Como este tema funciona na sua empresa
Poucos equipamentos descartados por ano (5-50 unidades). Abordagem simples: contratar empresa de reciclagem credenciada, solicitar certificado de destruição de dados, arquivar documentação. Custo: R$ 100-500/equipamento. Risco operacional baixo, mas risco legal cresce se dados não são destruídos conforme LGPD.
Volume moderado (50-500 unidades/ano). Programa estruturado de descarte com ciclo regular (ex: reforma de equipamentos a cada 5 anos). Requisitos: certificação de destruição de dados, rastreamento de ativos até fim de vida, documentação para auditoria. Contrato fixo com recicladora pode oferecer melhor custo por unidade.
Alto volume (>500 unidades/ano), múltiplas localizações. Programa de descarte integrado a gestão de ativos: deprecação, reaproveitamento (resale de refurbished), destruição física, rastreamento fim a fim. Requisitos: conformidade com LGPD, ISO 14001 (ambiental), relatórios de compliance. Risco legal e reputacional são altos se mal executados.
Descarte responsável de equipamentos de TI é processo estruturado de desativar, destruir dados, e reciclar hardware de forma ambientalmente responsável, em conformidade com legislação de proteção de dados (LGPD no Brasil) e normas ambientais. Inclui remoção segura de dados, certificação de destruição, transporte controlado e reciclagem documentada[1].
Legislação brasileira aplicável ao descarte de TI
Três normas regulam descarte de equipamentos de TI no Brasil:
Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018): Exige que toda organização destrua dados pessoais de forma segura quando equipamento chega ao fim de vida útil[2]. Destruição deve ser documentada. Violação resulta em multa de até 2% do faturamento anual (máximo R$ 50 milhões por infração). Não há exceção para "dados antigos" — responsabilidade é da organização mesmo se hardware foi descartado há anos.
Resolução CONAMA 257/1999 (atualizada por 263/1999 e 301/2002): Regulamenta descarte de lixo eletrônico no Brasil. Proíbe aterro sanitário, exige reciclagem apropriada. Fabricante e importador têm responsabilidade estendida (extended producer responsibility). Organizações que descartam devem usar empresa credenciada pelo IBAMA. Violação é crime ambiental.
NBR 16156:2013 (ABNT): Norma brasileira que padroniza coleta, segregação, triagem, prensagem, armazenamento e reciclagem de resíduos de equipamentos eletroeletrônicos. Define segurança do trabalhador, rastreamento, documentação. Certificação NBR 16156 é garantia de conformidade ambiental.
Exigência mínima: contratar empresa credenciada IBAMA (que segue NBR 16156), obter certificado de descarte. Custo: negligenciável comparado com risco legal. Documentar: lista de equipamentos + certificados de destruição.
Implementar política de descarte formal (integrada a policy de TI), auditoria anual, contrato com recicladora com SLA de comunicação. Importante: certificado de destruição de dados deve ser específico (listar HDs/SSDs destruídos), não genérico.
Programa formal de ciclo de vida: aquisição ? deprecação ? reaproveitamento/venda ? descarte. Auditar regularmente (a cada 2 anos) conformidade com LGPD, CONAMA, NBR 16156. Recicladoras devem ter ISO 14001 (ambiental). Relatórios trimestrais de destinação final.
Destruição segura de dados: métodos e validação
Destruição de dados é o passo crítico. Simplesmente deletar arquivo não remove dados do disco rígido — especialistas conseguem recuperar com ferramentas forenses[3]. LGPD exige que destruição seja "irreversível".
Método 1 — Wipe/Sanitização de software: Usar ferramentas como DBAN (Darik's Boot and Nuke), Eraser, CCleaner Drive Wiper, ou equivalentes profissionais. Ferramenta sobrescreve toda área do disco com padrões aleatórios múltiplas vezes (3-7 passes). Eficaz para HDDs convencionais. Para SSDs, é menos eficaz (blocos podem não ser sobrescritos completamente por causa de wear-leveling do controlador). Custo: R$ 0-1k por equipamento. Validação: gerar relatório de wipe certificado pela ferramenta.
Método 2 — Destruição física: Destruição física irreversível: incineração controlada (temperatura >600°C que derrete componentes), trituração mecânica de disco (moagem industrial que reduz a pó), ou degaussing (aplicação de campo magnético que demagnetiza disco). Incineração é mais segura para dados altamente sensíveis. Custo: R$ 200-1000 por equipamento. Validação: vídeo de destruição + certificado da processadora.
Combinação recomendada: Para dados sensíveis (financeiro, saúde, government), usar destruição física. Para dados convencionais, wipe certificado é suficiente. Documentação é obrigatória em ambos os casos.
Use wipe certificado (mais barato) para a maioria dos equipamentos. Somente HDDs com dados muito sensíveis: destruição física. Arquivo: cópia do relatório de wipe/destruição.
Estabelecer critério claro: dados normais ? wipe certificado; dados sensíveis (financeiro, RH) ? destruição física. Rastreabilidade: lista por equipamento qual método foi usado.
Destruição física para 80% (reduz risco legal); wipe certificado para 20%. Fornecedor deve fornecer vídeo de destruição (testemunhagem). Relatório consolidado mensal: quantos equipamentos, qual método, data, responsável.
Processo prático: passo a passo de descarte responsável
Passo 1 — Inventário e classificação: Toda vez que equipamento chega ao fim de vida (display danificado, disco falha, máquina obsoleta), registrar em planilha de ativos: modelo, número de série, tipo de armazenamento (HDD/SSD), tipo de dado que continha (sensível/normal). Meta: saber exatamente o que está saindo.
Passo 2 — Avaliação de reutilização: Antes de descartar, perguntar: pode ser reaproveitado internamente (redeploy em outra área)? Pode ser vendido como equipamento refurbished (se ainda funciona, há mercado)? Se sim, reaproveitamento reduz custo. Se não, segue para descarte.
Passo 3 — Remoção de dados: Selecionar método: wipe certificado (mais comum) ou destruição física (mais seguro). Gerar relatório que prove destruição foi realizada. Arquivar relatório por mínimo 5 anos (prazo LGPD).
Passo 4 — Transporte seguro: Usar empresa credenciada para transporte. Equipamentos não devem ser deixados em canteiro de obra ou terreno aberto. Contrato deve especificar: data de coleta, data de destruição, local de destruição, certificado de destinação final.
Passo 5 — Certificação de destinação final: Recicladora emite certificado NBR 16156 (ou equivalente) que comprova: equipamento recebido, processado conforme norma, destinação final conhecida (reciclagem de metais/plásticos, incineração de componentes, etc.). Certificado é requerido por auditoria.
Passo 6 — Documentação e arquivo: Manter arquivo organizado: lista de equipamentos descartados, certificados de destruição/reciclagem, contratos com recicladoras, fotos/vídeos de destruição. Tempo de guarda: mínimo conforme LGPD (5 anos) + prática recomendada (7-10 anos para equipamentos com dados críticos).
Custos envolvidos e otimização
Custo de descarte varia muito por volume e método. Para pequena empresa, pode ser negligenciável ( Breakdown de custos típicos: Remoção de dados (wipe certificado): R$ 50-200/equipamento. Destruição física (incineração): R$ 300-1000/equipamento. Transporte: R$ 100-500/lote. Certificação/documentação: R$ 50-100/equipamento. Contrato anual com recicladora pode oferecer desconto (ex: pacote anual de 200 equipamentos por R$ 30k = R$ 150/equipamento). Otimização de custo: Negociar contrato plural com recicladora (volumétrico desconto). Considerar venda de equipamentos ainda funcionais em vez de reciclar (refurbished market). Concentrar descartes sazonalmente (ex: uma vez a cada 6 meses em vez de contínuo) reduz overhead administrativo.
Seleção de recicladora credenciada
Nem toda empresa que "recicla" é credenciada. Critérios para escolher:
- Credenciamento IBAMA: Verificar lista de empresas autorizadas em ibama.gov.br. Se não está na lista, não recicla legalmente.
- Certificação NBR 16156: Documento que comprova conformidade técnica. Exigir cópia da certificação antes de contratar.
- Transparência de processo: Recicladora deve permitir auditoria, fornecer vídeo/fotos de destruição, certificado com data e descrição específica do que foi processado.
- Seguro e responsabilidade: Contrato deve especificar responsabilidade da recicladora em caso de vazamento de dados ou problema ambiental.
- Rastreabilidade: Sistema que permite acompanhar "equipamento X foi recebido em dd/mm ? foi processado em dd/mm ? certificado emitido". Código de rastreamento por lote.
