Saltar para o conteúdo principal
Soluções

Gestão de Documentos
em Conformidade com o RGPD

Mais do que apenas assinalar uma caixa de conformidade com o GDPR. Cada decisão de arquitetura — onde os dados residem, como a IA os processa, como funciona a encriptação — foi tomada a pensar na legislação da UE. Porque somos uma empresa da UE e esta é a única forma que concebemos para o fazer.

Última atualização: abril de 2026

Precisa Realmente de um DMS em Conformidade com o GDPR?

  • Se a sua empresa armazena documentos que contêm dados pessoais — nomes, moradas, dados financeiros, registos de emprego —, o GDPR aplica-se a si. Não importa se tem 5 ou 50 000 clientes. A aplicação da lei atingiu 1,145 mil milhões de euros em coimas apenas em 2025, e os reguladores visam cada vez mais as PME, e não apenas as grandes tecnológicas.
  • Um sistema de gestão documental em conformidade com o RGPD não o torna conforme por si só. No entanto, elimina as barreiras técnicas que tornam a conformidade impossível: saber que dados possui, encontrá-los quando solicitado, controlar quem lhes acede e eliminá-los quando necessário.
  • Conclusão: Se armazena documentos com dados pessoais no Google Drive, Dropbox ou numa pasta partilhada em rede (NAS), tem um problema de GDPR do qual pode não estar ciente. Um DMS concebido especificamente para o efeito, com alojamento na UE, encriptação e registos de auditoria, dá-lhe a base técnica que o regulamento exige.

Os 7 Princípios do GDPR e o seu Impacto na Gestão Documental

O Artigo 5.º do GDPR define sete princípios que regem todo o tratamento de dados pessoais. Qualquer sistema de gestão documental que utilize deve apoiar estes princípios — caso contrário, estará a construir a conformidade sobre uma base instável. Eis o que cada princípio significa na prática ao armazenar, organizar e recuperar documentos que contêm dados pessoais.

Princípio Artigo do GDPR Implicação na Gestão Documental
Licitude, lealdade e transparência Art. 5.º, n.º 1, alínea a) Deve ter uma base jurídica para armazenar cada documento que contenha dados pessoais. O seu DMS deve deixar claro quais os dados armazenados, porquê e como são processados — os registos de auditoria e de atividade servem este requisito de transparência.
Limitação das finalidades Art. 5.º, n.º 1, alínea b) Os documentos recolhidos para uma finalidade (ex.: execução de um contrato) não podem ser reutilizados para outra sem uma nova base jurídica. O seu DMS não deve utilizar o conteúdo dos documentos para fins não relacionados — como treinar modelos de IA com os seus dados.
Minimização dos dados Art. 5.º, n.º 1, alínea c) Armazene apenas documentos que sejam adequados, pertinentes e limitados ao necessário. Um DMS com pesquisa de texto integral e classificação por IA ajuda a identificar documentos redundantes ou desnecessários para os eliminar — em vez de guardar tudo "por via das dúvidas".
Exatidão Art. 5.º, n.º 1, alínea d) Os dados pessoais devem ser exatos e atualizados. Quando um titular dos dados solicita a retificação ao abrigo do Art. 16.º, precisa de localizar todos os documentos que contêm a informação desatualizada. A pesquisa de texto integral em todo o seu arquivo torna isto viável.
Limitação da conservação Art. 5.º, n.º 1, alínea e) Os dados pessoais não devem ser conservados mais tempo do que o necessário. Isto exige prazos de retenção e a capacidade de encontrar e eliminar documentos por data, tipo e titular dos dados. Sem um DMS, aplicar a retenção em pastas dispersas é praticamente impossível.
Integridade e confidencialidade Art. 5.º, n.º 1, alínea f) Os documentos devem ser protegidos contra o acesso não autorizado, perda acidental ou destruição. Isto significa encriptação em repouso e em trânsito, controlos de acesso baseados em funções e segurança da infraestrutura — e não apenas uma palavra-passe numa pasta partilhada.
Responsabilidade (Accountability) Art. 5.º, n.º 2 Deve ser capaz de demonstrar a conformidade — e não apenas afirmá-la. Os registos de auditoria que identificam quem acedeu a que documento, quando e que ação realizou são essenciais. Se uma autoridade de controlo pedir provas, dizer "seguimos as melhores práticas" não serve de resposta.

