Política de Retenção e Descarte de Dados em OSCs: Guia Prático LGPD
Voltar para o blog

Política de Retenção e Descarte de Dados em OSCs: Guia Prático LGPD

E
Equipe Nexus
Autor

05 de julho de 2026

9 min de leitura

Pontos-Chave sobre Retenção de Dados em OSCs

  • A LGPD exige eliminação dos dados pessoais após o término do tratamento (art. 16), com exceções para obrigações legais
  • Prontuários de paciente têm prazo mínimo de guarda de 20 anos antes da eliminação (Lei 13.787/2018)
  • Documentos fiscais e contábeis devem ser conservados até a prescrição dos créditos tributários (CTN, art. 195)
  • Reter "por precaução" é um risco: mais dados guardados, mais superfície de exposição a vazamentos

Por Que Sua OSC Precisa de uma Política de Retenção

Toda OSC acumula dados. Prontuários de famílias atendidas, cadastros de voluntários, comprovantes de doações, notas fiscais, relatórios de atividades. Com o tempo, esses dados se empilham em planilhas, pastas compartilhadas e gavetas — e ninguém lembra mais por que estão lá.

O problema é que a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, não permite guardar dados indefinidamente. O art. 16 é claro: "os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades" — entre elas, o cumprimento de obrigação legal ou regulatória (Planalto — Lei 13.709/2018).

Em outras palavras: sua OSC pode manter dados apenas pelo tempo necessário à finalidade que justificou a coleta, ou pelo prazo exigido por outra lei. Guardar prontuários de famílias desligadas há 10 anos "por precaução" não é proteção — é um risco, porque mais dados retidos significam mais superfície de exposição a vazamentos e mais responsabilidade perante a ANPD.

Diferencial do Nexus Social: a plataforma registra a data de criação de cada registro e permite configurar políticas de retenção por tipo de dado, automatizando a expiração quando a finalidade do tratamento é atingida.

O Que a LGPD Diz sobre Retenção e Eliminação

Obrigações gerais (art. 15, 16 e 18)

A LGPD estabelece que, ao término do tratamento — seja porque a finalidade foi cumprida, porque o titular revogou o consentimento ou porque os dados se tornaram desnecessários —, os dados devem ser eliminados. O art. 18, IV, garante ao titular o direito de solicitar "anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade" com a lei (Planalto — Lei 13.709/2018).

A ANPD confirma que "na ocorrência de qualquer uma das hipóteses previstas no art. 15, a Lei determina que os dados pessoais sejam eliminados, conforme consta em seu art. 16, mas autoriza a conservação para as seguintes finalidades: cumprimento de obrigação legal ou regulatória pelo controlador".

Exceções legais que obrigam a conservar

A própria LGPD abre exceção para casos em que outra lei exige a guarda. Para OSCs, as principais são:

  • Documentos fiscais e contábeis — o Código Tributário Nacional (art. 195) determina que "os livros obrigatórios de escrituração comercial e fiscal e os comprovantes dos lançamentos neles efetuados serão conservados até que ocorra a prescrição dos créditos tributários decorrentes das operações a que se refiram". O Decreto nº 7.574/2011 reafirma essa obrigação.
  • Prontuários de paciente — a Lei nº 13.787/2018 estabelece que "decorrido o prazo mínimo de 20 (vinte) anos a partir do último registro, os prontuários em suporte de papel e os digitalizados poderão ser eliminados".
  • Documentos eletrônicos em geral — a Lei nº 12.682/2012 autoriza a eliminação de documentos armazenados eletronicamente "decorridos os respectivos prazos de decadência ou de prescrição".

A lógica é simples:

  1. Se há prazo legal de guarda (fiscal, contábil, prontuário de saúde), conserve pelo prazo mínimo exigido.
  2. Se não há prazo legal, conserve apenas pelo tempo necessário à finalidade do tratamento — e elimine em seguida.

Tabela de Prazos por Tipo de Dado em OSCs

Tipo de dadoPrazo de guardaBase legal
Documentos fiscais e contábeisAté prescrição dos créditos tributários (prática contábil: 5 anos)CTN art. 195; Decreto 7.574/2011
Prontuário de paciente (saúde)Mínimo de 20 anos após o último registroLei 13.787/2018, art. 6º
Prontuário SUAS (assistência social)Guarda e segurança obrigatórias; prazo não fixado em anosResolução CIT nº 29/2025
Dados de doadores (captação)Pelo tempo necessário à relação; revogado o consentimento, eliminarLGPD art. 16
Dados de voluntários desligadosEliminar após desligamento, salvo obrigação trabalhistaLGPD art. 16; CLT
Dados de atendidos desligadosEliminar quando a finalidade do atendimento for atingidaLGPD art. 16
Logs de auditoria de acessosPelo tempo necessário a investigações (recomenda-se 1 a 5 anos)LGPD art. 37 e 46

Atenção: o prazo de 5 anos para documentos fiscais é prática contábil baseada no art. 173 do CTN (prazo prescricional para a Fazenda Pública constituir crédito tributário). O texto legal fala em "prescrição dos créditos tributários" — consulte seu contador para o prazo aplicável ao seu caso.

