POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS
O Instituto Brasileiro de Mineração (“IBRAM” ou “Instituto”), organização nacional privada sem fins lucrativos, foi criado para representar as empresas e instituições que atuam no setor mineral, na busca do estabelecimento de um ambiente favorável aos negócios, à competitividade e ao desenvolvimento sustentável. Por meio de suas ações, o IBRAM busca promover a indústria mineral brasileira, estimular a pesquisa, o desenvolvimento, a inovação e o uso das melhores tecnologias disponíveis. Objetiva, ainda, proporcionar foros para intercâmbio de conhecimento e experiências, realizando congressos, exposições, cursos, seminários, bem como contribuir para a competitividade, fomentando o desenvolvimento sustentável, o respeito ao meio ambiente e uso das melhores práticas de segurança e saúde ocupacional dos trabalhadores a ele dedicados. No âmbito de sua atuação, o IBRAM preza pela liberdade de expressão, de informação, de comunicação, de opinião, bem como a Proteção de Dados. Neste cenário, foi elaborada a presente Política de Privacidade e Proteção de Dados Pessoais (“Política”), prestigiando, notadamente: o respeito à privacidade; a autodeterminação informativa; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico, tecnológico e inovação; e demais princípios indispensáveis ao desenvolvimento econômico, social e individual. De igual modo, considerando os princípios, as normas e as diretrizes globais de Proteção de Dados Pessoais refletidos nessa Política, a direção do IBRAM, engajada e atenta às demandas sociais e mudanças legislativas, por meio desta Política, reafirma seu compromisso com os direitos e liberdades fundamentais das pessoas, notadamente o direito à proteção e à privacidade dos Dados Pessoais.
Definições
No decorrer dessa Política, adotamos os termos abaixo listados com os respectivos significados:
- Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do Tratamento, por meio dos quais, um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
- Autoridade Nacional de Proteção de Dados (“ANPD”): órgão da Administração Pública responsável por fiscalizar o cumprimento da Lei Geral de Proteção de Dados (“LGPD”) em todo território nacional;
- Banco de Dados: conjunto estruturado de Dados Pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
- Base Legal: fundamentação legal que torna legítimo o Tratamento de Dados Pessoais para uma determinada Finalidade;
- Bloqueio: suspensão temporária de qualquer operação de Tratamento de Dados Pessoais;
- California Consumer Privacy Act (“CCPA”): Trata-se de uma lei de Proteção de Dados do Estado da Califórnia, nos Estados Unidos, voltadas ao consumidor. Ela reúne regras que devem ser seguidas por empresas que tratam Dados Pessoais no estado.
- Consentimento: manifestação livre, informada e inequívoca pela qual o Titular concorda com o Tratamento de seus Dados Pessoais para uma Finalidade determinada. Vale destacar que o Consentimento não é a única Base Legal que autoriza o Tratamento de dados, mas apenas uma das hipóteses;
- Controlador de Dados ou Controlador: pessoa física ou jurídica que, individualmente ou em conjunto com outrem, determina as Finalidades e os meios de Tratamento de Dados Pessoais do IBRAM;
- Dados Anonimizados: são os dados relativos a um Titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião do seu Tratamento;
- Dados Pessoais: toda informação relacionada a uma pessoa natural identificada ou identificável, que abrange, mas não se limita ao nome, sobrenome, apelido, idade, endereço residencial ou eletrônico, podendo incluir dados de localização, placas de automóvel, perfis de compras, dados acadêmicos, histórico de compras, entre outros;
- Dados Pessoais Sensíveis: são dados relacionados às características da personalidade do indivíduo e/ou suas escolhas pessoais, tais como origem racial ou étnica, convicção religiosa, opinião Política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente a saúde ou a vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- Data Protection Officer (“DPO” ou “Encarregado”): pessoa física ou jurídica indicada pelo IBRAM, como elo de comunicação entre o Controlador, os Titulares dos dados e a ANPD;
- Eliminação de Dados Pessoais: exclusão após o término do Tratamento dos Dados Pessoais ou cumprimento das Finalidades, determinações legais e/ou requisições do Titular, sempre que não houver a Anonimização;
- General Data Protection Regulation (“GDPR”): Regulamento Geral de Proteção de Dados aprovado pelo Parlamento Europeu e Conselho da União Europeia, visando estabelecer regras sobre a Privacidade e Proteção de Dados dos cidadãos da União Europeia.
