LGPD na prática: quais dados sua empresa pode coletar e por quanto tempo guardar
Empresas que coletam dados de clientes, empregados ou fornecedores precisam apontar, para cada operação, uma base legal prevista na Lei Geral de Proteção de Dados. Sem essa fundamentação, o tratamento é irregular desde a origem, e nenhuma medida posterior conserta a falha. A escolha entre consentimento e legítimo interesse, somada a limites claros de finalidade e prazos de descarte, define se a organização opera dentro da lei ou acumula risco silencioso.
O que a lei exige antes de tratar qualquer dado
A Lei 13.709/2018 organiza a proteção de dados em torno de uma ideia simples: nenhum dado pessoal pode ser tratado sem uma justificativa jurídica válida. Essa justificativa recebe o nome de base legal, e o artigo 7º da lei lista dez hipóteses para dados comuns, enquanto o artigo 11 traz regras mais rígidas para dados sensíveis, como saúde, biometria e convicção religiosa.
O erro mais comum das empresas é inverter a ordem. Primeiro coletam os dados, montam planilhas e integram sistemas, para só depois perguntar se aquilo era permitido. A lógica correta é oposta. Antes de qualquer coleta, a organização identifica a finalidade, escolhe a base legal adequada àquela finalidade e só então inicia o tratamento.
Cada operação exige sua própria fundamentação. O mesmo cadastro de cliente pode apoiar a execução de um contrato, o cumprimento de obrigação legal fiscal e uma ação de marketing, e cada um desses usos reclama uma base distinta. Tratar tudo como se fosse um bloco único é receita para autuação.
Consentimento e legítimo interesse: a distinção que mais gera dúvida
Entre as dez bases legais, duas concentram a maior parte das discussões práticas: o consentimento e o legítimo interesse. Elas não são intercambiáveis, e escolher a errada compromete toda a operação.
O consentimento é a manifestação livre, informada e inequívoca pela qual a pessoa concorda com o tratamento de seus dados para uma finalidade determinada. Livre significa sem coação e sem prejuízo caso a pessoa recuse. Informada significa que ela sabe exatamente o que será feito. Inequívoca significa que não há dúvida sobre a concordância, o que afasta caixas pré-marcadas e silêncio interpretado como aceite.
O consentimento carrega uma característica que muitas empresas subestimam: ele pode ser revogado a qualquer momento, com a mesma facilidade com que foi concedido. Quando isso acontece, o tratamento amparado naquela autorização precisa cessar. Construir um processo de negócio inteiro sobre consentimento revogável é fragilizar a própria operação.
O legítimo interesse, por sua vez, permite o tratamento quando há um interesse concreto e lícito da empresa ou de terceiro, desde que esse interesse não se sobreponha aos direitos e liberdades do titular. É uma base mais estável, porque não depende de autorização individual, mas exige um exercício de ponderação documentado.
Esse exercício se materializa no chamado relatório de avaliação de legítimo interesse, um documento que registra a finalidade pretendida, a necessidade real do tratamento e o balanceamento entre o interesse da empresa e a expectativa razoável do titular. Sem esse registro, a empresa afirma agir por legítimo interesse, mas não consegue prová-lo diante da autoridade.
Como decidir entre uma base e outra
A pergunta prática é direta: a pessoa esperaria esse tratamento? Se um cliente fornece o endereço para receber um produto que comprou, ele espera que a empresa use esse dado para entregar a mercadoria. Aqui, a execução do contrato basta, e nem consentimento nem legítimo interesse são necessários, porque existe base própria para relações contratuais.
Quando a empresa quer usar aquele mesmo endereço para enviar ofertas de produtos diferentes, o cenário muda. A prospecção de novos negócios costuma se apoiar em legítimo interesse, mas com salvaguardas: o titular precisa poder se opor de forma simples, e a comunicação deve guardar relação com a expectativa gerada pelo relacionamento original.
Já o tratamento de dados sensíveis, ou o uso de informações para finalidades que a pessoa dificilmente anteciparia, tende a exigir consentimento específico e destacado. Nesses casos, a autorização individual deixa de ser burocracia e passa a ser a única base juridicamente segura.
A base legal não é um selo escolhido depois; ela nasce da finalidade e precisa sustentar-se diante da autoridade e do titular.
