Leis de Retenção de Dados por País (2026): GDPR, TJUE e Regras Globais
Organizações em todo o mundo enfrentam uma pergunta aparentemente simples: por quanto tempo é possível conservar dados pessoais? A resposta depende de qual de dois conceitos jurídicos muito diferentes se aplica. O princípio da limitação da conservação do GDPR determina que os dados não sejam conservados além do necessário. As leis de retenção obrigatória de dados de comunicações determinam que certos metadados devem ser conservados por um período fixo. Ambas preveem sanções significativas em caso de descumprimento.
Âmbito jurisdicional: Este artigo aborda o princípio da limitação da conservação do GDPR/UK GDPR, a jurisprudência do TJUE sobre a retenção obrigatória de dados de comunicações, e os regimes nacionais de retenção dos Estados Unidos, Reino Unido, União Europeia, Brasil, China, Índia, Coreia do Sul, Austrália, Canadá, Japão, Singapura, África do Sul e México. Informações verificadas em maio de 2026. Consulte um advogado licenciado em sua jurisdição para obter orientação específica sobre a sua situação.
Dois Significados de "Retenção de Dados"
A expressão "lei de retenção de dados" é usada para dois conceitos juridicamente distintos que apontam em direções opostas, e confundi-los produz erros de conformidade.
O princípio da limitação da conservação (modelo de direito da privacidade) determina que as organizações não devem conservar dados pessoais além do necessário para a finalidade para a qual foram coletados. O artigo 5(1)(e) do GDPR é a formulação canônica dessa regra. A POPIA da África do Sul, a LGPD do Brasil, a DPDPA da Índia e a PIPEDA do Canadá reproduzem esse princípio. Nesse modelo, a conservação representa um risco jurídico contínuo: quanto mais tempo os dados são mantidos, maior é a exposição. A obrigação vincula o controlador ao regulador.
As leis de retenção obrigatória de dados de comunicações (modelo de direito da vigilância) obrigam os provedores de serviços de internet e as operadoras de telecomunicações a conservar metadados de assinantes e de tráfego por um período fixo, para que as autoridades responsáveis pela aplicação da lei possam acessá-los retroativamente. A Diretiva de Retenção de Dados da UE (2006/24/CE), hoje invalidada, é o exemplo canônico. A Telecommunications (Interception and Access) Act da Austrália, o Investigatory Powers Act do Reino Unido e a Telecommunications Business Act da Coreia do Sul criam, todos eles, períodos mínimos obrigatórios de conservação. Nesse modelo, a infração consiste em eliminar os dados antes do término do prazo legal. A obrigação vincula a operadora ao governo.
Os mesmos dados podem estar sujeitos a ambos os regimes simultaneamente. Uma operadora de telecomunicações sujeita a uma lei governamental de retenção obrigatória de 12 meses também está sujeita à limitação da conservação do GDPR para os mesmos dados de clientes: não pode eliminá-los antes de 12 meses (mandato governamental), mas também deve justificar a sua conservação além desse período nos termos do GDPR (princípio da limitação da conservação). Essas duas restrições, em conjunto, definem a janela lícita de conservação.
O Princípio da Limitação da Conservação no GDPR
O artigo 5(1)(e) do GDPR estabelece que os dados pessoais devem ser conservados "de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados". O GDPR não estabelece prazos específicos de conservação para a maioria das categorias de dados; cabe às organizações determinar e documentar os seus próprios períodos.
As organizações devem registrar os períodos de conservação nos seus registros das atividades de tratamento (artigo 30) e comunicá-los aos titulares dos dados nos avisos de privacidade (artigo 13(2)(a)). A conservação por período mais longo só é permitida para fins de arquivo de interesse público, investigação científica ou histórica, ou fins estatísticos, mediante garantias adequadas (artigo 89).
A Ação de Fiscalização Coordenada de 2025 do Comitê Europeu para a Proteção de Dados (EDPB) sobre o direito ao apagamento (publicada em fevereiro de 2026) constatou um descumprimento generalizado: alguns controladores aplicam o período de conservação mais longo aplicável a todas as operações de tratamento; outros conservam os dados indefinidamente. O EDPB recomendou que as autoridades nacionais de proteção de dados desenvolvam orientações práticas adicionais sobre a determinação dos períodos de conservação.
Períodos de Conservação Específicos por Setor na UE
Embora o GDPR evite prazos fixos, as leis dos Estados-Membros da UE e os regulamentos setoriais impõem períodos específicos:
Combate à lavagem de dinheiro. As diretivas europeias de combate à lavagem de dinheiro exigem a conservação dos registros de diligência devida do cliente e dos dados de transações por cinco anos após o término da relação comercial, podendo os Estados-Membros prorrogar esse prazo para dez anos.
Registros trabalhistas. A maioria dos Estados-Membros da UE exige que os empregadores conservem os registros de folha de pagamento e fiscais por seis a dez anos após o término da relação de trabalho. A Alemanha exige dez anos para documentos com relevância fiscal; a França exige cinco anos para os registros de folha de pagamento.
**Registros médicos.** Períodos de conservação para dados de saúde de pacientes variam significativamente. O NHS do Reino Unido recomenda a conservação de registros de saúde de adultos por oito anos após o último tratamento (25 anos para registros de saúde mental), enquanto a França exige 20 anos a partir do último contato médico.
