1. Objetivo e Escopo
Esta Política de Retenção e Exclusão de Dados estabelece os prazos, critérios e procedimentos para armazenamento, retenção e eliminação de dados pessoais e dados pessoais sensíveis tratados pela Plataforma Medwork360, em conformidade com os arts. 15 e 16 da Lei 13.709/2018 (LGPD).
Esta Política se aplica a todos os dados pessoais tratados no âmbito da prestação de serviços da Plataforma, incluindo dados de Contratantes, Usuários e titulares de dados cujas informações sejam inseridas na Plataforma.
2. Princípios Norteadores
O tratamento de dados pessoais pela Medwork360 observa os seguintes princípios da LGPD (art. 6º):
- Finalidade: dados são retidos apenas enquanto necessários para a finalidade que motivou o tratamento;
- Necessidade: somente são retidos os dados estritamente necessários, em volume proporcional ao objetivo;
- Qualidade: dados são mantidos atualizados durante o período de retenção;
- Segurança: durante todo o ciclo de vida, dados são protegidos por medidas técnicas e organizacionais adequadas;
- Prevenção: medidas proativas para evitar retenção excessiva ou desnecessária.
3. Tabela de Retenção
3.1. Dados Cadastrais
| Categoria | Dados | Período de Retenção | Base Legal | Justificativa |
|---|---|---|---|---|
| Contratante (PJ) | CNPJ, razão social, endereço | Vigência + 5 anos | Art. 16, I, LGPD c/c art. 206, § 5º, CC | Prescrição civil ordinária |
| Representante legal | Nome, CPF, e-mail | Vigência + 5 anos | Art. 16, I, LGPD c/c art. 206, § 5º, CC | Prescrição civil ordinária |
| Usuários | Nome, CPF, e-mail, WhatsApp | Vigência + 1 ano | Art. 16, I, LGPD | Período razoável para regularização |
| Dados de faturamento | NFs, recibos, dados bancários | 5 anos após emissão | Art. 173, CTN c/c art. 195, CC | Obrigações tributárias e contábeis |
3.2. Dados de Uso e Consultas
| Categoria | Dados | Período de Retenção | Base Legal | Justificativa |
|---|---|---|---|---|
| Histórico de conversas (Essencial) | Mensagens e respostas IA | 30 dias | Art. 7º, V, LGPD | Limite contratual do plano |
| Histórico de conversas (Profissional) | Mensagens e respostas IA | 90 dias | Art. 7º, V, LGPD | Limite contratual do plano |
| Histórico de conversas (Empresarial) | Mensagens e respostas IA | Vigência do contrato | Art. 7º, V, LGPD | Limite contratual do plano |
| Metadados de consultas | Timestamps, contagem, temas | Vigência + 1 ano | Art. 7º, IX, LGPD | Legítimo interesse: melhoria do serviço |
| Relatórios de uso | Dashboards, métricas | Vigência + 6 meses | Art. 7º, IX, LGPD | Legítimo interesse: análise de serviço |
3.3. Dados Pessoais Sensíveis
| Categoria | Dados | Período de Retenção | Base Legal | Justificativa |
|---|---|---|---|---|
| Dados de saúde ocupacional | CID, diagnósticos, laudos, ASO | Conforme plano (30/90 dias ou vigência) | Art. 11, I, LGPD | Consentimento específico, limitado ao plano |
| Dados de acidentes (CATs) | Descrição, lesões, circunstâncias | Conforme plano (30/90 dias ou vigência) | Art. 11, II, "f", LGPD | Proteção da incolumidade física |
| Dados de processos trabalhistas | Partes, verbas, laudos periciais | Conforme plano (30/90 dias ou vigência) | Art. 11, II, "d", LGPD | Exercício regular de direitos |
| Dados psicossociais (NR-1) | Avaliações, triagem | Conforme plano (30/90 dias ou vigência) | Art. 11, I, LGPD | Consentimento específico |
| Documentos enviados (mídia) | Fotos, PDFs, áudios | Conforme plano (30/90 dias ou vigência) | Art. 11, I, LGPD | Consentimento específico |
3.4. Registros de Acesso e Segurança
| Categoria | Dados | Período de Retenção | Base Legal | Justificativa |
|---|---|---|---|---|
| Registros de acesso (logs) | IP, timestamp, ações | 6 meses | Art. 15, Marco Civil da Internet | Obrigação legal |
| Logs de auditoria | Operações sobre dados | Vigência + 5 anos | Art. 37, LGPD c/c art. 46, LGPD | Registro de tratamento e segurança |
| Registros de consentimento | Timestamp, versão, canal | Vigência + 5 anos | Art. 8º, § 2º, LGPD | Comprovação de consentimento |
| Incidentes de segurança | Relatórios, comunicações ANPD | 5 anos após o incidente | Art. 48, LGPD c/c Res. ANPD 15/2024 | Compliance e auditoria |
3.5. Dados Anonimizados
| Categoria | Dados | Período de Retenção | Base Legal | Justificativa |
|---|---|---|---|---|
| Dados agregados de uso | Estatísticas anonimizadas | Sem prazo definido | Art. 12, LGPD | Dados anonimizados não são dados pessoais |
| Dados para treinamento de IA | Corpus anonimizado | Sem prazo definido | Art. 12, LGPD | Dados anonimizados não são dados pessoais |
4. Gatilhos de Exclusão
4.1. Exclusão Automática (por Decurso de Prazo)
A Plataforma executa exclusão automática dos seguintes dados ao término do período de retenção:
- Histórico de conversas: excluído automaticamente ao final do período do plano (30, 90 dias ou término do contrato);
- Arquivos de mídia: excluídos juntamente com o histórico de conversas;
- Dados sensíveis: excluídos juntamente com o histórico de conversas;
- Registros de acesso: excluídos após 6 meses, conforme Marco Civil da Internet.
