Retenção e Eliminação de Dados Pessoais: Políticas e Prazos
A retenção e a eliminação de dados pessoais exigem políticas claras e prazos bem definidos para garantir conformidade com a LGPD e evitar sanções administrativas.
O Ciclo de Vida dos Dados Pessoais nas Organizações
Quando analisa-se o tratamento de dados pessoais dentro de uma organização, percebemos que cada informação coletada possui um ciclo de vida próprio. Esse ciclo começa na coleta, passa pelo armazenamento e uso, e termina (ou deveria terminar) na eliminação. A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) estabelece que o tratamento de dados pessoais deve obedecer a finalidades específicas e que, uma vez atingido o propósito original da coleta, os dados precisam ser descartados de forma segura.
Na prática, verifica-se que muitas empresas acumulam volumes enormes de informações sem qualquer critério de temporalidade. Cadastros antigos de clientes inativos, currículos de processos seletivos encerrados, registros de navegação em websites e históricos de compras de anos anteriores permanecem armazenados indefinidamente. Essa postura, além de representar um risco jurídico significativo, aumenta a superfície de exposição a incidentes de segurança. Quanto maior o volume de dados retidos sem necessidade, maior o potencial de dano em caso de vazamento.
A LGPD, em seu artigo 15, determina que o término do tratamento de dados pessoais ocorre quando a finalidade foi alcançada, quando os dados deixam de ser necessários para aquela finalidade, quando há revogação do consentimento pelo titular ou quando a Autoridade Nacional de Proteção de Dados (ANPD) determina. Compreender esses gatilhos é o primeiro passo para estruturar uma política de retenção e eliminação que funcione na prática.
Bases Legais que Justificam a Retenção de Dados
Antes de definir prazos de eliminação, precisamos identificar quais bases legais sustentam a manutenção de determinados dados. O artigo 16 da LGPD prevê exceções à obrigação de eliminar dados após o término do tratamento. Entre essas exceções, cabe destacar o cumprimento de obrigação legal ou regulatória pelo controlador, o uso exclusivo pelo controlador (desde que anonimizados), a transferência a terceiro (respeitados os requisitos legais) e o uso para estudo por órgão de pesquisa.
Diversas legislações setoriais estabelecem prazos mínimos de guarda que precisam ser respeitados. O Código Tributário Nacional, por exemplo, exige a manutenção de documentos fiscais por pelo menos cinco anos. A Consolidação das Leis do Trabalho e normas previdenciárias impõem a guarda de documentos trabalhistas por prazos que podem chegar a trinta anos em alguns casos. O Código de Defesa do Consumidor estabelece prazos prescricionais que influenciam diretamente a necessidade de retenção de registros de transações comerciais. O Marco Civil da Internet (Lei nº 12.965/2014) determina que provedores de aplicação mantenham registros de acesso por seis meses.
Verifica-se, portanto, que a construção de uma tabela de temporalidade precisa considerar não apenas a LGPD, mas todo o arcabouço regulatório aplicável ao setor de atuação da organização. Uma clínica médica terá obrigações de guarda diferentes de uma instituição financeira, que por sua vez terá exigências distintas de uma empresa de comércio eletrônico. A due diligence em dados pessoais exige esse mapeamento completo das obrigações legais de retenção antes de qualquer decisão sobre eliminação.
Como Estruturar uma Política de Retenção Eficaz
Uma política de retenção de dados pessoais precisa ser documentada, aplicável e verificável. Não basta criar um documento genérico que estabeleça prazos arbitrários. Cada categoria de dado tratado pela organização deve ser mapeada, vinculada a uma finalidade específica, associada a uma base legal e submetida a um prazo de retenção justificável.
O primeiro passo consiste em realizar um inventário completo dos dados pessoais tratados. Esse inventário deve identificar quais dados são coletados, de quem são coletados (colaboradores, clientes, fornecedores, visitantes), para qual finalidade são usados, onde estão armazenados (sistemas, planilhas, arquivos físicos), quem tem acesso a eles e qual a base legal que autoriza o tratamento. Sem esse mapeamento, qualquer política de retenção será superficial.
Na sequência, construímos a tabela de temporalidade. Esse documento correlaciona cada categoria de dados com seu respectivo prazo de retenção, indicando a justificativa legal para aquele prazo. Por exemplo: dados cadastrais de clientes ativos podem ser mantidos durante a vigência da relação contratual e por cinco anos após seu encerramento (prazo prescricional geral do Código Civil). Dados de candidatos não aprovados em processos seletivos podem ser mantidos por seis meses a um ano, salvo consentimento específico para permanência em banco de talentos.
Reter dados pessoais além do necessário não é cautela, é risco: cada registro mantido sem finalidade legítima representa uma vulnerabilidade jurídica e operacional para a organização.
A política também precisa definir responsabilidades claras. Quem será o responsável por executar a eliminação? Com qual periodicidade os sistemas serão revisados? Quais mecanismos de controle garantirão que os prazos estão sendo cumpridos? A designação de um encarregado de dados (DPO) facilita a governança desse processo, mas não exime os gestores de cada área de conhecerem e aplicarem os prazos pertinentes aos dados sob sua responsabilidade.
