2.1 MINIMIZAÇÃO DE DADOS
2.2 LIMITAÇÃO DO PERÍODO DE ARMAZENAMENTO
2.3 SEGURANÇA
2.4 TRANSPARÊNCIA
3.1 DADOS DE CLIENTES
3.2 DADOS DE COLABORADORES
3.3 DADOS DE CANDIDATOS
3.4 DADOS DE MARKETING
3.5 LOGS DE ACESSO E SEGURANÇA
4.1 INVENTÁRIO DE DADOS
4.2 REVISÃO PERIÓDICA
4.3 EXTENSÃO DO PERÍODO DE RETENÇÃO
4.4 ARMAZENAMENTO SEGURO
5.1 MÉTODOS DE ELIMINAÇÃO
5.2 PROCESSO DE ELIMINAÇÃO
5.3 ELIMINAÇÃO POR TERCEIROS
5.4 DADOS EM SISTEMAS DE TERCEIROS
6.1 LITÍGIOS PENDENTES
6.2 OBRIGAÇÕES LEGAIS
6.3 INTERESSES LEGÍTIMOS
7.1 TREINAMENTO ANUAL
7.2 ORIENTAÇÕES ESPECÍFICAS
7.3 PROGRAMA DE CONSCIENTIZAÇÃO CONTÍNUA
7.4 INTEGRAÇÃO DE NOVOS COLABORADORES
7.5 AVALIAÇÃO E RELATÓRIOS
8.1 AUDITORIAS INTERNAS
8.2 REGISTROS DE ELIMINAÇÃO
8.3 MELHORIA CONTÍNUA
9.1 REVISÃO ANUAL
9.2 ATUALIZAÇÕES
9.3 ATUALIZAÇÕES EXTRAORDINÁRIAS
9.4 MONITORAMENTO CONTÍNUO
9.5 AVALIAÇÃO DE EFICÁCIA
10.1 ENCARREGADO DE PROTEÇÃO DE DADOS (DPO)
10.2 GESTORES DE DEPARTAMENTO
10.3 DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO (TI)
10.4 TODOS OS COLABORADORES
10.5 ALTA ADMINISTRAÇÃO
10.6 DEPARTAMENTO JURÍDICO
Esta Política de Retenção e Eliminação de Dados tem como objetivo estabelecer diretrizes claras, procedimentos específicos e práticas recomendadas para o gerenciamento do ciclo de vida dos dados pessoais tratados pelo escritório Vinciguera & Reic Advogados Associados.
Nosso compromisso é garantir que todos os dados pessoais sob nossa responsabilidade sejam retidos apenas pelo tempo necessário e eliminados de forma segura quando não mais necessários, em total conformidade com a Lei Geral de Proteção de Dados (LGPD), o Código de Ética e Disciplina da OAB, e outras legislações aplicáveis.
Esta política se aplica a todos os dados pessoais tratados pelo escritório, abrangendo, mas não se limitando a:
Dados em sistemas eletrônicos, incluindo bancos de dados, sistemas de gestão de clientes e processos.
Arquivos físicos, como documentos impressos, fichas de clientes e contratos.
Comunicações eletrônicas, incluindo e-mails e mensagens instantâneas.
Backups e sistemas de recuperação de dados.
Dispositivos móveis, como smartphones e tablets utilizados para fins profissionais.
Dados armazenados em serviços de nuvem.
Informações em mídias removíveis, como pen drives e discos externos.
Para os fins desta política, consideram-se as seguintes definições:
Dados Pessoais: Qualquer informação relacionada a uma pessoa natural identificada ou identificável.
Tratamento: Toda operação realizada com dados pessoais, incluindo coleta, armazenamento, uso, compartilhamento e eliminação.
Retenção: O período durante o qual os dados pessoais são mantidos pelo escritório.
Eliminação: O processo de destruição ou anonimização irreversível dos dados pessoais.
Titular dos dados: A pessoa natural a quem se referem os dados pessoais objeto de tratamento.
O princípio da minimização de dados exige que o escritório colete, processe e armazene apenas os dados pessoais estritamente necessários para atingir as finalidades específicas do tratamento.
Implementação
Realizar uma análise criteriosa para cada processo de coleta de dados, identificando quais informações são realmente essenciais.
Revisar periodicamente os conjuntos de dados existentes para identificar e eliminar dados excessivos ou desnecessários.
Implementar controles técnicos que limitem a coleta de dados aos campos estritamente necessários em formulários e sistemas.
Responsabilidades
Gestores de departamento: Avaliar e justificar a necessidade de cada dado coletado em seus processos.
DPO: Supervisionar e aprovar as decisões sobre quais dados são essenciais para cada finalidade.
TI: Implementar controles técnicos para limitar a coleta de dados.
Documentação
Manter um registro documentando a justificativa para cada tipo de dado pessoal coletado e processado.
Este princípio determina que os dados pessoais sejam mantidos apenas pelo tempo necessário para cumprir as finalidades específicas do tratamento ou para atender a obrigações legais.
Implementação
Estabelecer períodos de retenção específicos para cada categoria de dados pessoais.
Implementar um sistema de marcação ou classificação de dados que facilite a identificação do término do período de retenção.
