EntrarFalar com especialistas

Política de Retenção e Exclusão de Dados

Descreve os princípios de retenção e minimização de dados na NEXEFII, como funciona a exclusão mediante solicitação ou encerramento e como as evidências de aceite são preservadas para fins de responsabilização. Os prazos específicos são os prazos definidos na Política de Retenção e Exclusão de Dados, pendentes de revisão.

Versão
2026.2
Última atualização
2026-07-11

Princípios de retenção e minimização

A NEXEFII busca reter dados pessoais apenas pelo tempo necessário às finalidades para as quais foram coletados, aos requisitos operacionais da plataforma e às obrigações legais aplicáveis.

Adotamos o princípio da minimização: coletar o mínimo necessário, limitar o acesso conforme função (RBAC) e reduzir a exposição de dados sensíveis sempre que possível.

Prazos de retenção por categoria

Os prazos específicos de retenção por categoria de dado — por exemplo, dados de conta, registros operacionais, logs de auditoria e evidências de aceite — são os prazos definidos na Política de Retenção e Exclusão de Dados, ainda pendentes de revisão jurídica e do DPO.

Não publicamos prazos definitivos até que sejam confirmados, para não afirmar compromissos não verificados.

Exclusão mediante solicitação ou encerramento

Mediante solicitação legítima do titular ou do cliente, e no encerramento da relação contratual, a NEXEFII conduz a exclusão ou anonimização dos dados pessoais aplicáveis, respeitadas as exceções legais que exijam retenção.

Algumas informações podem precisar ser mantidas por período adicional para cumprimento de obrigações legais, defesa de direitos ou fins de auditoria e responsabilização, conforme detalhado na Política de Privacidade.

Retenção de evidências de aceite e auditoria

Evidências de aceite de documentos legais e trilhas de auditoria são preservadas para fins de responsabilização (accountability) e comprovação de consentimento e aceite ao longo do tempo.

As trilhas de auditoria da plataforma são imutáveis por design, o que sustenta a integridade dessas evidências.

Minimização de endereços IP em evidências de aceite

Nas evidências de aceite legal, os endereços IP são minimizados: são truncados ou submetidos a hash antes do registro, e não são armazenados em bruto (forma completa).

Esse tratamento reduz a exposição de dado potencialmente identificável, preservando ao mesmo tempo evidência técnica suficiente de que o aceite ocorreu.

Backups

Cópias de segurança (backups) podem reter dados por um período além da exclusão nos sistemas ativos, em razão de ciclos técnicos de backup e restauração.

Dados presentes em backups são sobrescritos ou expiram conforme os ciclos de rotação; enquanto isso, permanecem sujeitos aos controles de acesso e segurança aplicáveis.

Contato

Solicitações de exclusão ou dúvidas sobre retenção de dados podem ser encaminhadas para contact@nexefii.com.

Ciclo de vida do tenant e retenção

A política de ciclo de vida do tenant define os seguintes estados: ATIVO (ACTIVE), SUSPENSO (SUSPENDED), JANELA DE EXPORTAÇÃO (EXPORT_WINDOW), ARQUIVADO (ARCHIVED), RESTAURÁVEL (RESTORABLE), EXCLUSÃO AGENDADA (DELETION_SCHEDULED), EXCLUÍDO (DELETED) e RETENÇÃO LEGAL (LEGAL_HOLD). Esses estados descrevem o alvo de política e nem todos correspondem a mecanismos automatizados já implementados.

Ao cancelamento, cessamos o novo processamento operacional. Uma janela de exportação é oferecida conforme a política configurada, para que os dados possam ser recuperados durante esse período. Encerrada a janela, os dados são removidos do ambiente operacional e o tenant é arquivado de forma segregada e protegida (esse arquivamento segregado é um alvo de política, não uma afirmação de que já existe um arquivo frio isolado).

O limite de "até cinco anos" é um MÁXIMO de política do Master Control, e não uma retenção uniforme obrigatória para toda categoria; a retenção efetiva é aplicada por meio de uma matriz por categoria, identificada como os prazos definidos na Política de Retenção e Exclusão de Dados. Credenciais, sessões, tokens e segredos não são restaurados. Uma retenção legal (legal hold) suspende a exclusão apenas mediante justificativa.

Solicitações de exclusão válidas são avaliadas conforme o contrato e a legislação aplicável. Os backups possuem o próprio ciclo de expurgo, distinto da exclusão nos sistemas ativos. Quando aplicável, um aviso é emitido antes da exclusão final. A reativação, quando possível, exige a mesma organização, autoridade validada, uma nova assinatura, os mesmos módulos ou módulos compatíveis, verificação de compatibilidade e uma restauração auditada.

Não prometemos a restauração de integrações, tokens, sessões ou dados transitórios, nem disponibilidade eterna. A restauração, quando ocorrer, é um processo auditado e sujeito a verificação, não uma garantia técnica incondicional.

Estado atual da implementação (honesto)

De forma honesta: hoje o Master Control implementa um status lógico de tenant (ativo, inativo, suspenso e arquivado) no MESMO banco de dados operacional, com uma transição de arquivamento auditada (evento TENANT_ARCHIVED). Não afirmamos a existência de um arquivo frio segregado.

A exclusão definitiva (hard delete/purga), um arquivo frio segregado, uma janela de exportação automatizada, um temporizador de retenção automatizado e um fluxo de restauração automatizado ainda NÃO estão implementados; são fases futuras. Os estados de política acima descrevem o alvo pretendido, não capacidades já disponíveis.

É importante distinguir quatro conceitos: (i) retenção lógica — o dado permanece no banco operacional sob um status como arquivado; (ii) arquivo segregado — um armazenamento isolado do ambiente operacional, ainda não implementado; (iii) backup — cópias de segurança com o próprio ciclo de expurgo; e (iv) restauração — o retorno de um tenant à operação, hoje conduzido manualmente e de forma auditada, sem fluxo automatizado.

Versão e vigência

Versão 2026.1. Última atualização em 2026-07-11. Data de vigência pendente de publicação após revisão jurídica e do DPO.