Procedimentos Seguros de Eliminação de Dados
A eliminação de dados pessoais não se resume a apertar a tecla “delete”. Quando analisa-se os requisitos da LGPD, percebemos que a eliminação deve ser efetiva, ou seja, deve tornar os dados irrecuperáveis. Isso vale tanto para dados digitais quanto para dados armazenados em meio físico.
Para dados digitais, a eliminação segura pode envolver técnicas como a sobrescrita múltipla de dados em dispositivos de armazenamento, a destruição criptográfica (onde as chaves de criptografia são eliminadas, tornando os dados cifrados inacessíveis), a desmagnetização de mídias magnéticas e a destruição física de dispositivos de armazenamento quando necessário. Em ambientes de nuvem, a eliminação requer atenção redobrada, pois os dados podem estar replicados em múltiplos servidores e regiões geográficas. Contratos com provedores de serviços em nuvem devem conter cláusulas específicas sobre procedimentos de eliminação e certificação de descarte.
Para dados em meio físico (documentos impressos, fichas cadastrais, prontuários em papel), a eliminação segura envolve a fragmentação por meio de trituradores de documentos com nível de segurança adequado. A simples disposição em lixo comum representa uma violação grave, pois permite a recuperação das informações por terceiros não autorizados.
Cada operação de eliminação deve ser registrada. Esse registro (log de eliminação) comprova que a organização cumpriu sua obrigação legal e serve como evidência em eventual fiscalização pela ANPD ou em demandas judiciais. O registro deve conter, no mínimo, a descrição dos dados eliminados, a data da eliminação, o método utilizado, o responsável pela execução e a justificativa (término do prazo de retenção, solicitação do titular ou outra razão prevista na política).
Due Diligence em Dados: Avaliação de Riscos e Conformidade
A due diligence em dados pessoais vai além da simples verificação de prazos de retenção. Quando conduzimos essa análise, avaliamos toda a cadeia de tratamento para identificar pontos de não conformidade, riscos latentes e oportunidades de melhoria na governança de dados.
Em operações societárias como fusões, aquisições e incorporações, a due diligence em dados tornou-se etapa indispensável. O adquirente precisa compreender quais dados pessoais estão sob custódia da empresa-alvo, se esses dados foram coletados com base legal adequada, se os prazos de retenção estão sendo respeitados, se houve incidentes de segurança não reportados e se existem passivos relacionados a reclamações de titulares ou procedimentos administrativos perante a ANPD. Irregularidades nessas áreas podem representar passivos significativos e influenciar diretamente a valoração do negócio.
Mesmo fora do contexto de operações societárias, a due diligence periódica em dados pessoais é uma prática recomendável. Organizamos essa análise em quatro dimensões: a dimensão jurídica (verificação de bases legais, contratos com operadores, termos de consentimento), a dimensão técnica (medidas de segurança, controles de acesso, criptografia), a dimensão operacional (processos internos, treinamentos, cultura de proteção de dados) e a dimensão documental (políticas, registros de tratamento, relatórios de impacto).
Os resultados dessa due diligence devem ser documentados em relatório específico, com indicação clara dos achados, classificação de riscos por criticidade e recomendações de correção priorizadas. A ANPD, ao aplicar sanções, considera a adoção de boas práticas e de mecanismos de governança como atenuantes. Portanto, manter uma rotina de due diligence em dados não é apenas boa prática, mas uma estratégia de mitigação de riscos regulatórios.
Cabe destacar ainda que a eliminação de dados pode ser solicitada diretamente pelo titular, conforme previsto no artigo 18, inciso VI, da LGPD. A organização deve estar preparada para atender a essas solicitações dentro de prazo razoável, verificando previamente se não existe obrigação legal que justifique a manutenção dos dados. Quando a retenção for necessária por força de lei, o titular deve ser informado sobre a impossibilidade de eliminação e a respectiva fundamentação legal.
Perguntas Frequentes
Qual o prazo máximo para manter dados pessoais após o encerramento da finalidade?
A LGPD não estabelece um prazo máximo único e universal. O prazo de retenção depende da base legal aplicável e das obrigações setoriais de cada atividade. Dados vinculados a obrigações fiscais, por exemplo, devem ser mantidos por no mínimo cinco anos, enquanto dados coletados apenas com base no consentimento devem ser eliminados assim que a finalidade for atingida ou o consentimento for revogado, salvo outra base legal que justifique a manutenção.
O que acontece se a empresa não eliminar dados pessoais dentro do prazo?
A manutenção de dados pessoais além do prazo justificável configura tratamento irregular nos termos da LGPD. A organização fica sujeita a sanções administrativas pela ANPD, que incluem advertência, multa de até 2% do faturamento (limitada a R$ 50 milhões por infração), bloqueio e eliminação dos dados. Além disso, o titular prejudicado pode buscar reparação por danos morais e materiais na esfera judicial.
A anonimização substitui a necessidade de eliminação dos dados?
Sim, a anonimização é uma alternativa legítima à eliminação, desde que seja verdadeiramente irreversível. A LGPD prevê expressamente que dados anonimizados não são considerados dados pessoais e, portanto, não estão sujeitos às suas disposições. Contudo, se o processo de anonimização puder ser revertido com esforço razoável, os dados continuam sendo considerados pessoais (pseudonimizados) e permanecem sujeitos a todas as obrigações legais, incluindo a de eliminação.
As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
