TÍTULO: AVALIAÇÃO DE INTEGRIDADE DE CLIENTES DO SERPRO
TÍTULO: AVALIAÇÃO DE INTEGRIDADE DE CLIENTES DO SERPRO
integridade, contratos, avaliação de integridade, due diligence, diligência prévia,
PALAVRAS – CHAVE: riscos à integridade, checagem de antecedentes, background check, segurança da informação, proteção e privacidade de dados
ANEXO:
1 – Declaração de Integridade para Clientes da Administração Pública (DICAP) 2 – Formulário de Diligência de Integridade de Clientes (DIC)
12.10.03 – Realizar Due Diligence de Integridade; 12.10.03.03 – Executar Due
PROCESSO:
Diligence de Integridade de Clientes.
1.0 FINALIDADE
1.1 Estabelecer critérios e procedimentos para a avaliação de integridade de clientes, de forma a identificar e mitigar possíveis riscos à integridade a que o Serpro possa ser exposto no relacionamento comercial com estes e que venham a lhe causar danos à imagem ou à reputação.
1.2 Essa avaliação de integridade também é conhecida como due diligence de integridade ou diligência prévia de integridade e sua aplicação encontra respaldo na Lei Anticorrupção, regulamentada pelo Decreto n.º 11.129, de 11 de julho de 2022, na Lei das Estatais, regulamentada pelo Decreto n.º 8.945, de 27 de dezembro de 2016, e suas alterações, na Política de Integridade e Anticorrupção do Serpro e no Programa Corporativo de Integridade do Serpro (PCINT).
2.0 ÂMBITO DE APLICAÇÃO
Aplica-se a todas as áreas da Empresa afetas ao tema e à pessoa jurídica, pública ou privada, nacional ou estrangeira, que transaciona com o Serpro.
3.0 DEFINIÇÕES
Para efeito desta Norma, entende-se por:
a) administradores: membros do Conselho de Administração e da Diretoria Executiva;
b) agente público: todo aquele que exerce, ainda que transitoriamente ou sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função pública;
c) apontamentos: situações que possam configurar potenciais riscos à Integridade, como divergências cadastrais declaradas ou identificadas, processos judiciais em curso, mídia negativa, dentre outros;
d) aspectos de integridade: ações ou condutas caracterizadas pela honra e probidade, em aderência aos valores da empresa e ao seu Código de Ética, Conduta e Integridade, que não compactuam com qualquer desvio de comportamento que possa causar prejuízo ao Serpro e às partes interessadas, como cliente, fornecedor, parceiros de negócio, colaboradores, Governo e sociedade;
e) avaliação de integridade: procedimento realizado a partir da análise de informações coletadas por meio de questionário específico e de pesquisas diversas sobre o perfil da empresa e dos seus sócios e administradores, relacionamento com agentes públicos e terceiros, reputação, envolvimento em casos de fraude, corrupção e desvios éticos, assim como a adoção pela empresa de mecanismos e procedimentos de prevenção e combate à fraude e à corrupção, como programa de integridade, código de ética, dentre outros, de modo a determinar o Grau de Risco à Integridade (GRI) da contraparte, identificar e mitigar possíveis riscos à integridade a que o Serpro possa ser exposto e subsidiar a tomada de decisão das alçadas competentes;
f) cliente: pessoa física e jurídica, pública ou privada, nacional ou estrangeira, que mantenha ou pretenda manter relação comercial com o Serpro na condição de contratante;
g) checagem de antecedentes ou background check: procedimento integrante da diligência prévia de integridade que objetiva verificar os antecedentes de pessoas físicas e jurídicas que transacionam com o Serpro, de forma a evitar situações que possam configurar conflito de interesses e mitigar possíveis riscos à integridade;
h) corrupção: ação tentada ou consumada, direta ou indiretamente, que consiste em autorizar, oferecer, prometer, obter, dar, solicitar, aceitar, entregar ou receber vantagem indevida, para si ou para terceiros, de natureza econômica ou não, envolvendo agentes públicos ou não, com o objetivo de que se pratique, se mantenha, se retarde ou se deixe de praticar determinado ato;
i) desvios éticos: ato praticado em desacordo com os princípios e condutas estabelecidos no Código de Ética, Conduta e Integridade do Serpro;
j) Diligência Prévia de Integridade ou Due Diligence de Integridade (DDI): análise de integridade de pessoa física ou jurídica, pública ou privada, nacional ou estrangeira, que tenha ou pretenda estabelecer uma relação comercial ou negocial com o Serpro na condição de cliente, fornecedor, parceiro de negócio, conveniado, dentre outros, de forma a identificar e mitigar possíveis riscos à integridade a que o Serpro possa ser exposto na relação comercial e subsidiar a tomada de decisão das alçadas competentes;
