AÇOVISA | Solução em AÇOS

1. Objetivo

A presente “Política de Privacidade e Proteção de Dados Pessoais” tem como objetivo estabelecer as diretrizes e normas para a condução das atividades envolvendo o tratamento e a garantia da privacidade e da proteção de Dados Pessoais, ou seja, dados de pessoas naturais (“Titulares”) com as quais a Açovisa e suas subsidiárias se relacionam para executar suas atividades de negócio.

Esta política foi elaborada de forma que a Açovisa atenda aos requisitos da Lei nº 13.709/2018, alterada pela Lei 13.853/2019, conhecida como “Lei Geral de Proteção de Dados – LGPD” e passará a fazer parte dos instrumentos regulatórios e de conduta da empresa, dos quais seus colaboradores e parceiros comerciais terão amplo acesso para conhecimento e consulta.

Todas as atividades relacionadas aos negócios da Açovisa que lidam com Dados Pessoais são orientadas por este instrumento para proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Para que os objetivos de proteção de Dados Pessoais sejam alcançados, os colaboradores e prestadores de serviços da Açovisa devem seguir as práticas determinadas nesta Política de Privacidade e Proteção de Dados Pessoais.

De forma geral, todas as pessoas (colaborador, consultor, temporário, terceiro e demais indivíduos) a serviço da Açovisa e de suas subsidiárias são responsáveis pela adoção de boas práticas de segurança da informação no tratamento dos Dados Pessoais.

A Política de Privacidade e Proteção de Dados Pessoais da Açovisa visa garantir fundamentos e direitos básicos das pessoas, tais como:

• O respeito à privacidade, à dignidade e à autodeterminação;

• A liberdade de expressão, de informação, de comunicação e de opinião;

• A inviolabilidade da intimidade, da honra e da imagem;

• A livre iniciativa e a livre concorrência;

• A defesa do consumidor e outros direitos humanos relacionados com a personalidade e o exercício da cidadania.

2. Escopo

Esta Política aplica-se a quaisquer dados pessoais processados através ou em nome da Açovisa e de suas subsidiárias, incluindo funcionários, clientes, prestadores de serviços, partes interessadas locais, consultores externos, parceiros comerciais e dados pessoais de fornecedores.

3. Definições da LGPD

  • Controlador de Dados ou Controlador: significa pessoa física ou jurídica, de direito público ou privado, a quem compete tomar decisões referentes ao tratamento de Dados Pessoais;
  • Titular de Dados: pessoa natural a quem se referem os dados pessoais que são objetos de tratamentos;
  • Pessoa Natural: também conhecida como pessoa física, ou seja, uma pessoa de carne e osso;
  • Dado Pessoal: informação relacionada a pessoa identificada ou identificável;
  • Dado Pessoal Sensível: dado pessoal sobre origem racial e étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • Dado Anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de Dados Pessoais em nome do controlador;
  • Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
  • Tratamento: Toda operação realizada com Dados Pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
  • Anonimização: Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
  • Transferência Internacional de Dados: Transferência de Dados Pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
  • Autoridade Nacional de Proteção de Dados – ANPD: Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional;
  • Consentimento: significa qualquer indicação livremente determinada, específica, informada e clara dos desejos do Titular de Dados pela qual ele ou ela, por uma declaração ou por uma ação afirmativa clara, aceita o Processamento de seus Dados Pessoais.
  • Violação de Dados Pessoais: trata-se de qualquer violação suspeita ou real de segurança que ocasione tanto a destruição total quanto a parcial dos dados, além da perda ou alteração em sua composição. Ademais, abarca também a divulgação de dados pessoais transmitidos ou não autorizados, bem como o seu armazenamento, transformação ou o acesso de qualquer modo.
  • Subsidiárias: termo utilizado para designar qualquer empresa ou pessoa jurídica consolidada integralmente e controlada pela Açovisa. O termo “controle” significa a posse, direta ou indireta, por meio de um ou mais intermediários do poder de dirigir ou realizar a direção da gestão e políticas de uma empresa ou pessoa jurídica, por meio da propriedade de títulos de voto, por contrato ou de outra forma.

