1.    Introdução

A presente Política de Retenção e Descarte de Dados Pessoais (“Política”) foi elaborada pela MZ BARÃO CONSULTORIA E COBRANÇA LTDA., CNPJ nº 30.223.471/0001-20, com sede na Rua Barão de Itapetininga, 50, 8 andar, República – São Paulo – SP, CEP 01042-000 (“MZ”) a fim de definir os princípios para reter, revisar e eliminar dados pessoais. Esta Política abrange todos os funcionários da MZ, onde quer que eles possam estar localizados ou trabalhando. Também esperamos que nossos consultores e fornecedores terceirizados introduzam e sigam as práticas apropriadas de retenção e descarte de dados pessoais.

2.    Finalidade

Uma política de retenção e descarte se faz necessária haja visto que a MZ lida com dados de pessoas naturais identificadas ou identificáveis (“Dados Pessoais”). Esses Dados Pessoais devem ser coletados, processados, armazenados e destruídos de forma que siga as necessidades empresariais e econômicas, bem como cumpra com os requisitos legais/regulatórios e obrigações contratuais.

3.    Aplicabilidade

Esta Política se aplica a todos os funcionários (incluindo terceirizados) que tratam Dados Pessoais mantidos em sistemas de computador ou registros manuais sob a gestão, controle ou posse da MZ. Todo o corpo de empregados da MZ, bem como conforme ajustado e acordado com fornecedores/parceiros de negócios, devem agir de forma consistente com os princípios contidos na Política.

4.     Responsabilidade pela retenção de Dados Pessoais

1. 1. A proteção, retenção e eliminação de Dados Pessoais é de responsabilidade de todos os membros da equipe da MZ, incluindo funcionários e contratados, bem como funcionários terceirizados, e funcionários de nossos prestadores de serviços que armazenam Dados Pessoais em nosso nome. Por isso, é importante que você tenha lido e entendido esta Política. Todos os funcionários e contratados da MZ são obrigados a aderir a esta Política em todos os momentos.

1. 1. Ao lidar com um terceiro que lida com Dados Pessoais em nome da MZ, devem ser feitos arranjos para garantir que esse terceiro manuseie os dados corretamente. Tais acordos normalmente envolverão uma revisão dos processos internos do terceiro e a imposição de obrigações apropriadas em cláusulas contratuais específicas. Tais obrigações devem se estender à retenção e eliminação de Dados Pessoais.

1. 1. Nas hipóteses em que a MZ atuar como operador de Dados Pessoais que processa para seus clientes (controladores de dados, a MZ deverá agir sob as instruções dos clientes em relação à retenção e eliminação de dados pessoais de propriedade do cliente.

5.     Período de Retenção de Dados Pessoais

1. 1. Os Dados Pessoais só podem ser retidos legalmente enquanto a retenção for necessária para alcançar a finalidade comercial legítima para a qual os dados são coletados e processados. Garantir o cumprimento dessa exigência significa que a MZ e sua equipe devem gerenciar proativamente os períodos de retenção de Dados Pessoais.

1. 1. Em alguns casos, como em relação à contabilidade, impostos ou litígios reais ou potenciais, a MZ precisará reter Dados Pessoais por períodos específicos.

1. 1. Em resumo, quando a legislação vigente determinar a retenção e/ou prescrever períodos específicos de retenção para tipos específicos de Dados Pessoais, a obrigação de reter os Dados Pessoais prevalecerá sobre as diretrizes de eliminação de Dados Pessoais.

1. 1. Por exemplo, mesmo depois de um funcionário ter deixado a MZ, a MZ pode precisar manter Dados Pessoais sobre o ex-funcionário para fornecer referências, atuar em ações judiciais ou cumprir obrigações legais previstas na legislação trabalhista e previdenciária. No entanto, se não houver uma razão objetiva que justifique a manutenção dos Dados Pessoais, tais dados serão excluídos ou anonimizados. O proprietário do processo empresarial responsável pela coleta dos Dados Pessoais também é responsável por garantir que os Dados Pessoais sejam anonimizados ou excluídos de acordo com essa política. Para obter mais orientações sobre métodos aceitáveis para anonimizar ou excluir Dados Pessoais, entre em contato conosco através do mario@ferraragarcia.com.br que ajudará a direcionar /responder suas dúvidas.

