Retenção de dados no WordPress é guardar cada informação pessoal só pelo tempo que a finalidade exige. Segundo a LGPD (2018), o artigo 16 manda eliminar o dado após o fim do tratamento. O risco mora em backups e logs com até 5 anos de histórico, não só no banco principal. Defina prazo por tipo de dado e automatize a purga.

A retenção de dados no WordPress define por quanto tempo o site guarda informação pessoal antes de apagá-la. Não é só sobre o banco de dados principal: comentários, logs de plugin de segurança, pedidos do WooCommerce e backups antigos também armazenam nome, e-mail e IP. A LGPD não fixa um prazo único, ela exige que cada dado seja eliminado quando a finalidade acaba. Para um site WordPress real, isso vira uma política prática: o que guardar, por quanto tempo e como remover sem quebrar o histórico fiscal. Este guia separa os três prazos que importam e mostra onde o WordPress costuma vazar dados esquecidos. Veja também o panorama de conformidade com a LGPD no WordPress e o conjunto de conteúdos sobre LGPD e privacidade no WordPress da FULL para o contexto legal completo.

O que é retenção de dados no WordPress

A retenção de dados no WordPress é o conjunto de prazos e rotinas que decide quando cada informação pessoal sai do site. O art. 16 da Lei 13.709/2018 obriga a eliminação do dado após o tratamento, com poucas exceções legais previstas nos 5 incisos do artigo.

Na prática, isso atinge cinco lugares no banco: a tabela wp_users, a wp_comments, os metadados de pedido do WooCommerce, os logs de plugins que o banco de dados do WordPress registra e os arquivos de backup. Um dado pessoal é qualquer um que identifique a pessoa: e-mail, IP, telefone ou CPF. A regra da LGPD é simples de enunciar e difícil de executar, porque o WordPress nunca apaga sozinho.

Por que a retenção de dados excessiva vira passivo legal

Guardar dado além do necessário transforma cada vazamento num incidente maior e fora da lei. A ANPD pode aplicar multa de até 2% do faturamento, limitada a R$ 50 milhões por infração, conforme o art. 52 da Lei Geral de Proteção de Dados, então dado esquecido é passivo direto.

O problema técnico é que o WordPress nunca apaga sozinho: a wp_comments cresce por anos e mantém e-mail e IP de quem comentou uma vez em 2019. A gente vê no suporte da FULL que boa parte dos sites antigos carrega base inteira de leads que já pediram exclusão, mas continuam vivos no banco. Se o titular exerceu o direito de eliminação e o dado segue lá, o site descumpre a LGPD na próxima auditoria. A retenção de dados enxuta é o que reduz a superfície: menos dado guardado, menos risco em caso de invasão. Por isso ela anda junto com a segurança do WordPress e não separada dela.

Os 3 prazos que toda política de retenção de dados precisa ter

Toda política de retenção de dados no WordPress se organiza em 3 prazos distintos, porque os dados têm finalidades diferentes. O primeiro é o prazo de marketing: lead que entrou por formulário e não interage há 12 meses deve ser anonimizado ou excluído, já que a finalidade de contato expirou.

O segundo é o prazo fiscal: pedido do WooCommerce com nota fiscal precisa ficar cinco anos por exigência contábil, e nesse caso a guarda é a base legal que supera a eliminação. O terceiro é o prazo operacional: logs de segurança, registros de IP e backups servem por semanas, não anos. Misturar os três é o erro mais comum.

Separe dado fiscal de dado de marketing

Separe o que a lei manda guardar do que você só esqueceu de apagar. Um pedido pago no WooCommerce tem amparo legal para ficar cinco anos, mas o IP de quem abandonou o carrinho não. O consentimento de cookies cai no prazo curto. Documente cada tipo e marque a base legal antes de definir o prazo.

Onde o WordPress esconde dado pessoal esquecido

O WordPress espalha dado pessoal por pelo menos 6 tabelas que a maioria dos administradores nunca abre. Além da wp_users e da wp_comments, a wp_usermeta guarda metadados de perfil e a wp_actionscheduler_logs acumula registros de tarefas com e-mail, enquanto plugins de formulário criam tabelas próprias a cada envio.

Em sites WooCommerce que rodam há mais de três anos, a wp_comments e a wp_actionscheduler_logs costumam guardar IP e e-mail de quem nunca virou cliente. A retenção de dados sem inventário é cega: você não pode apagar o que não sabe que existe. Ferramentas como WP-Optimize, Adminer e o próprio phpMyAdmin mostram o tamanho de cada tabela. Antes de qualquer purga, faça um backup automático completo, porque exclusão em banco de produção não tem desfazer. O exportador nativo de dados pessoais do WordPress (Ferramentas, Exportar dados pessoais) lista o que o core conhece, mas não enxerga tabelas de plugin como as do WPForms.

Como automatizar a retenção de dados sem quebrar o site

Automatizar a retenção de dados significa agendar a purga por tipo de dado, nunca apagar tudo de uma vez. O WP-Optimize remove revisões, comentários de spam e transients expirados em rotina agendada; configure-o para rodar a cada 90 dias e preservar pedidos do WooCommerce, enquanto o Complianz cuida do prazo do consentimento de cookies.

O All in One Security tem retenção configurável de logs de login, padrão que costuma vir em modo infinito e precisa cair para 180 dias. A regra causal é direta: backup diário sem política de expiração mais storage externo gera cópias com dados pessoais já eliminados do site principal, mas ainda vivas fora de controle. Configure o UpdraftPlus para reter no máximo cinco a sete cópias. Em testes na base da FULL, o ponto que mais escapa é o log de segurança com retenção infinita: o banco infla e o site registra IP muito além do prazo que a LGPD justifica.

Retenção de dados em escala: O problema de quem cuida de muitos sites

Manter a retenção de dados sob controle em 1 site é trabalho manual; em dezenas, vira o gargalo. Cada WordPress tem plugin diferente, prazo diferente e administrador diferente, e a política só funciona se for padronizada na frota inteira de sites geridos pela mesma equipe.

É aqui que a plataforma FULL atua: ela conecta mais de 150 mil sites e permite aplicar configuração e atualização de plugins de privacidade em escala, sem entrar site por site. A gente vê no suporte que a maior parte dos vazamentos de dado antigo vem de site esquecido, sem rotina de purga ativa. Padronizar WP-Optimize, All in One Security e a política de backup na base toda fecha essa brecha.

Para quem administra muitos sites, o plano PRO da FULL custa R$849 por mês e inclui os 17 plugins do bundle, o que dá cerca de R$85 por site quando você distribui pela carteira. Em vez de comprar licença avulsa de cada plugin de privacidade e configurar um a um, a política de retenção de dados sai padronizada de uma vez. Conheça os planos da FULL e veja a economia por site na prática.

Perguntas frequentes sobre retenção de dados no WordPress

Próximos passos para uma política de retenção de dados sólida

Uma política de retenção de dados sólida começa pelo inventário e termina na automação. Mapeie cada tabela com dado pessoal, defina o prazo por finalidade, agende a purga no WP-Optimize e ajuste a retenção de logs do All in One Security e dos backups do UpdraftPlus. Depois disso, a manutenção é só revisar os prazos uma vez por ano. Para aprofundar o lado legal, vale criar uma política de privacidade para o WordPress e checar se o seu site usa cookies sem aviso. Quem quer estudar o tema com profundidade encontra todo o material reunido no FULL Academy, o centro de conteúdo educativo da FULL sobre WordPress.

Legenda: o agendamento trimestral do WP-Optimize aplica a política de retenção sem exclusão manual em banco de produção.