preservacaodigital.ia.br
preservacaodigital.ia.br

Como implementar um RDC-Arq: os requisitos técnicos e organizacionais que sua instituição precisa ter antes do primeiro documento digital

09 de julho de 2026
RDC-Arqimplementação repositório digitalCONARQ diretrizesinfraestrutura soberana
Foto: Brett Sayles / Pexels

Como implementar um RDC-Arq: os requisitos técnicos e organizacionais que sua instituição precisa ter antes do primeiro documento digital

Quantos de nós ainda confundem backup com preservação digital? Quantas instituições públicas e privadas acreditam que criar uma pasta em um servidor de rede resolve o problema de longo prazo dos seus acervos? O custo dessa confusão é invisível até o dia em que um auditor pergunta onde está a cadeia de custódia, ou a LGPD exige prova de integridade, ou um arquivo crítico deixa de ser legível porque a tecnologia que o criou simplesmente desapareceu.

Um Repositório Digital Certificado (RDC) conforme as diretrizes do Conselho Nacional de Arquivos (CONARQ) não é um upgrade de TI. É uma transformação organizacional que exige planejamento meticuloso em três frentes simultâneas: infraestrutura técnica, política institucional e governança de metadados. Pular etapas aqui não economiza tempo — economiza credibilidade e cria passivos regulatórios.

Este guia mapeia exatamente o que você precisa ter em pé antes de receber o primeiro documento digital certificado. Não é genérico. É sequencial, provocador, e honesto sobre o que custa não fazer certo.


1. Antes de qualquer tecnologia: defina sua política institucional de preservação

A maioria dos projetos RDC-Arq começa pelo lado errado: TI tentando resolver um problema de governança com hardware e software. Errado.

Antes de tocar em servidores, sua instituição precisa responder perguntas fundamentais que nem todas conseguem responder com clareza:

  • Qual é o tempo de retenção legal de cada classe de documento sob sua responsabilidade? (Não é universal: um contrato administrativo é diferente de um processo licitatório, que é diferente de uma correspondência.)
  • Quem tem autoridade para definir as regras de acesso — e essa pessoa sabe que acesso diferido é diferente de acesso restrito?
  • Como sua instituição identifica e marca documentos que são arquivos permanentes versus os que serão descartados?
  • Existe um fluxo de transferência formalizado entre setores produtores e o repositório central?

Sem respostas formalizadas, você não tem política. Você tem um receptáculo de dados sem lógica. E aí vem o auditor, a perda de memória institucional, e a exposição a multas por violação de retenção legal de documentos fiscais ou pessoais.

Sem política institucional documentada, a melhor infraestrutura técnica do mundo é só um depósito caro de dados desorganizados.
SOS Docs

O CONARQ fornece as Diretrizes para a Implementação de Repositórios Digitais Confiáveis — são o norte normativo. Mas a tradução dessa norma para sua realidade institucional é um trabalho de governance, não de TI. Precisa envolver:

  • Arquivo/Memória Institucional: quem entende a natureza e o ciclo de vida dos documentos.
  • Jurídico/Compliance: quem conhece obrigações legais de retenção, acesso e sigilo.
  • TI: finalmente aqui — para validar viabilidade técnica.
  • Liderança executiva: porque mudar como documentos fluem na organização impacta fluxos de trabalho.

Esta conversa precisa resultar em um documento formal — nem que seja 10 páginas — que defina: escopo, classes de documentos, prazos, responsabilidades, critérios de migração e modelo de descarte.


2. Infraestrutura soberana: não é luxo, é obrigação regulatória

Instituições públicas federais e estatais enfrentam pressão crescente para manter dados e sistemas em solo brasileiro. Não é paranoia. É LGPD, é soberania, é risco regulatório. Um arquivo permanente do governo hospedado em data center no exterior é uma fragilidade jurídica.

Antes de arquitetar o RDC-Arq, você precisa validar que sua infraestrutura atende requisitos mínimos de soberania e disponibilidade:

  • Data center certificado em solo nacional com certificações de segurança (ISO 27001 no mínimo). Não é o seu data center interno, necessariamente — pode ser colocation ou cloud privada de um provedor nacional confiável, mas os dados residem aqui.
  • Redundância geográfica: pelo menos dois data centers em localizações distintas (não no mesmo bairro). Desastre em um não derruba o repositório.
  • Capacidade de armazenamento validada para os próximos 5-10 anos. Crescimento imprevisível de acervos é comum; infraestrutura capenga gera custo de migração urgente no futuro.
  • Backup, replicação e disaster recovery formalizados em SLA. Aqui não vale improviso: RPO (Recovery Point Objective) e RTO (Recovery Time Objective) precisam ser ≤ 24h para um acervo permanente.
  • Monitoramento contínuo e alertas de integridade — você precisa saber em tempo real se algo saiu do trilho.
Arquitetura de data center com redundância geográfica e monitoramento contínuo de integridade
Foto: Brett Sayles / Pexels

Uma observação importante: soberania não é isolamento. Você não precisa construir seu próprio data center. Precisa garantir que dados residem em infraestrutura certificada em solo nacional e que você tem controle jurídico e técnico sobre onde estão.