Metadados de telecomunicações. A Diretiva de Retenção de Dados original da UE (2006/24/CE) exigia que os provedores de telecomunicações armazenassem metadados de comunicações por 6 a 24 meses. O TJUE invalidou a Diretiva em 2014, no processo Digital Rights Ireland. A maioria dos Estados-Membros da UE manteve exigências nacionais de retenção, mas essas também têm sido objeto de análise pelo TJUE. Segundo um levantamento de 2025 realizado em 18 países europeus, apenas a Alemanha, os Países Baixos e a Romênia não tinham regras de retenção de dados de telecomunicações em vigor; a maioria dos demais mantinha obrigações gerais de retenção apesar da jurisprudência do TJUE, e apenas a Bélgica, a Dinamarca e o Reino Unido impunham unicamente retenção direcionada.
A Jurisprudência do TJUE sobre Retenção de Dados de Comunicações
O Tribunal de Justiça da União Europeia (TJUE) desenvolveu um conjunto de jurisprudência sobre a retenção obrigatória de dados de comunicações que restringiu progressivamente o que os Estados-Membros podem obrigar as operadoras de telecomunicações a conservar. Compreender essa trajetória é essencial para qualquer organização que opere em Estados-Membros da UE.
Digital Rights Ireland (2014)
No processo Digital Rights Ireland (processos apensos C-293/12 e C-594/12, 8 de abril de 2014), a Grande Seção do TJUE invalidou integralmente a Diretiva de Retenção de Dados da UE (2006/24/CE). A Diretiva exigia a retenção geral de todos os metadados de comunicações por 6 a 24 meses. O tribunal considerou que exigir a retenção geral e indiscriminada de todos os dados de todos os usuários, sem qualquer diferenciação, limitação ou exceção baseada no objetivo de combater a criminalidade grave, interferia de forma desproporcional com os direitos à privacidade e à proteção de dados garantidos pelos artigos 7 e 8 da Carta dos Direitos Fundamentais da UE.
Tele2 Sverige e Watson (2016)
Com o fim da Diretiva, vários Estados-Membros mantiveram ou reintroduziram leis nacionais de retenção. No processo Tele2 Sverige e Watson (processos apensos C-203/15 e C-698/15, 21 de dezembro de 2016), a Grande Seção decidiu que a legislação nacional que prevê a retenção geral e indiscriminada de todos os dados de tráfego e localização de todos os assinantes é incompatível com o direito da UE. A retenção direcionada lícita deve: (a) limitar-se a categorias específicas de dados, meios de comunicação, pessoas afetadas e períodos de conservação; (b) restringir-se ao estritamente necessário; (c) ser acessível apenas para o combate à criminalidade grave; e (d) estar sujeita a controle prévio por um tribunal ou órgão administrativo independente. O tribunal também exigiu que os dados retidos fossem armazenados dentro da UE e destruídos de forma irreversível ao final do período de conservação.
La Quadrature du Net I (2020)
No processo La Quadrature du Net I (processos apensos C-511/18, C-512/18, C-520/18 e C-623/17, 6 de outubro de 2020), a Grande Seção confirmou a proibição da retenção geral, mas reconheceu três exceções admissíveis: (1) retenção geral preventiva de todos os metadados durante um período previsível de ameaça grave à segurança nacional, sujeita a controle por um tribunal ou órgão independente; (2) retenção direcionada com base em critérios geográficos ou em características de grupos específicos para o combate à criminalidade grave; e (3) preservação expedita dos dados retidos (quick-freeze) para investigações em curso.
SpaceNet e Telekom Deutschland (2022)
No processo SpaceNet e Telekom Deutschland (processos apensos C-793/19 e C-794/19, 20 de setembro de 2022), a Grande Seção reafirmou que a legislação alemã que exige a retenção geral e indiscriminada de dados de tráfego e localização de telecomunicações era incompatível com o direito da UE, mesmo para o combate à criminalidade grave. A decisão ressaltou que o quick-freeze e a retenção direcionada permanecem disponíveis, mas a retenção geral não, independentemente do objetivo de prevenção criminal.
La Quadrature du Net II (2024)
O desenvolvimento mais recente é o processo La Quadrature du Net II (processo C-470/21, 30 de abril de 2024), que tratou do sistema francês antipirataria HADOPI. O tribunal pleno do TJUE (e não a Grande Seção) decidiu que os endereços IP constituem dados de tráfego nos termos da Diretiva 2002/58, mas distinguem-se dos demais dados de tráfego e localização, na medida em que a sua retenção geral e indiscriminada não constitui uma ingerência grave nos direitos fundamentais quando devidamente resguardada.
O tribunal permitiu a retenção de endereços IP e a sua associação a dados de identidade civil para acesso pelas autoridades responsáveis pela aplicação da lei, com vistas ao combate à violação de direitos autorais on-line, incluindo infrações não graves. As garantias exigidas são: (a) os dados de endereço IP devem ser armazenados separadamente dos demais dados retidos, por meio de sistemas técnicos seguros; (b) o acesso deve ser restrito ao encaminhamento para fins de ação penal, impedindo o rastreamento de navegação ou a definição de perfis (profiling); (c) é exigido controle prévio por um tribunal ou órgão independente quando houver risco de definição de perfis; e (d) deve ser mantida fiscalização independente periódica da integridade do sistema.
O Que Isso Significa Atualmente
A jurisprudência do TJUE, em 2026, permite que os Estados-Membros: conservem endereços IP de forma geral, mediante garantias técnicas; imponham retenção direcionada com base em critérios geográficos ou em categorias de suspeitos para o combate à criminalidade grave; utilizem ordens de quick-freeze; e imponham retenção geral durante um período previsível de ameaça grave à segurança nacional. A retenção geral e indiscriminada de todos os metadados de todos os usuários para o combate à criminalidade comum continua sendo ilícita. A Comissão Europeia está consultando sobre um novo regime obrigatório de retenção de metadados em nível da UE (consulta pública lançada em maio de 2025; projeto de legislação previsto para o início de 2026), que precisará conciliar-se com essas restrições.
