A Wagner Reguladora de Sinistros LTDA (denominada “WRS”) e seus respectivos Colaboradores têm a responsabilidade de garantir o cumprimento às Leis de Proteção de Dados, e seus requisitos relativos à coleta, armazenamento, recuperação e destruição de registros de Dados Pessoais.

Esta Política de Retenção e Descarte de Dados Pessoais (“Política”) tem como objetivo estabelecer padrões de retenção e descarte de dados e se aplica a todos os Colaboradores da WRS. É dever da WRS e de cada um dos Colaboradores que realizar Tratamento de Dados Pessoais, observar os termos desta Política.

Na hipótese de dúvidas sobre a legalidade e/ou pertinência de um Tratamento ou Descarte de Dados Pessoais, pode-se contatar o Encarregado da WRS, por meio do e-mail ti@wagner-reguladora.com.br.

Esta Política complementa, e não substitui, a Política de Governança de Proteção de Dados e políticas afins.

1. Definições

“Anonimização”	Processo pelo qual um dado relativo ao Titular não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu Tratamento.
"ANPD” ou “Autoridade Nacional de Proteção de Dados”	Significa o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.
“Colaborador(es)”	Significam todos os recursos humanos (pessoas naturais), Colaboradores ou não da WRS, que trabalham na execução dos Serviços ou na execução de qualquer outra atividade que possibilite que a WRS continue operando e desenvolvendo seus negócios, como, por exemplo, sem limitação, todos os empregados da WRS (de acordo com a definição de empregado estabelecida no artigo 3º da Consolidação das Leis do Trabalho), prestadores de serviços, sócios, acionistas, administradores, representantes, diretores, agentes, consultores, estagiários, entre outros.
“Controlador(a)”	Pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao Tratamento de Dados Pessoais.
“Dados Pessoais”	Qualquer informação relativa a uma pessoa natural identificada ou identificável. Uma pessoa natural identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador como um nome, número de identificação, dados de localização, identificador on-line ou a um ou mais fatores da personalidade especificados através da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa natural. Dados Pessoais incluem, sem limitação: (a) nome; (b) documentos de identidade; (c) número de telefone; (d) endereço de e-mail; (e) endereço de IP. Para os fins desta Política o termo Dados Pessoais também abrangerá os Dados Pessoais Sensíveis, que são aqueles referentes à origem racial e étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, ou qualquer dado que, quando combinado com outras informações, possa permitir inferir um Dado Sensível ou influenciar na forma como o Titular do dado é Tratado de forma discriminatória vedada pela legislação.
“Encarregado” ou “DPO”	Pessoa física ou jurídica indicada pela WRS e que atua como canal de comunicação entre a WRS com os Titulares dos Dados Pessoais ou a ANPD.
“Incidente de Segurança da Informação”	Significa uma violação de segurança que, de forma acidental ou ilícita, leva à destruição, perda, uso, alteração, divulgação ou acesso não autorizados aos Dados Pessoais Tratados pela WRS ou qualquer forma de Tratamento inadequado, ilícito ou indevido de Dados Pessoais.
“Lei Geral de Proteção de Dados” ou “LGPD”	Significa a Lei Geral de Proteção de Proteção de Dados, Lei Federal n° 13.709/2018, que regulamenta a proteção de Dados Pessoais no Brasil.
“Operador(a)”	Significa a pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador.
“Titular do Dado Pessoal” ou “Titular”	Significa toda pessoa natural a quem o Dado Pessoal se refere (como Colaboradores, Clientes e outros terceiros).
“Tratamento”, “Tratar” ou “Tratados”	Significa qualquer operação ou conjunto de operações envolvendo Dados Pessoais ou conjuntos de Dados Pessoais, realizada por meios automatizados ou não, tais como coleta, registro, organização, estruturação, alteração, uso, acesso, divulgação, cópia, transferência, armazenamento, exclusão, alinhamento ou combinação, restrição, adaptação, recuperação, consulta, destruição, descarte ou outro uso de Dados Pessoais.
“RoPA”	Significa Registro de Atividade de Tratamento de Dados Pessoais, o documento que deve ser elaborado pelo Controlador e pelo Operador para servir como registro de atividades de Tratamento de Dados Pessoais realizada pelo Controlador ou por Operador em nome do Controlador. O documento deve conter, minimamente, as seguintes informações: área responsável, finalidade do Tratamento, quais os Dados Pessoais são Tratados, de quem são os Dados Pessoais Tratados (cliente, fornecedor, Colaboradores, eWRS), se há o Tratamento de Dados Pessoais de crianças, se há o compartilhamento de Dados Pessoais com estes Terceiros (inclusive quanto à Transferência Internacional), Base Legal Autorizadora do Tratamento.