Requisitos Técnicos para uma Gestão Documental em Conformidade com o GDPR

O GDPR não impõe tecnologias específicas — o Artigo 32.º exige "medidas técnicas e organizativas adequadas" com base no estado da arte, nos custos e no risco. Na prática, para sistemas de gestão documental que lidam com dados pessoais, quatro capacidades técnicas tornaram-se a base que as autoridades de controlo esperam. O modelo normalizado de DPIA do CEPD de março de 2026 (v1.0) reforça esta ideia, exigindo que os responsáveis pelo tratamento documentem estas medidas exatas ao avaliar o risco do tratamento.

Encriptação em Repouso e em Trânsito

O Artigo 32.º, n.º 1, alínea a), aponta a encriptação como uma medida de segurança adequada. O padrão da indústria é a encriptação AES-256 em repouso e TLS 1.2+ em trânsito. O Veluvanto utiliza SSE-C (Server-Side Encryption com chaves fornecidas pelo cliente) para dados em repouso e TLS para todos os dados em trânsito. Os seus documentos são encriptados desde o momento em que saem do seu navegador até ao momento em que são armazenados — e as chaves de encriptação não são partilhadas com o fornecedor da infraestrutura.

Controlos de Acesso e Autenticação

O Artigo 32.º, n.º 1, alínea b), exige a capacidade de assegurar a confidencialidade contínua dos sistemas de tratamento. Na prática, isto traduz-se em controlo de acesso baseado em funções (RBAC): nem todos na sua organização devem ver todos os documentos. O Veluvanto implementa permissões ao nível da área de trabalho com as funções de Administrador, Editor e Visualizador. Cada utilizador autentica-se individualmente — sem credenciais partilhadas nem acessos anónimos. Cada ação está associada a uma identidade verificada.

Registos de Auditoria e de Atividades de Tratamento

O Artigo 30.º exige que os responsáveis pelo tratamento mantenham um registo das atividades de tratamento. Para a gestão documental, isto traduz-se no registo automático de quem acedeu a que documento, quando e que ação realizou (visualizar, editar, descarregar, eliminar). O Veluvanto mantém registos de atividade por área de trabalho que servem de base para os seus registos do Art. 30.º. Estes registos não são editáveis e não podem ser eliminados pelos membros da área de trabalho.

Acordos de Tratamento de Dados e Subsubcontratantes

O Artigo 28.º exige um Acordo de Tratamento de Dados (DPA) com cada subcontratante que trate dados pessoais em seu nome. Isto inclui o seu fornecedor de DMS, o fornecedor da infraestrutura de nuvem e quaisquer serviços de IA utilizados para processamento de documentos. O processamento de IA do Veluvanto utiliza a API Gemini Enterprise da Google ao abrigo de um acordo de tratamento de dados com retenção zero — os seus documentos são processados em memória e imediatamente eliminados. Nunca são armazenados nos servidores da Google nem utilizados para treino de modelos.

Gestão de Pedidos dos Titulares dos Dados: Um Processo em 4 Passos

Ao abrigo do GDPR, os indivíduos têm o direito de aceder aos seus dados (Art. 15.º), solicitar a retificação (Art. 16.º), exigir o apagamento (Art. 17.º) e obter os seus dados num formato portátil (Art. 20.º). Deve responder no prazo de 30 dias. Para empresas que dependem de arquivos de e-mail, discos partilhados ou arquivos em papel, localizar todos os documentos relacionados com uma única pessoa pode demorar dias. Um DMS com pesquisa de texto integral reduz esse tempo para minutos.

1

Identificar: Encontrar Todos os Documentos que Contêm Informação do Titular

Pesquise o nome do titular dos dados, endereço de e-mail ou outros identificadores em todo o seu arquivo de documentos. A pesquisa de texto integral do Veluvanto abrange o conteúdo de todos os documentos — incluindo PDFs digitalizados processados com OCR. Isto localiza faturas, contratos, correspondência e qualquer outro documento que mencione o indivíduo, independentemente do nome do ficheiro ou da localização da pasta.

2

Rever: Avaliar o que Deve Ser Divulgado, Retido ou Eliminado

Nem todos os documentos devem ser divulgados ou eliminados. As obrigações legais (requisitos de retenção fiscal, obrigações contratuais em curso) podem prevalecer sobre o direito ao apagamento ao abrigo do Art. 17.º, n.º 3. Reveja os resultados da pesquisa e categorize: documentos a divulgar para um pedido de acesso, documentos a eliminar para um pedido de apagamento e documentos que é legalmente obrigado a reter. Documente a sua fundamentação — o princípio da responsabilidade ao abrigo do Art. 5.º, n.º 2, exige-o.

