-agent
  • Dados comportamentais: padrão de assinatura manuscrita em tablet (se QES biométrico)

Alojamento e transferências fora da UE

O RGPD impõe que os dados pessoais apenas sejam transferidos fora da UE para países que ofereçam um nível de proteção adequado ou sob garantias apropriadas (SCCs, BCRs). Para as soluções de assinatura, isto significa:

  • Alojamento UE → transferência nativa, sem formalidades adicionais
  • Alojamento EUA com SCCs → possível mas risco residual do Cloud Act
  • Entidade EUA (Cloud Act) → risco não eliminável mesmo com alojamento UE

Cloud Act americano e assinatura eletrónica

O Cloud Act (2018) autoriza as autoridades americanas a aceder aos dados alojados por empresas de direito americano, mesmo que esses dados estejam armazenados na Europa. DocuSign, Adobe Sign e Dropbox Sign são empresas americanas sujeitas ao Cloud Act. Certyneo é uma entidade francesa, não sujeita a esta extraterritorialidade.

SolutionNível de risco do Cloud Act por solução
CertyneoSem risco — entidade francesa
YousignSem risco — entidade francesa
DocuSignRisco residual — entidade americana
Adobe Acrobat SignRisco residual — entidade americana
Dropbox SignRisco residual — entidade americana

DPA e bases legais

O tratamento de dados por uma solução de assinatura deve basear-se numa base legal válida (contrato, interesse legítimo ou consentimento). Um Data Processing Agreement (DPA) deve ser celebrado com o prestador de assinatura. Certyneo oferece um DPA em conformidade com RGPD, assinável eletronicamente, com os elementos exigidos pelo artigo 28 do RGPD.

Recomendações para DPO

  1. 1Escolha um prestador cuja entidade legal esteja estabelecida na UE ou no Reino Unido (pós-Brexit com decisão de adequação)
  2. 2Verifique que o alojamento é exclusivamente na UE, sem replicação em servidores fora da UE
  3. 3Obtenha e assine um DPA em conformidade com o artigo 28 do RGPD
  4. 4Documente a análise de impacto (AIPD) se tratar dados sensíveis nos seus documentos
  5. 5Verifique o período de retenção de dados e a política de eliminação no final do contrato

Perguntas RGPD sobre assinatura eletrónica

A assinatura eletrónica implica um tratamento de dados pessoais?
Sim. O email, o nome e potencialmente o número de telefone do signatário são recolhidos. O conteúdo dos documentos pode também conter dados pessoais. O prestador de assinatura é um subcontratante no sentido do RGPD, sujeito às obrigações do artigo 28.
DocuSign está em conformidade com o RGPD?
DocuSign afirma estar em conformidade com o RGPD e oferece SCCs. Contudo, como empresa americana, permanece sujeita ao Cloud Act. A CNIL recalcou que o Cloud Act cria um risco não eliminável para dados europeus alojados por entidades EUA, mesmo na UE.
Certyneo está em conformidade com o RGPD?
Sim. Certyneo é uma entidade francesa, alojada na UE (IONOS Alemanha), não sujeita ao Cloud Act. Os dados estão encriptados em trânsito (TLS 1.3) e em repouso. Certyneo oferece um DPA em conformidade com o artigo 28 do RGPD.
É necessário realizar uma AIPD para a utilização de uma solução de assinatura?
Uma AIPD não é sistematicamente exigida para a assinatura eletrónica padrão. É obrigatória se assinar documentos contendo dados sensíveis (saúde, RH com dados sindicais, etc.) ou se a sua utilização da assinatura envolve perfilagem ou monitorização em larga escala.
As nossas garantias de segurança · Guia de assinatura eletrónica · Regulamento eIDAS

Artigos recomendados

RGPD em RH: Tratamento de dados de funcionários

O RGPD impõe aos empregadores regras rigorosas sobre a coleta e o tratamento de dados pessoais de seus funcionários. Descubra como garantir sua conformidade e evitar sanções.

8 min

Assinatura eletrônica RH & RGPD: guia completo 2026

Entre eIDAS, RGPD e gestão de dados pessoais de colaboradores, a assinatura eletrônica de seus documentos RH obedece a regras rigorosas. Descubra como manter conformidade.

9 min
Two doctors looking at a tablet together

Assinatura eletrônica setor médico: RGPD & HDS

O setor médico está sujeito aos requisitos mais rigorosos em conformidade digital. Descubra como implantar uma assinatura eletrônica legal, RGPD-conforme e certificada HDS para seus estabelecimentos de saúde.

9 min
Digitalisation des processus administratifs — équipe en réunion de travail
Sécurité

Proteção de dados de clientes de comércio eletrônico: conformidade com GDPR

4 min
Digitalisation des processus administratifs — équipe en réunion de travail
Sécurité

GDPR em RH: Processamento de Dados de Funcionários

4 min
Digitalisation des processus administratifs — équipe en réunion de travail
Signature électronique

Proteção dados saúde: Conformidade GDPR profissionais

4 min

Uma solução de assinatura em conformidade com RGPD

Entidade francesa, alojamento UE exclusivo, DPA disponível, fora do Cloud Act.