O custo dessa infraestrutura varia, mas a falha em não tê-la é muito mais cara. Perda de acervo permanente, exposição regulatória, interrupção de acesso — esses são os passivos reais.


3. Metadados: o esqueleto invisível que ninguém estuda até quebrar

Metadados não são sexy. Ninguém abre reunião com o presidente dizendo: "Preciso falar sobre descritores de função administrativa e esquemas de codificação". Mas metadados são o diferencial entre um repositório funcional e um depósito de lixo digital.

Um documento no RDC-Arq não é um arquivo solto. É um objeto de informação cercado por contexto estruturado: quem criou, quando, por quê, qual é a sua função dentro da instituição, qual é seu status legal (sigilo, LGPD), qual é sua data limite de retenção.

Antes de implementar, você precisa:

  1. Definir o esquema de metadados que sua instituição vai usar. O CONARQ recomenda padrões como Dublin Core estendido, mas isso precisa ser adaptado à sua realidade. Perguntas a responder:
  • Quantos campos obrigatórios você vai exigir no ingresso de cada documento?
  • Como vai codificar função, assunto, classificação e nível de acesso?
  • Qual sistema vai gerar e validar esses metadados?
  1. Mapeamento de fluxos documentais — onde cada tipo de documento nasce, por quem é manipulado, e como chega ao repositório. Isso não é criatividade; é engenharia de processo. Documentos que entram sem metadados estruturados são invisíveis para buscas, recuperação e conformidade.
  1. Treinamento de quem vai preencher metadados. Porque se o pessoal operacional não entender a importância, vai virar bom de caixa e metadados virão esvaziadosou inconsistentes.
  1. Ferramenta de validação automática — o sistema precisa rejeitar ingestão de documentos com metadados incompletos ou mal formados. Isso não é punitivo; é manutenção de qualidade.
Um documento sem metadados estruturado é um arquivo perdido em seu próprio repositório. Buscável por ninguém. Auditável por ninguém.
SOS Docs

4. Certificação e conformidade: é com você, não com o fornecedor

Um erro comum: acreditar que certificar o RDC-Arq é responsabilidade do fornecedor de software. Errado. A certificação é responsabilidade da instituição que mantém o repositório.

O CONARQ não certifica sistemas. O CONARQ publica diretrizes; sua instituição precisa demonstrar conformidade — e isso é auditado. Uma certificação como ISO 16363 (audit and certification of trustworthy digital repositories) é o padrão de ouro internacional e cada vez mais exigido por órgãos públicos.

Antes de ir à frente, você precisa:

  • Mapeamento de requisitos CONARQ × seu repositório: qual diretriz se aplica a você, e como você a implementa?
  • Documentação de conformidade: políticas, procedimentos, logs de auditoria, evidências de teste.
  • Plano de auditoria: quem vai auditar (auditoria interna, externa, CONARQ?), com que frequência.
  • Gestão de riscos: identificar falhas potenciais no repositório e como mitigá-las antes que se materializem.

Isto não é um projeto de TI. É um programa de conformidade contínua. Requer investimento em pessoas, processos e ferramentas — e requer que sua liderança entenda que não termina no go-live.


5. Ecossistema integrado: quando preservação encontra IA (e automação)

Um RDC-Arq moderno não é um arquivo estático. É um ecossistema dinâmico onde preservação, acesso e extração de inteligência trabalham juntas sem retirar segurança ou soberania do jogo.

Antes de implementar, questione o seu repositório não apenas sobre armazenamento, mas sobre capacidade de:

  • Extração inteligente de metadados: usar IA para ler documentos digitalizados (OCR evoluído) e popular metadados automaticamente — reduzindo erro manual e custo operacional.
  • Anonimização conformada: remover dados pessoais de documentos mantendo contexto e legibilidade para pesquisa histórica — cumprindo LGPD sem sacrificar memória institucional.
  • Busca semântica: usuários não digitam códigos; digitam perguntas em linguagem natural e o repositório entende intenção.
  • Auditoria em tempo real: rastreabilidade total de quem acessou o quê, quando e por quê — essencial para conformidade regulatória.