Buscar recicladora local credenciada IBAMA. Verificar referências. Contrato simples: lista de equipamentos, data estimada, valor fixo, garantia de certificado.
Solicitar propostas de 2-3 recicladoras. Comparar: preço, credibilidade (NBR 16156), tempo de resposta, relatórios de rastreamento. Contrato anual com previsão de volume reduz custo.
RFP formal com critérios técnicos rigorosos: NBR 16156 obrigatório, ISO 14001 preferível, seguros >= valor de ativos, vídeo de destruição, relatórios trimestrais. Contrato multi-ano com SLAs.
Sinais de que sua empresa precisa estruturar descarte responsável
Se você se reconhece em dois ou mais cenários abaixo, há risco legal e ambiental não gerenciado.
- Equipamentos antigos acumulam em sala de almoxarifado ou canto da empresa (sem destinação planejada)
- Não há procedimento documentado de descarte; cada área faz "do seu jeito"
- Remoção de dados é manual e feita por técnico, sem certificação de sucesso
- Faltam certificados de destruição para conformidade com LGPD (se auditado, não há comprovação)
- Recicladora foi escolhida por preço baixo, sem verificação de credenciamento IBAMA
- Auditoria interna ou externa apontou gaps em gestão de ativos desativados
Caminhos para implementar descarte responsável
A estruturação pode ser simples (para pequena empresa) ou robusta (para grande). Cada abordagem tem trade-off entre custo e segurança.
Viável quando volume é pequeno a médio e capacidade técnica existe.
- Perfil necessário: Técnico de TI com conhecimento em segurança de dados, ou coordenador de infraestrutura.
- Tempo estimado: 2-4 semanas para estruturar processo, selecionar recicladora, criar procedimentos documentados.
- Faz sentido quando: Volume anual <100 equipamentos, empresa tem confiança técnica em wipe de dados.
- Risco principal: Falha em destruição de dados, seleção de recicladora não credenciada, perda de documentação.
Recomendado quando há volume significativo ou sensibilidade alta de dados.
- Tipo de fornecedor: Empresa de reciclagem de TI credenciada IBAMA/NBR 16156, consultoria ambiental, ou prestador de serviço de asset disposition.
- Vantagem: Especialista seleciona recicladora, valida conformidade, gera documentação, assume responsabilidade legal. Transferência de risco.
- Faz sentido quando: Volume >100 equipamentos/ano, dados muito sensíveis, compliance obrigatório (empresa pública, setor regulado).
- Resultado típico: Processo estruturado em 4-8 semanas, documentação completa, zero risco legal.
Precisa estruturar descarte responsável de equipamentos de TI?
Se descarte seguro e em conformidade com LGPD é prioridade, o oHub conecta você gratuitamente a recicladoras certificadas e consultorias especializadas. Em menos de 3 minutos, descreva sua situação e receba propostas personalizadas, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Como destruir dados de forma segura antes de descartar equipamento?
Dois métodos: (1) Wipe de software certificado (DBAN, Eraser) que sobrescreve disco com padrões aleatórios múltiplas vezes; gera relatório de conformidade. (2) Destruição física (incineração ou trituração) para dados muito sensíveis. Ambos exigem certificado que comprove conclusão.
Qual é o custo de descarte?
Pequena empresa (baixo volume): R$ 100-500/equipamento. Média empresa (contrato anual): R$ 50-200/equipamento. Grande empresa (volume alto): R$ 30-100/equipamento. Custo depende de método (wipe vs. destruição física) e recicladora.
É obrigatório descartar equipamentos de TI?
Sim, por duas razões: (1) LGPD exige destruição segura de dados pessoais; violação resulta em multa até 2% do faturamento anual. (2) CONAMA exige reciclagem apropriada; descarte irregular é crime ambiental. Não há alternativa legal.
Quanto tempo preciso guardar certificado de destruição?
Mínimo LGPD: 5 anos após destruição. Prática recomendada: 7-10 anos para ativos com dados críticos. Manter em local seguro (arquivo físico + cópia digital).
Posso vender equipamento usado em vez de descartar?
Sim, se ainda funciona e dados foram destruídos seguramente. Equipamento refurbished tem valor de mercado. Importante: remover dados ANTES de vender (wipe certificado obrigatório). Documentar venda para rastreabilidade.