4. Proteção de Dados

A Açovisa, no papel de Controladora, tem desenvolvido e implementado uma estrutura de gestão de Privacidade que será mantida e continuamente melhorada, visando assegurar a proteção adequada dos Dados Pessoais e o Processamento justo para:

(i) Atender aos seus próprios requisitos de gerenciamento de informações pessoais;

(ii) Apoiar os objetivos organizacionais e obrigações;

(iii) Impor controles, em consonância com o nível aceitável de risco da empresa;

(iv) Garantir que cumpra obrigações aplicáveis legais, regulatórias, contratuais e/ou profissionais; e

(v) Proteger os interesses dos indivíduos e outras partes interessadas.

5. Base ou Fundamento Jurídico para o Processamento de Dados Pessoais

A Açovisa utiliza uma base ou fundamento jurídico para o tratamento de dados pessoais de seus funcionários, clientes e fornecedores, ou seja, a justificação legal para uma atividade.

Antes de realizar qualquer atividade de Processamento, o fundamento jurídico correto precisa ser identificado e registrado. Se ocorrer o processamento de Dados Pessoais sem qualquer base ou fundamento jurídico, o Processamento é ilegal e será interrompido imediatamente.

O Processamento de Dados Pessoais deve ser sempre baseado em um ou mais dos seis fundamentos jurídicos abaixo:

  1.  Cumprimento de um contrato ou procedimentos preliminares relacionados a um contrato do qual o titular faça parte;
  2.  Cumprimento de uma obrigação jurídica, legal ou regulatória;
  3.  Proteção do interesse vital do Titular dos Dados;
  4.  Cumprimento de uma tarefa realizada no interesse público ou no exercício de autoridade oficial;
  5.  Legítimo interesse da Açovisa ou terceiros;
  6.  Exercício regular de direitos em processo judicial, administrativo ou arbitral;
  7.  Proteção do crédito;
  8.  Consentimento prévio do Titular dos Dados.

6. Princípios de Processamento de Dados Pessoais

No processamento de Dados Pessoais, a Açovisa leva em conta e respeita os princípios legais de Processamento de Dados abaixo:

6.1 Legalidade, Justiça e Transparência

Os Dados Pessoais são processados de forma legal, justa e transparente em relação aos Tratamentos de Dados.

6.1.1 Legalidade do Processamento

O Processamento ou tratamento de dados pessoais é legal, pois é baseado em pelo menos um dos fundamentos legais estabelecidos no item 5 acima.

6.1.2 Justiça

Tratamos os dados pessoais de forma justa, ou seja:

• Os Dados Pessoais são tratados de forma que os Titulares dos Dados possam verificar que a empresa os processa com transparência e expectativas razoáveis;

• Os dados pessoais não são usados de forma que prejudique os Titulares dos Dados.

7. Coleta, Uso e Tratamento de Dados Pessoais

A empresa coleta, utiliza e realiza o tratamento dos Dados Pessoais para atender aos interesses legítimos da empresa. Compromete-se a cumprir toda a legislação aplicável em relação à proteção dos Dados Pessoais, assegurando que sejam coletados, utilizados e tratados de acordo com as disposições da LGPD e outras leis e regulamentações aplicáveis, se houver.

A coleta de Dados Pessoais pode ocorrer quando necessário para estabelecer a relação comercial entre a Açovisa e seus funcionários e parceiros de negócios, visando os objetivos elencados no item 5 deste instrumento.

Os Dados Pessoais podem ser representados de diferentes formas:

(i) Em papel: formulários de cadastro em papel, listas de presença, relatórios, memorandos, cartas, etc.

(ii) Em mídia digital: arquivos digitais gravados em HDs, SDs, USB drives, CDs, etc.

(iii) Em som: gravação de reuniões e outras atividades, secretária eletrônica, etc.

(iv) Em imagem: fotos de pessoas e de seus documentos, vídeos contendo pessoas, etc.

