Como este tema funciona no porte da sua empresa
A correspondência com dados pessoais costuma ser tratada de forma informal — abre-se, encaminha-se e descarta-se sem procedimento definido. O risco mais imediato é o descarte inadequado (lixo comum, sem fragmentação) e o acesso irrestrito a documentos que contêm CPF, dados bancários e endereços. Prioridade: identificar quais tipos de correspondências chegam com dados pessoais, definir quem pode acessar, como guardar e como descartar.
Já há volume maior e múltiplas pessoas tocando nas correspondências. O desafio passa a ser o controle de acesso — documentos com dados sensíveis circulam entre áreas sem restrição clara. Prioridade: política de acesso por tipo de documento e procedimento formal de descarte seguro, com fragmentação de papel e exclusão definitiva de arquivos digitais.
O protocolo de correspondência é parte do programa de governança de dados. Correspondências com dados pessoais são mapeadas no inventário de dados (ROPA). Prioridade: integração do fluxo de correspondência ao programa de conformidade, com controle de acesso baseado em função, prazo de retenção documentado e processo certificado de descarte.
A proteção de dados pessoais se aplica diretamente ao fluxo de correspondência da empresa: cartas, documentos físicos e comunicações digitais recebidas ou enviadas frequentemente contêm dados pessoais de clientes, fornecedores, funcionários e ex-funcionários — e o armazenamento, o encaminhamento e o descarte desses documentos precisam seguir os princípios de proteção de dados, especialmente o acesso restrito ao necessário, o prazo de retenção compatível com a base legal e o descarte seguro quando o prazo encerrar.
Que tipos de dados pessoais chegam por correspondência
A correspondência empresarial carrega um volume expressivo de dados pessoais, muitas vezes sem que o gestor administrativo tenha consciência disso — e parte desses dados se enquadra como sensível, exigindo atenção redobrada no tratamento.
Entre os dados pessoais que chegam com frequência por correspondência física ou digital estão: nome completo, CPF e endereço (em contratos, propostas, cobranças), dados bancários (extratos, boletos, comprovantes), dados trabalhistas (holerites enviados por carta, notificações de rescisão, comunicados de benefícios) e dados de identificação de terceiros em documentos assinados.
Os dados classificados como sensíveis — que exigem cuidado adicional porque seu tratamento inadequado pode gerar discriminação ou dano ao titular — aparecem com menor frequência, mas ocorrem: correspondências de planos de saúde com informações de cobertura, laudos médicos encaminhados para afastamento, comunicados de natureza disciplinar que mencionem condição de saúde e documentos relacionados a processos trabalhistas com histórico do empregado.
O ponto de partida para a conformidade é o mapeamento: quais tipos de correspondências chegam à empresa, quais contêm dados pessoais e, dentre eles, quais contêm dados sensíveis. Sem esse inventário, qualquer medida de controle fica incompleta.
Acesso restrito ao necessário: o princípio da necessidade aplicado à correspondência
O princípio da necessidade determina que o tratamento de dados pessoais deve ser limitado ao mínimo necessário para a finalidade pretendida — aplicado à correspondência, isso significa que apenas quem precisa do documento para executar sua função deve ter acesso a ele.
Na prática, correspondências com dados pessoais não devem ficar acessíveis a qualquer pessoa da equipe administrativa. Uma notificação fiscal com CPF do sócio, um extrato bancário de fornecedor ou um comunicado de plano de saúde de funcionário devem chegar apenas ao responsável designado — sem passar por um mural de aviso, uma bandeja de recepção aberta ou uma pasta compartilhada sem controle de permissão.
O acesso é naturalmente irrestrito porque o volume é baixo e o responsável é a mesma pessoa que recebe e encaminha. A medida mínima é definir que correspondências com dados sensíveis (saúde, dados bancários, documentos trabalhistas) vão direto ao sócio ou ao responsável designado, sem circular pela equipe.
O acesso precisa ser restrito por tipo de documento — a política de protocolo deve definir quem pode ver o que, e o encaminhamento deve respeitar essa segmentação. Correspondências com dados sensíveis seguem fluxo diferenciado e não ficam em bandejas abertas nem em pastas compartilhadas sem restrição.
O controle de acesso é baseado em perfil de função (RBAC) no sistema de protocolo e no GED. Há log de acesso para documentos com dados sensíveis — quem abriu, quando e por qual motivo. Auditorias periódicas verificam se os acessos estão alinhados com as funções dos usuários.