Regimes de Retenção País por País
Estados Unidos
Os Estados Unidos não possuem uma única lei federal abrangente sobre retenção de dados equivalente ao GDPR. As exigências de retenção decorrem de estatutos federais setoriais e de leis estaduais.
Exigências federais:
- IRS (registros fiscais): As empresas devem conservar os registros fiscais por um mínimo de três anos a partir da data de apresentação da declaração, prazo que se estende a seis ou sete anos em caso de subdeclaração substancial de receitas (26 USC 6501).
- HIPAA (registros de saúde): As entidades abrangidas devem conservar a documentação de políticas e procedimentos por seis anos a partir da criação ou da última data de vigência (45 CFR 164.530(j)). As leis estaduais frequentemente impõem períodos mais longos para os registros médicos subjacentes.
- FLSA (registros trabalhistas): O Fair Labor Standards Act exige que os empregadores conservem os registros de folha de pagamento por três anos e os registros de cálculo de salários por dois anos (29 CFR 516).
- SOX (registros financeiros): A Sarbanes-Oxley Act exige a conservação dos papéis de trabalho de auditoria por sete anos (18 USC 1520).
- Regra 17a-4 da SEC: As corretoras devem conservar determinados registros por três a seis anos, dependendo do tipo de registro.
- Bank Secrecy Act (registros de combate à lavagem de dinheiro): As instituições financeiras devem conservar os registros de determinadas transações, incluindo Relatórios de Transações em Moeda (Currency Transaction Reports) e Relatórios de Atividades Suspeitas (Suspicious Activity Reports), por cinco anos.
Exigências em nível estadual: A CCPA/CPRA da Califórnia exige que as empresas divulguem os períodos de conservação e evitem conservar os dados além do razoavelmente necessário (Cal. Civ. Code 1798.100(c)). Colorado, Virgínia (VCDPA) e Texas (TDPSA) contêm princípios paralelos de limitação da conservação, exigindo períodos de conservação documentados e alinhados às finalidades do tratamento.
Reino Unido
Após o Brexit, o Reino Unido manteve o princípio da limitação da conservação do GDPR por meio do UK GDPR e do Data Protection Act 2018. O ICO faz cumprir essa regra em conjunto com a legislação setorial britânica.
O projeto de lei britânico Data Protection and Digital Information (DPDI) caducou quando o Parlamento foi dissolvido antes das eleições gerais de julho de 2024. O Data (Use and Access) Act recebeu sanção real (Royal Assent) em 19 de junho de 2025, introduzindo alterações nos regimes de dados inteligentes e no compartilhamento de dados, mas mantendo inalterado o princípio central da limitação da conservação do UK GDPR.
Os períodos específicos por setor incluem:
- Serviços financeiros: As regras da FCA exigem a conservação dos registros de transações por cinco anos (MiFID II) e dos registros de combate à lavagem de dinheiro por cinco anos após o término da relação comercial.
- Telecomunicações: O Investigatory Powers Act 2016 permite a conservação de registros de conexão à internet por até 12 meses para acesso pelas autoridades responsáveis pela aplicação da lei. A Bélgica, a Dinamarca e o Reino Unido estão entre as poucas jurisdições da UE ou pós-UE que impõem apenas retenção direcionada, em conformidade com a jurisprudência do TJUE.
- Trabalho: A HMRC exige que os registros de folha de pagamento sejam conservados por três anos após o final do exercício fiscal a que se referem.
Estados-Membros da União Europeia
Além do regime do GDPR, cada Estado-Membro da UE mantém prazos legais de conservação específicos por setor. Alguns exemplos relevantes:
Financeiro/combate à lavagem de dinheiro: Todos os Estados-Membros implementam a exigência de conservação de cinco anos prevista na diretiva europeia de combate à lavagem de dinheiro para os registros de diligência devida do cliente e de transações.
Trabalho: A Alemanha exige dez anos para documentos trabalhistas com relevância fiscal; a França exige cinco anos para os registros de folha de pagamento; a Polônia e a República Tcheca exigem 50 anos para registros relacionados à previdência social e à aposentadoria.
Registros de saúde: A Alemanha exige 10 anos para registros médicos a partir do término do tratamento; a França exige 20 anos a partir do último contato; a Itália exige 30 anos para registros médicos de intervenções de grande porte.
Metadados de telecomunicações: Como observado acima, apenas a Alemanha, os Países Baixos e a Romênia atualmente não possuem regras obrigatórias de retenção de dados de telecomunicações. A maioria dos demais Estados-Membros mantém leis nacionais que podem ser incompatíveis com a jurisprudência do TJUE, mas que ainda não foram formalmente invalidadas internamente.
Brasil (LGPD)
A LGPD do Brasil reproduz o princípio da limitação da conservação do GDPR em seu artigo 15, exigindo a eliminação dos dados pessoais após o cumprimento da finalidade do tratamento. As exceções abrangem o cumprimento de obrigação legal, a pesquisa (com anonimização sempre que possível) e o legítimo interesse do controlador.
A Autoridade Nacional de Proteção de Dados (ANPD) do Brasil emitiu as suas primeiras decisões relevantes de fiscalização em 2024 e publicou uma minuta de orientação sobre retenção, sinalizando um maior escrutínio regulatório sobre as organizações que conservam dados sem cronogramas definidos.
