Em dezembro de 2024, a ANPD iniciou processo de fiscalização contra 20 empresas de grande porte por descumprimento da LGPD (Lei Geral de Proteção de Dados), entre as infrações identificadas, ausência de encarregado de dados designado e canais de comunicação ineficazes que impediam os titulares de exercer seus direitos de acesso, correção e exclusão de dados pessoais.
O movimento sinaliza que a agência saiu definitivamente de sua fase orientativa para uma postura de fiscalização ativa, com plano de auditorias estruturado para os próximos anos. Para as empresas, isso tem uma implicação direta sobre como os documentos digitalizados são geridos: não basta digitalizá-los e armazená-los com segurança.
É preciso controlar quem os acessa, por quanto tempo são retidos, o que acontece quando o prazo de retenção se encerra, e como o titular dos dados pode exercer seus direitos sobre as informações que eles contêm.
A LGPD não trata dados pessoais apenas como informações que precisam ser protegidas no momento em que são utilizadas. Ela impõe uma responsabilidade que começa na coleta e termina somente com a eliminação definitiva dos dados, cobrindo cada etapa desse ciclo: coleta, retenção, processamento, compartilhamento e descarte. Para documentos digitalizados que contêm dados pessoais, contratos com informações de clientes, prontuários médicos, fichas de funcionários, comprovantes com dados de terceiros, cada uma dessas etapas tem obrigações específicas que precisam ser geridas ativamente.
O princípio da necessidade, previsto no artigo 6º da LGPD, determina que o tratamento de dados pessoais deve ser limitado ao mínimo necessário para a finalidade pretendida. Aplicado ao universo documental, isso significa que a empresa não deveria manter documentos digitalizados com dados pessoais além do tempo estritamente necessário, seja para cumprir obrigações legais, seja para a finalidade que justificou a coleta originalmente.
O princípio da finalidade complementa esse raciocínio: dados coletados para uma finalidade não podem ser reaproveitados para outra sem nova base legal. Uma empresa que digitaliza contratos de clientes para fins de gestão de relacionamento comercial não pode usar esses mesmos documentos para construir perfis de comportamento para campanhas de marketing sem uma base legal própria para esse segundo uso.
O princípio da qualidade dos dados exige que as informações pessoais mantidas sejam exatas, claras, relevantes e atualizadas. Isso cria uma obrigação ativa de revisão periódica dos acervos documentais digitalizados: documentos desatualizados, com informações incorretas ou fora do prazo de retenção precisam ser identificados e tratados, seja pela atualização das informações, seja pela eliminação do documento.
Uma empresa que mantém digitalizados contratos com dados pessoais de clientes que encerram o relacionamento anos atrás, sem qualquer política de revisão ou descarte, está acumulando passivo de conformidade que pode ser ativado tanto por uma fiscalização da ANPD quanto por uma solicitação formal do próprio titular.
Um dos pontos de maior tensão na gestão documental sob a LGPD é exatamente esse: a lei determina que dados pessoais devem ser eliminados após a conclusão do seu tratamento, mas diversas outras legislações exigem que determinados documentos sejam mantidos por prazos específicos. Essa sobreposição não é um conflito, é uma hierarquia que precisa ser entendida e aplicada.
A LGPD prevê expressamente que a retenção de dados pessoais é legítima quando necessária para cumprimento de obrigação legal ou regulatória. Isso significa que documentos fiscais com dados de terceiros, documentos trabalhistas com dados de colaboradores e registros médicos com dados de pacientes precisam ser mantidos pelos prazos legais aplicáveis, mesmo que o titular solicite a exclusão.
O problema que a maioria das organizações enfrenta não é a falta de consciência sobre a obrigação de guardar, é a ausência de uma política formal que defina, para cada tipo de documento digitalizado, qual é o prazo de retenção aplicável, qual é a base legal que justifica esse prazo, e o que acontece quando o prazo se encerra. Sem essa política estruturada, as empresas tendem a manter tudo indefinidamente por segurança, o que do ponto de vista da LGPD configura retenção excessiva, guardar dados pessoais além do tempo necessário sem base legal que justifique é uma violação da lei, não uma medida de prudência.
A tabela de temporalidade documental é o instrumento que resolve essa equação na prática. Ela mapeia cada tipo de documento da organização, define o prazo de retenção com base na legislação aplicável, especifica a base legal que justifica esse prazo sob a LGPD e determina a destinação final, descarte seguro, anonimização ou preservação permanente para fins históricos ou de pesquisa.
Para documentos digitalizados, essa tabela precisa ser implementada diretamente no sistema de gestão documental, com alertas automáticos quando documentos se aproximam do vencimento e fluxos de aprovação para a execução do descarte.