- Legítimo Interesse: Base Legal que pode fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, conforme art. 10 da LGPD;
- Operador: refere-se à uma pessoa física ou jurídica que trata Dados Pessoais em nome do Controlador de Dados;
- Retenção de Dados Pessoais: armazenamento de todos os Dados Pessoais fornecidos pelo Titular a IBRAM para a consecução de suas atividades ou até eventual requerimento de Eliminação;
- Terceiros: todos aqueles que não integrem a estrutura organizacional da IBRAM;
- Titular: pessoa a quem se referem os Dados Pessoais que são objeto de algum Tratamento;
- Transferência de Dados: transferência de Dados Pessoais, seja ela nacional (internamente no Brasil para qualquer pessoa física ou jurídica) ou internacional (para país estrangeiro ou organismo internacional do qual o país seja membro);
- Tratamento: qualquer operação ou conjunto de operações que é realizada mediante Dados Pessoais, por meios automáticos ou não, tal como coleta, registro, organização, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, Transferência, disseminação ou de outra forma disponibilização, alinhamento ou combinação, Bloqueio, difusão, extração, Eliminação ou destruição; e
- Violação de Dados Pessoais: qualquer ofensa, real ou suspeita, de segurança que ocasione tanto a destruição total, quanto a parcial dos dados, além de perda ou alteração em sua composição. Ainda, considera-se Violação de Dados Pessoais, a divulgação ou transmissão não autorizada de Dados Pessoais, armazenamento, transformação ou o acesso indevido de qualquer outro modo.
Escopo
Esta Política estabelece diretrizes e parâmetros específicos visando o cumprimento e a Adequação do IBRAM às regras vigentes na Lei nº 13.709/18, Lei Geral de Proteção de Dados (“LGPD”), bem como às boas práticas no uso e Tratamento de Dados Pessoais. Ambiciona-se, portanto, defender os interesses da indústria mineral para prestação de serviços com qualidade, no Brasil e no exterior, e em conformidade com a LGPD, sobretudo, em relação às políticas internas do IBRAM, bem como seus valores, princípios e procedimentos operacionais.
Objetivo
Esta Política visa descrever procedimentos/condutas que assegurem e reforcem o compromisso do IBRAM não apenas em relação ao cumprimento da LGPD, mas também com as práticas e regulações a serem seguidas durante a condução das atividades e operações de Tratamento de Dados Pessoais realizadas pelo Instituto e pelos destinatários desta Política. Ainda, o IBRAM objetiva, por meio desta Política, ratificar o seu compromisso com a segurança das informações de todos os atores envolvidos em suas atividades, sejam eles clientes, parceiros comerciais, prestadores de serviços e Terceiros.
Alcance
Esta Política é dirigida a todos os colaboradores do IBRAM, efetivos ou temporários, aos associados, parceiros comerciais, prestadores de serviços, Terceiros que atuem em nome da empresa e, também, aos Titulares dos Dados Pessoais.
Legislação e regramentos aplicáveis
A presente Política foi desenhada com base nas normas previstas na legislação brasileira, em especial a LGPD, nos princípios previstos em outros ordenamentos jurídicos pátrios relacionados à matéria, e nos tratados internacionais em que a República Federativa do Brasil seja parte. Também deverão ser observadas a Lei do Marco Civil da Internet (Lei nº 12.965/14), o Código de Defesa do Consumidor (Lei nº 8.078/90), o Código Civil (Lei nº 10.406/02), a Lei de Defesa da Concorrência (Lei nº 12.529/11), a Constituição da República Federativa do Brasil de 1988, e outras normas, no que couberem.
