LGPD em uma frase
A Lei Geral de Proteção de Dados (Lei 13.709/2018)determina que qualquer organização que trate dados pessoais deve fazer isso de forma lícita, transparente e proporcional, sob fiscalização da ANPD e sob risco de multas que chegam a 2% do faturamento, limitadas a R$ 50 milhões por infração.
Aplica-se também ao arquivo físico
Muita gente associa LGPD a sistema, banco de dados e cookie de site. Mas a Lei é explícita: aplica-se a qualquer tratamento, independentemente do meio (Art. 1º). Aquele arquivo morto cheio de contratos, fichas funcionais e prontuários está integralmente sob a LGPD — e geralmente é onde estão os maiores riscos: cópias sem controle, ausência de inventário, prazos vencidos sem descarte.
Bases legais: por que sua empresa pode tratar aquele dado
Todo tratamento precisa de uma base legal (Art. 7º para dados comuns e Art. 11 para dados sensíveis). As mais comuns em gestão documental:
- Cumprimento de obrigação legal: reter nota fiscal por 5 anos (CTN).
- Execução de contrato: manter contrato e correspondência relacionada.
- Exercício regular de direitos: guardar prova em processo judicial em curso.
- Consentimento: base mais frágil — pode ser revogado a qualquer momento.
- Legítimo interesse: exige relatório de impacto e teste de proporcionalidade.
Cada documento (ou série) deve ter uma base legal anotada na política de retenção.
Retenção e descarte: o ponto mais sensível
O princípio da necessidade (Art. 6º, III) obriga a eliminar dados quando o tratamento termina. Isso muda a lógica histórica de "guardar para sempre por garantia". Operacionalmente, isso é resolvido com tabela de temporalidade e descarte certificado — os dois temas vizinhos deste artigo.
Direitos dos titulares (Art. 18)
- Confirmação da existência de tratamento
- Acesso aos dados
- Correção de dados incompletos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos
- Portabilidade
- Eliminação dos dados tratados com base no consentimento
- Informação sobre compartilhamento
- Revogação do consentimento
Quem responde a esses pedidos é o encarregado (DPO), e ele só consegue se a empresa tiver inventário atualizado e arquivo indexado.
Checklist documental LGPD
- Inventário de dados pessoais (físicos e digitais)
- Política de retenção / tabela de temporalidade
- Encarregado (DPO) nomeado e canal aberto
- Registros de tratamento (Art. 37) atualizados
- Processo de atendimento a direitos do titular
- Procedimento de descarte certificado
- Plano de resposta a incidentes (Art. 48)
- Treinamento periódico das equipes que manipulam arquivo
Perguntas frequentes
Sim. A LGPD se aplica a qualquer tratamento de dados pessoais, independentemente do meio — físico ou digital (Art. 1º). Um arquivo morto com contratos e fichas de funcionários antigos contém dados pessoais e está sob a Lei.
Mapear dados pessoais e suas finalidades, definir bases legais (Art. 7º e 11), estabelecer prazos de retenção, garantir segurança da informação, atender direitos dos titulares (acesso, correção, eliminação), manter registros das operações de tratamento (Art. 37) e nomear encarregado (DPO).
Não. O princípio da necessidade (Art. 6º, III) impõe limitar a retenção ao mínimo necessário para a finalidade. Reter indefinidamente é violação e pode ser sancionada com multa de até 2% do faturamento (limitada a R$ 50 milhões por infração).
Ajuda quando bem feita: indexação permite responder rapidamente a pedidos de titulares, controle de acesso por perfil reduz vazamento, trilha de auditoria registra quem viu o quê. Atrapalha se for feita sem critério — cópias descontroladas em pendrives são incidente esperando para acontecer.
O encarregado é o canal de comunicação entre a empresa, os titulares e a ANPD (Art. 41). Sim, ele responde também pelo arquivo físico — é parte do tratamento. Tipicamente apoia-se em um gestor documental ou consultoria arquivística para operacionalizar a política.
Avaliar se há base legal que obrigue a retenção (ex.: nota fiscal exige 5 anos). Se não houver, eliminar — incluindo cópias em backup, e-mails e arquivo físico — em prazo razoável (a ANPD orienta até 15 dias). Documentar a eliminação com certificado de destruição quando aplicável.