Pontos-Chave
- LGPD Art. 16 exige eliminação do dado pessoal após o fim do tratamento — não é cláusula de contrato fixa, é decisão operacional contínua que depende de base legal, vertical regulada e finalidade
- Um mesmo email pode ter prazos legais muito diferentes: 5 anos (comercial, trabalhista, tributário), 10 anos (contábil) ou até 20 anos (prontuário médico, CFM Resolução 1.821/2007)
- Cláusula contratual sem matriz operacional viva é evidência fraca em auditoria — o cliente regulado quer ver o que foi feito com cada categoria de email ao longo do tempo
- Email genérico (Gmail, Outlook básico, hospedagem compartilhada) não entrega o ciclo retenção → eliminação → auditoria por base legal; Google e Microsoft entregam, mas em tier enterprise

O encarregado de dados de uma contabilidade de porte médio abriu o email numa quinta de manhã e parou no meio do café. Era um ofício de due diligence de um cliente grande — um banco — fazendo auditoria dos próprios fornecedores. O pedido era específico: "Demonstre como sua empresa trata, retém e elimina os emails que contêm dados pessoais de nossos clientes sob a LGPD. Anexe a política de retenção, a evidência de eliminação programada por base legal, o RIPD operacional e o log auditável de acesso a esses emails nos últimos 24 meses."
A contabilidade tinha um provedor de email genérico. Caixas de Gmail comercial, sem política de retenção configurável por base legal, sem RIPD operacional escrito, sem log auditável por email ou por cliente. O encarregado percebeu o problema imediatamente: não dava para responder aquele ofício com o que existia. E o cliente não queria uma promessa — queria evidência do que já tinha sido feito.
Esse cenário não é raro, e tende a ficar mais comum. À medida que empresas reguladas formalizam due diligence de fornecedor, o email — que todo mundo trata como canal banal — vira o primeiro ponto onde a falta de operação de compliance aparece. Este post é sobre como sair desse buraco, e por que a saída não é assinar mais um contrato.
LGPD Art. 16 é cláusula de contrato ou operação contínua?
É operação contínua, e essa confusão de categoria custa caro. O Art. 16 da LGPD determina que os dados pessoais sejam eliminados após o término de seu tratamento — com exceções para cumprimento de obrigação legal, estudo por órgão de pesquisa, transferência a terceiro e uso exclusivo do controlador. Repare no que isso significa na prática: a eliminação não acontece numa data fixa escrita em contrato. Ela acontece quando a finalidade se esgota — e a finalidade depende da base legal de cada dado.
Muita empresa confunde "estamos em conformidade com a LGPD" com "temos uma cláusula no contrato e um DPA assinado". São coisas diferentes. A cláusula é a promessa; a conformidade é o que você efetivamente faz com cada categoria de email ao longo do tempo. Um auditor de cliente regulado não pergunta "vocês têm cláusula de LGPD?". Ele pergunta "me mostre o que foi feito com o email do cliente X em 2023, quando o tratamento terminou, e prove".
Segundo a ANPD, a responsabilidade do agente de tratamento é demonstrada por medidas eficazes e capazes de comprovar a observância da lei (LGPD Art. 6, X — princípio da responsabilização e prestação de contas). Comprovar é um verbo operacional. Não se comprova uma cláusula; comprova-se uma trilha de decisões.
Aqui está o ponto que reorganiza tudo: o email corporativo não é um repositório passivo de mensagens. Ele é um fluxo de tratamento de dados pessoais — recebe, processa, armazena e, eventualmente, precisa eliminar. Tratar LGPD Art. 16 como cláusula contratual fixa é como tratar segurança como "instalamos um antivírus uma vez". A obrigação é contínua porque o tratamento é contínuo. E quem opera email genérico não tem como tornar contínuo aquilo que o produto trata como manual.
Quais bases legais definem quanto tempo guardar um email?
Cinco bases legais do Art. 7 da LGPD se aplicam ao email corporativo, e cada uma carrega um prazo de retenção distinto. É por isso que não existe "o prazo de retenção de email" — existe o prazo daquela categoria de email, sob aquela base legal. Classificar errado é guardar demais (risco de exposição) ou eliminar cedo demais (perda de evidência legal).
Vamos às cinco bases que importam para email:
- Consentimento (Art. 7, I) — email de marketing, newsletter, pesquisa de satisfação. Retenção enquanto o consentimento estiver ativo; eliminação imediata quando o titular revoga. É a base mais frágil: depende de um ato que o titular pode desfazer a qualquer momento.