Princípios do Tratamento de Dados Pessoais
No Tratamento de Dados Pessoais, o IBRAM levará em conta e respeitará os princípios legais de Tratamento de Dados Pessoais abaixo:
- Adequação: o Tratamento de Dados Pessoais deve guardar compatibilidade com a Finalidade informada ao seu Titular, ou seja, deve estar em consonância com as Finalidades pretendidas para o escopo;
- Finalidade: os Dados Pessoais deverão ser recolhidos para o intuito determinado, explícito e legítimo no momento de sua coleta. Deste modo, os Dados Pessoais recolhidos não deverão ser utilizados para propósito diverso do que informado ao seu Titular;
- Legalidade: o Tratamento de Dados Pessoais será considerado legal, se for fundamentado em pelo menos uma das Bases Legais estabelecidas nesta Política;
- Livre Acesso: ao Titular deverá garantida a consulta facilitada e gratuita sobre a forma e a duração do Tratamento, bem como sobre a integralidade de seus Dados Pessoais;
- Não Discriminação: os Dados Pessoais não deverão ser tratados para fins discriminatórios, ilícitos ou abusivos;
- Necessidade: limitação do tratamento ao mínimo necessário para atingir a Finalidade, evitando-se o Tratamento excessivo de Dados Pessoais;
- Prevenção: deverão ser adotadas medidas para prevenir a ocorrência de danos em virtude do Tratamento de Dados Pessoais;
- Qualidade: os Dados Pessoais tratados precisam ser exatos, claros, relevantes e atualizados de acordo com a necessidade e para o cumprimento da Finalidade de seu Tratamento;
- Responsabilização: o Controlador será responsável por garantir o cumprimento e demonstração de conformidade de cada operação de Tratamento de Dados Pessoais com os requisitos estabelecidos nesta Política;
- Segurança: os Dados Pessoais serão Processados de modo a garantir a segurança adequada ao processo, incluindo a proteção contra Tratamento não autorizado ou indevido, e contra perda, destruição e danos acidentais, usando medidas técnicas e organizacionais adequadas;
- Transparência: quando forem coletados Dados Pessoais, o Titular deverá estar ciente, e ainda, previamente informado, de quem será(ão) o(s): Controlador(es) de Dados; Operador(es); Encarregado; Terceiro(s) a quem os Dados Pessoais poderão ser transmitidos; e objetivo(s) do Tratamento.
Proteção de Dados Pessoais
Todos os colaboradores do IBRAM, efetivos ou temporários, os parceiros comerciais, prestadores de serviços e Terceiros que atuem em seu nome, deverão cumprir todas as leis locais referentes à proteção de Dados Pessoais e proteção de direitos e liberdades dos Titulares cujos Dados Pessoais, eventualmente, sejam tratados no âmbito de sua atuação profissional. A estrutura de gestão de privacidade do IBRAM visa assegurar a proteção adequada do Tratamento de Dados Pessoais e:
- atender aos próprios requisitos de gerenciamento do Banco de Dados Pessoais do IBRAM;
- apoiar os objetivos dos projetos desenvolvidos e as obrigações deles decorrentes;
- impor controles em consonância com o nível aceitável de riscos dos projetos desenvolvidos;
- garantir o cumprimento de obrigações legais aplicáveis, regulatórias, contratuais e/ou profissionais; e
- proteger os interesses dos Titulares dos Dados Pessoais.
Uso de Dados Pessoais
No exercício de suas atividades, e desde que atendidas as normas e diretrizes desta Política, o IBRAM poderá utilizar Dados Pessoais:
- para consecução de recrutamento/seleção de pessoas;
- para cadastrar, identificar, e monitorar o acesso de pessoas aos eventos (e.g. congressos; palestras; simpósios) realizados pelo IBRAM;
- para confeccionar relatórios de gestão dos eventos;
- para a realizar parcerias comerciais, desenvolvimento e conformidade dos serviços prestados;
- para Marketing de e-mail (“Mailing”) com o propósito de contatar o Titular dos Dados Pessoais, por intermédio de boletins informativos, materiais de marketing, promocionais e outros meios;
- para entrar em contato com Titular (e.g. por e-mail, chamadas telefônicas, SMS ou outros meios digitais), desde que prévia e especificamente autorizado;
- para compartilhamento com prestadores de serviços e parceiros de negócios, desde que autorizados, para fins de desenvolvimento de suas atividades.
