Página Inicial » Áreas Temáticas » Segurança e Privacidade » Diretrizes para Proteção de Dados Pessoais

Contextualização

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18, ou simplesmente "LGPD") estabelece normas sobre como os Agentes de Tratamento devem tratar Dados Pessoais nos meios físicos ou digitais, de forma segura e transparente. A promulgação da Emenda Constitucional nº 115, em fevereiro de 2022, trouxe o reconhecimento da importância da proteção dos Dados Pessoais no Brasil, incluindo este tema ao rol de direitos e garantias fundamentais de nossa Constituição Federal.

A LGPD dispõe que as instituições poderão formular políticas e regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de Titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no Tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao Tratamento de Dados Pessoais.

Com o objetivo de reforçar o compromisso institucional com os direitos fundamentais à privacidade e à proteção de Dados Pessoais e garantir a conformidade com a regulamentação, o Banrisul estabeleceu o Programa de Governança em Privacidade e Proteção de Dados Pessoais, que contempla não somente os aspectos legais da Lei, mas a governança em privacidade de Dados Pessoais como um todo.

Considerando que o Banrisul – diretamente ou através de seus representantes, colaboradores ou fornecedores – realiza inúmeras Operações de Tratamento de Dados Pessoais, faz-se necessário fortalecer a cultura de comprometimento com a proteção de dados, de maneira a garantir que essas operações estejam alinhadas com as exigências legais e com as melhores práticas em proteção de Dados Pessoais.

Para garantir e demonstrar essa conformidade com a proteção de Dados Pessoais, o Banrisul apresenta as Diretrizes para Proteção de Dados Pessoais.

Objetivo

Estas Diretrizes têm por objetivo estabelecer princípios, regras, atribuições e responsabilidades para a proteção de Dados Pessoais, de modo a garantir a conformidade do Banrisul à LGPD.

O Banrisul declara, através deste documento, o seu compromisso com a manutenção do equilíbrio entre seus interesses econômicos e a proteção de Dados Pessoais dos Titulares - sejam clientes, parceiros ou colaboradores.

Abrangência e Público-alvo

Estas Diretrizes aplicam-se:

• Aos fornecedores, prestadores de serviços e parceiros do Banrisul e seus respectivos prepostos e colaboradores, referenciados neste documento pelos termos "Terceiro" ou "Terceiros", que, no escopo de determinada contratação, realizem Tratamento de Dados Pessoais em atividades conjuntas com o Banco, na condição de Agentes de Tratamento.

Princípios

Os princípios que estão no cerne da LGPD são fundamentais para a adoção de boas práticas de proteção de dados, devendo ser observados em todo o ciclo de vida do Dado Pessoal. A boa-fé no Tratamento de Dados Pessoais é uma premissa básica adotada pelo Banrisul em todas as suas atividades, que passam por avaliações sistemáticas de impactos e riscos à privacidade, por meio de questões como: "Qual o objetivo deste Tratamento?"; "Os dados são necessários para o alcance da finalidade desta atividade?"; É preciso mesmo utilizar essa quantidade de dados neste processo?"; "Esta operação exige o Consentimento do Titular com quem me relaciono?"; "O uso dos dados pode gerar alguma discriminação ilícita ou abusiva no caso concreto?". No Banrisul, o espírito desses princípios-chave deve nortear as atividades de Tratamento de Dados Pessoais:

Finalidade: o Tratamento deve seguir propósitos legítimos, específicos, explícitos e informados ao Titular, sem possibilidade de Tratamento posterior de forma incompatível com a finalidade informada. O Tratamento deve estar vinculado ao objetivo assinalado para sua coleta e utilização, a fim de garantia da denominada "privacidade contextual", evitando a utilização para outros fins, ou fins incompatíveis com aquele declarado.

Adequação: o Tratamento deve ocorrer conforme as finalidades informadas ao Titular, isto é, de forma compatível com as finalidades esperadas pelo indivíduo, de acordo com o contexto do Tratamento realizado no caso concreto.

Necessidade: o Tratamento deve ser realizado apenas com os Dados Pessoais que sejam estritamente necessários para alcançar as finalidades pretendidas, isto é, sem utilização de Dados Pessoais excessivos ou impertinentes.

