Powered by:
Clique em algum termo para visualizar.
O Grupo CBO deve garantir o cumprimento da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados ou “LGPD”) e seus requisitos relativos à coleta, armazenamento, recuperação e destruição de dados pessoais e/ou dados sensíveis.
Considerando que por razões legais e para fins de governança, o Grupo CBO precisa manter em seus arquivos diversos documentos – alguns deles com dados pessoais, elaboramos estes documentos com a finalidade de orientar os times internos sobre prazos de manutenção de documentos em arquivo, de modo que sejam descartados aqueles que não são mais necessários.
Esta Política abrange toda a correspondência, documentos, contratos, formulários ou quaisquer outros materiais gerados, distribuídos, processados ou mantidos, tanto registros em papel, quanto registros eletrônicos, no contexto das atividades da Concessionária.
“Orientações de retenção”: significa instruções para o gerenciamento de informações que possam ser potencialmente úteis para um litígio ou defesa do Grupo CBO (Anexo 01);
“Colaborador”: significa o funcionário, preposto ou agente que atua em nome do Grupo CBO;
“Dado pessoal”: informação relacionada a pessoa natural identificada ou identificável;
“Dado pessoal sensível”: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
“Dado anonimizado”: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
“Informação(ões)”: significa o resultado do processamento, manipulação e organização de dados de tal forma que represente um acréscimo ao conhecimento da pessoa que o recebe. É um ativo, como qualquer outro ativo importante para os negócios, que tem valor para a organização e consequentemente deve ser adequadamente protegido;
“Informações de Negócio”: significam Informações especialmente importantes para o Grupo CBO, referentes a evidências de negócios, contratos, eventos, processos, transações, resultados e atividades do Grupo CBO que representem direitos ou obrigações, ou que têm valor comercial e precisam ser preservadas de acordo com a lei e/ou procedimento do Grupo CBO, nos termos desta Política; e
“Tabela de Temporalidade”: significa a tabela que define o período pelo qual as Informações de Negócio serão armazenados pelo Grupo CBO (Anexo 02).
A área de TI é a responsável por aplicar medidas de controles para o cumprimento desta Política, conforme as diretrizes estabelecidas pela companhia quanto a utilização de dados pessoais. Assim como aplicar mecanismos para mitigação de riscos relacionados ao incidente ou vazamento de Informações de dados digitalizados.
Cabe ao Jurídico:
As informações devem ser organizadas com base em quatro estágios: (i) criação; (ii) gerenciamento; (iii) retenção; e (iv) descarte.
As informações devem ser criadas com o propósito específico de comunicar ou documentar somente questões relacionadas aos negócios do Grupo CBO. Uma vez criadas, as informações devem ser gerenciadas e retidas de forma adequada, possibilitando a sua posterior utilização, seja para fins legais ou comerciais.
Após a criação, as informações entram no estágio de gerenciamento, que tem como objetivo fazer com que tais informações cheguem corretamente àqueles que precisam tomar decisões em nome do Grupo CBO. Portanto, o processo de busca, identificação, classificação, processamento, armazenamento e disseminação das informações deve ser o mais adequado ao tipo de informações verificado.
Deve-se buscar escolher os sistemas mais eficientes para realizar o gerenciamento de informações, para que posteriormente as informações mais relevantes estejam disponíveis de forma rápida e acessível. As informações devem ser classificadas de acordo com suas características e com metadados completos (quando eletrônicos), para otimizar o seu posterior tratamento e processamento.
É recomendada a retenção em meios eletrônicos, a menos que o documento em papel seja exigido por lei ou regulamentação. Caso seja feita uma cópia eletrônica de uma informação em papel, deve ser assegurada sua qualidade e sua veracidade, assim como sua segurança para que não seja indevidamente deletada.
Durante o estágio de retenção, as informações devem ser armazenadas utilizando-se o nível apropriado de segurança. O prazo de retenção é determinado com base na Tabela de Temporalidade ou de acordo com o prazo determinado pela área responsável.