- Cumprimento de obrigação legal ou regulatória (Art. 7, II) — a base mais comum em vertical regulada. Email contábil e fiscal (escrituração guardada por 5 a 10 anos, Código Civil Art. 1.194 combinado com os prazos do CTN Art. 173 e 174), email trabalhista (prescrição de 5 anos, CLT Art. 11), email societário. Aqui a empresa não pode eliminar antes do prazo, mesmo que o titular peça.
- Execução de contrato (Art. 7, V) — email comercial ativo com cliente. Retenção pelo prazo do contrato mais o prazo prescricional para eventual litígio, geralmente 5 anos após o encerramento.
- Exercício regular de direitos em processo (Art. 7, VI) — email que serve de evidência em processo judicial pendente. Retenção até o trânsito em julgado e o prazo de revisão. Eliminar um email que é prova de um processo em curso é destruição de evidência, não compliance.
- Legítimo interesse (Art. 7, IX) — email administrativo interno. Retenção definida em política interna documentada, justificada por uma base de necessidade real e submetida a teste de proporcionalidade.
Percebe a armadilha? O mesmo provedor de email guarda, lado a lado, uma newsletter que deve ser eliminada na revogação do consentimento e um email fiscal que não pode ser eliminado por dez anos. Aplicar uma política única de retenção para os dois é violar a LGPD nas duas pontas ao mesmo tempo. É exatamente o que email genérico faz — porque ele só sabe reter por quota de disco, não por base legal.
E quando o email contém dado pessoal sensível?
Aí o prazo costuma ser ainda maior e a regra, mais rígida. O Art. 11 da LGPD trata de dados sensíveis — saúde, origem racial, convicção religiosa, dado genético, biometria, dado de orientação sexual — e restringe as bases legais que autorizam o tratamento. Para email, três situações concentram o risco.
A primeira é o email de prontuário. Em clínica, consultório ou hospital, a comunicação clínica — laudos, receituário, encaminhamentos, resultados — circula por email e carrega dado de saúde. A Resolução CFM nº 1.821/2007 estabelece guarda mínima de 20 anos para o prontuário; quando o registro é digital e integrado a sistema, a retenção se estende enquanto o sistema estiver ativo, com eliminação só mediante migração documentada. Vinte anos é uma escala que nenhum email pessoal foi projetado para sustentar de forma auditável.
A segunda é o email com dado de criança e adolescente, que exige consentimento específico de um dos pais ou responsável (Art. 14). Escola, plataforma educacional e clínica pediátrica lidam com isso o tempo todo.
A terceira é o email com qualquer outro dado sensível — saúde do colaborador no RH, dado biométrico num processo de acesso. Sem base excepcional do Art. 11, o tratamento sequer é permitido.
Pela LGPD, o dado sensível recebe proteção reforçada justamente porque seu vazamento causa dano desproporcional ao titular. Reter dado sensível em email sem controle de acesso granular, sem log e sem política de eliminação não é só descuido operacional — é ampliar a superfície do dano que a lei quer reduzir.
Quem atende vertical de saúde sabe que a auditoria não pergunta "vocês cuidam de dado sensível?". Ela pede o nome de quem acessou o email com o laudo do paciente, a data, e a justificativa. Email genérico não tem essa resposta.
Quanto tempo cada vertical regulada precisa reter email?
Depende da vertical, e essa é a razão de uma matriz por setor existir. O que parece um detalhe regulatório vira o coração da operação: cada conselho profissional e cada lei setorial impõem um prazo próprio, e a empresa precisa de uma política que cubra todas as bases legais que ela toca simultaneamente. Pensar em "tabela mental" por vertical resolve o que uma política única nunca resolve.
Na prática, a matriz se organiza assim:
- Contabilidade — email fiscal e contábil segue obrigação legal: a escrituração costuma exigir guarda de 5 a 10 anos (Código Civil Art. 1.194 + decadência e prescrição tributárias do CTN). A matriz padrão trata o email contábil como retenção longa, eliminável só após o encerramento do ano-base e o vencimento do prazo de litígio potencial.
- Advocacia — email de peticionamento, contrato e processo retido pelo prazo do processo mais 5 anos após o trânsito em julgado, variável por classe processual; email de cliente em consultoria pelo prazo prescricional (Lei 8.906/1994 combinada com o Código Civil). Sigilo profissional torna o controle de acesso tão importante quanto o prazo.