Como Construir uma Política de Retenção em 5 Passos

1. Inventarie os dados tratados

Liste todos os conjuntos de dados que sua OSC coleta: prontuários, cadastros de voluntários, doadores, notas fiscais, fotos de atividades, relatórios de editais. Para cada um, registre: finalidade, base legal, quem coletou, onde está armazenado.

2. Defina o prazo de retenção por categoria

Para cada categoria, aplique a regra prática acima:

  • Há prazo legal? Use o prazo legal.
  • Não há prazo legal? Defina o tempo necessário à finalidade (ex.: dados de um evento específico podem ser eliminados 6 meses após a prestação de contas).

3. Estabeleça o método de eliminação

A ANPD recomenda que "em todas as mídias que contenham dados pessoais seja executado o método de formatar antes de descartá-las". Para dados digitais, a eliminação deve ser irreversível — não basta "enviar para a lixeira".

O Governo Digital orienta a "desenvolver uma funcionalidade automatizada que exclua dados pessoais quando seu período de retenção expirar. Esta exclusão deverá ocorrer imediatamente ou assim que possível".

4. Documente a política

A política de retenção deve ser um documento formal, aprovado pela diretoria, contendo:

  • Categorias de dados tratados
  • Prazo de retenção de cada categoria
  • Base legal do prazo
  • Método de eliminação
  • Responsável pela execução
  • Procedimento de registro da eliminação

5. Automatize a expiração

Políticas manuais falham. Planilhas esquecidas em computadores antigos, pastas compartilhadas sem controle, backups que ninguém revisa — é onde vazamentos acontecem. Um sistema de gestão que aplica a retenção automaticamente, com trilha de auditoria da eliminação, é a forma mais segura de cumprir a LGPD sem depender da memória de pessoas.

Diferencial do Nexus Social: cada registro carrega metadados de criação e última atualização. A plataforma permite configurar regras de expiração por tipo de dado, com eliminação registrada na trilha de auditoria — atendendo ao art. 37 da LGPD (registro de operações de tratamento).

O Risco de Não Ter Política de Retenção

OSCs que não definem prazos de retenção enfrentam três problemas concretos:

  1. Exposição desnecessária — dados de famílias desligadas há anos continuam acessíveis a quem quer que tenha login, multiplicando o risco de vazamento interno.
  2. Dificuldade de resposta à ANPD — sem política documentada, é impossível demonstrar conformidade com o art. 16 em uma fiscalização ou investigação.
  3. Inconsistência em editais — editais empresariais e governamentais cada vez mais exigem comprovação de conformidade com a LGPD, incluindo política de retenção (GIFE — A LGPD e a Captação de Recursos).

A Resolução CD/ANPD nº 2/2022 aprova o regulamento para agentes de pequeno porte — categoria que inclui expressamente "pessoas jurídicas de direito privado, inclusive sem fins lucrativos". Ou seja: OSCs têm regras simplificadas, mas não estão dispensadas de adotar medidas essenciais de segurança, incluindo retenção e eliminação.

Perguntas Frequentes

Posso guardar prontuários de atendidos indefinidamente "para preservar a história da instituição"?

Não. A LGPD exige eliminação após o término do tratamento, salvo obrigação legal. Se quiser preservar histórias, anonimize os dados (remova CPF, nome, endereço) e mantenha apenas narrativas genéricas — isso não é mais dado pessoal e não se sujeita à LGPD.

O que fazer com fotos de atividades que mostram crianças e adolescentes?

Fotos de menores são dados pessoais (e potencialmente sensíveis). Mantenha apenas pelo tempo necessário à finalidade (ex.: relatório de um edital específico) e elimine em seguida. Se usar em comunicação institucional, obtenha consentimento específico dos responsáveis e defina prazo de uso.

A ANPD pode punir OSCs por falta de política de retenção?

Sim. A LGPD prevê multas de até 2% do faturamento (limitada a R$ 50 milhões por infração), bloqueio de banco de dados e advertências. A falta de política de retenção é uma não conformidade com o art. 16 e pode ser agravante em caso de incidente.

Preciso eliminar backups também?

Sim. Backups que contêm dados pessoais devem ser considerados na política de retenção. A eliminação deve abranger todas as cópias, incluindo backups em nuvem e mídias físicas. O Governo Digital recomenda "excluir os dados pessoais imediatamente quando o período de retenção expirar".


Sua OSC ainda não tem uma política de retenção documentada? O Nexus Social entrega a estrutura técnica pronta — metadados de criação, regras de expiração configuráveis, eliminação registrada na trilha de auditoria e isolamento por tenant. Agende uma demonstração e veja como colocar sua organização em conformidade com a LGPD sem virar especialista em segurança.


Fontes e Referências


E
Escrito por Equipe Nexus

Equipe Nexus Social dedicada a compartilhar conhecimento e tecnologia para o fortalecimento do terceiro setor.