Guardar dados “para sempre” não é uma estratégia de backup; é um passivo de segurança. No cenário atual de conformidade, saber exatamente quando descartar é tão importante quanto saber como proteger.
Se a sua empresa opera sob múltiplos frameworks (como ISO, SOC2 ou a nossa LGPD), você já deve ter percebido que os prazos de retenção raros vezes coincidem. Para te ajudar a navegar nesse labirinto, consolidamos os principais parâmetros de mercado em uma visão prática.
Por que a Retenção de Dados é um Campo de Batalha?
A lógica é simples, mas a execução é complexa:
- Conformidade: Reguladores exigem que você comprove o que aconteceu há anos.
- Privacidade: Manter dados além do necessário viola princípios como o da “minimização de dados” da LGPD e GDPR.
- Custo e Risco: Dados antigos custam armazenamento e aumentam o “raio de explosão” em caso de um vazamento.
Tabela Comparativa: Prazos de Retenção por Framework
Abaixo, organizamos os requisitos de retenção baseados nos principais frameworks de segurança e privacidade globais:
| Framework | Retenção (Dias) | Retenção (Anos aprox.) | Base / Justificativa |
| SOC2 | 365 | 1 Ano | Ciclo de auditoria anual da AICPA |
| PCI DSS v4 | 365 | 1 Ano | Requisito mínimo para dados de pagamento |
| CIS v8 | 365 | 1 Ano | Melhores práticas (sem mandato formal) |
| ISO 27001 / 27701 | 1095 | 3 Anos | Ciclo de certificação e melhores práticas |
| ISO 42001 (IA) | 1095 | 3 Anos | Gestão de sistemas de Inteligência Artificial |
| NIST (CSF2, 800-53) | 1095 | 3 Anos | Padrão federal americano e mercado |
| LGPD (Brasil) | 1825 | 5 Anos | Prazo prescricional e prática de mercado |
| GDPR (UE) | 1825 | 5 Anos | Prática comum de fiscalização/enforcement |
| DORA | 1825 | 5 Anos | Resiliência Operacional Digital (Artigo 12) |
| HIPAA | 2190 | 6 Anos | Setor de saúde (45 CFR 164.530(j)) |
| SOX ITGC | 2555 | 7 Anos | Governança corporativa (Sarbanes-Oxley) |
| Essential Eight | 2555 | 7 Anos | Requisito do governo australiano |
Analisando os Grupos: Qual Prazo Adotar?
Se a sua empresa precisa atender a mais de um desses padrões, a regra de ouro é: prevalece o prazo mais longo para a categoria de dado específica, a menos que haja uma proibição explícita.
1. O Ciclo de 1 Ano (Operacional)
Frameworks como SOC2 e PCI focam na eficácia dos controles atuais. Eles querem ver se o que você diz que faz hoje, foi feito consistentemente nos últimos 12 meses. É o mínimo aceitável para auditorias de segurança de TI.
2. O Padrão de 3 Anos (Governança)
Aqui residem as normas ISO e a família NIST. Esse prazo de 1095 dias está alinhado ao ciclo de renovação de certificações e permite uma análise histórica robusta de incidentes e melhoria contínua de processos.
3. O Marco de 5 a 7 Anos (Legal e Privacidade)
Quando entramos no terreno da LGPD, GDPR e SOX, o jogo muda. O foco não é apenas segurança, mas responsabilidade jurídica.
- LGPD/GDPR (5 anos): Alinha-se aos prazos de prescrição para ações de reparação civil e fiscalizações administrativas.
- HIPAA e SOX (6-7 anos): São setores altamente regulados (saúde e financeiro) onde o histórico de longo prazo é vital para investigações de fraude ou prontuários médicos.
Como Implementar uma Política de Retenção Eficaz?
Não basta ter a tabela; é preciso ter o processo. Na Imara, recomendamos quatro passos essenciais:
- Inventário de Dados: Você não pode reter o que não sabe que tem. Classifique os dados por tipo (pessoal, financeiro, saúde).
- Mapeamento de Obrigações: Identifique quais frameworks da tabela acima se aplicam ao seu negócio.
- Automação do Descarte: Políticas de retenção que dependem de exclusão manual estão fadadas ao erro. Utilize ferramentas que automatizem o ciclo de vida do dado.
- Exceções de Proteção Legal: Lembre-se que a retenção para “cumprimento de obrigação legal” (como prazos trabalhistas ou tributários) muitas vezes atropela o pedido de exclusão de um titular de dados.
Dica de Expert: Use o prazo de 3 anos (1095 dias) como sua linha de base para logs de segurança, e 5 anos (1825 dias) para registros que envolvam privacidade de dados pessoais. Isso cobre a grande maioria dos frameworks de mercado com uma margem de segurança confortável.
Precisa de ajuda para alinhar seu Compliance?
Definir políticas de retenção é apenas uma peça do quebra-cabeça da governança de dados. Na Imara, ajudamos sua empresa a transformar requisitos complexos em processos automatizados e seguros.