Mas aqui vai a provocação: IA no repositório só funciona com infraestrutura soberana robusta e metadados estruturados. Se você tenta colocar inteligência artifical em cima de caos, vai ter caos inteligente — que é pior porque parece estar funcionando.

Fluxo integrado de IA para extração de metadados e anonimização em repositório certificado
Foto: Markus Winkler / Pexels

6. Checklist de pré-implementação: o que você precisa ter pronto agora

Antes de receber o primeiro documento digital certificado, sua instituição precisa validar que tem:

Governança e Política:

  • Política institucional de preservação digital assinada por autoridade competente.
  • Mapeamento de classes de documentos, prazos de retenção e critérios de descarte.
  • Comitê de gestão do RDC-Arq com representantes de arquivo, jurídico, TI e liderança executiva.
  • Fluxo de transferência documentado entre setores e o repositório central.

Infraestrutura:

  • Data center(s) em solo nacional com certificação ISO 27001 (mínimo).
  • Redundância geográfica testada e validada com failover automático.
  • Capacidade de armazenamento dimensionada para 5-10 anos (com margem).
  • Backup e replicação com SLA de RPO ≤ 24h e RTO ≤ 24h.
  • Monitoramento contínuo com alertas e logs auditáveis.

Metadados:

  • Esquema de metadados definido e adaptado à sua realidade.
  • Ferramentas de geração e validação de metadados em produção.
  • Documentação de campo (o que é cada metadado, como preenchê-lo, quem preenche).
  • Treinamento de equipes operacionais completado e testado.

Conformidade:

  • Mapeamento de requisitos CONARQ para seu RDC-Arq.
  • Documentação de políticas, procedimentos e testes.
  • Plano de auditoria (interna ou externa) com cronograma.
  • Gestão de risco e plano de mitigação de falhas críticas.

Operacional:

  • SLA de disponibilidade do repositório (recomenda-se 99,9% ou maior).
  • Equipe de suporte designada com responsabilidades claras.
  • Plano de treinamento para usuários finais.
  • Comunicação preparada sobre mudanças de fluxo documentário.

O custo real de não fazer certo

Implementar um RDC-Arq com atalhadores custa mais caro do que fazê-lo direito.

Se você pular a definição de política, vai ter documentos orphaned (órfãos), sem contexto, sem metadados, perdidos no repositório. Quando vier uma auditoria ou uma ação judicial pedindo um documento específico, você não encontra — ou encontra, mas sem cadeia de custódia clara. Custo regulatório: multas, perda de credibilidade, possível nulidade processual.

Se você economizar em infraestrutura soberana, hospedando em nuvem internacional "mais barata", corre risco de:

  • Violação implícita de LGPD e normas de soberania (órgãos públicos estão sendo auditados nisso).
  • Exposição a embargos ou requisições legais em jurisdições estrangeiras (seu arquivo nacional em outro país é um problema diplomático e jurídico).
  • Indisponibilidade sem aviso caso o fornecedor ou a legislação local mude.

Se você negligenciar metadados, seu repositório funciona como arquivo vivo mas não como repositório de preservação. Buscas falham. Auditoria fica cega. Acesso por LGPD fica impossível de provar.

Se você não planejar conformidade desde o início, terá que fazer retrofit custoso depois — e retrofit em sistemas em produção é trauma.

O investimento correto na primeira vez é sempre mais barato que consertar depois.


Próximos passos: como começar

Se sua instituição está começando essa jornada, recomendamos:

  1. Assembrar o comitê de RDC-Arq com representantes de arquivo, jurídico, TI e negócio. Primeira reunião: mapear o escopo atual do seu acervo.
  2. Contratar assessoria especializada em CONARQ e implementação de repositórios — não é genérica. Você não faz isso todo dia; quem tem experiência com múltiplas instituições traz padrões e evita armadilhas comuns.
  3. Pilotar com um setor ou classe de documentos antes de ir institution-wide. Documentos administrativos, por exemplo, são menos complexos que registros judiciais. Aprenda com o piloto.
  4. Documentar tudo: política, infraestrutura, metadados, processos. Essa documentação é seu ativo de conformidade e sua segurança jurídica.
  5. Revisar a conformidade regularmente: RDC-Arq não é projeto. É programa contínuo.

Não é fácil, mas é necessário. E é possível fazer certo — se você começar sabendo exatamente o que precisa estar em pé antes da primeira transferência digital.

Sua instituição está pronta para implementar um RDC-Arq?

Nossa equipe de especialistas em governança documental e soberania digital pode auditar seu estado atual e desenhar um roadmap realista para conformidade CONARQ com infraestrutura soberana integrada a IA.