Prazo de retenção e temporalidade de correspondências com dados pessoais
O prazo para guardar uma correspondência com dados pessoais resulta do cruzamento de duas referências: a temporalidade documental (qual o prazo legal ou operacional para manter o documento) e a base legal de tratamento do dado pessoal contido nele (qual a justificativa para continuar com o dado após o encerramento da finalidade).
Na prática, o gestor administrativo precisa fazer duas perguntas para cada tipo de correspondência: por quanto tempo a empresa precisa deste documento por obrigação legal ou operacional? E, uma vez encerrada essa necessidade, ainda há base para manter os dados pessoais que ele contém?
Correspondências comerciais e contratos com dados pessoais geralmente têm prazo mínimo de guarda definido pela natureza do documento (prescrição contratual, obrigação fiscal). Após esse prazo, a permanência do dado deve ser justificada — e se não houver base legal para manter, o documento deve ser eliminado com o procedimento correto de descarte seguro.
O erro mais comum é guardar tudo indefinidamente porque "pode ser necessário um dia". Sem critério de temporalidade, a empresa acumula dados pessoais sem base legal, o que representa risco em caso de incidente de segurança ou de questionamento por parte do titular.
Descarte seguro de correspondência física e digital
O descarte de correspondências com dados pessoais não pode ser feito no lixo comum — o documento precisa ser destruído de forma que os dados não possam ser recuperados. Isso vale para a correspondência física e para os arquivos digitais correspondentes.
Para correspondência física, o descarte seguro é feito com fragmentadora de papel (cross-cut ou micro-cut — não apenas corte em tiras) ou por meio de um serviço especializado de destruição de documentos que emite certificado. Documentos com dados sensíveis devem ter prioridade nesse fluxo.
Para correspondência digital — scans, PDFs, e-mails com valor documental —, o descarte não é o envio para a lixeira do sistema. A exclusão correta envolve a remoção definitiva do arquivo do armazenamento ativo, com sobrescrição ou uso de ferramenta de exclusão segura que impeça a recuperação. Arquivos em nuvem precisam ser eliminados também dos sistemas de backup dentro do prazo definido pela política de retenção.
Correspondências enviadas a ex-funcionários: como tratar
Após o desligamento de um funcionário, correspondências endereçadas a ele continuam chegando — de planos de saúde, de órgãos públicos, de fornecedores de benefícios. O tratamento inadequado dessas correspondências cria dois riscos simultâneos: violação da privacidade do ex-funcionário e retenção de dados pessoais sem base legal.
A conduta adequada é não abrir a correspondência pessoal endereçada ao ex-funcionário. Se o envelope já foi aberto antes da identificação, o documento não deve ser encaminhado internamente nem arquivado no sistema da empresa — deve ser devolvido ao remetente com nota de que o destinatário não faz mais parte do quadro, ou encaminhado ao ex-funcionário pelo último endereço conhecido.
Para correspondências institucionais que chegam em nome do ex-funcionário (por exemplo, documentos fiscais relacionados ao período de emprego), o tratamento é diferente: esses documentos têm base legal para permanecer com a empresa pelo prazo de guarda correspondente, mas não precisam ser repassados ao ex-funcionário, e os dados pessoais contidos seguem as regras gerais de acesso restrito e descarte no prazo.
Terceiros que tocam na correspondência: exigir contrato de processamento de dados
Quando a empresa usa serviços externos para receber, triar, digitalizar ou encaminhar correspondências — escritório virtual, BPO administrativo, serviço de malote —, esses fornecedores têm acesso a dados pessoais contidos nos documentos. Nessa condição, eles atuam como operadores de dados e precisam de um contrato de processamento de dados (DPA — Data Processing Agreement) que estabeleça as obrigações de confidencialidade, as medidas de segurança aplicadas e os limites do tratamento.
A exigência do DPA não é formalidade — é a base contratual que permite responsabilizar o fornecedor em caso de incidente envolvendo dados pessoais que passaram pelo seu serviço. Fornecedores que se recusam a assinar um DPA ou que não têm política de proteção de dados documentada representam risco para a empresa contratante.
Sinais de que o tratamento de correspondências precisa ser revisado
Se você se reconhece em três ou mais cenários abaixo, o fluxo de correspondência da empresa provavelmente não está em conformidade com os requisitos básicos de proteção de dados pessoais.
- Correspondências recebidas com dados pessoais (CPF, dados bancários, endereço) são acessadas por qualquer pessoa da equipe administrativa.
- O descarte de correspondências com dados pessoais é feito no lixo comum, sem fragmentação ou destruição segura.
- Não há critério para definir quanto tempo guardar uma correspondência com dados pessoais — tudo é guardado indefinidamente.
- Correspondências endereçadas a ex-funcionários são abertas e tratadas sem procedimento definido.
