Os dados são para os negócios o que o oxigênio é para os humanos.
Sem as quantidades certas, você pode morrer – o que geralmente significa o fim do seu negócio. Mas, assim como muito oxigênio pode te matar, muitos dados têm seus próprios impactos negativos.
Reter dados por mais tempo do que o necessário não só impacta o risco, como também cria custos e desacelera a rapidez com que uma organização responde a uma violação. A retenção de dados desempenha um papel crucial no plano de resposta a incidentes da sua organização, mas muitos negligenciam essa etapa essencial na proteção de sua organização contra hacks prejudiciais, ataques cibernéticos e violações de dados.
As empresas frequentemente usam software de destruição de dados para excluir completamente os vestígios de dados. No entanto, é imperativo entender a importância de estabelecer políticas de retenção de dados e como cortar caminhos pode entupir os canais do seu negócio e drenar a vida de suas eficiências orientadas por dados.
O que é retenção de dados?
A retenção de dados, também conhecida como retenção de registros, é a estratégia de reter e manter dados e registros por um período específico de tempo. Existem várias razões pelas quais uma empresa pode precisar manter dados: para manter registros financeiros precisos; para cumprir leis locais, estaduais e federais; para aderir a regulamentações do setor; para garantir que os dados sejam facilmente acessíveis para eDiscovery e litígios; e assim por diante.
Cada organização deve desenvolver e implementar políticas de retenção de dados para atender a esses e outros requisitos de negócios.
Na última década, os dados se tornaram um ativo crítico para praticamente todas as organizações, especialmente aquelas em indústrias business-to-consumer (B2C). No entanto, armazenar dados não é uma decisão a ser tomada levianamente. A retenção de dados é crítica para organizações modernas. Muita informação custa tempo e dinheiro, prejudicando sua produtividade. Mas pouca informação custa dinheiro, tempo e sua reputação.
Armazenar dados de clientes é uma necessidade, mas mantê-los em armazenamento indefinidamente também não é uma opção. As empresas precisam determinar por quanto tempo podem manter dados em seus sistemas e excluí-los quando expirarem. As políticas de retenção de dados são cruciais para manter a segurança dos dados dos clientes e garantir a conformidade com os requisitos organizacionais e regulamentações do setor.
A retenção de dados exige que as organizações atendam a padrões de segurança específicos, desenvolvam políticas e procedimentos para agilizar essas regulamentações, forneçam treinamento e educação para todos os funcionários e projetem um sistema para atender aos requisitos. Para isso, você deve desenvolver um plano de políticas e procedimentos de retenção de dados para identificar o seguinte: elementos de dados sensíveis, a sensibilidade de cada item de dados, por quanto tempo cada elemento de dados pode ser mantido de acordo com as regulamentações, como aqueles que acessam os dados os usarão e como descartar dados de forma segura.
Que tipo de dados devem ser protegidos?
Qualquer programa de retenção de dados deve incluir uma variedade de documentos. Todas as comunicações eletrônicas, notadamente e-mails e arquivos e documentos protegidos por senha, são necessários para retenção. Junto com a correspondência eletrônica, qualquer acordo, contrato ou documento que inclua reivindicações legais pela ou para a empresa deve ser mantido – mesmo que as versões mais recentes desses documentos os substituam.
Documentos em papel, como faturas de vendas e registros, aplicações de emprego e conteúdos de arquivos de funcionários, e dados de saúde devem ser arquivados da mesma maneira eficiente.
Por que a retenção de dados é importante?
A retenção de dados há muito tempo é crítica para o sucesso de praticamente qualquer tipo de negócio. Anteriormente, isso significava arquivar documentos que poderiam ser recuperados quando necessário, muitas vezes mantendo esses documentos por décadas antes de descartá-los. Hoje, a retenção de dados eletrônicos tornou a tarefa mais acessível, o que é bom porque a retenção de documentos é mais importante do que nunca se uma empresa deseja proteger seus próprios interesses e os de seus clientes.
