1.    OBJETIVO

Esta política tem como objetivo estabelecer diretrizes e procedimentos para o descarte seguro de dados e informações no âmbito da WisePay, em meio físico e digital, visando garantir a confidencialidade, integridade e disponibilidade das informações durante todo o seu ciclo de vida.

 Este documento tem como finalidade assegurar que o descarte seja realizado em conformidade com a legislação vigente, regulamentações aplicáveis e políticas internas da instituição, prevenindo o uso indevido, o acesso não autorizado e eventuais riscos à segurança da informação e à privacidade dos titulares de dados. 

2.    DESTINATÁRIOS

Esta Política aplica-se a todos os colaboradores, estagiários, prestadores de serviços, fornecedores, parceiros de negócios e quaisquer terceiros que, em razão de suas atividades, tenham acesso a dados e informações da Wisepay. 

O cumprimento das diretrizes e procedimentos aqui estabelecidos é obrigatório para:

1. Áreas internas da Instituição: todas as unidades organizacionais que realizem tratamento de dados e informações, em meio físico ou digital.
2. Colaboradores e gestores: responsáveis por zelar pela adequada utilização, armazenamento e descarte de dados, conforme suas funções.
3. Prestadores de serviços e fornecedores: especialmente aqueles que tratam, armazenam ou descartam dados em nome da Instituição, devendo observar esta Política e os contratos firmados.
4. Parceiros de negócios e terceiros autorizados: sempre que tiverem acesso a informações da Instituição, de clientes, fornecedores ou colaboradores.

3.    DIRETRIZES

O descarte de dados e informações na Wisepay deve ser conduzido de acordo com os seguintes princípios e orientações gerais:

• Conformidade Legal e Regulatória
  1. Todos os procedimentos de descarte devem observar a legislação vigente, em especial a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), a Lei Complementar nº 105/2001 (sigilo bancário), o Código de Defesa do Consumidor, além das normas e circulares emitidas pelo Banco Central do Brasil aplicáveis às instituições de pagamento.
  2. O cumprimento das diretrizes deve estar alinhado também a normativos internos, contratos firmados e melhores práticas de mercado em segurança da informação.
     
     
• Segurança da Informação
  1. O descarte deve garantir a eliminação irreversível dos dados, de forma a impedir sua recuperação ou uso indevido.
  2. Devem ser adotadas práticas e controles que reduzam riscos de vazamento, perda, roubo ou acesso não autorizado durante e após o processo de descarte.
     
     
• Proteção de Dados Pessoais e Direitos dos Titulares
  1. A eliminação de dados pessoais e sensíveis deve respeitar os direitos dos titulares previstos na LGPD, incluindo a possibilidade de exclusão mediante solicitação, salvo em hipóteses de guarda obrigatória por lei ou regulação.
  2. O descarte deve considerar o princípio da minimização: manter apenas o que for estritamente necessário ao cumprimento de finalidades legítimas.
     
     
• Necessidade e Proporcionalidade
  1. Informações devem ser armazenadas apenas pelo prazo necessário ao cumprimento de obrigações legais, regulatórias, contratuais e operacionais.
  2. Ultrapassados tais prazos, os dados devem ser descartados de forma segura, evitando acúmulo de informações desnecessárias que possam gerar riscos à Instituição e aos titulares.
     
     
• Responsabilidade e Governança
  1. Todos os colaboradores, gestores, fornecedores e parceiros são corresponsáveis pelo cumprimento destas diretrizes, devendo zelar pela correta execução dos processos de descarte sob sua custódia.
  2. Cabe às áreas de Compliance, Segurança da Informação e Jurídico estabelecer controles, realizar monitoramento e fornecer orientações sobre a aplicação desta Política.
     
     
• Rastreabilidade e Transparência
  1. Sempre que aplicável, os processos de descarte devem ser documentados, contendo informações mínimas como tipo de dado descartado, método adotado, data, responsável e destinação final.
  2. Esses registros devem ser mantidos por prazo adequado, possibilitando auditorias internas, externas e eventuais fiscalizações regulatórias.
     
     
• Terceiros e Fornecedores
  1. Parceiros de negócios e prestadores de serviços que tratem dados em nome da Instituição devem cumprir integralmente as disposições desta Política.
  2. Cláusulas contratuais específicas deverão prever a obrigação de descarte seguro e, quando necessário, a possibilidade de auditoria para verificar a conformidade.

4.    DO DESCARTE DE DADOS PESSOAIS E INFORMAÇÕES 

O descarte de dados e informações é parte essencial da gestão do ciclo de vida das informações da Wisepay garantindo a conformidade legal, regulatória e contratual, além da proteção da privacidade dos titulares e da segurança da informação.