Livre Acesso: os Titulares devem ter acesso à consulta facilitada e gratuita sobre a forma e a duração do Tratamento dos Dados Pessoais que lhe dizem respeito, bem como sobre a integralidade de seus Dados Pessoais.

Qualidade dos Dados: os Dados Pessoais mantidos pelo Banrisul devem ser exatos, claros e atuais, bem como relevantes ao propósito do negócio, à necessidade e à finalidade de seu Tratamento.

Transparência: os Titulares devem ter fácil acesso a informações claras e precisas sobre os Tratamentos de seus Dados Pessoais realizados nas diversas atividades do Banrisul, observados os segredos comercial e industrial.

Segurança: o Banrisul deve adotar procedimentos, tecnologias e soluções que garantam maior proteção dos Dados Pessoais e previnam a ocorrência de Incidentes de Segurança, como acessos não autorizados e situações acidentais ou ilícitas que possam resultar em destruição, perda, alteração ou vazamento de Dados Pessoais.

Prevenção: medidas devem ser estabelecidas para prevenir eventuais problemas envolvendo o Tratamento de Dados Pessoais, antes mesmo que eles surjam.

Não discriminação: o Tratamento de Dados Pessoais não deve ser realizado com objetivos de discriminar ou de promover abusos contra os seus Titulares, ou seja, valer-se, por exemplo, de Dados Pessoais Sensíveis, como os que tratam sobre origem racial ou étnica, filiação à organização de caráter político ou informações de saúde, para fins discriminatórios ilícitos ou abusivos.

Responsabilidade e Prestação de Contas: os Agentes de Tratamento (Controlador e Operador) devem cumprir a legislação e demonstrar sua conformidade, mediante evidências da adoção de medidas e procedimentos eficazes para a proteção dos Dados Pessoais, durante todo o ciclo de vida dos dados, observados os segredos comercial e industrial.

Tratamento de Dados Pessoais no Banrisul

Todo e qualquer Tratamento de Dados Pessoais no Banrisul ou em seu favor deverá contar com uma finalidade legítima, específica e amparada em pelo menos uma das hipóteses legais previstas na LGPD, sendo que nenhum Dado Pessoal deverá ser tratado de forma diversa daquela informada ao Titular de Dados Pessoais.

Devem ser empreendidos esforços para que o Titular de Dados seja adequadamente informado acerca do Tratamento de seus Dados Pessoais. Em caso de compartilhamento de Dados Pessoais com Terceiros (inclusive do mesmo grupo econômico), o Banrisul deverá garantir a disponibilização de informações claras acerca do compartilhamento, incluindo qual é a sua respectiva finalidade.

O Banrisul disponibilizará, na sua Política de Privacidade, as informações necessárias e atualizadas para que o titular tenha conhecimento dos Tratamentos realizados, bem como dos canais disponíveis para que possa exercer os direitos previstos na LGPD.

Tratamento de Dados de Criança e Adolescente

Os Dados Pessoais de crianças e adolescentes deverão ser tratados com máxima cautela, sempre no seu melhor interesse, a ser avaliado no caso concreto, nos termos da Lei.

Conforme o entendimento da Autoridade Nacional de Proteção de Dados ("ANPD") no Brasil, o Tratamento de Dados Pessoais de crianças e adolescentes pode se basear em qualquer uma das hipóteses previstas na LGPD, desde que prevalecente o seu melhor interesse, inclusive nas hipóteses em que aplicável o consentimento dos pais ou responsável legal. Quando os Dados Pessoais de crianças e adolescentes forem tratados mediante a coleta do consentimento do responsável, este deve ser expresso, específico e destacado, sendo indicada a finalidade que será atendida pelo Tratamento. Embora o Consentimento represente uma base legal possível para processamento de Dados Pessoais, não é a única opção, sendo as demais hipóteses da LGPD válidas e, inclusive, mais apropriadas em determinadas situações.

Tratamento de Dados Pessoais por Terceiros

Sempre que o Banrisul contratar um Terceiro (fornecedor/parceiro de negócios) cujo objeto requeira o Tratamento de Dados Pessoais em seu nome, deve estabelecer cláusulas que definam as responsabilidades e obrigações de cada parte. As regras e exigências para as contratações e/ou relacionamentos que envolvam compartilhamento de Dados Pessoais constarão nas cláusulas dos respectivos contratos, aditivos e/ou termos de declaração, observadas as peculiaridades e natureza de cada relação negocial e, sempre que possível, serão utilizadas medidas de pseudonimização ou demais técnicas que garantam o sigilo dos Dados Pessoais.

