Voltar ao blog
    Segurança12.2.2026

    Registo de auditoria, evidências e retenção GDPR na assinatura eletrónica

    O registo de auditoria de uma assinatura eletrónica é uma prova digital de quem assinou, quando e como. É uma parte crítica da validade da assinatura e da resolução de litígios. Neste artigo, abordamos o que um registo de auditoria contém, como o GDPR afeta a retenção de dados e como uma pequena empresa pode organizar os seus arquivos.

    O que é um registo de auditoria?

    Um registo de auditoria (audit trail) é um registo recolhido automaticamente de um evento de assinatura. Regista cada passo do início ao fim. O registo de auditoria é uma parte essencial do valor probatório de uma assinatura eletrónica. Sem ele, a assinatura eletrónica é praticamente apenas um pixel no ecrã – o registo de auditoria torna-a legalmente significativa.

    Que informações contém um registo de auditoria?

    Um registo de auditoria completo inclui as seguintes informações:

    • Nome do signatário e endereço de e-mail
    • Método de autenticação utilizado (credenciais bancárias, autenticação móvel, confirmação por e-mail)
    • Carimbo de data/hora (data e hora, fuso horário)
    • Endereço IP de onde a assinatura foi feita
    • Informações do dispositivo e do navegador
    • Hash criptográfico do documento – prova que o documento não foi alterado
    • Hora de envio e hora de abertura do pedido de assinatura
    • Hora de conclusão da assinatura

    O que isto significa na prática: se um cliente contestar a assinatura de um contrato, o registo de auditoria mostra que uma determinada pessoa abriu o documento a partir de um determinado endereço IP, autenticou-se com credenciais bancárias e assinou o documento numa determinada data.

    GDPR e retenção de assinaturas eletrónicas

    O registo de auditoria contém dados pessoais, por isso o GDPR (Regulamento Geral sobre a Proteção de Dados da UE) define como devem ser processados e retidos. Princípios-chave do GDPR para o registo de auditoria:

    • Limitação da finalidade: os dados só podem ser recolhidos para um fim específico (verificação da assinatura)
    • Minimização de dados: apenas os dados necessários são recolhidos
    • Limitação do armazenamento: os dados são armazenados apenas pelo tempo necessário
    • Integridade e confidencialidade: os dados devem ser protegidos tecnicamente

    Na prática, o período de retenção das assinaturas e dos dados de registo de auditoria relacionados depende da natureza do contrato:

    Tipo de documentoTempo de retenção recomendadoJustificativa
    Contrato comercial6–10 anos após o término do contratoPrazo de prescrição (geral 3 anos, lei comercial 5 anos)
    Contrato de trabalho10 anos a partir do término do contrato de trabalhoPrescrição de créditos laborais
    Documentos de contabilidade6 anos após o término do exercícioLei de Contabilidade 2:10
    Venda de imóveisPermanentemente ou pelo menos 10 anosRequisitos de acordo com a lei de propriedades

    Modelo de arquivo para pequenas empresas

    Uma pequena empresa pode organizar o seu arquivo de assinaturas eletrónicas de forma simples:

    1. Utilize um serviço de assinatura (como EpicSign) que arquiva os documentos assinados e os registos de auditoria automaticamente
    2. Defina os prazos de retenção por tipo de documento (ver tabela acima)
    3. Exporte também os contratos mais importantes para o seu próprio sistema de backup
    4. Verifique uma vez por ano se existem documentos expirados que podem ser eliminados de acordo com o GDPR
    5. Documente a sua política de retenção na declaração de registo

    Exemplo prático: empresa de contabilidade e contratos de clientes

    Uma empresa de contabilidade de Tampere mudou dos contratos em papel para o EpicSign. Anteriormente, os contratos estavam em pastas – alguns no escritório, outros com os clientes. Ninguém tinha a certeza de onde estava a versão mais recente. Após a assinatura eletrónica, a situação mudou:

    • Todos os contratos são encontrados num arquivo eletrónico com função de pesquisa
    • O registo de auditoria prova quem assinou e quando
    • A declaração de registo do GDPR foi atualizada para incluir a retenção de dados de assinatura
    • Os contratos antigos são automaticamente eliminados após o término do prazo de retenção

    Perguntas frequentes

    Por quanto tempo o registo de auditoria deve ser conservado?

    O prazo de conservação depende do tipo de contrato. Para contratos comerciais, geralmente de 6 a 10 anos, para contratos de trabalho, 10 anos após o término da relação de trabalho.

    O registo de auditoria contém dados pessoais?

    Sim. O nome, e-mail e endereço IP do signatário são dados pessoais segundo o GDPR. Devem ser processados de acordo com os regulamentos de proteção de dados.

    O registo de auditoria pode ser editado posteriormente?

    Não. O hash criptográfico garante que os dados não podem ser alterados sem ser detetado. Este é um requisito fundamental do registo de auditoria.

    Como é que o GDPR afeta a retenção de dados de assinatura?

    O GDPR exige que os dados sejam retidos apenas pelo tempo necessário. Quando o período de retenção expira, os dados devem ser eliminados ou anonimizados.

    O EpicSign salva automaticamente o registo de auditoria?

    Sim. O EpicSign gera automaticamente um registo de auditoria abrangente para cada transação de assinatura.

    Este artigo é de caráter geral e não constitui aconselhamento jurídico.

    Experimentar EpicSign

    Comece a avaliação gratuita e envie o primeiro pedido de assinatura em menos de 20 segundos.

    Ver preços