TERMOS GERAIS DE USO E DECLARAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS DOS SÍTIOS CORPORATIVOS E DE COMÉRCIO ELETRÔNICO DO SERPRO

TERMOS GERAIS DE USO E DECLARAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS DOS SÍTIOS CORPORATIVOS E DE COMÉRCIO ELETRÔNICO DO SERPRO

Vinculada à Política Serpro de Privacidade e Proteção de Dados – PPPD, nos termos do disposto em seu item 7.0 do Extrato da PPPD.

1.0 FINALIDADE

O Serviço Federal de Processamento de Dados – SERPRO, empresa pública vinculada ao Ministério da Economia, considerando:

I. os fundamentos da Lei no 13.709, de 14 de agosto de 2018, que dispõe sobre a proteção de dados pessoais, a saber:

a) o respeito à privacidade;

b) a autodeterminação informativa;

c) a liberdade de expressão, de informação, de comunicação e de opinião;

d) a inviolabilidade da intimidade, da honra e da imagem;

e) o desenvolvimento econômico e tecnológico e a inovação;

f) a livre iniciativa, a livre concorrência e a defesa do consumidor; e

g) os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

II. o inteiro teor da Lei no 13.303, de 30 de junho de 2016, denominada Lei das Estatais;

III. o inteiro teor da Lei no 12.527, de 18 de novembro de 2011, denominada Lei de Acesso à Informação (LAI);

IV. o inteiro teor da Lei no 12.965, de 23 de abril de 2014, denominada Marco Civil da Internet;

V. o inteiro teor do Programa de Segurança do Serpro (PSS) e da Política Corporativa de Segurança da Informação (PCSI);

VI. o inteiro teor de sua Política Serpro de Privacidade e Proteção de Dados (PPPD);

VII. o inteiro teor da norma NBR ISO/IEC 27.701.

Compromete-se, tornando pública e acessível a seus clientes, usuários, demais partes interessadas e público em geral a presente declaração, que passa a vigorar nos termos a seguir.

2.0 DEFINIÇÕES

Para os fins desta Declaração, entende-se por:

a) categorização da informação: forma de organização do tratamento da informação dentro do Serpro, correspondente à chamada “classificação da informação”, em outras empresas, de modo a garantir unidade e coerência no tratamento de dados e informações;

b) cliente: pessoa natural ou jurídica que mantenha relação comercial com o Serpro, por meio de contrato de prestação de serviços;

c) confidencialidade: garantia de que a informação é acessível somente por pessoas autorizadas;

d) continuidade de negócios: conjunto de processos de negócio configurados para que a organização continue a entrega de produtos ou serviços em um nível aceitável previamente definido após incidentes de interrupção;

e) dado pessoal: informação relacionada a pessoa natural, sela ela identificada ou identificável;

f) integridade: garantia da exatidão e completeza da informação e dos métodos de seu processamento;

g) parceiro: pessoa jurídica com a qual o Serpro mantenha relação de cooperação e suporte recíproco, por meio de convênios, termos de cooperação ou similares;

h) segurança da informação: conjunto de práticas e métodos voltados para a preservação da confidencialidade, integridade e disponibilidade da informação tratada no âmbito da organização;

i) Titular: a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

j) tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, cruzamento, reprodução, transmissão, distribuição, processamento, arquivamento,

armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; e

k) usuário: pessoa natural ou jurídica que acesse os serviços do Serpro independentemente de ser titular de dados cadastrados em seus sistemas e serviços, mas que, para esse acesso forneça dados pessoais de qualquer natureza, com consentimento de uso explícito.

3.0 PRIVACIDADE

O Serpro atua em consonância com sua missão institucional, respeitando o direito à privacidade e visando o melhor uso da tecnologia da informação para a satisfação de seus clientes e da sociedade, e a sustentabilidade e autonomia empresarial, garantindo a estabilidade e a continuidade de seus serviços.