- para a proteção de crédito (e.g. consulta ao Serasa) em suas transações comerciais; e
Tratamento de Dados Sensíveis
No bojo de atuação do IBRAM, o Tratamento de Dados Pessoais Sensíveis será realizado para as seguintes Finalidades:
- preenchimento de ficha(s) contendo informações de filiação de partidária sindical;
- biometria digital e facial;
- controle de documentos médicos (e.g. exame médico admissional, exame toxicológico, exame de COVID-19 e demais exames médicos ocupacionais); e
- preenchimento de ficha(s) com informações pessoais em sua Base de Dados (e.g Número de Passaporte).
O IBRAM reconhece ainda, a relevância e especificidade que envolvem o Tratamento de Dados Pessoais Sensíveis e, por esta razão, assume o compromisso de adotar medidas especiais de salvaguarda (e.g. segregação dos dados; criptografia; Anonimização).
Bases legais
O Tratamento de Dados Pessoais no âmbito da atuação do IBRAM, assenta-se em fundamento(s) jurídico(s), conforme previsto na LGPD. Assim, primordialmente o fundamento jurídico deverá ser identificado e registrado. Contudo, o tratamento sem qualquer Base Legal ou fundamento jurídico será considerado ilegal e deverá ser interrompido imediatamente. Neste ínterim, referido procedimento poderá ser respaldado por pelo menos uma das Bases Legais abaixo descritas:
- Consentimento prévio do Titular dos Dados Pessoais;
- cumprimento de obrigação legal ou regulatória;
- quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o Titular, a pedido do Titular dos Dados Pessoais;
- cumprimento de uma tarefa realizada no interesse público ou para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
- para a proteção da vida ou da incolumidade física do Titular ou de Terceiro;
- Legítimo Interesse, exceto nos casos em que prevalecerem direitos e liberdades fundamentais do Titular que exijam a proteção dos Dados Pessoais; e
- proteção do crédito.
Consentimento
O IBRAM, em sua atuação, observará preferencialmente, o Tratamento de Dados Pessoais com base no Consentimento dos Titulares de Dados. Para tanto, ao(s) Operador(es) dos Dados Pessoais, seguindo as diretrizes estabelecidas nesta Política, deverão assegurar e certificar que o Titular forneceu o Consentimento de modo livre, específico e previamente informado. Neste diapasão, o Consentimento deverá ser dado sob a forma de declaração expressa, inequívoca e clara do Titular dos Dados Pessoais. Lado outro, se obtido sob coação ou com base em informações enganosas, o Consentimento não será considerado uma base jurídica válida para o Tratamento de Dados Pessoais pelo IBRAM. Não obstante, o Titular dos Dados Pessoais, poderá ainda revogar seu Consentimento, a qualquer momento, mediante expressa manifestação encaminhada ao IBRAM, na pessoa do Encarregado, através dos meios de comunicação indicados ao final desta Política. Ademais, caso o(s) Operador(es) identifique(m) que a Base Legal do Consentimento não foi atendida ou que esse não foi obtido de maneira válida e lícita, o Tratamento de Dados Pessoais deverá ser imediatamente paralisado e o IBRAM, na pessoa do Encarregado, deverá ser prontamente notificada.
Direitos de Titulares de Dados
O IBRAM, no âmbito desta Política e de sua atuação, deverá zelar e respeitar os seguintes direitos dos Titulares:
- direito de acesso às informações sobre o Tratamento dos Dados Pessoais mantidos e/ou eventualmente divulgados ou transferidos;
- direito de se opor, restringir, parar ou impedir o Tratamento;
- direito de correção de qualquer erro em seus Dados Pessoais;
- direito de eliminação de Dados Pessoais das Bases de Dados Pessoais, ressalvadas as hipóteses legais de armazenamento;
- direito de receber seus Dados Pessoais em um formato estruturado, legível;
- direito de revogar o seu Consentimento para as Finalidades de Tratamento de Dados Pessoais a ele atreladas;
- direito de informação sobre os desdobramentos de sua relação com o IBRAM;
- direito de portabilidade dos Dados Pessoais, mediante requerimento, para que os Dados Pessoais sob Tratamento sejam transferidos a outro prestador de serviço indicado pelo Titular; e
- direito de Anonimização ou Bloqueio, mediante prévia solicitação.
