Política de Retenção de Dados e Eliminação

A Política de Retenção de Dados e Eliminação (P14) estabelece requisitos abrangentes para a retenção e eliminação segura de todos os dados da organização ao longo do seu ciclo de vida, para assegurar a conformidade, reduzir o risco e apoiar a eficácia operacional. Esta política aplica-se a toda a organização, abrangendo todos os ativos de informação físicos e digitais detidos, tratados ou retidos pela empresa, incluindo os geridos por terceiros, subsidiárias e parceiros de externalização. Os ativos abrangidos incluem ficheiros digitais, bases de dados, correio eletrónico e sistemas de cópia de segurança, bem como registos em papel e hardware descomissionado. O objetivo principal da política P14 é definir controlos rigorosos para a duração da retenção de dados com base em necessidades legais, regulamentares e operacionais, e assegurar a sua eliminação permanente e segura quando já não for necessária. Ao impor calendários claros de retenção de dados e procedimentos rigorosos de eliminação, a política suporta os requisitos da ISO/IEC 27001:2022, permite uma gestão de registos rastreável e salvaguarda a confidencialidade, integridade e disponibilidade (CID) dos dados. De forma importante, a política ajuda a organização a evitar a acumulação desnecessária de dados que pode resultar em violações de privacidade, ineficiências ou aumento do risco para o negócio. Os papéis e responsabilidades estão claramente delineados na política: a alta direção aprova e supervisiona a conformidade; o Diretor de Segurança da Informação (CISO) detém, define e monitoriza a implementação da política; o DPO aconselha sobre privacidade e valida o tratamento de dados pessoais; e os proprietários dos ativos de informação asseguram que os calendários são justificados e autorizados. As Operações de TI são responsáveis por implementar controlos tecnológicos, enquanto todos os trabalhadores, prestadores de serviços e terceiros relevantes são obrigados a seguir as instruções de retenção e eliminação. Fornecedores externalizados, prestadores de serviços terceiros e fornecedores de nuvem devem cumprir cláusulas contratuais de segurança e fornecer evidência de auditoria de eliminação mediante pedido. Os requisitos de governação determinam a criação e manutenção de um Calendário-Mestre de Retenção de Dados (MDRS), revisto pelo menos anualmente, e a aprovação de métodos e certificados de eliminação para todos os dados expirados. A política impõe períodos de retenção orientados pela classificação, ligados às necessidades do negócio e às bases legais, e proíbe explicitamente a retenção indefinida, órfã ou não aprovada de dados. Disposições especializadas abordam a retenção de cópias de segurança e arquivos, assegurando o alinhamento com objetivos de recuperação em caso de desastre e o suporte à eliminação de dados a pedido ao abrigo do GDPR ou de outras leis de privacidade. Os controlos de eliminação são aplicados de acordo com a NIST SP 800-88 ou normas equivalentes, exigindo métodos de destruição irreversíveis e documentados para suportes digitais e em papel. A preservação legal e a suspensão do apagamento prevalecem sobre os calendários normais de eliminação em caso de litígio ou investigação, e todas as exceções à retenção calendarizada exigem avaliação de riscos e aprovação pela gestão. As atividades de aplicação e conformidade incluem auditorias periódicas, verificações de conformidade, notificação de incidentes e medidas disciplinares conforme necessário. A política também exige formação contínua de sensibilização do pessoal e invoca a Política de Resposta a Incidentes (P30) para qualquer violação ou incidente de eliminação. Ao rever e atualizar a política periodicamente e ao sincronizar documentos associados, como a Política de Controlo de Acesso e as Políticas de Gestão de Ativos, a organização assegura uma abordagem defensável, eficiente e alinhada com a regulamentação para a governação do ciclo de vida dos dados.