- Clínica e saúde — email de prontuário pela escala do CFM (mínimo 20 anos no físico; digital integrado a sistema retido enquanto o sistema estiver ativo, com eliminação só por migração documentada).
- Escritório técnico (engenharia, arquitetura) — email de projeto pela combinação do prazo dos conselhos (CREA, CAU) com a prescrição civil; uma matriz de 10 a 15 anos costuma ser o padrão defensável, porque a responsabilidade técnica acompanha a obra muito além da entrega.
- Educacional — email com dado de aluno (criança ou adolescente) exige consentimento do responsável e retenção pelo período do contrato educacional mais o prescricional para cobrança de mensalidade.
- Comercial geral (PME sem vertical regulada específica) — email comercial pela base de execução de contrato e legítimo interesse, tipicamente 5 anos; email tributário 5 anos (CTN); email trabalhista 5 anos (CLT).
A matriz não é um luxo de empresa grande. É a única forma de responder ao auditor sem improviso. Quando ele pergunta "qual o prazo de retenção do email do paciente X?", a resposta certa não é um palpite — é uma linha da matriz da vertical, documentada e aplicada no painel.
Essa lógica de retenção por classificação conversa diretamente com o que descrevemos no guia de email corporativo para empresas brasileiras: escolher provedor de email em vertical regulada é, em boa parte, escolher quem entrega política de retenção configurável por base legal.
Retenção: como classificar o email no momento em que ele chega?
A retenção correta começa na entrada, não na auditoria. A regra operacional é simples de enunciar e difícil de fazer no provedor errado: cada email precisa ser classificado por base legal no momento em que chega, para que a política de retenção certa seja aplicada automaticamente a partir dali. Classificação tardia é arqueologia — caro, lento e incompleto.
Na prática, a classificação se apoia em sinais que o email já carrega: o destinatário (um endereço de fiscal sugere base contábil/fiscal), o remetente (um cliente em consultoria sugere execução de contrato), o assunto e o projeto ou cliente associado. Um painel administrativo de email corporativo permite configurar regras que rotulam automaticamente por esses sinais, e associar cada rótulo a um prazo de retenção. O email de fiscal@empresa.com.br entra na trilha de 10 anos; o de marketing, na trilha de consentimento revogável.
A segunda peça é o arquivamento integrado. Um email não vive só no servidor de entrega — ele tem anexos, threads, encadeamentos que precisam ser preservados como uma unidade durante o prazo legal. A integração entre o email e um cofre de arquivos (no caso da Meile, entre o Meile Mail e o Meile BOX) preserva email, anexo e thread completa pelo prazo definido, sem depender de o colaborador lembrar de guardar manualmente. Detalhamos a mecânica do arquivamento como camada de retenção no post sobre email corporativo seguro com arquivamento.
A diferença entre reter e acumular é a classificação. Acumular é guardar tudo por quota de disco até estourar. Reter é guardar cada coisa pelo prazo legal dela — e isso exige que o provedor saiba a diferença entre uma newsletter e um email fiscal. Email genérico não sabe; trata os dois como bytes.
Eliminação: como apagar email sem destruir a evidência da auditoria?
Eliminando o conteúdo, mas preservando o registro de que a eliminação foi feita corretamente. Esse é o ponto mais contraintuitivo do Art. 16: a empresa precisa eliminar o email ao fim do prazo legal e, ao mesmo tempo, provar depois que eliminou. Resolver os dois exige separar o dado eliminado do log da eliminação.
O mecanismo correto tem três partes. Primeiro, o trigger automático: a eliminação dispara na expiração do prazo legal, não por decisão manual. Um email fiscal de 2014 expira o prazo decadencial em 2020 e o prescricional em 2025; configurado corretamente, ele entra na fila de eliminação automaticamente no fim desse ciclo, sem depender de alguém lembrar. Segundo, a janela de revisão: o encarregado revê a lista de emails marcados para eliminação no trimestre antes de a operação executar, para barrar o caso em que um email "expirado" ainda é prova de um litígio em curso. Terceiro, o registro de eliminação em log auditável: data, motivo, base legal, identificador do registro e responsável da operação ficam gravados numa trilha separada do email eliminado.