Um caso concreto que ilustra essa tensão: um ex-cliente solicita a exclusão de seus dados pessoais com base no artigo 18 da LGPD. A empresa tem contratos assinados com esse cliente que contêm seus dados pessoais, nome, CPF, endereço, dados financeiros, e que precisam ser mantidos por até dez anos para fins de comprovação fiscal e contratual, conforme o Código Civil e a legislação tributária. A empresa não pode simplesmente eliminar esses documentos a pedido do titular. Mas precisa ser capaz de responder formalmente ao titular, indicando qual base legal justifica a manutenção dos dados, quais dados específicos estão sendo retidos, por quanto tempo e com qual finalidade.
O que a empresa pode, e deve, fazer nessa situação é anonimizar os dados pessoais que não têm relevância para a finalidade que justifica a retenção. Se o contrato precisa ser mantido para comprovação de uma transação financeira, os dados de endereço residencial ou de perfil de consumo que constam no documento podem ser anonimizados, preservando apenas as informações estritamente necessárias para a finalidade legal.
Essa capacidade de anonimização seletiva exige que o sistema de gestão de documentos digitalizados permita edição controlada com trilha de auditoria, ou que o processo de anonimização seja executado e certificado por um parceiro especializado.
O princípio do acesso granular é um dos mais negligenciados na gestão de documentos digitalizados. A LGPD não exige apenas que os dados pessoais estejam protegidos de acessos externos, exige que, internamente, o acesso seja restrito às pessoas que têm necessidade legítima de consultar aquelas informações para o exercício de suas funções.
Um colaborador do financeiro que precisa verificar dados de faturamento de um contrato não deveria ter acesso automático ao histórico completo de comunicações com aquele cliente. Um analista de RH que gerencia dossiês de funcionários não deveria visualizar informações médicas de colaboradores que não têm relação com sua função.
Sistemas de gestão de documentos digitalizados que não implementam controles de acesso por perfil, ou que implementam controles muito genéricos, como acesso por departamento sem granularidade por tipo de documento, estão em desconformidade com o princípio da necessidade da LGPD.
Mais do que um problema regulatório, isso representa um risco operacional: vazamentos de dados pessoais em empresas acontecem com mais frequência por acesso interno indevido do que por ataques externos. O Artigo 46 da LGPD exige que os agentes de tratamento adotem medidas de segurança técnicas e administrativas aptas a proteger dados pessoais de acessos não autorizados, e isso inclui acessos internos não autorizados.
O log de auditoria de acessos é o mecanismo que torna o controle verificável. Qualquer sistema que gerencie documentos digitalizados com dados pessoais precisa registrar, de forma automática e imutável, quem acessou cada documento, quando, a partir de qual dispositivo ou localização, e qual ação foi realizada, visualização, download, impressão, edição. Esse registro é indispensável tanto para responder a solicitações dos titulares que questionam o uso de seus dados quanto para demonstrar conformidade em eventual fiscalização da ANPD.
O artigo 18 da LGPD garante ao titular uma série de direitos sobre seus dados pessoais: confirmar a existência de tratamento, acessar os dados, corrigi-los quando incorretos, solicitar a anonimização, bloqueio ou eliminação quando desnecessários, e ser informado sobre os terceiros com os quais os dados foram compartilhados. Empresas que recebem essas solicitações têm um prazo razoável para responder, que a prática do mercado e os guias da ANPD consolidaram em 15 dias para a maioria das demandas. Para cumprir esses prazos de forma consistente, a empresa precisa ter um sistema que permita localizar, em segundos, todos os documentos digitalizados que contêm dados de um determinado titular.
Esse requisito tem implicações diretas sobre a qualidade da indexação dos documentos digitalizados. Um acervo com indexação por tipo de documento e data não é suficiente para atender solicitações de titulares: é preciso indexar também por dados do titular, nome, CPF, número de contrato, matrícula de colaborador, de forma que seja possível fazer uma busca por titular e recuperar todos os documentos que o mencionam. Para acervos físicos recém-digitalizados, essa indexação retroativa pode ser o trabalho mais relevante do projeto, mais do que a própria digitalização em si.
A ANPD fiscaliza ativamente empresas que não disponibilizam canais de comunicação eficazes para o exercício de direitos pelos titulares. O processo iniciado em dezembro de 2024 contra 20 empresas de grande porte foi motivado exatamente por isso: canais inexistentes ou ineficazes que inviabilizavam o exercício de direitos básicos. Para empresas com grandes volumes de documentos digitalizados, o canal de atendimento a titulares precisa estar integrado ao sistema de gestão documental, de forma que a solicitação chegue, seja processada, e o resultado seja documentado e devolvido ao titular dentro do prazo, com registro completo de cada etapa.