k) formulário de Diligência de Integridade de Clientes (DIC): questionário a ser respondido pelo contratante para embasar a avaliação de integridade, além de eventual checagem de antecedentes que permita identificar e avaliar os riscos voltados às dimensões integridade, segurança da informação e privacidade e proteção de dados pessoais;
l) fraude: quaisquer atos ilegais caracterizados por desonestidade, dissimulação ou quebra de confiança;
m) Grau de Risco à Integridade (GRI): grau de risco à integridade atribuído a um terceiro que mantenha ou pretenda manter relação contratual com o Serpro na condição de cliente, fornecedor, parceiro de negócio, dentre outros;
n) integridade: alinhamento consistente e adesão a valores, princípios e normas éticas de forma a sustentar e priorizar o interesse público sobre os interesses privados, elevando, assim, os padrões de decência e probidade na gestão dos recursos públicos e subsidiando a tomada de decisão e o processo de prestação de contas;
o) quebra de Integridade: situação caracterizada quase sempre como um ato doloso, praticado por uma pessoa ou grupo de pessoas, e que envolve a afronta aos princípios da administração pública – legalidade, impessoalidade, moralidade, publicidade e eficiência – englobando atos como corrupção, fraude, abuso de poder, conflito de interesses, nepotismo, desvios éticos, dentre outros;
p) riscos à Integridade: ações, omissões ou vulnerabilidades que podem favorecer ou facilitar a ocorrência de práticas de corrupção, fraude, irregularidade e/ou desvio ético e de conduta, podendo comprometer a consecução dos objetivos organizacionais; e
q) transacionar: transigir, comercializar, negociar, firmar parcerias, assim como acordar, através de concessões recíprocas entre as partes, na terminação de litígio.
4.0 DETERMINAÇÕES
4.1 A avaliação de integridade de clientes será aplicada nas situações em que o Serpro figure como contratado e ocorrerá conforme disposto a seguir.
4.1.1 A avaliação de integridade será aplicada para a contratação de produtos e serviços que tratem de dados pessoais, inclusive dados pessoais sensíveis.
4.1.2 Os órgãos integrantes da Administração Pública Direta e Indireta e do Ministério Público preencherão uma Declaração de Integridade de Clientes da Administração Pública, conforme Anexo 1 desta Norma, não sendo atribuído, portanto, um Grau de Riscos à Integridade (GRI).
4.1.3 As empresas privadas e demais contratantes não enquadrados no item 4.1.2 deverão preencher o Anexo 2 - Formulário de Diligência de Integridade de Clientes (DIC).
4.1.3.1 O preenchimento do formulário DIC será solicitado ao cliente pelas áreas de Relacionamento com Clientes.
4.2 A avaliação de integridade de clientes será realizada antes da assinatura do contrato, documento similar ou instrumento congênere, devendo esta ser aplicada também nas seguintes situações:
a) a qualquer tempo, durante a vigência da relação contratual, no caso de denúncia ou mídia negativa envolvendo a contratante; e
b) a qualquer tempo, durante a vigência da relação contratual, quando constatada alteração relevante das informações prestadas ou declaradas pela contratante.
4.2.1 Excepcionalmente, no caso das vendas realizadas pelo e-commerce, a avaliação de integridade de clientes será realizada imediatamente após a assinatura do contrato, sob pena de rescisão contratual em caso de recusa pelo cliente, devendo ser observado o disposto a seguir:
a) para os produtos e serviços que tratam dados pessoais será obrigatório o preenchimento do formulário DIC pelo cliente; e
b) para os produtos e serviços que não tratam dados pessoais será dispensado o preenchimento do formulário DIC pelo cliente, devendo este declarar que conhece e se compromete a agir em conformidade com as diretrizes estabelecidas na Política de Integridade e Anticorrupção do Serpro, no Código de Ética, Conduta e Integridade do Serpro e no Programa Corporativo de Integridade do Serpro.
4.3 O formulário DIC coletará informações voltadas às dimensões especificadas a seguir:
a) Dimensão Integridade: ao perfil da empresa e dos sócios e administradores, relacionamento com agentes públicos e terceiros, histórico reputacional, práticas de prevenção e combate à fraude, à corrupção e aos desvios éticos;
b) Dimensão Segurança da Informação: à adoção de medidas efetivas para proteção dos dados contra acessos não autorizados e situações acidentais ou ilícitas, tais como destruição, perda, alteração, comunicação ou difusão de dados/informações, dentre outras; e
c) Dimensão Privacidade e Proteção de Dados Pessoais: à adoção de medidas que assegurem o cumprimento das determinações da Lei Geral de Proteção de Dados Pessoais (LGPD).
4.4 A partir das informações coletadas no formulário DIC será apurado, automaticamente, o Grau de Risco de cada uma das dimensões citadas, sendo classificado como baixo, médio ou alto.