Realizar revisões periódicas para identificar e eliminar dados que ultrapassaram seu período de retenção.
Responsabilidades
DPO: Definir e revisar os períodos de retenção para cada categoria de dados.
TI: Implementar sistemas de marcação temporal e alertas para períodos de retenção.
Gestores de departamento: Garantir que os dados em suas áreas sejam eliminados após o período de retenção.
Exceções
Documentar claramente as situações em que é necessário estender o período de retenção (por exemplo, litígios em andamento ou auditorias).
O princípio da segurança exige a implementação de medidas técnicas e organizacionais adequadas para proteger os dados pessoais durante todo o seu ciclo de vida.
Implementação
Utilizar criptografia para dados em trânsito e em repouso.
Implementar controles de acesso.
Realizar avaliações de risco de segurança regularmente.
Manter sistemas de detecção e prevenção de intrusões atualizados.
Implementar um processo robusto de gestão de patches e atualizações de segurança.
Responsabilidades
TI: Implementar e manter as medidas de segurança técnicas.
DPO: Supervisionar a adequação das medidas de segurança.
Todos os colaboradores: Seguir as políticas de segurança e reportar incidentes.
Auditorias
Conduzir auditorias de segurança anuais, incluindo testes de invasão.
O princípio da transparência requer que o escritório forneça informações claras e acessíveis aos titulares sobre como seus dados pessoais são tratados, incluindo os períodos de retenção.
Implementação
Desenvolver e manter uma política de privacidade clara e acessível.
Incluir informações sobre períodos de retenção nos avisos de privacidade e termos de consentimento.
Estabelecer um processo para responder prontamente às solicitações dos titulares sobre o tratamento de seus dados.
Responsabilidades
DPO: Garantir que as informações sobre retenção de dados sejam claras e atualizadas e revisar a política de privacidade e avisos para garantir conformidade legal.
Atendimento ao Cliente: Treinar a equipe para responder a consultas sobre retenção de dados.
Comunicação
Notificar os titulares sobre quaisquer alterações significativas nos períodos de retenção.
Fornecer um meio fácil para os titulares exercerem seus direitos em relação aos seus dados.
Estes princípios gerais formam a base para todas as práticas de retenção e eliminação de dados do escritório. Eles devem ser revisados anualmente e atualizados conforme necessário para garantir a conformidade contínua com as leis de proteção de dados e as melhores práticas do setor.
Dados de identificação e contato
Período de retenção: 5 anos após o término da relação contratual
Justificativa: Este período permite o cumprimento de obrigações legais e a defesa em possíveis ações judiciais, conforme o prazo prescricional geral do Código Civil (Art. 206, §5º).
Considerações: Revisar anualmente para identificar clientes inativos e iniciar o processo de eliminação.
Documentos relacionados a processos
Período de retenção: 10 anos após o trânsito em julgado
Justificativa: Este prazo estendido garante a disponibilidade de informações para eventuais recursos ou ações rescisórias, além de servir como histórico para casos similares.
Considerações: Implementar um sistema de classificação para facilitar a identificação de documentos elegíveis para eliminação.
Dados financeiros
Período de retenção: 5 anos após o último pagamento
Justificativa: Alinhado com o prazo prescricional para ações de cobrança e obrigações fiscais (Art. 174 do Código Tributário Nacional).
Considerações: Garantir a segregação destes dados para facilitar sua eliminação independente de outros dados do cliente.
Dados de identificação e contato
Período de retenção: 7 anos após o término do vínculo empregatício
Considerações: Manter um registro mínimo (nome, período de trabalho) por tempo indeterminado para fins de comprovação de vínculo.
Registros de folha de pagamento
Período de retenção: 30 anos para fins previdenciários
Justificativa: Atende às exigências do INSS para comprovação de tempo de contribuição.
Considerações: Avaliar a possibilidade de microfilmagem ou digitalização certificada para reduzir o volume de documentos físicos.
Avaliações de desempenho
Período de retenção: 5 anos após cada avaliação
Justificativa: Permite acompanhamento da evolução profissional e serve como base para decisões de promoção ou desligamento.
Considerações: Implementar um sistema de revisão anual para eliminar avaliações que ultrapassaram o período de retenção.
Currículos e informações de processos seletivos
Período de retenção: 6 meses após o encerramento do processo seletivo
Justificativa: Permite a reconsideração de candidatos para novas vagas em um prazo razoável, sem reter dados desnecessariamente.
Considerações: Obter consentimento explícito para manter os dados por períodos mais longos, se desejado.
Dados de contato para newsletter
Período de retenção: Até solicitação de descadastramento
Justificativa: Respeita a vontade do titular em receber comunicações de marketing.
Considerações: Implementar um processo fácil de opt-out e realizar limpezas periódicas de contatos inativos.
Registros de interações em mídias sociais
Período de retenção: 2 anos
Justificativa: Permite análise de tendências e eficácia das campanhas de marketing em um prazo razoável.
Considerações: Anonimizar dados após este período se forem necessários para análises estatísticas de longo prazo.