Considera-se privacidade, para os fins desta Declaração, o atributo de certeza por parte do cliente, do usuário e das demais partes interessadas em relação:

a) à forma como os serviços, os sistemas, os processos e as pessoas do quadro de profissionais do Serpro atuam e se comportam em relação a esses agentes; e

b) à razoável expectativa de discrição e de preservação de seus interesses e informações de qualquer natureza.

3.1 Exceções

Exclui-se da restrição que a privacidade impõe, e nos limites da excepcionalidade que o justifique, a informação:

a) que corresponda às hipóteses do Art. 4º da Lei 13.709/2018;

b) pública por determinação legal;

c) objeto de decisão judicial transitada em julgado, pela divulgação ou exibição da informação ou dado;

d) ostensiva com dever de transparência ativa;

e) ostensiva com dever de transparência passiva;

f) já dada, por ato do titular, ao conhecimento público;

g) xxxxxx e gerida no âmbito da relação de trabalho entre a empresa e seus colaboradores, fundamental ao exercício do poder diretivo, no âmbito estrito dessa finalidade; e

h) dados necessários à legítima atuação do Serpro em atendimento à sua missão institucional e no limite da finalidade adequada à base legal aplicável.

3.2 Categorização da informação

O Serpro mantém modelo sistematizado de categorização da informação, em conformidade com a Lei de Acesso à Informação (LAI) e com a Lei Geral de Proteção de Dados (LGPD), e zela, nos termos do art. 8º da Lei nº 5.615, de 13 de outubro de 1970, pelo sigilo das informações e dos dados que trata, sejam pessoais ou não, além de se manter alinhado com as boas práticas de segurança e trato tecnológico, e com as práticas mais avançadas de governança, empregando modelos NBR ISO, COBIT/ISACA, ITIL e afins em suas atividades.

3.3 Dados Sensíveis

O Serpro compreende que o tratamento de dados sensíveis é submetido à maior rigor legal e à supervisão mais severa, pela Autoridade Nacional de Proteção de Dados e, nesse sentido, trata dados sensíveis exclusivamente sob o pálio de uma das hipóteses legais do Art. 11 da LGPD, preferencialmente mediante consentimento informado e categórico.

3.4 Dados de Crianças

Da mesma forma, no tocante aos dados de crianças e adolescentes, o Serpro, alinhado com os termos do item 5.4 de sua PPPD, tratará qualquer processamento segundo os seguintes mandamentos:

3.4.1 – No tocante a tratamento de dados com base em consentimento – o Serpro só tratará dados de crianças (até 12 anos incompletos) mediante consentimento dos pais ou do responsável, nos termos da Lei;

3.4.2 – No tocante a tratamento de dados de menores até 16 anos incompletos e no caso de tratamentos fundados em outras bases legais, o Serpro operará em conformidade com o que dispuser o Estatuto da Criança e do Adolescente e demais normas aplicáveis à espécie.

4.0 PRINCÍPIOS DA PROTEÇÃO DE DADOS PESSOAIS

A proteção de dados pessoais observa os princípios a seguir, no tocante à sua aplicação, gerenciamento e forma de interpretação.

4.1 Princípio da protetividade dos dados pessoais

O tratamento de dados pessoais no âmbito do Serpro é feito com atenção aos direitos dos titulares de dados pessoais e aos requisitos contratuais e legais.

4.2 Princípio da atualidade

A presente Declaração é dinâmica e condizente com o estado da arte em tecnologia e deve ser lida e interpretada em sua versão última, publicada na página xxx.xxxxxx.xxx.xx.

4.3 Princípio da integridade

Os serviços prestados pelo Serpro são focados na finalidade pública e no cumprimento de sua missão institucional, nos termos da lei, e em hipótese alguma devem convergir com interesses particulares, especialmente aqueles que ofereçam ou possam oferecer prejuízo à Administração Pública Federal ou aos serviços da empresa.

4.4 Princípio da universalidade

O Serpro atua em prol de seus clientes e não oferece, em relação a estes, qualquer grau de prioridade ou preterição em face uns dos outros, atuando com neutralidade de tratamento, em relação a níveis de serviço garantidos, salvo nas hipóteses em que, por opção contratual, haja essa diferenciação de forma explícita e pré-definida.