4.4.1 O Grau de Risco à Integridade (GRI) será equivalente ao maior Grau de Risco das dimensões temáticas analisadas.
4.4.2 Nos casos de GRI baixo ou médio, a avaliação de integridade e a contratação serão liberadas automaticamente via sistema, o que não impede uma reavaliação pela área de Integridade Institucional em caso de intercorrências futuras, denúncia ou mídia negativa envolvendo a contratante.
4.4.3 Para as dimensões com Grau de Risco alto, a respectiva área temática ficará responsável por elaborar um parecer técnico, no prazo de 02 (dois) dias úteis do recebimento do formulário DIC, com indicação e análise do risco a que o Serpro poderá estar exposto.
4.4.4 A área de Integridade Institucional consolidará a análise de integridade que apurar GRI alto no prazo de até 03 (três) dias úteis contados da manifestação da área temática ou, na sua ausência, do recebimento do formulário DIC.
4.5 Durante a diligência prévia de integridade e a checagem de antecedentes poderão ser solicitadas informações complementares ou documentos adicionais necessários à conclusão da avaliação de integridade em curso.
4.6 O Grau de Risco à Integridade (GRI) apurado poderá ser reclassificado pela área de Integridade Institucional com base em informações adicionais obtidas durante a avaliação de integridade.
4.7 Nas situações em que entender necessário, a área de Integridade Institucional poderá submeter a avaliação de integridade para manifestação jurídica, ficando suspenso os prazos estabelecidos.
4.8 A avaliação de integridade com GRI alto e a recusa em assinar a Declaração de Integridade serão encaminhadas pela área de Integridade Institucional ao Diretor de Relacionamento com Clientes para conhecimento e análise quanto à conveniência e oportunidade de prosseguir com a transação.
4.9 A avaliação de integridade terá validade de 24 (vinte e quatro) meses contados da data de sua liberação.
4.9.1 Findo o prazo de validade estipulado acima, a área de Relacionamento com Clientes deverá solicitar o preenchimento de novo formulário DIC ou a apresentação de nova Declaração, conforme o caso, para a reavaliação de integridade.
4.10 As minutas contratuais, documentos similares ou instrumentos congêneres deverão conter cláusulas que:
a) informem sobre o tratamento de dados pessoais nos procedimentos de due diligence de integridade adotados pelo Serpro, nos termos da Lei Geral de Proteção de Dados Pessoais (LGPD);
b) versem sobre realização da avaliação de integridade e de sua reaplicação a cada 24 (vinte e quatro) meses ou quando solicitado; e
c) informem a obrigatoriedade de o contratante conhecer e agir em conformidade com as diretrizes estabelecidas na Política de Integridade e Anticorrupção do Serpro, no Código de Ética, Conduta e Integridade do Serpro e no Programa Corporativo de Integridade do Serpro.
4.11 Todas as informações e os documentos produzidos, assim como os dados pessoais coletados e tratados no âmbito do processo de due diligence de integridade serão utilizados, exclusivamente, para fins da avaliação de integridade realizada, observada a Lei Geral de Proteção de Dados Pessoais (LGPD).
4.12 Os documentos produzidos durante a due diligence de integridade serão mantidos pela área de Integridade Institucional no sistema de gestão documental da empresa ou, quando for o caso, em repositório institucional utilizado pela empresa, observados o prazo de guarda e a classificação arquivística estabelecida.
4.13 Somente o Jurídico, a Auditoria Interna, as áreas de Relacionamento com Clientes, de Privacidade e Proteção de Dados Pessoais, de Segurança da Informação e os membros da Diretoria Executiva, do Comitê de Auditoria e dos Conselhos de Administração e Fiscal terão acesso ao formulário de Diligência de Integridade de Clientes (DIC), ao Grau de Risco à Integridade (GRI) do cliente, ao Relatório de Avaliação de Integridade e demais documentos gerados durante o processo, visto que estes são considerados sigilosos.
4.13.1 O acesso às informações e aos documentos referenciados é restrito aos gestores das áreas referenciadas e à equipe técnica envolvida diretamente no processo.
4.13.2 O referido acesso poderá ser realizado durante o prazo de vigência dos contratos e instrumentos congêneres firmados e suas prorrogações ou, caso necessário, durante o prazo de guarda dos referidos documentos.
4.14 O acesso à Declaração de Integridade para Clientes da Administração Pública (DICAP) será restrito às áreas e aos profissionais especificados no item 4.13 e observadas as demais disposições desta Norma.
4.15 A restrição de acesso aos documentos referenciados não será oponível aos órgãos de controle e fiscalização externos, que terão total e irrestrito acesso ao conteúdo dos documentos referenciados.