Registros de acesso a sistemas
Período de retenção: 6 meses
Justificativa: Atende ao prazo mínimo estabelecido pelo Marco Civil da Internet (Lei 12.965/2014, Art. 15).
Considerações: Avaliar a necessidade de retenção estendida para sistemas críticos ou que processem dados sensíveis.
Logs de segurança e auditoria
Período de retenção: 5 anos
Justificativa: Permite investigações detalhadas de incidentes de segurança e atende a requisitos de compliance.
Considerações: Implementar um sistema de armazenamento eficiente para gerenciar o volume de logs gerados.
Observações Gerais
Revisão Anual: Todos os períodos de retenção devem ser revisados anualmente para garantir conformidade com mudanças legislativas e práticas do setor.
Documentação: Manter documentação detalhada justificando cada período de retenção, incluindo referências legais e análises de risco.
Flexibilidade: Estabelecer um processo para ajustar períodos de retenção em casos excepcionais, como litígios em andamento ou investigações regulatórias.
Treinamento: Garantir que todos os colaboradores envolvidos no tratamento de dados estejam cientes destes períodos de retenção e dos procedimentos para eliminação segura.
Automação: Implementar, sempre que possível, sistemas automatizados para marcar dados para revisão ou eliminação ao final de seus períodos de retenção.
Objetivo: Manter um registro completo e atualizado de todos os dados pessoais tratados pelo escritório.
Processo de Implementação
Designar uma equipe multidisciplinar para conduzir o mapeamento inicial de dados.
Utilizar ferramentas de descoberta de dados para identificar repositórios de dados pessoais.
Entrevistar responsáveis de cada departamento para compreender fluxos de dados.
Criar uma planilha ou sistema de gerenciamento de inventário de dados contendo:
Tipo de dado pessoal
Finalidade do tratamento
Base legal para o tratamento
Local de armazenamento (físico e/ou digital)
Período de retenção
Responsável pelo dado
Nível de sensibilidade do dado
Medidas de segurança aplicadas
Manutenção
Atualizar o inventário trimestralmente ou sempre que houver mudanças significativas nos processos.
Estabelecer um processo de aprovação para inclusão de novos tipos de dados no inventário.
Responsabilidades
DPO: Supervisionar o processo de inventário e garantir sua completude.
Gestores de departamento: Fornecer informações sobre dados tratados em suas áreas.
TI: Manter e atualizar a ferramenta de inventário de dados.
Objetivo: Identificar e agir sobre dados que atingiram o fim do período de retenção.
Processo de Implementação
Configurar alertas automáticos no sistema de inventário para notificar sobre dados próximos ao fim do período de retenção.
Estabelecer um comitê de revisão composto por representantes de TI, Jurídico e do departamento relevante.
Conduzir revisões semestrais seguindo um checklist padronizado:
Verificar dados marcados para eliminação
Avaliar a necessidade de retenção estendida
Documentar decisões de retenção ou eliminação
Iniciar o processo de eliminação para dados aprovados
Documentação
Manter registros detalhados de cada revisão, incluindo:
Data da revisão
Participantes
Dados revisados
Decisões tomadas e justificativas
Responsabilidades
DPO: Coordenar o processo de revisão e aprovar decisões finais.
Gestores de departamento: Participar das revisões relacionadas aos dados de sua área.
TI: Fornecer relatórios de dados e implementar decisões de eliminação.
Objetivo: Garantir que qualquer extensão do período de retenção seja devidamente justificada e aprovada.
Processo de Solicitação
Criar um formulário padrão de solicitação de extensão contendo:
Identificação dos dados em questão
Período de extensão solicitado
Justificativa detalhada para a extensão
Avaliação de riscos da extensão
Submeter a solicitação ao DPO para revisão e aprovação.
Critérios de Avaliação
Obrigações legais ou regulatórias
Necessidades legítimas do negócio
Potenciais riscos aos direitos dos titulares dos dados
Documentação
Manter um registro de todas as extensões aprovadas, incluindo:
Data de aprovação
Período de extensão
Justificativa
Data para próxima revisão
Responsabilidades
Solicitante: Preencher o formulário de extensão com justificativa adequada.
DPO: Revisar, aprovar/rejeitar solicitações de extensão e fornecer parecer sobre implicações legais da extensão.
Objetivo: Garantir que os dados retidos estejam protegidos contra acesso não autorizado, alteração, divulgação ou destruição.
Medidas de Segurança
Implementar criptografia para dados em repouso e em trânsito.
Utilizar controle de acesso.
Manter logs de acesso e alterações em dados sensíveis.
Implementar autenticação multifator para acesso a sistemas críticos.
Realizar backups regulares e testar procedimentos de recuperação.
Segregação de Dados
Classificar dados por nível de sensibilidade.
Armazenar dados sensíveis em ambientes segregados com controles de acesso mais rigorosos.
Monitoramento e Auditoria
Implementar sistemas de detecção de intrusão.
Realizar auditorias de segurança regulares, incluindo testes de invasão.
Monitorar continuamente o acesso aos dados e investigar atividades suspeitas.
Treinamento
Conduzir treinamentos regulares de conscientização em segurança para todos os colaboradores.
Fornecer treinamento especializado para equipes que lidam com dados sensíveis.
Responsabilidades
TI: Implementar e manter medidas de segurança técnicas.
DPO: Supervisionar a adequação das medidas de segurança.
Todos os colaboradores: Seguir as políticas de segurança e reportar incidentes.
Revisão
Avaliar anualmente a eficácia das medidas de segurança.
Atualizar controles de segurança conforme evolução das ameaças e tecnologias.
Dados Eletrônicos
Utilizar software de exclusão segura.
Processo:
Selecionar o software de exclusão segura aprovado pelo departamento de TI.
Configurar o software para realizar múltiplas passagens de sobrescrita.
Executar o processo de exclusão.
Verificar a conclusão bem-sucedida do processo.
Frequência: Executar conforme necessidade.
Documentos Físicos
Utilizar trituradores de corte cruzado.
Processo:
Segregar documentos confidenciais em recipientes seguros.
Triturar os documentos in-loco ou através de serviço terceirizado certificado.
Misturar o material triturado antes do descarte final.
Frequência: Trituração conforme volume de documentos.
Mídias de Armazenamento
Destruir fisicamente HDs, SSDs e outras mídias através de métodos como desmagnetização, perfuração ou trituração industrial.
Processo:
Catalogar todas as mídias a serem destruídas.
Utilizar serviço especializado de destruição de mídias.
Obter certificado de destruição para cada item.
Frequência: Quando houver descarte de equipamentos.
Identificar dados elegíveis para eliminação
Utilizar o inventário de dados e os alertas de fim de período de retenção.
Criar uma lista de dados a serem eliminados, incluindo localização e formato.
Obter aprovação
Submeter a lista de dados para aprovação do responsável pelo departamento.
Encaminhar para revisão final e aprovação do DPO.
Documentar todas as aprovações por escrito.
Documentar os dados a serem eliminados
Criar um registro detalhado incluindo:
Descrição dos dados
Razão para eliminação
Método de eliminação planejado
Data prevista para eliminação
Executar o processo de eliminação
Seguir o método apropriado conforme definido na seção 5.1.
Garantir que a eliminação seja testemunhada por pelo menos dois funcionários autorizados.
Registrar a conclusão da eliminação
Preencher um formulário de confirmação de eliminação, incluindo:
Data e hora da eliminação
Método utilizado
Pessoas envolvidas no processo
Quaisquer incidentes ou anomalias durante o processo
Seleção de fornecedores
Realizar due diligence em potenciais fornecedores de serviços de eliminação.
Requisitos contratuais
Incluir cláusulas específicas sobre métodos de eliminação aceitáveis.
Exigir conformidade com esta política de eliminação.
Estabelecer direito de auditoria pelo escritório.
Processo de eliminação terceirizada
Acompanhar o processo de eliminação, quando possível.
Exigir certificados de destruição detalhados para cada lote de dados/mídias eliminados.
Manter um registro de todos os certificados de destruição recebidos.
Auditoria
Conduzir auditorias anuais dos processos de eliminação do fornecedor.
Solicitar e revisar os logs de eliminação do fornecedor periodicamente.
Mapeamento
Identificar todos os sistemas de terceiros que armazenam dados do escritório.
Documentar os tipos de dados armazenados em cada sistema.
Requisitos contratuais
Incluir cláusulas específicas nos contratos sobre eliminação de dados.
Definir prazos máximos para eliminação após solicitação.
Processo de solicitação de eliminação
Desenvolver um procedimento padrão para solicitar eliminação de dados.
Incluir na solicitação:
Identificação específica dos dados a serem eliminados
Prazo para eliminação
Requisito de confirmação por escrito após a eliminação
Verificação
Solicitar evidências da eliminação (logs, capturas de tela, certificados).
Quando possível, realizar testes para confirmar que os dados foram efetivamente eliminados.
Monitoramento contínuo
Manter um registro de todas as solicitações de eliminação enviadas a terceiros.
Acompanhar o status de cada solicitação até a confirmação da eliminação.
Auditoria
Incluir a verificação de eliminação de dados em auditorias regulares de fornecedores.
Considerações Finais
Treinamento: Fornecer treinamento regular a todos os funcionários envolvidos no processo de eliminação de dados.
Documentação: Manter registros detalhados de todas as atividades de eliminação por pelo menos 5 anos.
Revisão da Política: Revisar e atualizar esta política de eliminação anualmente ou quando houver mudanças significativas na legislação ou nas práticas do escritório.
Resposta a Incidentes: Estabelecer um procedimento para lidar com falhas no processo de eliminação, incluindo notificação imediata ao DPO.
Métricas: Desenvolver e monitorar KPIs relacionados à eliminação de dados, como tempo médio de processamento e taxa de conformidade.
Processo de Implementação
Estabelecer um sistema de notificação imediata ao DPO quando um litígio for iniciado ou previsto.
Criar um “legal hold” (retenção legal) para os dados relevantes:
Identificar todos os dados potencialmente relevantes para o litígio.
Notificar os responsáveis pelos dados sobre a necessidade de preservação.
Suspender temporariamente qualquer processo automático de eliminação para esses dados.
