Retencao e eliminacao: guia pratico para equipas SaaS

Retencao e eliminacao funcionam melhor quando equipas SaaS transformam linguagem de policy em regras operacionais para sistemas reais. O objetivo e saber que dados pessoais existem, porque ainda sao necessarios, que evento inicia o periodo, quem possui a acao, como ocorre eliminacao ou anonimizacao, que excecoes se aplicam e que evidencia prova a execucao.

No RGPD, dados pessoais nao devem ser mantidos em forma identificavel por mais tempo do que o necessario para as finalidades do tratamento. Em SaaS, isto envolve bases de producao, suporte, billing, analytics, logs, backups, warehouses, exports e vendors.

Porque importa na pratica

Uma policy que diz "eliminar dados de clientes apos termination" nao explica que sistemas contem os dados, se a conta foi apenas desativada, se analytics continuam identificaveis, se tickets incluem anexos ou se um vendor ainda tem copia.

Guardar dados por demasiado tempo aumenta impacto de breach, amplia pesquisas em pedidos de acesso, complica migracoes e vendor exits e enfraquece data minimisation. Eliminar sem controlo tambem pode apagar dados necessarios para impostos, fraude, contrato, security investigations ou legal claims.

Quando se aplica

Aplica-se quando uma equipa SaaS guarda dados pessoais em produto, sistema operacional, ferramenta interna, plataforma vendor, arquivo, log, file store ou backup. Inclui dados de clientes, contas de utilizador, suporte, billing, telemetria, logs de seguranca, leads, candidatos, colaboradores, contractors, contactos vendor e evidencia compliance.

A Comissao Europeia explica que dados devem ser guardados pelo menor tempo possivel, considerando razoes de tratamento e obrigacoes legais. Organizacoes tambem devem estabelecer limites para eliminar ou rever dados guardados.

Construir o schedule em torno de eventos

Schedules falham quando descrevem apenas tipos de registo e duracoes. Sistemas SaaS precisam de triggers.

Para cada categoria, defina record, sistemas e vendors, evento inicial, periodo default, acao de eliminacao ou anonimizacao, owner, excecao ou legal hold, evidencia necessaria e intervalo de review.

O trigger e frequentemente a parte dificil: eliminacao de conta, fim de contrato, pagamento final, fecho de ticket, rejeicao de candidato, unsubscribe de lead ou fecho de incidente. As respostas podem variar, mas devem ser explicitas.

Mapear regras para sistemas

Muitos problemas de retencao sao problemas de mapping. O mesmo dado pode existir em aplicacao, identity provider, CRM, billing, suporte, analytics, warehouse, cloud storage, exports, folhas internas, logs, backups e vendors.

Comece por dados de conta, perfis, tickets, billing, analytics, logs de seguranca, marketing, HR e evidencia vendor ou compliance. A regra so e operacional quando a equipa sabe onde o dado existe.

Decidir o que significa eliminar

Eliminar nem sempre e uma unica acao tecnica. Pode significar hard delete, soft delete seguido de purge, anonimizacao, pseudonimizacao, restricao de arquivo, suppression ou expiracao de backup.

Backups exigem precisao. Se um pedido valido de eliminacao se aplica, sao necessarios passos para backups e sistemas live. Mas dados podem permanecer em backup ate sobrescrita se ficarem fora de uso e nao forem restaurados para outras finalidades.

Nao prometa eliminacao instantanea de todos os backups se estes seguem uma rotacao. Explique o que acontece nos sistemas live, nos backups e quanto tempo demora normalmente a expiracao.

Pedidos de eliminacao sao distintos da retencao rotineira

Retencao rotineira funciona por schedules e eventos de negocio. Um pedido de eliminacao comeca quando uma pessoa pede apagamento. O artigo 17 do RGPD aplica-se em situacoes definidas, por exemplo quando os dados ja nao sao necessarios, o consentimento e retirado sem outra base, o tratamento e ilicito ou a lei exige eliminacao. O direito nao e absoluto.

Uma equipa SaaS precisa de triage: reconhecer o pedido, registar deadline, verificar identidade, identificar sistemas e vendors, decidir o que eliminar, reter ou restringir, documentar motivos de recusa parcial, executar e guardar evidencia.

Definir excecoes antes do deadline

Excecoes comuns incluem impostos, contabilidade, contrato, fraude, seguranca, incident response, legal holds, disputas, seguros, regulatory reporting e audit evidence. O importante e registar quem aprovou a excecao, que dados cobre, porque se aplica, quando sera revista e o que acontece no fim.

Incluir vendors

Dados SaaS raramente vivem apenas no produto. Vendors e processors podem guardar suporte, billing, analytics, comunicacoes, logs, backups e compliance records. Retencao e eliminacao devem fazer parte de vendor onboarding e processor management.

Pergunte como funciona retention, como pedir deletion, se backups tem ciclo separado, se ha exports, que subprocessors guardam dados e que evidencia o vendor pode fornecer.

FAQ

O que devem as equipas entender?

Que retencao e eliminacao e um workflow vivo que liga inventario de dados, ownership de sistemas, triggers, excecoes legais, backups, vendors, pedidos de eliminacao e evidencia.

Porque importa na pratica?

Empresas SaaS guardam dados pessoais em muitos sistemas. Sem modelo operacional, dados ficam demasiado tempo, sao eliminados de forma inconsistente ou tratados por decisoes pontuais dificeis de provar.

O que documentar primeiro?

Comece por dados de conta, suporte, billing, analytics, logs de seguranca e dados em vendors. Defina trigger, owner, localizacoes, acao, excecao e evidencia.

Sources

• European Union, General Data Protection Regulation.
• European Commission, For how long can data be kept and is it necessary to update it?
• European Commission, Do we always have to delete personal data if a person asks?
• Information Commissioner's Office, Principle (e): Storage limitation.
• Information Commissioner's Office, Right to erasure.