Como criar um plano de retenção e descarte de dados pessoais
"Guardar mais é mais seguro." Esse pensamento intuitivo é um dos maiores inimigos da conformidade com a LGPD. Dados armazenados além do necessário são dados expostos desnecessariamente — e a lei é explícita: quando a finalidade é atingida, os dados devem ser eliminados.
Mas "eliminar quando necessário" exige saber, com precisão, quando isso acontece. É exatamente para isso que serve o plano de retenção e descarte.
O que a LGPD exige sobre retenção e descarte
Término do tratamento (Art. 15)
O Art. 15 da LGPD define as hipóteses em que o tratamento de dados pessoais deve ser encerrado:
| Hipótese | Descrição |
|---|---|
| I — Finalidade alcançada | Os dados cumpriram o objetivo para o qual foram coletados e não são mais necessários |
| II — Fim do período de tratamento | O prazo definido para o tratamento expirou |
| III — Comunicação do titular | O titular revogou o consentimento ou solicitou eliminação dos dados — quando não há outra base legal que sustente o tratamento |
| IV — Determinação da ANPD | A autoridade nacional determinou o encerramento por violação da LGPD |
Eliminação e hipóteses de conservação (Art. 16)
Encerrado o tratamento, a regra geral é a eliminação dos dados (Art. 16, caput). A lei, porém, prevê quatro hipóteses em que os dados podem ser conservados mesmo após o término:
| Hipótese | Base |
|---|---|
| I — Obrigação legal ou regulatória | O controlador é obrigado por lei a manter os dados por determinado prazo |
| II — Pesquisa por órgão de pesquisa | Dados podem ser mantidos para fins de pesquisa, garantida a anonimização sempre que possível |
| III — Transferência a terceiro | Desde que respeitados os requisitos de tratamento da LGPD |
| IV — Uso exclusivo do controlador | Dados mantidos internamente, com acesso de terceiros vedado e dados anonimizados |
Na prática, a hipótese I — obrigação legal — é a mais relevante para a maioria das organizações. Ela justifica manter dados mesmo após o término da relação principal, pelo tempo exigido pela legislação aplicável.
Os prazos legais: o que dizem outras leis
A LGPD não define prazos de retenção específicos — ela delega esse papel à legislação setorial e ao princípio da necessidade. São as outras leis brasileiras que estabelecem por quanto tempo os dados precisam (ou podem) ser mantidos.
A tabela abaixo apresenta os principais prazos por área, que devem embasar a tabela de temporalidade da sua organização:
Trabalhista e previdenciário
| Tipo de dado | Prazo mínimo | Base legal |
|---|---|---|
| Contratos de trabalho, holerites, CTPS | 5 anos após rescisão | Art. 7º, XXIX da CF/88 (prescrição trabalhista) |
| Dados de FGTS | 30 anos | Lei nº 8.036/1990 |
| Contribuições previdenciárias (CNIS) | 10 anos | Lei nº 8.213/1991 |
| CAT (Comunicação de Acidente de Trabalho) | 20 anos | Resolução INSS |
| eSocial | 5 anos (ou conforme retenção tributária) | Instrução Normativa RFB |
Tributário e fiscal
| Tipo de dado | Prazo mínimo | Base legal |
|---|---|---|
| Documentos contábeis e fiscais | 5 anos (prescrição) | Art. 174 do CTN |
| Decadência para lançamento tributário | 5 anos (regra geral) | Art. 173 do CTN |
| Nota fiscal eletrônica (NF-e) | 5 anos | Convênio ICMS e legislação federal |
| Dados de operações com exportações | Até 10 anos em casos específicos | Regulamento Aduaneiro |
Relação com consumidores
| Tipo de dado | Prazo mínimo | Base legal |
|---|---|---|
| Reclamações e dados de atendimento ao consumidor | 5 anos | Art. 27 do CDC (prescrição da ação de reparação) |
| Dados de contratos de consumo | 5 anos após extinção do contrato | CDC + CC |
| Dados de cadastro de crédito (negativação) | 5 anos (limite de manutenção no banco de dados) | Art. 43, §1º do CDC |
Saúde
| Tipo de dado | Prazo mínimo | Base legal |
|---|---|---|
| Prontuário médico (em papel) | 20 anos após o último registro | Resolução CFM Nº 1.821/2007 |
| Prontuário eletrônico | Indefinido (enquanto existir o estabelecimento) | Resolução CFM Nº 1.821/2007 |
| Exames complementares digitais | Até 20 anos | Resolução CFM |
| Dados de pesquisa clínica | Mínimo 5 anos após publicação | Resolução CNS Nº 466/2012 |
Financeiro e bancário
| Tipo de dado | Prazo mínimo | Base legal |
|---|---|---|
| Dados de operações de crédito | 5 anos após quitação | Resolução CMN |
| Dados de prevenção à lavagem de dinheiro (PLD/FT) | 10 anos | Lei nº 9.613/1998 |
| Dados de abertura de conta (KYC) | 5 anos após encerramento | Resolução BCB Nº 1/2020 |
A tabela de temporalidade: o coração do plano de retenção
A tabela de temporalidade é o documento central do plano de retenção. Ela mapeia, para cada tipo de dado ou conjunto de dados, três informações fundamentais:
- Prazo de retenção: por quanto tempo o dado deve ser mantido
- Base da retenção: por que está sendo mantido (finalidade + base legal)
- Destino após o prazo: eliminação segura, anonimização ou transferência
Estrutura básica de uma tabela de temporalidade
| Tipo de dado | Departamento | Finalidade | Base da retenção | Prazo | Destino |
|---|---|---|---|---|---|
| Currículo de candidatos não selecionados | RH | Processo seletivo | Consentimento (Art. 7º, I) | 90 dias após encerramento do processo | Eliminação segura |
| Dados de funcionário (admissão, contrato) | RH | Gestão trabalhista | Obrigação legal (Art. 7º, II) | 5 anos após rescisão | Eliminação segura |
| Dados de FGTS | RH/Financeiro | Cumprimento legal | Obrigação legal | 30 anos | Arquivo morto → eliminação |
| Notas fiscais de clientes | Financeiro | Obrigação fiscal | Obrigação legal | 5 anos | Eliminação segura |
| Dados de atendimento ao cliente | SAC | Histórico e defesa judicial | Exercício de direitos (Art. 7º, VI) | 5 anos após atendimento | Eliminação segura |
| Prontuário médico de colaboradores | Saúde Ocupacional | Cumprimento legal | Obrigação legal | 20 anos após último registro | Arquivo morto → eliminação |
| Dados de leads não convertidos | Marketing | Marketing (consentimento) | Consentimento | 12 meses ou até revogação | Eliminação segura |
| Logs de acesso a sistemas | TI | Segurança e auditoria | Legítimo interesse (Art. 7º, IX) | 6 a 12 meses | Eliminação |
Procedimentos seguros de eliminação e descarte
Eliminar dados pessoais não significa apenas "deletar o arquivo". É necessário garantir que os dados não possam ser recuperados por meios razoáveis — e que o processo de eliminação seja documentado.
Para dados digitais
- Exclusão lógica seguida de sobrescrita: simplesmente deletar um arquivo não elimina os bytes do disco — use ferramentas de sobrescrita segura (ex.: NIST 800-88, DoD 5220.22-M)
- Destruição criptográfica: se os dados estão criptografados, destruir a chave de criptografia torna os dados irrecuperáveis sem precisar sobrescrever bit a bit
- Desgauss (desmagnetização): para mídias magnéticas (HDs antigos), desmagnetização total elimina os dados fisicamente
- Destruição física: para mídias que não serão reutilizadas (HDs defeituosos, fitas LTO), destruição física certificada é a opção mais segura
- Para dados em nuvem: verificar os mecanismos de eliminação garantida oferecidos pelo provedor (em conformidade com o DPA celebrado com o controlador)
Para dados em papel
- Fragmentação segura: fragmentadoras de nível P-4 ou superior (corte cruzado) para documentos com dados pessoais
- Serviço de destruição certificada: empresas especializadas que emitem certificado de destruição (rastreabilidade do processo)
Documentação da eliminação
Para fins de accountability (Art. 6º, X da LGPD), documente cada ciclo de descarte:
- Data da eliminação
- Tipos de dados eliminados
- Sistemas ou localidades afetados
- Método utilizado
- Responsável pela execução
Como criar e implementar o plano de retenção
Passo 1: Inventário de dados como ponto de partida
O plano de retenção não pode ser criado sem o inventário de atividades de tratamento (ROPA). Para cada atividade mapeada, você precisa saber:
- Quais dados são tratados
- Qual a finalidade
- Qual a base legal
- Onde estão armazenados
Passo 2: Identifique os prazos legais aplicáveis
Para cada tipo de dado no inventário, identifique se existe obrigação legal de retenção por prazo específico. Consulte o jurídico interno ou externo para levantar as normas setoriais aplicáveis ao seu negócio.
Passo 3: Para dados sem obrigação legal, defina o prazo pela finalidade
Quando não há prazo legal definido, o prazo de retenção deve ser o mínimo necessário para atender à finalidade declarada ao titular. Documente a lógica desta decisão.
Passo 4: Defina o processo de eliminação para cada categoria
Determine, para cada tipo de dado:
- O gatilho que inicia a contagem do prazo (data de coleta, data de término do contrato, data da última transação...)
- Quem é o responsável pela verificação e execução do descarte
- O método de eliminação aplicável
Passo 5: Automatize onde possível
Processos manuais de eliminação são frágeis — dependem de lembranças e de disciplina que nem sempre existem. Sempre que possível, configure:
- Expiração automática de registros em sistemas (CRM, bancos de dados)
- Alertas automatizados quando o prazo de retenção se aproxima
- Relatórios periódicos de dados próximos ao vencimento
Passo 6: Revise a tabela periodicamente
A tabela de temporalidade deve ser revisada ao menos anualmente e sempre que:
- A organização iniciar um novo processo de tratamento
- Uma nova lei ou regulamento estabelecer prazo diferente
- O mapeamento de dados revelar categorias não cobertas
Erros comuns e como evitá-los
| Erro | Consequência | Solução |
|---|---|---|
| Sem tabela de temporalidade documentada | Impossível demonstrar compliance para a ANPD | Criar e manter tabela atualizada |
| Prazo "indefinido" sem base legal | Violação do princípio da necessidade (Art. 6º, III) | Todo dado precisa de prazo ou base para conservação |
| Deletar arquivo sem sobrescrita | Dado ainda recuperável por ferramenta de recuperação | Usar método de eliminação segura |
| Prazo igual para todos os dados | Desrespeito às especificidades legais de cada área | Mapear prazos por tipo e área |
| Não incluir mídias físicas (papel, pen drives, HDs) | Dados físicos igualmente protegidos pela LGPD | Incluir todas as mídias no processo |
| Esquecer dados em backups | Backup contém dados que deveriam ter sido eliminados | Definir política de retenção também para backups |
Conclusão
O plano de retenção e descarte transforma uma obrigação legal abstrata em processo operacional concreto. Sem ele, sua organização acumula dados além do necessário — aumentando o escopo de risco em caso de incidente e expondo-se a autuações da ANPD pelo descumprimento do princípio da necessidade.
A tabela de temporalidade não é um documento de arquivo — é um instrumento vivo de governança. Mantenha-a atualizada, automatize o controle de prazos e documente cada ciclo de eliminação.
A Confidata oferece gestão integrada do ciclo de vida dos dados, com alertas automáticos de prazo de retenção e rastreabilidade completa de cada eliminação realizada. Conheça nossa plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.