Documentação
Manter um registro detalhado de todos os “legal holds”, incluindo:
Data de início do hold
Descrição do litígio ou investigação
Tipos de dados retidos
Departamentos e sistemas afetados
Pessoa responsável pelo hold
Revisão Periódica
Revisar o status de cada “legal hold” trimestralmente.
Obter atualizações do departamento jurídico sobre o status dos litígios.
Levantar o hold assim que o litígio for encerrado e não houver mais necessidade de retenção.
Responsabilidades
Departamento Jurídico: Notificar o DPO sobre litígios e fornecer orientações sobre os dados a serem retidos.
DPO: Coordenar a implementação e revisão dos “legal holds”.
TI: Implementar medidas técnicas para preservar os dados sob hold.
Identificação de Obrigações
Manter um registro atualizado de todas as obrigações legais e regulatórias que exigem retenção estendida de dados.
Consultar regularmente especialistas jurídicos para identificar mudanças na legislação.
Categorias Comuns de Retenção Estendida
Registros fiscais: geralmente 5 anos após o exercício fiscal.
Registros trabalhistas: até 30 anos para fins previdenciários.
Registros de compliance: conforme exigido por reguladores específicos.
Processo de Implementação
Criar políticas específicas de retenção para cada categoria de obrigação legal.
Integrar essas políticas ao sistema geral de gestão de retenção de dados.
Implementar controles técnicos para garantir que esses dados não sejam eliminados prematuramente.
Documentação
Manter um registro detalhado de todas as retenções baseadas em obrigações legais, incluindo:
Base legal específica para a retenção
Período de retenção exigido
Tipos de dados afetados
Data de revisão da obrigação
Revisão e Atualização
Revisar anualmente todas as políticas de retenção baseadas em obrigações legais.
Atualizar as políticas conforme mudanças na legislação ou regulamentações.
Processo de Avaliação
Desenvolver um formulário de “Avaliação de Interesse Legítimo” que inclua:
Descrição do interesse legítimo
Necessidade da retenção estendida
Impacto sobre os direitos dos titulares dos dados
Medidas de mitigação propostas
Exemplos de Interesses Legítimos
Análise histórica de casos para melhorar serviços jurídicos
Defesa contra potenciais reclamações futuras
Pesquisa e desenvolvimento de novos serviços jurídicos
Processo de Aprovação
Submeter a Avaliação de Interesse Legítimo ao Comitê de Proteção de Dados.
Obter aprovação do DPO e de um membro da alta administração.
Documentar a decisão final e suas justificativas.
Implementação
Estabelecer um período específico para a retenção estendida.
Implementar controles de acesso restritos para os dados retidos.
Aplicar medidas adicionais de segurança, como pseudonimização, quando apropriado.
Documentação
Manter um registro de todas as retenções baseadas em interesses legítimos, incluindo:
Descrição do interesse legítimo
Período de retenção aprovado
Medidas de proteção implementadas
Data da próxima revisão
Revisão Periódica
Reavaliar anualmente cada caso de retenção baseada em interesse legítimo.
Verificar se o interesse legítimo ainda se aplica e se o equilíbrio com os direitos dos titulares permanece adequado.
Transparência
Incluir informações sobre retenções baseadas em interesses legítimos na política de privacidade do escritório.
Estar preparado para explicar e justificar essas retenções aos titulares dos dados, se solicitado.
Considerações Finais
Treinamento: Fornecer treinamento específico sobre exceções e retenção estendida para equipes relevantes, especialmente jurídico e compliance.
Auditoria: Incluir revisão de exceções e retenções estendidas nas auditorias regulares de proteção de dados.
Documentação Centralizada: Manter um registro central de todas as exceções e retenções estendidas para facilitar a gestão e revisão.
Avaliação de Impacto: Considerar a realização de uma Avaliação de Impacto à Proteção de Dados (DPIA) para casos de retenção estendida significativa.
Comunicação: Estabelecer um processo claro para comunicar decisões de retenção estendida a todas as partes relevantes dentro do escritório.
Objetivo: Garantir que todos os colaboradores do escritório compreendam e estejam atualizados sobre as políticas e procedimentos de retenção e eliminação de dados.
Público-alvo: Todos os colaboradores, incluindo sócios, advogados, estagiários, pessoal administrativo e terceiros com acesso a dados pessoais.