Os requisitos legais são uma das razões mais importantes para desenvolver e implementar uma estratégia robusta de retenção de dados. Simplificando, qualquer documento sobre funções de negócios pode incluir informações que poderiam ser benéficas para a empresa em caso de disputa.
A documentação preservada facilita a recriação de eventos e datas significativos e prova os comentários dos executivos de negócios sobre o que fizeram e não fizeram em relação a esse processo específico. Supondo que o esquema de retenção de dados seja abrangente, preservar registros de forma eficiente pode economizar à organização uma quantidade significativa de tempo e dinheiro em qualquer forma de ação legal, incluindo preocupações fiscais, eventos envolvendo pessoal ou convênios estabelecidos com consumidores.
Além de fornecer dados que podem ser essenciais para resolver uma questão legal, práticas eficazes de retenção de dados oferecem a oportunidade de oferecer um serviço ao cliente aprimorado. A capacidade de rastrear eventos que ocorreram anos atrás com um cliente específico pode abrir caminho para resolver um problema que acabou de surgir. Também pode fornecer combustível para algum novo produto ou serviço que poderia ser atraente para mais de um consumidor.
Uma gestão eficiente de dados e registros pode melhorar processos de negócios chave e ajudar a empresa a cumprir seus compromissos legais, estatutários e regulamentares. Nos últimos anos, houve uma ênfase maior na privacidade de dados, o que resultou em regras e regulamentações cada vez mais complicadas em todo o mundo.
Por exemplo, empresas de capital aberto nos Estados Unidos devem adotar uma estratégia de retenção para cumprir as obrigações de retenção de dados da Lei Sarbanes-Oxley (SOX). Da mesma forma, instituições de saúde devem cumprir as obrigações de retenção de dados da Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA).
Além disso, empresas que recebem pagamentos de consumidores (como cartões de crédito) devem seguir as regras de retenção e descarte de dados do Padrões de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS). Qualquer organização que coleta e analisa dados pessoais de indivíduos da UE em qualquer lugar do mundo deve seguir os padrões de retenção de dados do Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia.
As diretrizes de retenção de dados devem descrever quais dados estão sendo coletados, por que estão sendo coletados, onde estão sendo mantidos e o prazo de retenção para cumprir o GDPR.
A capacidade de gerar relatórios usando dados arquivados permite que as organizações identifiquem tendências e desenvolvam ideias que não seriam viáveis de outra forma. Segundo esse ponto de vista, a retenção de dados é mais do que apenas produzir e preservar um registro do passado – é também sobre estabelecer um recurso que pode ser usado no futuro.
Quer aprender mais sobre Software de Destruição de Dados? Explore os produtos de Destruição de Dados.
O que é um período de retenção de dados?
Um período de retenção de dados, às vezes conhecido como período de retenção de registros, é o tempo que uma empresa retém registros. As empresas devem salvar vários tipos de dados por diferentes períodos de tempo.
As melhores práticas sugerem que os dados sejam mantidos pelo tempo que for prático. No entanto, várias leis e regulamentações têm critérios específicos para períodos de retenção de dados, por isso é fundamental completar seu estudo antes de decidir sobre uma duração para uma política de retenção de dados.
Quanto tempo dura um período de retenção de dados?
Não há resposta definitiva para a questão de quanto tempo deve durar um período de retenção de dados. Tudo se resume à preferência. É determinado pelo tipo de dados, o propósito para o qual foi coletado ou gerado, se ainda é considerado relevante e outros fatores baseados nas regulamentações.
Enquanto certas regras, como a HIPAA, exigem que as informações sejam mantidas por pelo menos seis anos "a partir da data de sua criação ou da data em que estava em vigor pela última vez, o que for mais tarde", nem todas as regulamentações especificam limitações de tempo.
O que é uma política de retenção de dados?
Uma política de retenção de dados, também conhecida como política de retenção de registros, descreve por quanto tempo uma empresa manterá vários tipos de dados para fins operacionais ou de conformidade regulatória e como descartará esses dados após esse período. Uma política de retenção de dados é um componente da estratégia geral de gerenciamento de dados de uma organização.