As exigências setoriais brasileiras incluem:
- Registros fiscais: Cinco anos (Código Tributário Nacional).
- Registros trabalhistas: Cinco anos para registros gerais; até 30 anos para registros de saúde ocupacional.
- Registros de consumo: Cinco anos (Código de Defesa do Consumidor).
China (PIPL)
O artigo 19 da PIPL da China exige que os períodos de conservação sejam o "mínimo necessário para alcançar a finalidade do tratamento". As organizações devem eliminar ou anonimizar as informações pessoais assim que a finalidade for alcançada, o período de conservação acordado expirar, ou o titular retirar o consentimento.
Os Regulamentos de Gestão de Segurança de Dados de Rede, anunciados em 30 de setembro de 2024 e em vigor desde 1º de janeiro de 2025, exigem que os operadores de dados de rede incluam o período de conservação das informações pessoais em suas regras de tratamento. Quando o período for difícil de determinar, o método utilizado para determiná-lo deve ser declarado explicitamente. Esses Regulamentos implementam as exigências da PIPL com maior especificidade operacional.
As exigências setoriais já existentes permanecem em vigor:
- Lei de Cibersegurança: Os operadores de rede devem conservar os registros de rede (logs) por, no mínimo, seis meses.
- Registros financeiros: Os bancos devem conservar os registros de identificação de clientes por cinco anos após o encerramento da conta, e os registros de transações por cinco anos após a transação.
- Telecomunicações: As operadoras devem conservar as informações de registro dos usuários pela duração do serviço, mais cinco anos após o encerramento.
Índia (DPDPA)
A seção 8(7) da DPDPA da Índia exige que os fiduciários de dados eliminem os dados pessoais assim que a finalidade do tratamento for cumprida e a conservação deixar de ser necessária para o cumprimento de obrigações legais.
As Digital Personal Data Protection Rules 2025 foram finalizadas em 13 de novembro de 2025, operacionalizando a DPDPA por meio de disposições específicas sobre retenção:
- Retenção mínima (tratamento previsto no Sétimo Anexo): Os fiduciários de dados que tratam dados nos termos do Sétimo Anexo (segurança nacional, obrigações legais) devem conservar os dados pessoais, os dados de tráfego e os registros de tratamento por, no mínimo, um ano a partir da data do tratamento.
- Retenção máxima (plataformas de grande porte): As entidades de comércio eletrônico e os intermediários de redes sociais com 20 milhões ou mais usuários indianos registrados, e os intermediários de jogos on-line com cinco milhões ou mais usuários registrados, estão sujeitos a um limite de três anos, contado a partir da data mais recente entre o último pedido do titular dos dados e a data de entrada em vigor do regulamento.
- Notificação prévia à eliminação: Os fiduciários de dados devem notificar os titulares afetados com 48 horas de antecedência antes de eliminar os dados pessoais, caso o titular não tenha interagido com a plataforma.
O regulamento entra em vigor em fases: 12 meses para as disposições relativas ao gestor de consentimento e 18 meses para as demais. As leis setoriais continuam a se aplicar: o Companies Act 2013 exige a conservação de registros financeiros por oito anos; o Income Tax Act exige registros fiscais por seis a oito anos; os regulamentos de KYC do RBI exigem cinco anos após o término da relação comercial.
Coreia do Sul (PIPA)
O artigo 21 da PIPA da Coreia do Sul exige a destruição das informações pessoais no prazo de cinco dias após o término do período de conservação ou o cumprimento da finalidade do tratamento. Esse prazo de destruição de cinco dias está entre os mais rígidos do mundo.
Quando a conservação for exigida por outra lei, as informações devem ser armazenadas separadamente dos demais dados pessoais. Os períodos específicos por setor incluem:
- Comércio eletrônico: Cinco anos para registros de contratos e pagamentos, nos termos do Act on Consumer Protection in Electronic Commerce.
- Telecomunicações: 12 meses para dados de assinantes; três meses para metadados de comunicações, nos termos do Telecommunications Business Act.
- Registros fiscais: Cinco anos, nos termos do Framework Act on National Taxes.
Austrália
O Privacy Act 1988 da Austrália (Australian Privacy Principle 11) exige que as organizações adotem medidas razoáveis para destruir ou desidentificar as informações pessoais quando estas deixarem de ser necessárias para qualquer finalidade.
O Privacy and Other Legislation Amendment Act 2024 (Cth) recebeu sanção real em 10 de dezembro de 2024, introduzindo a reforma mais significativa do regime de privacidade australiano desde a sua promulgação. As principais alterações que afetam a retenção de dados incluem: o esclarecimento de que as "medidas razoáveis" para proteger informações pessoais abrangem a implementação de "medidas técnicas e organizacionais"; um novo delito civil (tort) estatutário para violações graves de privacidade (em vigor, no mais tardar, em 10 de junho de 2025); e novas obrigações de transparência sobre tomada de decisão automatizada, em vigor desde 11 de dezembro de 2024. A exigência de retenção de metadados de telecomunicações por dois anos, prevista no Telecommunications (Interception and Access) Act, permanece inalterada.
Canadá
A PIPEDA do Canadá (Personal Information Protection and Electronic Documents Act, SC 2000, c 5) exige que as organizações conservem as informações pessoais apenas pelo tempo necessário para a finalidade identificada. As alterações da Lei 25 do Quebec (em vigor desde setembro de 2023) exigem que as organizações destruam ou anonimizem as informações pessoais assim que a finalidade for cumprida.
