Política de Retenção e Descarte de Dados em OSCs: Guia Prático LGPD
Equipe Nexus
Autor05 de julho de 2026
9 min de leitura
Pontos-Chave sobre Retenção de Dados em OSCs
- A LGPD exige eliminação dos dados pessoais após o término do tratamento (art. 16), com exceções para obrigações legais
- Prontuários de paciente têm prazo mínimo de guarda de 20 anos antes da eliminação (Lei 13.787/2018)
- Documentos fiscais e contábeis devem ser conservados até a prescrição dos créditos tributários (CTN, art. 195)
- Reter "por precaução" é um risco: mais dados guardados, mais superfície de exposição a vazamentos
Por Que Sua OSC Precisa de uma Política de Retenção
Toda OSC acumula dados. Prontuários de famílias atendidas, cadastros de voluntários, comprovantes de doações, notas fiscais, relatórios de atividades. Com o tempo, esses dados se empilham em planilhas, pastas compartilhadas e gavetas — e ninguém lembra mais por que estão lá.
O problema é que a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, não permite guardar dados indefinidamente. O art. 16 é claro: "os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades" — entre elas, o cumprimento de obrigação legal ou regulatória (Planalto — Lei 13.709/2018).
Em outras palavras: sua OSC pode manter dados apenas pelo tempo necessário à finalidade que justificou a coleta, ou pelo prazo exigido por outra lei. Guardar prontuários de famílias desligadas há 10 anos "por precaução" não é proteção — é um risco, porque mais dados retidos significam mais superfície de exposição a vazamentos e mais responsabilidade perante a ANPD.
Diferencial do Nexus Social: a plataforma registra a data de criação de cada registro e permite configurar políticas de retenção por tipo de dado, automatizando a expiração quando a finalidade do tratamento é atingida.
O Que a LGPD Diz sobre Retenção e Eliminação
Obrigações gerais (art. 15, 16 e 18)
A LGPD estabelece que, ao término do tratamento — seja porque a finalidade foi cumprida, porque o titular revogou o consentimento ou porque os dados se tornaram desnecessários —, os dados devem ser eliminados. O art. 18, IV, garante ao titular o direito de solicitar "anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade" com a lei (Planalto — Lei 13.709/2018).
A ANPD confirma que "na ocorrência de qualquer uma das hipóteses previstas no art. 15, a Lei determina que os dados pessoais sejam eliminados, conforme consta em seu art. 16, mas autoriza a conservação para as seguintes finalidades: cumprimento de obrigação legal ou regulatória pelo controlador".
Exceções legais que obrigam a conservar
A própria LGPD abre exceção para casos em que outra lei exige a guarda. Para OSCs, as principais são:
- Documentos fiscais e contábeis — o Código Tributário Nacional (art. 195) determina que "os livros obrigatórios de escrituração comercial e fiscal e os comprovantes dos lançamentos neles efetuados serão conservados até que ocorra a prescrição dos créditos tributários decorrentes das operações a que se refiram". O Decreto nº 7.574/2011 reafirma essa obrigação.
- Prontuários de paciente — a Lei nº 13.787/2018 estabelece que "decorrido o prazo mínimo de 20 (vinte) anos a partir do último registro, os prontuários em suporte de papel e os digitalizados poderão ser eliminados".
- Documentos eletrônicos em geral — a Lei nº 12.682/2012 autoriza a eliminação de documentos armazenados eletronicamente "decorridos os respectivos prazos de decadência ou de prescrição".
A regra prática: prazo legal vs. finalidade
A lógica é simples:
- Se há prazo legal de guarda (fiscal, contábil, prontuário de saúde), conserve pelo prazo mínimo exigido.
- Se não há prazo legal, conserve apenas pelo tempo necessário à finalidade do tratamento — e elimine em seguida.
