POLÍTICA DE RETENÇÃO E DESCARTE DE DADOS

GRUPO AUXILIAR

1. Introdução

A alta direção do GRUPO AUXILIAR se compromete a seguir toda a conformidade com a Lei n. 13.709/18 (Lei Geral de Proteção de Dados – LGPD), visando todas as precauções a fim de mitigar possíveis ocorrências internas e externas, condizente a isto, a atuação de acordo com o Art. 5º e os incisos IV e XIV. Para fins desta Lei é considerado a eliminação, exclusão de dados ou de conjunto de dados armazenados, independentemente do procedimento empregado, e descreve de forma clara a definição de bancos de dados que é o conjunto estruturado de informações pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. Seguindo com esta diretriz, estabelecemos a política de descarte de documentos inativos, devendo e não se limitando a:

  1. Garantir que todos os dados de colaboradores, clientes, fornecedores e demais partes interessadas pertinentes tenham acesso restrito e que seja somente dos responsáveis em desempenhar tais tratativas para devidos fins trabalhistas e empregatícios
  2. Tomar medidas oportunas e adequadas para solucionar preocupações levantadas pelos trabalhadores e outras partes interessadas e comunicar essas ações a eles, caso se aplique;
  3. O GRUPO AUXILIAR realiza o descarte de documentos conforme está descrito na definição do Art. 5º e no inciso IV, como forma de não reter dados com um período superior a 5 anos, com exceção de processos judiciais em aberto;
  4. Assegurar a melhoria contínua com a Lei n. 13.709/18 (Lei Geral de Proteção de Dados – LGPD), realizando todas as manutenções necessárias pertinentes a esses devidos fins;
  5. Assegurar a eliminação dos documentos destituídos de valor legal, comprobatório ou histórico, em consonância com a legislação arquivística brasileira.

2. Objetivo

Complementar a Política Interna de Proteção de Dados e Política de Segurança da Informação do GRUPO AUXILIAR , definindo as diretrizes para o devido armazenamento, manuseio e descarte de informações.

3. Classificação de Registros

3.1.      Registros de Negócios

Informações registradas em qualquer meio, criadas ou capturadas que reflitam circunstâncias, eventos, atividades, transações ou resultados criados ou mantidos como parte da condução das atividades operacionais do GRUPO AUXILIAR.

3.2.      Registros de Marketing e Comunicação

Informações pessoais obtidas pela organização em (i) campanhas publicitárias, ações promocionais e pesquisas; (ii) redes sociais; e (iii) serviço de atendimento ao consumidor – SAC.

Os Registros utilizados para fins de marketing ou de pesquisa permanecerão armazenados na base do GRUPO AUXILIAR apenas enquanto perdurar o interesse do titular em receber esses materiais, sendo possibilitado o opt-out a qualquer tempo, o qual permite a revogação do consentimento, caso esta seja a base legal que fundamente a respectiva modalidade de tratamento.

3.3.      Registros de Recursos Humanos

Dados Pessoais coletados para (i) gestão do RH, como por exemplo, gerenciamento de tempo de trabalho, salários, benefícios, contribuições previdenciárias e impostos; férias, licenças, ausências; (ii) gestão de carreira, como treinamentos, avaliações, experiência profissional, mobilidade no GRUPO AUXILIAR ; (iii) administração do RH para comunicação corporativa, trabalho em rede social da empresa e uso de ferramentas de computador e telefonia; organogramas, serviços corporativos, planejamento e orçamentos, relatórios, pesquisa, reorganizações, aquisições e cisões; (iv) saúde ocupacional, como atestados médicos, prontuário médico, atestados de saúde ocupacional e todos os demais relacionados à saúde do empregado; (v) recrutamento e seleção, como nome, gênero, estado civil, idade, dados de contato, RG, CPF, comprovante de endereço, dados bancários, informações de função, habilidades, experiências, qualificações, referências, currículo, dados de entrevista e avaliação, notas e registros da entrevista e qualquer outra informação que o candidato disponibilize para nossa organização; e (vi) gestão de viagens de negócios, como informações para organização de viagens (preferências, local etc.); CNH e despesas. Alguns Dados Pessoais são retidos após o término do contrato de trabalho, estágio ou contrato de trabalho temporário para cumprir os períodos legais de armazenamento definidos pela legislação trabalhista ou tributária.

3.4.      Registros de Segurança

Informações coletadas para gerenciamento do acesso e permanência nas instalações do GRUPO AUXILIAR como nome, RG, CPF, foto, biometria, controle de crachá, instalações por CFTV, login e senha para acesso aos sistemas de informação do GRUPO AUXILIAR .