Ao desenvolver uma estratégia de retenção de dados, você deve considerar como organizar os dados para que possam ser pesquisados e recuperados posteriormente. Você também deve decidir como descartar dados que não são mais necessários. Algumas empresas acreditam que usar um modelo de política de retenção de dados é benéfico porque fornece estrutura. Uma política de retenção de dados abrangente descreve as razões comerciais para preservar dados específicos e o que fazer com eles quando estiverem prontos para destruição.
Uma política básica de retenção de dados deve especificar detalhes sobre a organização de documentos e dados, períodos de retenção e sistemas ou dispositivos de armazenamento usados para salvá-los. Esses elementos são tipicamente baseados em diretrizes do setor.
Uma política de retenção de dados inclui especificamente:
- Uma taxonomia dos dados que sua empresa coleta de quem e onde eles existem na empresa
- Detalhes sobre quanto tempo você deseja armazenar cada fragmento de dados, em que formato e para qual finalidade
- Informações sobre quais leis e padrões do setor se aplicam aos dados que você coleta, bem como como sua organização garante a conformidade com essas regulamentações
- Razões para armazenar, proteger e fazer backup de dados
- Um esboço dos métodos de destruição de dados e como os consumidores podem solicitar que seus dados sejam excluídos
- Obrigações para vários aspectos da política, bem como o que fazer em caso de violações de regras ou violações de dados
Exemplo de política de retenção de dados
A vida útil de uma política de retenção de dados pode variar de minutos a anos. Um motor de política deve incluir vários campos, como usuário, departamento, pasta e tipo de arquivo.
As empresas devem incluir comunicações por e-mail em sua política de retenção de dados. Os e-mails se acumulam rapidamente, e alguns ocupam muito espaço, então estabeleça um cronograma de retenção sensato. Assim como na política de retenção de dados, a equipe de TI deve colaborar com o departamento jurídico no cronograma de retenção de e-mails.
Em termos de alvos, o armazenamento de objetos é uma opção padrão em uma estratégia de retenção de dados, pois oferece boa segurança de dados a um custo baixo. Outro repositório típico para dados que requerem retenção mais longa é o armazenamento em nuvem pública. Muitas vezes é menos caro do que o armazenamento local, especialmente em níveis de acesso baixo. Os provedores de serviços em nuvem oferecem proteção de dados fora do local, o que é crítico se o data center principal da organização falhar. A velocidade de restauração é determinada pelo nível e quantidade de coleta de dados.
Além disso, a fita continua a desempenhar um papel essencial na preservação de dados a longo prazo. Dados históricos acessados com pouca frequência se saem bem em fita, que leva mais tempo para reparar do que outros formatos. Armazenar dados em fita por anos geralmente é menos caro do que mantê-los na nuvem e consome menos energia do que o armazenamento em disco. A fita, como a nuvem pública, permite armazenamento fora do local.
A maioria das empresas que lidam com dados de clientes frequentemente menciona suas estratégias de retenção de dados em sua política de privacidade. Por exemplo, a política de privacidade de dados da G2 educa os consumidores sobre a política de retenção de dados da empresa e os períodos de retenção.
Componentes de uma política de retenção de dados bem-sucedida
Uma política de retenção de dados deve especificar como a empresa fará backup, arquivará e destruirá documentos em papel e digitais. O rascunho final deve ser abrangente e unificado, incorporar contribuições de vários grupos e se aplicar em toda a empresa. A política pode ser alterada ou modificada, e as equipes devem registrar quaisquer alterações no documento.
Uma política de retenção de dados pode incluir qualquer uma ou todas as seguintes seções:
- Requisitos legais e comerciais relevantes: Esta seção deve explicar as razões comerciais e legais para a retenção e backups de dados. Deve ser modificada quando as necessidades e a legislação mudarem.
- Políticas e procedimentos de retenção de dados: Cada registro e tipo de dados terá diferentes prazos de retenção e protocolos. Considere o local de armazenamento dos dados, técnicas de backup e período de retenção. Especifique o papel ou equipe que possui e gerencia cada tipo de dados. Também é necessário especificar quais tipos de documentos não precisam ser mantidos e destruídos imediatamente.
