POLÍTICA DE RETENÇÃO E DESCARTE DE DADOS PESSOAIS
Esta Política tem como objetivo reiterar o compromisso do SETCESP em cumprir os princípios previstos na Lei Geral de Proteção de Dados – LGPD. Para isso, esta Política define os períodos de retenção dos dados pessoais tratados e estabelece os padrões de segurança mínimos para a eliminação de tais dados.
Esta Política aplica-se a todos os processos e procedimentos adotados no SETCESP e é destinada a todos os colaboradores que possam realizar tratamento de dados pessoais e dados pessoais sensíveis.
É responsabilidade de todos adotarem os procedimentos previstos nessa Política para o descarte de dados pessoais de forma segura, de acordo com seu ciclo de vida.
Esta Política deverá ser aplicada independentemente da forma de tratamento de dados pessoais e de sua localização. São exemplos de locais onde pode haver o armazenamento de dados pessoais:
- E-mails
- Aplicativos de mensagens instantâneas
- Mídias sociais (perfis oficiais do SETCESP)
- Documentos impressos
- Documentos digitais
- Vídeos e áudios
- Dados gerados por sistemas ou inseridos em sistemas de gestão interna
- Arquivos armazenados em nuvem
- Arquivos em redes e offline
- Arquivos físicos
POLÍTICA DE RETENÇÃO E PROTEÇÃO DE INFORMAÇÕES
DIRETRIZES GERAIS
São diretrizes desta Política de Retenção e Descarte de Dados Pessoais:
- Os dados pessoais deverão ser tratados em conformidade com a Política de Privacidade do SETCESP, bem como as disposições legais, regulatórias e contratuais aplicáveis;
- Os dados pessoais não poderão ser tratados por prazo superior ao ciclo de vida fixado nessa política, exceto em caso de justificativa e com prévia aprovação do Comitê de Privacidade.
- Os dados pessoais serão classificados e poderão ter diferentes critérios de proteção e segurança, observando o dever de confidencialidade.
- Os dados pessoais poderão ser submetidos a técnicas que impeçam a identificação do titular de dados, a chamada “anonimização”.
CICLO DE VIDA DOS DADOS PESSOAIS
O Ciclo de Vida de Dados Pessoais determina os prazos durante os quais os dados pessoais poderão ser retidos pelo SETCESP. Após os períodos descritos, os dados pessoais deverão ser descartados e/ou anonimizados, conforme estabelecido nesta Política.
O Comitê de Privacidade é o responsável pela elaboração e atualização do Ciclo de Vida de Dados Pessoais.
|
CICLO DE VIDA DOS DADOS PESSOAIS |
||
|
DADOS |
PERÍODO DE RETENÇÃO |
PRAZO |
|
Documentos trabalhistas (contratos de trabalho, controles de jornada, documentos relacionados ao FGTS, folhas de pagamento, contribuições previdenciárias, informações pessoais de saúde, informações pessoais sensíveis, entre outras) |
De 05 a 30 anos a contar da data de desligamento, a depender do tipo de documentação. Os documentos devem respeitar regras trabalhistas e previdenciárias de guarda. |
Arquivar pelo prazo de 05 a 30 anos, conforme legislação específica |
|
Documentos referentes a aplicação da lei previdenciárias e segurança do trabalho (CAT, PCMSO, PPRA, ASO Comprovante de entrega da Guia da Previdência Social (GPS), Comprovante de pagamento de benefícios reembolsados pelo INSS, Perfil Profissiográfico Previdenciário (PPP), Salário-família, Salário-maternidade, entre outros). |
De 05 a 30 anos a contar da data de desligamento, a depender do tipo de documentação. Os documentos devem respeitar regras trabalhistas e previdenciárias de guarda |
Arquivar pelo prazo de 05 a 30 anos, conforme legislação específica |
|
Recrutamento e Seleção |
Reprovação pós entrevista: 06 meses Aprovação do candidato: Durante Contrato de Trabalho e mais 5 anos após o desligamento |
Arquivar pelo período indicado (06 meses/ 05 anos). Em caso de ações trabalhistas, os documentos deverão ser arquivados até o trânsito em julgado. Após o prazo de 5 anos ou do trânsito em julgado da ação, descartar. |
|
Contratos com terceiros (clientes, fornecedores, prestadores de serviços, incluindo do Presidente Executivo) |
05 ou 10 anos, a depender da liquidez do contrato
|
Arquivar pelo período indicado (05 ou 10 anos). Em caso de ações judiciais, os documentos deverão ser arquivados até o trânsito em julgado. Após o prazo de 05 ou 10 anos ou do trânsito em julgado da ação, descartar. |
|
Dados pessoais dos membros do Conselho Superior, do Conselho de Administração, do Conselho Fiscal e do Comitê de Auditoria |
05 anos, a contar da data do fim da gestão |
Arquivar pelo período indicado (05 anos). Em caso de ações judiciais, os documentos deverão ser arquivados até o trânsito em julgado. Após o prazo de 05 anos ou do trânsito em julgado da ação, descartar. |
|
Proteção do Crédito (nome; cargo; RG, CPF, endereço; país de origem, profissão, telefone; e-mail) |
Durante relação comercial e mais 5 anos após o término ou prontamente, em caso de exaurimento da finalidade |
Arquivar pelo período indicado (05 anos). Em caso de ações judiciais, os documentos deverão ser arquivados até o trânsito em julgado. Após o prazo de 5 anos ou do trânsito em julgado da ação, descartar. |
|
Documentos de Contato Comercial (nome; cargo; RG, CPF, endereço; país de origem, profissão, telefone; e-mail) |
Indeterminado, exceto no caso de revogação do consentimento ou da manifestação de desinteresse em ser contatado, situação em que o dado será eliminado prontamente |
Indeterminado, exceto no caso de revogação do consentimento ou da manifestação de desinteresse em ser contatado, situação em que o dado será eliminado prontamente |
|
Documentos de Contato Eventos (nome; cargo; RG, CPF, endereço, profissão, telefone; e-mail) |
Indeterminado, exceto no caso de revogação do consentimento ou da manifestação de desinteresse em ser contatado, situação em que o dado será eliminado prontamente |
Indeterminado, exceto no caso de revogação do consentimento ou da manifestação de desinteresse em ser contatado, situação em que o dado será eliminado prontamente |
|
Documentos Fiscais e Financeiros (processamento de faturas, relatórios, comprovantes de pagamentos) |
05 anos a contar da data da sua constituição definitiva. |
Arquivar pelo período indicado (05 anos). Se houver propositura de ações judiciais, os documentos deverão ser arquivados até o trânsito em julgado. Após o prazo de 5 anos ou do trânsito em julgado da ação, descartar. |
|
Documentação e registros relativos aos mecanismos de controle, procedimentos, testes e auditoria |
Prazo mínimo de 05 anos. |
Arquivar pelo período indicado (05 anos) para posterior avaliação sobre a sua utilização ou descarte adequado |
|
Sistema de monitoramento (imagens) |
15 dias após a gravação |
Arquivar pelo período de 15 dias após a gravação |
|
Documentação e registros relativos aos mecanismos de controles de acesso (condomínio)
|
05 anos a contar da data da sua disponibilização |
Arquivar pelo período de 05 anos a contar da data da sua disponibilização |
Antes da eliminação de dados pessoais poderá haver a sua anonimização, visando fins estatísticos, desde que justificado e aprovado pelo Comitê de Privacidade, com a adoção de técnicas que impeçam a identificação do titular de dados.
Poderão existir exceções aos períodos de retenção no Ciclo de Vida de Dados Pessoais que deverão ser justificados e validados junto ao Comitê de Privacidade.
ELIMINAÇÃO DE DADOS PESSOAIS
Assim que o período de armazenamento expirar, e desde que não haja uma razão válida para sua retenção, os dados pessoais serão eliminados de forma segura. Os Dados Pessoais em cópia física serão destruídos por fragmentação como resíduo confidencial e aqueles mantidos eletronicamente serão excluídos dos sistemas do SETCESP e de terceiros contratados. Caso haja razão para retenção, deverá ser devidamente justificada e validado junto ao Comitê de Privacidade.
O Comitê de Privacidade será responsável pela implantação de cronograma para o descarte periódico de dados pessoais, bem como monitoramento do processo de eliminação.
REVISÃO DE RETENÇÃO E ARMAZENAMENTO DE DADOS PESSOAIS
Deverá ser implementado controle para o armazenamento e retenção por todas as áreas que façam tratamento de dados pessoais, para garantia do cumprimento desta Política.
O Comitê de Privacidade ficará incumbido de monitorar a regularidade e efetividade dos mecanismos de armazenamento e retenção pelas áreas que façam o tratamento de dados pessoais.
VIOLAÇÃO, EXECUÇÃO E CONFORMIDADE
Qualquer suspeita de violação desta Política deve ser reportada ao Comitê de Privacidade. Todos os casos de suspeita de violações desta Política deverão ser apurados, podendo ser aplicadas medidas disciplinares, administrativas e judiciais.
MUDANÇAS EM NOSSA POLÍTICA
O SETCESP, através do Comitê de Privacidade, reserva-se o direito de corrigir, alterar ou atualizar esta Política periodicamente, devendo o usuário/cliente verificá-la sempre que acessar seus websites.
CANAL DE PRIVACIDADE
Caso queira entrar em contato sobre o processamento de suas informações pessoais, inclusive para exercer seus direitos, entre em contato conosco pelo nosso canal de privacidade: lgpd@setcesp.org.br.