Caso as informações que contêm dados pessoais sejam armazenadas por terceiros, cada área é responsável por garantir que o terceiro se comprometa, por escrito, a implementar as medidas de segurança apropriadas e seguir as instruções do Grupo CBO, de acordo com a LGPD.
Antes de descartar informações, o Colaborador deve primeiro verificar se não há a obrigação de preservá-las. As Informações de Negócio não podem ser descartadas sem prévia autorização do Encarregado.
O descarte das Informações de Negócios deve ocorrer de acordo com os prazos de retenção definidos na Tabela de Temporalidade, independentemente da mídia na qual são armazenados. Informações gerenciadas por tempo acima do período de retenção determinado na Tabela de Temporalidade são considerados obsoletos e devem ser descartados no final do período de retenção aplicável.
O método de descarte das informações de negócio deve ser adequado à mídia e sensibilidade da informação a ser descartada, com menor impacto ambiental possível, e deve ser irreversível. Ao utilizar prestadores de serviço externos, o Colaborador deve agir com diligência para garantir que o terceiro contratado seja confiável, de forma a: (a) assegurar a confidencialidade e o descarte seguro das Informações de Negócio; e (b) utilizar os meios de descarte menos gravosos ao meio ambiente. Cabe à área que contrata o prestador de serviço monitorar o cumprimento do disposto nesta Política pelo respectivo prestador.
Cada área do Grupo CBO é responsável por analisar, manusear, guardar e descartar as informações (em formato físico e eletrônico) que estão sob sua gestão de forma segura, e principalmente as informações com dados pessoais e dados pessoais sensíveis, na forma desta Política.
Dessa forma, todos os documentos com dados pessoais e dados pessoais sensíveis, deverão ser guardados e manuseados com segurança e cuidado, não podendo ser expostos de maneira indevida e sob responsabilidade de cada área do Grupo CBO.
O Grupo CBO reserva-se o direito de acessar e analisar as informações criadas, modificadas, mantidas, arquivadas, recuperadas ou transmitidas no curso de suas atividades, independentemente da mídia ou local do armazenamento.
Qualquer violação a esta Política deverá ser encaminhada ao Encarregado de Proteção de Dados Pessoais.
Aos gestores das áreas cabe:
As demais áreas do Grupo CBO devem seguir as diretrizes descritas abaixo, independentemente do meio de armazenamento dos dados (físico ou eletrônico).
Os Colaboradores devem cumprir o disposto nesta Política, assim como as leis e regulamentos a ela relacionados. O Colaborador que violar esta Política ou que tenha conhecimento de qualquer violação e deixe de reportá-la, estará sujeito a medidas disciplinares.
Esta Política será revisada periodicamente e deverá ser atualizada sempre que necessária pelo Grupo de Trabalho de LGPD e aprovada pelo Encarregado de Proteção de Dados Pessoais. Caso surja alguma dúvida, o Encarregado de Proteção de Dados Pessoais deverá saná-las, com apoio do Jurídico ou TI, conforme o caso.
ANEXO 01: ORIENTAÇÕES DE RETENÇÃO
|
Tipo de Documento |
Procedimento de Retenção |
|
Informações de Negócio |
|
|
Informações |
|
|
Formato do Documento |
Detalhes sobre o Procedimento de Descarte |
|
Informações em formato eletrônico |
Todas as Informações mantidas em meio eletrônico, ao final do Período de Retenção, devem (i) ter todas as suas versões (inclusive versões anteriores, preliminares e/ou incompletas) e cópias (incluindo cópias de segurança e cópias de preservação) deletadas de qualquer ambiente eletrônico em que forem mantidas (tais como infraestrutura em nuvem, desktop, caixa de e-mail etc.) e (ii) ter seu backup integralmente deletado.
Caso a Informação seja mantida em dispositivo de mídia (tais como dispositivos SSDs e USBs, pendrives, CDs e DVDs), o descarte deste pode ser realizado por desmagnetização (técnica irreversível em que o disco rígido é exposto a campo magnético com intensidade superior a sua blindagem) ou destruição física (podendo esta ser efetuada por desintegração, esmagamento, trituração ou derretimento).
