Quanto tempo devo guardar documentos de PLD/FT no Brasil?

Como regra prática, o prazo costuma ser de dez anos, conforme a Lei 9.613/98 e as normas setoriais aplicáveis. O marco inicial exato depende da natureza da relação e da norma do setor.

Quais documentos de onboarding devo conservar?

Dados cadastrais, documentos de identidade, verificações realizadas, screening de listas, PEP e mídia adversa, classificação de risco e a decisão de aprovação, pendência ou recusa.

No caso de pessoa jurídica, o que não pode faltar?

Documentos societários, identificação de representantes, sócios e beneficiário final, análise da atividade econômica, licenças relevantes e registro da diligência ou da aprovação realizada.

Preciso guardar alertas e investigações também?

Sim. Alertas, cronologia do caso, racional do analista, decisões internas e evidências ligadas a bloqueios, reclassificações ou comunicações ao COAF devem ser conservados.

Posso guardar tudo em e-mail e planilha?

Não é o ideal. A instituição precisa de repositório organizado, busca por cliente ou caso, controle de acesso e trilha de auditoria para provar o que foi visto e decidido em cada momento.

Como conciliar retenção documental e LGPD?

A retenção deve seguir base legal, acesso controlado, minimização e descarte seguro ao fim do prazo. Conservar por obrigação regulatória não autoriza exposição desnecessária dos dados.

O que acontece se eu não tiver a evidência em auditoria?

Mesmo que o processo tenha ocorrido, a ausência de documentação enfraquece muito a defesa da empresa, porque ela não consegue provar como conheceu o cliente, tratou o alerta ou fundamentou uma decisão.

Registro e conservação de documentos PLD: o que guardar e por quanto tempo

Toda empresa obrigada fala em KYC, monitoramento, PEP e comunicação ao COAF. Mas, quando chega uma auditoria, uma revisão interna ou um pedido de explicação de parceiro regulado, a pergunta decisiva costuma ser outra: onde está a evidência? Se o processo existiu, mas não foi documentado e conservado corretamente, na prática ele quase não existiu.

É por isso que registro e conservação de documentos são pilares de qualquer programa de PLD/FT. Eles permitem reconstruir decisões, provar diligência, entender como o cliente entrou, o que mudou ao longo da relação e como alertas foram tratados. Este guia mostra o que guardar, por quanto tempo e como organizar isso de modo útil.

Por que a documentação é tão importante

Em compliance, memória não basta. Pessoas mudam de função, ferramentas são trocadas, operações crescem e casos antigos voltam à mesa meses ou anos depois. Quando isso acontece, a instituição precisa ser capaz de responder:

quem era o cliente;
quais documentos foram apresentados;
como a identidade foi verificada;
qual risco foi atribuído;
que alertas apareceram;
o que foi decidido e por quê.

Sem documentação, o programa perde credibilidade perante auditoria, parceiros e reguladores. Mais do que isso, a empresa fica sem base para justificar por que um cliente foi aceito, mantido, bloqueado ou reportado.

Base legal e prazo geral no Brasil

A Lei 9.613/98 determina o dever de manter registros e conservar documentos relacionados às operações e à identificação de clientes. Normas do COAF, do BACEN e de reguladores setoriais complementam essa exigência conforme o tipo de atividade.

Como regra prática amplamente adotada, o prazo de conservação costuma ser de dez anos, contado na forma prevista pela norma aplicável, frequentemente a partir do encerramento da relação ou da conclusão da operação. Esse prazo deve ser validado no contexto setorial específico, mas a mensagem operacional é clara: não se trata de retenção curta.

Quem ainda não organizou a camada anterior do processo deve começar pela diligência prévia de clientes e pelo desenho do monitoramento contínuo, porque a política documental nasce dessas atividades.

O que guardar do onboarding de pessoa física

Para pessoa física, a documentação normalmente inclui:

dados cadastrais principais;
cópia ou evidência do documento apresentado;
resultados de verificações de identidade;
prova de vida, quando aplicável;
comprovantes de endereço ou contatos relevantes;
classificações de risco;
screening de listas, PEP e adverse media;
registro da decisão de aprovação, pendência ou recusa.

Não é necessário guardar tudo indiscriminadamente sem critério. Mas é necessário guardar o que permita reconstituir a análise realizada e provar que a instituição conheceu o cliente de forma proporcional ao risco.

O que guardar do onboarding de pessoa jurídica

Para pessoa jurídica, a camada documental costuma ser mais extensa:

contrato ou estatuto;
cartão CNPJ e dados cadastrais;
documentos de representantes;
quadro societário;
identificação de beneficiário final;
estrutura de controle, quando relevante;
licenças ou autorizações pertinentes;
análise de atividade e finalidade da relação;
aprovações internas e diligência reforçada, se houver.

Em setores como pagamentos, cripto e operações patrimoniais, é importante também guardar evidências da análise do modelo de negócio do cliente, principalmente quando há risco de atuação diversa da declarada.

O que guardar sobre transações e comportamento

Muitas empresas até guardam o cadastro, mas falham no histórico operacional. Em PLD/FT, isso é um grande problema. É essencial conservar:

registros de transações relevantes;
logs de movimentação e liquidação;
alertas gerados por monitoramento;
parâmetros aplicados em regras críticas;
justificativas de exceção ou desbloqueio;
histórico de revisão de perfil.

Esses elementos são fundamentais para explicar por que determinada movimentação foi considerada normal, atípica ou suspeita. Sem eles, até uma boa decisão fica difícil de defender depois.

O que guardar sobre investigações e comunicações

Quando um caso vira investigação interna, a necessidade de retenção fica ainda mais sensível. Vale conservar:

o alerta inicial;
as consultas realizadas;
cronologia do caso;
notícias, telas e documentos analisados;
racional do analista;
decisão de arquivamento, manutenção, bloqueio ou reporte;
evidência da comunicação de operação suspeita ao COAF, quando aplicável.

Isso não serve só para responder a terceiros. Serve também para consistência interna. Casos semelhantes devem ser comparáveis, e isso só acontece quando a instituição consegue revisitar o que foi feito antes.

Como organizar o repositório documental

Guardar documentos não é sinônimo de jogar arquivos em pastas soltas. Um repositório útil precisa permitir busca por:

cliente;
CNPJ/CPF;
data;
tipo de documento;
status de relacionamento;
número do caso ou alerta.

O ideal é que onboarding, screening, monitoramento e investigação conversem entre si. Quando cada etapa vive em ferramenta separada e sem identificador comum, a reconstrução do caso se torna lenta e insegura.

Também é importante ter controle de versão: políticas mudam, dados cadastrais mudam, decisões mudam. O sistema precisa mostrar o que existia em cada momento, e não apenas o estado final.

LGPD, minimização e acesso controlado

Conservar documentos por prazo legal não significa acesso irrestrito nem retenção sem propósito. A política precisa equilibrar obrigação regulatória com boas práticas de privacidade. Isso implica:

restringir acesso por necessidade funcional;
registrar visualizações e extrações sensíveis;
evitar cópias paralelas em e-mail e planilhas;
definir descarte seguro ao fim do prazo;
documentar base legal para retenção.

Em outras palavras, compliance documental também é tema de governança de dados. Não adianta cumprir a regra de retenção e, ao mesmo tempo, criar exposição desnecessária de dados pessoais.

Quando começa a contar o prazo

Essa é uma dúvida comum. Em muitos casos, o prazo é contado a partir:

do encerramento do relacionamento;
da conclusão da operação;
da data do registro específico, conforme a natureza da informação.

O melhor caminho é não depender de interpretação informal. A política interna deve dizer qual marco temporal vale para cada categoria documental. Assim, a organização evita tanto descarte precoce quanto retenção indefinida sem controle.

Descarte seguro também faz parte do processo

Pouca gente fala disso, mas descarte é parte do ciclo. Quando o prazo legal e a base de retenção se encerram, o ideal é eliminar o dado de modo seguro, documentado e compatível com a criticidade da informação.

Isso envolve:

regras claras de expurgo;
trilha de quem autorizou e executou;
garantia de remoção de cópias operacionais, quando possível;
compatibilização com litígios ou investigações em curso.

Uma política madura não termina no armazenamento. Ela termina quando a instituição sabe exatamente o que mantém, por que mantém e quando pode descartar.

Erros mais comuns em documentação de PLD/FT

Os problemas clássicos são:

guardar só o documento e não a análise;
não versionar o cadastro;
perder histórico de alertas e decisões;
depender de anexos espalhados em e-mail;
conservar em excesso sem organização;
não alinhar retenção com a LGPD e com políticas de acesso.

Outro erro recorrente é esquecer que documentação ruim inviabiliza até o trabalho futuro de onboarding e monitoramento contínuo, porque a empresa não consegue reaproveitar contexto nem revisar decisões passadas.

Como estruturar uma política útil

Se você quer sair do papel, comece assim:

defina categorias de documentos por etapa do ciclo do cliente;
associe cada categoria ao prazo e ao marco inicial de contagem;
centralize o armazenamento com busca e trilha de acesso;
conecte documentos a alertas, casos e decisões;
revise periodicamente a aderência da prática à política.

Em PLD/FT, o melhor documento não é o mais bonito. É o que permite provar, anos depois, que a empresa sabia o que estava fazendo.

Precisa automatizar seu processo de compliance?

A Legaltalent ajuda fintechs, processadores de pagamento e obrigados a cumprir PLD/FT de forma simples e eficiente. Nossa plataforma permite verificar identidades, fazer screening contra listas de sanções e PEPs, e manter toda a documentação organizada.

Comece grátis e descubra como podemos ajudar você a cumprir sem complicações.