2. Considerações Iniciais

2.1. O WRS mantém um conjunto de Dados Pessoais armazenados em conformidade com requisitos contratuais, regulatórios e demais bases legais aplicáveis às modalidades de Tratamentos de Dados Pessoais. É importante que esses registros sejam protegidos contra perda, destruição, falsificação, acesso não-autorizado e liberação não-autorizada ou qualquer outro Incidente de Segurança da Informação.
Para isso, uma variedade de controles é usada, como backups, controle de acesso e criptografia.

2.2. O mero armazenamento de Dados Pessoais é considerado operação de Tratamento de dados frente à Lei Geral de Proteção de Dados, sendo necessária a observância de regras mínimas sobre o tema.

2.3. A presente Política é aplicável para Dados Pessoais retidos tanto em formato físico quanto eletrônico.

3. Retenção dos Dados Pessoais

3.1. O prazo de retenção não se confunde com o prazo de uso ordinário do Dado Pessoal. Isto é, o Dado Pessoal deve ser usado somente (i) pelo prazo necessário para atingir a finalidade específica para a qual foi coletado e (ii) desde que o Titular não tenha retirado seu consentimento, exercido seu direito de oposição, quando as bases legais forem consentimento e legítimo interesse, respectivamente, ou solicitado a exclusão de seus dados. Não é permitido a utilização de Dados Pessoais que não sejam estritamente indispensáveis para o atingimento das finalidades definidas para determinada operação de Tratamento.

3.1.1. Na hipótese de determinado Dado Pessoal deixar de ser indispensável para o alcance das finalidades ou caso o Titular retire seu consentimento ou exerça seu direito de oposição, o Dado Pessoal deverá ser descartado, exceto se a WRS se enquadrar em uma das seguintes finalidades de retenção de Dado Pessoal, o que, todavia, implica em uma restrição ainda maior em seu uso e acesso:

(i) Retenção necessária para cumprimento de obrigação legal ou regulatória, a qual deverá ser indicado no RoPA. O dever de retenção não autoriza seu uso para outras finalidades ou mesmo sua disponibilidade facilitada na base de dados ou arquivo em uso pela WRS, devendo o Dado Pessoal ser mantido durante este período em backup com restrição e controle de acesso;
(ii) Retenção necessária para o exercício de direitos em processos administrativos, judiciais e arbitrais. O dever de retenção não autoriza seu uso para outras finalidades ou mesmo sua disponibilidade facilitada para os profissionais que não estejam envolvidos nos processos administrativos, judiciais e arbitrais. Somente os Dados Pessoais necessários para a defesa dos direitos da WRS devem ser mantidos.
(iii) Se os Dados Pessoais forem Anonimizados. Ou seja, se os dados perderam definitivamente a capacidade de serem associados direta ou indiretamente a um indivíduo. Deve-se considerar que a mera supressão do nome e números de identificação podem não ser suficientes para Anonimizar os dados, já que o conjunto de todos os demais dados possivelmente podem levar à identificação de pessoa natural.

3.2. Em conjunto com a observação do cumprimento da finalidade durante todo o prazo de retenção, os Dados Pessoais devem ser retidos pela WRS apenas durante o prazo determinado no RoPA.

