Empresas acumulam, diariamente, grandes volumes de dados pessoais: cadastros de clientes, documentos de colaboradores, informações de fornecedores, bases de marketing, contratos, faturas, logs de acesso, registros de atendimento e muitos outros. Esse armazenamento, embora muitas vezes necessário para a operação, não pode ser ilimitado.
Tanto a Lei Geral de Proteção de Dados Pessoais brasileira (LGPD) quanto o Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR) partem de uma premissa comum: dados pessoais devem ser mantidos apenas pelo tempo necessário para cumprir a finalidade que justificou sua coleta, salvo quando houver fundamento legal que permita sua conservação por prazo maior.
Na prática, esse é um dos pontos mais sensíveis da governança em privacidade. Embora a regra seja simples, sua aplicação demanda avaliação cuidadosa, uma vez que as legislações de proteção de dados, em geral, não estabelecem um prazo único e universal de retenção para cada tipo de dado pessoal. Nesse sentido, cabe às empresas definir critérios próprios, considerando a finalidade do tratamento, obrigações legais ou regulatórias, prazos prescricionais, necessidades operacionais e riscos aos titulares.
Por que a retenção de dados importa?
A retenção excessiva de dados pessoais aumenta riscos jurídicos, operacionais e de segurança. Isso porque, quanto mais tempo uma empresa mantém dados pessoais sem uma necessidade clara de tratamento, maior tende a ser sua exposição em caso de incidente de segurança, acesso não autorizado, uso de informações desatualizadas, solicitações de titulares ou fiscalização por autoridades reguladoras.
Nesse contexto, regras de retenção e descarte não devem ser vistas apenas como uma exigência formal de privacidade. Ao contrário, elas fazem parte de uma boa governança da informação e ajudam a reduzir riscos concretos para a empresa.
Uma política de retenção bem estruturada permite:
– definir prazos de retenção e descarte;
– reduzir o armazenamento desnecessário de dados;
– facilitar o atendimento a titulares;
– diminuir riscos de segurança;
– demonstrar conformidade legal e regulatória.
LGPD e GDPR: retenção, eliminação e exceções legais
A LGPD e o GDPR adotam lógica semelhante: dados pessoais devem ser conservados apenas enquanto forem necessários para a finalidade que justificou o tratamento. Uma vez atingida essa finalidade, a regra geral passa a ser a eliminação ou anonimização dos dados, salvo quando houver fundamento legal que autorize sua retenção.
No Brasil, a LGPD permite a conservação de dados pessoais em hipóteses específicas, como cumprimento de obrigação legal ou regulatória, realização de estudos por órgão de pesquisa, transferência a terceiros em conformidade com a lei ou uso exclusivo pelo controlador, desde que os dados sejam anonimizados sempre que aplicável.
De maneira semelhante, o GDPR admite a retenção quando necessária, por exemplo, para cumprimento de obrigação legal, exercício ou defesa de direitos, ou para determinadas finalidades de interesse público, pesquisa, estatística ou arquivamento, desde que observadas as salvaguardas aplicáveis.
Nesse cenário, o ponto central é que empresas não devem manter dados pessoais indefinidamente ou apenas “por precaução”. A conformidade, portanto, depende da capacidade de definir, documentar e aplicar, de forma consistente, critérios claros de retenção e descarte, alinhados a necessidades legais, regulatórias e de negócio legítimas.
Orientações de autoridades de proteção de dados
Autoridades de proteção de dados costumam exigir que empresas definam prazos de retenção com base em critérios de necessidade e proporcionalidade. Em outras palavras, não basta manter dados porque eles “podem ser úteis no futuro”: é preciso justificar, de forma objetiva, por que aqueles dados ainda são necessários.
O Information Commissioner’s Office (ICO), autoridade britânica de proteção de dados, orienta que as organizações sejam capazes de justificar por quanto tempo mantêm dados pessoais, estabeleçam prazos padrão de retenção sempre que possível, revisem periodicamente as informações armazenadas e eliminem ou anonimizem dados que deixem de ser necessários.