Por que separada? Porque o log precisa sobreviver à eliminação do conteúdo. Você apaga o email fiscal de 2014 em 2025, mas mantém o registro "email categoria fiscal, base legal obrigação legal, eliminado em 2025, prazo expirado, operação aprovada pelo encarregado" até 2029. Quando uma auditoria de 2028 perguntar o que aconteceu com aquele email, a resposta existe — mesmo que o email não exista mais.
A eliminação cega é tão perigosa quanto a retenção infinita. Quem deleta o email e o rastro da deleção junto não fica em conformidade — fica sem evidência de conformidade, que perante um auditor é o mesmo que não ter feito. O Art. 16 pede eliminação do dado; a responsabilização (Art. 6, X) pede prova da eliminação. Os dois convivem só com log separado.
Email genérico erra aqui de forma estrutural. A eliminação é manual, usuário a usuário, sem trigger por prazo legal e sem log que sobreviva ao email apagado. O resultado é o pior dos mundos: dado retido além do necessário e sem trilha de quando algo foi de fato eliminado.
Auditoria: o que precisa estar registrado e por quanto tempo?
A trilha de auditoria precisa cobrir acesso, modificação e exportação — e ser retida por prazo próprio. Não basta saber que o email existiu e foi eliminado no prazo. Em vertical regulada, o auditor pergunta quem tocou no dado. A auditoria de email sob LGPD registra três tipos de evento, cada um com sua razão de ser.
O log de acesso responde "quem leu o email com o dado pessoal, quando e de onde". É a base da responsabilização: se um laudo de paciente foi acessado, a clínica precisa demonstrar que o acesso foi legítimo, por pessoa autorizada. O log de modificação registra eliminação, restauração e mudança de classificação — toda alteração no ciclo de vida do email. O log de exportação registra download de evidência e anexação a processo — quando o dado sai do ambiente controlado, há rastro.
O detalhe que muita empresa ignora: o log tem prazo de retenção próprio, separado do email. O log de acesso aos emails de 2024 pode precisar ser retido até 2029, mesmo depois de os emails originais de 2024 terem sido eliminados em 2030 por prazo expirado. A trilha de auditoria não morre com o dado auditado — ela é a memória de que a operação foi feita certo.
O Marco Civil da Internet (Lei 12.965/2014, Art. 15) já obriga provedores de aplicação a guardar registros de acesso por 6 meses, num contexto distinto. A lógica é a mesma que vale para email corporativo em vertical regulada: o registro de quem fez o quê é parte da prova, e tem ciclo de vida independente do conteúdo que registra.
Esse é o ponto onde o provedor de email decide a viabilidade da operação inteira. A trilha auditável por base legal, separada do email, com retenção própria, é o que transforma "achamos que estamos em conformidade" em "temos a evidência objetiva para provar". É também o que o monitoramento de email em tempo real sustenta no dia a dia: sem observabilidade, não há trilha.
Por que email corporativo genérico não cobre esse ciclo?
Porque cada tipo de provedor genérico falha numa parte diferente do ciclo retenção → eliminação → auditoria. A questão não é má vontade do produto — é escopo. Email de consumidor, plano-base de suíte estrangeira e hospedagem compartilhada foram desenhados para outros problemas. Três limites concretos.
Gmail e Outlook pessoais retêm por tempo indefinido, sem política configurável por base legal. A eliminação é manual, usuário a usuário, sem trigger por prazo legal. A auditoria se limita ao log de acesso por usuário, sem trilha cross-departamento que uma vertical regulada precisa. Servem para comunicação pessoal — não para operar retenção legal por categoria.
Google Workspace e Microsoft 365 no plano-base têm uma política de retenção genérica única — a mesma para email comercial e email contábil, o que já viola a lógica de base legal. A eliminação programada por classificação e a granularidade de retenção existem, mas em tier enterprise (E5 e equivalentes). A auditoria via Vault ou Compliance Center também é recurso de tier superior ou comprado à parte. Não é que não entreguem — entregam, mas num patamar de licença que muda a conta, e com custo em moeda estrangeira sem previsibilidade cambial. Comparamos o que o plano-base do Workspace cobre e o que fica de fora no post Meile Mail vs Google Workspace.
Hospedagem de email genérica (cPanel, Plesk compartilhado) retém por quota de disco, sem política temporal por base legal. A eliminação acontece por antiguidade ou ação manual. A auditoria se limita ao log de webmail e IMAP — sem trilha por base legal. É infraestrutura de entrega, não plataforma de compliance.
