Contextualização
O Banrisul – diretamente ou por meio de seus representantes, colaboradores ou fornecedores – realiza inúmeras operações de tratamento de dados pessoais. Com a entrada em vigor da Lei Geral de Proteção de Dados (Lei 13.709/18, ou simplesmente “LGPD”), faz-se necessário assegurar que essas operações estejam alinhadas com as exigências legais e com as melhores práticas em proteção de dados. Assim, com o objetivo de sinalizar o compromisso institucional com o direito fundamental à privacidade e sua materialização no direito à proteção de dados pessoais, o Banrisul apresenta a seguir as Diretrizes para Proteção de Dados Pessoais.
Objetivo
As Diretrizes para Proteção de Dados Pessoais do Banrisul estabelecem princípios, regras, atribuições e responsabilidades para garantir a adequação do Banrisul à LGPD.
O Banrisul declara, através dessas Diretrizes, o seu compromisso com a manutenção do equilíbrio entre seus interesses econômicos e a proteção de dados dos titulares - sejam clientes, parceiros comerciais ou colaboradores.
Abrangência e Público Alvo
As Diretrizes aplicam-se:
Princípios a serem observados
Responsabilização e Prestação de Contas
Os agentes (Controlador e Operador) devem demonstrar a adoção de medidas e procedimentos para a proteção dos dados pessoais, durante todo o ciclo de vida de tratamento de dados.
Cultura de Privacidade e Proteção de Dados
Ações para conscientizar todas as pessoas físicas relacionadas ao Banrisul, sejam colaboradores, clientes e terceiros, acerca do seu compromisso para com estes indivíduos no que se refere a devida proteção de seus dados e efetivação de seus direitos como titulares.
Finalidade e Adequação
O tratamento de dados deve se dar para um propósito legítimo e específico, informado à pessoa; outros usos dos mesmos dados para outros propósitos não são permitidos.
Necessidade
Deve-se realizar o tratamento mínimo necessário para a realização da finalidade, sem dados excessivos.
Qualidade, Livre Acesso e Transparência
As pessoas devem possuir informações claras, precisas e facilmente acessíveis sobre o tratamento dos seus dados, os quais devem estar corretos e atualizados.
Segurança e Prevenção
Devem ser adotadas medidas técnicas e administrativas para proteger os dados pessoais e prevenir a ocorrência de incidentes.
Não discriminação
O tratamento não pode ser realizado para fins discriminatórios, ilícitos ou abusivos.
Tratamento de Dados Pessoais no Banrisul
Todo e qualquer tratamento de dados pessoais no ou em favor do Banrisul deverá contar com uma finalidade legítima, específica e amparada em pelo menos uma das hipóteses legais previstas nos artigos 7º e 11º da LGPD, sendo que nenhum dado pessoal deverá ser tratado de forma diversa daquela informada ao titular.
Devem ser empreendidos esforços para que o titular seja adequadamente informado acerca do tratamento de seus dados pessoais. Em caso de compartilhamento de dados pessoais com terceiros (inclusive do mesmo grupo econômico), o Banrisul garantirá a disponibilização, quando solicitado pelos titulares de dados, de informações claras, concretas e ostensivas acerca do compartilhamento, incluindo qual a sua respectiva finalidade.
Tratamento de Dados de Criança e Adolescente
Os dados pessoais de crianças e adolescentes deverão ser tratados com segurança especial, sempre no seu melhor interesse. Nas operações de tratamento de dados de criança (menores de 12 anos, segundo o ECA – Estatuto da Criança e Adolescente), à exceção da hipótese em que o tratamento de dados da criança e/ou adolescente decorra de obrigação legal ou regulatória, será necessária obtenção do consentimento expresso de seu responsável, sendo indicada a finalidade que atenderá tal operação de tratamento.
Tratamento de Dados Pessoais por Terceiros
Previamente à pactuação de qualquer contratação com Terceiros que envolvam compartilhamento de dados pessoais, todos os envolvidos devem ser orientados a acessar as Diretrizes para Proteção de Dados Pessoais e a Política de Privacidade do BANRISUL, no site da instituição, e a cumprir as normas de proteção de dados aplicáveis, notadamente a Lei Federal 13.709 de 14 de agosto de 2018 (Lei Geral de Proteção de Dados - “LGPD”).
As regras e exigências para as contratações que envolvam compartilhamento de dados pessoais constarão nas cláusulas dos respectivos contratos, observadas as peculiaridades e natureza de cada relação contratual.
Nos casos em que for necessário o compartilhamento de dados pessoais com outras empresas, o Banrisul garantirá a disponibilização, quando solicitado pelos titulares, de informações claras e ostensivas acerca deste compartilhamento, incluindo qual a sua finalidade.
O não atendimento de qualquer das exigências deverá ser documentado e gerar a responsabilização do Terceiro, no contexto do respectivo contrato, exonerando-se o Banrisul de quaisquer ônus.
Medidas de Segurança e Boas Práticas
Seguindo as boas práticas e em conformidade com a legislação, o Banrisul adota medidas de segurança, técnicas e administrativas, visando proteger os dados pessoais contra acesso não autorizado, manipulação acidental ou intencional, perda e destruição.
Os dados pessoais tratados no Banrisul são transmitidos somente quando necessário e mediante conexões seguras. Os dados referentes as senhas armazenadas nas bases de dados do Banrisul são criptografados por algoritmos que garantem um alto nível de segurança.
A concessão de acessos aos dados pessoais coletados e mantidos pelo Banrisul é restrita aos colaboradores autorizados e que necessitarem realizar o tratamento desses dados para o desempenho de suas funções na empresa, observados os princípios de finalidade e adequação.
O prazo de armazenamento e manutenção dos dados pessoais coletados dependem do propósito e da natureza do tratamento realizado. Manteremos os dados pessoais coletados pelo período necessário para o cumprimento de obrigações legais e/ou regulatórias e contratuais, para continuar a fornecer e aprimorar nossos produtos e serviços, para o gerenciamento de riscos, para o exercício regular de direito em processos administrativos e judiciais e para as demais finalidades previstas neste documento.
Direitos dos Titulares de Dados Pessoais
Sujeito às exceções legais, qualquer cliente, funcionário, representante ou prestador de serviço poderá, mediante solicitação formal e nos canais específicos, obter as informações sobre seus próprios dados pessoais. Ainda, é assegurado o direito de revogar o consentimento previamente fornecido para tratamento de dados, respeitados às exceções previstas em lei.
No Banrisul, o Encarregado – também conhecido como “Data Protection Officer” (DPO) atuará como canal de comunicação entre o controlador (Banrisul), os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Caberá ao Encarregado, no exercício de suas funções:
As Diretrizes para Proteção de Dados Pessoais serão revisadas com periodicidade mínima anual para atualização e alinhamento com a legislações e regulamentações vigentes e em consonância com as boas práticas de mercado e ou mediante recomendações da Alta Administração.
GLOSSÁRIO
São relevantes para compreensão deste documento os seguintes conceitos: