Abrir minha conta
Acessar sua conta

BANCO JC DIGITAL

POLÍTICA DE CONFORMIDADE COM A LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)

(Governança e Processos Internos)

Confidencial - Uso Interno

Código: POL-LGPD-010/2026
Versão: 2.0
Data de Vigência: Fevereiro/2026
Aprovado por: DPO, Diretoria Executiva e Conselho de Administração

CONTROLE DE VERSÕES E APROVAÇÕES

Responsáveis pela Elaboração e Revisão:

Elaboração: DPO + Jurídico + Compliance + Segurança da
Informação
Revisão Técnica:  Comitê de Privacidade e Proteção de Dados

Aprovação Final: DPO + Diretoria Executiva + Conselho de Administração

SUMÁRIO EXECUTIVO

O Banco JC Digital compromete-se com os mais altos padrões de ética, transparência e proteção de dados. A conformidade com a Lei Geral de Proteção de Dados (LGPD) não é apenas uma obrigação legal, mas um pilar da nossa cultura corporativa e da confiança que nossos clientes depositam em nós.

Esta política estabelece a governança, os processos internos e as responsabilidades de todos os colaboradores, gestores e terceiros no tratamento de dados pessoais. O descumprimento destas diretrizes pode acarretar severas sanções legais, financeiras e reputacionais para a instituição, além de medidas disciplinares internas.

ÍNDICE

PARTE I – FUNDAMENTOS E GOVERNANÇA – 05
PARTE II – PRINCÍPIOS E DIRETRIZES DE TRATAMENTO – 08
PARTE III – BASES LEGAIS E FINALIDADES – 10
PARTE IV – CICLO DE VIDA DOS DADOS – 12
PARTE V – GESTÃO DE CONSENTIMENTOS – 15
PARTE VI – DIREITOS DOS TITULARES – 17
PARTE VII – SEGURANÇA DA INFORMAÇÃO – 19
PARTE VIII – COMPARTILHAMENTO E TRANSFERÊNCIA – 21
PARTE IX – RELATÓRIOS DE IMPACTO (DPIA) – 23
PARTE X – GESTÃO DE INCIDENTES DE SEGURANÇA – 25
PARTE XI – GESTÃO DE TERCEIROS – 27
PARTE XII – TREINAMENTO E CONSCIENTIZAÇÃO – 29
PARTE XIII – AUDITORIAS E MONITORAMENTO – 30
PARTE XIV – REGISTRO DE ATIVIDADES DE TRATAMENTO – 31
PARTE XV – SANÇÕES E RESPONSABILIDADES – 32
PARTE XVI – DISPOSIÇÕES FINAIS – 33

PARTE I - FUNDAMENTOS E GOVERNANÇA

Capítulo I – Objetivo, Escopo e Aplicação

1.1 Finalidade da Política

Estabelecer as diretrizes, responsabilidades e processos internos necessários para garantir a conformidade contínua do Banco JC Digital com a LGPD e regulamentações conexas, assegurando a proteção dos direitos dos titulares de dados.

1.2 Escopo

Esta política abrange 100% das operações do Banco JC Digital, incluindo todas as áreas de negócio, produtos, serviços e canais de atendimento que realizem tratamento de dados pessoais.

1.3 Aplicação a Colaboradores e Terceiros

Aplica-se a todos os colaboradores (CLT, estagiários, aprendizes), diretores, conselheiros, bem como a fornecedores, parceiros e terceiros que tenham acesso ou tratem dados pessoais em nome do Banco.

1.4 Relação com Política de Privacidade

Esta política interna complementa a Política de Privacidade (POL-PRIVACY-009), que é o documento público voltado aos clientes. Enquanto a POL-PRIVACY-009 informa o que fazemos, esta política define como devemos fazer internamente.

Capítulo II – Base Legal e Normativa

■ Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).

■ Decreto nº 10.046/2019 (Governança no compartilhamento de dados).

