Política de retenção e descarte de dados - GestPública
Introdução
A alta direção da GESTPÚBLICA se compromete a seguir toda a conformidade com a Lei n.
13.709/18 (Lei Geral de Proteção de Dados – LGPD), visando todas as precauções a fim de
mitigar possíveis ocorrências internas e externas, condizente a isto, a atuação de acordo com o
Art. 5o e os incisos IV e XIV. Para fins desta Lei é considerado a eliminação, exclusão de dados
ou de conjunto de dados armazenados, independentemente do procedimento empregado, e
descreve de forma clara a definição de bancos de dados que é o conjunto estruturado de
informações pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou
físico. Seguindo com esta diretriz, estabelecemos a política de descarte de documentos
inativos, devendo e não se limitando a:
a. Garantir que todos os dados de colaboradores, clientes, fornecedores e demais partes
interessadas pertinentes tenham acesso restrito e que seja somente dos responsáveis
em desempenhar tais tratativas para devidos fins trabalhistas e empregatícios
b. Tomar medidas oportunas e adequadas para solucionar preocupações levantadas
pelos trabalhadores e outras partes interessadas e comunicar essas ações a eles, caso
se aplique;
c. A GESTPÚBLICA realiza o descarte de documentos conforme está descrito na definição
do Art. 5o e no inciso IV, como forma de não reter dados com um período superior a 5
anos, com exceção de processos judiciais em aberto;
d. Assegurar a melhoria contínua com a Lei n. 13.709/18 (Lei Geral de Proteção de Dados
– LGPD), realizando todas as manutenções necessárias pertinentes a esses devidos
fins;
e. Assegurar a eliminação dos documentos destituídos de valor legal, comprobatório ou
histórico, em consonância com a legislação arquivística brasileira.
2. Objetivo
Complementar a Política Interna de Proteção de Dados e Política de Segurança da Informação
da GESTPÚBLICA, definindo as diretrizes para o devido armazenamento, manuseio e descarte
de informações.
3. Classificação de Registros
3.1. Registros de Negócios
www.intuix.com.br
Informações registradas em qualquer meio, criadas ou capturadas que reflitam circunstâncias,
eventos, atividades, transações ou resultados criados ou mantidos como parte da condução
das atividades operacionais da GESTPÚBLICA.
3.2. Registros de Marketing e Comunicação
Informações pessoais obtidas pela organização em (i) campanhas publicitárias, ações
promocionais e pesquisas; (ii) redes sociais; e (iii) serviço de atendimento ao consumidor –
SAC.
Os Registros utilizados para fins de marketing ou de pesquisa permanecerão armazenados na
base da GESTPÚBLICA apenas enquanto perdurar o interesse do titular em receber esses
materiais, sendo possibilitado o opt-out a qualquer tempo, o qual permite a revogação do
consentimento, caso esta seja a base legal que fundamente a respectiva modalidade de
tratamento.
3.3. Registros de Recursos Humanos
Dados Pessoais coletados para (i) gestão do RH, como por exemplo, gerenciamento de tempo
de trabalho, salários, benefícios, contribuições previdenciárias e impostos; férias, licenças,
ausências; (ii) gestão de carreira, como treinamentos, avaliações, experiência profissional,
mobilidade no grupo da GESTPÚBLICA; (iii) administração do RH para comunicação
corporativa, trabalho em rede social da empresa e uso de ferramentas de computador e
telefonia; organogramas, serviços corporativos, planejamento e orçamentos, relatórios,
pesquisa, reorganizações, aquisições e cisões; (iv) saúde ocupacional, como atestados médicos,
prontuário médico, atestados de saúde ocupacional e todos os demais relacionados à saúde do
empregado; (v) recrutamento e seleção, como nome, gênero, estado civil, idade, dados de
contato, RG, CPF, comprovante de endereço, dados bancários, informações de função,
habilidades, experiências, qualificações, referências, currículo, dados de entrevista e avaliação,
notas e registros da entrevista e qualquer outra informação que o candidato disponibilize para
nossa organização; e (vi) gestão de viagens de negócios, como informações para organização
de viagens (preferências, local etc.); CNH e despesas. Alguns Dados Pessoais são retidos após o
término do contrato de trabalho, estágio ou contrato de trabalho temporário para cumprir os
períodos legais de armazenamento definidos pela legislação trabalhista ou tributária.
3.4. Registros de Segurança
Informações coletadas para gerenciamento do acesso e permanência nas instalações da
GESTPÚBLICA como nome, RG, CPF, foto, biometria, controle de crachá, instalações por CFTV,
login e senha para acesso aos sistemas de informação da GESTPÚBLICA.