O Grupo CBO poderá implementar fragmentadoras específicas para destruir CDs/DVDs, mas estes também podem ser quebrados pelo Colaborador manualmente (se não houver um Aviso de Retenção aplicável). O descarte de pendrives, SSDs e USBs, por sua vez, deve ocorrer por meio de softwares de exclusão de arquivos, seguida por sua destruição física, por qualquer ferramenta apropriada a ser fornecida e/ou informada ao Colaborador.
Os resíduos de materiais de dispositivos de mídias devem, após a eliminação de toda Informação, ser descartados em lixos destinados especificamente à reciclagem de tais materiais. |
|
Informações em formato físico |
A forma mais segura e ecologicamente correta de descartar Informações físicas é por meio de contratação de empresa especializada para tal descarte. Caso o Grupo CBO opte por realizar internamente, o descarte deve ser feito através da utilização de triturador de papel e posterior reciclagem dos resíduos.
O papel devidamente triturado deve ser descartado em lixos destinados especificamente à reciclagem de papeis, de forma a evitar qualquer possibilidade de recuperação das Informações. |
ANEXO 02: TABELA DE TEMPORALIDADE
|
Tipo de documento |
Exemplos de documentos |
Período de retenção |
Fundamento legal |
|
1. Registros Contábeis e Fiscais |
|||
|
Contabilidade / Financeiro |
Registros contábeis incluindo todos os documentos usados ou relevantes para a preparação das contas anuais da empresa, notas fiscais, recibos e declarações de fornecedores, orçamentos e relatórios financeiros internos periódicos, registros fiscais corporativos, registros de folha de pagamento e salário (incluindo detalhes sobre horas extras, bônus, despesas e benefícios em espécie), despesas de viagem e subsistência para funcionários Observação: para registros de pagamento a empregados, ver item 4. |
5 anos contados do primeiro dia do exercício seguinte àquele em que o lançamento poderia ter sido efetuado |
Código Tributário Nacional, Art. 173 |
|
Planejamento Financeiro |
Controle financeiro interno, relatórios de análise de tendências, relatórios de despesas, planejamento orçamentário. |
10 anos contados a partir da liquidação da empresa |
Código Civil, Art. 205 |
|
Cobrança de dívidas |
Registros relacionados ao gerenciamento e cobrança de dívidas e contas em atraso |
5 anos contados do primeiro dia do exercício seguinte àquele em que o lançamento poderia ter sido efetuado |
Código Tributário Nacional, Art. 173 |
|
Registros fiscais |
Registros fiscais incluindo Comprovante de Rendimentos Pagos ou Creditados e de Retenção na Fonte; Contratos de seguros de bens – documentos originais; Declaração Comprobatória de Percepção de Rendimentos – DECORE; Declaração de Débitos e Créditos Tributários Federais – DCTF; Declaração de Imposto de Renda – DIRF; Declaração de Informações sobre Atividades Imobiliárias – DIMOB; Declaração de Informações Econômico- Fiscais da Pessoa Jurídica – DIPJ; Demonstrativo de Apuração de Contribuições Sociais – DACON; Demonstrativo de Notas Fiscais – DNF; Demonstrativo do Crédito Presumido – DCP; Documentos, papéis de trabalho, relatórios e pareceres relacionados aos serviços realizados pelo Auditor Independente; Livros obrigatórios de escrituração fiscal e comercial. Observação: para documentos trabalhistas, ver item 4. |
5 anos contados do primeiro dia do exercício seguinte àquele em que o lançamento poderia ter sido efetuado |
Código Tributário Nacional, Art. 173, 174 e 195 |
|
Registros fiscais |
Livro razão; Livro de Apuração do Lucro Real; SPED Contábil; Escrituração Contábil Digital. |
Perpetuamente |
Lei nº 6.404/1976, Art. 177 |
|
Registros fiscais (Contribuição Social) |
Documentos relacionados a contribuições sociais. |
10 anos contados do pagamento |
Decreto-Lei nº 2.052/1983, Arts. 3 e 10 |
|
2. Documentos oficiais do Grupo CBO |
|||
|
Documentos Oficiais |
Documentos relacionados a constituição, como estatutos, contratos sociais, organogramas, atas e outros documentos de valor histórico. |