- O fornecedor que presta serviço de correspondência (escritório virtual, BPO) não tem contrato que mencione proteção de dados ou processamento de dados pessoais.
- Não há mapeamento de quais tipos de dados pessoais chegam à empresa por correspondência.
Caminhos para adequar o tratamento de correspondências à proteção de dados
A adequação pode ser feita internamente para os controles operacionais, ou com apoio especializado quando o volume de dados sensíveis ou a complexidade do programa de conformidade exigirem.
Mapear os fluxos de correspondência com dados pessoais e aplicar as medidas práticas de acesso, retenção e descarte com os recursos existentes.
- Perfil necessário: analista administrativo capaz de mapear os tipos de correspondência recebida e aplicar os procedimentos de acesso restrito e descarte seguro.
- Tempo estimado: 1 a 2 meses para mapeamento e definição dos procedimentos; mais 1 mês para implantação e treinamento da equipe.
- Faz sentido quando: o volume de dados sensíveis é administrável e os controles operacionais básicos resolvem a maior parte do risco.
- Risco principal: foco apenas nos controles operacionais sem avaliar se há base legal adequada para a retenção dos dados — o que pode deixar a empresa exposta a questionamentos do titular.
Quando o volume de dados sensíveis é alto ou há necessidade de programa formal de conformidade com a proteção de dados.
- Tipo de fornecedor: BPO Administrativo (com DPA), Gestão Documental, Consultoria de Conformidade/LGPD.
- Vantagem: visão integrada do fluxo documental e dos requisitos de proteção de dados, com capacidade de estruturar o inventário de dados (ROPA) e o programa de conformidade.
- Faz sentido quando: há alto volume de dados sensíveis, múltiplos terceiros processando dados, ou quando a empresa precisa de um programa formal de conformidade com o apoio de DPO.
- Resultado típico: processos de correspondência mapeados, controles implantados e documentação de conformidade organizada em 2 a 3 meses.
Precisa de apoio para garantir que o tratamento de correspondências da sua empresa esteja em conformidade com a proteção de dados?
Se adequar o fluxo de correspondência aos requisitos de proteção de dados é prioridade, o oHub conecta a sua empresa, de forma gratuita, a fornecedores de BPO administrativo, gestão documental e consultoria de conformidade. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
A proteção de dados se aplica à correspondência recebida pela empresa?
Sim. Correspondências recebidas frequentemente contêm dados pessoais de clientes, fornecedores, funcionários e terceiros. O armazenamento, o encaminhamento e o descarte desses documentos precisam seguir os princípios de proteção de dados — especialmente acesso restrito ao necessário, prazo de retenção compatível com a base legal e descarte seguro ao final do prazo.
Como tratar dados pessoais em correspondências recebidas?
O tratamento básico envolve três controles: acesso restrito ao responsável designado (não circulação irrestrita pela equipe), armazenamento seguro pelo prazo necessário com base na temporalidade do documento e na base legal para o dado, e descarte seguro ao final do prazo — com fragmentação para papel e exclusão definitiva para arquivos digitais.
Quanto tempo guardar correspondências com dados pessoais?
O prazo resulta do cruzamento entre a temporalidade documental do tipo de correspondência (prazo legal ou operacional para manter o documento) e a base legal para o tratamento do dado pessoal contido nele. Após o encerramento da necessidade, se não houver base legal para manter os dados, o documento deve ser descartado com o procedimento seguro adequado.
O que fazer com correspondências enviadas a pessoas que não trabalham mais na empresa?
Correspondências pessoais endereçadas a ex-funcionários não devem ser abertas — devem ser devolvidas ao remetente ou encaminhadas ao destinatário pelo último endereço conhecido. Correspondências institucionais que chegam em nome do ex-funcionário (documentos fiscais de período de emprego) seguem as regras de guarda normais do tipo de documento, com acesso restrito.
Como descartar correspondências com dados pessoais de forma adequada?
Correspondências físicas com dados pessoais devem ser destruídas com fragmentadora cross-cut ou micro-cut, ou por serviço especializado de destruição de documentos. Arquivos digitais correspondentes devem ser excluídos definitivamente — não apenas enviados para a lixeira — com ferramentas de exclusão segura que impeçam a recuperação, incluindo os backups dentro do prazo definido pela política de retenção.
Fontes e referências
- Autoridade Nacional de Proteção de Dados (ANPD). Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado. ANPD. Disponível em: gov.br/anpd.
- Conselho Nacional de Arquivos (CONARQ). Recomendações para a gestão de documentos de arquivo e avaliação de processos. Arquivo Nacional.