5.0 DISPOSIÇÕES FINAIS
5.1 A avaliação de integridade de clientes será aplicada conforme cronograma a seguir:
a) Etapa 01 - Datavalid (vendas pelo consultivo e e-commerce): a partir de 28/09/2023; e
b) Etapa 02 - demais produtos e serviços que tratam dados pessoais e dados pessoais sensíveis (vendas pelo consultivo e e-commerce): implantação gradativa após finalização
da Etapa 01.
5.2 As áreas afetas ao tema devem adequar os seus processos aos procedimentos ora estabelecidos para a devida aplicação do processo de avaliação de integridade de clientes.
5.3 Os casos omissos e excepcionais serão analisados e tratados pela Superintendência de Controles, Riscos e Conformidade (SUPCR) e, se for o caso, reportados para decisão do Diretor Jurídico, de Gestão e Riscos (DIJUG).
5.4 Este documento substituirá a Norma GR 001 - Avaliação de Integridade de Clientes do Serpro, versão 02, de 28 de novembro de 2023.
Diretor Jurídico, de Gestão e Riscos
Superintendente de Controles, Riscos e Conformidade
ÓRGÃO/REDATOR: DIJUG/SUPCR/CRCOI/mfd
ANEXO
TÍTULO
NÚMERO
1
VERSÃO
3
DECLARAÇÃO DE INTEGRIDADE PARA CLIENTES DA ADMINISTRAÇÃO PÚBLICA
CÓDIGO DE CLASSIFICAÇÃO ARQUIVÍSTICA: 010.01 CLASSIFICAÇÃO DA INFORMAÇÃO: Ostensivo
DECLARAÇÃO DE INTEGRIDADE PARA CLIENTES DA ADMINISTRAÇÃO PÚBLICA1
O cliente <Razão Social/nome do órgão>, <CNPJ nº xxx>, neste ato, representado(a) legalmente por <nome do representante legal>, <cargo>, portador do CPF nº <xxxxxx>, DECLARA, sob as penas da lei, que:
a) conhece e cumpre os termos da legislação anticorrupção brasileira e, quando aplicável, da legislação anticorrupção internacional;
b) conhece a Política de Integridade e Anticorrupção do Serpro, o Código de Ética, Conduta e Integridade do Serpro e o Programa Corporativo de Integridade do Serpro, comprometendo-se a cumpri-los e a abster-se de qualquer atividade que constitua uma violação das disposições destes instrumentos, por si e por seus agentes públicos2;
c) se obriga a conduzir suas práticas comerciais, durante a relação comercial com o Serpro, de forma ética, transparente e em conformidade com os preceitos legais aplicáveis;
d) durante a relação comercial com o Serpro, nem o órgão nem qualquer de seus agentes públicos, devem dar, oferecer, pagar, prometer pagar, ou autorizar o pagamento, direta ou indiretamente, de qualquer dinheiro ou coisa de valor a qualquer autoridade governamental, consultores, representantes, parceiros ou terceiros, com a finalidade de influenciar qualquer ato ou decisão do agente ou do Governo, ou para assegurar qualquer vantagem indevida, ou direcionar negócios para qualquer pessoa, que violem a Política de Integridade e Anticorrupção do Serpro, o Código de Ética, Conduta e Integridade do Serpro e o Programa Corporativo de Integridade do Serpro;
e) concorda que o Serpro poderá realizar procedimento de diligência de integridade para se certificar da conformidade contínua com as declarações e garantias dadas neste ato, mediante notificação prévia, e que deve cooperar plenamente em qualquer diligência realizada nos termos desta Declaração;
f) segue todas as normas aplicáveis à privacidade e proteção de dados pessoais que venham a ser objeto da presente relação comercial, em especial a Lei Geral de Proteção de Dados Pessoais (LGPD);
g) tem ciência que qualquer atividade que viole a Política de Integridade e Anticorrupção do Serpro, o Código de Ética, Conduta e Integridade do Serpro e o Programa Corporativo de Integridade do Serpro, ou que contrarie as normas sobre Privacidade e Proteção de Dados Pessoais, é proibida e que conhece as punições aplicáveis por tal violação,
1 Deverá ser fornecida a documentação que comprove a condição de representante legal do signatário ou delegação de poderes específica, de acordo com o estatuto social ou contrato social da empresa.
2 Documentos disponíveis no endereço eletrônico: xxxxx://xxx.xxxxxxxxxxxxx.xxxxxx.xxx.xx/xxxxx-x- integridade/due-diligence-de-integridade.
ANEXO
TÍTULO
NÚMERO
1
VERSÃO
3
DECLARAÇÃO DE INTEGRIDADE PARA CLIENTES DA ADMINISTRAÇÃO PÚBLICA
CÓDIGO DE CLASSIFICAÇÃO ARQUIVÍSTICA: 010.01 CLASSIFICAÇÃO DA INFORMAÇÃO: Ostensivo
inclusive a possibilidade de rescisão motivada imediata do Contrato, independentemente de qualquer notificação, além das penalidades devidas; e
h) os dados pessoais fornecidos pelo serviço contratado serão utilizados única e exclusivamente para as seguintes finalidades:
_
Nada mais a declarar e ciente da responsabilidade administrativa, civil e penal pelas informações prestadas, firmo a presente declaração.
