Contextualização
O Banrisul – diretamente ou através de seus representantes, colaboradores ou fornecedores – realiza inúmeras operações de Tratamento de Dados Pessoais. Com a entrada em vigor da Lei Geral de Proteção de Dados (Lei 13.709/18, ou simplesmente “LGPD”), faz-se necessário assegurar que essas operações estejam alinhadas com as exigências legais e com as melhores práticas em proteção de Dados Pessoais.
A promulgação da Emenda Constitucional nº 115, em fevereiro de 2022, trouxe o reconhecimento da importância da proteção dos dados pessoais no Brasil, incluindo este tema no catálogo de direitos e garantias fundamentais de nossa Constituição Federal.
Assim, com o objetivo de sinalizar o compromisso institucional com os direitos fundamentais à privacidade e à proteção de Dados Pessoais, o Banrisul apresenta a seguir as Diretrizes para Proteção de Dados Pessoais.
Objetivo
As Diretrizes para Proteção de Dados Pessoais do Banrisul estabelecem princípios, regras, atribuições e responsabilidades para garantir a adequação do Banrisul à LGPD.
O Banrisul declara, através dessas Diretrizes, o seu compromisso com a manutenção do equilíbrio entre seus interesses econômicos e a proteção de Dados dos Titulares de Dados Pessoais - sejam clientes, parceiros comerciais ou colaboradores.
Abrangência e Público Alvo
As Diretrizes aplicam-se:
Princípios a serem observados
Responsabilização e Prestação de Contas: Os Agentes de Tratamento (Controlador e Operador) devem demonstrar a adoção de medidas e procedimentos para a proteção dos Dados Pessoais, durante todo o ciclo de vida de Tratamento de Dados.
Cultura de Privacidade e Proteção de Dados: Devem ser criadas ações para conscientizar todos aqueles relacionados ao Banrisul, sejam colaboradores, clientes e/ou terceiros, acerca do compromisso do Banco para com estes indivíduos no que se refere a devida proteção de seus Dados Pessoais e efetivação de seus direitos como Titulares de Dados.
Finalidade e Adequação: O Tratamento de Dados Pessoais deve ocorrer para um propósito legítimo e específico, em consonância com as finalidades informadas ao Titular, de acordo com o contexto do Tratamento.
Necessidade: Deve-se realizar o Tratamento mínimo necessário para a realização da finalidade, sem utilização de Dados excessivos.
Qualidade, Livre Acesso e Transparência: Os Titulares de Dados devem receber informações claras, precisas e facilmente acessíveis sobre o Tratamento dos seus Dados Pessoais, os quais devem estar corretos e atualizados.
Segurança e Prevenção: Devem ser adotadas medidas técnicas e administrativas para proteger os Dados Pessoais e prevenir a ocorrência de incidentes.
Não discriminação: O Tratamento não pode ser realizado para fins discriminatórios ilícitos ou abusivos.
Tratamento de Dados Pessoais no Banrisul
Todo e qualquer Tratamento de Dados Pessoais no ou em favor do Banrisul deverá contar com uma finalidade legítima, específica e amparada em pelo menos uma das hipóteses legais previstas nos artigos 7º ou 11 da LGPD, sendo que nenhum Dado Pessoal deverá ser tratado de forma diversa daquela informada ao Titular de Dados Pessoais.
Devem ser empreendidos esforços para que o Titular de Dados seja adequadamente informado acerca do Tratamento de seus Dados Pessoais. Em caso de compartilhamento de Dados Pessoais com terceiros (inclusive do mesmo grupo econômico), o Banrisul garantirá a disponibilização, quando solicitado pelos Titulares de Dados, de informações claras, concretas e ostensivas acerca do compartilhamento, incluindo qual a sua respectiva finalidade.
O Banrisul disponibiliza, na sua Política de Privacidade, as informações necessárias para que o titular tenha conhecimento dos Tratamentos realizados, bem como dos canais disponíveis para que possa exercer os direitos previstos na LGPD.
Tratamento de Dados de Criança e Adolescente
Os Dados Pessoais de crianças e adolescentes deverão ser tratados com máxima cautela, sempre no seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei.
Conforme o entendimento da Autoridade Nacional de Proteção de Dados (“ANPD”) no Brasil, o Tratamento de Dados Pessoais de crianças e adolescentes pode se basear em qualquer uma das hipóteses dos artigos 7º e 11 da LGPD, desde que prevalecente o seu melhor interesse, inclusive nas hipóteses em que aplicável o consentimento dos pais ou responsável legal. Quando os dados de crianças e adolescentes forem tratados mediante a coleta do consentimento do responsável, este deve ser expresso, específico e destacado, sendo indicada a finalidade que será atendida pelo Tratamento.
Tratamento de Dados Pessoais por Terceiros
Previamente à pactuação de qualquer relacionamento/contratação com Terceiros que envolvam o Tratamento de Dados Pessoais, todos os envolvidos devem ser orientados a acessar as Diretrizes para Proteção de Dados Pessoais e a Política de Privacidade do BANRISUL, no site da instituição, e a cumprir as normas de proteção de Dados aplicáveis, notadamente a LGPD.
As regras e exigências para as contratações e/ou relacionamentos que envolvam compartilhamento de Dados Pessoais constarão nas cláusulas dos respectivos contratos, aditivos e/ou termos de declaração, observadas as peculiaridades e natureza de cada relação negocial e, sempre que possível, serão utilizadas medidas de pseudonimização ou demais técnicas que garantam o sigilo dos Dados.