Conteúdo do Treinamento
Visão geral da LGPD e outras leis de proteção de dados relevantes
Princípios fundamentais de proteção de dados
Detalhes da política de retenção e eliminação de dados do escritório
Responsabilidades individuais na proteção de dados
Procedimentos para reportar incidentes de segurança
Atualizações recentes nas políticas ou legislação
Metodologia
Modalidade online
Uso de estudos de caso e cenários práticos relevantes para o contexto jurídico
Frequência
Treinamento completo anual
Atualizações trimestrais através de boletins informativos ou sessões curtas
Registro e Acompanhamento
Manter registros detalhados de participação nos treinamentos
Estabelecer um sistema de lembretes para garantir que todos completem o treinamento
Incluir a conclusão do treinamento como parte da avaliação de desempenho anual
Avaliação de Eficácia
Conduzir pesquisas pós-treinamento para avaliar a compreensão e eficácia
Analisar métricas de incidentes de segurança e conformidade para medir o impacto do treinamento
Equipes de Gestão de Dados: Fornecer treinamento avançado e detalhado para equipes diretamente responsáveis pela gestão de dados, incluindo:
Departamento de TI
Implementação técnica de políticas de retenção
Métodos seguros de eliminação de dados
Gerenciamento de sistemas de armazenamento e backup
Resposta a incidentes de segurança
Departamento Jurídico
Interpretação detalhada das obrigações legais de retenção
Gestão de “legal holds”
Avaliação de interesses legítimos para retenção estendida
Gestores de Departamento
Identificação de dados críticos em suas áreas
Procedimentos para aprovação de eliminação de dados
Gestão de exceções à política padrão de retenção
Frequência
Treinamento inicial aprofundado ao assumir funções relacionadas à gestão de dados
Atualizações anuais ou quando houver mudanças significativas nas políticas ou tecnologias
Certificação
Considerar a obtenção de certificações relevantes para membros-chave da equipe
Recursos Contínuos
Criar um repositório de conhecimento acessível com guias, melhores práticas e FAQs
Estabelecer um fórum ou grupo de discussão para compartilhamento de experiências e dúvidas
Campanhas de Comunicação
Desenvolver campanhas temáticas sobre aspectos específicos da proteção de dados
Utilizar diversos canais: e-mails, intranet, pôsteres
Boletins Informativos
Enviar atualizações mensais sobre proteção de dados, incluindo dicas práticas e novidades regulatórias
Feedback e Melhoria Contínua
Solicitar feedback regular dos colaboradores sobre o programa de conscientização
Ajustar o conteúdo e a abordagem com base nas necessidades identificadas
Treinamento de Onboarding
Incluir módulo específico sobre proteção de dados no processo de integração
Fornecer um guia rápido de referência sobre práticas de proteção de dados
Métricas de Desempenho
Estabelecer KPIs para medir a eficácia do programa de treinamento e conscientização
Exemplos: número de incidentes reportados
Relatórios Regulares
Preparar relatórios trimestrais sobre o progresso e eficácia do programa de treinamento
Apresentar resultados e recomendações ao Comitê de Proteção de Dados
Objetivo: Verificar e garantir a conformidade com a política de retenção e eliminação de dados, identificar áreas de melhoria e mitigar riscos potenciais.
Frequência
Auditorias completas anuais
Auditorias parciais ou focadas semestralmente
Escopo da Auditoria
Conformidade com períodos de retenção estabelecidos
Eficácia dos processos de eliminação de dados
Adequação das medidas de segurança para dados retidos
Cumprimento de obrigações legais e regulatórias
Eficácia do programa de treinamento e conscientização
Metodologia
Planejamento:
Definir objetivos específicos para cada auditoria
Selecionar amostra representativa de dados e processos para revisão
Preparar checklists e questionários de auditoria
Execução:
Revisão de documentação (políticas, procedimentos, registros)
Entrevistas com pessoal-chave
Testes de controles (ex: tentar acessar dados que deveriam ter sido eliminados)
Inspeção de áreas de armazenamento de documentos
Análise:
Avaliar conformidade com a política e regulamentações
Identificar lacunas e áreas de risco
Analisar causas raiz de não conformidades
Relatório:
Preparar relatório detalhado com achados e recomendações
Apresentar resultados ao Comitê de Proteção de Dados e alta administração
Equipe de Auditoria
Liderada pelo DPO ou auditor interno designado
Incluir representantes de TI e áreas relevantes
Considerar a participação de auditores externos para auditorias periódicas independentes
Acompanhamento
Desenvolver planos de ação para abordar não conformidades
Estabelecer prazos para implementação de melhorias
Realizar auditorias de follow-up para verificar a eficácia das ações corretivas
Documentação
Manter registros detalhados de todas as atividades de auditoria
Arquivar relatórios de auditoria, evidências coletadas e planos de ação por no mínimo 5 anos
Objetivo: Manter um histórico completo e auditável de todas as eliminações de dados para demonstrar conformidade e facilitar investigações futuras, se necessário.
Conteúdo dos Registros: Para cada processo de eliminação, documentar:
Data e hora da eliminação
Descrição dos dados eliminados (tipo, quantidade, período coberto)
Método de eliminação utilizado
Responsável pela execução da eliminação
Aprovações obtidas (departamento responsável, DPO)
Razão para eliminação (fim do período de retenção, solicitação do titular, etc.)
Confirmação de eliminação completa (incluindo backups e sistemas secundários)
Quaisquer exceções ou problemas encontrados durante o processo
Formato dos Registros
Utilizar um sistema centralizado de registro, preferencialmente digital e criptografado
Garantir que os registros sejam à prova de adulteração
Período de Retenção dos Registros
Manter registros de eliminação por no mínimo 5 anos
Considerar períodos mais longos para dados sensíveis ou sujeitos a regulamentações específicas
Acesso aos Registros
Restringir o acesso aos registros de eliminação apenas a pessoal autorizado
Implementar controles de acesso
Manter logs de acesso aos registros de eliminação
Revisão Periódica
Realizar revisões semestrais dos registros de eliminação para garantir completude e precisão
Utilizar os registros como parte das auditorias internas anuais
Relatórios
Gerar relatórios periódicos (semestrais) resumindo as atividades de eliminação
Incluir métricas como volume de dados eliminados, conformidade com prazos de eliminação, etc.
