Página Inicial » Áreas Temáticas » Segurança e Privacidade » Diretrizes para Proteção de Dados Pessoais

Contextualização

O Banrisul – diretamente ou através de seus representantes, colaboradores ou fornecedores – realiza inúmeras operações de Tratamento de Dados Pessoais. Com a entrada em vigor da Lei Geral de Proteção de Dados (Lei 13.709/18, ou simplesmente “LGPD”), faz-se necessário assegurar que essas operações estejam alinhadas com as exigências legais e com as melhores práticas em proteção de Dados. Assim, com o objetivo de sinalizar o compromisso institucional com o direito fundamental à privacidade e sua materialização no direito à proteção de Dados Pessoais, o Banrisul apresenta a seguir as Diretrizes para Proteção de Dados Pessoais.

Objetivo

As Diretrizes para Proteção de Dados Pessoais do Banrisul estabelecem princípios, regras, atribuições e responsabilidades para garantir a adequação do Banrisul à LGPD.

O Banrisul declara, através dessas Diretrizes, o seu compromisso com a manutenção do equilíbrio entre seus interesses econômicos e a proteção de Dados dos Titulares de Dados- sejam clientes, parceiros comerciais ou colaboradores.

Abrangência e Público Alvo

As Diretrizes aplicam-se:

• Aos Empregados, Administradores, Membros de Conselhos e Comitês Estatutários e de Assessoramento da Diretoria, Estagiários e demais Colaboradores do Banrisul.

• A todas as empresas controladas do Banrisul, atualmente compreendendo as seguintes empresas: Banrisul Cartões S.A., Banrisul S.A. Administradora de Consórcios, Banrisul S.A. Corretora de Valores Mobiliários e Câmbio, Banrisul Seguridade Participações S.A., Banrisul Corretora de Seguros S.A. e Banrisul Armazéns Gerais S.A.

• Às Empresas Fornecedoras, Prestadoras de Serviços e Parceiras do Banco e seus respectivos Prepostos e Colaboradores, referenciados neste documento pelos termos “Terceiro” ou “Terceiros”, que, no escopo da contratação, tenham acesso ou guarda de Dados de propriedade do Banco ou de clientes do Banco.

Princípios a serem observados

Responsabilização e Prestação de Contas

Os agentes (Controlador e Operador) devem demonstrar a adoção de medidas e procedimentos para a proteção dos Dados Pessoais, durante todo o ciclo de vida de Tratamento de Dados.

Cultura de Privacidade e Proteção de Dados

Ações para conscientizar todas as pessoas físicas relacionadas ao Banrisul, sejam colaboradores, clientes e terceiros, acerca do seu compromisso para com estes indivíduos no que se refere a devida proteção de seus Dados e efetivação de seus direitos como Titulares de Dados.

Finalidade e Adequação

O Tratamento de Dados deve se dar para um propósito legítimo e específico, informando ao Titular de Dados outros usos dos mesmos Dados para outros propósitos não são permitidos.

Necessidade

Deve-se realizar o Tratamento mínimo necessário para a realização da finalidade, sem Dados excessivos.

Qualidade, Livre Acesso e Transparência

Os Titulares de Dados devem possuir informações claras, precisas e facilmente acessíveis sobre o Tratamento dos seus Dados, os quais devem estar corretos e atualizados.

Segurança e Prevenção

Devem ser adotadas medidas técnicas e administrativas para proteger os Dados Pessoais e prevenir a ocorrência de incidentes.

Não discriminação

O Tratamento não pode ser realizado para fins discriminatórios, ilícitos ou abusivos.

Tratamento de Dados Pessoais no Banrisul

Todo e qualquer Tratamento de Dados Pessoais no ou em favor do Banrisul deverá contar com uma finalidade legítima, específica e amparada em pelo menos uma das hipóteses legais previstas nos artigos 7º e 11º da LGPD, sendo que nenhum dado pessoal deverá ser tratado de forma diversa daquela informada ao Titular de Dados.

Devem ser empreendidos esforços para que o Titular de Dados seja adequadamente informado acerca do Tratamento de seus Dados Pessoais. Em caso de compartilhamento de Dados Pessoais com terceiros (inclusive do mesmo grupo econômico), o Banrisul garantirá a disponibilização, quando solicitado pelos Titulares de Dados, de informações claras, concretas e ostensivas acerca do compartilhamento, incluindo qual a sua respectiva finalidade.

O Banrisul disponibiliza na sua Política de Privacidade as informações necessárias para que o titular tenha conhecimento dos Tratamentos realizados, bem como dos canais disponíveis para que possa exercer os direitos previstos na LGPD.

Tratamento de Dados de Criança e Adolescente

Os Dados Pessoais de crianças e adolescentes deverão ser tratados com segurança especial, sempre no seu melhor interesse. Nas operações de Tratamento de dados de criança (menores de 12 anos, segundo o ECA – Estatuto da Criança e Adolescente), à exceção da hipótese em que o Tratamento de Dados da criança e/ou adolescente decorra de obrigação legal ou regulatória, será necessária obtenção do consentimento expresso de seu responsável, sendo indicada a finalidade que atenderá tal operação de Tratamento.  

