POLÍTICA DE ARMAZENAMENTO E EXCLUSÃO DE DADOS PESSOAIS

  1. Escopo
    Este documento (a “Política”) abrange regras aplicáveis ao armazenamento e exclusão
    de dados pessoais controlados pela Petup, terceiros contratados por ela e
    eventuais subcontratados, seguindo os princípios e regras delineados pela Política de
    Governança em Privacidade e Proteção de Dados Pessoais da Petup de modo
    a garantir o descarte e eliminação adequados e tempestivos de informações e
    documentos que contenham dados pessoais.
    São dados pessoais sujeitos a esta Política, na forma de legislação aplicável, toda e
    qualquer informação relacionada a uma pessoa natural identificada ou que possa ser
    identificada mediante esforços razoáveis da Petup, ou ainda que possa ser
    individualizada por meio do tratamento dado a essas informações pela Petup,
    mesmo sem que seja identificada.
  2. Aplicação
    A Política aplica-se a todos os colaboradores, diretores, parceiros, fornecedores e
    prestadores de serviços envolvidos nas operações de tratamento de dados pessoais
    controlados pela Petup.
  3. Objetivos
  1. Controle de Inventário de Dados Pessoais
    4.1. Os colaboradores, diretores, parceiros, fornecedores e prestadores de serviços
    envolvidos nas operações de tratamento de dados pessoais controlados pela Petup
  2. são responsáveis pelo registro, controle de acesso, armazenamento,
    bloqueio e eliminação dos dados pessoais de acordo com os procedimentos
    estabelecidos por esta norma.
    4.2. O Encarregado pelo Tratamento de Dados Pessoais da Petup manterá um
    Registro das Operações de Tratamento de Dados Pessoais indicando cada categoria
    de dados pessoais controlados pela empresa, as respectivas finalidades, bases legais
    para tratamento, operações de tratamento a que os dados estarão sujeitos e respectivo
    ciclo de vida dos dados.
    4.3. Os colaboradores responsáveis pelas atividades da Petup envolvendo
    tratamento aos dados pessoais deverão registrá-las no Registro das Operações de
    Tratamento de Dados Pessoais junto ao Encarregado pelo Tratamento de Dados
    Pessoais da Petup, devendo também providenciar sua atualização conforme
    haja alteração na atividade ou processo. Caso a atividade ou processo envolva
    terceiros, o responsável pelo contrato deverá garantir que o compartilhamento com o
    terceiro e respectivo papel no ciclo de vida dos dados pessoais seja registrado no
    Registro de Operações de Tratamento de Dados Pessoais.
  3. Armazenamento de Dados Pessoais
    5.1. Documentos físicos e digitais e outras informações contendo dados pessoais serão
    armazenados sob controle da Petup somente enquanto suas finalidades lícitas
    e determinadas subsistirem, conforme registrado no Registro de Tratamento das
    Operações de Dados Pessoais.

5.2. Cabe aos colaboradores responsáveis pelas atividades envolvendo tratamento de
dados pessoais, com auxílio do Encarregado pelo Tratamento dos Dados Pessoais,
elaborar tabelas de temporalidade registrando os prazos de salvaguarda específicos
para informações e documentos contendo dados pessoais, levando em conta suas
finalidades de tratamento, prazos prescricionais, prazos contratuais e prazos legais ou
regulamentares de guarda obrigatória.
5.3. Dados pessoais armazenados para diferentes finalidades serão segregados física
ou logicamente de modo que apenas as pessoas envolvidas em suas atividades de
tratamento possam acessá-los.
5.4. No caso de um dado pessoal necessário para mais de uma finalidade precisar ser
excluído com relação a alguma das finalidades na forma desta Política, todo o
tratamento do dado pessoal será bloqueado para a finalidade em questão, mas
continuará a ser armazenado e utilizado nas demais finalidades que subsistirem.

