GDPR e armazenamento de dados: qual é o período de retenção correto?
24 de outubro de 2025
•
4 min de leitura
Índice
Voltar
Voltar ao topo
GDPR e armazenamento de dados: qual é o período de retenção correto?
Quando se trata de dados pessoais, mais nem sempre é melhor. De acordo com o Regulamento Geral de Proteção de Dados (GDPR), reter dados pessoais por mais tempo do que o necessário pode colocar sua empresa em risco de não conformidade.
O que é retenção de dados no GDPR?
A retenção de dados refere-se ao período de tempo que uma empresa armazena dados pessoais antes de serem excluídos, anonimizados ou arquivados. GDPR segue uma abordagem baseada em finalidades, o que significa que você só pode manter dados pessoais:
- Pelo tempo que for necessário para cumprir a finalidade para a qual foram recolhidos.
- Não mais do que o necessário, mesmo que esteja armazenado de forma segura.
- Se o motivo pelo qual coletou os dados não for mais válido, deverá eliminá-los ou anonimizá-los.
Existe um limite de retenção de dados GDPR?
O GDPR exige que:
"Os dados pessoais serão conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário." — Artigo 5.º, n.º 1, alínea e), GDPR
Como definir períodos de retenção compatíveis com o GDPR
As organizações devem criar uma Política de Retenção de Dados que descreva:
- Por que os dados são coletados
- Quanto tempo é mantido
- Quando e como ele é revisado ou excluído
- Processos para exclusão ou anonimização
- Quem é responsável pela execução
Seu Registro de Atividades de Processamento (ROPA) deve refletir os prazos de retenção.
Riscos de manter os dados por muito tempo
- Risco de segurança: Mais dados significam maior impacto de violação.
- Risco regulatório: Não cumprimento dos princípios GDPR.
- Multas: Até 20 milhões de euros ou 4% do volume de negócios global.
Retenção e consentimento dos usuários
Se depender do consentimento dos usuários:
- Defina um período de validade claro (por exemplo, 12–24 meses).
- Renove o consentimento para continuar o processamento depois disso.
- Exclua ou anonimize os dados se o consentimento for retirado ou expirar.
CMPs (Plataformas de gerenciamento de consentimento) ajudam a impor o rastreamento de consentimento com prazo determinado.
Conclusão final
Para manter a conformidade com o GDPR:
- Mantenha os dados apenas pelo tempo necessário.
- Documente sua justificativa para períodos de retenção.
- Audite regularmente e elimine registros desatualizados.
Uma política clara de retenção de dados é essencial para conformidade com a privacidade, confiança e redução de riscos.
Fontes
Explorar mais
O Google Signals vai mudar em 15 de junho de 2026: o que isso significa para o seu consentimento
Em 15 de junho de 2026, o Google desacopla o Google Signals do ad_storage do Modo de Consentimento. Veja o que realmente muda, quem é afetado e por que um banner CookiePal bem configurado já lida com isso.
13 de junho de 2026
4 min
Por que o número de visualizações de página na CookiePal é diferente do Google Analytics?
A CookiePal contabiliza cada carregamento de página, enquanto o Google Analytics contabiliza apenas visitas com consentimento. Entenda como essas métricas são calculadas e por que os números raramente batem.
8 de junho de 2026
2 min
Como escolher um parceiro certificado do Google CMP
Escolha um parceiro certificado do Google CMP com certificação do Google, conformidade com as leis de privacidade, recursos fáceis de usar e suporte confiável.
15 de dezembro de 2024
2 min