Skip to content

A sua empresa cumpre o RGPD? O que diz a lei sobre retenção e destruição de dados

DBO — Documental Backoffice

Está a sua empresa em conformidade com o RGPD? A pergunta parece simples, mas a resposta raramente é clara.
A maioria das organizações foca-se nas medidas visíveis: consentimentos, políticas de privacidade, encriptação de dados. Mas há um aspeto crítico que continua a ser desvalorizado: a retenção e eliminação de dados e documentos pessoais.

O Regulamento Geral sobre a Proteção de Dados (RGPD) não impõe apenas restrições sobre o tratamento de dados, impõe também limites ao tempo em que esses dados podem ser mantidos.

Ignorar essa parte é correr riscos legais reais. E em Portugal, os reguladores começam a exigir cada vez mais evidência documental de que existe uma política de retenção, e de que está a ser aplicada.

O que diz o RGPD sobre retenção e destruição de dados?

O artigo 5.º do RGPD estabelece que os dados pessoais devem ser:
“conservados de uma forma que permita a identificação dos titulares dos dados durante um período não superior ao necessário para as finalidades para as quais os dados são tratados.”

Traduzindo:

  • Não é permitido manter dados pessoais por tempo indefinido
  • É obrigatório definir prazos de conservação de acordo com a finalidade
  • É necessário eliminar os dados quando já não são necessários
  • A eliminação deve ser feita de forma segura e rastreável

Ou seja, reter documentos ou ficheiros com dados pessoais por mais tempo do que o justificado é uma violação do RGPD — mesmo que esses dados estejam guardados com segurança.

Tipos de documentos que envolvem dados pessoais

A maioria das empresas lida com estes documentos todos os dias, muitas vezes sem perceber que são cobertos pelo RGPD:

  • Registos de colaboradores (contratos, avaliações, faltas, formação)
  • Candidaturas e currículos de recrutamento
  • Faturas e documentos de contabilidade com dados de clientes ou fornecedores
  • Listas de presenças em eventos
  • Relatórios médicos, seguros, informação sensível
  • Cópias de emails, ficheiros partilhados e backups automáticos

Se estes documentos não têm prazos definidos de conservação e eliminação, a organização está em incumprimento, mesmo que nunca tenha havido uma fuga de dados.

Por que razão isto representa um risco real?

A ausência de uma política de retenção documental pode levar a:

  • Sanções legais aplicadas pela Comissão Nacional de Proteção de Dados (CNPD)
  • Multas cumulativas por retenção indevida de dados pessoais, mesmo sem haver incidente de segurança
  • Incumprimento contratual, sobretudo em concursos públicos ou com clientes que exigem compliance
  • Impossibilidade de provar boas práticas em auditorias ou certificações
  • Risco reputacional se for revelado que a empresa mantém dados sem base legal

Mais ainda: em caso de pedido de acesso, correção ou eliminação feito por um titular de dados, a empresa pode não conseguir responder de forma completa e dentro dos prazos legais, o que constitui nova infração.

Como garantir conformidade com o RGPD na retenção e destruição de documentos?

A solução não passa por eliminar tudo, nem por guardar tudo “só por precaução”.

Passa por implementar políticas claras e operacionais de retenção e eliminação documental, incluindo:

  • Identificação de todos os tipos de dados pessoais tratados
  • Definição dos prazos legais e operacionais de conservação (com base na lei laboral, fiscal, comercial, etc.)
  • Registo formal da política de retenção aprovada internamente
  • Processos de eliminação com registo, autorização e destruição certificada
  • Regras aplicáveis a ficheiros digitais, papel, backups, emails e partilhas
  • Formação interna para as equipas que lidam com documentos sensíveis

Este processo deve ser contínuo, auditável e com responsabilidades bem definidas, idealmente ligadas à função de DPO ou direção de compliance.

A EAD pode ajudar a sua organização a cumprir o RGPD

A EAD tem uma abordagem integrada para apoiar empresas e entidades públicas na conformidade com as obrigações documentais do RGPD. Os serviços incluem:

  • Apoio à definição da política de retenção documental
  • Organização de arquivos físicos e digitais com critérios legais
  • Armazenamento externo com segurança e controlo de acessos
  • Destruição certificada de documentos físicos ou digitais, com registo e evidência legal
  • Conformidade com as normas ISO 27001 (segurança da informação) e NP 4437/NP 4464 (arquivo e digitalização)

Este trabalho é preventivo e estratégico, e pode ser decisivo para evitar sanções, reforçar a reputação e dar resposta a auditorias internas e externas.

Conclusão: cumprir o RGPD é gerir informação, não só tecnologia

O RGPD não é apenas um desafio para o IT — é uma responsabilidade transversal, que começa na forma como os documentos são tratados ao longo do seu ciclo de vida.

A retenção e a destruição são fases críticas desse ciclo.
E são precisamente as que mais empresas continuam a descurar.

A conformidade começa por saber o que deve ser guardado, durante quanto tempo, e quando deve ser eliminado.

Veja como a EAD pode ajudar a sua organização a alinhar a gestão documental com o RGPD.

Partilhar artigo

Outros artigos

DBO — Documental Backoffice
Dezembro 15, 2025 /

O impacto de uma má gestão documental numa auditoria ou inspeção

Surge hoje a indicação de uma auditoria? Está tudo em ordem? Sabe onde estão os documentos que lhe podem ser pedidos?
Cibersegurança e gestão documental: qual a ligação?
Dezembro 3, 2025 /

Porque é que a gestão documental vai ser decisiva para a IA nas empresas?

A IA está a transformar os modelos de negócio em todo o mundo. Mas para que possa ser aplicada com eficácia, é preciso dados de qualidade.
Destruição Segura e Confidencial
Novembro 23, 2025 /

Documentos confidenciais: quando, como e porquê destruí-los?

Tem a certeza de que os seus documentos confidenciais estão protegidos? Contratos antigos, registos de RH, e-mails arquivados, documentos financeiros com dados sensíveis.Se ainda estão guardados (físicos ou digitais) a