Integração com Sistemas
Quando possível, integrar o sistema de registro de eliminações com ferramentas de gestão de dados e sistemas de TI para automação e precisão
Treinamento
Fornecer treinamento específico para pessoal responsável por manter os registros de eliminação
Incluir orientações sobre a importância e os requisitos desses registros no treinamento geral de proteção de dados
Resposta a Solicitações
Estabelecer um processo para responder prontamente a solicitações de informação sobre eliminação de dados (de titulares, auditores ou autoridades reguladoras)
Backup e Recuperação
Implementar um sistema de backup seguro para os registros de eliminação
Testar regularmente a recuperação desses backups
Eliminação dos Registros
Estabelecer um processo seguro para a eventual eliminação dos próprios registros de eliminação após o período de retenção de 5 anos
Análise de Tendências
Utilizar dados de auditorias e registros de eliminação para identificar padrões e áreas recorrentes de não conformidade
Feedback Loop
Incorporar lições aprendidas das auditorias e processos de eliminação nas políticas e procedimentos
Benchmarking
Comparar práticas de auditoria e conformidade com as melhores práticas do setor jurídico e de proteção de dados
Tecnologia
Avaliar regularmente novas tecnologias que possam melhorar os processos de auditoria e manutenção de registros
Objetivo: Garantir que a política de retenção e eliminação de dados permaneça atualizada, eficaz e em conformidade com as leis e regulamentações vigentes, bem como com as melhores práticas do setor.
Responsáveis
DPO (Encarregado de Proteção de Dados)
Comitê de Proteção de Dados
Representantes de departamentos-chave (TI, RH, Compliance)
Escopo da Revisão
Adequação dos períodos de retenção
Eficácia dos métodos de eliminação
Conformidade com legislações atualizadas
Alinhamento com as melhores práticas do setor
Feedback dos colaboradores e titulares de dados
Resultados de auditorias internas e externas
Incidentes de segurança ou violações de dados ocorridos
Mudanças nas operações do escritório que possam impactar o tratamento de dados
Processo de Revisão
Preparação:
Coletar feedback de todas as partes relevantes
Analisar relatórios de auditorias e incidentes
Revisar mudanças legislativas e regulatórias
Análise:
Avaliar a eficácia da política atual
Identificar áreas que necessitam de atualização ou melhoria
Considerar novas tecnologias ou métodos que possam aprimorar os processos
Discussão:
Realizar reunião do Comitê de Proteção de Dados para discutir achados e propostas de mudança
Consultar especialistas externos, se necessário
Atualização:
Redigir alterações propostas à política
Obter aprovação da alta administração para mudanças significativas
Documentação
Manter registros detalhados do processo de revisão
Documentar todas as decisões tomadas e suas justificativas
Cronograma
Iniciar o processo de revisão no início do quarto trimestre de cada ano
Concluir a revisão e aprovar atualizações antes do final do ano
Tipos de Atualizações
Atualizações Menores: Correções de redação, esclarecimentos, atualizações de contato
Atualizações Significativas: Mudanças em períodos de retenção, métodos de eliminação, ou processos fundamentais
Processo de Aprovação
Atualizações Menores: Aprovação do DPO
Atualizações Significativas: Aprovação do Comitê de Proteção de Dados e alta administração
Comunicação das Atualizações
Comunicação Interna:
Enviar e-mail detalhando as alterações a todos os colaboradores
Publicar atualizações na intranet do escritório
Atualizar materiais de treinamento e orientação
Comunicação Externa (quando relevante):
Atualizar a política de privacidade no site do escritório
Notificar clientes e parceiros sobre mudanças significativas
Considerar a necessidade de obter novo consentimento dos titulares de dados, se aplicável
Treinamento sobre Atualizações
Conduzir sessões de treinamento focadas nas mudanças significativas
Incorporar as atualizações no próximo treinamento anual de proteção de dados
Implementação
Estabelecer uma data efetiva para as novas políticas
Garantir que sistemas e processos sejam atualizados para refletir as mudanças
Monitorar a implementação das mudanças nos primeiros meses
Registro de Versões
Manter um histórico detalhado de todas as versões da política
Documentar as alterações feitas em cada versão
Gatilhos para Revisões Extraordinárias
Mudanças significativas na legislação de proteção de dados
Fusões, aquisições ou mudanças estruturais no escritório
Incidentes de segurança ou violações de dados significativos
Feedback crítico de auditores ou autoridades reguladoras
Processo Acelerado
Convocar reunião extraordinária do Comitê de Proteção de Dados
Conduzir revisão focada nas áreas afetadas
Implementar e comunicar mudanças com urgência, conforme necessário
Acompanhamento de Mudanças Legislativas
Designar responsável por monitorar alterações nas leis e regulamentos relevantes
Participar de grupos de trabalho e fóruns do setor para estar atualizado sobre tendências e melhores práticas
Feedback Contínuo
Estabelecer um canal para colaboradores e titulares de dados fornecerem feedback sobre a política a qualquer momento
Analisar regularmente logs de incidentes e solicitações de titulares para identificar áreas de melhoria
Métricas de Desempenho
Desenvolver KPIs para medir a eficácia da política (ex: taxa de conformidade, tempo de resposta a solicitações de titulares)
Revisar essas métricas trimestralmente
Benchmarking
Comparar periodicamente as práticas do escritório com as de outras firmas jurídicas líderes em proteção de dados
Supervisão Geral
Supervisionar a implementação e manutenção da política de retenção e eliminação de dados.