Previamente à pactuação de qualquer relacionamento/contratação com Terceiros que envolvam o Tratamento de Dados Pessoais, todos os envolvidos devem ser orientados a acessar estas Diretrizes para Proteção de Dados Pessoais e a Política de Privacidade do Banrisul, no site da instituição, e a cumprir as normas de proteção de dados aplicáveis, notadamente a LGPD e as regulamentações da autoridade competente.

Usar contratos claros e específicos com fornecedores e parceiros ajuda a garantir que todos possuam ciência de suas obrigações no âmbito de proteção de dados. O não atendimento de quaisquer exigências contratuais deverá ser documentado e poderá gerar a responsabilização do Terceiro, no contexto do respectivo relacionamento, exonerando-se o Banrisul de quaisquer ônus.

Privacidade por padrão no desenvolvimento de produtos e serviços

Em conformidade com as diretrizes da LGPD e boas práticas de mercado, os produtos, serviços e sistemas fornecidos pelo Banrisul deverão incorporar medidas de segurança, técnicas e administrativas aptas a proteger os Dados Pessoais desde a fase de concepção até a operacionalização, trazendo o conceito do Privacy by Design e Privacy by Default, isso é, Privacidade desde a Concepção e por Padrão.

Medidas de Segurança e Boas Práticas

O Banrisul deve adotar medidas de segurança, técnicas e administrativas, visando à proteção dos Dados Pessoais contra acesso não autorizado, manipulação acidental ou intencional, perda e destruição. Os Dados Pessoais tratados no Banrisul serão transmitidos somente quando necessário e mediante conexões seguras.

A concessão de acessos aos Dados Pessoais tratados pelo Banrisul deve ser restrita aos colaboradores autorizados e que necessitarem realizar o Tratamento desses Dados Pessoais para o desempenho de suas funções, observados os princípios previstos neste documento.

Exclusão e Retenção de Dados Pessoais

As áreas que tratam Dados Pessoais devem estabelecer procedimentos para a sua exclusão após esgotada a finalidade do tratamento, bem como definir o prazo de retenção desses dados, conforme sua Política de Retenção de Dados. O tempo de armazenamento dos Dados Pessoais coletados dependerá do propósito e da natureza do Tratamento realizado e observará a Política de Retenção de Dados do Banrisul.

Os Dados Pessoais coletados deverão ser mantidos pelo período necessário para o cumprimento de obrigações legais e/ou regulatórias e contratuais, para continuar a fornecer e aprimorar nossos produtos e serviços, para o gerenciamento de riscos, para o exercício regular de direito em processos administrativos e judiciais e para as demais finalidades previstas neste documento.

Treinamento e Conscientização

O Banrisul deve promover treinamentos sobre o tema Privacidade e Proteção de Dados, disseminando as políticas e procedimentos vigentes, as melhores práticas de mercado e quais as responsabilidades de todos os abrangidos nestas Diretrizes.

Devem ser criadas ações para capacitar e conscientizar todos aqueles que tratam Dados Pessoais em nome do Banrisul, acerca do compromisso do Banrisul para com os Titulares no que se refere a devida proteção de seus Dados Pessoais e efetivação de seus direitos.

Incidente de Segurança

O Banrisul possui Diretrizes para Prevenção e Resposta a Incidentes com Dados Pessoais que estabelecem os processos e responsabilidades no tratamento de Incidentes de Segurança, especialmente daqueles que possam acarretar risco ou dano relevante aos Titulares de Dados Pessoais. Referidas Diretrizes aplicam-se a todos os colaboradores do Banrisul e suas empresas controladas, que devem seguir as orientações preventivas à ocorrência de Incidentes de Segurança, bem como observar os procedimentos internos em caso de identificação de Incidente ou suspeita de Incidente de Segurança.