A pergunta certa para um provedor de email em vertical regulada não é "quanto custa a caixa?". É "você entrega política de retenção por base legal, eliminação por trigger automático e log auditável separado — no plano-base?". Se a resposta empurra tudo para enterprise, o provedor é viável só para quem pode pagar o tier; para a PME média regulada, é gap operacional.
Quem escolhe provedor sem fazer essa pergunta descobre o gap no pior momento: durante a primeira auditoria de cliente regulado. Listamos os critérios de escolha que evitam essa surpresa no guia de como escolher hospedagem de email.
O que um email corporativo brasileiro entrega nativamente?
Entrega o ciclo completo no plano-base, sem add-on de tier enterprise. Usando a Meile como exemplo concreto — sem transformar isto numa página de vendas —, dá para ver o que muda quando o produto foi pensado para vertical regulada brasileira desde a base.
Na prática, um email corporativo nacional com esse desenho entrega:
- Política de retenção configurável por departamento, projeto ou cliente no painel administrativo, já no plano-base — não num tier separado. O email de fiscal entra na trilha longa, o de marketing na trilha revogável.
- Arquivamento integrado ao Meile BOX, preservando email, anexo e thread por prazo legal definido, como uma unidade.
- Eliminação programada por trigger automático na data de expiração da base legal, com janela de revisão do encarregado antes da execução.
- Log auditável separado do email, que sobrevive à eliminação do conteúdo e responde "quem, quando, de onde, por qual base legal".
- DPA alinhado às normas da ANPD sobre a relação operador-controlador (LGPD Art. 39), com operador e controlador definidos e a cadeia de subcontratados documentada.
- Suporte tier 1 em português que entende vertical regulada — o encarregado liga e o técnico não precisa de tradução para entender que "a vertical CFM exige 20 anos".
- Jurisdição brasileira explícita — dados em datacenter no Brasil, sem a discussão de transferência internacional do Art. 33 que um provedor estrangeiro carrega por padrão.
Esse último ponto conecta com o lastro de infraestrutura. De nada adianta a operação de retenção e eliminação se os dados moram fisicamente fora da jurisdição — por isso o desenho de infra importa tanto quanto o de software. Detalhamos onde os dados ficam fisicamente e por que isso é prova passiva de soberania no post sobre os bastidores do Oracle Cloud em São Paulo, e a lógica de email corporativo com dados no Brasil no guia de hospedagem de email corporativo nacional.
A vantagem brasileira aqui não é nacionalismo — é redução de superfície regulatória. Dado no Brasil dispensa a discussão de transferência internacional. DPA em português sob normas da ANPD dispensa a tradução jurídica. Suporte que entende CFC, OAB e CFM dispensa explicar a vertical. Cada "dispensa" é menos risco operacional para o encarregado.
O que apresentar quando o auditor pede evidência operacional?
Apresenta-se o conjunto que prova a operação, não a intenção. Quando o ofício de due diligence chega — como na cena que abriu este post — a diferença entre passar e travar é ter os artefatos prontos. Email genérico não os produz; email com operação de compliance, sim. São seis peças.
- Política de retenção documentada por base legal e vertical — o template padrão da agência ou do MSP que atende a vertical, customizado pelo cliente.
- RIPD operacional (Relatório de Impacto à Proteção de Dados, LGPD Art. 38) atualizado sempre que há alteração no tratamento.
- Evidência de eliminação programada — o relatório do painel mostrando quantos emails foram eliminados por prazo legal expirado, em qual categoria, no período.
- Log auditável de acesso à categoria de email solicitada — quem leu, quando, de onde.
- DPA assinado com o operador (a Meile, no exemplo) e a cadeia de subcontratados documentada (a camada de infraestrutura).
- Trilha de revisão — o registro de que o encarregado revisou a lista X em determinada data e decidiu eliminar ou manter Y emails, por qual motivo.
O que o auditor de cliente regulado valoriza é a evidência objetiva e datada. Política sem RIPD é incompleta. RIPD sem log de eliminação é teórico. Log sem trilha de revisão não mostra governança. O conjunto inteiro, datado e consistente, é o que faz a auditoria passar em uma reunião em vez de virar pendência de meses.
Repare que nenhuma dessas peças se resolve no dia do ofício. Elas são subprodutos de uma operação que roda o ano todo. É por isso que LGPD Art. 16 é operação contínua: a evidência que o auditor pede em junho é fruto do que a empresa fez de janeiro a maio.