10 anos contados a partir da liquidação da empresa |
Código Civil, Art. 205 |
|
Diretores e Acionistas |
Registros relacionados ao conselho e comitê, documentos da agenda, atas de reunião de diretoria e comitê, resolução por escrito do conselho, registro de comparecimento dos diretores, registo de declarações de interesses dos diretores, registro de fechamento, avisos de reuniões gerais e de classe (cópia assinada) e circulares aos acionistas (cópia mestre), certificado de postagem de aviso, atas das reuniões gerais e de classe, registro de resoluções estatutárias de acionistas da empresa por escrito. |
10 anos contados a partir da liquidação da empresa |
Código Civil, Art. 205 |
|
Comunicações Internas |
Documentos relacionados a comunicações empresariais, incluindo memorandos, arquivos de projetos, calendários, comunicações da empresa, estratégias de negócios e performance, relatórios de inteligência de negócios. |
10 anos |
Como boa prática, o período de retenção dos documentos deve ser definido com base no conteúdo desses documentos (societários, trabalhistas, fiscais, contábeis, contratuais e outros) Na ausência de período de retenção específico definido por lei, o prazo de prescrição geral é de 10 anos |
|
Comunicações Externas |
Documentos relacionados a comunicações empresariais, incluindo memorandos, arquivos de projetos, calendários, comunicações da empresa, estratégias de negócios e performance, relatórios de inteligência de negócios |
10 anos contados do término da relação com terceiro |
Código Civil, Art. 205 |
|
Políticas e Procedimentos |
Manual de políticas e procedimentos da empresa, código de ética, políticas de privacidade, políticas de segurança da informação, manual da empresa, plano de desenvolvimento de negócios, planejamento estratégico de desempenho, plano de remuneração de empregados e executivos |
|
|
|
Registros de Importação e Exportação |
Registros de importações/exportações; desembaraço aduaneiro, arquivos de expedição, notas fiscais, documentos de transação |
5 anos contados do primeiro dia do exercício seguinte àquele em que o lançamento poderia ter sido efetuado |
Código Tributário Nacional, Art. 173 |
|
3. Registros de Facilities |
|||
|
Gestão de Imóveis |
Ações de título, Locações (cópias assinadas), Acordos de sublocação (cópias assinadas), Memorandos de revisão de aluguel e documentos de acompanhamento, Documentos do projeto para novos edifícios e melhorias , Contratos relacionados com construção, manutenção de edifícios, reparos, Licenças, Pesquisas e inspeções, Relatórios arquitetônicos, Engenharia de estruturas, engenharia mecânica e elétrica e relatórios de serviços de drenagem, Contratos de manutenção e arquivos relacionados, Programas e cronogramas de manutenção , Registro de manutenção, planos de evacuação e emergência, treinamentos de evacuação. |
10 anos contados a partir da liquidação da empresa |
Código Civil, Art. 205 |
|
Segurança e Acesso |
Gravações de câmeras de segurança, base de crachás, registros de acessos às dependências da empresa, fotografias, digitais. Observação: para informação relacionada aos empregados, ver item 4. |
30 dias |
Código Civil, Art. 205 |
|
4. Registros de Recursos Humanos |
|||
|
Registros de Recrutamento e Seleção |
Currículos, registros de entrevista, testes psicológicos e resultados de pesquisa de antecedentes criminais ou financeiros de candidatos não selecionados |
3 anos contados a partir do término do processo seletivo |
Código Civil, Art. 206, §3º, V |
|
Registros de Empregados |
Registros de empregados: incluem currículos e registros de entrevistas de empregados, qualificações / referências, relatórios de avaliação anual, contratos de emprego, histórico de trabalho, cartas de renúncia, rescisão e/ou aposentadoria, registros de folha de pagamento e salário e despesas de subsistência (incluindo horas extras, bônus, despesas e benefícios em espécie), registros anuais de licenças, Questões disciplinares e procedimentos de reclamação, Pesquisas de equipe e planos de ação associados, Fotografias de funcionários que deixaram a empresa. Observação: deve ser considerada a adoção de medidas de segurança e privacidade como criptografia e/ou anonimização para todos os registros que contenham Dados Pessoais |