[local e data]
[Nome completo e assinatura]
ANEXO
TÍTULO
NÚMERO
2
VERSÃO
3
FORMULÁRIO DE DILIGÊNCIA DE INTEGRIDADE DE CLIENTES (DIC) – CLIENTES NACIONAIS
CÓDIGO DE CLASSIFICAÇÃO ARQUIVÍSTICA: 010.01 CLASSIFICAÇÃO DA INFORMAÇÃO: Ostensivo
1.0 OBJETIVO
DILIGÊNCIA DE INTEGRIDADE DE CLIENTES (DIC)
Esta Avaliação de Integridade de Clientes, também conhecida como Due Diligence de Integridade (DDI) de Clientes, tem por objetivo identificar e mitigar possíveis riscos à integridade a que o Serpro possa ser exposto no relacionamento comercial com seus clientes e que venham a lhe causar danos à imagem ou à reputação.
A aplicação desta avaliação de integridade encontra respaldo na Lei Anticorrupção, regulamentada pelo Decreto n.º 11.129, de 11 de julho de 2022, na Lei das Estatais, regulamentada pelo Decreto n.º 8.945, de 27 de dezembro de 2016, na Política de Integridade e Anticorrupção do Serpro e no Programa Corporativo de Integridade do Serpro (PCINT).
O formulário de Diligência de Integridade de Clientes (DIC) destina-se à coleta de informações para a realização de avaliação de integridade de clientes do Serpro com o objetivo de identificar e mitigar possíveis riscos à integridade a que a empresa possa ser exposta nesta relação comercial e que venham a lhe causar danos à imagem e à reputação.
A partir das informações prestadas no DIC será estabelecido o Grau de Risco à Integridade (GRI), que será classificado como baixo, médio e alto.
O Grau de Risco à Integridade (GRI) inicialmente apurado poderá ser reclassificado pelo Serpro com base em pesquisas diversas e informações adicionais obtidas durante a avaliação de integridade.
2.0 INSTRUÇÕES DE PREENCHIMENTO DO FORMULÁRIO DE DILIGÊNCIA DE INTEGRIDADE DE CLIENTES (DIC)
2.1 O DIC deverá ser respondido pelo representante legal da empresa ou por pessoa formalmente designada que deve declarar, sob as responsabilidades e penas da lei, que possui delegação específica de poderes para representar a Empresa participante do xxxxxxxx0.
2.2 Todas as informações da DIC deverão ser preenchidas e, quando for o caso, apresentados os documentos comprobatórios.
3.0 IDENTIFICAÇÃO DA EMPRESA
3.1 Razão Social:
3.2 Nome fantasia:
3.3 CNPJ:
3.4 Ramo de atividade:
3.5 Assinale o porte da Empresa:
(_) Microempreendedor Individual (MEI)
1 Deverá ser fornecida a documentação que comprove a condição de representante legal do signatário ou delegação de poderes específica, de acordo com o estatuto social ou contrato social da empresa.
(_) Microempresa (ME)
(_) Empresa de Pequeno Porte (EPP) (_) Empresa de Médio Porte
(_) Empresa de Grande Porte
3.6 Informar o endereço da sede, de suas filiais e escritórios de representação em território nacional e no exterior:
_
_
3.7 Informações adicionais
3.7.1 Forneça os dados das pessoas jurídicas vinculadas a sua empresa, inclusive na condição de controladora, controlada, coligada ou consorciada.
# | Razão Social | CNPJ | % de participação |
1 | |||
2 | |||
... | |||
n |
3.7.2 Forneça a seguir o nome completo, CPF, data de nascimento, cargo, percentual de participação (quando aplicável) de seus proprietários, sócios, conselheiros de administração, presidente e diretores:
# | Nome | CPF | Data Nascimento | Cargo/Função | % de participação |
1 | |||||
2 | |||||
... | |||||
n |
4.0 QUESTIONÁRIO
4.1 DIMENSÃO INTEGRIDADE
Questão I01 - A sua empresa conhece a legislação anticorrupção2 a qual está sujeita? (_) Sim (_) Não
Se a sua resposta for SIM, informar a quais leis a sua empresa está sujeita:
_
2 Exemplos: Lei nº 12.846/2013, regulamentada pelo Decreto nº 11.129/2022; Lei Antissuborno do Reino Unido (UK Bribery Act); Lei dos Estados Unidos sobre a Prática de Corrupção no Exterior (US Foreign Corrupt Practices Act); dentre outras.
