Como este tema funciona no porte da sua empresa
A LGPD se aplica a todas as empresas, independentemente do porte. O impacto prático começa pelo descarte: documentos com dados de funcionários, clientes e fornecedores precisam ser destruídos de forma que impeça a recuperação dos dados quando o prazo de guarda vencer. O gestor administrativo, com orientação jurídica pontual, é quem operacionaliza essa exigência.
A empresa já tem volume relevante de dados pessoais em documentos físicos e digitais. A política de guarda começa a precisar de uma seção específica sobre dados pessoais — o que guardar, por quanto tempo e como descartar de forma conforme à LGPD. A área administrativa opera com apoio do DPO ou do jurídico.
A LGPD é parte do programa de conformidade da empresa, com DPO (Encarregado de Dados) e registro de atividades de tratamento (ROPA). A integração entre a política de temporalidade documental e o ROPA é parte da governança — o DPO participa da definição dos prazos de documentos que contêm dados pessoais.
Temporalidade e LGPD são dois regimes que se encontram no momento do descarte documental: a legislação setorial (fiscal, trabalhista, societária) define por quanto tempo um documento deve ser guardado; a LGPD exige que, quando esse prazo vencer, os dados pessoais contidos no documento sejam eliminados de forma segura. Durante o período de guarda obrigatória, os dados pessoais são mantidos legitimamente com base na obrigação legal — mas após o vencimento, mantê-los sem descarte seguro cria passivo de conformidade.
O que a LGPD diz sobre a guarda de documentos
A LGPD não define por quanto tempo guardar documentos — isso é papel da legislação setorial (trabalhista, fiscal, societária, previdenciária). O que a LGPD traz é o princípio da necessidade: dados pessoais só podem ser mantidos pelo tempo necessário para a finalidade que justificou sua coleta ou para cumprimento de obrigação legal.
Traduzindo para a gestão documental: enquanto o documento precisa ser mantido por exigência legal (porque o prazo de guarda ainda não venceu), os dados pessoais nele contidos são mantidos legitimamente — a base legal de tratamento é o cumprimento de obrigação legal. Quando o prazo vence e a obrigação legal cessa, a LGPD passa a exigir que esses dados sejam eliminados de forma segura.
O resultado prático é que a tabela de temporalidade da empresa — o instrumento que define por quanto tempo guardar cada categoria de documento — também funciona como o cronograma de descarte de dados pessoais. Quem tem tabela de temporalidade atualizada e ciclo de eliminação periódica já tem a maior parte da exigência da LGPD para documentos físicos atendida, desde que o descarte seja feito de forma segura.
A tensão prática: obrigação de guardar e obrigação de eliminar
A tensão real para o gestor administrativo é que dois regimes apontam em direções opostas: a legislação trabalhista e fiscal exige manter o documento por determinado período; a LGPD exige não manter dados pessoais além do necessário. A solução não é difícil, mas precisa ser consciente.
Durante o prazo de guarda obrigatório, o documento — com todos os dados pessoais que contém — deve ser mantido. Não há conflito: o tratamento dos dados pessoais tem base legal explícita (cumprimento de obrigação legal). Nesse período, o dever é guardar com segurança e acesso controlado.
Quando o prazo vence, o equilíbrio muda. A obrigação de guardar cessa, e a LGPD passa a exigir que os dados pessoais sejam eliminados. Manter o documento além do prazo sem necessidade jurídica identificada é tratar dados pessoais sem base legal — o que representa risco de conformidade.
Dados pessoais que aparecem em documentos do dia a dia da empresa incluem: CPF e dados cadastrais de clientes em notas fiscais e contratos; dados de funcionários em folhas de pagamento, fichas de registro e documentos admissionais; dados de fornecedores em contratos e cadastros. Todos esses documentos têm prazo de guarda definido pela legislação aplicável — e quando esse prazo vencer, o descarte seguro é necessário tanto para cumprir a LGPD quanto para evitar o custo de guardar o que não precisa mais ser guardado.
O gestor administrativo é responsável por integrar as duas lógicas, com orientação jurídica pontual para os casos de dúvida. O passo imediato é garantir que o descarte, quando feito, seja seguro para dados pessoais — picote adequado para papel, exclusão definitiva para arquivos digitais.