4. Definição de Termos
4.1. Anonimização
www.intuix.com.br
Técnica que resulta do tratamento de dados pessoais a fim de lhes retirar elementos
suficientes para que deixe de ser possível identificar o titular dos dados, de forma irreversível.
Mais precisamente, os dados têm de ser tratados de forma a que já não possam ser utilizados
para identificar uma pessoa singular utilizando o conjunto dos meios suscetíveis de serem
razoavelmente utilizados, seja pelo responsável pelo tratamento, seja por terceiros.
4.2. Dados Pessoais
Qualquer informação relacionada a pessoa natural identificada ou identificável (titular dos
dados), de qualquer natureza e independentemente do respectivo suporte. É considerada
identificável a pessoa que possa ser identificada direta ou indiretamente, designadamente por
referência a um número de identificação ou a mais elementos específicos da sua identidade
física, fisiológica, psíquica, econômica, cultural ou social.
4.3. Dados Pessoais Sensíveis
Dados sobre a origem racial ou étnica do seu titular, as suas opiniões políticas, as suas
convicções religiosas ou filosóficas, informação genética, identificadores biométricos, vida
sexual, orientação sexual ou sobre a sua saúde.
4.4. Definição de Perfis:
Qualquer forma de tratamento automatizado de dados pessoais que consista na utilização
desses dados pessoais para, nomeadamente, incluir uma pessoa singular em determinada
categoria, respeitante ao seu desempenho profissional, à sua situação econômica, saúde,
preferências pessoais, interesses, comportamento, localização ou deslocações.
4.5. Encarregado da proteção de dados (Data Protection Officer – “DPO”):
Nomeado para ser responsável pela integridade dos dados pessoais e para atuar como canal
de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção
de Dados.
4.6. LGPD
Sigla para Lei Geral de Proteção de Dados. Refere-se à lei N° 13.709, de 14 de agosto de 2018,
que dispõe sobre o tratamento de dados pessoais por pessoa natural ou jurídica.
4.7. Usuário de Dados
Toda pessoa física que compartilhe um dado pessoal e/ou dado pessoal sensível com
GESTPÚBLICA.
5. Diretrizes para armazenamento, anonimizalção e descarte
www.intuix.com.br
A informação é um ativo muito importante da GESTPÚBLICA, por isso, todos os colaboradores
e prestadores de serviços devem adotar comportamento seguro ao armazenar, manusear e
descartar qualquer tipo de informação e assumir atitude proativa no que diz respeito à
proteção das informações da organização. Todo o acesso à informação da GESTPÚBLICA que
não for explicitamente autorizado é proibido. Informações confidenciais da GESTPÚBLICA não
devem ser transportadas em qualquer tipo de mídia sem as devidas proteções e autorizações.
5.1. Classificação das Informações
As informações devem ser classificadas conforme a tabela abaixo:
Níveis de
Classificação Características
Pública
Informações que podem ou devem ser divulgadas publicamente. A
divulgação deste tipo de informação não causa problemas à organização
ou ao titular dos dados e parceiros, podendo ser compartilhada
livremente com o público em geral, desde que seja mantida sua
integridade. Será decisão da organização designar alguém ou um setor
para divulgações públicas. A classificação dessa informação continua
sendo uma responsabilidade do gestor.
Interna
Informações internas são aquelas divulgadas a todos os colaboradores e
prestadores de serviços, seguindo os compromissos estabelecidos nas
políticas de segurança da informação da organização com a
confidencialidade das informações.
Reservada
Informações reservadas são aquelas restritas a um determinado grupo,
área ou cargo, que necessitem conhecê-las para o desempenho de suas
tarefas profissionais na organização.
Exemplos: Projetos, relatórios, indicadores e outros.
Secreta /
Confidencial
Informações Secretas/Confidenciais são aquelas que requerem um
tratamento especial, pois cuja divulgação não autorizada ou acesso
indevido pode gerar prejuízos financeiros, legais, normativos, contratuais
ou na reputação, imagem ou estratégia da nossa organização. Exemplos:
informações privadas de pessoas, fornecedores e informações
estratégicas.
5.2. Armazenamento
Todas as informações e dados de suporte físico categorizadas como confidenciais devem ser
guardadas, após o uso, no arquivo da GESTPÚBLICA, onde serão armazenadas em caixas box
lacradas e identificáveis em uma sala de acesso restrito, de forma a impedir o acesso de
pessoas não autorizadas.
www.intuix.com.br
Todas as informações internas e confidenciais de suporte eletrônico deverão ser armazenadas
em ambiente com acesso controlado e com senha, impedindo o acesso de pessoas não
autorizadas, além de registro de acesso.