4. Orientação para determinar o prazo de retenção dos Dados Pessoais

4.1. Em conjunto com a observação do cumprimento da finalidade, durante todo o prazo de retenção, a WRS deverá armazenar os Dados Pessoais que trata segundo as diretrizes indicadas na Política de Governança de Proteção de Dados da WRS e conforme os prazos estabelecidos e registrados no RoPA, devendo seguir as seguintes orientações aplicáveis à retenção dos Dados Pessoais:

(i) Os períodos de retenção dispostos no RoPA deverão ser estabelecidos conforme a natureza dos dados e as finalidades para o Tratamento e observar, sempre que aplicável, as disposições legais, regulatórias e contratuais que indiquem um prazo específico de guarda de documentos;
(ii) Os períodos de retenção deverão estar indicados no RoPA de cada Área da WRS, conforme aplicável;
(iii) Durante o prazo de retenção o Dado Pessoal deverá estar armazenado de forma segura para prevenir a ocorrência de Incidente de Segurança da Informação; e
(iv) Após o período de retenção, os Dados Pessoais deverão ser descartados conforme previsto nesta Política.

4.2. O Encarregado, irá promover análise periódica semestral em relação aos Dados Pessoais sob a tutela de cada departamento, de forma a evitar que Dados Pessoais excessivos, desnecessários ou em desconformidade com as legislações aplicáveis sejam tratados.

4.3. Os seguintes, não exaustivos, itens devem ser levados em consideração na estipulação do prazo de retenção:

(i) Para registros de ordem tributária, trabalhista e previdenciária, a WRS poderá se reservar no direito de mantê-los armazenados até o fim do prazo prescricional estipulado em lei ou do período de retenção definido em legislação específica.

(ii) Dados Pessoais coletados para (i) gestão do RH, como por exemplo, gerenciamento de tempo de trabalho, salários, benefícios, contribuições previdenciárias e impostos; férias, licenças e ausências; (ii) gestão de carreira, como treinamentos, avaliações, experiência profissional; (iii) administração do RH, como relatórios e pesquisa; (iv) saúde ocupacional, como atestados médicos, prontuário médico, atestados de saúde ocupacional e todos os demais relacionados à saúde do empregado; e (v) gestão de viagens de negócios, como informações para organização de viagens (preferências, local eWRS.); CNH e despesas: podem ser retidos após o término do contrato de trabalho, estágio ou contrato de trabalho temporário para cumprir os períodos legais de armazenamento definidos pela legislação trabalhista, previdenciária ou tributária. Neste caso, a WRS deverá observar o princípio da minimização mantendo apenas os dados necessários ao cumprimento da legislação aplicável e descartando a parte dos dados que não será mais necessária para o cumprimento das finalidades para as quais foram inicialmente disponibilizados.

4.4. Caso a WRS tenha interesse em estender o prazo de armazenamento, os Titulares dos Dados Pessoais deverão ser notificados, por escrito, com antecedência razoável da data de término do período de retenção informando (i) qual o novo prazo para descarte; e (ii) o motivo que embase o pedido de extensão do prazo de armazenamento.

4.4.1. Se o Titular optar por exercer seu direito de eliminação dessas informações, os Dados Pessoais deverão ser descartados imediatamente, exceto em hipóteses de cumprimento de obrigação legal ou regulatória.

5. Descarte Após Expiração do Período de Retenção

5.1. Em regra, os Dados Pessoais não podem ser armazenados por prazo superior ao estabelecido no RoPA. Transcorrido este prazo, os dados devem ser descartados ou, em não sendo possível a destruição, Anonimizados, inclusive em relação aos arquivos de backup, respeitados os limites técnicos.

5.1.1. Caso algum Dado Pessoal não possua seu prazo de armazenamento definido no RoPA, o Colaborador deverá comunicar o seu gestor imediato.