5 anos contados a partir do término na relação de emprego |
Constituição Federal, Art. 7, XXIX e CLT, Art. 11 |
|
Registros Médicos de Empregados |
Registros relacionados à saúde do empregado, incluindo prontuários médicos, laudos médicos, receitas médicas, atestados ocupacionais (ASO), atestados médicos, exames médicos, termos de consentimento, comunicações de acidentes de trabalho, registros relacionados a acidentes de trabalho. Observação: deve ser considerada a adoção de medidas de segurança e privacidade como criptografia e/ou anonimização para todos os registros que contenham Dados Pessoais |
20 anos contados a partir do término na relação de emprego |
NR7, Art. 7.4.5.1 |
|
Registros Previdenciários |
Registros de Comunicação de Acidente de Trabalho (CAT) e documentos relacionados, Perfil Profissiográfico Previdenciário (PPP) |
20 anos contados a partir do término na relação de emprego |
NR7, Art. 7.4.5.1 |
|
Filiação Sindical |
Registros relacionados a sindicatos, conselhos de classe e associações (atas de participação, reclamações, acordos etc.) |
5 anos contados a partir do término na relação de emprego |
Constituição Federal, Art. 7, XXIX e CLT, Art. 11 |
|
Aposentadoria / Fundos de Pensão |
Registros relacionados a aposentadoria, fundos de pensão, planos de aposentadoria, relatórios sobre aposentados, relatórios de avaliação de aposentadoria e fundos de pensão |
5 anos contados a partir do término na relação de emprego |
Constituição Federal, Art. 7, XXIX e CLT, Art. 11 |
|
Aposentadoria / Fundos de Pensão |
Fundo de Garantia do Tempo de Serviço (FGTS) - depósitos e documentos relacionados
|
30 anos contados da data do pagamento |
Lei nº 8.036/1990, Art. 23, §5º |
|
5. Registros de Segurança e Tecnologia da Informação |
|||
|
Registros Gerais de TI e SI |
Registros de tecnologia e segurança da informação incluindo relatórios, de incidentes de segurança e documentos derivados, licenças de softwares, documentação relacionada ao desenvolvimento de sistemas, relatórios de continuidade do negócio e a recuperação de desastres, especificações de testes, logs de acesso a sistemas críticos, auditorias de segurança da informação, perfis de acesso |
5 anos |
Como boa prática, o período de retenção dos documentos deve ser definido com base no conteúdo desses documentos (societários, trabalhistas, fiscais, contábeis, contratuais e outros). Na ausência de período de retenção específico definido por lei, o prazo de prescrição geral é de 10 anos. |
|
6. Registros de Seguro e Gerenciamento de Riscos |
|||
|
Registros de Seguro |
Evidência de cobertura de seguro para a empresa, fornecedores, prestadores de serviço e terceiros. Inclui apólices de seguro, políticas, relatórios, análise de riscos. Investigações, acordos, registros de sinistro |
Para pretensão contra a seguradora, 1 (um) ano contado do término da cobertura do seguro. Para outras finalidades, 10 anos. |
Código Civil, Art. 206, § 1º, II Na ausência de período de retenção específico definido por lei, o prazo de prescrição geral é de 10 anos. |
|
Gerenciamento de riscos |
Registros relacionados ao gerenciamento de riscos, incluindo identificação de riscos, aferição de risco, mitigação de riscos, relatórios de riscos |
Para pretensão contra a seguradora, 1 (um) ano contado do término da cobertura do seguro. Para outras finalidades, 10 anos |
Código Civil, Art. 206, § 1º, II Na ausência de período de retenção específico definido por lei, o prazo de prescrição geral é de 10 anos |
|
7. Registros de Investimentos |
|||
|
Registros Imobiliários |