Atualização sobre o projeto de lei C-27 / CPPA: O projeto de lei C-27, que teria promulgado a Consumer Privacy Protection Act em substituição à PIPEDA, caducou na ordem do dia quando o Parlamento foi prorrogado em janeiro de 2025. Uma eleição federal em abril de 2025 empurrou a reforma ainda mais para trás no calendário legislativo. O Gabinete da Comissária de Privacidade manifestou confiança de que a reforma federal de privacidade se tornará uma prioridade no 45º Parlamento, mas nenhuma nova legislação federal havia sido promulgada até maio de 2026. O Canadá continua a operar sob a PIPEDA, uma lei redigida em 2000.
Japão
O artigo 22 do Act on the Protection of Personal Information (APPI) do Japão exige que os operadores responsáveis pelo tratamento se esforcem para eliminar os dados pessoais quando deixarem de ser necessários, mas não especifica prazos fixos de conservação. As diretrizes setoriais fornecem especificidade adicional: as Diretrizes do MIC para operadoras de telecomunicações exigem que estas documentem os períodos de conservação e eliminem os dados sem demora após o término do período de conservação.
A Comissão de Proteção de Informações Pessoais (PPC) proferiu 67 decisões de fiscalização no exercício fiscal de 2024 (abril de 2024 a março de 2025) e está em processo de consulta sobre as alterações de 2025 à APPI, incluindo a introdução de sanções administrativas pecuniárias. Os períodos de conservação específicos por setor incluem: registros corporativos, nos termos do Companies Act (10 anos); registros de instituições financeiras, nos termos do Banking Act (10 anos após o encerramento da conta); e registros fiscais, nos termos do National Tax Act (sete anos).
Singapura
O Personal Data Protection Act (PDPA) de Singapura impõe uma Obrigação de Limitação da Conservação, exigindo que as organizações deixem de conservar ou descartem os dados pessoais quando estes não forem mais necessários para qualquer finalidade comercial ou legal. A PDPC intensificou a fiscalização em 2024-2025: um caso de 2024 contra a Keppel Telecommunications constatou uma infração por falha em eliminar dados pessoais desatualizados de um servidor legado. As sanções financeiras podem alcançar S$1 milhão ou 10% do faturamento anual em Singapura, para organizações com faturamento superior a S$10 milhões.
As exigências setoriais incluem: as instituições financeiras regulamentadas pela MAS devem conservar os registros de clientes por cinco anos; os prestadores de serviços de saúde devem conservar os registros médicos por seis anos, nos termos do Private Hospitals and Medical Clinics Regulations.
África do Sul (POPIA)
A seção 14 do Protection of Personal Information Act (POPIA) da África do Sul exige que os registros de informações pessoais não sejam conservados além do necessário para alcançar a finalidade da coleta. A conservação prolongada é permitida para o exercício de funções lícitas, o cumprimento de obrigações contratuais ou mediante o consentimento do titular dos dados.
Quando um registro tiver sido utilizado para tomar uma decisão sobre um titular de dados, ele deve ser conservado pelo período exigido por lei ou código de conduta ou, na ausência de um período especificado, por tempo suficiente para conceder ao titular uma oportunidade razoável de solicitar acesso. A POPIA entrou em vigor em 1º de julho de 2020, com prazo de conformidade até 30 de junho de 2021.
México
O México promulgou uma nova Lei Federal de Proteção de Dados Pessoais em Posse de Particulares (LFPDPPP), em vigor desde 21 de março de 2025, substituindo a versão de 2010. Os controladores devem estabelecer períodos de conservação e eliminar os dados após o término desses períodos, seguindo um processo de bloqueio. Os dados relacionados a inadimplemento contratual devem ser eliminados após 72 meses. Uma vez cumprida a finalidade do tratamento, os dados são bloqueados (preservados, mas não tratados) até o término do prazo de prescrição legal ou contratual, sendo então eliminados.
Tabela Comparativa dos Principais Períodos de Conservação
| Setor/Tipo de Registro | EUA | UE/GDPR | Reino Unido | Brasil | China | Coreia do Sul | Austrália | Japão | Singapura |
|---|---|---|---|---|---|---|---|---|---|
| Registros Fiscais/Financeiros | 3-7 anos | 5-10 anos (varia conforme o Estado-Membro) | 3-6 anos | 5 anos | 5 anos | 5 anos | 5-7 anos | 7 anos | 5 anos |
| Trabalho/Folha de Pagamento | 2-3 anos (FLSA) | 6-10 anos (varia) | 3 anos (HMRC) | 5-30 anos | Conforme contrato e lei | 3 anos | 7 anos | Conforme contrato | 5 anos |
| Registros de Saúde/Médicos | 6+ anos (documentação HIPAA) | 8-20 anos (varia) | 8-25 anos (NHS) | 20 anos | Mínimo de 15 anos | 5 anos após o tratamento | 7 anos | Varia conforme o setor | 6 anos |
| Metadados de Telecomunicações | Sem exigência federal | Varia conforme o Estado-Membro (retenção geral proibida pelo TJUE) | 12 meses (IPA) | Conforme regulamento setorial | 6 meses (registros/logs) | 3-12 meses | 2 anos | Conforme diretrizes do MIC | Conforme regras da MDA |
| Combate à Lavagem de Dinheiro | 5 anos (BSA) | 5 anos (AMLD) | 5 anos | 5 anos | 5 anos | 5 anos | 7 anos | 7 anos | 5 anos |
| Consumo/Comércio Eletrônico | Sem exigência federal | Conforme a finalidade | Conforme a finalidade | 5 anos | Conforme a finalidade | 5 anos | Conforme a finalidade | Conforme a finalidade | Conforme a finalidade |
Exigências de Destruição de Dados
As obrigações de conservação não têm sentido sem exigências de destruição efetivamente aplicáveis. A maioria das leis modernas de privacidade especifica não apenas quando, mas também como os dados devem ser destruídos.
