19 de Março de 2024

Política de Retenção e Descarte de Dados Pessoais

  1. Introdução

    A presente Política de Retenção e Descarte de Dados Pessoais ("Política") foi elaborada pela Município De Rondonópolis - Estado de Mato Grosso, pessoa de direito público, situada à Avenida Duque de Caxias nº 1.000, Vila Aurora, no Município De Rondonópolis, Estado do Mato Grosso, inscrita no CNPJ sob o nº 03.347.101/0001-21 ("Prefeitura") a fim de definir os princípios para reter, revisar e eliminar dados pessoais. Esta Política abrange todos os servidores da Prefeitura, onde quer que eles possam estar localizados ou trabalhando. Sendo obrigatório que nossos consultores e fornecedores terceirizados introduzam e sigam as práticas apropriadas de retenção e descarte de dados pessoais.

    Por favor, note:
    Esta Política deve ser lida em conjunto com outras políticas que tenham como objetivos a proteção e a segurança de dados como a Política de Privacidade.

  2. Finalidade

    Uma política de retenção e descarte se faz necessária haja visto que a Prefeitura lida com dados de pessoas naturais identificadas ou identificáveis ("Dados Pessoais"). Esses Dados Pessoais devem ser coletados, processados, armazenados e destruídos de forma que siga as necessidades empresariais e econômicas, bem como cumpra com os requisitos legais/regulatórios e obrigações contratuais.

  3. Aplicabilidade

    Esta Política se aplica a todos os servidores (incluindo terceirizados) que tratam Dados Pessoais mantidos em sistemas de computador ou registros manuais sob a gestão, controle ou posse da Prefeitura. Todo o corpo de servidores da Prefeitura, bem como conforme ajustado e acordado com fornecedores/parceiros de negócios, devem agir de forma consistente com os princípios contidos na Política.

  4. Responsabilidade pela retenção de Dados Pessoais

    1. A proteção, retenção e eliminação de Dados Pessoais é de responsabilidade de todos os servidores da Prefeitura, bem como funcionários de nossos prestadores de serviços que armazenam Dados Pessoais em nosso nome. Por isso, é importante que você tenha lido e entendido esta Política. Todos os servidores e contratados da Prefeitura são obrigados a aderir a esta Política em todos os momentos.
    2. Ao lidar com um terceiro que lida com Dados Pessoais em nome da Prefeitura, devem ser feitos arranjos para garantir que esse terceiro manuseie os dados corretamente. Tais acordos normalmente envolverão uma revisão dos processos internos do terceiro e a imposição de obrigações apropriadas em cláusulas contratuais específicas. Tais obrigações devem se estender à retenção e eliminação de Dados Pessoais.
  5. Período de Retenção de Dados Pessoais

    1. Os Dados Pessoais só podem ser retidos legalmente enquanto a retenção for necessária para alcançar a finalidade legal legítima para a qual os dados são coletados e processados. Garantir o cumprimento dessa exigência significa que a Prefeitura e sua equipe devem gerenciar proativamente os períodos de retenção de Dados Pessoais.
    2. Em alguns casos, como em relação à contabilidade, impostos ou litígios reais ou potenciais, a Prefeitura precisará reter Dados Pessoais por períodos específicos.
    3. Em resumo, quando a legislação vigente determinar a retenção e/ou prescrever períodos específicos de retenção para tipos específicos de Dados Pessoais, a obrigação de reter os Dados Pessoais prevalecerá sobre as diretrizes de eliminação de Dados Pessoais.
  6. Processo de Retenção de Dados Pessoais

