POLÍTICA DE ARMAZENAMENTO E EXCLUSÃO DE DADOS PESSOAIS
- Escopo
Este documento (a “Política”) abrange regras aplicáveis ao armazenamento e exclusão
de dados pessoais controlados pela Petup, terceiros contratados por ela e
eventuais subcontratados, seguindo os princípios e regras delineados pela Política de
Governança em Privacidade e Proteção de Dados Pessoais da Petup de modo
a garantir o descarte e eliminação adequados e tempestivos de informações e
documentos que contenham dados pessoais.
São dados pessoais sujeitos a esta Política, na forma de legislação aplicável, toda e
qualquer informação relacionada a uma pessoa natural identificada ou que possa ser
identificada mediante esforços razoáveis da Petup, ou ainda que possa ser
individualizada por meio do tratamento dado a essas informações pela Petup,
mesmo sem que seja identificada. - Aplicação
A Política aplica-se a todos os colaboradores, diretores, parceiros, fornecedores e
prestadores de serviços envolvidos nas operações de tratamento de dados pessoais
controlados pela Petup. - Objetivos
- Garantir que a Petup não mantenha o controle de mais dados pessoais
que o necessário para suas respectivas finalidades nem por tempo maior que o
adequado ou autorizado pela legislação aplicável ou pelos titulares desses dados
pessoais, de modo a observar o cumprimento da Lei Geral de Proteção de Dados
Pessoais – LGPD (Lei nº 13.709, de 14 de agosto de 2018) e demais leis e
regulamentos aplicáveis. - Regular a gestão de inventário de dados pessoais controlados pela Petup
por meio da designação de prazos ou gatilhos para exclusão, anonimização ou
bloqueio do tratamento de dados pessoais segundo suas finalidades de retenção
e características da atividade de tratamento. - Instruir os colaboradores, diretores, parceiros, fornecedores e prestadores de
serviço da Petup a respeito da necessidade e importância do controle do
armazenamento e da exclusão segura dos dados pessoais. - Definir as atribuições, autoridades e responsabilidades no processo de
compartilhamento de informações.
- Controle de Inventário de Dados Pessoais
4.1. Os colaboradores, diretores, parceiros, fornecedores e prestadores de serviços
envolvidos nas operações de tratamento de dados pessoais controlados pela Petup - são responsáveis pelo registro, controle de acesso, armazenamento,
bloqueio e eliminação dos dados pessoais de acordo com os procedimentos
estabelecidos por esta norma.
4.2. O Encarregado pelo Tratamento de Dados Pessoais da Petup manterá um
Registro das Operações de Tratamento de Dados Pessoais indicando cada categoria
de dados pessoais controlados pela empresa, as respectivas finalidades, bases legais
para tratamento, operações de tratamento a que os dados estarão sujeitos e respectivo
ciclo de vida dos dados.
4.3. Os colaboradores responsáveis pelas atividades da Petup envolvendo
tratamento aos dados pessoais deverão registrá-las no Registro das Operações de
Tratamento de Dados Pessoais junto ao Encarregado pelo Tratamento de Dados
Pessoais da Petup, devendo também providenciar sua atualização conforme
haja alteração na atividade ou processo. Caso a atividade ou processo envolva
terceiros, o responsável pelo contrato deverá garantir que o compartilhamento com o
terceiro e respectivo papel no ciclo de vida dos dados pessoais seja registrado no
Registro de Operações de Tratamento de Dados Pessoais. - Armazenamento de Dados Pessoais
5.1. Documentos físicos e digitais e outras informações contendo dados pessoais serão
armazenados sob controle da Petup somente enquanto suas finalidades lícitas
e determinadas subsistirem, conforme registrado no Registro de Tratamento das
Operações de Dados Pessoais.
5.2. Cabe aos colaboradores responsáveis pelas atividades envolvendo tratamento de
dados pessoais, com auxílio do Encarregado pelo Tratamento dos Dados Pessoais,
elaborar tabelas de temporalidade registrando os prazos de salvaguarda específicos
para informações e documentos contendo dados pessoais, levando em conta suas
finalidades de tratamento, prazos prescricionais, prazos contratuais e prazos legais ou
regulamentares de guarda obrigatória.
5.3. Dados pessoais armazenados para diferentes finalidades serão segregados física
ou logicamente de modo que apenas as pessoas envolvidas em suas atividades de
tratamento possam acessá-los.