5.2. Tanto a destruição quanto a Anonimização dos dados devem ser realizadas conforme procedimentos estabelecidos pela área de Segurança da Informação. Todavia, em todos os casos os seguintes procedimentos devem ser observados:

(i) Identificação dos locais de armazenamento. Após o término do período de retenção aplicável, o Colaborador deverá verificar em quais locais os Dados Pessoais estão armazenados, o que estará indicado no RoPA do departamento da WRS. No entanto, apesar do local de armazenamento estar indicado em referido documento, é importante que o Colaborador verifique se eventualmente há Dados Pessoais em outros locais, como:

• servidores próprios;
• servidores de terceiros;
• contas de e-mail;
• dispositivos corporativos de Colaboradores;
• dispositivo pessoais de Colaboradores;
• armazenamento de cópias de segurança; e/ou
• arquivos em papel.

(ii) Descarte de Dados Pessoais em Ambientes Físicos e Digitais. Sempre que o descarte de informações for necessário, este deve ser realizado com o emprego de medidas que impossibilitem a sua reconstrução, seja ele físico ou digital.
(iii) Antes de arquivos contendo Dados Pessoais serem descartados é importante que o gestor do Departamento responsável pelo Tratamento, conjuntamente com o Encarregado, aprove o descarte.
(iv) Registro de Descarte. Recomenda-se que seja mantido registro das operações de descarte de documentos (log da operação capaz de informar qual o documento excluído, tipo de informação e data da exclusão).

5.3. Com relação aos documentos físicos contendo Dados Pessoais:

(i) Registros em papel que NÃO CONTÊM Dados Pessoais, informações financeiras ou informações confidenciais podem ser eliminados de qualquer uma das seguintes maneiras, conforme considerado apropriado:
reciclagem; trituração; lixo comum; ou destruição física;
(ii) Registros em papel que CONTÊM Dados Pessoais ou informações financeiras ou informações confidenciais devem triturados e dispostos em lixo específico, disponível pelo departamento responsável pelo descarte (não devem ser dispostos em lixo comum).

6. Dados compartilhados com terceiros

6.1. Terceiros que processem Dados Pessoais em nome da WRS devem observar as regras desse procedimento integralmente, sendo responsabilidade do gestor do contrato com o Terceiro garantir que estas determinações sejam incluídas em contrato e observadas pelo Terceiro.

7. Incompatibilidade ou violação da Política

7.1. Caso verifique qualquer incompatibilidade entre as finalidades, minimização dos dados, bem como o prazo de armazenamento dos Dados Pessoais de determinada operação e os parâmetros estabelecidos na presente Política, tal fato deverá ser imediatamente reportado ao gestor da área ou ao Encarregado, por meio do e-mail ti@wagner-reguladora.com.br..

7.2. Exceções à Política podem ser requeridas pela área responsável pelos Dados Pessoais ao Encarregado.

7.3. A violação desta Política poderá acarretar sanções administrativas e/ou legais, sem prejuízo da rescisão do contrato de trabalho e/ou qualquer outro contrato de relacionamento de prestação de serviço entre o colaborador, associado, consultor e/ou sócio, assim como qualquer entidade com relação contratual direta ou indireta com a WRS.

8. Alterações da Política.

8.1. Esta Política será publicada na intranet da WRS. Cada Colaborador da WRS é obrigado a tomar conhecimento e analisar a Política, inclusive quaisquer futuras alterações desta Política

8.2. A WRS se reserva o direito de modificar esta Política conforme necessário, por exemplo, para atuar em conformidade com alterações nas leis, regulamentos, práticas e procedimentos da WRS, ou requisitos impostos pela ANPD ou outros órgãos reguladores.

9. Documentos correlatos

9.1. A presente Política deve ser interpretada de maneira correlata aos seguintes documentos:

(i) Política de Governança de Dados Pessoais;
(ii) Política de Segurança da Informação;
(iii) Política de Privacidade do Site;
(iv) Política de Privacidade de Dados;

Data de Vidência Original: abril/2023