Guardar dados para sempre parece seguro, mas aumenta risco jurídico, custo e superfície de ataque. PME precisa de regra clara de retenção e descarte.
Por que retenção e descarte importam na LGPD
A LGPD exige finalidade e necessidade. Se o dado não é mais necessário, manter sem justificativa aumenta exposição e dificulta defesa em incidente.
Estrutura mínima da política
- Categoria de dado (cliente, lead, colaborador, financeiro)
- Finalidade e base legal
- Prazo de retenção por categoria
- Critério de revisão e exceções legais
- Método de descarte (anonimização, exclusão segura)
- Responsável interno pela execução
Exemplo de matriz prática
- Leads sem conversão: 12 meses
- Clientes ativos: durante contrato + prazo legal aplicável
- Financeiro/fiscal: conforme obrigação legal
- Currículos: 6 a 12 meses (com consentimento e regra interna)
Rotina operacional trimestral
- Extrair base por categoria
- Aplicar regra de prazo
- Separar itens com obrigação legal vigente
- Executar descarte seguro
- Registrar log de execução
Interlink do cluster LGPD
- Registro de tratamento (ROPA) para PMEs
- DPO para PMEs: guia prático
- Notificação de incidente à ANPD
- Mapeamento de dados pessoais
Conclusão
Política de retenção bem executada reduz risco, simplifica compliance e melhora segurança real. O segredo é rotina, não documento bonito.