Os dados pessoais tratados no âmbito da Açovisa são precisos e atualizados. Para alcançar a precisão ideal dos Dados Pessoais, a Açovisa, na medida do possível, solicita os dados pessoais diretamente ao Titular dos Dados Pessoais.

Quanto aos colaboradores da Açovisa ou candidatos a fazer parte do time, será requerido o consentimento expresso do titular dos dados, devendo este consentimento ser registrado e arquivado em mídia digital ou em forma impressa na área pertinente.

A Açovisa coleta os Dados Pessoais de seus colaboradores de acordo com o formulário F-017 – Proposta de Emprego e Relação de Documentos, os quais são coletados com finalidades determinadas, explícitas e legítimas mencionadas no próprio formulário.

 

Dados Pessoais em imagem são utilizados apenas para a finalidade de segurança patrimonial.

Os fins comerciais para os quais a Açovisa utilizará os dados pessoais incluem: contabilidade, faturamento para fins legais, concessão de benefícios, obrigações legais (e-social, FGTS etc.) e de segurança (incluindo investigação de queixas ou reclamações e administração de garantia do produto Açovisa e direito de devolução de produtos), análises estatísticas e de mercado, testes de sistemas, manutenção e desenvolvimento. Isso inclui a utilização dos dados pessoais para cumprir as obrigações legais da Açovisa, como manter registros fiscais e de auditoria. Quando não houver obrigação legal específica que a Açovisa precise cumprir, os dados pessoais serão tratados em cumprimento dos interesses legítimos da empresa na gestão do negócio e manutenção de registros precisos e atualizados.

No caso dos clientes da Açovisa, para atender a solicitações de cotações de produtos e serviços, a empresa coleta informações como nome completo, documento de identificação (CPF ou CNPJ), telefone, e-mail, Estado, Cidade e ramo de atuação. Essas informações são armazenadas por período indeterminado para identificação e contato. O usuário pode solicitar o descadastramento a qualquer momento.

A Açovisa esclarece também sobre o tratamento de dados pessoais em atividades não relacionadas ao site:

• A empresa pode enviar comunicados e mensagens publicitárias por diversos meios. O usuário pode optar por não receber mais essas mensagens.

• Para atender solicitações do Serviço de Atendimento ao Cliente, a Açovisa pode tratar dados pessoais do solicitante.

• Campanhas e promoções têm regulamentos específicos sobre tratamento de dados pessoais.

Os dados pessoais não serão compartilhados com empresas Controladoras fora da Açovisa sem prévia autorização, sendo utilizados, quando não para cumprir obrigações legais e regulatórias da Açovisa.

Dados Pessoais Sensíveis, como resultados de exames e tipos de deficiência, são obtidos com finalidades específicas e não são usados para fins incompatíveis com os objetivos identificados. A Açovisa processa e/ou retém Dados Pessoais Sensíveis apenas com fundamentos legais.

É proibido o Processamento de Dados Pessoais Sensíveis, exceto nos casos especificados.

A Açovisa garante que Dados Pessoais Sensíveis são processados por pessoal autorizado e em equipamentos autorizados.

Sempre que houver mudanças na finalidade, a Açovisa informará previamente o titular e pedirá novo consentimento, com direito de revogação.

Os Dados Pessoais são mantidos apenas o necessário para as finalidades, em conformidade com requisitos legais de retenção. Dados Pessoais de colaboradores são arquivados após o período de retenção.

Dados Pessoais são processados com medidas técnicas e organizacionais para garantir segurança e integridade. A Açovisa garante que somente pessoal autorizado processará os Dados Pessoais em equipamentos autorizados.

8. Cookies e Outras Tecnologias

O site, os serviços online, as mensagens de e-mail e o material publicitário podem utilizar “cookies” e outras tecnologias, como tags de pixel e web beacons. Essas tecnologias nos auxiliam a compreender melhor o comportamento do usuário, indicam quais partes do nosso site as pessoas visitaram e facilitam a medição da eficácia da publicidade e das pesquisas na web.