Que perfil de empresa precisa de qual nível de operação?
Depende do porte e da vertical — e tratar todos igual leva a gastar de menos onde importa ou de mais onde não precisa. Três perfis cobrem a maioria dos casos, com recomendação diferenciada para cada um. Honestidade aqui vale mais que venda: nem toda empresa precisa do mesmo nível.
PME pequena, sem vertical regulada específica — escritório administrativo, comércio local, e-commerce simples. Para esse perfil, política de retenção padrão de 5 anos (LGPD + Código Civil) com eliminação revisada semestralmente pelo dono costuma ser suficiente. Um tier básico de email corporativo entrega; o DPA padrão do fornecedor resolve a base contratual. Montar matriz por vertical regulada aqui seria over-engineering.
PME média em vertical regulada — advocacia, contabilidade, clínica, escritório técnico. Aqui a matriz operacional por vertical deixa de ser opcional. O perfil precisa de encarregado dedicado ou DPO compartilhado, política de retenção configurável por classificação, log auditável e RIPD revisado anualmente. Um email corporativo nacional com painel plano-base entrega; suíte estrangeira em tier base não entrega, e o salto para enterprise muda a conta. É o perfil onde a escolha de provedor mais pesa.
PME que cresceu e ainda usa email pessoal ou genérico herdado — 10 a 50 colaboradores que começaram com Gmail gratuito e nunca migraram. Esse perfil precisa reavaliar com urgência. A primeira auditoria de cliente regulado expõe o gap inteiro de uma vez. A recomendação é migrar para email corporativo com matriz operacional configurável: se a vertical não é regulada, o prazo confortável de migração é de 60 a 90 dias; se é regulada, o prazo cai para 30 a 45 dias, porque o risco de uma due diligence chegar antes é real. O passo a passo de uma migração sem perder histórico está no guia de armazenamento em nuvem corporativo.
Não existe "nível de LGPD" universal. Existe o nível proporcional ao dado que a empresa trata. A PME de comércio local que trata pouco dado pessoal não precisa da operação de uma clínica que guarda prontuário por 20 anos. Diagnosticar o perfil antes de comprar evita tanto o subdimensionamento perigoso quanto o sobredimensionamento caro.
Para revendedores: LGPD Art. 16 operacional é o serviço gerenciado mais defensável que um MSP pode vender
Para uma agência, MSP ou consultoria de TI, retenção e eliminação de email sob LGPD é talvez o serviço de compliance mais defensável de transformar em receita recorrente — porque o cliente em vertical regulada não consegue fazer sozinho, e a primeira auditoria prova o valor de uma vez. A matriz operacional MSP de retenção LGPD por vertical regulada deixa de ser cláusula no contrato e vira operação cobrável em quatro camadas temporais.
A operação se organiza assim, e cada etapa é uma linha de receita:
- Onboarding por cliente novo (4–6h) — mapear as categorias de email do cliente por base legal a partir do template padrão da vertical (já pronto), configurar política de retenção por classificação no painel, ativar arquivamento integrado ao cloud, redigir o RIPD operacional para o encarregado interno assinar, validar o DPA e a cadeia operador-subcontratado, treinar o responsável interno em 30–45 minutos sobre o ciclo retenção → eliminação → auditoria e entregar o dashboard inicial de classificação.
- Mensal (45min–1h por cliente) — relatório consolidado do mês (quantos emails classificados por base legal, quantos arquivados, quantos marcados para eliminação no próximo trimestre), revisão das mudanças regulatórias da vertical (CFC, OAB, CFM, ANPD) e ajuste fino da classificação automática quando surge categoria nova.
- Trimestral (2–3h por cliente) — revisão da lista de emails marcados para eliminação (o encarregado interno aprova), execução da eliminação programada documentada, atualização do RIPD se houve mudança de tratamento e validação da cadeia operador-subcontratado quando entra novo subcontratado.
- Anual (4–6h por cliente) — auditoria documentada de retenção e eliminação para o órgão regulador da vertical, RIPD revisado e assinado, reciclagem do encarregado interno (1h) e relatório de evidência objetiva pronto para apresentação a auditor externo ou cliente regulado.
