A política de retenção da sua organização provavelmente define os prazos por categoria com precisão: contratos retidos por 7 anos, registros de funcionários por 5 anos após desligamento, dados pessoais pelo tempo em que o processamento legal continua. A política é boa. O problema é que política não se executa sozinha — e a maioria das organizações não tem processo operacional para garantir que ela realmente rode.
A lacuna entre política e prática é quase sempre uma falha operacional, não jurídica. O time jurídico escreveu uma política defensável. Ninguém projetou o processo mensal que revisa quais dados estão vencidos para descarte, gera evidência dessa revisão e produz uma trilha rastreável quando um regulador perguntar o que aconteceu com uma categoria específica de dados seis meses atrás.
Gerenciamento de retenção por planilha tem três modos de falha, e são totalmente previsíveis. Fragmentação de ownership: quem verifica qual categoria este mês? Conflito de versões: qual planilha é o cronograma de retenção atual? Ausência de evidência: a revisão aconteceu, mas não há registro de quem autorizou o descarte nem quais critérios foram aplicados. Se você depende de planilha, provavelmente já encontrou os três.
No Cadenio, a revisão mensal de retenção é um Flow programado que abre automaticamente no primeiro dia útil de cada mês. Cada categoria de dados é uma tarefa discreta atribuída ao owner da categoria: revisar quais registros estão vencidos para descarte, confirmar a decisão de destinação, anexar a autorização de descarte, concluir a tarefa. O run não pode ser encerrado sem que todas as tarefas tenham sido resolvidas. Sem exceções.
Para categorias de dados regulados — dados pessoais sob LGPD ou GDPR, registros financeiros sob obrigações fiscais, dados de saúde sob janelas setoriais — o Flow exige gate de aprovação jurídica antes de qualquer ação de descarte. Nenhuma exclusão de dado regulado fora de uma decisão autorizada e documentada.
A trilha de auditoria de cada run mensal concluído responde todas as perguntas que uma autoridade de proteção de dados faria: qual categoria foi revisada, em qual data, quem tomou a decisão de descarte, qual documento de autorização foi anexado, se alguma exceção foi escalonada. A evidência não está na caixa de entrada de alguém. Está no run.
Doze meses de runs mensais concluídos produzem um registro de compliance operacional demonstravelmente mais sólido do que qualquer documento de política isolado. Ele mostra não apenas o que a política determina — mas a sequência precisa de como e quando ela foi executada, mês após mês.