■ Resoluções e Orientações da ANPD (Autoridade Nacional de Proteção de Dados).

■ Resolução CMN nº 4.893/2021 (Política de Segurança Cibernética).

Capítulo III – Estrutura de Governança de Privacidade

3.1 Conselho de Administração

Responsável final pela supervisão do programa de privacidade e pela aprovação das políticas estratégicas de proteção de dados.

3.2 Comitê de Privacidade e Proteção de Dados

Órgão colegiado responsável pela gestão tática da privacidade. Reúne-se mensalmente.

Composição: DPO (Chair), Jurídico, Compliance, CISO, RH, Marketing e Produtos.
Atribuições: Aprovar DPIAs, deliberar sobre incidentes críticos e revisar políticas.

3.3 Encarregado de Dados (DPO)

Ponto focal para assuntos de privacidade, com independência funcional e reporte direto à Alta Administração.

  • Aceitar reclamações e comunicações dos titulares.

  • Receber comunicações da autoridade nacional (ANPD).

  • Orientar os funcionários e contratados sobre práticas de proteção de dados.

3.4 Data Owners e Data Stewards

Data Owners (Gestores): Responsáveis pela classificação e definição de acesso aos dados de sua área.

Data Stewards (Operacionais): Executam os controles e zelam pela qualidade dos dados no dia a dia.

3.5 Matriz RACI de Privacidade

(Ver Anexo VI para a matriz detalhada de responsabilidades).

PARTE II - PRINCÍPIOS E DIRETRIZES DE TRATAMENTO

Capítulo IV – Princípios da LGPD

Todo tratamento de dados no Banco deve observar estritamente os princípios do Art. 6º da LGPD.

Princípios Fundamentais:

Finalidade: Propósitos legítimos, específicos e informados.

Adequação: Compatibilidade do tratamento com a finalidade informada.

Necessidade: Limitação ao mínimo necessário (Data Minimization).

Livre Acesso: Consulta facilitada e gratuita aos titulares.

Transparência: Informações claras e precisas.

Segurança e Prevenção: Medidas para proteger dados e evitar danos.

Capítulo V – Diretrizes de Tratamento

Privacy by Design: A privacidade deve ser incorporada desde a concepção de novos produtos e sistemas.

Privacy by Default: As configurações padrão devem ser as mais protetivas à privacidade.

PARTE III - BASES LEGAIS E FINALIDADES

Capítulo VI – Hipóteses de Tratamento

Nenhum dado pessoal pode ser tratado sem uma base legal válida (Art. 7º e 11º). O Banco mapeou e documentou as seguintes bases para suas atividades (ver inventário detalhado no Anexo V):

PARTE IV - CICLO DE VIDA DOS DADOS

Capítulo VII – Coleta e Criação

A coleta deve ser limitada ao estritamente necessário. Formulários devem conter links para o Aviso de Privacidade. É proibida a coleta de dados sensíveis sem justificativa legal robusta.

Capítulo VIII – Armazenamento e Processamento

Os dados devem ser classificados conforme a Política de Segurança (POL-SEC-005). Dados sensíveis e críticos devem ser armazenados com criptografia forte.

Capítulo X – Retenção e Eliminação

Os dados devem ser mantidos apenas pelo tempo necessário. A Tabela de Temporalidade (Anexo VII) define os prazos de guarda (por exemplo, 5 anos para dados cadastrais após o término da relação, conforme normas do BCB). Após o prazo, os dados devem ser eliminados de forma segura ou anonimizados.

PARTE V - GESTÃO DE CONSENTIMENTOS

Capítulo XI – Coleta de Consentimento

Quando o consentimento for a base legal, ele deve ser: Livre, Informado,Inequívoco e Específico.

Opt-in: Caixas de seleção não podem vir pré-marcadas.

Registro: Todo consentimento deve ser registrado (log) com data, hora, IP e versão do termo aceito.