A área administrativa constrói a política de guarda com seção específica para dados pessoais, com apoio do DPO (se houver) ou do advogado. A política define quais categorias contêm dados pessoais, qual a base legal de tratamento durante o prazo de guarda e como o descarte deve ser executado ao final do prazo.
O DPO integra a política de temporalidade ao ROPA (Registro de Atividades de Tratamento). Cada categoria de documento com dados pessoais aparece no ROPA com a base legal, o prazo de retenção e o procedimento de descarte seguro. O ciclo de eliminação é parte do programa de conformidade com a LGPD.
O que é descarte seguro de dados pessoais
Descartar documentos com dados pessoais de forma segura significa destruí-los de maneira que impeça a recuperação dos dados por terceiros. A LGPD não especifica o método, mas o critério é funcional: após o descarte, os dados não podem mais ser recuperados.
Para documentos em papel, os métodos aceitáveis incluem:
- Picote de nível adequado ao grau de sensibilidade dos dados (fragmentadoras de nível 3 ou superior para dados pessoais sensíveis como dados de saúde, dados financeiros e documentos com CPF)
- Empresa especializada em destruição de documentos, com certificado de destruição emitido — especialmente indicada para volumes grandes ou para documentos com dados altamente sensíveis
Para documentos em formato digital, não basta mover para a lixeira — a exclusão precisa ser definitiva:
- Exclusão permanente com sobrescrita (ferramentas de exclusão segura de arquivo)
- Para dispositivos de armazenamento descartados: wipe (formatação segura) ou destruição física do dispositivo
- Para backups: exclusão do dado dos backups — ponto que frequentemente é esquecido na prática
O descarte inseguro — colocar documentos com CPF e dados pessoais no lixo comum, sem fragmentação, ou excluir arquivos digitais sem verificar se o dado persiste em backups — é a falha mais frequente de conformidade com a LGPD na gestão documental do dia a dia.
Como integrar a política de temporalidade com a LGPD na prática
A integração entre os dois regimes é mais simples do que parece: a tabela de temporalidade já define quando descartar; o que precisa ser adicionado é o critério de descarte seguro para as categorias que contêm dados pessoais.
O processo em quatro passos:
- Identificar quais categorias de documentos contêm dados pessoais: percorrer a tabela de temporalidade e marcar quais categorias têm dados de funcionários, clientes, fornecedores ou terceiros
- Para cada categoria com dados pessoais, definir a base legal de tratamento durante o prazo de guarda: na maioria dos casos, é o cumprimento de obrigação legal; em outros, pode ser a execução de contrato ou o exercício regular de direito
- Definir o procedimento de descarte seguro para cada categoria: papel picotado ou empresa especializada? Exclusão digital definitiva com qual método? Quem executa e quem autoriza?
- Incluir o critério de descarte seguro na política de guarda: não como seção separada, mas como um campo adicional na tabela de temporalidade: "método de descarte" ao lado do prazo de guarda
A LGPD não define prazos de guarda — isso é feito pela legislação setorial e pelo advogado ou contador da empresa. O papel da LGPD na gestão documental é garantir que, quando o prazo vencer, os dados sejam eliminados de forma que não permita recuperação.
Sinais de que sua empresa precisa integrar a gestão de documentos com a LGPD
Se você se reconhece em três ou mais cenários abaixo, a gestão de documentos da empresa provavelmente tem lacunas de conformidade com a LGPD que precisam ser endereçadas.
- A empresa não sabe quais categorias de documentos contêm dados pessoais de funcionários, clientes ou fornecedores.
- Documentos com dados pessoais são descartados no lixo comum, sem destruição que impeça a recuperação dos dados.
- A política de guarda de documentos não menciona LGPD nem critério de descarte seguro para dados pessoais.
- Documentos com dados pessoais de ex-funcionários ou ex-clientes estão sendo mantidos indefinidamente, sem critério de vencimento e descarte.
- A empresa não sabe se o descarte de dados pessoais ao final do prazo de guarda está sendo feito de forma que impeça a recuperação.
- Ninguém é responsável por garantir que dados pessoais em documentos físicos e digitais sejam destruídos corretamente ao final do prazo.