Abordagem do GDPR/UE: O GDPR exige a eliminação de forma que torne os dados irrecuperáveis. A ENISA publicou orientações recomendando a destruição física para hardware e a eliminação criptográfica ou a sobrescrita em múltiplas passagens para registros eletrônicos. O EDPB observou que a anonimização (tornando os indivíduos não mais identificáveis) constitui uma alternativa à eliminação para fins de pesquisa e arquivamento, mas alertou contra o tratamento da pseudonimização como equivalente à eliminação para fins de limitação da conservação.
Padrões federais dos EUA: O NIST publica o SP 800-88 Rev. 1 ("Guidelines for Media Sanitization"), que fornece métodos detalhados para a limpeza, a depuração e a destruição de mídias de armazenamento de dados. Muitas leis estaduais de privacidade fazem referência aos padrões do NIST como referência para uma destruição adequada.
Exigências de documentação: Diversas jurisdições exigem registros documentados da destruição:
- A Coreia do Sul exige um registro de destruição que documente a data, o método e a pessoa responsável, no prazo de cinco dias após o término da finalidade.
- O ICO do Reino Unido recomenda a manutenção de certificados de destruição para serviços terceirizados de descarte.
- A PDPA de Singapura exige que as organizações mantenham "responsabilização razoável" (reasonable accountability) pela destruição, incluindo a manutenção de registros.
- O regulamento da DPDPA da Índia exige que a notificação prévia de 48 horas antes da eliminação seja documentada e registrada.
Dados de backup: O relatório de 2025 da Ação de Fiscalização Coordenada (CEF) do EDPB constatou que metade das autoridades de proteção de dados respondentes relatou que os controladores não possuem procedimentos específicos para a eliminação a partir de sistemas de backup. Alguns controladores sequer eliminam dados pessoais dos backups. Os reguladores têm tratado cada vez mais os dados de backup como sujeitos às mesmas obrigações de eliminação aplicáveis aos dados primários.
Ordens de Preservação Judicial e Conflitos de Retenção
Uma ordem de preservação judicial (litigation hold ou legal hold) é uma obrigação de preservar todos os documentos e dados potencialmente relevantes quando um litígio for razoavelmente previsível. Nos Estados Unidos, o dever de preservação decorre do common law e de alterações às FRCP, em particular a Regra 37(e), que trata das sanções aplicáveis em caso de falha na preservação de informações armazenadas eletronicamente.
As ordens de preservação judicial prevalecem sobre os cronogramas padrão de retenção. Se a política de uma organização prevê a eliminação após três anos, mas há previsão de litígio envolvendo esses registros, a organização deve suspender a eliminação dos dados afetados até que a ordem seja levantada.
No âmbito do GDPR, a tensão entre as exigências de minimização de dados e os deveres de preservação judicial é expressamente reconhecida. O considerando 65 do GDPR estabelece que a conservação além da finalidade original pode ser permitida para efeitos de declaração, exercício ou defesa de um direito num processo judicial. As organizações devem documentar essa base legal em seus registros das atividades de tratamento e comunicá-la aos titulares de dados afetados.
Como Elaborar uma Política de Retenção em Conformidade
As organizações que precisam lidar com exigências de retenção em múltiplas jurisdições devem seguir estas etapas:
1. Realizar um inventário de dados. Mapear todas as categorias de dados pessoais coletados, as jurisdições por onde esses dados circulam e as bases legais para o tratamento. Esse inventário constitui a base de um cronograma de retenção defensável.
2. Elaborar um cronograma de retenção. Para cada categoria de dados, identificar os períodos de conservação aplicáveis em todas as jurisdições relevantes. Definir o limite máximo de conservação com base no período obrigatório mais longo. Documentar a base legal de cada período (obrigação legal, legítimo interesse ou consentimento).
3. Elaborar uma matriz transfronteiriça. Para organizações multinacionais, criar uma tabela jurisdição por jurisdição que identifique o período obrigatório mais longo, o período máximo mais curto e a janela lícita resultante. Quando houver conflito entre jurisdições (por exemplo, um mínimo obrigatório de 12 meses na jurisdição A e um máximo de seis meses baseado na finalidade na jurisdição B), documentar a tensão e a solução adotada.
4. Automatizar a eliminação. Os processos manuais de eliminação estão sujeitos a erros. As plataformas modernas de governança de dados podem impor a eliminação automatizada com base nos cronogramas de retenção, com tratamento de exceções para as ordens de preservação judicial. O relatório de 2025 da CEF do EDPB constatou que os dados de backup constituem uma lacuna comum.
5. Documentar tudo. Reguladores e tribunais esperam, cada vez mais, que as organizações demonstrem não apenas que possuem uma política de retenção, mas que efetivamente a cumprem. Manter registros de destruição, trilhas de auditoria e registros de exceções. Tanto a Coreia do Sul quanto a Índia exigem documentação específica dos eventos de destruição.
Desenvolvimentos Recentes (2024-2026)
Fiscalização do EDPB de 2025 sobre o direito ao apagamento. A Ação de Fiscalização Coordenada de 2025 do EDPB abrangeu 764 controladores em 32 jurisdições e constatou dificuldade generalizada em determinar e aplicar os períodos de conservação. O EDPB solicitou que as autoridades nacionais de proteção de dados desenvolvam orientações mais específicas sobre retenção.