Nos casos em que for necessário o compartilhamento de Dados Pessoais com outras entidades, o Banrisul garantirá a disponibilização, quando solicitado pelos Titulares de Dados, de informações claras e ostensivas acerca deste compartilhamento, incluindo qual a sua finalidade.
O não atendimento de qualquer das exigências deverá ser documentado e poderá gerar a responsabilização do Terceiro, no contexto do respectivo contrato/relacionamento, exonerando-se o Banrisul de quaisquer ônus.
Medidas de Segurança e Boas Práticas
Seguindo as boas práticas e em conformidade com a legislação, o Banrisul adota medidas de segurança, técnicas e administrativas, visando proteger os Dados Pessoais contra acesso não autorizado, manipulação acidental ou intencional, perda e destruição.
Os Dados Pessoais tratados no Banrisul são transmitidos somente quando necessário e mediante conexões seguras. Os Dados referentes às senhas armazenadas nas bases de Dados do Banrisul são criptografados por algoritmos que garantem um alto nível de segurança.
A concessão de acessos aos Dados Pessoais tratados pelo Banrisul é restrita aos colaboradores autorizados e que necessitarem realizar o Tratamento desses Dados para o desempenho de suas funções na empresa, observados os princípios de finalidade, adequação, necessidade e transparência.
O prazo de armazenamento dos Dados Pessoais coletados depende do propósito e da natureza do Tratamento realizado. Manteremos os Dados Pessoais coletados pelo período necessário para o cumprimento de obrigações legais e/ou regulatórias e contratuais, para continuar a fornecer e aprimorar nossos produtos e serviços, para o gerenciamento de riscos, para o exercício regular de direito em processos administrativos e judiciais e para as demais finalidades previstas neste documento.
Incidente de Segurança
Com base na regulamentação vigente e boas práticas de mercado, as Diretrizes para Prevenção e Resposta a Incidentes com Dados Pessoais do Banrisul estabelece procedimentos específicos de controle voltados à prevenção e ao tratamento dos incidentes, incluindo os processos que visam prevenir incidentes que possam acarretar risco ou dano relevante aos titulares de dados pessoais.
Direitos dos Titulares de Dados Pessoais
O Titular de Dados Pessoais, mediante solicitação formal e nos canais específicos, poderá obter as informações sobre seus próprios Dados Pessoais.
No Banrisul, o Encarregado – também conhecido como “Data Protection Officer” (DPO) - atuará como canal de comunicação entre o Controlador (Banrisul), os Titulares dos Dados e a ANPD).
Transferência Internacional de Dados
Em caso excepcional de necessidade de transferência de dados pessoais para jurisdições estrangeiras, o Banrisul assegura que tais transações sejam feitas tão somente quando houver garantias adequadas de proteção, com cláusulas contratuais padrão e certificações de privacidade.
Atualização
As Diretrizes para Proteção de Dados Pessoais serão revisadas com periodicidade mínima anual para atualização e alinhamento com a legislações e regulamentações vigentes e em consonância com as boas práticas de mercado e/ou mediante recomendações da Alta Administração.
GLOSSÁRIO
Agentes de Tratamento: o Controlador e o Operador, que realizam Tratamento de Dados Pessoais.
Autoridade Nacional de Proteção de Dados: órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.
Consentimento: manifestação livre, informada e inequívoca pela qual o Titular de Dados concorda com o Tratamento de seus Dados Pessoais para uma finalidade determinada.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados Pessoais.
Dado Anonimizado: Dado relativo a Titular de Dados que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu Tratamento.
Dado Pseudonimizado: técnica de proteção de Dados Pessoais, por meio do qual são adicionadas camadas que somente o controlador é capaz de identificar o indivíduo, por deter informação adicional sobre um sujeito determinado ou determinável.
Dado Pessoal: qualquer informação relacionada a uma pessoa natural identificada ou identificável.
Dado Pessoal Sensível: podem revelar aspectos da intimidade do indivíduo – dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Encarregado ou DPO (Data Protection Officer): como menciona a General Data Protection Regulation (GDPR) da União Europeia, é uma pessoa natural ou jurídica voltada ao cumprimento das normas e melhores práticas de proteção de Dados e respeito à privacidade nas empresas. No Brasil, a Lei nº 13.709/18 – Lei Geral de Proteção de Dados Pessoais adotou a denominação “Encarregado”. Indicado pelo Banrisul que atuará como canal de comunicação entre o controlador (Banrisul), os Titulares de Dados e a Autoridade Nacional de Proteção de Dados (ANPD), além das demais atividades relacionadas no parágrafo 2º do artigo 41 da LGPD.
Incidente de segurança: Acontecimento indesejado ou inesperado, que seja hábil a comprometer a segurança dos Dados Pessoais, de modo a expô-los a acessos não autorizados e a situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador.
Privacy by design e Privacy by default: Privacidade por definição e Privacidade por padrão - são metodologias nas quais a proteção de Dados Pessoais é pensada desde a concepção de sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de Dados Pessoais.
Relatório de Impacto à Proteção de Dados: documentação do Controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Titular de Dados: pessoa natural a quem se referem os Dados Pessoais que são objeto de Tratamento.
Tratamento: toda operação realizada com Dados como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Atualizado em: outubro de 2023.