_
Questão I02 - Algum integrante da Alta Administração da Empresa, seus proprietários, sócios, controladores, representante legal, conselheiros e diretores ou seus familiares de 1º Grau ocupa ou é candidato a Cargo Eletivo ou Cargo de Confiança na Administração Pública?
(_) Sim, na esfera Federal
(_) Sim, na esfera Estadual, Distrital ou Municipal (_) Não
Se a sua resposta for SIM, forneça detalhes (nome, grau de parentesco, nome do órgão/entidade, cargo exercido, período em que ocupou o cargo):
_
_
Questão I03 - Algum integrante da Alta Administração da empresa, seus proprietários, sócios, controladores, representante legal, conselheiros e diretores ou seus familiares de 1o Grau mantém negócios pessoais ou relacionamento próximo com algum agente público?
(_) Sim (_) Não
Se a sua resposta for SIM, forneça detalhes (nome, nome do órgão/entidade do agente público, cargo exercido pelo agente público):
_
_
Questão I04 - Algum integrante da Alta Administração da Empresa, seus proprietários, sócios, controladores, representante legal, conselheiros e diretores ou seus familiares de 1o Grau constam cadastrado na lista PEP - Pessoa Exposta Politicamente, conforme relação disponível em: xxxx://xxx.xxxxxxxxxxxxxxxxxxxxx.xxx.xx/xxxxxxxx-xx-xxxxx/xxx.
(_) Sim, na esfera Federal
(_) Sim, na esfera Estadual, Distrital ou Municipal (_) Não
Se a sua resposta for SIM, forneça o nome da pessoa, o grau de parentesco, o nome do órgão
/ entidade e o cargo exercido:
_
_
Questão I05 - Algum integrante da Alta Administração da Empresa, seus proprietários, sócios, controladores, representante legal, conselheiros e diretores ou seus familiares de 1o Grau já foi preso, acusado, investigado, processado ou condenado por fraude ou corrupção nos últimos 10 (dez) anos?
(_) Sim (_) Não
Se a sua resposta for SIM, explique as circunstâncias do fato ocorrido e forneça a documentação pertinente:
_
_
Questão I06 - A sua empresa, suas controladoras, controladas, coligadas ou consorciadas está ou já foi avaliada externamente, investigada, acusada, processada ou condenada por fraude ou corrupção nos últimos 10 (dez) anos por órgão ou agência nacional ou internacional?
(_) Sim (_) Não
Se a sua resposta for SIM, explique as circunstâncias do fato ocorrido e forneça a documentação pertinente:
Questão I07 - A sua empresa ou algum integrante da Alta Administração, proprietários, sócios, representante legal, conselheiros ou diretores possui histórico de mídias envolvendo corrupção ativa ou passiva (nacional ou estrangeira), improbidade administrativa, fraude, prática anticoncorrencial, lavagem de dinheiro, dentre outros atos ilícitos, nos últimos 5 (cinco) anos?
(_) Sim (_) Não
Se a sua resposta for SIM, explique as circunstâncias do fato ocorrido e forneça a documentação pertinente:
_
_
Questão I08 - Algum integrante da Alta Administração, empregado, agente ou terceiro representando a sua empresa, suas controladoras, controladas, coligadas ou consorciadas, já entregou, ofertou, autorizou, acordou ou prometeu qualquer tipo de pagamento ou benefício a qualquer autoridade governamental nacional ou estrangeira, para angariar ou manter negócios, ou mesmo obter qualquer vantagem comercial, nos últimos 10 (dez) anos?
(_) Sim (_) Não
Se a sua resposta for SIM, explique as circunstâncias do fato ocorrido e forneça a documentação pertinente:
_
_
Questão I09 - A sua empresa possui Programa de Integridade, nos termos do Decreto nº 11.129/2022?
(_) Sim (_) Não
Se a sua resposta for SIM, forneça documentação pertinente.
Questão I10 - A sua empresa possui um Código de Ética, Guia de Conduta ou documentos correlatos que descrevem as condutas éticas que devem ser observadas pelos integrantes da Alta Administração, empregados próprios e/ou terceirizados?
(_) Sim (_) Não
Se a sua resposta for SIM, forneça documentação pertinente.
Questão I11 - A sua empresa possui Política de Gestão de Riscos e controles internos? (_) Sim (_) Não
Questão I12 - A sua empresa realiza avaliação de integridade (ou due diligence de integridade) para identificar e avaliar possíveis riscos à integridade a que possa estar exposta no relacionamento comercial com terceiros – clientes, fornecedores, parceiros de negócio, consultores, empregados, dentre outros –, assim como as práticas de prevenção e combate à fraude e à corrupção adotadas por estes?
