LGPD Comentada13 min de leitura

Quando Apagar Dados Pessoais: Término e Eliminação na LGPD

Equipe Confidata·
Compartilhar

Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.

A maioria das organizações sabe que precisa justificar a coleta de dados pessoais. Poucas sabem com a mesma clareza quando devem parar de tratá-los — e o que fazer com eles depois. Os Arts. 15 e 16 da LGPD abordam exatamente isso: o fim do ciclo de vida do tratamento e as regras que governam a eliminação dos dados.

Esses dispositivos são frequentemente negligenciados na prática. Organizações investem em bases legais, políticas de privacidade e consentimento, mas não definem prazos de retenção, não implementam rotinas de descarte e acumulam dados indefinidamente — violando não apenas os Arts. 15 e 16, mas também o princípio da necessidade (Art. 6º, III). Este post analisa cada dispositivo, mapeia os prazos legais de retenção mais comuns e discute como construir uma política de retenção e descarte que funcione.

Art. 15 — Quando o tratamento termina

O texto legal

Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

I — verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;

II — fim do período de tratamento;

III — comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no §5º do art. 8º desta Lei, resguardado o interesse público; ou

IV — determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.

Análise: quatro gatilhos de encerramento

O Art. 15 estabelece quatro hipóteses que encerram o tratamento. Nenhuma depende da vontade unilateral do controlador — todas são determinadas por fatos objetivos ou por atos de terceiros (titular ou ANPD).

Inciso I — Finalidade alcançada ou dados desnecessários. Este é o gatilho mais comum e o mais ignorado. O princípio da finalidade (Art. 6º, I) exige que dados sejam coletados para propósitos legítimos, específicos e informados ao titular. Quando a finalidade é alcançada, o tratamento deve cessar.

Exemplo concreto: uma empresa coleta dados de candidatos para um processo seletivo. Quando o processo é concluído e a vaga preenchida, os dados dos candidatos não selecionados perderam sua finalidade original. Mantê-los indefinidamente para "processos futuros" exigiria uma nova base legal ou um novo consentimento — e um prazo de retenção definido.

Outro aspecto relevante: dados que deixaram de ser pertinentes ao alcance da finalidade também devem ser eliminados. Se uma organização coleta dados detalhados de saúde para um programa de bem-estar corporativo e o programa é descontinuado, os dados perdem a pertinência — mesmo que a relação empregatícia continue.

Inciso II — Fim do período de tratamento. Refere-se ao prazo contratual ou regulatório estabelecido para o tratamento. Se um contrato de prestação de serviços prevê que dados do cliente serão tratados durante a vigência e por 12 meses após o término, o fim desse período encerra o tratamento — independentemente da vontade do controlador.

Inciso III — Comunicação do titular. O titular pode comunicar a revogação do consentimento a qualquer momento, conforme o Art. 8º, §5º. Quando o faz, o tratamento baseado naquele consentimento deve cessar. A ressalva "resguardado o interesse público" indica que, em situações específicas (tratamento por órgão público para política pública, por exemplo), a revogação do consentimento pode não ser suficiente para encerrar o tratamento — mas essas situações são excepcionais.

É importante notar que a revogação do consentimento encerra o tratamento para aquela base legal. Se o controlador possui outra base legal válida para o mesmo tratamento (obrigação legal, por exemplo), o tratamento pode continuar sob a nova base — mas o controlador deve informar o titular e documentar a mudança.

Inciso IV — Determinação da ANPD. A autoridade nacional pode determinar o encerramento do tratamento quando identificar violação à LGPD. Este é um poder sancionatório que pode ser exercido tanto de ofício quanto mediante provocação do titular ou de terceiros. Na prática, funciona como um "freio de emergência" regulatório.

Art. 16 — Eliminação como regra, retenção como exceção

O texto legal

Art. 16. Os dados pessoais serão eliminados após o término do tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

I — cumprimento de obrigação legal ou regulatória pelo controlador;

II — estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

III — transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou

IV — uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Análise: a regra é eliminar

O caput do Art. 16 é direto: dados pessoais serão eliminados após o término do tratamento. O verbo é imperativo — não é "poderão ser eliminados" ou "devem ser considerados para eliminação". A eliminação é a regra; a conservação é a exceção, permitida apenas nos quatro incisos.

A expressão "no âmbito e nos limites técnicos das atividades" reconhece que a eliminação total pode enfrentar limitações práticas — backups em fita, dados replicados em sistemas distribuídos, registros em logs que exigiriam reconstrução completa do sistema para remoção cirúrgica. A lei não exige o impossível, mas exige o razoável. E "razoável" aqui deve ser interpretado à luz do estado da arte tecnológico e dos recursos da organização.

As quatro exceções à eliminação

Inciso I — Obrigação legal ou regulatória. É a exceção mais frequente e a que gera maior complexidade operacional. Dezenas de leis e regulamentos brasileiros impõem prazos de guarda para dados que, sob a ótica da LGPD, já teriam cumprido sua finalidade.