Garantir que a política esteja alinhada com a legislação vigente e as melhores práticas do setor.
Aprovações
Aprovar solicitações de eliminação de dados.
Revisar e aprovar exceções à política padrão de retenção.
Treinamento e Conscientização
Desenvolver e coordenar programas de treinamento sobre a política.
Promover a conscientização sobre a importância da retenção e eliminação adequada de dados.
Auditorias e Conformidade
Conduzir auditorias regulares para verificar a conformidade com a política.
Reportar o status de conformidade à alta administração.
Gestão de Incidentes
Liderar a resposta a incidentes relacionados à retenção ou eliminação inadequada de dados.
Atualização da Política
Coordenar revisões anuais e atualizações da política.
Garantir que as mudanças sejam comunicadas efetivamente a todos os colaboradores.
Implementação Local
Garantir que a política seja implementada e seguida em seus respectivos departamentos.
Adaptar processos departamentais para alinhar com a política de retenção e eliminação.
Identificação de Dados
Identificar e categorizar os tipos de dados tratados em seu departamento.
Colaborar com o DPO na definição de períodos de retenção apropriados.
Aprovações Departamentais
Revisar e aprovar solicitações de eliminação de dados dentro de seu departamento.
Garantir que a eliminação seja realizada de acordo com a política.
Treinamento da Equipe
Garantir que todos os membros da equipe recebam treinamento adequado sobre a política.
Reforçar a importância da conformidade em reuniões e comunicações departamentais.
Monitoramento e Relatórios
Monitorar a conformidade com a política dentro do departamento.
Reportar regularmente ao DPO sobre o status de conformidade e quaisquer desafios encontrados.
Implementação Técnica
Desenvolver e manter sistemas para suportar a retenção e eliminação segura de dados.
Implementar controles técnicos para garantir que os períodos de retenção sejam respeitados.
Métodos de Eliminação
Implementar e manter métodos seguros de eliminação de dados eletrônicos.
Garantir que a eliminação seja irreversível e em conformidade com padrões de segurança.
Automação
Desenvolver processos automatizados para identificar dados que atingiram o fim do período de retenção.
Implementar sistemas de alerta para notificar sobre dados prontos para eliminação.
Segurança de Dados
Implementar medidas de segurança para proteger dados durante todo o ciclo de vida.
Garantir que os backups e sistemas redundantes também sigam a política de retenção.
Suporte Técnico
Fornecer suporte técnico para questões relacionadas à retenção e eliminação de dados.
Assistir em auditorias técnicas e fornecimento de logs e relatórios necessários.
Conformidade Individual
Aderir estritamente à política de retenção e eliminação de dados em todas as atividades de trabalho.
Tratar os dados pessoais com o devido cuidado e respeito durante todo o ciclo de vida.
Conscientização
Manter-se informado sobre a política e suas atualizações.
Participar ativamente de treinamentos e sessões de conscientização sobre proteção de dados.
Identificação de Dados
Identificar dados pessoais em seu trabalho diário que possam estar sujeitos à política.
Consultar o gestor ou o DPO em caso de dúvidas sobre a aplicação da política.
Relatório de Violações
Reportar imediatamente ao DPO quaisquer suspeitas de violações da política.
Alertar sobre possíveis riscos ou vulnerabilidades nos processos de retenção e eliminação.
Solicitações de Titulares
Encaminhar prontamente ao DPO quaisquer solicitações de titulares relacionadas à retenção ou eliminação de seus dados.
Melhoria Contínua
Sugerir melhorias nos processos de retenção e eliminação de dados com base em experiências práticas.
Apoio e Recursos
Fornecer apoio visível à política de retenção e eliminação de dados.
Alocar recursos necessários para a implementação efetiva da política.
Supervisão Estratégica
Revisar relatórios regulares sobre o status de conformidade com a política.
Tomar decisões estratégicas relacionadas à proteção de dados e gestão de riscos.
Aconselhamento Legal
Fornecer orientação jurídica sobre requisitos legais de retenção de dados.
Auxiliar na interpretação de leis e regulamentos relevantes.
Gestão de Litígios
Gerenciar “legal holds” em caso de litígios ou investigações.
Aconselhar sobre retenção estendida de dados para fins legais.
Esta política entra em vigor a partir de 11 de março de 2025.
VINCIGUERA & REIC ADVOGADOS ASSOCIADOS
OAB-MS 652/14
7Unity Copyright © 2025 – Todos os Direitos Reservados