4. Definição de Termos

4.1.      Anonimização

Técnica que resulta do tratamento de dados pessoais a fim de lhes retirar elementos suficientes para que deixe de ser possível identificar o titular dos dados, de forma irreversível. Mais precisamente, os dados têm de ser tratados de forma a que já não possam ser utilizados para identificar uma pessoa singular utilizando o conjunto dos meios suscetíveis de serem razoavelmente utilizados, seja pelo responsável pelo tratamento, seja por terceiros.

4.2.      Dados Pessoais

Qualquer informação relacionada a pessoa natural identificada ou identificável (titular dos dados), de qualquer natureza e independentemente do respectivo suporte. É considerada identificável a pessoa que possa ser identificada direta ou indiretamente, designadamente por referência a um número de identificação ou a mais elementos específicos da sua identidade física, fisiológica, psíquica, econômica, cultural ou social.

4.3.      Dados Pessoais Sensíveis

Dados sobre a origem racial ou étnica do seu titular, as suas opiniões políticas, as suas convicções religiosas ou filosóficas, informação genética, identificadores biométricos, vida sexual, orientação sexual ou sobre a sua saúde.

4.4.      Definição de Perfis:

Qualquer forma de tratamento automatizado de dados pessoais que consista na utilização desses dados pessoais para, nomeadamente, incluir uma pessoa singular em determinada categoria, respeitante ao seu desempenho profissional, à sua situação econômica, saúde, preferências pessoais, interesses, comportamento, localização ou deslocações.

4.5.      Encarregado da proteção de dados (Data Protection Officer – “DPO”):

Nomeado para ser responsável pela integridade dos dados pessoais e para atuar como canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.

4.6.      LGPD

Sigla para Lei Geral de Proteção de Dados. Refere-se à lei N° 13.709, de 14 de agosto de 2018, que dispõe sobre o tratamento de dados pessoais por pessoa natural ou jurídica.

4.7.      Usuário de Dados

Toda pessoa física que compartilhe um dado pessoal e/ou dado pessoal sensível com GRUPO AUXILIAR .

5. Diretrizes para armazenamento, anonimização e descarte

A informação é um ativo muito importante do GRUPO AUXILIAR , por isso, todos os colaboradores e prestadores de serviços devem adotar comportamento seguro ao armazenar, manusear e descartar qualquer tipo de informação e assumir atitude proativa no que diz respeito à proteção das informações da organização. Todo o acesso à informação d0 GRUPO AUXILIAR que não for explicitamente autorizado é proibido. Informações confidenciais do GRUPO AUXILIAR não devem ser transportadas em qualquer tipo de mídia sem as devidas proteções e autorizações.

5.1.      Classificação das Informações

As informações devem ser classificadas conforme a tabela abaixo:

Níveis de Classificação

Características

Pública

Informações que podem ou devem ser divulgadas publicamente. A divulgação deste tipo de informação não causa problemas à organização ou ao titular dos dados e parceiros, podendo ser compartilhada livremente com o público em geral, desde que seja mantida sua integridade. Será decisão da organização designar alguém ou um setor para divulgações públicas. A classificação dessa informação continua sendo uma responsabilidade do gestor.

Interna

Informações internas são aquelas divulgadas a todos os colaboradores e prestadores de serviços, seguindo os compromissos estabelecidos nas políticas de segurança da informação da organização com a confidencialidade das informações.

Reservada

Informações reservadas são aquelas restritas a um determinado grupo, área ou cargo, que necessitem conhecê-las para o desempenho de suas tarefas profissionais na organização.

Exemplos: Projetos, relatórios, indicadores e outros.

Secreta / Confidencial

Informações Secretas/Confidenciais são aquelas que requerem um tratamento especial, pois cuja divulgação não autorizada ou acesso indevido pode gerar prejuízos financeiros, legais, normativos, contratuais ou na reputação, imagem ou estratégia da nossa organização. Exemplos: informações privadas de pessoas, fornecedores e informações estratégicas.

5.2.      Armazenamento

Todas as informações e dados de suporte físico categorizadas como confidenciais devem ser guardadas, após o uso, no arquivo do GRUPO AUXILIAR , onde serão armazenadas em caixas box lacradas e identificáveis em uma sala de acesso restrito, de forma a impedir o acesso de pessoas não autorizadas.

Todas as informações internas e confidenciais de suporte eletrônico deverão ser armazenadas em ambiente com acesso controlado e com senha, impedindo o acesso de pessoas não autorizadas, além de registro de acesso.