Os principais prazos de retenção obrigatória no Brasil:

Tipo de dado/documentoPrazoFundamento legal
Documentos fiscais (NF-e, SPED)5 anosCTN, Arts. 173-174
Documentos contábeis (escrituração)5 anosCódigo Civil, Art. 1.194
Registros trabalhistas (folha de pagamento)10 anosLegislação previdenciária
Comprovantes de FGTS30 anosLei 8.036/1990
Documentos de saúde ocupacional (ASO, PCMSO)20 anosNR-7, NR-9
Prontuários médicos20 anosCFM Resolução 1.821/2007
Ações trabalhistas (prescrição)5 anos durante contrato + 2 anos após rescisãoCF, Art. 7º, XXIX
Registros de acesso à internet (Marco Civil)6 meses (provedor de conexão) / 6 meses (provedor de aplicação)Lei 12.965/2014, Arts. 13-15

A tensão prática é evidente: a LGPD manda eliminar, mas a legislação tributária exige 5 anos de guarda fiscal, a trabalhista pode exigir até 30 anos para documentos previdenciários, e o CFM impõe 20 anos para prontuários. O Art. 16, I resolve essa tensão ao autorizar a conservação — mas apenas pelo prazo legalmente exigido, não indefinidamente.

Inciso II — Estudo por órgão de pesquisa. Dados podem ser conservados para fins de pesquisa, desde que anonimizados "sempre que possível". A mesma lógica do Art. 13 se aplica aqui: o conceito de "órgão de pesquisa" é restrito ao Art. 5º, XVIII, e a anonimização é condição preferencial.

Inciso III — Transferência a terceiro. Dados podem ser conservados para transferência a terceiros, desde que a transferência respeite todos os requisitos da LGPD. Exemplo: quando o titular solicita a portabilidade de seus dados (Art. 18, V), o controlador pode reter os dados pelo tempo necessário para efetivar a transferência.

Inciso IV — Uso exclusivo do controlador, com anonimização. O controlador pode conservar dados para uso próprio, desde que: (a) o acesso por terceiros seja vedado e (b) os dados sejam anonimizados. Na prática, isso permite que organizações mantenham dados agregados e anonimizados para fins estatísticos, de planejamento ou de melhoria de serviços — sem exposição a riscos regulatórios.

Política de retenção e descarte na prática

Por que ter uma política formal

Uma política de retenção e descarte não é um exercício burocrático — é a operacionalização dos Arts. 15 e 16. Sem ela, a organização não tem como demonstrar que está cumprindo a obrigação de eliminar dados após o término do tratamento, nem como justificar a retenção que pratica.

Elementos essenciais

1. Inventário de dados vinculado a prazos. Cada categoria de dado pessoal no inventário (ROPA) deve ter um prazo de retenção definido, com a base legal para a retenção documentada. O prazo não é "até decidirmos eliminar" — é uma data ou evento específico.

2. Tabela de temporalidade. Documento que lista cada tipo de dado, a finalidade original, a base legal de retenção (quando aplicável), o prazo de guarda e o procedimento de descarte. Deve ser revisada anualmente.

3. Procedimento de descarte. Como os dados serão eliminados? A resposta varia conforme o suporte:

  • Dados digitais em sistemas: exclusão lógica com sobrescrita, seguida de remoção de backups no ciclo de rotação
  • Dados em mídias físicas: destruição conforme NIST 800-88 (sanitização em três níveis: limpeza lógica, expurgo e destruição física)
  • Dados em papel: fragmentação (preferencialmente cross-cut) com registro de destruição

4. Registro de eliminação. Documentar o que foi eliminado, quando, por qual método e por quem. Este registro é a prova de conformidade com o Art. 16 e pode ser solicitado pela ANPD ou apresentado em juízo.

5. Exceções documentadas. Para cada categoria de dado retida além do término do tratamento, a política deve indicar qual inciso do Art. 16 justifica a retenção e por quanto tempo.

Erros comuns na implementação

ErroConsequênciaCorreção
Não definir prazos de retenção no ROPAAcúmulo indefinido de dados, violação do Art. 16Vincular cada atividade de tratamento a um prazo de retenção documentado
Reter dados "por precaução" sem base legalRetenção sem fundamentação é violação da LGPDJustificar cada retenção com um inciso do Art. 16 e o prazo correspondente
Eliminar dados em produção mas manter em backups indefinidamenteDados ainda existem e podem ser acessadosIncluir backups no ciclo de eliminação; reduzir período de retenção de backups
Não documentar o processo de eliminaçãoImpossibilidade de comprovar conformidadeManter registro com data, método, responsável e categoria de dados eliminados
Confundir anonimização com pseudonimização para fins do Art. 16, IVDados pseudonimizados continuam sendo dados pessoaisArt. 16, IV exige anonimização — pseudonimização não é suficiente
Aplicar o mesmo prazo de retenção para todos os dadosRetenção excessiva para dados sem obrigação legal de guardaDefinir prazos diferenciados por categoria e finalidade

A tensão entre retenção e eliminação

Direito à eliminação vs. obrigação de guarda

O titular tem direito de solicitar a eliminação dos dados tratados com base no consentimento (Art. 18, VI). Mas o que acontece quando o controlador retém dados com base em obrigação legal (Art. 16, I)?

