Esta PRD tem como base e referencia:
- • LEI 13.709 / 18 – Lei Geral de Proteção de Dados Pessoais (LGPD)
- • Norma ABNT NBR ISO/IEC 27001:2013 – Tecnologia da informação – Técnicas de segurança — Sistemas de gestão da segurança da informação
DESTINATARIOS, FINALIDADE E AMBITO
Esta política define os períodos de retenção necessários para todas as categorias especificas de dados pessoais e define padrões mínimos a serem aplicados ao destruir certas informações dentro da empresa. Esta política aplica-se a todo o sistema, processos internos, relações de negócios e / ou outras relações comercias com terceiros.
Esta política aplica-se a todos os colaboradores, independentemente do nível estabelecido na PSI, consultores e prestadores de serviços que possam recolher, processar ou ter acesso a dados, incluindo dados pessoais e / ou dados confidenciais.
É responsabilidade de todos acima descritos se familiarizarem com esta Política e é dever de todos zelar pelo seu cumprimento adequado. Esta Política tem aplicabilidade em todas as informações tratadas pela empresa, entre elas, destacam-se:
a) Endereços eletrônicos
b) Documentos impressos
c) Documentos digitais
d) Dados gerados pelo sistema
REGRAS DE RETENÇÃO
1. PRINCIPIO GERAL DE RETENÇÃO
O período de retenção máximo, no que se refere aos dados pessoais, não serão mantidos por mais tempo do que o necessário para requisitos operacionais, conforme artigos 15 e 16 da Lei No. 13.709/18. Isso significa que, o tempo que manteremos os dados dependerá diretamente da finalização do serviço prestado ou após a finalização da demanda judicial, se este for o caso.
No caso de qualquer categoria de documentos não especificados nesta política, no Calendário de Retenção de Dados ou exigidos de outra forma pela lei aplicável, os dados serão tratados conforme determina o art.16 da Lei Geral de Proteção de Dados:
“Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
I – verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II – fim do período de tratamento;
III – comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou
IV – determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I – cumprimento de obrigação legal ou regulatória pelo controlador;
II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.”
2. RETENÇÃO E DESCARTES DOS DADOS
Para cada um dos cenários descritos na tabela abaixo, existe um período de retenção e uma forma de descarte adequado, conforme se segue:
| TIPO DE REGISTRO | DESCRIÇÃO | PERIODO DE RETENÇÃO | FORMA DE DESCARTE |
| Negocio | Documentos Tributários | Indeterminado | |
| Negócios | Relação comercial ( nome; cargo; RG; CPF; endereço; país de origem; profissão; telefone e e-mail | Durante relação comercial e mais 5 ambos após o término ou prontamente, em caso de exaurimento da finalidade | Eliminação do cadastro pela equipe responsável, deletando todos os registros de forma |
| segura | |||
| Negócios | Gastos referente à manutenção da empresa e despesas em geral | Indeterminado | |
| Recursos Humanos | Gestão de RH | Durante o contrato de trabalho e mais 5 anos após o término | Eliminação do cadastro pela equipe responsável, deletando todos os registros de forma segura |
| Recursos Humanos | Gestão de Carreira | Durante o contrato de trabalho e mais 5 anos após o término | Eliminação do cadastro pela equipe responsável, deletando todos os registros de forma segura |
| Recursos Humanos | Recrutamento e Seleção | Reprovação pós entrevista: 180 dias Aprovação do Candidato: Durante o contrato de trabalho e mais 5 anos após o término | Eliminação do cadastro pela equipe responsável, deletando todos os registros de forma segura |
| Administrativo | Viagens de negócios | Durante o contrato de trabalho e mais 5 anos após o término | Eliminação do cadastro pela equipe responsável, deletando todos os registros de forma segura |
| Segurança | Crachá de acesso à empresa | Durante do contrato de Trabalho | Eliminação do cadastro pela equipe responsável, deletando todos os registros de forma |
| segura | |||
| Segurança | Logs de acesso | Durante o contrato de trabalho: 30 dias Após o termino do contrato: 5 anos | Eliminação do cadastro pela equipe responsável, deletando todos os registros de forma segura |
BACKUP DOS DADOS DURANTE O PERIODO DE RETENÇÃO
A possibilidade de que os meios de dados usados para backup se desgastem, deve ser considerada. Se forem escolhidos meios de backup eletrônicos, todos os procedimentos e sistemas que garantem o acesso à informação durante o período de retenção, tanto no que diz respeito ao portador da informação quanto na legalidade dos formatos, também serão guardados de maneira a proteger as informações contra perdas como resultado de futuras mudanças tecnológicas. A responsabilidade pelo armazenamento é da Gerência da empresa.
DESTRUIÇÃO DE DADOS
A empresa e seus colaboradores devem regularmente rever todos os dados, sejam eles mantidos eletronicamente ou em papel, para decidir eliminar ou excluir quaisquer dados, uma vez que as finalidades desses documentos já não são mais relevantes.
A responsabilidade geral pela destruição de dados é da Equipe de Proteção de Dados. Uma vez tomada a decisão de eliminar, de acordo com o calendário de Retenção, os dados devem ser excluídos, triturados ou destruídos levando em conta se são em papel ou em formato eletrônico, considerando seu grau de equivalência, o seu valor para terceiros e o seu nível de confidencialidade.
Os documentos que contenham informações sensíveis, confidenciais e particulares, devem ser destruídos como lixo confidencial, e estão sujeitos a eliminação eletrônica segura.
Devem existir controles apropriados que impeçam a perda permanente de informações essências da empresa como resultado da destruição maliciosa ou não intencional de informações.
A Equipe de Proteção de Dados deve documentar e aprovar totalmente o processo de destruição.
O não cumprimento desta Política pelos trabalhadores permanentes, temporários ou contratados, ou quaisquer terceiros, que tenham tido acesos às instalações ou informações da empresa, pode resultar em processos disciplinares ou no termino de seu contrato de trabalho. Também pode 3ensejar a ações legais contra as partes envolvidas em tais atividades.
CALENDARIZAÇÃO DE DESTRUIÇÃO DOS DOCUMENTOS
Os documentos constantes nesta Política de Retenção de Dados, terão respeitados os prazos previamente especificados.
Os que não constam nesta Política, terão prazo de armazenamento de 5 (cinco) anos ou serão armazenados no prazo legal de seus respectivos vencimentos.
DESTRUIÇÃO DOS DOCUMENTOS
Assim que o período expirar, e desde que não haja uma razão válida para que mantenhamos os, Dados Pessoais em cópia física serão destruídos como resíduo confidencial e aqueles mantidos eletronicamente serão excluídos do sistema de forma segura.
As mídias físicas ao serem descartadas, são formatadas, apagadas e conferidas, para ter certeza de que estão vazias. Após esse processo, os discos são destruídos e suas mídias são perfuradas.
Na hipótese de investigação em curso, processos administrativos e judiciais são razões válidas para manutenção dos registros e, independentemente de consentimento, os períodos de armazenamento indicados acima poderão ser prorrogados nesses casos.
Exceto nas hipóteses acima indicadas, caso a empresa tenha o interesse em estender o prazo de armazenamento, os titulares dos Dados Pessoais deverão ser notificados por escrito, com antecedência razoável da data do termino do período de retenção. Se o titular dos Registros optar por exercer seu direito de eliminação dessas informações, os Dados Pessoais serão descartados imediatamente, exceto em hipótese de cumprimento de obrigação legal ou regulatória.