Tratamento de Dados Pessoais por Terceiros

Previamente à pactuação de qualquer contratação com Terceiros que envolvam compartilhamento ou acesso de Dados Pessoais, todos os envolvidos devem ser orientados a acessar as Diretrizes para Proteção de Dados Pessoais e a Política de Privacidade do BANRISUL, no site da instituição, e a cumprir as normas de proteção de Dados aplicáveis, notadamente a Lei Federal nº 13.709 de 14 de agosto de 2018 (Lei Geral de Proteção de Dados - “LGPD”).

As regras e exigências para as contratações que envolvam compartilhamento de Dados Pessoais constarão nas cláusulas dos respectivos contratos, observadas as peculiaridades e natureza de cada relação contratual e sempre que possível serão utilizadas medidas de pseudonimização ou demais técnicas que garantam o sigilo dos Dados.

Nos casos em que for necessário o compartilhamento de Dados Pessoais com outras empresas, o Banrisul garantirá a disponibilização, quando solicitado pelos Titulares de Dados, de informações claras e ostensivas acerca deste compartilhamento, incluindo qual a sua finalidade. 

O não atendimento de qualquer das exigências deverá ser documentado e gerar a responsabilização do Terceiro, no contexto do respectivo contrato, exonerando-se o Banrisul de quaisquer ônus.

Medidas de Segurança e Boas Práticas

Seguindo as boas práticas e em conformidade com a legislação, o Banrisul adota medidas de segurança, técnicas e administrativas, visando proteger os Dados Pessoais contra acesso não autorizado, manipulação acidental ou intencional, perda e destruição.

Os Dados Pessoais tratados no Banrisul são transmitidos somente quando necessário e mediante conexões seguras. Os Dados referentes as senhas armazenadas nas bases de Dados do Banrisul são criptografados por algoritmos que garantem um alto nível de segurança.

A concessão de acessos aos Dados Pessoais tratados pelo Banrisul é restrita aos colaboradores autorizados e que necessitarem realizar o Tratamento desses Dados para o desempenho de suas funções na empresa, observados os princípios de finalidade e adequação.

O prazo de armazenamento e manutenção dos Dados Pessoais coletados dependem do propósito e da natureza do Tratamento realizado. Manteremos os Dados Pessoais coletados pelo período necessário para o cumprimento de obrigações legais e/ou regulatórias e contratuais, para continuar a fornecer e aprimorar nossos produtos e serviços, para o gerenciamento de riscos, para o exercício regular de direito em processos administrativos e judiciais e para as demais finalidades previstas neste documento.

Direitos dos Titulares de Dados Pessoais

Sujeito às exceções legais, qualquer cliente, funcionário, representante ou prestador de serviço poderá, mediante solicitação formal e nos canais específicos, obter as informações sobre seus próprios Dados pessoais.

No Banrisul, o Encarregado – também conhecido como “Data Protection Officer” (DPO) atuará como canal de comunicação entre o controlador (Banrisul), os Titulares dos Dados e a Autoridade Nacional de Proteção de Dados (ANPD). 

GLOSSÁRIO

São relevantes para compreensão deste documento os seguintes conceitos:

• Agentes de Tratamento: o Controlador e o Operador, que realizam Tratamento de Dados Pessoais.

• Autoridade Nacional de Proteção de Dados: órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.

• Consentimento: manifestação livre, informada e inequívoca pela qual o Titular de Dados concorda com o Tratamento de seus Dados Pessoais para uma finalidade determinada.

• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados Pessoais.
  Dado Anonimizado: Dado relativo a Titular de Dados que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu Tratamento.

• Dado Pseudoanonimizado: técnica de proteção de Dados Pessoais, por meio do qual são adicionadas camadas que somente o controlador é capaz de identificar o indivíduo, por deter informação adicional sobre um sujeito determinado ou determinável.

• Dado Pessoal: qualquer informação relacionada a uma pessoa natural identificada ou identificável.

• Dado Pessoal Sensível: podem revelar aspectos da intimidade do indivíduo – dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

• Encarregado ou DPO (Data Protection Officer) - como menciona a General Data Protection Regulation (GDPR) da União Europeia, é uma pessoa física ou jurídica voltada ao cumprimento das normas e melhores práticas de proteção de Dados e respeito à privacidade nas empresas. No Brasil, a Lei 13.709/18 – Lei Geral de Proteção de Dados Pessoais adotou a denominação “Encarregado”. Indicado pelo Banrisul que atuará como canal de comunicação entre o controlador (Banrisul), os Titulares de Dados e a Autoridade Nacional de Proteção de Dados (ANPD).

• Incidente com vazamento de Dados Pessoais: violação das medidas de segurança adotadas pelo Banrisul que resulte em vazamento de Dados Pessoais.
  Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador.

• Privacy by design e Privacy by default: Privacidade por definição e Privacidade por padrão - são metodologias nas quais a proteção de Dados Pessoais é pensada desde a concepção de sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de Dados Pessoais.
  Relatório de Impacto à Proteção de Dados: documentação do Controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

• Titular de Dados: pessoa natural a quem se referem os Dados Pessoais que são objeto de Tratamento.

• Tratamento: toda operação realizada com Dados como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.