O descarte de documentos digitalizados com dados pessoais é uma etapa que muitas empresas executam sem a estrutura adequada, e que pode gerar passivo jurídico mesmo depois que o documento é eliminado, se o processo não for documentado corretamente. A LGPD exige que a eliminação de dados pessoais seja feita de forma segura, impedindo a recuperação das informações. Para documentos físicos, isso significa fragmentação certificada ou incineração. Para documentos digitalizados, significa eliminação definitiva dos arquivos de todos os sistemas e backups onde estão armazenados, de forma que não possam ser recuperados.
O processo de descarte precisa ser documentado. Uma empresa que elimina documentos digitalizados com dados pessoais sem gerar um certificado de descarte, registrando quais documentos foram eliminados, quando, por qual responsável e com qual método, não tem como demonstrar à ANPD que o descarte foi realizado em conformidade com a lei. O certificado de descarte é o mecanismo que encerra o ciclo de vida do dado de forma legalmente defensável: ele comprova que a empresa cumpriu sua obrigação de eliminar os dados após o término do prazo de retenção, e que o fez de forma irreversível.
Um aspecto técnico frequentemente subestimado é a questão dos backups. Muitas empresas implementam processos de descarte no sistema de gestão documental principal, mas esquecem que os mesmos documentos podem existir em múltiplas cópias de backup, em fitas, em nuvem, em servidores de contingência. Um documento eliminado do sistema principal ainda existe nos backups até que eles sejam sobrescritos ou eliminados conforme a política de retenção de backup. Para dados pessoais de alto risco, a empresa precisa ter certeza de que o descarte é executado em todos os locais de armazenamento simultaneamente, e documentar cada um deles.
O ponto de partida é o mapeamento. A empresa precisa saber quais documentos digitalizados contêm dados pessoais, quais tipos de dados pessoais estão presentes em cada categoria de documento, qual é a base legal que justifica o tratamento desses dados, qual é o prazo de retenção aplicável para cada categoria e quem, internamente, tem acesso a cada tipo de documento. Esse inventário, que a LGPD chama de Registro de Operações de Tratamento (ROT), é o alicerce sobre o qual toda a política documental deve ser construída. Sem ele, qualquer medida de controle é parcial e potencialmente inconsistente.
Com o mapeamento feito, a tabela de temporalidade pode ser construída de forma robusta. Ela precisa refletir não apenas os prazos legais de guarda, fiscais, trabalhistas, cíveis, regulatórios, mas também os prazos derivados da LGPD: quanto tempo cada tipo de dado pessoal pode ser retido com base em cada base legal utilizada. Para dados retidos com base em consentimento, por exemplo, a retenção termina quando o consentimento é revogado. Para dados retidos com base em obrigação legal, a retenção termina quando o prazo legal se encerra. Esses diferentes fundamentos podem se aplicar ao mesmo documento, o que exige uma análise por tipo de dado dentro de cada documento, não apenas por categoria de documento.
Parceiros especializados em gestão documental têm um papel relevante nessa construção. Empresas com experiência em gestão do ciclo de vida de documentos, incluindo armazenamento seguro, digitalização certificada, controle de acesso, destruição segura certificada e emissão de certificados de descarte, são capazes de implementar a infraestrutura operacional que torna a política documental exequível no dia a dia, sem onerar as equipes internas com tarefas que exigem expertise específica. O compliance documental com a LGPD não é um projeto de TI, nem um projeto jurídico, é um processo operacional que precisa de infraestrutura adequada para funcionar de forma consistente ao longo do tempo.
Uma frase que circula entre especialistas em proteção de dados resume bem o desafio: a LGPD tem início e meio, mas não tem fim. Uma vez que uma empresa coleta dados pessoais, inclusive por meio da digitalização de documentos físicos, assume responsabilidade por todo o ciclo de vida dessas informações. Não há um momento em que essa responsabilidade se encerra automaticamente: ela só termina quando os dados são eliminados de forma definitiva e certificada, ou quando são anonimizados de forma irreversível.
Para as empresas brasileiras, a ANPD está passando por uma transição clara: de uma fase de orientação e conscientização para uma fase de fiscalização ativa e aplicação de sanções. O plano de auditoria estruturado para os próximos anos, a fiscalização das 20 empresas por ausência de encarregado e canais eficazes, e a agenda regulatória publicada para 2025-2026, com foco em direitos dos titulares, dados sensíveis e padrões mínimos de segurança, indicam que o ambiente regulatório está se tornando mais exigente, não menos.
A pergunta que os gestores de compliance, jurídico e tecnologia precisam responder de forma honesta é: se um titular solicitar hoje uma relação de todos os documentos digitalizados que contêm seus dados pessoais, acompanhada da base legal que justifica cada retenção e da data prevista para descarte de cada um, sua empresa conseguiria responder, de forma completa e documentada, em 15 dias? Essa capacidade de resposta é o termômetro mais preciso do nível real de conformidade documental com a LGPD. E empresas que ainda não têm essa capacidade têm exatamente o tempo que sobra antes da próxima fiscalização para construí-la.
Share