A exclusão de dados pessoais segundo a LGPD é um direito garantido ao titular e uma obrigação operacional para as empresas. Gerir esse processo de forma adequada é parte essencial do compliance com a lei.
Neste artigo você vai encontrar uma definição clara do que a lei exige, quais situações obrigam a eliminação, quais métodos são válidos e como implementar um processo auditável na sua organização.
O que é a exclusão de dados pessoais?
A exclusão de dados pessoais é o processo pelo qual uma empresa remove de forma definitiva as informações de um titular dos seus sistemas, quando deixa de existir uma base legal para o seu tratamento.
Esse direito está previsto no artigo 18 da LGPD e se aplica quando o tratamento foi baseado em consentimento ou quando os dados deixaram de ser necessários para a finalidade original.
Pontos-chave sobre a exclusão de dados LGPD
✅ Exclusão e eliminação não são o mesmo. A exclusão é o direito; a eliminação segura é o processo técnico que o garante.
✅ Existem exceções e nem toda solicitação de exclusão obriga a apagar dados.
✅ Anonimização e exclusão não são intercambiáveis e confundir os conceitos pode gerar riscos de não conformidade.
✅ Documentar é muito importante pois sem registros, não há como demonstrar o cumprimento da lei.
Quando os dados pessoais devem ser eliminados?
A LGPD define situações específicas que obrigam a empresa a eliminar os dados pessoais.
As principais são:
- Fim da finalidade para a qual os dados foram coletados
- Revogação do consentimento pelo titular
- Solicitação direta do titular, nos casos em que o tratamento era baseado em consentimento
- Determinação da ANPD
A empresa tem até 15 dias úteis para responder a uma solicitação de exclusão, conforme o artigo 18, parágrafo 3º da LGPD.
Exceções previstas em lei sobre a exclusão de dados
A exclusão pode ser dispensada quando os dados são necessários para:
| Situação | Base legal |
|---|---|
| Cumprimento de obrigação legal ou regulatória | Art. 16, I |
| Estudo por órgão de pesquisa | Art. 16, II |
| Exercício regular de direitos em processo judicial | Art. 16, III |
| Uso exclusivo da empresa, com anonimização | Art. 16, IV |
Conhecer essas exceções é fundamental para que a equipe jurídica e o DPO tomem decisões fundamentadas diante de cada solicitação.
O descumprimento das obrigações da LGPD pode gerar sanções administrativas aplicadas pela ANPD, que incluem advertências, multas e suspensão do tratamento de dados. Os valores e critérios estão definidos no artigo 52 da lei.
Exclusão ou anonimização — qual aplicar em cada caso?
São dois processos distintos com finalidades diferentes.
A exclusão remove o dado de forma definitiva. Após o processo, a informação deixa de existir nos sistemas da empresa.
A anonimização transforma o dado de forma irreversível, de modo que não seja possível identificar o titular. O dado permanece, mas perde o caráter pessoal e sai do escopo da LGPD.
Quando cada um é adequado
| Situação | Abordagem recomendada |
|---|---|
| Titular solicitou exclusão e não há base legal para retenção | Eliminação definitiva |
| Dados ainda têm valor analítico, mas sem necessidade de identificação | Anonimização irreversível |
| Dado necessário por obrigação legal | Retenção justificada, sem exclusão |
Um erro frequente é tratar a pseudonimização como equivalente à anonimização. A pseudonimização apenas substitui identificadores diretos, mas o dado continua sendo pessoal sob a LGPD. A anonimização, para ser válida, deve ser irreversível.
Quais são os métodos de exclusão de dados LGDP?
A escolha do método depende do tipo de suporte onde os dados estão armazenados e do nível de risco associado.
Apagamento lógico seguro
Aplica-se a discos rígidos, SSDs e mídias digitais em uso. Utiliza algoritmos de sobreescrita que tornam os dados irrecuperáveis. Os padrões mais utilizados são o NIST 800-88 e as diretrizes do DoD americano.
Destruição física
Aplica-se quando o hardware chegou ao fim da sua vida útil. Inclui trituração, desmagnetização ou fusão do suporte. É o método recomendado quando o apagamento lógico não é suficiente ou viável.
Anonimização irreversível
Alternativa válida em casos onde o dado ainda tem uso legítimo, mas a identificação do titular deixou de ser necessária.
Em todos os casos, a rastreabilidade do processo é indispensável. Isso significa emitir e guardar certificados de eliminação que documentem o método utilizado, a data, o responsável e os ativos envolvidos.
