Página Inicial » Áreas Temáticas » Segurança e Privacidade » Diretrizes para Proteção de Dados Pessoais

Contextualização

O Banrisul – diretamente ou por meio de seus representantes, colaboradores ou fornecedores – realiza inúmeras operações de tratamento de dados pessoais. Com a entrada em vigor da Lei Geral de Proteção de Dados (Lei 13.709/18, ou simplesmente “LGPD”), faz-se necessário assegurar que essas operações estejam alinhadas com as exigências legais e com as melhores práticas em proteção de dados. Assim, com o objetivo de sinalizar o compromisso institucional com o direito fundamental à privacidade e sua materialização no direito à proteção de dados pessoais, o Banrisul apresenta a seguir as Diretrizes para Proteção de Dados Pessoais.

Objetivo

As Diretrizes para Proteção de Dados Pessoais do Banrisul estabelecem princípios, regras, atribuições e responsabilidades para garantir a adequação do Banrisul à LGPD.

O Banrisul declara, através dessas Diretrizes, o seu compromisso com a manutenção do equilíbrio entre seus interesses econômicos e a proteção de dados dos titulares - sejam clientes, parceiros comerciais ou colaboradores.

Abrangência e Público Alvo

As Diretrizes aplicam-se:

• Aos Empregados, Administradores, Membros de Conselhos e Comitês Estatutários e de Assessoramento da Diretoria, Estagiários e demais Colaboradores do Banrisul. 

• A todas as empresas controladas do Banrisul, atualmente compreendendo as seguintes empresas: Banrisul Cartões S.A., Banrisul S.A. Administradora de Consórcios, Banrisul S.A. Corretora de Valores Mobiliários e Câmbio, Banrisul Seguridade Participações S.A., Banrisul Corretora de Seguros S.A. e Banrisul Armazéns Gerais S.A.

• Às Empresas Fornecedoras, Prestadoras de Serviços e Parceiras do Banco e seus respectivos Prepostos e Colaboradores, referenciados neste documento pelos termos “Terceiro” ou “Terceiros”, que, no escopo da contratação, tenham acesso ou guarda de dados de propriedade do Banco ou de clientes do Banco.

Princípios a serem observados

Responsabilização e Prestação de Contas

Os agentes (Controlador e Operador) devem demonstrar a adoção de medidas e procedimentos para a proteção dos dados pessoais, durante todo o ciclo de vida de tratamento de dados.

Cultura de Privacidade e Proteção de Dados

Ações para conscientizar todas as pessoas físicas relacionadas ao Banrisul, sejam colaboradores, clientes e terceiros, acerca do seu compromisso para com estes indivíduos no que se refere a devida proteção de seus dados e efetivação de seus direitos como titulares.

Finalidade e Adequação

O tratamento de dados deve se dar para um propósito legítimo e específico, informado à pessoa; outros usos dos mesmos dados para outros propósitos não são permitidos.

Necessidade

Deve-se realizar o tratamento mínimo necessário para a realização da finalidade, sem dados excessivos.

Qualidade, Livre Acesso e Transparência

As pessoas devem possuir informações claras, precisas e facilmente acessíveis sobre o tratamento dos seus dados, os quais devem estar corretos e atualizados.

Segurança e Prevenção

Devem ser adotadas medidas técnicas e administrativas para proteger os dados pessoais e prevenir a ocorrência de incidentes.

Não discriminação

O tratamento não pode ser realizado para fins discriminatórios, ilícitos ou abusivos.

Tratamento de Dados Pessoais no Banrisul

Todo e qualquer tratamento de dados pessoais no ou em favor do Banrisul deverá contar com uma finalidade legítima, específica e amparada em pelo menos uma das hipóteses legais previstas nos artigos 7º e 11º da LGPD, sendo que nenhum dado pessoal deverá ser tratado de forma diversa daquela informada ao titular.
Devem ser empreendidos esforços para que o titular seja adequadamente informado acerca do tratamento de seus dados pessoais. Em caso de compartilhamento de dados pessoais com terceiros (inclusive do mesmo grupo econômico), o Banrisul garantirá a disponibilização, quando solicitado pelos titulares de dados, de informações claras, concretas e ostensivas acerca do compartilhamento, incluindo qual a sua respectiva finalidade.

Tratamento de Dados de Criança e Adolescente

Os dados pessoais de crianças e adolescentes deverão ser tratados com segurança especial, sempre no seu melhor interesse. Nas operações de tratamento de dados de criança (menores de 12 anos, segundo o ECA – Estatuto da Criança e Adolescente), à exceção da hipótese em que o tratamento de dados da criança e/ou adolescente decorra de obrigação legal ou regulatória, será necessária obtenção do consentimento expresso de seu responsável, sendo indicada a finalidade que atenderá tal operação de tratamento. 

