A Resolução CONARQ nº 51/2023 explicada: o que mudou, o que ela exige e o que os órgãos públicos ainda não perceberam

Em setembro de 2023, o CONARQ (Conselho Nacional de Arquivos) publicou a Resolução nº 51, atualizando as Diretrizes para a Preservação Digital — a Versão 2 do RDC-Arq. Nove meses depois, a maioria dos órgãos públicos federais e grandes empresas ainda trata essa resolução como um comunicado genérico de compliance, quando na verdade ela redefiniu o que preservação digital significa no Brasil.
Não é alarme. É realidade regulatória. E há uma diferença crucial entre institucionalizar um processo porque uma resolução exige e implementá-lo com rigor suficiente para sobreviver a uma auditoria — ou, pior, a uma crise de perda de dados.
Este post desfaz a névoa que envolve RDC-Arq 2.0: separa o que é genuinamente novo do que apenas foi consolidado, identifica onde a negligência é maior e conecta cada exigência ao risco real que sua instituição enfrenta hoje.
O que é RDC-Arq e por que sua instituição deveria estar preocupada agora
RDC-Arq significa Referência de Diretrizes para Conformidade da Preservação Digital. É o padrão brasileiro, alinhado a normas internacionais como ISO 16363 e OAIS, que define como órgãos públicos e instituições custodiadoras de documentos digitais devem preservar dados de forma fidedigna, íntegra e acessível indefinidamente.
Antes de 2023, a Versão 1 era mais uma recomendação. Após a Resolução CONARQ nº 51, virou obrigatoriedade regulatória para:
- Órgãos da administração pública federal e estadual
- Empresas que lidam com documentos de interesse público (bancos, operadoras telecom, etc.)
- Qualquer custodian que afirme preservar documentos de valor probatório ou histórico
O problema? A maioria confunde preservação digital com backup. Backup é cópia. Preservação é garantia de acesso, integridade e autenticidade ao longo do tempo, independentemente de mudanças tecnológicas. É uma negligência cara.
O que realmente mudou na Versão 2 (e o que não mudou, mas agora é inegociável)
A Versão 2 do RDC-Arq não é uma revolução, mas uma consolidação com dentes. Vamos aos pontos críticos:
1. Governança de dados documentais explícita
Antes era recomendado ter políticas. Agora é mandatório documentar:
- Quem é responsável por quê (matriz RACI clara)
- Critérios de seleção e descarte de documentos
- Plano de continuidade para ambientes de preservação
- Auditoria interna periódica e rastreamento de acessos
A maioria das instituições que visitamos tem isso em PowerPoint, não em prática. Há um vazio de governança real entre a política oficial e o chão-de-fábrica.
2. Metadados obrigatórios e estruturados
RDC-Arq 2.0 deixou claro: não é suficiente guardar o arquivo. É preciso registrar e manter:
- Proveniência (quem criou, quando, por quê)
- Contexto de criação (formato original, aplicação usada)
- Trilha de custódia (quem tocou, quando, como)
- Cadeia de preservação (quais transformações foram aplicadas)
Isso demanda infra de gestão de metadados — não é planilha Excel. É banco de dados certificado, com versionamento e integridade criptográfica.
3. Autenticidade e integridade como fundamento legal
A Versão 2 amarrou preservação digital ao direito probatório. Um documento preservado precisa:
- Comprovar origem e autoria (assinatura digital ou selo de custódia)
- Demonstrar integridade (hashes, blockchain ou similar)
- Ser auditável (logs imutáveis)
Não é só "guardo e entrego". É "guardo de forma que um juiz acredite".
4. Infraestrutura resiliente como requisito explícito
Agora não basta um disco rígido na sala de TI. RDC-Arq 2.0 exige:
- Múltiplas cópias em localizações geográficas distintas
- Testes periódicos de recuperação (disaster recovery real)
- Documentação de capacidade e ciclos de vida de mídia
- Plano de migração tecnológica documentado
Vários órgãos públicos que auditamos guardam tudo em um NAS sem replicação. Tecnicamente, estão em não-conformidade declarada.
“Preservação digital não é um custo de TI. É um custo de risco regulatório, memória institucional e soberania sobre seus próprios dados.”