(_) Sim (_) Não
Questão I13 - A sua empresa possui normativos internos que determinam a proibição ou restrição, quanto ao oferecimento de presentes, brindes e hospitalidade a agentes públicos, clientes e parceiros comerciais?
(_) Sim (_) Não
Se a sua resposta for SIM, forneça documentação pertinente.
Questão I14 - A sua empresa possui normativos internos que disponham sobre doação e/ou contribuição a instituições, programas sociais ou a partidos políticos?
(_) Sim (_) Não
Se a sua resposta for SIM, forneça documentação pertinente.
Questão I15 - A sua empresa disponibiliza canais de denúncias, abertos e amplamente divulgados a todos os empregados próprios e/ou terceirizados, e mecanismos destinados à proteção de denunciantes?
(_) Sim (_) Não
Se a sua resposta for SIM, forneça o link do Canal de Denúncias.
_
_
Questão I16 - Nos contratos firmados com terceiros – clientes, fornecedores, parceiros de negócio, consultores, empregados, dentre outros – há previsão de cláusulas que os obrigue a respeitar o Programa de Integridade e o Código de Ética e Conduta da sua empresa, bem como a manter conformidade com as leis anticorrupção aplicáveis e vigentes?
(_) Sim (_) Não
Questão I17 - A sua empresa promove ações de conscientização periódicas sobre o seu Programa de Integridade destinadas a Alta Administração e a todos os empregados próprios e/ou terceirizados?
(_) Sim (_) Não
Questão I18 - A sua empresa possui mecanismos de investigação de indícios de fraude e/ou corrupção e de aplicação de sanções?
(_) Sim (_) Não
4.2 DIMENSÃO PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
Questão P01 - A sua empresa possui Política de Privacidade e Proteção de Dados Pessoais? (_) Sim (_) Não
(_) Não se aplica, pois minha empresa se beneficia do tratamento jurídico diferenciado previsto
da Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, observado o disposto no art. 3º. Questão P02 - A sua empresa possui DPO - Data Protection Officer ou Encarregado pelo Tratamento de Dados Pessoais formalmente designado?
(_) Sim (_) Não
(_) Não se aplica, pois minha empresa se beneficia do tratamento jurídico diferenciado previsto da Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, observado o disposto no art. 3º.
Questão P03 - Na sua empresa há algum programa de treinamento e/ou conscientização para seus colaboradores e fornecedores sobre privacidade de dados pessoais?
(_) Sim (_) Não
Questão P04 - A sua empresa divulga em seu site informações claras e relevantes para o público interno e externo sobre a forma dos tratamentos, seus direitos e como exercê-los (Avisos ou Políticas de Privacidade)?
(_) Sim (_) Não
Questão P05 - A sua empresa revisa regularmente as atividades de tratamento e os tipos de dados tratados para fins de minimização de dados pessoais?
(_) Sim (_) Não
Questão P06 - A sua empresa possui políticas, procedimentos e medidas apropriadas para identificar, registrar e gerenciar os riscos relacionados à privacidade e proteção de dados pessoais?
(_) Sim (_) Não
Questão P07 - A sua empresa busca identificar e formalizar em contrato as finalidades e as hipóteses autorizativas (bases legais) para tratamento dos dados pessoais?
(_) Sim (_) Não
Se sua resposta for SIM, informe as finalidades e hipóteses autorizativas (bases legais) para tratamento dos dados pessoais que serão consumidos através da solução contratada:
_
_
Questão P08 - Na sua empresa existem medidas de segurança adicionais no tratamento de dados pessoais sensíveis?
(_) Sim (_) Não
Questão P09 - A sua empresa utiliza serviços de outros operadores para tratamento dos dados pessoais oriundos do Serpro?
(_) Sim (_) Não
Questão P10 - A sua empresa possui um processo que visa solicitar autorização prévia do Controlador antes de contratar os serviços de um suboperador?
(_) Sim (_) Não
Se a sua resposta for SIM, esta ação está prevista em contrato?
_
_
Questão P11 - Ao término do tratamento dos dados pessoais para a finalidade definida, a sua empresa elimina estes dados ou, quando pertinente, formaliza as justificativas para conservação destes dados?
(_) Sim (_) Não
Questão P12 - Existe transferência internacional de dados pessoais? (_) Sim (_) Não
Questão P13 - Caso exista transferência internacional, foi avaliado se a empresa que recebe os dados oferece garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados equivalentes aos previstos na LGPD – Lei Geral de Proteção de Dados Pessoais?
(_) Sim (_) Não
(_) Não se aplica (caso a resposta tenha sido NÃO para a questão P12).
Questão P14 - A sua empresa já recebeu sanção ou é parte em processo administrativo sancionatório movido pela ANPD - Autoridade Nacional de Proteção de Dados?
(_) Sim (_) Não
Se a sua resposta for SIM, informar as circunstâncias do fato ocorrido e qual é a situação atual.