Todos os dados pessoais salvos na nossa base de dados devem ser fornecidos voluntariamente
e conscientemente pelo usuário, deixando claro a sua utilização. Documentos, informações e
dados pessoais de responsabilidade da GESTPÚBLICA que forem armazenados em mídias
móveis como Pen drive, HD, BD, DVD, CD dentre outros, deverão ser liberados pela área de TI
e ter obrigatoriamente uma criptografia de alto nível e senha de alto nível.
Os servidores ou banco de dados que armazenam informações, dados e documentos devem
possuir trilha de auditoria ativada para geração de log de acesso.
Todos os dados de autenticação devem ser armazenados para fazer recorrência. A única
exceção à regra é o não armazenamento do CVV. Somente devem ser armazenados os dados
estritamente necessários, todo o resto deve ser descartado após a utilização.
5.3. Anonimização
A anonimização de dados é a prática de tratamento de dados que visa impossibilitar a
identificação das pessoas relacionadas às informações. Os dados adequadamente
anonimizados podem ser utilizados livremente, estando excluídos do escopo de aplicação de
qualquer penalidade legal.
Neste sentido, quando a identificação do titular do dado não for essencial ou necessária para
um determinado processo, tal como uma pesquisa interna ou externa, deverá ser feita a sua
anonimização, a fim de que seja impossível o seu reconhecimento, mantendo-se as
informações que são necessárias para fins estatísticos, desde que não haja qualquer tipo de
possibilidade de se reconhecer o titular do dado.
Poderá ser utilizado qualquer método de anonimização, desde que torne a recuperação de
dados pessoais impossível.
5.4. Descarte
A GESTPÚBLICA mantém os dados pessoais de seus usuários armazenados em seu sistema de
dados e arquivos por tempo indeterminado, exceção realizada a requisições de titulares dos
dados.
Os dados pessoais deverão ser excluídos em um prazo de até 7 dias corridos, quando solicitado
pelo titular do dado, desde que de acordo com as premissas de segurança e regulatórias.
Os itens de descarte deverão ser registrados sempre que possível para uma auditoria,
seguindo os seguintes parâmetros:
www.intuix.com.br
5.4.1. Descarte via solicitação do Titular do Dado:
Deverá ser gerado um número de protocolo ou similar que será fornecido ao titular. Nos
registros deverá conter o protocolo, data, quantidade de dados descartados e número do
solicitante.
5.4.2. Troca ou Descarte do Desktop
Deverá ser registrado o modelo e marca do equipamento, usuário antigo e destino do
equipamento, além de registrar a data que foi executado o procedimento cabível de descarte
de dados.
5.4.3. Destruição dos dados via terceiro:
Informar o tipo de equipamento ou documento, quantidade se aplicável, método de
destruição e comprovante da destruição.
5.4.4. Descarte de dados armazenados em meios físicos:
Os dados digitais e/ou documentos impressos, categorizados como confidenciais, deverão ser
enviados para armazenamento no setor de arquivos, para posterior descarte.
Sempre que solicitado por um departamento e/ou pessoa o descarte de um documento, o
setor de arquivo da GESTPÚBLICA emite um checklist (Pedido de Descarte) de todo conteúdo
armazenado, para que o solicitante sinalize quais conteúdos serão descartados.
Após o solicitante indicar no checklist quais documentos deverão ser descartados, este deve
indicar a data e assinar o Pedido de Descarte. O responsável pelo setor de arquivos irá
providenciar o descarte dos documentos, e somente após isso, irá: descrever o processo
utilizado para descarte dos dados, indicar a data de descarte e assinar o Pedido de Descarte,
arquivando este documento como evidência do processo de descarte.
O descarte de documentos arquivados poderá ser realizado pelo responsável do setor de
arquivos, utilizando uma máquina fragmentadora de papel, destinando os resíduos
posteriormente para reciclagem. Ou então, quando houver grande quantidade de documentos
físicos a serem descartados, o processo de descarte poderá ser terceirizado – sendo destinado
a empresa especializada em descarte de dados, que realiza o processo de fragmentação e
posterior reciclagem, seguindo critérios ambientais para destinação final.
5.4.5. Descarte de dados armazenados em meios digitais:
Dispositivos que possuam informações classificadas como nível de confidencialidade elevado
devem ser destruídos fisicamente ou as informações devem ser destruídas, utilizando técnicas
que torne a recuperação de dados impossível.
www.intuix.com.br
Documentos de baixa relevância podem utilizar processo de descarte mais simples.
Documentos, informações e dados pessoais pertencentes da GESTPÚBLICA, que armazenado
em mídia móvel como Pen drive, HD, BD, CD, DVD dentre outros, quando forem descartados,
deverão ser destruídos (caso os dados não sejam de domínio público). Caso sejam dados
categorizados como confidenciais, deverão preferencialmente fazer o descarte físico através
dos meios citados no item 6.4.1 – Descarte de dados armazenados em meios físicos.