3

Agir: Exportar, Retificar ou Eliminar — Com Registo de Auditoria

Para pedidos de acesso (Art. 15.º): exporte os documentos relevantes num formato de uso comum. A exportação do Veluvanto fornece os ficheiros originais juntamente com metadados estruturados. Para retificação (Art. 16.º): atualize ou substitua os documentos incorretos. Para apagamento (Art. 17.º): elimine os documentos identificados. Cada ação — exportação, edição, eliminação — é registada no histórico de atividades do Veluvanto com carimbo de data/hora e identificação do utilizador.

4

Confirmar: Responder ao Titular dos Dados e Guardar Prova de Conformidade

Responda ao titular dos dados dentro do prazo de 30 dias, confirmando a ação tomada. Guarde as entradas do registo de auditoria como prova de que atendeu ao pedido. Se uma autoridade de controlo investigar mais tarde, terá de demonstrar não apenas que respondeu, mas como pesquisou, o que encontrou e o que fez. O registo de atividade serve como essa evidência.

Alojamento na UE vs. EUA: Implicações Legais para a Gestão Documental

A localização dos servidores do seu sistema de gestão documental não é apenas um detalhe técnico — é uma decisão jurídica com consequências reais. Ao abrigo da lei norte-americana CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018), as autoridades dos EUA podem obrigar qualquer empresa com sede nos EUA a entregar dados armazenados nos seus servidores, independentemente de onde estes estejam fisicamente localizados. Isto significa que armazenar documentos no Google Drive, Dropbox, OneDrive ou Notion — todas empresas dos EUA — expõe os seus dados a um potencial acesso do governo norte-americano, mesmo que os servidores estejam na UE. O acórdão Schrems II (TJUE, julho de 2020) invalidou o Escudo de Proteção da Privacidade UE-EUA exatamente por este motivo: considerou-se que as leis de vigilância dos EUA eram incompatíveis com os direitos fundamentais da UE. O Quadro de Privacidade de Dados UE-EUA adotado em 2023 fornece uma nova decisão de adequação, mas os desafios jurídicos continuam e o Comité Europeu para a Proteção de Dados continua a recomendar medidas suplementares para qualquer transferência de dados da UE para os EUA.

O Veluvanto elimina totalmente esta complexidade jurídica. Sendo uma empresa checa registada e a operar sob a legislação da UE, o Veluvanto armazena todos os dados exclusivamente em centros de dados na UE. Não existe uma empresa-mãe nos EUA, nem subsidiária nos EUA, nem qualquer estrutura empresarial que sujeite os seus dados ao CLOUD Act. O processamento de IA utiliza a API Gemini Enterprise da Google ao abrigo de um acordo de retenção zero — os documentos são processados em memória na UE e imediatamente eliminados. Nenhuns dados pessoais são transferidos para ou armazenados nos Estados Unidos em momento algum. Para organizações que precisam de demonstrar a conformidade com o GDPR a clientes, parceiros ou autoridades de controlo, o alojamento exclusivo na UE por uma empresa constituída na UE é a posição jurídica mais segura disponível.

Lista de Verificação do GDPR: Como o Veluvanto se Posiciona

A transparência gera confiança. Em vez de alegarmos uma conformidade genérica, apresentamos uma avaliação honesta de como o Veluvanto responde a cada requisito fundamental do GDPR para a gestão documental. Onde temos lacunas, assumimo-las.