O ganho comercial é estrutural. O cliente PME deixa de pagar caixa de email como commodity e passa a pagar operação de compliance LGPD continuamente auditável entregue pela agência. A matriz padronizada por vertical dilui o custo na carteira inteira: o template é repetível, e cada novo cliente da mesma vertical herda uma matriz já madura — o ciclo de onboarding cai para 2–3h depois de 5 a 10 clientes do mesmo setor. E o churn fica próximo de zero sem prender o cliente artificialmente, porque trocar de fornecedor significa reconfigurar a matriz inteira de retenção, reescrever o RIPD, refazer o DPA, recomeçar a contagem de prazo legal e retreinar o encarregado — custo de troca alto, fidelização orgânica.
A persona-chave é a agência digital, o MSP ou a consultoria de TI brasileira com carteira de 20 a 100 PMEs em vertical regulada — advocacias médias, contabilidades médias, clínicas, escritórios técnicos — que vende email, cloud e hospedagem em combo, mas ainda apresenta LGPD como cláusula de contrato. Empacotar isso como operação gerenciada MSP de RIPD + DPA + auditoria de email transforma cada vertical regulada da carteira que ainda usa email genérico em alvo natural de upgrade — com cobrança por etapa: onboarding LGPD como projeto, recorrência mensal de operação, revisão trimestral e auditoria anual.
Perguntas frequentes
Qual é o prazo de retenção de email para empresa contábil sob a LGPD?
Não há um prazo único. O email contábil e fiscal segue a base legal de obrigação legal: a escrituração costuma ser guardada por 5 a 10 anos (Código Civil Art. 1.194 combinado com os prazos decadenciais e prescricionais do CTN). A LGPD não cria esse prazo — ela exige que a empresa elimine o email quando o prazo legal terminar e a finalidade se esgotar. Reter além disso vira risco; eliminar antes vira perda de evidência.
Como eliminar email corretamente sob a LGPD sem perder evidência para auditoria depois?
Eliminando o email original ao fim do prazo legal, mas preservando o log de eliminação numa trilha separada. O registro de que aquele email existiu, de que categoria era, quando foi eliminado e por qual base legal sobrevive à eliminação do conteúdo. Isso atende o Art. 16 (eliminação) sem destruir a prova de que a operação foi feita corretamente, que a responsabilização (Art. 6, X) exige.
Email genérico (Gmail, Outlook básico) atende ao LGPD Art. 16?
Parcialmente, e com muito esforço manual. Contas gratuitas e planos-base genéricos retêm email por tempo indefinido, sem política configurável por base legal, e dependem de eliminação manual usuário a usuário. Não entregam trigger automático por prazo legal nem log auditável separado — exatamente o que uma auditoria de cliente regulado pede como evidência. Para vertical regulada, o gap aparece na primeira due diligence.
O que apresentar quando um cliente vertical regulado pede evidência operacional de LGPD no email?
Política de retenção documentada por base legal e vertical, RIPD operacional atualizado, relatório de eliminação programada (quantos emails foram eliminados por prazo expirado), log auditável de acesso à categoria pedida e o DPA assinado com o operador. Cláusula de contrato sozinha é evidência fraca — o auditor quer ver o que foi feito, datado e consistente, não o que foi prometido.
O DPA do fornecedor de email é suficiente para a LGPD ou precisa de mais documento?
O DPA é necessário, mas não suficiente. Ele define a relação operador-controlador (LGPD Art. 39). Para uma auditoria de vertical regulada, a empresa também precisa de RIPD operacional, política de retenção por base legal, evidência de eliminação programada e log de acesso. O DPA é a base contratual; o resto é a operação viva que comprova a conformidade no dia a dia.
Veja também
- Email Corporativo: Guia para Empresas Brasileiras — retenção configurável como critério de escolha
- Hospedagem de E-mail: Como Escolher o Provedor — a pergunta certa sobre log e eliminação
- Hospedagem de E-mail Corporativo no Brasil — jurisdição BR e o Art. 33
- Oracle Cloud São Paulo: os Bastidores da Meile — onde os dados ficam fisicamente
- Armazenamento em Nuvem Corporativo: Guia — migração sem perder histórico
- Meile Mail vs Google Workspace — o que o plano-base cobre e o que fica em enterprise
- LGPD 2.0: Mudanças no Email Profissional em 2026 — o cenário regulatório que pressiona a operação
- E-mail Corporativo Seguro com Arquivamento — arquivamento como camada de retenção
- E-mail Corporativo Seguro com Backup — continuidade além da retenção legal
- Compliance e LGPD na Meile e Meile Mail — a operação nativa, sem add-on de tier