Tratamento de Dados Pessoais por Terceiros

Previamente à pactuação de qualquer contratação com Terceiros que envolvam compartilhamento de dados pessoais, todos os envolvidos devem ser orientados a acessar as Diretrizes para Proteção de Dados Pessoais e a Política de Privacidade do BANRISUL, no site da instituição, e a cumprir as normas de proteção de dados aplicáveis, notadamente a Lei Federal 13.709 de 14 de agosto de 2018 (Lei Geral de Proteção de Dados - “LGPD”).

As regras e exigências para as contratações que envolvam compartilhamento de dados pessoais constarão nas cláusulas dos respectivos contratos, observadas as peculiaridades e natureza de cada relação contratual.

Nos casos em que for necessário o compartilhamento de dados pessoais com outras empresas, o Banrisul garantirá a disponibilização, quando solicitado pelos titulares, de informações claras e ostensivas acerca deste compartilhamento, incluindo qual a sua finalidade.

O não atendimento de qualquer das exigências deverá ser documentado e gerar a responsabilização do Terceiro, no contexto do respectivo contrato, exonerando-se o Banrisul de quaisquer ônus.

Medidas de Segurança e Boas Práticas

Seguindo as boas práticas e em conformidade com a legislação, o Banrisul adota medidas de segurança, técnicas e administrativas, visando proteger os dados pessoais contra acesso não autorizado, manipulação acidental ou intencional, perda e destruição.

Os dados pessoais tratados no Banrisul são transmitidos somente quando necessário e mediante conexões seguras. Os dados referentes as senhas armazenadas nas bases de dados do Banrisul são criptografados por algoritmos que garantem um alto nível de segurança.

A concessão de acessos aos dados pessoais coletados e mantidos pelo Banrisul é restrita aos colaboradores autorizados e que necessitarem realizar o tratamento desses dados para o desempenho de suas funções na empresa, observados os princípios de finalidade e adequação.

O prazo de armazenamento e manutenção dos dados pessoais coletados dependem do propósito e da natureza do tratamento realizado. Manteremos os dados pessoais coletados pelo período necessário para o cumprimento de obrigações legais e/ou regulatórias e contratuais, para continuar a fornecer e aprimorar nossos produtos e serviços, para o gerenciamento de riscos, para o exercício regular de direito em processos administrativos e judiciais e para as demais finalidades previstas neste documento.

Direitos dos Titulares de Dados Pessoais

Sujeito às exceções legais, qualquer cliente, funcionário, representante ou prestador de serviço poderá, mediante solicitação formal e nos canais específicos, obter as informações sobre seus próprios dados pessoais. Ainda, é assegurado o direito de revogar o consentimento previamente fornecido para tratamento de dados, respeitados às exceções previstas em lei.

No Banrisul, o Encarregado – também conhecido como “Data Protection Officer” (DPO) atuará como canal de comunicação entre o controlador (Banrisul), os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Caberá ao Encarregado, no exercício de suas funções:

• Receber requerimentos, reclamações e comunicações em geral dos titulares de dados pessoais, coordenando o seu endereçamento.

• Ser ponto de contato com as autoridades fiscalizatórias.

• Coordenar as medidas de resposta a incidentes com vazamento ou furto de dados pessoais, incluindo o reporte às autoridades ou aos titulares respectivos.

• Executar as demais atribuições determinadas pelo controlador, priorizando o monitoramento e a adequação da empresa às exigências da LGPD.

• Coordenar a elaboração e atualização de Relatórios de Impacto à Proteção de Dados (RIPD) para averiguar o risco no uso de dados pessoais e a conformidade regulatória da empresa.

As Diretrizes para Proteção de Dados Pessoais serão revisadas com periodicidade mínima anual para atualização e alinhamento com a legislações e regulamentações vigentes e   em consonância com as boas práticas de mercado e ou mediante recomendações da Alta Administração.

GLOSSÁRIO

São relevantes para compreensão deste documento os seguintes conceitos:

• Dado Pessoal: qualquer informação relacionada a uma pessoa natural identificada ou identificável.

• Dado Pessoal Sensível: podem revelar aspectos da intimidade do indivíduo – dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

• Tratamento dos Dados: toda operação realizada com dados como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

• Dado Anonimizado: dado relativo a Titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. 

• Agentes de Tratamento: o Controlador e o Operador, que realizam tratamento de dados.

• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.  Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador. 

• Titular do dado: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. 

• Encarregado: pessoa indicada pelo Controlador, que atua como canal de comunicação entre o Controlador, de um lado, e os Titulares e a Autoridade Nacional, de outro. 

• Autoridade Nacional de Proteção de Dados: órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.

• Relatório de Impacto à Proteção de Dados: relatório elaborado para comprovar a adequação do Banrisul, produto ou serviço com a LGPD.

• Consentimento: manifestação livre, informada e inequívoca pela qual o Titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

• Incidente com vazamento de dados: violação das medidas de segurança adotadas pelo Banrisul que resulte em vazamento de dados pessoais.