5.4. No caso de um dado pessoal necessário para mais de uma finalidade precisar ser
excluído com relação a alguma das finalidades na forma desta Política, todo o
tratamento do dado pessoal será bloqueado para a finalidade em questão, mas
continuará a ser armazenado e utilizado nas demais finalidades que subsistirem.
- Eliminação dos Dados Pessoais
6.1. Dados pessoais, em quaisquer suportes, serão excluídos imediatamente nos casos
em que os colaboradores responsáveis ou Encarregado pelo Tratamento dos Dados
Pessoais da Petup verificarem que não existe mais nenhuma finalidade de
tratamento que justifique a sua manutenção em decorrência de (i) revisão de inventário
ou Registro das Operações de Tratamento de Dados Pessoais; (ii) exercício de direito
do titular dos dados pessoais que obrigue a Petup a descartá-los; (iii) revogação
do consentimento do titular para tratamento dos dados pessoais, nos casos em que a
Petup realizar o tratamento desses dados com base em seu consentimento; (iv)
instrução de terceiro controlador dos dados pessoais conforme regulado em contrato de
compartilhamento de dados ou instrumento similar firmado com a Petup; ou (v)
por determinação do Poder Judiciário ou das autoridades competentes.
6.2. Uma vez conhecida a possível necessidade de se excluir dados pessoais, deverão
ser consultados: (i) as áreas de negócios identificadas no Registro das Operações de
Tratamento de Dados Pessoais como usuárias desses dados e (ii) o Encarregado pelo
Tratamento dos Dados Pessoais da Petup, para que opinem acerca do descarte
ou pela salvaguarda parcial dos dados pessoais se forem necessários para
cumprimento de deveres legais ou regulatórios, para contratos, por causa de algum
prazo prescricional ou devido a algum processo administrativo ou judicial em curso.
Se for tomada a decisão de excluir dados pessoais, eles deverão ser descartados de
forma segura e irrecuperável pelos colaboradores responsáveis pela atividade, por
exemplo mediante trituração ou incineração de documentos e sobrescrição de mídias,
observadas as Políticas de Segurança de Informação da Petup.
Além disso, o Encarregado pelo Tratamento de Dados Pessoais da Petup
deverá providenciar que: (i) os dados pessoais sejam eliminados em back-ups e
sistemas legados, ou ter seu tratamento bloqueado caso sua eliminação não seja
tecnicamente viável considerando os recursos e as tecnologias à disposição da Petup - ; (ii) que as demais áreas de negócios que possam ter cópias dos dados
procedam ao seu descarte seguro; e (iii) que os terceiros que possuam dados pessoais
sob controle da Petup procedam ao descarte seguro dos dados pessoais na
forma dos respectivos contratos firmados com a Petup
6.3. Se for tomada a decisão de salvaguarda parcial dos dados pessoais, Encarregado
pelo Tratamento de Dados Pessoais da Petup providenciará o bloqueio de seu
tratamento e acesso para as finalidades que motivaram a sua exclusão, mantendo-se
somente os dados necessários e segregados para as finalidades restantes.
6.4. A Petup poderá realizar a anonimização de dados pessoais quando decidir
pela sua exclusão ou bloqueio conforme descrito nesta Política, mas uma ou mais áreas
de negócios da empresa considerarem que tais dados possuem alguma utilidade para
alguma atividade ou processo sem que ninguém esteja identificado ou individualizado.
Neste caso, serão utilizados de meios técnicos razoáveis e disponíveis na época, que
garantam a impossibilidade de associação, direta ou indireta, daqueles dados pessoais
a um indivíduo, de modo que os respectivos titulares não possam mais ser identificados
também pela utilização de meios técnicos razoáveis e disponíveis. Após anonimizadas,
essas informações deixarão de ser consideradas dados pessoais para todos os efeitos. - Responsabilidades
7.1. Cada colaborador, diretor, prestador de serviço e contratado da Petup é
responsável por observar as normas desta Política com relação à proteção dos dados
pessoais que acessar, que receber de outrem e que compartilhar com outrem, bem
como por auxiliar o Encarregado pelo Tratamento de Dados Pessoais da Petup
a realizar suas atribuições e tarefas.
7.2 O desrespeito às normas desta Política causará a aplicação de sanções disciplinares
ou contratuais ao responsável pelo descumprimento conforme Manual de Compliance
da Petup, sem prejuízo da indenização da Petup pelas perdas e danos
sofridos. - Referência Cruzada com Outros Instrumentos Normativos Internos
LPD-01 – Política de compartilhamento de dados pessoais – IB_v1.