- Etapas para destruição de dados: É fundamental especificar os processos de destruição de dados aplicáveis uma vez que o período de retenção expire. Especifique o método para triturar documentos em papel. Indique quais arquivos digitais devem ser removidos manualmente e quais são limpos automaticamente pelo sistema.
- Procedimentos de arquivamento de dados: Alguns dados não são necessários para uso diário, mas são arquivados por preocupações regulatórias e de conformidade. Protocolos de arquivamento definem os formatos de documentos, locais de armazenamento e métodos de recuperação. Talvez certos documentos em papel sejam mantidos fora do local e apenas recuperados quando necessário. As equipes de dados podem manter arquivos digitais específicos em vários servidores para garantir tempo de resposta rápido e reduzir a desordem nos servidores locais.
- Processos de exceção: A empresa pode fazer várias isenções aos seus métodos usuais de retenção, exclusão ou arquivamento de dados. Definir essas exclusões na política de retenção de dados é fundamental para evitar confusão ou interpretação errada.
- Ações apropriadas para solicitações de descoberta, legais ou de auditoria: As empresas devem ter uma resposta uniforme para solicitações de descoberta, legais ou de auditoria. Esta seção deve definir o procedimento de resposta, quem é responsável por fazer a resposta e como será documentada.
Como criar uma política de retenção de dados
Criar uma política de retenção de dados não é uma tarefa fácil. Algumas empresas acham mais econômico terceirizar o planejamento e execução da política do que fazê-lo internamente. Existem seis processos essenciais para as empresas seguirem ao desenvolver suas próprias políticas de retenção de dados:
1. Identifique os proprietários de dados críticos
Os dados são frequentemente isolados em setores. Por exemplo, a equipe de vendas possui dados de vendas, o departamento financeiro possui dados financeiros, o departamento de RH possui dados de emprego e o departamento de TI possui dados de log. Desenvolva uma política de retenção de dados identificando primeiro os principais proprietários de dados dentro da sua empresa, obtendo sua aprovação e formando uma equipe de projeto que inclua todos os proprietários de dados.
Como cada departamento ou proprietário será responsável por gerenciar seus dados de acordo com a política de retenção de dados, é fundamental que todos estejam investidos e envolvidos no processo.
2. Classifique os dados em categorias significativas
A próxima etapa no desenvolvimento de uma política de retenção de dados é descrever seus dados. Faça uma lista de todos os tipos de dados coletados pela sua empresa. Quando você terminar a lista, divida os dados em grupos com base em onde foram criados ou seu propósito pretendido.
Alguns exemplos de tipos comuns de dados empresariais incluem:
- Dados de funcionários (ganhos de funcionários, comissões, registros médicos)
- Dados salariais (cartões de ponto, deduções de folha de pagamento, registros de pensão)
- Dados financeiros (compras, faturas, pagamentos)
- Dados de logs de eventos (logs de aplicativos, logs de sistema, logs de segurança)
- Dados de seguros (apólices, liberações e acordos, reivindicações)
- Dados de projetos (relatórios, correspondência, imagens)
- Dados corporativos (relatórios anuais, atas de comitês, atas de conselhos)
Cada tipo de dados que você especificar pode estar sujeito a regulamentos especiais de retenção de dados e restrições comerciais. Para contabilizar isso, você precisará pesquisar e desenvolver regras de retenção de dados exclusivas para cada tipo de dados que sua empresa coleta.
3. Realize uma análise de políticas e necessidades de negócios para cada tipo de dados
A próxima etapa é realizar uma avaliação de políticas. Realizar essas avaliações permitirá que você tenha uma melhor visão de como sua organização usa seus dados. Você pode até encontrar alguns novos e essenciais usos para os dados que já está coletando.
Finalmente, você poderá determinar as regras exatas de retenção de dados que se aplicam às suas informações - lembre-se de verificar a legislação em todos os países em que você opera!
Você deve pesquisar o seguinte para cada tipo de dados:
Requisitos de negócios
- O que estamos fazendo com esses dados?
- Quais formatos de dados são usados para apoiar práticas organizacionais?