Tratamos as informações obtidas por meio de cookies e outras tecnologias como informações não pessoais. No entanto, se o endereço de IP (Protocolo de Internet) ou identificadores similares forem considerados informações pessoais pela legislação local, trataremos esses identificadores como informações pessoais. Da mesma forma, quando a informação não pessoal é combinada com informação pessoal, tratamos a informação combinada como pessoal nesta Declaração de Privacidade. Se desejar bloquear os cookies, consulte as orientações/configurações do seu navegador.

A Açovisa também utiliza cookies e outras tecnologias para lembrar informações pessoais quando você utiliza o site e nossos serviços online. Nosso objetivo nestes casos é tornar a experiência do usuário mais conveniente e personalizada.

Como acontece em muitos sites, obtemos algumas informações automaticamente e as armazenamos em arquivos de log. Isso inclui endereços IP, tipo de navegador e idioma, provedor de serviço de Internet (ISP), páginas visualizadas e saídas, sistema operacional, informações de data e hora e dados sobre a sequência de cliques. Utilizamos essas informações para entender e analisar tendências, administrar o site, compreender o comportamento do usuário e obter informações demográficas gerais sobre nossos usuários. A Açovisa pode utilizar essas informações em nossos serviços de marketing e publicidade.

Em algumas de nossas mensagens de e-mail, utilizamos uma “URL de clique”, vinculada ao conteúdo do site. Quando os usuários clicam nessas URLs, são redirecionados para um servidor web diferente antes de chegarem à página de destino em nosso site. Monitoramos esses dados de cliques para compreender o interesse em tópicos específicos e avaliar a eficácia das comunicações com nossos clientes. Se preferir não ser monitorado dessa maneira, não clique em links de texto ou imagens nas mensagens de e-mail.

Os “pixel tags” nos permitem enviar mensagens de e-mail em formatos legíveis e nos informam se o e-mail foi aberto ou não. Podemos utilizar essas informações para reduzir ou eliminar mensagens enviadas aos usuários.

A qualquer momento, se não desejar mais receber contatos futuros por e-mail, basta acessar o link de descadastramento presente na mensagem.

9. Direitos dos Titulares de Dados

Os titulares de dados coletados e processados pela Açovisa têm os seguintes direitos em relação aos seus Dados Pessoais tratados pela empresa:

• Confirmação da existência de tratamento de seus Dados Pessoais;

• Livre acesso para consulta de seus Dados Pessoais;

• Correção de seus Dados Pessoais quando estiverem incompletos, inexatos ou desatualizados;

• Eliminação de seus Dados Pessoais quando desnecessários, excessivos ou tratados em desconformidade com a Lei, incluindo casos em que haja consentimento por parte do titular, desde que os dados pessoais não sejam necessários para cumprir obrigações legais e regulatórias;

• Portabilidade de seus Dados Pessoais para outro fornecedor de serviço ou produto, mediante requisição expressa do titular;

• Informações sobre as entidades públicas e privadas com as quais a empresa compartilhou seus Dados Pessoais;

• Informações sobre a possibilidade de não conceder consentimento para o tratamento de seus Dados Pessoais;

• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o propósito desta política de privacidade;

• Revogação do consentimento para o tratamento de seus Dados Pessoais.

10. Segurança de Dados Pessoais

Todos os colaboradores são responsáveis por garantir que os Dados Pessoais detidos e geridos pela Açovisa sejam mantidos de forma segura e não sejam divulgados a terceiros, a menos que esse terceiro tenha sido especificamente autorizado pela Açovisa a receber essas informações, de acordo com as diretrizes sobre transferência de dados a terceiros.

Os Dados Pessoais dos colaboradores devem ser acessíveis somente para aqueles que precisam utilizá-los, e o acesso deve ser autorizado pelo responsável pelo RH.

Os Dados Pessoais só podem ser excluídos ou descartados de acordo com a política aplicável de retenção de dados. Registros em papel que tenham atingido sua data de retenção são destruídos de forma confidencial. As unidades de disco rígido dos PCs desativados devem ser removidas e destruídas imediatamente.