Todos os dados são armazenados na UE? — Sim. Todo o armazenamento de documentos e cópias de segurança são feitos em centros de dados na UE. Nenhuns dados saem da UE. O Veluvanto é uma empresa checa — sem empresa-mãe nos EUA, sem exposição ao CLOUD Act.
Os dados são encriptados em repouso e em trânsito? — Sim. Encriptação SSE-C (AES-256) em repouso com chaves fornecidas pelo cliente. Encriptação TLS para todos os dados em trânsito. As chaves de encriptação não são partilhadas com o fornecedor da infraestrutura.
Os titulares dos dados podem exercer os seus direitos (acesso, apagamento, portabilidade)? — Sim. A exportação total de dados apoia a portabilidade (Art. 20.º). A eliminação de documentos com registo de auditoria apoia o apagamento (Art. 17.º). A pesquisa de texto integral permite localizar todos os dados relacionados com um indivíduo específico para pedidos de acesso (Art. 15.º).
As atividades de tratamento são registadas (Art. 30.º)? — Sim. Os registos de atividade gravam quem acedeu, modificou ou eliminou cada documento, com carimbos de data/hora. Estes registos são imutáveis e servem de base para os seus registos de atividades de tratamento.
O processamento por IA cumpre os requisitos de proteção de dados? — Sim. A IA utiliza a API Google Gemini Enterprise com um acordo de retenção zero. Os documentos são processados em memória e imediatamente eliminados — nunca são armazenados, guardados em cache ou utilizados para treino de modelos. O sistema também foi concebido para cumprir a Lei da IA da UE.
Estão disponíveis políticas de retenção e eliminação automatizadas? — Ainda não. Atualmente, o Veluvanto não oferece prazos de retenção automatizados ou regras de eliminação baseadas no tempo. Pode eliminar documentos manualmente e utilizar a pesquisa para identificar registos expirados, mas a aplicação automatizada da limitação de conservação do Art. 5.º, n.º 1, alínea e), está no nosso roteiro de desenvolvimento, ainda não lançada.
O Veluvanto tem certificação ISO 27001 ou SOC 2? — Não. O Veluvanto em si não é certificado pela ISO 27001 ou SOC 2. O nosso fornecedor de infraestrutura possui a certificação ISO 27001. Implementamos medidas de segurança consistentes com estas normas, mas não fomos submetidos a uma certificação independente. Se a sua organização exige certificação do fornecedor, esta é uma lacuna.
O Veluvanto disponibiliza um modelo de Acordo de Tratamento de Dados (DPA)? — Não como um modelo de self-service. Um DPA que abrange o tratamento dos seus dados pelo Veluvanto está disponível mediante pedido. Atualmente, não fornecemos um modelo de DPA pré-definido para as suas próprias relações de responsável pelo tratamento-subcontratante com terceiros.

Quando o Veluvanto Não É a Escolha Certa para a Conformidade com o GDPR

O Veluvanto é um sistema de gestão documental para freelancers, famílias e pequenas empresas. Cobre a base técnica para o armazenamento e recuperação de documentos em conformidade com o GDPR. No entanto, não é uma plataforma de conformidade empresarial e existem cenários em que não é suficiente.

Trata categorias especiais de dados em grande escala (Art. 9.º) — Se lida com grandes volumes de registos de saúde, dados biométricos, dados genéticos ou dados que revelem a origem racial ou étnica, precisa de um sistema com controlos de acesso de nível hospitalar, infraestrutura de auditoria dedicada e, provavelmente, certificações específicas do setor (ex.: ISO 27799 para informática na saúde). Os controlos de acesso do Veluvanto são ao nível da área de trabalho, não ao nível do campo de dados.
Precisa de políticas de retenção automatizadas com bloqueio legal (legal hold) — Se o seu programa de conformidade exige que os documentos sejam eliminados automaticamente após um período de retenção definido — com exceções para bloqueio legal durante litígios —, precisa de um software de gestão de registos empresariais (ex.: OpenText, M-Files). O Veluvanto ainda não suporta retenção automatizada ou funcionalidades de bloqueio legal.
Os seus clientes ou reguladores exigem certificação ISO 27001 ou SOC 2 — Alguns setores e processos de contratação empresarial exigem que os fornecedores possuam a certificação ISO 27001 ou SOC 2 Tipo II. O Veluvanto não possui estas certificações. Se este for um requisito obrigatório no seu processo de seleção de fornecedores, o Veluvanto não passará no seu questionário de segurança.

Ser honesto sobre as limitações faz parte da construção de uma relação de confiança. Se as suas necessidades excedem o que o Veluvanto oferece, preferimos dizê-lo antecipadamente do que deixar que o descubra depois de migrar os seus documentos. Para a maioria dos freelancers, famílias e pequenas empresas, o Veluvanto oferece uma base sólida em conformidade com o GDPR. Para empresas reguladas com requisitos de conformidade complexos, as plataformas empresariais concebidas para o efeito são a melhor escolha.

Guias Relacionados

Arquivamento Digital de Documentos

Retenção, registos de auditoria e armazenamento a longo prazo — como o arquivamento digital apoia a conformidade com o GDPR.

Software de Gestão Documental

O que faz um software de DMS, como escolher um e por que razão a IA muda tudo em 2026.

Diretiva NIS2 e Gestão Documental

A NIS2 e o GDPR partilham uma sobreposição significativa de documentação — eis o que a diretiva de cibersegurança acrescenta.