Tabela de Prazos por Tipo de Dado em OSCs
| Tipo de dado | Prazo de guarda | Base legal |
|---|---|---|
| Documentos fiscais e contábeis | Até prescrição dos créditos tributários (prática contábil: 5 anos) | CTN art. 195; Decreto 7.574/2011 |
| Prontuário de paciente (saúde) | Mínimo de 20 anos após o último registro | Lei 13.787/2018, art. 6º |
| Prontuário SUAS (assistência social) | Guarda e segurança obrigatórias; prazo não fixado em anos | Resolução CIT nº 29/2025 |
| Dados de doadores (captação) | Pelo tempo necessário à relação; revogado o consentimento, eliminar | LGPD art. 16 |
| Dados de voluntários desligados | Eliminar após desligamento, salvo obrigação trabalhista | LGPD art. 16; CLT |
| Dados de atendidos desligados | Eliminar quando a finalidade do atendimento for atingida | LGPD art. 16 |
| Logs de auditoria de acessos | Pelo tempo necessário a investigações (recomenda-se 1 a 5 anos) | LGPD art. 37 e 46 |
Atenção: o prazo de 5 anos para documentos fiscais é prática contábil baseada no art. 173 do CTN (prazo prescricional para a Fazenda Pública constituir crédito tributário). O texto legal fala em "prescrição dos créditos tributários" — consulte seu contador para o prazo aplicável ao seu caso.
Como Construir uma Política de Retenção em 5 Passos
1. Inventarie os dados tratados
Liste todos os conjuntos de dados que sua OSC coleta: prontuários, cadastros de voluntários, doadores, notas fiscais, fotos de atividades, relatórios de editais. Para cada um, registre: finalidade, base legal, quem coletou, onde está armazenado.
2. Defina o prazo de retenção por categoria
Para cada categoria, aplique a regra prática acima:
- Há prazo legal? Use o prazo legal.
- Não há prazo legal? Defina o tempo necessário à finalidade (ex.: dados de um evento específico podem ser eliminados 6 meses após a prestação de contas).
3. Estabeleça o método de eliminação
A ANPD recomenda que "em todas as mídias que contenham dados pessoais seja executado o método de formatar antes de descartá-las". Para dados digitais, a eliminação deve ser irreversível — não basta "enviar para a lixeira".
O Governo Digital orienta a "desenvolver uma funcionalidade automatizada que exclua dados pessoais quando seu período de retenção expirar. Esta exclusão deverá ocorrer imediatamente ou assim que possível".
4. Documente a política
A política de retenção deve ser um documento formal, aprovado pela diretoria, contendo:
- Categorias de dados tratados
- Prazo de retenção de cada categoria
- Base legal do prazo
- Método de eliminação
- Responsável pela execução
- Procedimento de registro da eliminação
5. Automatize a expiração
Políticas manuais falham. Planilhas esquecidas em computadores antigos, pastas compartilhadas sem controle, backups que ninguém revisa — é onde vazamentos acontecem. Um sistema de gestão que aplica a retenção automaticamente, com trilha de auditoria da eliminação, é a forma mais segura de cumprir a LGPD sem depender da memória de pessoas.
Diferencial do Nexus Social: cada registro carrega metadados de criação e última atualização. A plataforma permite configurar regras de expiração por tipo de dado, com eliminação registrada na trilha de auditoria — atendendo ao art. 37 da LGPD (registro de operações de tratamento).
O Risco de Não Ter Política de Retenção
OSCs que não definem prazos de retenção enfrentam três problemas concretos:
- Exposição desnecessária — dados de famílias desligadas há anos continuam acessíveis a quem quer que tenha login, multiplicando o risco de vazamento interno.
- Dificuldade de resposta à ANPD — sem política documentada, é impossível demonstrar conformidade com o art. 16 em uma fiscalização ou investigação.
- Inconsistência em editais — editais empresariais e governamentais cada vez mais exigem comprovação de conformidade com a LGPD, incluindo política de retenção (GIFE — A LGPD e a Captação de Recursos).
