Voltar ao blog

Como guardar cópias do documento dos clientes sem violar o RGPD

2026-07-138 min read

Como guardar cópias do documento dos clientes sem violar o RGPD

A maioria das imobiliárias, administradores de condomínios e gabinetes de contabilidade guarda uma pasta — física ou digital — cheia de cópias de documentos de clientes. Cartões de cidadão, passaportes, títulos de residência, tudo digitalizado "caso venha a ser preciso mais tarde".

É precisamente esse hábito que as autoridades estão a multar. Em 2022, a Agência Espanhola de Proteção de Dados (AEPD) aplicou uma coima de 30.000 euros a um hotel por digitalizar o passaporte completo de um cliente no check-in, por considerar que conservar a imagem inteira era excessivo e não tinha base legal.

A verdade incómoda: guardar a cópia de um documento é um tratamento distinto do de verificar a identidade, e quase sempre só precisas do segundo. Este artigo explica o que o RGPD exige de facto, quando podes conservar uma cópia e como identificar clientes sem criar um risco de que não precisas.

A regra que apanha toda a gente: a minimização de dados

O artigo 5.º, n.º 1, alínea c) do RGPD diz que os dados pessoais devem ser "adequados, pertinentes e limitados ao necessário" relativamente à finalidade prosseguida. É o princípio da minimização de dados, e é a razão pela qual a maioria das práticas com cópias de documentos é ilícita.

Um documento de identidade é um conjunto denso de dados. Um cartão de cidadão ou um passaporte contém a fotografia, o número do documento, a data de validade, os nomes dos pais, o número CAN, por vezes uma referência de impressão digital. Quando fotocopias ou digitalizas tudo, recolhes tudo — mesmo que a tua finalidade real (confirmar que esta pessoa é quem diz ser) raramente precise de mais do que o nome e o número.

A AEPD repetiu-o sem rodeios: pedir e conservar uma cópia do documento não pode tornar-se uma prática generalizada. Se nenhuma norma o exigir expressamente, guardar a cópia é um tratamento excessivo e ilícito nos termos do artigo 5.º, n.º 1, alínea c).

"Mas eu tenho de identificar os meus clientes" — sim, e são coisas diferentes

Verificar a identidade e guardar uma cópia não são o mesmo ato. Podes estar legalmente obrigado ao primeiro sem teres qualquer direito ao segundo.

Um bom exemplo vem do alojamento em Espanha. O Real Decreto 933/2021 obriga hotéis e alojamentos turísticos a recolher determinados dados do viajante e a comunicá-los. Mas em junho de 2025 a AEPD esclareceu que essa obrigação não autoriza a solicitar uma cópia do documento de identidade: recolhes os campos exigidos, não a imagem do cartão.

A mesma lógica aplica-se em todos os setores:

  • KYC no imobiliário — as regras de prevenção de branqueamento podem exigir identificar e registar o cliente, mas "registar os dados" não é o mesmo que "guardar uma foto do passaporte por tempo indeterminado".
  • Receção / apoio ao cliente — confirmar que alguém é quem diz ser pode fazer-se por inspeção, sem que nenhuma cópia saia do balcão.
  • Contratos — normalmente precisas do nome e do número do documento no contrato, não de um cartão digitalizado numa drive partilhada.

Por isso, antes de guardares seja o que for, responde a uma pergunta: *existe uma lei concreta que me obrigue a conservar a cópia, ou basta-me ter identificado a pessoa?* Se for a segunda, não guardes a cópia.

Quando podes mesmo conservar uma cópia do documento

Guardar uma cópia não é proibido em absoluto: é proibido quando é desnecessária. Estás em terreno firme quando todas estas condições são verdadeiras:

  1. Tens uma base legal para a cópia em si — não apenas para a relação. Consentimento, uma obrigação legal ou um interesse legítimo documentado que passe no teste de ponderação.
  2. Uma finalidade concreta exige a própria imagem, não só os dados nela contidos. "Trilho de auditoria de uma operação regulada" pode servir; "caso venha a precisar", não.
  3. Minimizas mesmo dentro da cópia — oculta ou evita os campos de que não precisas. Se só interessam o nome e o número, não conserves a foto nem os nomes dos pais.
  4. Definiste um prazo de conservação ligado a essa finalidade, e eliminas quando expira.
  5. Protegeste-a — controlo de acessos, cifra em repouso, nenhuma cópia de documento solta no e-mail ou na galeria aberta do WhatsApp.

Se não conseguires assinalar as cinco caixas, estás a carregar um risco, não documentos.

Uma checklist prática para uma conservação conforme

Usa-a como procedimento de trabalho, não como ensaio jurídico:

  • Associa cada campo a um motivo. Por cada dado do documento que conservas, anota a lei ou finalidade que o justifica. O que ficar sem linha, elimina-se.
  • Separa "identificado" de "armazenado". Onde a lei só pede para identificar, regista uma nota de que a identidade foi verificada (quem, quando, tipo e número do documento) em vez da imagem.
  • Define a conservação por finalidade. Um registo KYC e um processo de arrendamento não têm a mesma vida útil. Atribui a cada um uma data de eliminação suportada por uma regra e automatiza a eliminação.
  • Blinda o armazenamento. As cópias de documentos vão para um sistema com controlo de acessos e cifra, nunca no e-mail pessoal, em conversas de chat ou numa pasta desorganizada na nuvem.
  • Documenta a base. Tem por escrito a tua base legal e as decisões de conservação; numa inspeção, "sempre fizemos assim" não é resposta, um registo mapeado é.
  • Dá uma saída. Quando te apoiares no consentimento, este tem de ser realmente facultativo e revogável.

A boa notícia: transformar um documento em dados estruturados é hoje trivial. Em vez de arquivares a imagem em bruto, podes extrair apenas os campos de que precisas de um cartão de cidadão ou passaporte e descartar o resto. Assim, "identificar o cliente" produz um registo limpo — nome, número, carimbo de verificação — em vez de uma digitalização de alto risco que agora tens de guardar e acabar por apagar.

A opção mais segura: vê-lo, não guardá-lo

Na dúvida, a postura mais defensável é a que a AEPD continua a recomendar: inspeciona o documento, captura só os dados que podes conservar e não retenhas a imagem.

Na prática, isto significa que a pessoa mostra o documento, um colaborador confirma-o e o teu sistema guarda os campos necessários mais uma nota de que houve verificação — não uma fotografia do cartão. Para fluxos online, o mesmo resultado obtém-se com certificados digitais, verificação do meio de pagamento ou códigos de uso único.

É aqui que extrair dados ganha a digitalizar documentos. Se o teu passo de identificação lê o cartão e devolve dados estruturados que podes despejar diretamente no Excel ou no teu CRM, obténs o benefício de conformidade (só campos necessários, nenhuma imagem persistente) e eliminas de caminho a digitação manual. Para o alojamento em concreto, a mesma abordagem permite-te registar viajantes no SES.Hospedajes sem conservar cópias do documento: capturas os campos obrigatórios e ficas por aí.

Guardar menos não é apenas mais barato e mais rápido. No RGPD, costuma ser a opção legal.

O WhappScan transforma o documento que um cliente te envia por WhatsApp apenas nos campos estruturados que podes conservar, para que identifiques as pessoas sem acumular documentos. Vê como em whappscan.com.

Ready to automate your documents?

Try WhappScan for free today. No credit card required.

Try for free