- Onde os dados devem ser mantidos?
- Qual é a vida útil dos dados?
- O que deve acontecer a seguir?
Requisitos de conformidade
- Quais regras ou leis regem os dados nesta categoria?
- Quais tipos de dados são afetados?
- Onde os dados devem ser mantidos?
- Quais são as leis de retenção de dados relacionadas a isso?
- O que deve acontecer a seguir?
4. Crie uma nova política de retenção para cada tipo de dados
Você segmentou todos os seus dados corporativos e explorou os casos de uso comercial e requisitos de conformidade de cada tipo de dados. Agora você pode avaliar o local de armazenamento, o período de retenção e os métodos apropriados de destruição de dados com base nas informações coletadas.
A política de retenção de dados deve incluir o seguinte para cada tipo de dados:
- Categoria de dados: O tipo de dados em questão.
- Proprietário dos dados: A pessoa responsável por gerenciar esses dados de acordo com a política de retenção. O mesmo indivíduo pode governar alguns ou todos os tipos de dados na mesma categoria.
- Local de armazenamento dos dados: O local de armazenamento, como servidores locais ou buckets do Amazon Simple Storage Service (S3).
- Período de retenção dos dados: O tempo recomendado com base na sua avaliação de políticas.
- Política de descarte de dados: Uma política para descarte de dados, especificando se devem ser arquivados ou excluídos no final de sua vida útil.
Além de recomendações gerais para coisas como históricos de revisões e exclusões de políticas, sua política de retenção de dados deve conter uma estratégia de comunicação para desafios de retenção de dados. É melhor delinear um plano para garantir a conformidade com sua política de retenção de registros.
5. Crie SOPs para retenção, arquivamento e destruição de dados
Procedimentos operacionais padrão (SOPs) definem os processos e a tecnologia que sua empresa usará para armazenar, preservar, arquivar e excluir dados de acordo com sua política de retenção de dados estabelecida. Os funcionários podem executar regulamentos de retenção de dados ou eles podem ser automatizados com software.
A AWS e outros fornecedores de nuvem pública oferecem serviços que automatizam as regras de retenção de dados das empresas na nuvem. Dois exemplos comuns são o Amazon S3 Intelligent Tiering, que move inteligentemente dados entre camadas de armazenamento otimizadas para custo com base nos padrões de uso do usuário, e o Amazon S3 Object Expiration, que permite que os proprietários de dados agendem a destruição de objetos de dados em buckets S3.
6. Coloque sua política de retenção de dados em ação
Agora você deve ter tudo o que precisa para colocar sua política de retenção de dados em ação. Agora é hora de implementar sua política de retenção de dados e garantir a conformidade em toda a sua empresa.
Você precisará informar os chefes de departamento e suas equipes sobre as novas abordagens e expectativas, garantir que os proprietários de dados estejam cientes de quaisquer novos compromissos, enfatizar a importância da conformidade, impor quaisquer novos processos ou tecnologias necessárias para apoiar sua estratégia de retenção de dados e fornecer treinamento adicional conforme necessário.
Nota: Adotar sua estratégia de retenção de dados pode levar anos, dependendo do tamanho do seu negócio. Concentre-se primeiro em suas principais questões de conformidade, depois procure vitórias rápidas para entusiasmar as partes interessadas e manter o impulso à medida que avança no processo de implementação.
Melhores práticas de retenção de dados
Cada empresa tem diferentes demandas ao desenvolver uma política de retenção de dados eficaz. No entanto, as empresas devem seguir algumas melhores práticas ao criar uma política de retenção de dados.
- Reconheça as responsabilidades legais. As empresas devem estabelecer as regras e regulamentações para seus requisitos de retenção de dados e incluir esses requisitos em sua política de retenção de dados.
- Avalie as necessidades da empresa. Desenvolver uma política de retenção de dados eficiente envolve mais do que simplesmente seguir as regras. A política de retenção também deve considerar as necessidades comerciais da empresa. Razões operacionais podem exigir que os dados sejam mantidos por mais tempo do que o legalmente necessário.