Os Dados Pessoais dos parceiros comerciais (clientes e fornecedores) devem ser acessíveis apenas para aqueles que precisam utilizá-los e de forma limitada. O acesso será restrito e controlado pela equipe de TI e Marketing.

11. Retenção e Descarte de Dados Pessoais

Os Dados Pessoais não podem ser retidos por mais tempo do que exigido pela legislação em vigor. Uma vez que a finalidade para o Processamento ou a base jurídica para o processamento expiram, pode não ser necessário manter esses dados pessoais, a menos que seja legalmente obrigatório. Alguns Dados Pessoais são mantidos por períodos mais longos do que outros.

Os Dados Pessoais relacionados à área de RH são arquivados tanto fisicamente (em armários trancados com acesso restrito à equipe de RH) quanto digitalmente, através do sistema TOTVS RM, para processamento adequado de folha de pagamento, concessão de benefícios e obrigações legais.

Quando a Açovisa não puder excluir os Dados Pessoais devido a exigências legais ou outra necessidade legítima, os dados serão arquivados com segurança, isolados de qualquer processamento adicional, até que a exclusão seja viável.

Os Dados Pessoais são descartados de forma a proteger os direitos e liberdades dos Titulares de Dados (por meio de fragmentação ou exclusão eletrônica segura) e em conformidade com as orientações para eliminação segura de mídia de armazenamento.

12. Medidas de Proteção

 

12.1 Proteção de Dados Pessoais em Papel

A Açovisa possui locais de armazenamento de Dados Pessoais em papel, com:

• Estrutura física adequada contra impactos, alagamentos ou incêndios;

• Acesso físico restrito e monitorado;

• Movimentações físicas monitoradas.

12.2 Proteção de Dispositivos e Sistemas Pessoais

Documentos em papel contendo Dados Pessoais, sob responsabilidade da Açovisa, não podem ser retirados da empresa sem autorização prévia do proprietário dos Dados Pessoais desse processo específico e do Encarregado dos Dados Pessoais.

O uso de dispositivos e sistemas pessoais (notebooks, tablets, smartphones, mídias portáteis de armazenamento de dados, sistemas de mensagens e trabalho em grupo na nuvem, etc.) pode representar riscos à segurança dos Dados Pessoais.

Colaboradores que necessitarem usar recursos não fornecidos pela empresa para o tratamento de Dados Pessoais devem solicitar autorização à área de Tecnologia da Informação e ao Encarregado dos Dados Pessoais. Caso o uso seja considerado necessário, serão implementadas as medidas de proteção adequadas.

O processo de análise e autorização deve considerar:

• A necessidade do uso do recurso;

• Os riscos à proteção de Dados Pessoais relacionados ao uso desse recurso;

• A realização das atividades somente após a adoção das proteções necessárias.

12.3 Proteção de Dados Pessoais em Meio Eletrônico

 

12.3.1 Controles de Acesso

 

12.3.2 Uso de Software

 

12.3.3 Acesso Externo

O acesso aos sistemas e redes da Açovisa que contêm Dados Pessoais é concedido por meio de processos de identificação, autenticação e certificação de login e senha. O acesso deve ser justificado pela necessidade das atividades.

O proprietário de cada base de Dados Pessoais determina os controles adequados para o acesso, concessão de privilégios e gestão dos acessos aos Dados Pessoais sob sua responsabilidade.

A instalação de softwares não aprovados pela Açovisa ou a alteração de configurações de equipamentos (computadores, notebooks, impressoras, etc.) da tecnologia da informação é proibida para usuários sem essa atribuição.

O acesso externo a sistemas e equipamentos é concedido apenas a quem realmente necessita desse recurso, com baixo risco para a proteção dos Dados Pessoais.