_
_
Questão P15 - A sua empresa já comunicou algum incidente de segurança com dados pessoais aos controladores, ANPD - Autoridade Nacional de Proteção de Dados e/ou aos titulares de dados pessoais?
(_) Sim (_) Não
Se a sua resposta for SIM, informar as circunstâncias do fato ocorrido e qual é a situação atual.
_
_
Questão P16 - A sua empresa já sofreu alguma condenação judicial ou é ré em processo judicial em demanda que envolva algum incidente no tratamento de dados pessoais?
(_) Sim (_) Não
Se a sua resposta for SIM, informar as circunstâncias do fato ocorrido e qual é a situação atual.
_
_
4.3 DIMENSÃO SEGURANÇA DA INFORMAÇÃO
Questão S01 - A sua empresa possui alguma certificação vigente na área de Segurança da Informação?
(_) Sim (_) Não
Se a sua resposta for SIM, informe o tipo de certificação e período de validade.
_
_
Questão S02 - Os Datacenters da sua empresa ficam hospedados apenas em território nacional? (_) Sim (_) Não
Se a sua resposta for NÃO, informe o país:
Questão S03 - O armazenamento e o tratamento dos dados são realizados apenas em território nacional?
(_) Sim (_) Não
Se a sua resposta for NÃO, informe o país:
Questão S04 - Os dispositivos móveis de uso pessoal são utilizados na rede corporativa? (_) Sim (_) Não
Questão S05 - A sua empresa utiliza algum tipo de criptografia para proteger os dados em trânsito?
(_) Sim (_) Não
Se a sua resposta for SIM, informe o tipo de criptografia.
_
_
Questão S06 - A sua empresa utiliza algum tipo de criptografia para proteger os dados em repouso?
(_) Sim (_) Não
Se a sua resposta for SIM, informe o tipo de criptografia.
_
_
Questão S07 - Existe um processo definido para a gestão de acesso lógico? (_) Sim (_) Não
Questão S08 - Os sistemas são configurados para utilizar senhas fortes? (_) Sim (_) Não
Questão S09 - Existe algum mecanismo que permita o acesso remoto seguro ao ambiente corporativo?
(_) Sim (_) Não
Questão S10 - Os sistemas e equipamentos são configurados para gerar logs de evento e de auditoria?
(_) Sim (_) Não
Questão S11 - A sua empresa desenvolve software ou contrata serviço de desenvolvimento de software?
(_) Sim (_) Não
Questão S12 - Caso sua resposta tenha sido SIM para a questão S11 deste formulário, existe algum padrão de desenvolvimento seguro de software em uso, seja pela própria empresa ou pela prestadora de serviço contratada?
(_) Sim (_) Não
(_) Não se aplica (caso a resposta tenha sido NÃO para a questão S11).
Questão S13 - Existe algum padrão de desenvolvimento seguro de software em uso? (_) Sim (_) Não
Se a sua resposta for SIM, cite o padrão adotado ou a referência.
_
_
Questão S14 - Existe normativo de tratamento e uso aceitável de dados que direcione segurança física e lógica nos seus ambientes?
(_) Sim (_) Não
Questão S15 - Existe algum processo formal para tratamento dos incidentes de segurança da informação?
(_) Sim (_) Não
Questão S16 - Há um processo ou serviço implementado voltado para resposta à incidente de segurança?
(_) Sim (_) Não
Questão S17 - A sua empresa possui Política de Segurança da Informação? (_) Sim (_) Não
Se a sua resposta for SIM, forneça a documentação pertinente.
Questão S18 - Caso a sua resposta tenha sido SIM para a questão S17 deste formulário, a Política de Segurança da Informação é amplamente divulgada para os empregados, gestores, administradores, terceirizados, dentre outros?
(_) Sim (_) Não
(_) Não se aplica (caso a resposta tenha sido NÃO para a questão S17).
Questão S19 - Existe uma pessoa e/ou área responsável pela segurança da informação e pelas iniciativas de segurança da informação na sua empresa?
(_) Sim (_) Não
Questão S20 - A sua empresa possui cláusulas de confidencialidade nos contratos com seus empregados?
(_) Sim (_) Não
Questão S21 - A sua empresa possui plano de continuidade de negócios e/ou plano de recuperação de desastres implementado?
(_) Sim (_) Não
5.0 IDENTIFICAÇÃO DO REPRESENTANTE LEGAL OU PESSOA FORMALMENTE DESIGNADA PARA RESPONDER O QUESTIONÁRIO3:
Nome: CPF:
Cargo: E-mail:
Declaro estar ciente de que o Serpro poderá solicitar informações adicionais ou buscar, por meio de verificações próprias, evidências que possam respaldar as respostas fornecidas.
[local e data]
[Nome completo e assinatura]
3 Vide item 2.1 deste formulário.