Legislação da UE sobre retenção de metadados. A Comissão Europeia lançou uma consulta pública formal em maio de 2025 sobre a retomada de um regime obrigatório de retenção de metadados em nível de toda a UE. Uma proposta legislativa preliminar é esperada para o início de 2026. A proposta se aplicaria a operadoras de telecomunicações, serviços em nuvem, processadores de pagamento e, potencialmente, a serviços de mensagens com criptografia de ponta a ponta. Qualquer lei nesse sentido precisaria conciliar-se com a jurisprudência do TJUE que proíbe a retenção geral e indiscriminada.
Regulamento da DPDPA da Índia finalizado. O regulamento da DPDPA da Índia foi finalizado em 13 de novembro de 2025, estabelecendo, pela primeira vez, limites específicos de conservação para grandes plataformas digitais.
Reformas do Privacy Act da Austrália. O Privacy and Other Legislation Amendment Act 2024 (sanção real em 10 de dezembro de 2024) introduziu as reformas mais significativas da legislação australiana de privacidade desde a sua promulgação, esclarecendo as obrigações de destruição e introduzindo um novo delito civil estatutário.
Nova LFPDPPP do México. A LFPDPPP atualizada do México entrou em vigor em 21 de março de 2025, substituindo o regime de 2010 por procedimentos atualizados de tratamento de dados e bloqueio de retenção.
Frequently Asked Questions
Qual é a diferença entre o princípio da limitação da conservação do GDPR e as leis de retenção obrigatória de dados?
O princípio da limitação da conservação do GDPR (artigo 5(1)(e)) é uma proteção de privacidade: proíbe a conservação de dados pessoais além do necessário para a finalidade original. As leis de retenção obrigatória de dados são instrumentos de vigilância: obrigam os provedores de internet e as operadoras de telecomunicações a conservar metadados de assinantes e de tráfego por um período fixo, para que as autoridades responsáveis pela aplicação da lei possam acessá-los. Ambos podem se aplicar aos mesmos dados simultaneamente, criando uma janela lícita de conservação entre o mínimo obrigatório e o máximo determinado pela limitação da conservação.
Por quanto tempo uma empresa pode conservar dados pessoais nos termos do GDPR?
O GDPR não estabelece prazos específicos. O artigo 5(1)(e) exige que os dados pessoais sejam conservados apenas pelo tempo necessário para a finalidade da coleta. As organizações devem determinar e documentar os períodos de conservação com base na finalidade do tratamento, em eventuais obrigações legais e em regras específicas por setor. O relatório de fiscalização de 2025 do EDPB constatou que a maioria das organizações tem dificuldade em fazer isso de forma consistente.
O que aconteceu com a Diretiva de Retenção de Dados da UE?
O Tribunal de Justiça da União Europeia invalidou a Diretiva de Retenção de Dados (2006/24/CE) no processo Digital Rights Ireland (processo C-293/12, 8 de abril de 2014), por considerar que a exigência de retenção geral de todos os metadados de comunicações de todos os usuários, sem qualquer diferenciação, violava os direitos à privacidade e à proteção de dados previstos na Carta. A Comissão Europeia está agora em processo de consulta sobre um regime obrigatório de retenção substitutivo; uma proposta legislativa preliminar é esperada para o início de 2026.
A retenção geral de metadados de telecomunicações ainda é permitida na UE?
Não, para a maioria das finalidades de combate à criminalidade. A jurisprudência do TJUE, de 2014 a 2022, estabeleceu que a retenção geral e indiscriminada de todos os dados de tráfego e localização de todos os usuários é incompatível com o direito da UE. Apenas a retenção direcionada (com base em pessoa, geografia ou categoria), as ordens de quick-freeze e a vigilância em tempo real com autorização judicial são admissíveis. A decisão de 2024 no caso La Quadrature du Net II criou uma exceção restrita para a retenção de endereços IP, considerados menos intrusivos do que outros metadados.
O que aconteceu com as regras de retenção da DPDPA da Índia?
O regulamento da DPDPA da Índia foi finalizado em 13 de novembro de 2025. Ele exige, no mínimo, um ano de conservação para os dados pessoais tratados nos termos de obrigações de segurança nacional e legais. As grandes plataformas de comércio eletrônico, os intermediários de redes sociais (com mais de 20 milhões de usuários) e as plataformas de jogos on-line (com mais de 5 milhões de usuários) estão sujeitos a um limite máximo de conservação de três anos. Os fiduciários de dados devem notificar os usuários com 48 horas de antecedência antes de eliminar os seus dados, caso o usuário não tenha interagido recentemente com a plataforma.
Qual é a situação da reforma de privacidade do Canadá?
O projeto de lei C-27 do Canadá, que teria substituído a PIPEDA pela Consumer Privacy Protection Act (CPPA), caducou na ordem do dia quando o Parlamento foi prorrogado em janeiro de 2025. Uma eleição federal em abril de 2025 adiou ainda mais a reforma. O Canadá continua a operar sob a PIPEDA, promulgada em 2000. A Lei 25 do Quebec (em vigor desde setembro de 2023) estabelece exigências provinciais mais rígidas.
As ordens de preservação judicial prevalecem sobre as políticas de retenção de dados?