4.1    Descarte de Dados 

Os Dados Pessoais tratados pelas áreas não devem ser armazenados por período superior ao definido em legislação e regulamentações aplicáveis, seguindo sempre o princípio da finalidade. 

Transcorrido o prazo de retenção, os dados devem ser descartados de forma segura ou, quando não for possível a destruição, devidamente anonimizados.

 Será considerado descarte todo procedimento que envolva a exclusão definitiva de dado ou conjunto de dados armazenados em banco de dados físico ou digital da Wisepay de modo a impossibilitar sua reconstrução ou recuperação.

4.2    Descarte de Informações 

As demais informações corporativas, operacionais ou estratégicas, que não envolvam dados pessoais, também devem ser descartadas após o cumprimento de sua finalidade ou expiração do prazo legal/regulatório definido.

No ambiente digital, o responsável deve verificar todos os locais de armazenamento (sistemas, servidores, dispositivos ou mídias externas) e assegurar que o descarte seja feito por meio de técnicas seguras de exclusão, garantindo a irreversibilidade.

 No caso de documentos físicos, deve-se adotar métodos que assegurem a completa inutilização, como trituração, incineração ou outro procedimento que inviabilize o acesso ao conteúdo.

4.3    Período de Retenção e Formas de Descartes 

Para cada uma das áreas da Wisepay, a tabela a seguir mostra o período máximo de retenção de Dados Pessoais e Informações, bem como o formato de descarte:
 

5.    RESPONSABILIDADES  

O cumprimento da Política de Descarte de Dados e Informações é uma responsabilidade compartilhada entre todas as áreas e colaboradores da Wisepay com papéis específicos conforme detalhado a seguir:

Alta Administração

• Aprovar e apoiar a implementação da Política de Descarte de Dados e Informações.
• Garantir que recursos adequados sejam disponibilizados para que as áreas realizem o descarte de forma segura e em conformidade com a legislação aplicável.
  
  

Área de Compliance

• Monitorar a aplicação da política, assegurando conformidade com normas legais, regulatórias e contratuais.
• Revisar periodicamente a política, incluindo prazos de retenção e formas de descarte, para alinhamento com mudanças na legislação e melhores práticas de mercado.
  
  

Área de Segurança da Informação / TI

• Definir e implementar métodos seguros de descarte digital de dados e informações.
• Fornecer orientação técnica sobre processos de exclusão e medidas de proteção que garantam a irreversibilidade do descarte.
• Registrar evidências de descarte digital, garantindo rastreabilidade e auditabilidade dos processos.
  

Gestores de Área

• Identificar dados e informações sob sua responsabilidade que estejam sujeitos à política.
• Garantir que o descarte seja realizado dentro dos prazos estabelecidos e pelos métodos aprovados.
• Manter registros e evidências de descarte conforme orientações da área de Compliance e Segurança da Informação.
  
  

Colaboradores

• Cumprir as orientações desta política ao manipular, armazenar ou descartar dados e informações.
• Solicitar suporte às áreas responsáveis sempre que houver dúvidas sobre procedimentos ou métodos de descarte.
  
  

Fornecedores e Terceiros

• Cumprir integralmente as disposições desta Política ao tratar dados e informações em nome da Wisepay. 
• Adotar métodos seguros de descarte e disponibilizar evidências, quando solicitado, para fins de auditoria ou conformidade.

6.    EFETIVIDADE E VIOLAÇÃO

A efetividade do descarte correto das informações e/ou dados pessoais sob controle da WisePay depende da aplicação contínua e rigorosa das diretrizes estabelecidas nesta política. Para garantir sua eficácia, os procedimentos devem ser constantemente monitorados, revisados e aprimorados, assegurando a adequação regulatória, a mitigação de riscos e a preservação da integridade organizacional.

A adesão plena às diretrizes é responsabilidade individual de cada colaborador e coletiva de todas as áreas envolvidas, constituindo-se em pilar essencial da cultura de ética, integridade e conformidade da instituição.

Em caso de violação ou tentativa de burla das disposições desta política, os envolvidos estarão sujeitos à aplicação de medidas disciplinares proporcionais ao risco e à vulnerabilidade gerados à instituição, sem prejuízo de outras sanções previstas em normas internas e na legislação aplicável.

7.    VIGÊNCIA E CONTROLE DE VERSÕES

Esta Política entra em vigor a partir da data de sua publicação e disponibilização aos Destinatários e será periodicamente revisada e atualizada pelo Diretor Responsável, com a frequência mínima de uma vez a cada 12 (doze) meses.

Histórico de revisões:
 

Versão	Data de aprovação	Histórico	Responsável
001	09/09/2025	Elaboração do documento	Pedro Pontes