O serviço de eliminação segura de dados da Evernex garante esse processo com certificação, cobrindo desde o apagamento lógico até a destruição física de suportes.
Elimine dados com total segurança
Garanta o compliance da sua empresa com um processo de eliminação segura certificado, do apagamento lógico à destruição física.
Como implementar um processo de exclusão de dados conforme a LGPD?
O processo começa antes de qualquer solicitação chegar. A empresa precisa saber quais dados possui, onde estão e qual é a base legal para o seu tratamento.
Passo 1: Mapeamento de dados
Auditar os ativos de informação da empresa. Identificar onde estão os dados pessoais, quem os trata e com que finalidade.
Passo 2: Definição de responsabilidades
O DPO coordena o processo. A equipe de TI executa a eliminação técnica. O jurídico valida as exceções e os prazos. Sem papéis definidos, o processo falha.
Passo 3: Fluxo operativo ante uma solicitação
- Recepção da solicitação e verificação de identidade do titular
- Análise jurídica: verificar se existe base legal para retenção
- Execução da eliminação ou comunicação de exceção fundamentada
- Emissão de confirmação ao titular no prazo legal
Como documentar e demonstrar a eliminação de dados?
Executar o processo não é suficiente. A empresa precisa provar que ele aconteceu.
Os registros mínimos recomendados incluem:
- Data e hora da eliminação
- Identificação dos ativos ou sistemas envolvidos
- Método utilizado
- Responsável pela execução
- Certificado de eliminação emitido
O DPO deve supervisionar que essa documentação esteja acessível em caso de auditoria ou fiscalização da ANPD.
Manter um registro de tratamento de dados atualizado, conforme previsto no artigo 37 da LGPD, é o complemento natural a essa documentação.
Para aprofundar o tema de segurança da informação no contexto empresarial, o guia de segurança de dados da Evernex oferece um panorama operativo completo.
Quais são as boas práticas para a gestão contínua da exclusão de dados?
O compliance com a LGPD não é um projeto com data de término. É um processo contínuo.
Política interna de retenção e eliminação
Definir por quanto tempo cada categoria de dado é mantida e qual é o procedimento ao fim desse prazo. Essa política deve estar documentada e ser revisada periodicamente.
Revisão do inventário de dados
Auditar regularmente os dados armazenados. Eliminar o que já não tem base legal para ser mantido, antes de qualquer solicitação externa.
Formação da equipe
Todos os colaboradores que tratam dados pessoais devem conhecer as obrigações básicas da LGPD. O DPO é responsável por garantir essa formação de forma contínua.
Integração com o ciclo de vida do hardware
Quando um equipamento chega ao fim da sua vida útil, os dados que contém precisam ser eliminados antes do descarte. Essa integração entre TI e compliance evita exposições desnecessárias.
Para entender como a privacidade e a segurança dos dados se conectam com a transformação digital da empresa, este artigo sobre privacidade e segurança dos dados oferece um contexto estratégico útil.
A gestão da exclusão de dados começa antes do problema
Empresas que tratam dados pessoais com processos claros de eliminação, documentação e responsabilidades definidas estão melhor preparadas para responder a solicitações, auditorias e mudanças regulatórias.
O compliance com a LGPD não depende de tecnologia sofisticada e sim de ordem, rastreabilidade e cultura interna.
Descarte ativos de TI com segurança e conformidade
Gerencie o fim de vida dos seus equipamentos com um processo certificado que garante a eliminação dos dados e o destino responsável do hardware.
Perguntas frequentes sobre exclusão de dados e LGPD
O que é exclusão de dados LGPD?
É o direito do titular de solicitar a remoção dos seus dados pessoais dos sistemas de uma empresa, quando o tratamento era baseado em consentimento ou a finalidade original chegou ao fim.
Quando uma empresa deve excluir dados pessoais?
Quando a finalidade do tratamento termina, quando o titular revoga o consentimento, ou quando a ANPD determina. Existem exceções previstas em lei para situações específicas.
Qual o prazo para responder uma solicitação de exclusão?
A LGPD estabelece, no artigo 18 parágrafo 3º, que a empresa deve responder em até 15 dias úteis.
Qual a diferença entre exclusão e anonimização de dados?
A exclusão remove o dado de forma definitiva. A anonimização transforma o dado de forma irreversível para que o titular não possa ser identificado. O dado anonimizado permanece, mas sai do escopo da LGPD.
Quais são as exceções para a exclusão de dados na LGPD?
A empresa pode manter os dados quando existe obrigação legal, processo judicial, pesquisa científica com anonimização, ou outro fundamento previsto no artigo 16 da lei.