Sim. Quando um litígio for razoavelmente previsível, as organizações devem preservar todos os dados potencialmente relevantes, independentemente dos cronogramas padrão de retenção. Nos EUA, a Regra 37(e) das FRCP trata das sanções aplicáveis em caso de falha na preservação de informações armazenadas eletronicamente. Nos termos do GDPR, o considerando 65 permite a conservação além da finalidade original para efeitos de declaração, exercício ou defesa de um direito num processo judicial. Essa obrigação permanece até a conclusão do litígio ou o levantamento formal da ordem.
Como os dados pessoais devem ser destruídos quando o período de conservação termina?
A maioria das leis de privacidade exige a destruição irreversível. O NIST SP 800-88 apresenta métodos que incluem a destruição física, a eliminação criptográfica e a sobrescrita em múltiplas passagens. A Coreia do Sul exige a destruição documentada no prazo de cinco dias. A Índia exige um aviso de 48 horas antes da eliminação para determinadas plataformas. As organizações devem manter registros de destruição com a data, o método e o responsável. Os sistemas de backup exigem procedimentos específicos de eliminação; o EDPB constatou que essa é uma lacuna de conformidade generalizada.
As leis de retenção de dados são diferentes para registros de saúde em comparação com registros financeiros?
Sim, significativamente. Os registros de saúde geralmente têm períodos obrigatórios de conservação mais longos (de 8 a 25 anos em muitas jurisdições), devido à relevância clínica contínua e ao potencial de ações por erro médico. Os registros financeiros, em geral, exigem de 3 a 10 anos, dependendo da jurisdição e do tipo de registro. Cada setor possui seu próprio regime regulatório. Nos EUA, a HIPAA rege a documentação dos registros de saúde (6 anos), enquanto as leis estaduais de prática médica normalmente exigem de 7 a 10 anos para os registros subjacentes.
Uma empresa pode utilizar o mesmo período de conservação para todos os países?
Estabelecer os períodos de conservação com base no prazo mais longo exigido globalmente é uma abordagem juridicamente conservadora, mas pode entrar em conflito com as exigências de minimização de dados em países com prazos máximos obrigatórios mais curtos. A abordagem mais segura é um cronograma de retenção específico por jurisdição, baseado no local de residência dos titulares dos dados, com bases legais documentadas para cada período. As organizações multinacionais devem elaborar uma matriz transfronteiriça que identifique a janela lícita entre os mínimos obrigatórios e os máximos de limitação da conservação para cada categoria de dados e jurisdição.
Sources and References
- GDPR: Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho(eur-lex.europa.eu).gov
- GDPR, artigo 5: Princípios relativos ao tratamento de dados pessoais(gdpr-info.eu)
- TJUE, Digital Rights Ireland (processos C-293/12 e C-594/12, 8 de abril de 2014)(curia.europa.eu).gov
- TJUE, Tele2 Sverige e Watson (processos C-203/15 e C-698/15, 21 de dezembro de 2016)(eur-lex.europa.eu).gov
- TJUE, La Quadrature du Net I (processos C-511/18, C-512/18, C-520/18, C-623/17, 6 de outubro de 2020)(curia.europa.eu).gov
- TJUE, SpaceNet e Telekom Deutschland (processos C-793/19 e C-794/19, 20 de setembro de 2022)(curia.europa.eu).gov
- TJUE, La Quadrature du Net II (processo C-470/21, 30 de abril de 2024)(eur-lex.europa.eu).gov
- EDPB, Ação de Fiscalização Coordenada 2025: Implementação do Direito ao Apagamento (fevereiro de 2026)(edpb.europa.eu).gov
- ICO do Reino Unido: Orientação sobre Limitação da Conservação(ico.org.uk).gov
- 26 USC 6501: Limites do IRS para Lançamento e Cobrança(law.cornell.edu)
- 45 CFR 164.530: Exigências Administrativas da HIPAA(law.cornell.edu)
- 29 CFR 516: Registros da FLSA a Serem Mantidos pelos Empregadores(law.cornell.edu)
- 18 USC 1520: Destruição de Registros Corporativos de Auditoria (SOX)(law.cornell.edu)
- Cal. Civ. Code 1798.100: Direito do Consumidor a Ser Informado (CCPA)(leginfo.legislature.ca.gov).gov
- LGPD do Brasil: Lei 13.709/2018(planalto.gov.br).gov
- Texto Integral da PIPL da China (NPC)(npc.gov.cn).gov
- Regulamentos de Gestão de Segurança de Dados de Rede da China (em vigor desde 1º de janeiro de 2025)(english.www.gov.cn).gov
- Texto Integral da DPDPA da Índia de 2023(meity.gov.in).gov
- IAPP: Regulamento da DPDPA da Índia Finalizado (novembro de 2025)(iapp.org)
- Tradução em Inglês da PIPA da Coreia do Sul(law.go.kr).gov
- Princípios Australianos de Privacidade (OAIC)(oaic.gov.au).gov
- Privacy and Other Legislation Amendment Act 2024 (Cth), Parlamento da Austrália(aph.gov.au).gov
- PIPEDA do Canadá: Personal Information Protection and Electronic Documents Act, SC 2000, c 5(laws-lois.justice.gc.ca).gov
- PDPA de Singapura: Obrigações de Proteção de Dados (PDPC)(pdpc.gov.sg).gov
- POPIA da África do Sul: Seção 14, Conservação e Restrição de Registros(popia.co.za)
- NIST SP 800-88 Rev. 1: Diretrizes para Sanitização de Mídias(csrc.nist.gov).gov
- Regra 37(e) das FRCP: Falha na Preservação de Informações Armazenadas Eletronicamente(law.cornell.edu)