Os Incidentes de Segurança com Dados Pessoais deverão ser avaliados pelas estruturas e alçadas estabelecidas para deliberação quanto à necessidade das comunicações aos Titulares de Dados e/ou à Autoridade Nacional de Proteção de Dados (ANPD), conforme determina a LGPD e regulamentações complementares.

Em razão de seu caráter confidencial, as Diretrizes para Prevenção e Resposta a Incidentes com Dados Pessoais não são públicas, mas diretrizes gerais sobre segurança da informação e cibernética são publicizadas no site da instituição, em compromisso com a transparência.

Direitos dos Titulares de Dados Pessoais

O Banrisul disponibiliza canais específicos para recebimento das solicitações dos direitos dos Titulares, garantindo que as respostas às requisições dos Titulares sejam atendidas dentro do prazo estabelecido, com a qualidade necessária, sem expor dados de terceiros e observados os segredos de negócio.

O Encarregado – também conhecido como "Data Protection Officer" (DPO) – atuará como canal de comunicação entre o Controlador (Banrisul), os Titulares dos Dados e a Autoridade Nacional de Proteção de Dados – ANPD e conduzirá as atividades a ele atribuídas.

Transferência Internacional de Dados

Em caso excepcional de necessidade de transferência de Dados Pessoais para jurisdições estrangeiras, deverá ser assegurada que as referidas transações sejam realizadas em conformidade com as regulamentações estabelecidas pela Autoridade Nacional de Proteção de Dados – ANPD.

Atualização

As Diretrizes para Proteção de Dados Pessoais poderão sofrer alterações sempre que o Banrisul entender necessário, ou para cumprimento de exigência legal ou regulatória. O Banrisul adota o compromisso de revisar e atualizar estas Diretrizes regularmente para refletir as boas práticas observadas no setor, bem como as informações obtidas no monitoramento contínuo e avaliações periódicas do Tratamento de Dados Pessoais.

GLOSSÁRIO

Agente de Tratamento: o Controlador e o Operador, que realizam Tratamento de Dados Pessoais.

Autoridade Nacional de Proteção de Dados ou ANPD: órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.

Banrisul ou Banco: Banrisul e empresas controladas do Grupo Banrisul.

Consentimento: manifestação livre, informada e inequívoca pela qual o Titular de Dados concorda com o Tratamento de seus Dados Pessoais para uma finalidade determinada.

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados Pessoais.

Dado Pessoal: qualquer informação relacionada a uma pessoa natural identificada ou identificável.

Dado Pessoal Sensível: podem revelar aspectos da intimidade do indivíduo – dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Encarregado ou DPO (Data Protection Officer): como menciona a General Data Protection Regulation (GDPR) da União Europeia, é uma pessoa natural ou jurídica voltada ao cumprimento das normas e melhores práticas de proteção de Dados Pessoais e respeito à privacidade nas empresas. No Brasil, a Lei nº 13.709/18 – Lei Geral de Proteção de Dados Pessoais adotou a denominação "Encarregado".

Incidente de Segurança: qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de Dados Pessoais.

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador.

Operação de Tratamento de Dado Pessoal ou OTD: macro atividade de Tratamento de Dado Pessoal mapeada, registrada e enquadrada em, ao menos, uma hipótese legal prevista no art. 7º (Dado Pessoal) ou 11 (Dado Pessoal Sensível) da LGPD pelo Banrisul.

Privacy by Design: Privacidade desde a Concepção é uma metodologia que prevê que qualquer projeto que envolva o processamento de Dados Pessoais deve garantir que a privacidade e a proteção de Dados Pessoais sejam incorporadas durante todo o seu ciclo de vida.

Privacy by Default: Privacidade por Padrão é uma metodologia que significa que as configurações mais seguras de privacidade deverão ser aplicadas automaticamente por padrão, sem nenhuma intervenção ou providência do usuário para proteger seus Dados Pessoais.

Terceiro: fornecedores, prestadores de serviços e parceiros do Banco e seus respectivos prepostos e colaboradores, que, no escopo de determinada contratação, realizem Tratamento de Dados Pessoais em atividades conjuntas com o Banco, na condição de Agentes de Tratamento.

Titular: pessoa natural a quem se referem os Dados Pessoais que são objeto de Tratamento.

Tratamento: toda operação realizada com Dados Pessoais como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Atualizado em dezembro/2024