6.    Processo de Retenção de Dados Pessoais

1. 1. Na prática, a MZ tem 3 (três) categorias de períodos de retenção de Dados Pessoais:

 

• • Período de retenção curto. Aplicável quando o membro relevante da equipe não tem uma necessidade de retenção de negócios para o Período de Retenção Padrão e confirmou que um Período de Retenção Prolongada não se aplica. Nesse caso, é responsabilidade do membro relevante da equipe excluir os Dados Pessoais em até 48 (quarenta e oito) horas após o encerramento da finalidade de uso do Dados Pessoais.

• • Período de retenção padrão. Aplicável no curso normal do negócio quando é necessária a retenção dos Dados Pessoais para fins de atendimento de um processo do negócio, de modo que os Dados Pessoais serão retidos, via regra geral, por um período de 6 (seis) anos. 

• • Período de retenção prolongado. Isso se aplica quando o membro relevante da equipe tem uma necessidade legítima de reter os Dados Pessoais por um período mais longo ou uma exigência legal para reter os Dados Pessoais se aplica. O período de retenção neste caso será de (i) 10 (dez) anos para cumprimento de obrigações trabalhistas, (ii) 30 (trinta) anos para cumprimento de obrigações previdenciárias, e (iii) 10 (anos) para as demais hipóteses não previstas em lei e que exigem a retenção dos Dados Pessoais por um período mais longo.

1. 1. Em caso dúvidas acerca do período de retenção específico de determinado Dado Pessoal, o Registro de Operações de Tratamento de Dados Pessoais da MZ, sob gestão do Encarregado, deverá ser consultado.

7.    Destinação

1. 1. A MZ é responsável por garantir que os cronogramas sejam periodicamente revisados (pelo menos anualmente) para determinar se algum período de retenção de Dados Pessoais por ela tratados expirou. Uma vez expirado o período de retenção, os Dados Pessoais devem ser revistos e uma “ação de destinação” deve ser tomada.

1. 1. Uma “ação de destinação” é:

• O descarte dos Dados Pessoais;
• A anonimização dos Dados Pessoais; 
• A retenção do Dado Pessoal por período adicional;
• O arquivamento dos Dados Pessoais.

1. 1. A ação de destinação deve ser tomada sempre levando em consideração:

• Necessidades contínuas do negócio e prestação de contas (incluindo auditoria);
• Legislação aplicável vigente;
• Se os Dados Pessoais têm algum valor histórico ou de pesquisa de longo prazo;
• Melhores práticas no campo profissional aplicável;
• Custos associados ao armazenamento contínuo versus custo de descarte;
• Os riscos legais, políticos e reputacionais associados à manutenção, destruição ou

perda do controle sobre os Dados Pessoais.

1. 1. As decisões não devem ser tomadas com a intenção de negar acesso ou destruir provas. Todas as decisões de destinação deverão ser registradas e arquivadas pela área responsável.

8.    Eliminação de Dados Pessoais

8.1. Quando o prazo de retenção expirar, a MZ destruirá ativamente os Dados Pessoais cobertos por esta Política. Se a MZ entender que certos Dados Pessoais não devem ser destruídos, eles devem identificar os Dados Pessoais para o titular para que uma exceção à política possa ser considerada. Quaisquer exceções identificadas, serão aprovadas pelo Encarregado. Nenhuma eliminação de Dados Pessoais deve ocorrer sem a garantia de que:

• Os Dados Pessoais não são mais exigidos por qualquer parte do negócio;
• Nenhum trabalho envolvendo os Dados Pessoais está pendente por qualquer parte do negócio;
• Nenhum litígio ou investigação está em curso ou pendente que envolva os Dados Pessoais; e
• Não há solicitações de acesso em ativas ou pendentes que envolvam os Dados Pessoais.