4.5 Proteção legal de dados dos clientes institucionais

Os dados e elementos manipulados relativos a serviços prestados a clientes do Serpro, sejam pessoais ou corporativos, são tratados com o devido sigilo, nos termos do art. 8º da Lei no 5.615, de 13 de outubro de 1970.

4.6 Princípio da finalidade

As práticas de tratamento de dados pessoais no âmbito da empresa condizem com sua natureza, seu escopo e sua missão institucional, mas, sobretudo, são realizadas em alinhamento com a finalidade legal, contratual e com a finalidade informada ao Titular, nos casos de aplicação da base legal “consentimento”.

4.7 Princípio da adequação

O tratamento dado pelo Serpro aos dados pessoais e os propósitos observados são rigorosamente vinculados à finalidade informada ao Titular ou prevista em contrato, convênio, lei, regulamento ou política pública e condizente com a base legal que o autoriza.

4.8 Princípio da necessidade

Os serviços, aplicações e regras de negócio, desde sua concepção, observam rigor minimalista, pautado pela coleta de apenas dados estritamente necessários à realização dos propósitos e do tratamento em si.

4.9 Princípio do Livre Acesso

Em conformidade com as regras e direitos prescritos nos Arts. 9º e 18º da LGPD, ao Titular é garantido livre acesso aos próprios dados pessoais, mediante adequada identificação pessoal, para que não haja prejuízo ao princípio da segurança.

4.10 Princípio da Qualidade

A acurácia, correção, atualização e integridade dos dados é preocupação objeto de revisão contínua e de práticas de aperfeiçoamento e checagem no âmbito do Serpro, sem prejuízo do acesso franqueado ao Titular para que possa intervir sempre que haja falhas de qualidade no tratamento.

4.11 Princípio da Transparência

Não apenas as publicações antecipadas, mas também os direitos de acesso são franqueados ao Titular e aos órgãos de controle, de modo a garantir clareza a respeito das práticas e das políticas aplicadas aos nossos serviços. A presente Declaração está ligada também à Política Serpro de Privacidade e Proteção de Dados (PPPD).

4.12 Princípio da Segurança

O Serpro não apenas mantém uma das maiores e mais preparadas equipes de segurança da informação e de segurança física em atividade e atualização constantes, como atua na constante atualização e integração de normas e políticas, revisão de procedimentos e harmonização do nível de gestão em segurança da informação e do nível de Gestão de Privacidade com o nível de Governança Corporativa.

4.13 Princípio da Prevenção

A atuação do Serpro é pautada pela compreensão de que sua estrutura, seus processos e suas pessoas devem estar preparados para se antecipar a problemas, com adequada gestão de riscos, inovação, respeito pela experiência do usuário e respeito pela qualidade de suas entregas.

4.14 Princípio da Não-discriminação

Em hipótese alguma as decisões, configurações, o planejamento e a gestão das atividades do Serpro no tratamento de dados pessoais podem implicar qualquer tipo de direcionamento ou viés discriminatório ou atentatório aos direitos e liberdades individuais, garantida a efetiva dignidade no tratamento à pessoa natural, à igualdade de oportunidades, à neutralidade da configuração dos ativos geridos e das decisões corporativas e comerciais.

4.15 Princípio da Responsabilização

No tratamento de dados pessoais e da privacidade do indivíduo o Serpro entende que a responsabilidade proativa deve pautar a conduta de seus colaboradores e as decisões de seu nível de governança, por meio de adequados processos e pelo cumprimento de adequado planejamento alinhado com sua PPPD.

5.0 CONFORMIDADE E GOVERNANÇA

5.1 Conformidade legal

O Serpro se declara

I – Em conformidade com a Lei no 13.709, de 14 de agosto de 2018, e comprometido com a manutenção dessa conformidade pela execução de ações de melhoria contínua e aperfeiçoamento;

II – Aderente aos princípios supracitados e comprometido com a manutenção dessa aderência pela execução de ações de melhoria contínua e aperfeiçoamento.