Onde a maioria falha (e por que ninguém fala sobre isso)
Auditamos duzentas e tantas instituições em conformidade RDC-Arq nos últimos dois anos. Os padrões de falha são consistentes e previsíveis.
Ponto de falha #1: Confundir LGPD com preservação
Muitas organizações implementam conformidade LGPD (direito ao esquecimento, pseudonimização) e acham que já cobrem preservação digital. É o oposto. LGPD exige remover dados. Preservação exige proteger indefinidamente.
A tensão é real: você precisa ser capaz de anonimizar um documento sob demanda sem quebrar sua integridade. Isso não é trivial. A maioria não tem solução para isso.
Ponto de falha #2: Documentação órfã
Políticas de preservação são escritas por consultores, aprovadas por C-level, e morrem na prateleira digital. Ninguém na ponta sabe que existem. Resultado: práticas inconsistentes, sem auditoria, sem conformidade real.
RDC-Arq 2.0 agora exige auditoria interna periódica. Você tem um processo mensalizado para isso? A maioria, não.
Ponto de falha #3: Backup ≠ Preservação
Um diretor de TI implementa backup diário em nuvem pública e marca conformidade RDC-Arq como "concluída". O problema:
- Backup em AWS ou Azure é jurisdição estrangeira (soberania comprometida)
- Não há garantia de formato futuro (obsolescência)
- Não há auditoria de acesso ou integridade certificada
- Cloud é custódia, não preservação
Ponto de falha #4: Falta de certificação e rastreabilidade
RDC-Arq 2.0 recomenda (e em breve exigirá) que ambientes de preservação sigam ISO 16363 (OAIS). Quantos órgãos públicos têm um certificado de conformidade OAIS? Poucos. Muito poucos.
Sem isso, qualquer auditoria interna ou externa expõe o acervo a questionamento legal sobre integridade.
Ponto de falha #5: Ignorar a geração contínua de dados
RDC-Arq é aplicado como problema histórico: "Vamos preservar nosso acervo antigo". Na verdade, é um fluxo contínuo. Todo e-mail, relatório, contrato, decisão gerada hoje precisa entrar em ambiente de preservação com metadados completos.
Isso demanda automação. Processamento manual em escala é inviável — e errado.

Checklist de conformidade: onde sua instituição está agora
Responda com sinceridade. Se não conseguir confirmar em execução real (não em documento), marque como não-conformidade.
Governança:
- Política de preservação digital documentada, atualizada nos últimos 12 meses e conhecida por donos de processo
- Matriz de responsabilidades (RACI) para preservação, custódia e acesso
- Ciclo de auditoria interna definido e em execução (trimestral ou semestral)
- Plano de resposta a incidentes de perda ou corrupção de dados
Metadados:
- Esquema de metadados definido (Dublin Core, MIAOU ou similar) e aplicado a novos ingressos
- Rastreamento automático de proveniência (quem criou, quando, sistema)
- Registro de transformações (conversões, migrações) documentado
- Acesso a metadados auditado e imutável
Infraestrutura:
- Múltiplas cópias de documentos preservados em locais geograficamente distintos
- Testes de recuperação (restore) executados e documentados (últimos 6 meses)
- Plano de migração tecnológica para combater obsolescência de formato
- Ambiente de custódia certificado ISO 16363 ou seguindo rigorosamente OAIS
Segurança e Acesso:
- Documentos autenticados (assinatura digital, selo de custódia ou hash verificável)
- Integridade verificável (cadeia de custódia documentada, logs imutáveis)
- Acesso monitorado, com trilha de auditoria
- Infraestrutura em território brasileiro (soberania de dados)
LGPD + Preservação:
- Processo claro para anonimização ou removals sem comprometer integridade do acervo
- Consentimento e base legal registrados como metadados
- Capacidade de demonstrar conformidade simultânea com direito ao esquecimento e preservação
O custo real de não agir (e por que a maioria adia isso)
Há uma ilusão no setor público e enterprise: que conformidade é um problema que pode ser adiado. Até uma auditoria acontecer. Ou uma crise.
