Blichat

Seguraça

Instruções para Exclusão de Dados

Estas instruções servem para garantir que dados pessoais sejam apagados de forma segura, completa e conforme legislação aplicável (por ex. LGPD no Brasil), bem como as boas práticas de segurança.

1. Responsabilidade e Papéis

  • Definir um responsável interno pela gestão de dados pessoais e das requisições de apagamento (por exemplo, DPO ou Encarregado de Proteção de Dados).
  • Estabelecer um canal claro para que titulares de dados façam o pedido de exclusão (por ex. e-mail, formulário no site, suporte).

2. Requisitos Legais

  • Seguir a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018): o titular tem direito de requerer a eliminação dos dados pessoais quando não forem mais necessários para as finalidades para as quais foram coletados, ou quando revogar consentimento, ou ainda quando forem tratados de forma ilícita.
  • Cumprir prazos razoáveis para responder à solicitação de exclusão, conforme legislação ou regulamentos aplicáveis.

3. Identificação da Requisição

  • Verificar identidade do solicitante para confirmar que ele é titular dos dados ou tem autorização adequada. Exigir informações mínimas para essa confirmação, evitando exposição de outros dados pessoais.

4. Tipos de Dados a Apagar

  • Dados de perfil do usuário (nome, e-mail, telefone, endereço etc.).
  • Dados de uso, logs de acesso, histórico de conversas ou interações — dependendo do escopo e se forem considerados pessoais ou identificáveis.
  • Backups ou cópias redundantes — assegurar que também sejam removidos ou anonimizados.

5. Exclusão Técnica

  • Dados em trânsito: se houver buffers/processos intermediários, esvaziá-los.
  • Dados “em repouso”: apagar de bancos de dados principais, de cópias redundantes, de sistemas de logs, de backups, de caches.
  • Se não for possível excluir imediatamente de todos os lugares (ex: backups imutáveis), marcar os dados como “apagados” ou “anônimos” até sua destruição física ou purga automática segura.

6. Criptografia & Chaves

  • Nos casos em que os dados são criptografados, destruir/chave criptográfica e remover todas as referências que permitam decifragem. Assim, mesmo que os dados persistam algo residualmente (backup criptografado), não seja possível recuperar sua forma original.

7. Confirmação ao Solicitante

  • Enviar ao titular confirmação de que a solicitação de exclusão foi atendida, especificando quais dados foram excluídos e quando.
  • Se alguma parte dos dados não puder ser excluída (motivos legais, obrigação contratual, etc.), explicar ao titular quais dados permanecem, por que permanecem, e até quando serão mantidos.

8. Registro da Operação

  • Manter registros internos da requisição de exclusão: quem solicitou, quando, qual escopo dos dados, quem executou, que sistemas foram afetados.
  • Garantir essas informações estejam seguras e acessíveis somente para finalidades de auditoria ou conformidade.

9. Procedimentos de Segurança

  • Aplicar critérios de segurança similares aos da Chatwoot: criptografia em trânsito e em repouso; uso de módulos seguros de gestão de chaves (como AWS KMS ou equivalente); revisão periódica dos processos de exclusão; auditoria. (chatwoot.com)
  • Garantir que equipe técnica participante tenha treinamento em segurança de dados.

10. Políticas de Retenção

  • Definir políticas claras de retenção de dados (quanto tempo os dados serão guardados antes da exclusão automática ou anonimização).
  • As políticas de retenção devem estar alinhadas com exigências legais, melhores práticas e finalidade do uso.