5.2 Governança de riscos, conformidade e segurança da informação

O Serpro, em conformidade com a sua Lei de Regência, com a Lei de Acesso à Informação (LAI) e com as normas complementares expedidas pelo Departamento de Segurança da Informação e Comunicações (DSIC/PR), mantém adequado Programa de Segurança e Política Corporativa de Segurança da Informação, além da Política Corporativa de Continuidade do Negócio, da Política Corporativa de Gestão de Riscos, Controle Interno e Conformidade, e de todo um substrato normativo interno relacionado à segurança da informação e às boas práticas de governança corporativa, além da PPPD.

O Serpro dispõe de instâncias de governança e gestão de Segurança da Informação, atuando em conformidade com os frameworks contemporâneos de melhores práticas, tais como os modelos NBR ISO, COBIT/ISACA, ITIL e afins.

5.3 Governança de TI, Encarregado e Contatos

O Serpro, nos termos da Lei no 13.303/2016 (Lei das Estatais), mantém instância de Governança de Tecnologia da Informação, responsável pela elaboração e condução do Plano Estratégico de TI (PETI) e pelo Plano Diretor de TI (PDTI).

Igualmente, em matéria de Governança de TI e em Governança de Privacidade, o Serpro se declara em conformidade com os frameworks contemporâneos de melhores práticas, tais como os modelos NBR ISO, COBIT/ISACA, ITIL e afins.

A governança de privacidade e proteção de dados é a instância interna de apoio à governança corporativa, no tema “Privacidade e Proteção de Dados”, sob a coordenação do Encarregado de privacidade e proteção de dados pessoais.

6.0 TERMO DE USO DOS SERVIÇOS

O Serpro poderá publicar regras específicas para cada serviço, subordinadas aos princípios gerais desta Declaração e da PPPD, sem prejuízo das disposições constantes dos contratos celebrados.

Na ausência de regras específicas para um dado serviço ou em caso de conflito entre essas regras específicas, os contratos, a presente Declaração e a PPPD, prevalecerão os termos desta última.

6.1 Responsabilidade

O Serpro não se responsabiliza por práticas maliciosas ou pelo mau uso pessoal de conteúdo de outros sítios, tampouco pela exploração maliciosa de falhas na segurança de dados ou ilegalidades cometidas por terceiros.

Assim, o Serpro se compromete a oferecer o melhor em termos de segurança aos serviços que cada cidadão acessa, adquirindo ativos modernos e efetivos, aplicando metodologias notoriamente identificadas como melhores práticas e adotando providências disponíveis no estado da arte em prol da segurança da informação.

6.2 Coleta de informações

Para diversos serviços, o Serpro coleta dados indispensáveis ao funcionamento das aplicações, como nome e CPF (ou Razão Social e CNPJ, no caso de Pessoas Jurídicas), endereço, e-mail, telefones para contato, entre outros. O titular pode optar por não conceder alguma dessas informações. Nessa situação, a aplicação avisará sobre as consequências da não-autorização, tanto em termos de limitações de serviço, como de negação de acesso à aplicação, informando expressamente os motivos.

O Serpro pode, ainda, coletar e armazenar informações sobre a navegação do titular, como endereço IP, páginas acessadas, tempo de permanência e características de dispositivos móveis. Informações de outras fontes, cadastros de parceiros ou de outros órgãos da União também podem ser somados à nossa base de dados.

6.3 Cookies

Cookies são pequenos arquivos que podem ser salvos no dispositivo (computador, tablet ou telefone) do usuário, quando visita um sítio na internet. O Serpro pode se utilizar de cookies quando envia pequenos pacotes de dados para o navegador do usuário, que ficam armazenados em seu dispositivo. Essa tecnologia nos ajuda a entender melhor o comportamento dos usuários, inclusive para fins de segurança e privacidade, e nos informam as seções mais visitadas nos nossos sítios, contribuindo para uma experiência cada vez melhor na utilização dos nossos serviços.

Nós utilizamos cookies de sessão, temporários, que se excluem quando o usuário sai do nosso sítio ou cookies persistentes, que não se excluem, até que o usuário os apague ou seu navegador o faça, dependendo da data de expiração do cookie. Os cookies persistentes têm uma data de expiração gravada em seu código, mas sua duração pode variar.