Todos os dados pessoais salvos na nossa base de dados devem ser fornecidos voluntariamente e conscientemente pelo usuário, deixando claro a sua utilização. Documentos, informações e dados pessoais de responsabilidade do GRUPO AUXILIAR que forem armazenados em mídias móveis como Pen drive, HD, BD, DVD, CD dentre outros, deverão ser liberados pela área de TI e ter obrigatoriamente uma criptografia de alto nível e senha de alto nível.

Os servidores ou banco de dados que armazenam informações, dados e documentos devem possuir trilha de auditoria ativada para geração de log de acesso.

Todos os dados de autenticação devem ser armazenados para fazer recorrência. A única exceção à regra é o não armazenamento do CVV. Somente devem ser armazenados os dados estritamente necessários, todo o resto deve ser descartado após a utilização.

5.3.      Anonimização

A anonimização de dados é a prática de tratamento de dados que visa impossibilitar a identificação das pessoas relacionadas às informações. Os dados adequadamente anonimizados podem ser utilizados livremente, estando excluídos do escopo de aplicação de qualquer penalidade legal.

Neste sentido, quando a identificação do titular do dado não for essencial ou necessária para um determinado processo, tal como uma pesquisa interna ou externa, deverá ser feita a sua anonimização, a fim de que seja impossível o seu reconhecimento, mantendo-se as informações que são necessárias para fins estatísticos, desde que não haja qualquer tipo de possibilidade de se reconhecer o titular do dado.

Poderá ser utilizado qualquer método de anonimização, desde que torne a recuperação de dados pessoais impossível.

5.4.      Descarte

O GRUPO AUXILIAR mantém os dados pessoais de seus usuários armazenados em seu sistema de dados e arquivos por tempo indeterminado, exceção realizada a requisições de titulares dos dados.

Os dados pessoais deverão ser excluídos em um prazo de até 7 dias corridos, quando solicitado pelo titular do dado, desde que de acordo com as premissas de segurança e regulatórias.

Os itens de descarte deverão ser registrados sempre que possível para uma auditoria, seguindo os seguintes parâmetros:

5.4.1.        Descarte via solicitação do Titular do Dado

Deverá ser gerado um número de protocolo ou similar que será fornecido ao titular. Nos registros deverá conter o protocolo, data, quantidade de dados descartados e número do solicitante.

5.4.2.        Troca ou Descarte do Desktop

Deverá ser registrado o modelo e marca do equipamento, usuário antigo e destino do equipamento, além de registrar a data que foi executado o procedimento cabível de descarte de dados.

5.4.3.        Destruição dos dados via terceiro

Informar o tipo de equipamento ou documento, quantidade se aplicável, método de destruição e comprovante da destruição.

5.4.4.        Descarte de dados armazenados em meios físicos

Os dados digitais e/ou documentos impressos, categorizados como confidenciais, deverão ser enviados para armazenamento no setor de arquivos, para posterior descarte.

Sempre que solicitado por um departamento e/ou pessoa o descarte de um documento, o setor de arquivo do GRUPO AUXILIAR emite um checklist (Pedido de Descarte) de todo conteúdo armazenado, para que o solicitante sinalize quais conteúdos serão descartados.

Após o solicitante indicar no checklist quais documentos deverão ser descartados, este deve indicar a data e assinar o Pedido de Descarte. O responsável pelo setor de arquivos irá providenciar o descarte dos documentos, e somente após isso, irá: descrever o processo utilizado para descarte dos dados, indicar a data de descarte e assinar o Pedido de Descarte, arquivando este documento como evidência do processo de descarte.

O descarte de documentos arquivados poderá ser realizado pelo responsável do setor de arquivos, utilizando uma máquina fragmentadora de papel, destinando os resíduos posteriormente para reciclagem. Ou então, quando houver grande quantidade de documentos físicos a serem descartados, o processo de descarte poderá ser terceirizado – sendo destinado a empresa especializada em descarte de dados, que realiza o processo de fragmentação e posterior reciclagem, seguindo critérios ambientais para destinação final.

5.4.5.         Descarte de dados armazenados em meios digitais

Dispositivos que possuam informações classificadas como nível de confidencialidade elevado devem ser destruídos fisicamente ou as informações devem ser destruídas, utilizando técnicas que torne a recuperação de dados impossível.

Documentos de baixa relevância podem utilizar processo de descarte mais simples. Documentos, informações e dados pessoais pertencentes à organização do GRUPO AUXILIAR , que armazenado em mídia móvel como Pen drive, HD, BD, CD, DVD dentre outros, quando forem descartados, deverão ser destruídos (caso os dados não sejam de domínio público). Caso sejam dados categorizados como confidenciais, deverão preferencialmente fazer o descarte físico através dos meios citados no item 6.4.1 – Descarte de dados armazenados em meios físicos.