6. Retenção e descarte de dados pessoais
Para cada um desses cenários apresentados na seção 3, é definido a seguir o período máximo
de retenção de Dados Pessoais, por categoria de Registro, descrição, bem como o formato de
descarte.
6.1. Registro de Negócios
Contato Comercial (nome; cargo; RG, CPF, endereço; país de origem, profissão, telefone; e-
mail)
Período para descarte: 5 anos
Quando aplicável, esse período é considerado após contato inicial sem resposta, ou
prontamente, no caso de revogação do consentimento ou da manifestação de desinteresse
em ser contatado.
Formato de descarte: Quando existente, a eliminação é por conta da GESTPÚBLICA, opt-out,
ou a qualquer tempo pelo titular.
Contratos Gerais (nome; cargo; RG, CPF, endereço; país de origem, profissão, telefone; e-mail;
conta bancária; dados de cobrança)
Período para descarte: 5 anos
Período considerado após o término do contrato, quando aplicável.
Formato de descarte: Quando existente, a eliminação é por conta da GESTPÚBLICA.
Documentos Tributários
Período para descarte: 30 dias
Período a contar da data de emissão do documento, quando aplicável.
Formato de descarte: Quando existente, a eliminação é por conta da GESTPÚBLICA.
Proteção do Crédito (nome; cargo; RG, CPF, endereço; país de origem, profissão, telefone; e-
mail)
Período para descarte: 10 anos.
Período a contar além da durante da relação comercial, quando aplicável.
Formato de descarte: Quando existente, a eliminação é por conta da GESTPÚBLICA.
6.2. Marketing e Comunicação
www.intuix.com.br
Campanhas Publicitárias, Ações Promocionais, Pesquisas e redes sociais (nome, RG, CPF,
endereço, país de origem, e-mail, telefone, respostas a pesquisas, dados online capturados)
Período para descarte: 5 anos.
Período a contar após a última atividade ou prontamente após revogação do consentimento,
quando aplicável.
Formato de descarte: Quando existente, a eliminação é por conta da GESTPÚBLICA, opt-out,
ou a qualquer tempo pelo titular.
Serviços de Atendimentos (nome, telefone, e-mail, endereço e CPF)
Período para descarte: Não se Aplica.
Quando se aplica, período considerado após o último atendimento.
Formato de descarte: Quando existente, a eliminação é por conta da GESTPÚBLICA.
6.3. Recursos Humanos
Gestão de RH
Período para descarte: 5 anos.
Período a contar após o término do contrato de trabalho, exceto FGTS (30 anos) e Folha de
Pagamento (10 anos).
Formato de descarte: Quando existente, a eliminação é por conta da GESTPÚBLICA.
Gestão de Carreira
Período para descarte: 5 anos.
Período a contar após o término do contrato de trabalho.
Formato de descarte: Quando existente, a eliminação é por conta da GESTPÚBLICA.
Administração do RH
Período para descarte: 5 anos.
Período a contar após o término do contrato de trabalho.
Formato de descarte: Quando existente, a eliminação é por conta da GESTPÚBLICA.
Saúde Ocupacional
Período para descarte: 5 anos.
Período a contar após o término do contrato de trabalho.
Formato de descarte: Quando existente, a eliminação é por conta da GESTPÚBLICA.
Recrutamento e Seleção
Período para descarte: Reprovação pré-entrevista: 15 dias.
Reprovação pós entrevista: 90 dias.
Aprovação do candidato: Durante o Contrato de Trabalho e mais 5 anos após o término.
Formato de descarte: Quando existente, a eliminação é por conta da GESTPÚBLICA, opt-out,
ou a qualquer tempo pelo titular.
www.intuix.com.br
6.4. Segurança
Acesso às instalações físicas da organização (dados biométricos, nome, foto, RG, CPF)
Período para descarte: 30 dias
Período a contar após o último acesso, quando aplicável.
Formato de descarte: Quando existente, a eliminação é por conta da GESTPÚBLICA.
Acesso aos sistemas de informação da organização (login e senha)
Período para descarte: 30 dias.
Período a contar após o último acesso, quando aplicável.
Formato de descarte: Quando existente, a eliminação é por conta da GESTPÚBLICA.
7. Sanções e Punições
O descumprimento dessa política e das políticas de segurança da informação da GESTPÚBLICA
poderá acarretar sanções e punições aos envolvidos.
8. Contate-nos
Poderá ser contatado o Encarregado de Proteção de Dados (“DPO”) da GESTPÚBLICA para mais
informações sobre o tratamento dos seus dados pessoais, bem como quaisquer questões
relacionadas com o exercício dos direitos que lhe são atribuídos pela legislação aplicável e, em
especial, os referidos na presente Política de Privacidade,