A maior parte dos navegadores são predefinidos para aceitar cookies de forma automática. Nas configurações, é possível alterar essa regra, porém, com os cookies desativados algumas funcionalidades do sítio podem não funcionar da forma mais adequada.

Ao clicar em “Estou ciente”, no aviso sobre uso de cookies, o usuário concorda com a nossa utilização dos cookies. Para entender mais sobre os cookies que utilizamos, recomendamos ler a tabela a seguir.

Níveis de coleta	Como são utilizados	Benefícios
Cookies estritamente necessários	Esses cookies são necessários para o funcionamento do sítio e não podem ser desligados. São definidos quando o usuário solicita um serviço. Não armazenam nenhuma informação pessoal identificável.	Permitir configuração de cookies e autenticação de usuários.
Cookies de desempenho	Esses cookies nos permitem contar visitas e fontes de tráfego, para que possamos medir e melhorar o desempenho do nosso sítio. Todas as informações que esses cookies coletam são agregadas e, portanto, anônimas. Se esses cookies não forem permitidos, não saberemos que o usuário visitou nosso sítio.	Ajudam a fornecer uma boa experiência de navegação, uma vez que nos permitem saber as páginas mais e menos populares e como os visitantes se movem no sítio.
Cookies funcionais	Esses cookies permitem que o sítio forneça funcionalidade e personalização aprimoradas. Podem ser definidos por nós ou por terceiros, cujos serviços adicionamos às nossas páginas. Se esses cookies não forem permitidos, alguns ou todos esses serviços podem não funcionar corretamente.	Ajudam a fornecer uma boa experiência de navegação.
Cookies de publicidade	Esses cookies podem ser definidos em nosso sítio por nossos parceiros de publicidade. Eles não armazenam informações pessoais diretamente, mas se baseiam na identificação exclusiva do navegador e dispositivo de internet do usuário. Se esses cookies não forem permitidos, a publicidade será menos relevante nos sítios de terceiros.	Construir um perfil de interesses dos usuários e mostrar anúncios relevantes em outros sítios.

A opção pela não utilização de cookies, à exceção dos cookies de sessão, por enquanto não é presumida em favor do usuário. Somente após exercitar a opção de exclusão (opt out), o usuário terá a opção de bloquear cookies. A partir do mês de maio de 2021, quando tivermos concluído o ajuste pró-privacidade, o usuário poderá configurar previamente o seu aceite para os diferentes tipos de cookies (modo opt in).

6.5 Uso das informações

As informações coletadas durante a navegação permitem a oferta customizada de nossos serviços, o estudo de preferências e, consequentemente, uma experiência de navegação mais próxima dos interesses de cada usuário.

O Serpro pode, ainda, usar essas informações para fins de comunicação com os usuários e clientes. Dessa forma, poderão ser enviados avisos e informações de serviços desenvolvidos pelo Serpro, podendo estes serem inibidos pelo usuário.

As informações também poderão ser usadas em auditorias, análises estatísticas, ciência de dados, desenvolvimento e melhoria de serviços prestados pela empresa.

Na hipótese de habilitação dos cookies de terceiros, o usuário deve se informar com esses terceiros sobre a finalidade da coleta e tratamento.

6.6 Compartilhamento de informações com terceiros

O Serpro não repassará a terceiros, parceiros ou em qualquer negociação comercial, as informações coletadas. Toda e qualquer informação a respeito dos clientes e usuários do Serpro somente serão repassadas mediante aprovação expressa destes ou por ordem judicial.

7.0 ENCARREGADO

Para exercer os direitos do titular de dados pessoais, faça um pedido de informação na plataforma PDC (Privacidade Digital do Cidadão). Esse canal poderá ser acessado no endereço eletrônico xxxxx://xxx.xxxxxx.xxx.xx, opção Privacidade e Proteção de Dados.

Demais informações devem ser encaminhadas para o endereço eletrônico xxxxxxxxxxx@xxxxxx.xxx.xx.