Caminhos para integrar a gestão de documentos com as exigências da LGPD
A integração pode ser feita internamente ou com apoio especializado — a escolha depende da complexidade do acervo, da existência de DPO e da necessidade de um inventário formal de dados pessoais.
Mapear as categorias de documentos com dados pessoais e incluir o critério de descarte seguro na política de guarda existente, com orientação jurídica pontual.
- Perfil necessário: analista administrativo que possa percorrer a tabela de temporalidade, identificar as categorias com dados pessoais e integrar o critério de descarte seguro à política.
- Tempo estimado: de 1 a 2 meses para adaptar a política existente; mais tempo se a tabela de temporalidade ainda não existir.
- Faz sentido quando: a empresa tem tabela de temporalidade e a integração com a LGPD é uma atualização incremental, não um projeto de conformidade completo.
- Risco principal: definir os prazos de retenção sem validação jurídica ou mapear incompletamente as categorias com dados pessoais.
Contratar consultoria com expertise em LGPD para construir o inventário formal de dados pessoais em documentos e integrar à política de temporalidade.
- Tipo de fornecedor: Consultoria Documental com expertise em LGPD, Assessoria Jurídica/Contábil (com expertise em proteção de dados), BPO Documental com descarte seguro certificado.
- Vantagem: inventário completo de dados pessoais por categoria, integração com o ROPA, metodologia de descarte seguro com certificação e relatório de conformidade.
- Faz sentido quando: é necessário um programa formal de LGPD com ROPA, quando o acervo é complexo ou quando a empresa precisa de DPO externo.
- Resultado típico: política de guarda integrada com a LGPD em 2 a 3 meses, com procedimentos de descarte seguro documentados e ROPA atualizado.
Precisa de apoio para integrar a gestão de documentos da sua empresa com as exigências da LGPD?
Se adequar a política de guarda à LGPD é prioridade, o oHub conecta a sua empresa, de forma gratuita, a fornecedores de Consultoria Documental, Assessoria Jurídica em proteção de dados e BPO Documental. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
A LGPD define por quanto tempo guardar dados pessoais?
Não. A LGPD traz o princípio da necessidade — dados pessoais só devem ser mantidos pelo tempo necessário para a finalidade que justificou sua coleta ou para cumprimento de obrigação legal. Os prazos específicos de guarda são definidos pela legislação setorial (fiscal, trabalhista, societária) e devem ser validados com o contador e o advogado da empresa.
O que a LGPD diz sobre descarte de documentos com dados pessoais?
A LGPD exige que, quando o prazo de guarda vencer e a base legal para manter os dados cessar, os dados pessoais sejam eliminados de forma segura — de maneira que impeça a recuperação por terceiros. Para papel, isso significa picote adequado ou empresa de destruição certificada. Para digital, exclusão definitiva, incluindo backups.
Como a política de guarda de documentos se relaciona com a LGPD?
A tabela de temporalidade define quando descartar cada categoria de documento; a LGPD define como descartar aquelas que contêm dados pessoais. A integração é feita adicionando, para cada categoria com dados pessoais, o método de descarte seguro e a base legal de tratamento durante o prazo de guarda. Durante esse prazo, o tratamento é legítimo; ao final, o descarte seguro é obrigatório.
Guardar documentos com dados pessoais por tempo demais viola a LGPD?
Sim. Manter dados pessoais além do prazo necessário sem base legal é tratar dados sem fundamento, o que viola o princípio da necessidade da LGPD. O risco prático inclui eventual notificação da ANPD e, em caso de vazamento desses dados, a responsabilidade agravada por manter dados que deveriam ter sido eliminados.
Como descartar documentos com dados pessoais de forma conforme à LGPD?
Para documentos em papel: fragmentação com picote de nível adequado ao grau de sensibilidade, ou contratação de empresa especializada em destruição de documentos com emissão de certificado. Para documentos digitais: exclusão definitiva com sobrescrita, incluindo a remoção dos dados dos backups. Em ambos os casos, registrar o descarte com data, responsável e o que foi eliminado.
Fontes e referências
- Autoridade Nacional de Proteção de Dados (ANPD). Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. gov.br/anpd. Disponível em: gov.br/anpd.
- Autoridade Nacional de Proteção de Dados (ANPD). Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) — texto consolidado. gov.br/anpd. Disponível em: gov.br/anpd.