Retenção e Eliminação de Dados Pessoais: Políticas e Prazos
“`html
O que a LGPD Diz Sobre Retenção de Dados
A Lei Geral de Proteção de Dados não estabelece um prazo único e universal de retenção. O que ela faz — de forma expressa no artigo 15 — é determinar que o tratamento de dados pessoais deve encerrar quando a finalidade for alcançada, quando o dado deixar de ser necessário ou pertinente, quando o titular exercer o direito de revogação do consentimento (nas hipóteses em que o consentimento era a base legal) ou quando houver determinação da autoridade competente.
Isso significa que a retenção prolongada de dados sem justificativa legal ou contratual configura, em si, uma violação à LGPD. O princípio da necessidade, previsto no artigo 6º, inciso III, exige que o tratamento seja limitado ao mínimo necessário para a realização das finalidades pretendidas. Guardar dados além do prazo necessário fere diretamente esse princípio.
Há, contudo, exceções expressamente previstas. O mesmo artigo 15, parágrafo único, e o artigo 16 da LGPD permitem a conservação dos dados após o encerramento do tratamento nas seguintes situações:
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados;
- Transferência a terceiros, respeitados os requisitos de tratamento dispostos na lei;
- Uso exclusivo do controlador, vedado o acesso por terceiros, e desde que os dados estejam anonimizados.
A primeira dessas exceções é, na prática, a mais relevante para as empresas: diversas leis setoriais impõem prazos mínimos de guarda de documentos e registros que, necessariamente, envolvem dados pessoais. Ignorar esses prazos pode gerar exposição tanto à ANPD quanto a outros órgãos fiscalizadores.
Prazos Legais que Influenciam a Retenção de Dados
Uma política de retenção robusta precisa considerar o arcabouço normativo que, fora da LGPD, impõe períodos mínimos de conservação de registros. A seguir, destacamos os principais.
Trabalhista e previdenciário: A Consolidação das Leis do Trabalho e a legislação previdenciária determinam que documentos relativos ao vínculo de emprego, como holerites, registros de ponto, contratos e recibos de férias, sejam guardados por períodos que variam de 2 a 30 anos, a depender do tipo de registro. Dados como CTPS, FGTS e informações ao eSocial seguem prazos específicos definidos pelas normas da Receita Federal e do Ministério do Trabalho e Emprego.
Tributário e fiscal: O Código Tributário Nacional prevê decadência e prescrição tributária em 5 anos. Na prática, documentos contábeis e fiscais costumam ser retidos por 5 a 10 anos pelas empresas, pois laudos e escriturações podem ser exigidos em fiscalizações retroativas. Dados pessoais contidos nesses registros (como CPF de fornecedores, prestadores e clientes) ficam sujeitos ao mesmo prazo.
Cível e contratual: O Código Civil estabelece prazos prescricionais que variam de 1 a 10 anos, a depender do tipo de obrigação. Para contratos em geral, o prazo mais comum é de 3 anos (artigo 206, §3º), mas contratos imobiliários, por exemplo, podem demandar retenção por prazos superiores. Dados pessoais vinculados a contratos precisam ser conservados até o fim do prazo prescricional aplicável à relação jurídica correspondente.
Setor financeiro: Bancos, fintechs e demais instituições supervisionadas pelo Banco Central do Brasil seguem regulamentação própria, como a Resolução CMN nº 4.658/2018 (política de segurança cibernética) e normas do Bacen sobre sigilo bancário e documentação de operações. Dados de transações e de identificação de clientes (KYC) têm prazos específicos que podem chegar a 10 anos.
Marco Civil da Internet: A Lei nº 12.965/2014 obriga provedores de conexão a guardar registros de conexão por 1 ano e provedores de aplicações de internet a guardar registros de acesso por 6 meses, podendo esse prazo ser ampliado mediante requerimento judicial ou administrativo.
Uma política de retenção de dados não é apenas uma boa prática de compliance: é uma obrigação legal que conecta a LGPD a dezenas de normas setoriais, trabalhistas, tributárias e civis. Não ter essa política é uma vulnerabilidade jurídica concreta.
Como Estruturar uma Política de Retenção e Eliminação
A construção de uma política de retenção e eliminação de dados pessoais passa por etapas bem definidas. Organizações que já possuem um Programa de Proteção de Dados em andamento devem integrar essa política ao seu conjunto de documentos de governança. Para quem está começando, esse costuma ser um dos instrumentos mais práticos para estruturar o compliance com a LGPD.
1. Inventário de dados (mapeamento): Antes de definir prazos, é preciso saber quais dados a organização trata, por qual finalidade, com qual base legal e em quais sistemas estão armazenados. O mapeamento de dados, também chamado de data mapping ou ROPA (Registro de Operações de Tratamento), é o ponto de partida. Sem ele, qualquer política de retenção será incompleta.
2. Classificação por finalidade e base legal: Cada categoria de dado deve ser associada à sua finalidade de tratamento e à base legal que a sustenta. Dados tratados com base em contrato têm prazo de retenção vinculado ao ciclo contratual e ao prazo prescricional correspondente. Dados tratados com base em consentimento devem ser eliminados quando o consentimento for revogado, salvo se outra base legal autorizar a continuidade.
3. Definição de prazos por categoria: Com base no inventário e nas obrigações legais aplicáveis ao setor e ao tipo de dado, a organização deve definir prazos máximos de retenção para cada categoria. Esses prazos precisam ser documentados em uma tabela de retenção (retention schedule), que serve de referência para toda a equipe e para eventuais auditorias.