O custo de não-conformidade RDC-Arq não é abstrato:
Risco regulatório
- CGU (Controladoria-Geral da União) e TCU (Tribunal de Contas da União) já incluem preservação digital em auditorias de órgãos federais
- Falha em RDC-Arq é achado auditável, com potencial de recomendação legal
- Para estatais, impacta governança corporativa
Risco de perda institucional
- Acervo corrompido ou inacessível é documentação perdida — sem recourse
- Decisões, processos, memória institucional desaparecem
- Impacto em pesquisa, replicabilidade, cumprimento de deveres públicos
Risco jurídico
- Documento não-preservado adequadamente pode ser questionado como prova
- Responsabilidade civil e administrativa por perda de acervo
- Em litigância, falta de trilha de custódia prejudica defesa
Risco de sovranidade
- Dados em cloud público estrangeiro = jurisdição estrangeira
- Compliance com autoridades brasileiras fica comprometido
- Soberania de dados é tema crítico para estado, bancos, operadoras
Por que adiamento é tentador:
- Preservação digital não gera receita imediata
- Parece problema de "risco futuro", não presente
- Demanda investimento em infra (custoso)
- Exige mudança de cultura (automação, governança, auditoria)
Mas o adiamento custa mais. Recuperar um acervo degradado é exponencialmente mais caro que preservá-lo desde o início.
Próximos passos práticos para conformidade real (não apenas formal)
Se você reconheceu sua instituição em alguns dos pontos de falha acima, aqui estão os movimentos concretos:
Fase 1: Auditoria de linha de base (30–60 dias)
- Mapeie onde estão seus documentos (sistemas, acervos, backups)
- Classifique por valor probatório, legal e histórico
- Avalie conformidade atual contra checklist RDC-Arq
- Identifique lacunas críticas (falta de metadados, infra insuficiente, etc.)
Isso não é report genérico. É diagnóstico específico do seu acervo e infraestrutura.
Fase 2: Design de governança (60–90 dias)
- Defina política de preservação documentada (quem, responsável por quê)
- Escolha padrão de metadados (Dublin Core como baseline)
- Desenhe fluxo de ingresso: como novos documentos entram em ambiente certificado
- Estabeleça ciclo de auditoria interna (trimestral, no mínimo)
Fase 3: Infraestrutura certificada (120–180 dias)
- Implemente ambiente de custódia em infraestrutura soberana (on-premise ou cloud brasileiro)
- Configure múltiplas cópias e disaster recovery testado
- Integre automação: capturas de metadados, detecção de formatos, alertas
- Certifique conforme ISO 16363 (OAIS)
Fase 4: Remediação de acervo (contínuo)
- Retroaja documentos críticos históricos com metadados e certificação
- Implemente anonimização/removals em conformidade LGPD sem quebrar integridade
- Realize testes de recuperação e documente
Cada fase depende de decisores: TI, compliance, arquivo, jurídico, segurança. Alinhamento é crítico.

O diferencial de quem já está adiante
As instituições que reconhecemos como mais maduras em RDC-Arq têm um padrão comum:
- Preservação como política explícita, não como subproduto de TI
- Automação total de ingresso, sem processamento manual em escala
- Infraestrutura soberana certificada, com auditoria externa
- Integração com IA para extração de contexto, melhorando metadados automaticamente
- LGPD + preservação reconciliadas, com capacidade de anonimizar sem corromper
- Auditoria interna contínua, não episódica
Essas instituições enfrentaram a mesma dor que a sua. A diferença é que decidiram que não-conformidade não era opção — e investiram em solução.
“Conformidade RDC-Arq é investimento em soberania institucional, não custo de compliance.”
Conclusão: o relógio está marcando
A Resolução CONARQ nº 51/2023 não é uma surpresa que desaparecerá. É a Lei de Preservação Digital Brasileira — e seu cumprimento será escalado em auditorias, processos licitatórios e conformidade corporativa.
Os órgãos públicos que não se movem agora enfrentarão achados auditáveis em 2024 e 2025. As empresas que adiam estarão em desvantagem competitiva quando contratos exigirem certificação RDC-Arq como pré-requisito.
O que mudou de verdade em RDC-Arq 2.0 não é a visão — é a obrigação de implementá-la. E a realidade é que a maioria ainda não começou.
Sua instituição está pronta para uma auditoria hoje?
Sua instituição está em conformidade RDC-Arq?
Descubra lacunas críticas e trace seu caminho para preservação digital certificada — sem perder tempo em conformidade apenas formal.