  1. Eliminação dos Dados Pessoais
    6.1. Dados pessoais, em quaisquer suportes, serão excluídos imediatamente nos casos
    em que os colaboradores responsáveis ou Encarregado pelo Tratamento dos Dados
    Pessoais da Petup verificarem que não existe mais nenhuma finalidade de
    tratamento que justifique a sua manutenção em decorrência de (i) revisão de inventário
    ou Registro das Operações de Tratamento de Dados Pessoais; (ii) exercício de direito
    do titular dos dados pessoais que obrigue a Petup a descartá-los; (iii) revogação
    do consentimento do titular para tratamento dos dados pessoais, nos casos em que a
    Petup realizar o tratamento desses dados com base em seu consentimento; (iv)
    instrução de terceiro controlador dos dados pessoais conforme regulado em contrato de
    compartilhamento de dados ou instrumento similar firmado com a Petup; ou (v)
    por determinação do Poder Judiciário ou das autoridades competentes.
    6.2. Uma vez conhecida a possível necessidade de se excluir dados pessoais, deverão
    ser consultados: (i) as áreas de negócios identificadas no Registro das Operações de
    Tratamento de Dados Pessoais como usuárias desses dados e (ii) o Encarregado pelo
    Tratamento dos Dados Pessoais da Petup, para que opinem acerca do descarte
    ou pela salvaguarda parcial dos dados pessoais se forem necessários para
    cumprimento de deveres legais ou regulatórios, para contratos, por causa de algum
    prazo prescricional ou devido a algum processo administrativo ou judicial em curso.
    Se for tomada a decisão de excluir dados pessoais, eles deverão ser descartados de
    forma segura e irrecuperável pelos colaboradores responsáveis pela atividade, por
    exemplo mediante trituração ou incineração de documentos e sobrescrição de mídias,
    observadas as Políticas de Segurança de Informação da Petup.
    Além disso, o Encarregado pelo Tratamento de Dados Pessoais da Petup
    deverá providenciar que: (i) os dados pessoais sejam eliminados em back-ups e
    sistemas legados, ou ter seu tratamento bloqueado caso sua eliminação não seja
    tecnicamente viável considerando os recursos e as tecnologias à disposição da Petup
  2. ; (ii) que as demais áreas de negócios que possam ter cópias dos dados
    procedam ao seu descarte seguro; e (iii) que os terceiros que possuam dados pessoais
    sob controle da Petup procedam ao descarte seguro dos dados pessoais na
    forma dos respectivos contratos firmados com a Petup
    6.3. Se for tomada a decisão de salvaguarda parcial dos dados pessoais, Encarregado
    pelo Tratamento de Dados Pessoais da Petup providenciará o bloqueio de seu
    tratamento e acesso para as finalidades que motivaram a sua exclusão, mantendo-se
    somente os dados necessários e segregados para as finalidades restantes.
    6.4. A Petup poderá realizar a anonimização de dados pessoais quando decidir
    pela sua exclusão ou bloqueio conforme descrito nesta Política, mas uma ou mais áreas
    de negócios da empresa considerarem que tais dados possuem alguma utilidade para
    alguma atividade ou processo sem que ninguém esteja identificado ou individualizado.
    Neste caso, serão utilizados de meios técnicos razoáveis e disponíveis na época, que
    garantam a impossibilidade de associação, direta ou indireta, daqueles dados pessoais
    a um indivíduo, de modo que os respectivos titulares não possam mais ser identificados
    também pela utilização de meios técnicos razoáveis e disponíveis. Após anonimizadas,
    essas informações deixarão de ser consideradas dados pessoais para todos os efeitos.
  3. Responsabilidades
    7.1. Cada colaborador, diretor, prestador de serviço e contratado da Petup é
    responsável por observar as normas desta Política com relação à proteção dos dados
    pessoais que acessar, que receber de outrem e que compartilhar com outrem, bem
    como por auxiliar o Encarregado pelo Tratamento de Dados Pessoais da Petup
    a realizar suas atribuições e tarefas.
    7.2 O desrespeito às normas desta Política causará a aplicação de sanções disciplinares
    ou contratuais ao responsável pelo descumprimento conforme Manual de Compliance
    da Petup, sem prejuízo da indenização da Petup pelas perdas e danos
    sofridos.
  4. Referência Cruzada com Outros Instrumentos Normativos Internos
    LPD-01 – Política de compartilhamento de dados pessoais – IB_v1.