4. Procedimentos de eliminação: A eliminação de dados pessoais não é apenas apagar um arquivo. A LGPD exige que a eliminação seja feita de forma segura, de modo que os dados não possam ser recuperados. Para dados em suporte físico (papel), o protocolo usual é a destruição com fragmentadora de nível adequado ou incineração. Para dados digitais, é preciso garantir a exclusão em todos os sistemas, backups e ambientes de armazenamento onde os dados residam.
5. Registros e evidências: A organização deve documentar as eliminações realizadas. Isso inclui data da eliminação, categoria dos dados eliminados, forma de eliminação e responsável pelo procedimento. Esses registros são fundamentais em caso de fiscalização pela ANPD ou de litígio envolvendo o titular dos dados.
6. Revisão periódica: Legislações mudam, o negócio evolui e novas categorias de dados passam a ser tratadas. A política de retenção deve ser revisada ao menos anualmente ou sempre que houver alteração significativa no tratamento de dados da organização.
Riscos do Gerenciamento Inadequado e o Papel da ANPD
A Autoridade Nacional de Proteção de Dados tem competência para fiscalizar o cumprimento da LGPD e aplicar sanções administrativas que vão desde advertências até multas de até 2% do faturamento da empresa no último exercício, limitadas a R$ 50 milhões por infração. A retenção indevida de dados — seja por excesso (guardar além do necessário) ou por insuficiência (eliminar antes do prazo legal) — pode fundamentar processos administrativos perante a ANPD.
Além das sanções da ANPD, o gerenciamento inadequado de dados expõe a organização a outros riscos:
- Passivo trabalhista: A eliminação prematura de registros de emprego pode comprometer a defesa da empresa em reclamações trabalhistas.
- Passivo fiscal: A destruição antecipada de documentos contábeis pode ser interpretada como omissão de informações em fiscalizações tributárias.
- Responsabilidade civil: O vazamento de dados retidos além do necessário agrava a responsabilização civil pelo dano, pois demonstra ausência de cuidado com a minimização do risco.
- Danos reputacionais: Incidentes envolvendo dados que deveriam ter sido eliminados geram exposição negativa desproporcional, especialmente quando os titulares são consumidores.
Organizações que operam em setores regulados — como saúde, finanças, telecomunicações e educação — enfrentam camadas adicionais de escrutínio, pois seus reguladores setoriais (ANS, Bacen, Anatel, MEC) também podem exigir o cumprimento de normas específicas de retenção e segurança da informação.
Um ponto que merece atenção especial é o tratamento de dados sensíveis, categoria definida no artigo 5º, inciso II da LGPD, que inclui dados sobre saúde, orientação sexual, origem racial ou étnica, convicções religiosas, entre outros. Para esses dados, a diligência precisa ser redobrada: prazos de retenção devem ser os estritamente mínimos necessários e os procedimentos de eliminação precisam ser os mais robustos disponíveis.
A LGPD define um prazo máximo de retenção de dados pessoais?
Não. A LGPD não estipula um prazo único e universal. O que a lei determina, no artigo 15, é que o tratamento deve ser encerrado quando a finalidade for alcançada ou quando os dados não forem mais necessários. A partir disso, cada organização precisa definir seus próprios prazos com base na finalidade do tratamento, na base legal utilizada e nas obrigações impostas por outras normas setoriais, como a legislação trabalhista, tributária e civil.
O que acontece se a empresa eliminar dados antes do prazo legal?
A eliminação prematura de dados que devem ser retidos por força de lei pode gerar graves consequências. No campo trabalhista, a ausência de registros pode ser interpretada contra a empresa em reclamações judiciais. No campo fiscal, pode caracterizar omissão de documentos em processos de fiscalização. Em alguns casos, a destruição intencional de documentos pode configurar ilícito penal. Por isso, a política de retenção precisa contemplar não apenas os prazos máximos, mas também os prazos mínimos estabelecidos pelas normas aplicáveis a cada tipo de dado.
Como deve ser feita a eliminação segura de dados digitais?
A eliminação segura de dados digitais vai além de mover arquivos para a lixeira do computador. É necessário garantir que os dados sejam apagados em todos os sistemas e ambientes onde estejam armazenados: servidores, bancos de dados, sistemas de backup, ambientes de nuvem e dispositivos de armazenamento removíveis. Técnicas como sobrescrita de dados (data wiping), desmagnetização (degaussing) e destruição física de mídias são utilizadas conforme o nível de sensibilidade dos dados. A organização deve registrar o procedimento de eliminação, indicando data, responsável, categoria dos dados e método utilizado.
Dados anonimizados precisam ser eliminados no mesmo prazo dos dados pessoais?
Dados verdadeiramente anonimizados não se enquadram no conceito de dado pessoal da LGPD e, portanto, não estão sujeitos às suas regras de retenção e eliminação. A ressalva importante é que a anonimização precisa ser efetiva: se houver qualquer possibilidade razoável de reidentificação do titular com os meios disponíveis, o dado continua sendo considerado pessoal para fins legais. A ANPD pode avaliar se o processo de anonimização adotado pela organização é suficiente para descaracterizar a identificabilidade dos titulares.
Este artigo tem caráter exclusivamente informativo e educativo. As informações aqui apresentadas não constituem aconselhamento jurídico e não substituem a consulta a um advogado habilitado para análise do caso concreto. A legislação brasileira de proteção de dados está em constante desenvolvimento, e as normas setoriais aplicáveis variam conforme o ramo de atividade da organização.
“`
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.