4.2. Exclusão por Solicitação do Titular (art. 18, VI, LGPD)
O titular de dados pessoais poderá solicitar a eliminação de seus dados a qualquer momento, exercendo seu direito via:
- Comando /cleanup via WhatsApp;
- E-mail ao DPO: dpo@medwork360.msgy.ai;
- Formulário web disponível no painel de gestão.
4.3. Exclusão por Solicitação do Contratante
O Contratante poderá solicitar a eliminação de todos os dados associados à sua conta, incluindo dados de Usuários e histórico de consultas.
4.4. Exclusão por Encerramento Contratual
Ao término do contrato, por qualquer motivo:
- O acesso à Plataforma é revogado imediatamente;
- Os dados são retidos pelos períodos mínimos legais indicados na Seção 3;
- Ao término do período de retenção legal, os dados são definitivamente eliminados;
- O Contratante poderá solicitar exportação dos dados antes da eliminação (direito de portabilidade · art. 18, V, LGPD).
5. Procedimento de Exclusão
5.1. Comando /cleanup · Fluxo Completo
O comando /cleanup via WhatsApp executa o seguinte procedimento:
5.2. Métodos de Eliminação
A eliminação de dados utiliza os seguintes métodos técnicos:
| Tipo de Dado | Método de Eliminação | Verificação |
|---|---|---|
| Registros em banco de dados (PostgreSQL) | DELETE permanente + VACUUM | Query de verificação pós-exclusão |
| Arquivos de mídia (MinIO) | Remoção do objeto + expiração de versões | Verificação de inexistência do objeto |
| Cache (Redis) | DEL de chaves + expiração forçada | Verificação de inexistência da chave |
| Backups | Expiração natural (política de 30 dias) + exclusão seletiva quando tecnicamente viável | Verificação no próximo ciclo de backup |
| Logs de aplicação | Anonimização (substituição de identificadores) | Verificação de ausência de PII |
5.3. Dados que NÃO Podem Ser Excluídos
Em conformidade com o art. 16 da LGPD, determinados dados NÃO serão eliminados mesmo após solicitação do titular, quando necessários para:
- Cumprimento de obrigação legal ou regulatória (art. 16, I): registros de acesso pelo prazo de 6 meses (Marco Civil da Internet), documentos fiscais pelo prazo de 5 anos (CTN);
- Estudo por órgão de pesquisa (art. 16, II): dados anonimizados utilizados para pesquisa, garantida a anonimização;
- Transferência a terceiro (art. 16, III): desde que respeitados os requisitos da LGPD;
- Uso exclusivo do controlador, anonimizados (art. 16, IV): dados que já foram efetivamente anonimizados e não permitem reidentificação.
O titular será informado sobre quaisquer dados que não possam ser eliminados, com indicação da base legal justificadora.
5.4. Prazos de Atendimento
| Tipo de Solicitação | Prazo de Resposta | Prazo de Execução |
|---|---|---|
| /cleanup via WhatsApp | Imediato (confirmação) | Até 72 horas |
| Solicitação via e-mail ao DPO | Até 15 dias (art. 19, II, LGPD) | Até 15 dias após confirmação |
| Solicitação via formulário web | Até 15 dias | Até 15 dias após confirmação |
| Encerramento contratual | Automático | Conforme tabela de retenção |
6. Portabilidade de Dados
6.1. Direito de Portabilidade (art. 18, V, LGPD)
O Contratante poderá solicitar a portabilidade dos seus dados pessoais e dos dados de seus Usuários a outro fornecedor de serviço, mediante requisição ao DPO.
6.2. Formato de Exportação
Os dados serão exportados em formato estruturado, de uso comum e leitura automatizada:
- Dados cadastrais: JSON ou CSV;
- Histórico de conversas: JSON com metadados (timestamps, temas);
- Documentos e mídias: formatos originais (PDF, JPEG, PNG, etc.);
- Relatórios de uso: CSV ou PDF.
6.3. Prazo para Exportação
A exportação será realizada em até 15 (quinze) dias após a solicitação, conforme art. 19, II, da LGPD.
7. Revisão Periódica
7.1. Auditoria de Retenção
A Medwork360 realiza auditoria periódica de retenção de dados:
- Frequência: trimestral;
- Escopo: verificação do cumprimento dos prazos de retenção e eliminação;
- Responsável: Encarregado de Proteção de Dados (DPO);
- Registro: relatório de auditoria com achados e ações corretivas.
7.2. Atualização da Política
Esta Política será revisada:
- Anualmente, como parte da revisão do programa de privacidade;
- Quando houver alteração legislativa ou regulatória que impacte os prazos de retenção;
- Quando houver alteração significativa nos processos de tratamento de dados;
- Por solicitação da ANPD.
8. Registro das Operações de Eliminação
Em conformidade com o art. 37 da LGPD, a Medwork360 mantém registro detalhado de todas as operações de eliminação de dados, contendo:
- Data e hora da solicitação;
- Identificação do solicitante (titular, contratante ou processo automático);
- Dados eliminados (categorias, não conteúdo);
- Método de eliminação utilizado;
- Data e hora da efetivação;
- Confirmação de verificação pós-eliminação;
- Dados retidos por obrigação legal (quando aplicável) com justificativa.
9. Contato
Para solicitações relativas à retenção ou exclusão de dados:
- DPO: dpo@medwork360.msgy.ai
- WhatsApp: comando /cleanup
- ANPD: www.gov.br/anpd
Última atualização: 8 de abril de 2026
Versão: 1.0