De forma complementar, a autoridade francesa de proteção de dados (CNIL) também oferece parâmetros práticos sobre o tema. No contexto da gestão comercial, por exemplo, a CNIL indica que dados de clientes utilizados para prospecção podem ser mantidos durante a relação comercial e, após seu encerramento, em geral, por até três anos. Já os dados de potenciais clientes podem ser mantidos, em regra, por três anos a partir da coleta ou do último contato iniciado pelo potencial cliente.
Essas orientações não substituem uma análise caso a caso, mas funcionam como referências relevantes para empresas que estejam estruturando suas tabelas internas de retenção.
Carrefour e os riscos da retenção excessiva
O caso Carrefour ilustra de forma clara os riscos associados à retenção excessiva de dados pessoais.
Em 2020, a CNIL aplicou multa de EUR 2,25 milhões à Carrefour France por diversas violações ao GDPR, incluindo a retenção excessiva de dados. Entre outros pontos, a autoridade entendeu que a empresa havia mantido dados de clientes inativos por períodos superiores ao necessário e conservado cópias de documentos de identidade apresentados em solicitações de titulares por prazo maior do que o justificável.
Esse caso demonstra que as autoridades não avaliam prazos de retenção apenas em tese. Na prática, elas esperam que empresas implementem rotinas efetivas de eliminação, documentem seus critérios de retenção e assegurem que seus sistemas internos reflitam, de fato, as políticas e avisos de privacidade divulgados.
O papel de Controladores e Operadores na retenção de dados
As obrigações relacionadas à retenção podem variar conforme a empresa atue como controladora ou operadora de dados pessoais. Nesse contexto, Controladores e Operadores assumem responsabilidades distintas, ainda que complementares.
Controladores são, em regra, responsáveis por definir as finalidades do tratamento e os prazos de retenção aplicáveis. Já os Operadores, por sua vez, devem tratar dados pessoais de acordo com as instruções documentadas do controlador e, ao final da prestação dos serviços, devolver, eliminar ou de outra forma descartar os dados, salvo quando houver obrigação legal que justifique sua conservação.
A retenção indiscriminada, nesse cenário, pode gerar riscos para ambos. Para o Controlador, manter dados sem critério dificulta o controle sobre o ciclo de vida das informações e pode aumentar sua exposição regulatória. Para o Operador, por outro lado, conservar dados além do necessário pode ampliar riscos de segurança, responsabilidade contratual e questionamentos sobre a aderência às instruções recebidas.
Por esse motivo, contratos que envolvam tratamento de dados pessoais devem prever, de forma clara, o que acontecerá com os dados ao término da relação contratual, incluindo devolução, eliminação, anonimização, retenção por obrigação legal e comprovação do descarte, quando aplicável.
O que as empresas devem fazer
Para gerir riscos de retenção e descarte, empresas devem adotar medidas práticas e documentadas, incluindo:
– identificar a finalidade e a base legal de cada atividade de tratamento;
– definir prazos ou critérios objetivos de retenção;
– vincular os prazos a obrigações legais, prazos prescricionais e necessidades legítimas de negócio;
– implementar rotinas de eliminação segura ou anonimização;
– revisar bases legadas e registros inativos;
– assegurar que avisos de privacidade e políticas internas reflitam as práticas efetivamente adotadas;
– incluir cláusulas de retenção e eliminação em contratos que envolvam tratamento de dados pessoais;
– documentar exceções em que os dados devam ser mantidos por razões legais, regulatórias ou relacionadas a litígios.
A retenção de dados pessoais, embora muitas vezes subestimada, é um dos elementos centrais da conformidade em proteção de dados. Manter dados por mais tempo do que o necessário aumenta riscos jurídicos, de segurança e reputacionais. Por outro lado, eliminar dados cedo demais pode prejudicar o cumprimento de obrigações legais ou a defesa de direitos da empresa.
Diante disso, a solução não está em adotar um prazo genérico para todos os dados, mas em estruturar uma política de retenção e descarte apoiada por uma tabela de retenção, responsabilidades internas claras e procedimentos práticos de eliminação ou anonimização.
No GTLawyers, nossa equipe de proteção de dados auxilia empresas na elaboração e implementação de políticas de retenção e descarte, na revisão de contratos de tratamento de dados, no mapeamento de obrigações legais de retenção e no alinhamento das práticas internas à LGPD, ao GDPR e a outros padrões internacionais de privacidade.
