A destruição segura de dados é uma das etapas mais negligenciadas pelas empresas, embora seja um dos pontos mais sensíveis da Lei Geral de Proteção de Dados (LGPD).
E não se trata apenas de descartar documentos ou apagar arquivos: a legislação exige que o processo seja seguro, rastreável e capaz de impedir qualquer possibilidade de recuperação.
Entender essa obrigação é essencial para evitar riscos legais, prevenir vazamentos e manter a conformidade regulatória.
Empresas lidam diariamente com informações pessoais de clientes, fornecedores, parceiros e empregados
Esses dados circulam em sistemas internos, planilhas, softwares de RH, prontuários, dossiês admissionais e registros financeiros.
O que muitos não percebem é que o risco não está apenas no armazenamento inadequado, ele também está no descarte incorreto.
Quando a destruição de dados é feita de forma insegura, a empresa se expõe a responsabilização administrativa, civil e até criminal.
E mais: um simples vazamento causado por descarte irregular pode comprometer a reputação construída ao longo de anos. Continue a leitura!
O que a LGPD determina sobre a destruição segura de dados
A LGPD estabelece que dados pessoais e sensíveis devem ser eliminados após o término de seu tratamento, respeitando obrigações legais ou regulatórias que exijam sua manutenção. Isso significa que:
- Dados não podem permanecer armazenados indefinidamente;
- A eliminação precisa ser segura e impedir qualquer acesso futuro;
- A empresa deve comprovar que destruiu os dados corretamente;
- Falhas no processo podem resultar em multas e sanções.
Segundo a Autoridade Nacional de Proteção de Dados (ANPD), a etapa de descarte deve seguir princípios como segurança, finalidade e necessidade.
A eliminação inadequada, incluindo descarte em lixo comum, doação de equipamentos sem limpeza segura ou simples exclusão superficial de arquivos, pode configurar violação à LGPD.
Quais riscos a empresa corre ao descartar dados de forma inadequada?
A destruição irregular de documentos e arquivos pode gerar uma série de consequências para o negócio:
1. Multas e sanções administrativas
A LGPD prevê multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.
Vazamentos decorrentes de descarte incorreto são classificados como incidentes de segurança.
2. Ações judiciais
Titulares de dados podem buscar indenização individual ou coletiva. Vazamentos envolvendo empregados podem gerar processos trabalhistas e danos morais.
3. Danos à reputação
A forma como a empresa lida com informações sensíveis impacta diretamente a credibilidade diante do mercado, parceiros comerciais e clientes.
4. Perda de contratos
Empresas que não demonstram boas práticas de segurança podem ser desclassificadas de licitações, perder contratos com grandes companhias ou se tornar inelegíveis para certificações.
Uma simples pasta descartada na lixeira, um HD entregue sem limpeza criptográfica ou um equipamento cedido a terceiros sem tratamento adequado pode ser suficiente para causar um vazamento de grande proporção.
Onde estão os principais riscos na empresa?
• Arquivos físicos
Dossiês de empregados, fichas de saúde ocupacional, avaliações de desempenho, documentos admissionais, contratos, listas de benefícios, PIS, CPF, histórico salarial e advertências disciplinares.
• Sistemas digitais
Backup antigos, e-mails corporativos, planilhas com dados pessoais e sensíveis, registros biométricos e documentos enviados a fornecedores.
• Equipamentos descartados
Computadores, pen-drives, HDs, celulares corporativos, máquinas de ponto, servidores e impressoras multifuncionais.
• Empresas terceirizadas
Quando o descarte é terceirizado, a empresa continua responsável solidária pelo tratamento inadequado.
Leia também: LGPD completa 7 anos: 3 coisas que você precisa saber!
Como implementar a destruição segura de dados na prática
A eliminação segura exige um conjunto de políticas internas, procedimentos formais e auditorias. Entenda os pilares essenciais:
1. Política de retenção e descarte de dados
A empresa precisa definir por quanto tempo cada tipo de dado será mantido, conforme:
- Prazos legais;
- Obrigações regulatórias;
- Finalidades específicas.
Um exemplo: documentos trabalhistas possuem prazos que variam de 5 a 20 anos, conforme legislação aplicada.
2. Métodos adequados de eliminação
A destruição depende do tipo de mídia:
• Papéis:
Trituração cruzada, fragmentação industrial ou incineração controlada.
• Arquivos digitais:
Sobrescrita segura, destruição criptográfica, desmagnetização ou destruição física do dispositivo.
• Equipamentos:
Limpeza completa, formatação segura ou descarte ambiental certificado.
3. Registro e rastreabilidade
A empresa deve manter documentação que comprove:
- Qual dado foi eliminado;
- Por qual método;
- Quando;
- Por quem;
- Com quais critérios.
Esses registros podem ser exigidos pela ANPD em auditorias.
4. Treinamento de gestores e empregados
RH e liderança devem capacitar equipes sobre o correto manuseio de dados sensíveis, principalmente em áreas como:
- DP e Recursos Humanos;
- Financeiro;
- TI;
- Jurídico.
5. Contratos com fornecedores
Se a empresa terceiriza serviços de destruição, deve incluir cláusulas específicas de:
- Confidencialidade;
- Responsabilidade solidária;
- Métodos de descarte;
- Comprovação documental.
Saiba: Vazamento de dados: como a empresa deve proceder?
O papel do RH na proteção e destruição de dados de empregados
O RH é uma das áreas que mais concentra informações sensíveis. Por isso, deve:
- Revisar periodicamente dossiês e arquivos;
- Eliminar documentos que já não possuem base legal para permanência;
- Garantir descarte seguro de prontuários, exames e históricos;
- Orientar gestores sobre limitações legais;
- Auditar fornecedores de saúde ocupacional e medicina do trabalho.
Manter documentos armazenados além do necessário também viola o princípio da necessidade da LGPD.
Por que a assessoria jurídica é indispensável
Implementar a destruição segura de dados sem apoio jurídico pode resultar em interpretações equivocadas e riscos desnecessários.
Uma assessoria jurídica auxilia empresas em:
- Elaboração da política de retenção e descarte;
- Criação de checklist de conformidade;
- Análise de contratos com fornecedores;
- Adequação de práticas internas à LGPD;
- Auditorias e treinamentos para gestores e RH;
- Prevenção de incidentes e passivos trabalhistas;
- Respostas a notificações e incidentes junto à ANPD.
A empresa que trata corretamente seus dados protege sua reputação, reduz passivos e demonstra compromisso com governança e responsabilidade corporativa.
Conclusão
A destruição segura de dados deixou de ser apenas uma boa prática: tornou-se uma obrigação legal e um requisito estratégico.
Para gestores, empresários e profissionais de RH, compreender e implantar esse processo é indispensável para evitar penalidades, prevenir vazamentos e fortalecer a conformidade do negócio.
Com orientação jurídica especializada, políticas claras e rotinas bem definidas, sua empresa pode garantir segurança, transparência e responsabilidade em todo o ciclo de vida das informações. Saiba mais!
–
Molina Tomaz Sociedade de Advogados
(11) 4992-7531 ou (11) 4468-1297
[email protected]