Perguntas Frequentes

Onde exatamente são armazenados os meus dados?
Todos os dados são armazenados em centros de dados na UE, operados por fornecedores de infraestrutura sediados na UE. As cópias de segurança são armazenadas num fornecedor da UE independente. Nenhuns dados — documentos, metadados ou inputs de processamento de IA — saem da União Europeia. O Veluvanto está constituído na Chéquia, sem empresa-mãe ou subsidiária nos EUA.
O processamento por IA envia os meus dados para fora da UE?
Não. O processamento por IA utiliza a API Gemini Enterprise da Google ao abrigo de um acordo de tratamento de dados com retenção zero. Os documentos são processados em memória e imediatamente eliminados — nunca são armazenados nos servidores da Google, nunca são guardados em cache e nunca são utilizados para treino de modelos. O processamento ocorre dentro da UE.
Posso exportar todos os meus dados se decidir sair?
Sim. O Veluvanto suporta a exportação total de dados ao abrigo do Artigo 20.º (direito de portabilidade dos dados). Receberá todos os documentos originais nos seus formatos originais, além de metadados estruturados (etiquetas, datas, entidades extraídas). Formatos padrão, sem dependência de formatos proprietários e sem necessidade de contactar o suporte.
O Veluvanto é certificado (ISO 27001, SOC 2)?
Não. O Veluvanto em si não possui certificação ISO 27001 ou SOC 2. O nosso fornecedor de infraestrutura é certificado pela ISO 27001. Implementamos medidas de segurança alinhadas com estas normas — encriptação em repouso (SSE-C/AES-256), TLS em trânsito, RBAC, registos de auditoria imutáveis —, mas não fomos submetidos a uma certificação independente. Se a certificação do fornecedor for um requisito de aquisição para a sua organização, esta é uma lacuna sobre a qual somos transparentes.
Como é que o Veluvanto se compara a alternativas alojadas nos EUA em termos de GDPR?
Os serviços alojados nos EUA (Google Drive, Dropbox, Notion, Evernote) são operados por empresas norte-americanas sujeitas ao CLOUD Act, que permite às autoridades dos EUA aceder aos dados independentemente da localização do servidor. O acórdão Schrems II considerou isto incompatível com os direitos fundamentais da UE. O Veluvanto é uma empresa checa com dados exclusivamente na UE — aplica-se apenas a legislação da UE. Sem necessidade de decisões de adequação, sem medidas suplementares, sem incerteza jurídica.
O que acontece em caso de violação de dados?
Ao abrigo do Artigo 33.º, os responsáveis pelo tratamento devem notificar a sua autoridade de controlo no prazo de 72 horas após tomarem conhecimento de uma violação de dados pessoais. Os registos de atividade e de acesso do Veluvanto ajudam-no a avaliar o alcance de qualquer incidente — quais os documentos afetados, quem teve acesso e quando. Como subcontratante, o Veluvanto notificá-lo-á sem demora injustificada se tomarmos conhecimento de uma violação que afete os seus dados, fornecendo a informação necessária para cumprir as suas obrigações de notificação.
Preciso de realizar uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) para utilizar o Veluvanto?
Depende da natureza e do volume de dados pessoais que processa. Ao abrigo do Artigo 35.º, é necessária uma DPIA quando o tratamento for "suscetível de implicar um elevado risco" para os direitos dos indivíduos — por exemplo, monitorização sistemática ou tratamento em grande escala de dados sensíveis. Para a maioria dos freelancers e pequenas empresas que armazenam faturas, contratos e correspondência comercial, não é necessária uma DPIA. O CEPD publicou um modelo normalizado de DPIA (v1.0) em março de 2026, o que simplifica o processo caso necessite de uma.
O Veluvanto cumpre a Lei da IA da UE?
As funcionalidades de IA do Veluvanto — classificação de documentos, extração de metadados e o assistente de IA — foram concebidas a pensar na conformidade com a Lei da IA da UE. O sistema de IA é transparente (pode ver o que a IA extraiu e modificá-lo), não toma decisões autónomas com efeitos jurídicos e utiliza processamento com retenção zero para que os seus documentos nunca sejam utilizados para treinar modelos. A utilização da IA é registada e auditável.

Deixe de procurar documentos. Comece a encontrá-los.

Grátis para experimentar. Sem necessidade de cartão de crédito. Mude de plano apenas quando estiver pronto.

Experimentar grátis — sem cartão Ver Preços

🔒 Nuvem na UE · Sem cartão de crédito · Garantia de reembolso de 14 dias