- Seja honesto e transparente. Informe seus clientes, assinantes e usuários sobre os dados que você planeja salvar, sua manutenção e manuseio de dados. Dê a eles o máximo de controle possível sobre como suas informações são tratadas.
- Exclua dados quando não forem mais necessários. Muitas empresas falham em implementar este protocolo fundamental de retenção de dados porque assumem que manter dados por mais tempo do que o necessário é mais seguro do que excluí-los e recuperá-los mais tarde. Isso, no entanto, não poderia estar mais longe da verdade.
Benefícios da retenção de dados
Embora a conformidade regulatória seja a principal motivação para as empresas implementarem uma política de retenção de dados, ela também tem outras vantagens. A retenção de dados está no cerne da gestão de dados. A documentação em papel e as informações eletrônicas impulsionam a atividade das empresas, e grandes quantidades de dados digitais geralmente são difíceis de armazenar ou categorizar em sistemas de arquivos tradicionais.
Descobrir e coletar registros contábeis, interações com clientes, comunicações eletrônicas, dados financeiros, dados de vendas e outros dados digitais críticos para a empresa ajuda mais do que a manter a conformidade. Essas práticas também ajudam as empresas a retomar as operações após um desastre, fazendo backup dos dados relevantes em uma programação regular suficiente para se recuperar de catástrofes.
Avaliar regularmente sua estratégia de retenção de dados permite que sua empresa elimine arquivos antigos e duplicados. Livrar-se de material redundante e desatualizado acelera as buscas, minimiza a confusão e melhora a experiência do usuário.
Práticas de retenção de dados mais inteligentes e simplificadas podem liberar espaço para novos dados e arquivos, permitindo armazenamento adicional. Migrar dados mais antigos para a nuvem e excluir cópias pode fazer parte de sua estratégia de retenção de dados digitais. Com custos de armazenamento reduzidos e maior velocidade, todo o processo economiza tempo e dinheiro a longo prazo.
Desafios da retenção de dados
Os dados continuam a crescer a uma taxa alarmante, não apenas no armazenamento primário, mas também no backup de dados e nos arquivos. O backup é mais estressante quando os mesmos dados são copiados várias vezes. Um programa de retenção de dados é um método de reduzir a quantidade e, eventualmente, automatizar o processo de manutenção de conjuntos de dados.
Estabelecer uma diretriz de retenção de dados, por outro lado, é difícil. Definir um cronograma de retenção de dados também não é fácil. As empresas devem manter certos conjuntos de dados por diferentes períodos de tempo por razões legais e operacionais.
Uma empresa deve ter cautela, principalmente se usar um sistema automatizado de retenção de dados. O armazenamento às vezes pode ser um incômodo. É por isso que, para otimizar o orçamento, uma política de retenção de dados adequada especifica o tipo de armazenamento onde os dados retidos são armazenados.
A retenção de dados é importante (mas você já sabia disso!)
A retenção de dados está se tornando mais desafiadora à medida que as empresas enfrentam demandas concorrentes para maximizar o valor dos dados e responsabilidades legais para cumprir um número crescente de regras de retenção de dados. As organizações podem reduzir os custos de armazenamento de dados, ao mesmo tempo em que maximizam o valor dos dados e cumprem as regras e regulamentações locais e internacionais de retenção de dados, desenvolvendo e executando uma estratégia de retenção de dados abrangente.
Você está preocupado com a retenção de e-mails? Aprenda como as empresas podem evitar a perda de dados com arquivamento de e-mails.
Keerthi Rangan
Keerthi Rangan is a Senior SEO Specialist with a sharp focus on the IT management software market. Formerly a Content Marketing Specialist at G2, Keerthi crafts content that not only simplifies complex IT concepts but also guides organizations toward transformative software solutions. With a background in Python development, she brings a unique blend of technical expertise and strategic insight to her work. Her interests span network automation, blockchain, infrastructure as code (IaC), SaaS, and beyond—always exploring how technology reshapes businesses and how people work. Keerthi’s approach is thoughtful and driven by a quiet curiosity, always seeking the deeper connections between technology, strategy, and growth.