Registros relacionados à compra e venda de bens imobiliários, como a aquisição de imóveis, planos de amortização ou depreciação, inventários, transferência de propriedade, títulos, escrituras, empréstimos, hipotecas |
10 anos contados a partir da liquidação da empresa |
Código Civil, Art. 205 |
|
Registros de Investimentos |
Registros relacionados a investimentos feitos pela empresa ou na empresa, incluindo: private equity, parceiros estratégicos, compra ou venda de valores mobiliários, documentação de fundos de investimento, comunicação a investidores, relatórios de auditorias, e-mail, cartas, decisões, portfolios etc. |
10 anos contados a partir da liquidação da empresa |
Código Civil, Art. 205 |
|
8. Registros Jurídicos |
|||
|
Consultivo e Contratos |
Inclui contratos, acordos, memorandos, pareceres, procurações |
10 anos contados do término do contrato ou relação de negócios |
Código Civil, Art. 205 |
|
Contencioso |
Processos judiciais, administrativos ou arbitrais, ordens judiciais, mandados de intimação e citação, acordos extrajudiciais |
3 anos contados da data da decisão transitada em julgado |
Código Civil, Art. 206, §3, V |
|
Regulatório |
Registros relacionados a compliance, incluindo Relatórios de exercícios de monitoramento e revisões de processos internos, Auditorias por órgãos reguladores, Registros de ações corretivas e preventivas decorrentes de auditorias internas ou externas etc. |
Perpetuamente |
Como a responsabilidade em razão da violação de legislação aplicável pode perdurar no tempo e o prazo prescricional iniciar a qualquer tempo durante a violação, recomenda-se manter esses documentos indefinidamente |
|
Propriedade Intelectual |
Inclui documentos que evidenciam a atribuição de marcas e desenhos comerciais / de serviço, certificados de registro de marcas e desenhos comerciais / de serviço, acordos de propriedade intelectual e licenças, permissões de terceiros para todos os outros produtos ou serviços |
5 anos contados da extinção do direito de propriedade intelectual |
Lei nº 9.279/1996, Art. 225 |
|
Fusões e Aquisições, Desinvestimentos e Joint Ventures |
Registros relacionados à compra ou venda de um negócio pela empresa, incluindo todos os documentos do closing, transferência de propriedade, auditorias e outros documentos necessários para consumar a transação |
10 anos contados a partir da liquidação das empresas envolvidas na operação de M&A |
Código Civil, Art. 205 |
|
Gerenciamento de Fraudes |
Registros relacionados à prevenção à fraude, gerenciamento de fraude, detecção de fraude e investigação de fraudes |
10 anos contados a partir da liquidação da empresa |
Código Civil, Art. 205 |
|
9. Registros de Relacionamento com o Cliente e Fornecedor |
|||
|
Registros de Clientes/ Fornecedores que Contenham Dados Pessoais |
Registros que contenham Dados Pessoais, que não estejam enquadrados em nenhuma outra categoria de registros descrita nesta tabela. Observação: deve ser considerada a adoção de medidas de segurança e privacidade como criptografia e/ou anonimização para todos os registros que contenham Dados Pessoais |
Pelo período em que exista uma base legal para justificar o armazenamento do Dado Pessoal |
Como boa prática, a retenção de dados pessoais deve ser definida de acordo com o contexto em que o dado foi coletado (e.g. para fins trabalhistas, fiscais, contratuais etc.).
Assim, geralmente, Dados Pessoais devem ser armazenados somente pelo período determinado por lei/regulação ou pelo período necessário para utilizar aquele dado em um processo administrativo, judicial ou arbitral. Situações que fogem a essa regra, devem ser analisadas caso a caso |
ANEXO 03: AVISO DE RETENÇÃO
“Prezados(as),
Em razão das peculiaridades do caso em análise, solicitamos que as informações relacionadas a [informar] sejam mantidas em arquivo (seja físico, seja digital) pelo prazo de [informar] anos.
Qualquer dúvida, favor entrar em contato com [e-mail DPO].
Atenciosamente.
[Encarregado(a)]”
ANEXO 04: INVENTÁRIO DE DADOS