6. Retenção e descarte de dados pessoais

Para cada um desses cenários apresentados na seção 3, é definido a seguir o período máximo de retenção de Dados Pessoais, por categoria de Registro, descrição, bem como o formato de descarte.

6.1.      Registro de Negócios

Contato Comercial (nome; cargo; RG, CPF, endereço; país de origem, profissão, telefone; email)

Período para descarte: 5 anos

Quando aplicável, esse período é considerado após contato inicial sem resposta, ou prontamente, no caso de revogação do consentimento ou da manifestação de desinteresse em ser contatado.

Formato de descarte: Quando existente,  a eliminação é por conta do GRUPO AUXILIAR , opt-out, ou a qualquer tempo pelo titular.

Contratos Gerais (nome; cargo; RG, CPF, endereço; país de origem, profissão, telefone; e-mail; conta bancária; dados de cobrança)

Período para descarte: 5 anos

Período considerado após o término do contrato, quando aplicável.

Formato de descarte: Quando existente,  a eliminação é por conta do GRUPO AUXILIAR.

Documentos Tributários

Período para descarte: 1 ano

Período a contar da data de emissão do documento, quando aplicável.

Formato de descarte: Quando existente,  a eliminação é por conta do GRUPO AUXILIAR .

Proteção do Crédito (nome; cargo; RG, CPF, endereço; país de origem, profissão, telefone; email)

Período para descarte: 10 anos.

Período a contar além da durante da relação comercial, quando aplicável.

Formato de descarte: Quando existente,  a eliminação é por conta do GRUPO AUXILIAR .

       

6.2.      Marketing e Comunicação

Campanhas Publicitárias, Ações Promocionais, Pesquisas e redes sociais (nome, RG, CPF, endereço, país de origem, e-mail, telefone, respostas a pesquisas, dados online capturados)

Período para descarte: Não se Aplica.

Período a contar após a última atividade ou prontamente após revogação do consentimento, quando aplicável.

Formato de descarte: Quando existente,  a eliminação é por conta do GRUPO AUXILIAR , opt-out, ou a qualquer tempo pelo titular.

Serviços de Atendimentos  (nome, telefone, e-mail, endereço e CPF) Período para descarte: Não se Aplica.

Quando se aplica, período considerado após o último atendimento.

Formato de descarte: Quando existente,  a eliminação é por conta do GRUPO AUXILIAR.

6.3.      Recursos Humanos

Gestão de RH

Período para descarte: 5 anos.

Período a contar após o término do contrato de trabalho, exceto FGTS (30 anos) e Folha de Pagamento (10 anos).

Formato de descarte: Quando existente,  a eliminação é por conta do GRUPO AUXILIAR .

Gestão de Carreira

Período para descarte: 5 anos.

Período a contar após o término do contrato de trabalho.

Formato de descarte: Quando existente,  a eliminação é por conta do GRUPO AUXILIAR  .

Administração do RH

Período para descarte: 5 anos.

Período a contar após o término do contrato de trabalho.

Formato de descarte: Quando existente,  a eliminação é por conta do GRUPO AUXILIAR .

Saúde Ocupacional

Período para descarte: 5 anos.

Período a contar após o término do contrato de trabalho.

Formato de descarte: Quando existente,  a eliminação é por conta do GRUPO AUXILIAR .

Recrutamento e Seleção

Período para descarte: Reprovação pré-entrevista: 15 dias.

Reprovação pós entrevista: 90 dias.

Aprovação do candidato: Durante o Contrato de Trabalho e mais 5 anos após o término. Formato de descarte: Quando existente,  a eliminação é por conta do GRUPO AUXILIAR , opt-out, ou a qualquer tempo pelo titular.

6.4.      Segurança

Acesso às instalações físicas da organização (dados biométricos, nome, foto, RG, CPF)

Período para descarte: 1 ano

Período a contar após o último acesso, quando aplicável.

Formato de descarte: Quando existente,  a eliminação é por conta do GRUPO AUXILIAR .

Acesso aos sistemas de informação da organização (login e senha) Período para descarte: 1 ano.

Período a contar após o último acesso, quando aplicável.

Formato de descarte: Quando existente,  a eliminação é por conta do GRUPO AUXILIAR .

7. Sanções e Punições

O descumprimento dessa política e das políticas de segurança da informação do GRUPO AUXILIAR poderá acarretar sanções e punições aos envolvidos.

8. Contate-nos

Poderá ser contatado o Encarregado de Proteção de Dados (“DPO”) do GRUPO AUXILIAR para mais informações sobre o tratamento dos seus dados pessoais, bem como quaisquer questões relacionadas com o exercício dos direitos que lhe são atribuídos pela legislação aplicável e, em especial, os referidos na presente Política de Privacidade, __________________________