A resposta está na coexistência das bases legais: o controlador pode — e deve — eliminar os dados para os quais a base legal era o consentimento, mas reter aqueles cuja guarda é exigida por lei. O desafio operacional é separar os dois conjuntos, especialmente quando os mesmos dados servem a múltiplas finalidades.

Exemplo prático: um empregador coleta dados de saúde do colaborador com base em obrigação legal (saúde ocupacional — NR-7) e também utiliza esses dados em um programa de bem-estar com base em consentimento. Se o colaborador revoga o consentimento, o empregador deve cessar o uso dos dados no programa de bem-estar — mas pode (e deve) manter os registros de saúde ocupacional pelo prazo regulatório de 20 anos.

O "right to be forgotten" no contexto brasileiro

O conceito de "direito ao esquecimento" (right to be forgotten), consagrado no Art. 17 do GDPR europeu, não tem correspondente literal na LGPD. Mas o direito à eliminação do Art. 18, VI, combinado com o término do tratamento do Art. 15, produz efeito prático semelhante: quando a finalidade é alcançada e não há exceção do Art. 16 aplicável, o dado deve ser eliminado — e o titular pode exigir isso.

A jurisprudência brasileira sobre esse tema está em construção. O STJ tem analisado casos em que titulares solicitam a exclusão de dados de plataformas, e o entendimento predominante reconhece o direito à eliminação, mas o compatibiliza com outros princípios constitucionais — como o direito à informação e a liberdade de expressão. A proteção de dados pessoais, mesmo sendo direito fundamental (Art. 5º, LXXIX da CF, incluído pela EC 115/2022), não é absoluta.

Descarte seguro: aspectos técnicos

A eliminação prevista no Art. 16 não é apenas jurídica — é técnica. Dados "deletados" em um sistema podem permanecer fisicamente acessíveis no disco rígido até serem sobrescritos. Backups podem reter versões por meses ou anos. Cópias em ambientes de homologação ou desenvolvimento podem conter dados reais de produção.

Referências técnicas

NIST 800-88 (Guidelines for Media Sanitization): define três níveis de sanitização — Clear (sobrescrita lógica, adequada para reutilização interna), Purge (técnicas que tornam a recuperação inviável mesmo com métodos laboratoriais) e Destroy (destruição física da mídia). Para dados sensíveis ou de alto risco, os níveis Purge ou Destroy são recomendados.

ISO/IEC 27001: a norma de gestão de segurança da informação inclui controles específicos para o descarte seguro de informações e mídias, exigindo que a organização defina procedimentos documentados de destruição.

Na prática, o nível de sanitização deve ser proporcional ao risco. Dados cadastrais básicos podem ser eliminados por sobrescrita lógica; dados sensíveis de saúde em mídias físicas exigem destruição certificada.

Conclusão

Os Arts. 15 e 16 completam o ciclo de vida do dado pessoal na LGPD. O Art. 15 define quando o tratamento termina — por cumprimento de finalidade, fim de prazo, revogação de consentimento ou determinação da ANPD. O Art. 16 define o que fazer depois: eliminar como regra, com quatro exceções taxativas para retenção.

A implementação prática exige uma política de retenção e descarte que vincule cada categoria de dado a um prazo, uma base legal de retenção (quando aplicável) e um procedimento de eliminação documentado. Sem isso, a organização acumula dados indefinidamente — violando o princípio da necessidade e ficando exposta a riscos regulatórios crescentes.

O dado pessoal tem um ciclo de vida. A LGPD não exige apenas que ele nasça com base legal — exige que ele morra quando a finalidade se esgota.

A Confidata integra prazos de retenção ao inventário de atividades de tratamento, com alertas automáticos de vencimento e rastreabilidade do ciclo de vida completo — da coleta à eliminação documentada. Conheça nossa plataforma.

Compartilhar
#lgpd-comentada#LGPD#Art. 15#Art. 16#término tratamento#eliminação de dados#retenção#descarte

Artigos relacionados

LGPD Comentada #28: Vigência, transição e o futuro da proteção de dados no BrasilLGPD Comentada · 13 minLGPD Comentada #27: O Conselho Nacional de Proteção de Dados e da PrivacidadeLGPD Comentada · 12 minANPD: Competências, Estrutura e Poderes de FiscalizaçãoLGPD Comentada · 16 minLGPD Comentada #25: Sanções administrativas — da advertência à multa de R$ 50 milhõesLGPD Comentada · 16 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista