Data Retention Policy Brazil (Política de Retenção de Dados)

A Política de Retenção de Dados é o documento empresarial firmado no Brasil com base na LGPD — Lei 13.709/2018, Art. 16.

O Art. 16 da LGPD estabelece que os dados pessoais devem ser eliminados após o término de seu tratamento, ressalvadas as hipóteses em que a conservação é permitida: (I) cumprimento de obrigação legal ou regulatória pelo controlador; (II) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; (III) transferência a terceiro, desde que respeitados os requisitos de tratamento de dados; e (IV) uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados. As hipóteses de conservação do Art. 16 correspondem a exceções ao princípio geral de eliminação — o controlador deve documentar a hipótese aplicável para cada dado retido além da finalidade primária.

A legislação brasileira estabelece múltiplos prazos de guarda obrigatórios para diferentes categorias de dados, que a Política de Retenção de Dados deve consolidar em calendário de retenção (retention schedule) por categoria de informação. Os principais prazos legais de guarda incluem: documentos fiscais e contábeis — 5 anos (Art. 195 do CTN — Código Tributário Nacional, Decreto 9.580/2018 — Regulamento do Imposto de Renda, e Instrução Normativa RFB nº 2.110/2022); documentos trabalhistas — 5 anos para contratos de trabalho rescindidos (Art. 11 da CLT), 30 anos para dados de exposição a agentes nocivos (PPRA/PGR — NR-9); prontuários médicos — 20 anos após último atendimento ou 5 anos após o óbito (CFM Resolução 1.638/2002); dados de registros de acesso a aplicações de internet — 6 meses (Art. 15 do Marco Civil da Internet — Lei 12.965/2014); e dados bancários — 5 anos (Resolução BCB nº 4.753/2019).

A ANPD (Autoridade Nacional de Proteção de Dados) tem competência para regulamentar os prazos de retenção específicos para categorias de dados sob sua jurisdição e para fiscalizar o cumprimento do princípio de necessidade e dos prazos do Art. 16 da LGPD. O descumprimento dos prazos de retenção — tanto a retenção excessiva (guardar dados por prazo superior ao necessário) quanto a eliminação prematura (destruir dados que deveriam ser mantidos por obrigação legal) — pode resultar em sanções da ANPD e em passivos legais em outras esferas regulatórias.

No contexto internacional, a Política de Retenção de Dados brasileira deve ser compatível com os requisitos do GDPR europeu para organizações que transferem dados para a Europa — especialmente o Art. 5(1)(e) do GDPR, que estabelece o princípio da limitação da conservação (storage limitation). O framework de retenção deve ser coordenado globalmente para organizações multinacionais, observando os prazos mais restritivos de cada jurisdição relevante.

A Política de Retenção de Dados no Brasil é necessária nas seguintes situações.

Qualquer organização sujeita à LGPD que trate dados pessoais: A LGPD aplica-se a qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou jurídica de direito público ou privado no Brasil (Art. 3º). O Art. 16 impõe a obrigação de eliminação dos dados após o término do tratamento, e o Art. 6º, III, exige que os dados tratados sejam proporcionais e não excessivos. A Política de Retenção de Dados é a ferramenta de governança que operacionaliza essas obrigações legais — sem ela, a organização não tem como demonstrar à ANPD que cumpre o princípio de necessidade e que elimina dados após o prazo.

Empresas com obrigações de guarda fiscal, trabalhista e contábil: O sistema tributário e trabalhista brasileiro impõe prazos de guarda documental extensos. A Receita Federal do Brasil pode fiscalizar os 5 anos anteriores ao exercício fiscal em curso. O Ministério do Trabalho e Emprego pode verificar o cumprimento de obrigações trabalhistas dos últimos 5 anos. A Previdência Social (INSS) tem prazo prescricional de 5 anos para cobranças, com possibilidade de extensão para 10 anos em casos de fraude. A ausência de política de retenção faz com que muitas empresas guardem documentos por prazo indeterminado — gerando custos desnecessários de armazenamento e riscos de vazamento de dados históricos acumulados.

Organizações sujeitas a auditoria e regulação setorial: Instituições financeiras (Resolução BCB nº 4.753/2019 — prazos PLD/FT), seguradoras (Resolução CNSP nº 400/2021), entidades de saúde (CFM Res. 1.638/2002 — prontuários médicos), empresas de telecomunicações (Art. 15 do Marco Civil da Internet — registros de acesso) e operadores de plano de saúde (ANS — Resolução Normativa 566/2022) têm prazos de guarda setoriais específicos que devem ser incorporados na Política de Retenção de Dados.

Empresas em processos de transformação digital: A migração de documentos físicos para armazenamento digital (digitalização) e a adoção de soluções de cloud computing criam questões específicas de retenção — validade jurídica de documentos digitalizados (Lei 13.874/2019 — LGDFE; Decreto 10.278/2020), segurança de dados em cloud e responsabilidade do controlador por dados armazenados por operadores cloud. O forms-legal.com disponibiliza este modelo como referência completa para elaboração da Política de Retenção de Dados no Brasil.

A Política de Retenção de Dados no Brasil deve conter os seguintes elementos essenciais para cumprir a LGPD e os demais requisitos legais.

Princípios da Política: Declaração dos princípios que orientam a retenção de dados na organização, alinhados à LGPD: (i) Minimização de dados — coletar somente os dados necessários para as finalidades declaradas (Art. 6º, III, da LGPD); (ii) Limitação da finalidade — não utilizar dados para finalidades incompatíveis com as originais (Art. 6º, II); (iii) Limitação da retenção — não manter dados além do necessário para as finalidades do tratamento (Art. 16); e (iv) Responsabilidade (Accountability) — documentar e demonstrar o cumprimento dos prazos de retenção (Art. 6º, X).

Calendário de Retenção (Retention Schedule): Tabela organizada por categoria de dado / tipo de documento, com: prazo mínimo de retenção (determinado pela obrigação legal mais longa aplicável), prazo máximo de retenção (além do qual o dado deve ser eliminado ou anonimizado), fundamento legal do prazo, responsável pela custódia, local de armazenamento (servidor local, cloud, arquivo físico) e procedimento de eliminação aplicável. Categorias típicas: dados fiscais e contábeis (5 anos — CTN Art. 195), contratos (5 anos após extinção — CC Art. 206), documentos trabalhistas (5 anos — CLT Art. 11), dados de saúde de empregados (30 anos para exposição a agentes nocivos — NR-9), registros de acesso à internet (6 meses — Marco Civil Art. 15), dados de PLD/FT (5 anos — Lei 9.613/1998 Art. 12), e dados pessoais de clientes (encerramento da relação + prazo prescricional — CC Art. 205 = 10 anos regra geral).

Procedimentos de Eliminação e Anonimização: Procedimento documentado para eliminação segura de dados pessoais após o término do prazo de retenção: (i) Destruição segura de documentos físicos (trituração) — com registro de data e volume destruído; (ii) Eliminação de dados digitais com sobregravação (overwriting) ou destruição física de mídia de armazenamento — certificada por fornecedor especializado para dados altamente sensíveis; (iii) Anonimização de dados para fins de pesquisa ou análise histórica — garantindo que o dado anonimizado não permita reidentificação do titular (Art. 12 da LGPD); e (iv) Registro de eliminação — log com data, categoria de dado eliminado, responsável e método utilizado. O forms-legal.com disponibiliza modelo de procedimento de eliminação de dados compatível com a LGPD.

Governança e Responsabilidades: Designação do DPO (encarregado de dados — Art. 41 da LGPD) como responsável pelo monitoramento do cumprimento da Política de Retenção; responsabilidades das áreas de negócio (cada área é responsável pela guarda dos dados que gera e utiliza); responsabilidades de TI (implementação dos sistemas de armazenamento, backup e eliminação automática); e periodicidade da revisão do calendário de retenção (mínimo anual).

Exceções ao Calendário de Retenção: Procedimento para suspensão dos prazos de eliminação quando necessário: (i) Litígio pendente ou iminente (litigation hold) — suspensão da eliminação de dados que possam ser relevantes em processo judicial ou administrativo; (ii) Investigação regulatória — manutenção de dados objeto de pedido de autoridade; e (iii) Notificação de retenção para fins de auditoria. O procedimento de litigation hold deve ser acionado pelo departamento jurídico assim que houver indício razoável de processo judicial ou administrativo.

Para elaborar uma Política de Retenção de Dados eficaz no Brasil, siga os passos abaixo.

Mapeie todas as categorias de dados e documentos da organização: utilize o RoPA (inventário de dados pessoais) e o mapeamento de documentos corporativos (GED — Gestão Eletrônica de Documentos) para identificar todas as categorias de dados e documentos mantidos pela organização — pessoais e não pessoais, digitais e físicos. Para cada categoria, identifique a obrigação legal de guarda mais longa aplicável.

Consulte as normas legais aplicáveis ao setor: além dos prazos gerais (CTN, CLT, CC), identifique os prazos específicos do setor regulatório da empresa — Resolução BCB para bancos, Resolução CNSP para seguros, Resolução ANS para planos de saúde, Instrução CVM para mercado de capitais, Resolução ANATEL para telecomunicações. Em cada setor, os prazos de guarda podem ser superiores aos prazos gerais da LGPD.

Defina procedimentos técnicos de eliminação segura: para dados altamente sensíveis (dados de saúde, dados biométricos, dados financeiros), a simples exclusão de arquivos digitais não é suficiente — arquivos deletados permanecem recuperáveis nos dispositivos de armazenamento até que o espaço seja sobrescrito. A NIST SP 800-88 define padrões técnicos de sanitização de mídias de armazenamento (overwriting, degaussing, destruição física) que a Política de Retenção deve referenciar ou adotar.

Implemente o litigation hold imediatamente ao receber notificação judicial: a preservação de evidências digitais é obrigação processual prevista no Art. 420, IV, do Código de Processo Civil (CPC — Lei 13.105/2015), que proíbe a destruição de documentos enquanto pendente ação judicial em que possam ser utilizados como prova. O gerenciamento de e-discovery e de preservação digital deve ser previsto na Política de Retenção, com treinamento específico do departamento jurídico.

Automatize os processos de retenção e eliminação: sistemas de gestão de documentos (ECM — Enterprise Content Management) e de gestão de dados (MDM — Master Data Management) permitem configurar regras automáticas de expiração e eliminação de dados com base no calendário de retenção. A automação reduz o risco de retenção excessiva por inércia e garante que os dados sejam eliminados no prazo correto, gerando log auditável do processo de eliminação.

A Política de Retenção de Dados no Brasil deve observar os seguintes requisitos legais.

LGPD — Lei 13.709/2018, Arts. 6º, III e XVI: O princípio da necessidade (Art. 6º, III) exige minimização dos dados coletados e tratados. O Art. 16 impõe a eliminação dos dados após o término do tratamento, com exceções específicas (obrigação legal, pesquisa, transferência a terceiro, uso exclusivo anonimizado). O Art. 18, IV, garante ao titular o direito de solicitar a eliminação dos dados pessoais tratados com base no consentimento. O Art. 18, VII, garante o direito à informação sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.

CTN — Código Tributário Nacional, Art. 195 e Decreto 9.580/2018 (RIR): Obrigação de guarda de documentos fiscais (notas fiscais, livros contábeis, declarações tributárias) por prazo de 5 anos, contados da data da entrega da declaração ou do prazo para entrega (o que ocorrer por último). Documentos societários (ata de fundação, contratos sociais, atas de assembleias) devem ser mantidos pelo prazo de vida da empresa e por no mínimo 10 anos após a dissolução.

CLT — Decreto-Lei 5.452/1943, Art. 11: Prescreve em 5 anos (2 anos após a extinção do contrato para pretensões extrajudiciais) os créditos resultantes das relações de trabalho. Documentos trabalhistas (contratos, holerites, cartões de ponto, TRCT, CAGED) devem ser mantidos por no mínimo 5 anos após a extinção do contrato.

Marco Civil da Internet — Lei 12.965/2014, Arts. 13 e 15: Provedores de conexão à internet devem manter os registros de conexão por 1 ano (Art. 13). Provedores de aplicações de internet devem manter os registros de acesso a aplicações por 6 meses (Art. 15). Esses prazos são mínimos — a autoridade competente pode solicitar prorrogação mediante requerimento cautelar.

Lei 9.613/1998 (PLD/FT), Art. 12: Pessoas obrigadas às obrigações PLD/FT devem manter registros de identificação de clientes e das operações realizadas por no mínimo 5 anos contados da data da operação ou do encerramento da relação de negócios. A Resolução BCB nº 4.753/2019 estende esse prazo para 10 anos para determinadas categorias de dados de clientes de instituições financeiras.

Os erros mais frequentes na elaboração e implementação da Política de Retenção de Dados no Brasil são:

Guardar tudo indefinidamente por precaução: Muitas organizações adotam política informal de nunca eliminar dados — por receio de precisar deles futuramente ou por falta de processo de eliminação. Essa prática viola o princípio de necessidade da LGPD (Art. 6º, III), aumenta exponencialmente o risco de vazamento de dados (quanto mais dados retidos, maior o impacto de um incidente), e gera custos crescentes de armazenamento. A retenção excessiva de dados pessoais já é tratada pela ANPD como infração à LGPD.

Não distinguir entre prazos de retenção de dados pessoais e de documentos corporativos: A Política de Retenção deve tratar de forma separada os dados pessoais (sujeitos à LGPD) e os documentos corporativos não pessoais (sujeitos a outras normas legais). Um contrato de fornecimento deve ser mantido por 5 anos após extinção, mas os dados pessoais do signatário (nome, CPF) podem ser anonimizados após o encerramento da relação comercial, retendo apenas os metadados do contrato.

Não implementar o litigation hold: Eliminar dados que são ou podem ser relevantes em processo judicial ou administrativo em curso configura destruição de prova — conduta sujeita a sanções processuais severas pelo CPC (Art. 400 — inadmissibilidade da prova obtida por meios ilícitos; Art. 774 — ato atentatório à dignidade da justiça). O departamento jurídico deve ter autoridade para acionar imediatamente o litigation hold e comunicar às áreas de custódia dos dados a suspensão dos processos de eliminação automática.

Não incluir dados de backups e arquivos legados no escopo da Política: Dados pessoais eliminados dos sistemas de produção frequentemente permanecem em backups, logs de sistemas, arquivos legados ou servidores de desenvolvimento. A Política de Retenção deve prever explicitamente a eliminação sincronizada de dados em todos os repositórios — incluindo backups, sistemas de teste e ambientes de desenvolvimento — dentro de prazo razoável após a eliminação no sistema de produção.

Não atualizar o calendário de retenção após mudanças legislativas: O sistema legal brasileiro impõe alterações frequentes nos prazos de guarda — novas instruções normativas da RFB, resoluções do BCB, Circulares da CVM, resoluções da ANPD. A ausência de processo de monitoramento e atualização do calendário de retenção pode resultar em guarda insuficiente (eliminação prematura) ou guarda excessiva (além do prazo legal) — ambas as situações são passíveis de sanção.