A Resolução CD/ANPD nº 2/2022 aprova o regulamento para agentes de pequeno porte — categoria que inclui expressamente "pessoas jurídicas de direito privado, inclusive sem fins lucrativos". Ou seja: OSCs têm regras simplificadas, mas não estão dispensadas de adotar medidas essenciais de segurança, incluindo retenção e eliminação.
Perguntas Frequentes
Posso guardar prontuários de atendidos indefinidamente "para preservar a história da instituição"?
Não. A LGPD exige eliminação após o término do tratamento, salvo obrigação legal. Se quiser preservar histórias, anonimize os dados (remova CPF, nome, endereço) e mantenha apenas narrativas genéricas — isso não é mais dado pessoal e não se sujeita à LGPD.
O que fazer com fotos de atividades que mostram crianças e adolescentes?
Fotos de menores são dados pessoais (e potencialmente sensíveis). Mantenha apenas pelo tempo necessário à finalidade (ex.: relatório de um edital específico) e elimine em seguida. Se usar em comunicação institucional, obtenha consentimento específico dos responsáveis e defina prazo de uso.
A ANPD pode punir OSCs por falta de política de retenção?
Sim. A LGPD prevê multas de até 2% do faturamento (limitada a R$ 50 milhões por infração), bloqueio de banco de dados e advertências. A falta de política de retenção é uma não conformidade com o art. 16 e pode ser agravante em caso de incidente.
Preciso eliminar backups também?
Sim. Backups que contêm dados pessoais devem ser considerados na política de retenção. A eliminação deve abranger todas as cópias, incluindo backups em nuvem e mídias físicas. O Governo Digital recomenda "excluir os dados pessoais imediatamente quando o período de retenção expirar".
Sua OSC ainda não tem uma política de retenção documentada? O Nexus Social entrega a estrutura técnica pronta — metadados de criação, regras de expiração configuráveis, eliminação registrada na trilha de auditoria e isolamento por tenant. Agende uma demonstração e veja como colocar sua organização em conformidade com a LGPD sem virar especialista em segurança.
Fontes e Referências
- Planalto — Lei nº 13.709/2018 (LGPD) — Lei Geral de Proteção de Dados Pessoais; arts. 15, 16, 18 e 46 tratam de retenção, eliminação e segurança (2018)
- ANPD — Perguntas Frequentes sobre Direito à Eliminação — Esclarece as hipóteses de eliminação e conservação previstas no art. 16 da LGPD (2024)
- ANPD — Guia de Segurança da Informação para Agentes de Pequeno Porte — Orienta sobre medidas de segurança, incluindo eliminação de dados em mídias (2024)
- Governo Digital — Guia de Processo de Gestão de Dados — Define retenção de dados e orienta sobre automação da exclusão ao expirar o período
- Planalto — Código Tributário Nacional (Lei 5.172/66) — Art. 195: guarda de documentos fiscais até prescrição dos créditos tributários (1966)
- Planalto — Decreto nº 7.574/2011 — Regulamenta conservação de livros fiscais e comprovantes (2011)
- Planalto — Lei nº 13.787/2018 (Prontuário de Paciente) — Prazo mínimo de 20 anos para guarda de prontuários antes da eliminação (2018)
- Planalto — Lei nº 12.682/2012 — Armazenamento eletrônico de documentos; eliminação após decadência/prescrição (2012)
- MDS/CNAS — Resolução sobre Prontuário SUAS — Diretrizes do Prontuário Eletrônico do SUAS em consonância com a LGPD
- ANPD — Resolução CD/ANPD nº 2/2022 — Regulamento para agentes de pequeno porte, incluindo OSCs (2022)
- GIFE — A LGPD e a Captação de Recursos — Material sobre aplicação da LGPD a entidades do terceiro setor
Escrito por Equipe Nexus
Equipe Nexus Social dedicada a compartilhar conhecimento e tecnologia para o fortalecimento do terceiro setor.