    1. Na prática, a Prefeitura tem 3 (três) categorias de períodos de retenção de Dados Pessoais:
      • Período de retenção curto. Aplicável quando o membro relevante da equipe não tem uma necessidade de retenção de negócios para o Período de Retenção Padrão e confirmou que um Período de Retenção Prolongada não se aplica. Nesse caso, é responsabilidade do membro relevante da equipe excluir os Dados Pessoais em até 48 (quarenta e oito) horas após o encerramento da finalidade de uso dos Dados Pessoais.
      • Período de retenção padrão. Aplicável no curso normal do negócio quando é necessária a retenção dos Dados Pessoais para fins de atendimento de um processo do negócio, de modo que os Dados Pessoais serão retidos, via regra geral, por um período de 6 (seis) anos.
      • Período de retenção prolongado. Isso se aplica quando o membro relevante da equipe tem uma necessidade legítima de reter os Dados Pessoais por um período mais longo ou uma exigência legal para reter os Dados Pessoais se aplica. O período de retenção neste caso será de (I) 10 (dez) anos para cumprimento de obrigações trabalhistas, (II) 30 (trinta) anos para cumprimento de obrigações previdenciárias, e (III) 10 (anos) para as demais hipóteses não previstas em lei e que exigem a retenção dos Dados Pessoais por um período mais longo.
    2. Em caso de dúvidas acerca do período de retenção específico de determinado Dado Pessoal, o Registro de Operações de Tratamento de Dados Pessoais da Prefeitura, sob gestão do Encarregado, deverá ser consultado.
  7. Destinação

    1. A Prefeitura é responsável por garantir que os cronogramas sejam periodicamente revisados (pelo menos anualmente) para determinar se algum período de retenção de Dados Pessoais por ela tratados expirou. Uma vez expirado o período de retenção, os Dados Pessoais devem ser revistos e uma "ação de destinação" deve ser tomada.
    2. Uma "ação de destinação" é:
      • O descarte dos Dados Pessoais;
      • A anonimização dos Dados Pessoais;
      • A retenção do Dado Pessoal por período adicional;
      • O arquivamento dos Dados Pessoais.
    3. A ação de destinação deve ser tomada sempre levando em consideração:
      • Necessidades contínuas do negócio e prestação de contas (incluindo auditoria);
      • Legislação aplicável vigente;
      • Se os Dados Pessoais têm algum valor histórico ou de pesquisa de longo prazo;
      • Melhores práticas no campo profissional aplicável;
      • Custos associados ao armazenamento contínuo versus custo de descarte;
      • Os riscos legais, políticos e reputacionais associados à manutenção, destruição ou perda do controle sobre os Dados Pessoais.
    4. As decisões não devem ser tomadas com a intenção de negar acesso ou destruir provas. Todas as decisões de destinação deverão ser registradas e arquivadas pela área responsável.
  8. Eliminação de Dados Pessoais

    1. Quando o prazo de retenção expirar, a Prefeitura destruirá ativamente os Dados Pessoais cobertos por esta Política. Se a Prefeitura entender que certos Dados Pessoais não devem ser destruídos, eles devem identificar os Dados Pessoais para o titular para que uma exceção à política possa ser considerada. Quaisquer exceções identificadas, serão aprovadas pelo Encarregado. Nenhuma eliminação de Dados Pessoais deve ocorrer sem a garantia de que:
      • Os Dados Pessoais não são mais exigidos por qualquer parte do negócio;
      • Nenhum trabalho envolvendo os Dados Pessoais está pendente por qualquer parte do negócio;
      • Nenhum litígio ou investigação está em curso ou pendente que envolva os Dados Pessoais;
      • Não há solicitações de acesso em ativas ou pendentes que envolvam os Dados Pessoais.
  9. Diretrizes para Eliminação de Dados Pessoais

    1. As seguintes diretrizes deverão ser seguidas para fins de eliminação de Dados Pessoais pela Prefeitura:
      • Dados Pessoais envolvidos em investigações, auditorias ou litígios que estejam em curso não deverão ser destruídos ou descartados.
      • A eliminação das Dados Pessoais antes do período de retenção definido só acontecerá com o consentimento explícito e expresso de seu titular. Ninguém mais, exceto o titular de Dados Pessoais poderá solicitar o descarte de Dados Pessoais.
      • Quando as políticas de retenção forem atendidas, os Dados Pessoais deverão ser imediatamente destruídos ou alocados em locais seguros para fins de posterior descarte controlado.
      • Nos casos em que terceiros sejam utilizados para serviços de coleta e descarte de papel, equipamentos e dados, deve-se tomar cuidado ao selecionar um terceiro adequado com experiência suficiente e que esteja em conformidade com a Política de Privacidade e diretrizes de Segurança da Informação da Prefeitura.
      • O disco rígido/ dispositivo de arquivamento deverá ser desmagnetizado para fins de eliminação dos Dados Pessoais.
  10. Métodos Aceitáveis para Eliminação de Dados Pessoais