Capítulo XII – Revogação
Deve ser tão fácil revogar o consentimento quanto foi concedê-lo. O Banco deve processar revogações em até 72 horas.

PARTE VI - DIREITOS DOS TITULARES

Capítulo XIII – Processo de Atendimento (Art. 18)

O Banco deve garantir o exercício dos direitos dos titulares de forma facilitada e gratuita.

13.1 Canais de Atendimento

E-mail exclusivo: privacidade@bancojcdigital.com.br e área “Privacidade” no aplicativo.

13.2 Fluxo e Prazos (SLA Interno)

 

Nota: O prazo legal de 15 dias conta a partir da solicitação. Prorrogaçõesdevem ser justificadas.

PARTE IX - RELATÓRIOS DE IMPACTO (DPIA)

Capítulo XVII – Quando Fazer (Art. 38)

O Relatório de Impacto à Proteção de Dados Pessoais (DPIA/RIPD) é obrigatório para:

■ Novos produtos ou serviços que envolvam dados pessoais.

■ Tratamento de dados sensíveis em larga escala.

■ Uso de novas tecnologias (IA, Big Data, Reconhecimento Facial).

■ Tratamentos baseados em legítimo interesse que gerem risco relevante.

Capítulo XVIII – Metodologia

O DPIA deve descrever o tratamento, avaliar a necessidade e proporcionalidade, identificar riscos aos titulares e propor medidas mitigadoras. Deve ser aprovado pelo DPO e pelo Comitê de Privacidade antes do início do tratamento.

PARTE X - GESTÃO DE INCIDENTES DE SEGURANÇA

Capítulo XIX – Resposta a Incidentes
Qualquer suspeita de violação de dados deve ser reportada imediatamente ao DPO e ao CSIRT (Security Team).

Notificação à ANPD
 Ocorrendo incidente que possa acarretar risco ou dano relevante aos titulares, o Banco deve comunicar a ANPD e os titulares em prazo razoável (adotamos a prática de 72 horas).

PARTE XI - GESTÃO DE TERCEIROS

Capítulo XXI – Due Diligence

Nenhum fornecedor pode processar dados do Banco sem antes passar por uma avaliação de riscos de privacidade e segurança (Questionário – Anexo IV).

Capítulo XXII – Cláusulas Contratuais

Todos os contratos devem conter cláusulas robustas de proteção de dados, incluindo responsabilidade solidária, dever de segurança, notificação de incidentes e direito de auditoria (Right to Audit).

PARTE XIII - AUDITORIAS E MONITORAMENTO

Capítulo XXVI – KPIs de Privacidade

Solicitações de titulares atendidas no prazo: Meta > 95%

Colaboradores treinados em LGPD: Meta > 95%

Incidentes de segurança reportados à ANPD: Meta 0

DPIAs realizados para novos projetos críticos: Meta 100%

PARTE XIV - REGISTRO DE ATIVIDADES DE TRATAMENTO

Capítulo XXVII – Inventário de Dados (ROPA)

O Banco mantém um registro atualizado de todas as operações de tratamento de dados (Record of Processing Activities – ROPA), conforme Art. 37 da LGPD. Este inventário deve ser revisado trimestralmente pelos Data Owners.

PARTE XV - SANÇÕES E RESPONSABILIDADES

Capítulo XXVIII – Sanções Administrativas (ANPD)

O descumprimento da LGPD pode acarretar multas de até 2% do faturamento (limitado a R$ 50 milhões por infração), publicização da infração e bloqueio dos dados, o que pode inviabilizar a operação do Banco.

Capítulo XXIX – Responsabilidades Internas
Colaboradores que violarem intencionalmente ou por negligência grave esta política estarão sujeitos a medidas disciplinares, que podem variar de advertência verbal até demissão por justa causa, sem prejuízo de responsabilidade civil e criminal.