Um sinal de alerta merece atenção. Quando a empresa hesita entre consentimento e legítimo interesse, muitas vezes o problema real é a ausência de finalidade clara. Definida a finalidade com precisão, a base legal quase sempre se revela sozinha. A indefinição da base costuma denunciar indefinição do propósito.
Finalidade e retenção: os limites que a maioria ignora
Escolher a base legal correta não encerra as obrigações da empresa. A lei impõe dois princípios que funcionam como muros de contenção: a finalidade específica e a limitação temporal do tratamento.
Pelo princípio da finalidade, os dados só podem ser usados para o propósito informado no momento da coleta. Dados obtidos para faturamento não migram livremente para uma campanha de marketing, e informações de um processo seletivo não alimentam avaliações posteriores sem nova fundamentação. Cada desvio de finalidade é, na prática, um novo tratamento que reclama nova base legal.
A limitação temporal é o ponto mais negligenciado. A lei determina que os dados sejam eliminados quando a finalidade se exaure ou quando o titular solicita, ressalvadas hipóteses de guarda obrigatória por prazo legal. Isso significa que reter dados indefinidamente, por conforto ou por hábito, viola a norma.
O acúmulo sem propósito é um passivo, não um patrimônio. Bancos de dados inflados aumentam a superfície de exposição em caso de incidente, elevam o custo de resposta a pedidos de titulares e transformam qualquer vazamento em um problema de proporções maiores. Guardar tudo, para sempre, é o oposto de segurança.
Definindo prazos de descarte na prática
Definir prazos de retenção exige cruzar dois eixos: a finalidade do dado e as obrigações legais de guarda. Documentos fiscais e trabalhistas têm prazos próprios de conservação fixados em outras leis, e enquanto vigorarem esses prazos, a base legal do tratamento é o cumprimento de obrigação legal, não mais o contrato ou o consentimento.
Um método aplicável começa por mapear todos os fluxos de dados da organização. Para cada categoria de informação, a empresa registra de onde o dado veio, para que serve, qual a base legal, quem tem acesso e por quanto tempo precisa existir. Esse inventário é a espinha dorsal de qualquer política de retenção defensável.
Com o mapa em mãos, cada categoria recebe um prazo. Dados de contato de clientes inativos podem ter um horizonte de retenção vinculado à prescrição de eventuais cobranças. Currículos de candidatos não contratados costumam justificar guarda curta, salvo consentimento expresso para banco de talentos. Registros contábeis seguem os prazos fiscais aplicáveis.
Vencido o prazo, o descarte precisa ser real e seguro. Anonimizar ou eliminar de forma definitiva, incluindo backups e cópias em sistemas periféricos, é o que caracteriza o cumprimento efetivo. Marcar um registro como inativo, mantendo o dado acessível, não satisfaz a lei. A eliminação lógica sem eliminação física é uma retenção disfarçada.
Empresas que estruturam esse ciclo, coleta com base legal definida, uso restrito à finalidade e descarte no prazo, reduzem drasticamente o risco sancionatório e ganham eficiência operacional, porque param de administrar dados que não deveriam mais existir.
Perguntas Frequentes
É obrigatório pedir consentimento para todo tratamento de dados?
Não. O consentimento é apenas uma das dez bases legais previstas para dados comuns. Muitas operações se apoiam em outras hipóteses, como a execução de contrato, o cumprimento de obrigação legal ou o legítimo interesse. Usar consentimento onde ele não é a base adequada gera fragilidade, porque a pessoa pode revogá-lo e interromper um tratamento que, na verdade, tinha fundamento próprio e mais estável.
O legítimo interesse dispensa qualquer documentação?
Ao contrário. Embora não dependa de autorização individual, o legítimo interesse exige um relatório de avaliação que registre a finalidade, a necessidade do tratamento e o balanceamento entre o interesse da empresa e os direitos do titular. Sem esse documento, a organização até pode invocar a base, mas fica sem meios de comprová-la diante da autoridade, o que na prática equivale a não tê-la.
Por quanto tempo a empresa pode guardar dados pessoais?
Somente pelo tempo necessário à finalidade que motivou a coleta, ou pelo prazo legal de guarda, quando existir. Encerrada a finalidade e vencidos os prazos obrigatórios, os dados devem ser eliminados de forma definitiva ou anonimizados, incluindo backups. Reter informações indefinidamente, sem propósito atual, contraria o princípio da limitação temporal e aumenta o risco em caso de incidente de segurança.
Base legal citada
Leia o texto integral e atualizado no CM Legis:
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.