O acesso externo deve considerar:

• A pessoa (colaborador, consultor, temporário, terceiro, etc.) a serviço da Açovisa deve obter autorização específica para uso remoto;

• Equipamentos não devem ser deixados desprotegidos em áreas públicas, sendo transportados pelos usuários;

• Dispositivos portáteis devem ser carregados como bagagem de mão e disfarçados para evitar chamar atenção;

• Equipamentos não devem ser usados em áreas movimentadas, como aeroportos, hotéis, restaurantes, etc.;

• A segurança dos Dados Pessoais deve ser reforçada;

• Qualquer problema com a proteção de Dados Pessoais deve ser relatado imediatamente ao Encarregado e ao Proprietário dos Dados Pessoais correspondentes.

13. Divulgação e Transferência de Dados Pessoais para Terceiros

A Açovisa assegura que os dados pessoais não serão divulgados a terceiros não autorizados. As divulgações sem consentimento só serão permitidas quando as informações forem solicitadas para uma ou mais das seguintes finalidades:

• Proteção da segurança nacional;

• Prevenção ou detecção de crimes, incluindo apreensão ou acusação de criminosos;

• Avaliação ou cobrança de obrigações tributárias;

• Cumprimento de funções regulatórias (incluindo saúde, segurança e bem-estar no trabalho);

• Prevenção de danos graves a terceiros;

• Proteção dos interesses vitais do indivíduo (em situações de vida e morte);

• Uso em processos judiciais necessários ou mediante solicitação de órgãos públicos e de controle.

Todos os pedidos para fornecer Dados Pessoais para uma dessas razões devem ser respaldados por documentação adequada, e todas essas divulgações devem ser autorizadas especificamente por um Responsável pela Proteção de Dados ou pelo proprietário dos dados.

14. Acompanhamento, Monitoramento e Avaliação

A Açovisa e suas unidades de negócios devem avaliar regularmente seus controles internos e conduzir avaliações de risco para avaliar seu perfil de risco em relação à Proteção de Dados Pessoais e adaptar seus controles e procedimentos internos de acordo.

Esta Política de Privacidade e Proteção de Dados estará sujeita a desenvolvimento, análise, avaliação e melhoria contínua.

A Açovisa realizará análises de gestão para monitorar periodicamente os riscos relacionados à Proteção de Dados Pessoais, considerando:

• Progresso das ações de análises anteriores;

• Mudanças em questões internas e externas relevantes para a Proteção de Dados Pessoais;

• Informações sobre o Desempenho de Proteção de Dados Pessoais, incluindo tendências em:

o Não conformidade e ações corretivas;

o Resultados de avaliações;

o Oportunidades de melhoria contínua;

o Resultados de auditorias e avaliações, bem como recomendações;

o Riscos ou problemas não adequadamente tratados;

o Boas práticas e orientações emergentes.

15. Encarregado da Proteção de Dados Pessoais

O DPO – Encarregado da proteção de dados pessoais será a pessoa responsável – nos termos da LGPD – pela comunicação entre os titulares, a Açovisa e a Autoridade Nacional de Proteção de Dados (ANPD). São atribuições do encarregado verificar os riscos existentes, apontar as medidas corretivas e avaliar periodicamente a segurança de dados pessoais dentro da empresa, devendo também realizar eventuais comunicações necessárias com os titulares ou com o poder público.

Quaisquer questionamentos diários sobre proteção de dados pessoais devem ser encaminhados ao Encarregado para que ele possa orientar imediatamente o operador ou buscar orientação adequada junto à ANPD e outras entidades especializadas.

16. Canal de Comunicação

A Açovisa disponibiliza a todos os Usuários um canal de comunicação, onde podem ser solicitadas ou requeridas quaisquer demandas relativas a esta Política de Privacidade, através do e-mail: privacidade@acovisa.com.br.

Guarulhos, 01 de dezembro de 2020.

Francis Ricardo Bassi de Melo

Diretor Administrativo/Financeiro

Andreis Francisco Bassi de Melo

Diretor Comercial

Italo Reno Dias de Oliveira

Departamento Jurídico

Lucas Puente Fernandes

DPO – Encarregado de Proteção de Dados

Política de Privacidade e Proteção de Dados – Açovisa Indústria e Comércio de Aços Especiais Ltda. Este documento não pode ser copiado, reproduzido ou disseminado sem o prévio consentimento por escrito.