9.    Diretrizes para Eliminação de Dados Pessoais

9.1. As seguintes diretrizes deverão ser seguidas para fins de eliminação de Dados Pessoais pela MZ:

• Dados Pessoais envolvidos em investigações, auditorias ou litígios que estejam em curso não deverão ser destruídos ou descartados.
• A eliminação das Dados Pessoais antes do período de retenção definido só acontecerá com o consentimento explícito e expresso de seu titular. Ninguém mais, exceto o titular de Dados Pessoais poderá solicitar o descarte de Dados Pessoais. 
• Quando as políticas de retenção forem atendidas, os Dados Pessoais deverão ser imediatamente destruídos ou alocados em locais seguros para fins de posterior descarte controlado.
• Nos casos em que terceiros sejam utilizados para serviços de coleta e descarte de papel, equipamentos e dados, deve-se tomar cuidado ao selecionar um terceiro adequado com experiência suficiente e que esteja em conformidade com a Política de Privacidade e diretrizes de Segurança da Informação da MZ.

10.    Métodos Aceitáveis para Eliminação de Dados Pessoais

• Limpeza de Dados Pessoais: A limpeza de Dados Pessoais significa apagar completamente os dados da memória ou do disco rígido. Normalmente, quando um arquivo de disco é excluído, apenas o nome do arquivo no diretório é marcado como excluído, mas os dados ainda residem nos setores de disco até que seja substituído por novos dados posteriormente por ele ou por algum outro aplicativo. Limpar o disco rígido significa realmente apagar os dados nos setores de disco. Para a segurança máxima, especialistas afirmam que dados aleatórios devem ser escritos nos setores várias vezes, porque a análise forense pode detectar o resíduo magnético anterior se os bits magnéticos forem substituídos apenas uma vez. Além disso, os caches também devem ser limpos.
• Trituração: Corte de papel em tiras pequenas através do uso de triturador de papel.

Para o descarte de Dados Pessoais os seguintes métodos podem ser utilizados:

• • • • Desmagnetização e destruição do disco rígido caso este não venha a ser utilizado no futuro;
      • Desmagnetização do disco rígido/ dispositivo de armazenamento ou utilização dos utilitários de eliminação, caso a mídia tiver que ser usada no futuro;
      • Usar trituradores para papel, CD e DVDs;
      • Utilizar utilitários de eliminação ou reescrever o CD/DVDs (RW) com ferramentas disponíveis publicamente;
• Equipamentos danificados que contenham mídia de armazenamento podem exigir uma avaliação de risco para determinar se os itens devem ser fisicamente destruídos em vez de enviados para reparo ou descartados. Os Dados Pessoais podem ser comprometidos por meio de descarte descuidado ou reutilização de equipamentos.

11.    Arquivamento de Dados Pessoais

O arquivamento é definido como armazenamento seguro de Dados Pessoais (documentos que não têm mais valor administrativo, mas devem ser permanentemente preservados para fins históricos ou de pesquisa), de forma que os Documentos sejam tornados inacessíveis por usuários autorizados no curso ordinário dos negócios, mas que podem ser recuperados por um administrador designado pela MZ para gestão dos documentos em questão. Após o término do período de arquivamento, os documentos serão destruídos de acordo com os princípios de eliminação de Dados Pessoais definidos nesta Política.

12.    Informações

Para obter mais informações sobre retenção de Dados Pessoais ou qualquer aspecto desta Política, entre em contato com o Encarregado da MZ que ajudará a direcionar/responder suas dúvidas.

13.    Revisão da Política

Esta Política pode ser atualizada de tempos em tempos pela MZ para refletir qualquer mudança na legislação ou nos métodos e práticas da MZ.

14.    Aplicação da Política

• • • A violação de qualquer um dos princípios dentro da Política pode resultar em uma ação disciplinar (no caso de empregados) ou uma grave quebra contratual (no caso de terceiros), podendo equivaler a uma transgressão grave, o que poderá resultar em demissão sumária com justa causa ou rescisão contratual.
    • Esta Política não se destina e não concede aos usuários quaisquer direitos contratuais.