    • Limpeza de Dados Pessoais: A limpeza de Dados Pessoais significa apagar completamente os dados da memória ou do disco rígido. Normalmente, quando um arquivo de disco é excluído, apenas o nome do arquivo no diretório é marcado como excluído, mas os dados ainda residem nos setores de disco até que seja substituído por novos dados posteriormente por ele ou por algum outro aplicativo. Limpar o disco rígido significa realmente apagar os dados nos setores de disco. Para a segurança máxima, especialistas afirmam que dados aleatórios devem ser escritos nos setores várias vezes, porque a análise forense pode detectar o resíduo magnético anterior se os bits magnéticos forem substituídos apenas uma vez. Além disso, os caches também devem ser limpos.
    • Desmagnetização: Destruindo Dados Pessoais em um disco rígido ou em uma unidade de armazenamento de tal forma que os dados não possam ser recuperados.
    • Informática Forense: A investigação de um sistema de computador que se acredita estar envolvido em crimes cibernéticos. O software forense fornece uma variedade de ferramentas para investigar um PC suspeito. Esses programas podem incluir uma função que copia todo o disco rígido para outro sistema para inspeção, permitindo que o original permaneça sem mudanças.
    • Trituração: Corte de papel em tiras pequenas através do uso de triturador de papel.

    Para o descarte de Dados Pessoais os seguintes métodos podem ser utilizados:

    • Desmagnetização e destruição do disco rígido caso este não venha a ser utilizado no futuro;
    • Desmagnetização do disco rígido/ dispositivo de armazenamento ou utilização dos utilitários de eliminação, caso a mídia tiver que ser usada no futuro;
    • Usar trituradores para papel, CD e DVDs;
    • Utilizar utilitários de eliminação ou reescrever o CD/DVDs (RW) com ferramentas disponíveis publicamente;
    • Equipamentos danificados que contenham mídia de armazenamento podem exigir uma avaliação de risco para determinar se os itens devem ser fisicamente destruídos em vez de enviados para reparo ou descartados. Os Dados Pessoais podem ser comprometidos por meio de descarte descuidado ou reutilização de equipamentos.
  11. Arquivamento de Dados Pessoais

    O arquivamento é definido como armazenamento seguro de Dados Pessoais (documentos que não têm mais valor administrativo, mas devem ser permanentemente preservados para fins históricos ou de pesquisa), de forma que os Documentos sejam tornados inacessíveis por usuários autorizados no curso ordinário dos negócios, mas que podem ser recuperados por um administrador designado pela Prefeitura para gestão dos documentos em questão. Após o término do período de arquivamento, os documentos serão destruídos de acordo com os princípios de eliminação de Dados Pessoais definidos nesta Política.

  12. Áreas e Responsabilidades para Descarte de Dados Pessoais

    Responsabilidades da área de TI

    • Auxiliar as áreas no processo de eliminação de Dados Pessoais;
    • Selecionar o método apropriado para descarte.

    Responsabilidades e Processos das Demais Áreas

    • Identificar Dados Pessoais que precisam ser descartados;
    • Notificar e coordenar com a equipe do Arquivo Público sobre a necessidade de trituração de qualquer ativo em papel;
    • Descartar os Dados Pessoais /remover a informação /destruir as informações (conforme aplicável).
    • Notificar o Encarregado após a conclusão do descarte de Dados Pessoais.
  13. Informações

    Para obter mais informações sobre retenção de Dados Pessoais ou qualquer aspecto desta Política, entre em contato com o Encarregado da Prefeitura que ajudará a direcionar/responder suas dúvidas.

  14. Revisão da Política

    Esta Política pode ser atualizada de tempos em tempos pela Prefeitura para refletir qualquer mudança na legislação ou nos métodos e práticas da Prefeitura.

  15. Aplicação da Política

    • A violação de qualquer um dos princípios dentro da Política pode resultar em uma ação disciplinar (no caso de servidores) ou uma grave quebra contratual (no caso de terceiros), podendo equivaler a uma transgressão grave, o que poderá resultar em processo administrativo ou rescisão contratual.
    • Esta Política não se destina e não concede aos usuários quaisquer direitos contratuais.

Acesso Rápido

Menu de acesso rápido