Entretanto, é importante observar que os direitos dos Titulares não são absolutos, uma vez que o IBRAM se sujeita ao cumprimento de obrigações legais impostas em virtude da LGPD e demais normativos e/ou obrigações regulatórias. Ocorre que, em determinadas situações, os Dados Pessoais podem ser essenciais para o exercício regular de direitos em processo judicial, administrativo ou arbitral, fatos esses que podem configurar hipóteses impeditivas ao atendimento de determinadas requisições do Titular de Dados Pessoais. Na eventual hipótese de requisição de exercício de direito, pelo Titular dos Dados Pessoais, cumprirá ao(s) Operador(es), seguindo as diretrizes estabelecidas nesta Política, verificar eventual hipótese impeditiva do exercício do direito do Titular. E caso haja algum impeditivo, caberá ainda ao(s) Operador(es) registrar e comunicar ao DPO, para que o Titular seja, justificadamente, notificado acerca do não atendimento.
Segurança de Dados Pessoais
Todos os colaboradores, efetivos ou temporários, são responsáveis por garantir que os Dados Pessoais tratados pelo IBRAM, sejam mantidos de forma segura, por meio das medidas técnicas/organizacionais adequadas para evitar a Violação dos Dados Pessoais mantidos sob o controle da empresa. De igual modo, os Dados Pessoais devem ser acessados apenas por aquelas pessoas físicas/jurídicas, cujos acessos individualizados foram concedidos ou autorizados. Ficando assim, terminantemente proibida qualquer tipo de ação que importe na alteração, Violação ou acesso indevido ao nível de hierarquia não autorizado/permitido pelo IBRAM. Lado outro, todos os Dados Pessoais inoperantes/inativos, deverão ser descartados ou Anonimizados (codificados/criptografados) para a Segurança do Titular e do próprio IBRAM, conforme diretrizes estabelecidas nesta Política. Por fim, o IBRAM ressalva que o seu site poderá conter links para outros sites que não são operados pela empresa. Adverte-se, entretanto, que o IBRAM não detém controle sobre domínios eletrônicos mantidos por outras pessoas físicas/jurídicas, não sendo responsável, portanto, pelo(s): conteúdo; sites; políticas de privacidade; ou quaisquer serviços de Terceiros que não estejam diretamente relacionados com as suas atividades.
Divulgação e Transferência de Dados Pessoais para Terceiros
As divulgações sem o Consentimento do titular, serão permitidas somente quando as informações forem solicitadas para uma ou mais das seguintes hipóteses:
- para o cumprimento de obrigação legal ou regulatória do IBRAM;
- Tratamento compartilhado de Dados Pessoais necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
- exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, nos termos das legislações cabíveis;
- proteção da vida ou da incolumidade física do Titular ou de Terceiro;
- proteção do crédito, inclusive quanto ao disposto na legislação pertinente;
- quando for necessário atender aos interesses legítimos do IBRAM ou de Terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do Titular que exijam a proteção dos Dados Pessoais.
Deste modo, todos os pedidos de fornecimento de Dados Pessoais fundados nas hipóteses acima descritas, devem ser respaldados por documentação adequada e especificamente autorizadas pelo Encarregado do Tratamento de Dados Pessoais.
Transferência e Tratamento de Dados Pessoais de Estrangeiros
Na eventual hipótese de Tratamento de Dados Pessoais de Estrangeiros e/ou Transferência internacional de Dados Pessoais, o IBRAM deverá evidenciar e formalizar o Tratamento ou Transferência, conforme o caso, obedecendo, notadamente, os princípios, limites legais e direitos dos titulares, em consonância com o disposto no art. 33, da LGPD, e demais diplomas legais vigentes (e.g “GDPR”; “CCPA”). De igual modo, o IBRAM observará as normas e diretrizes locais, bem como analisará os aspectos de cada caso de transferência individualmente (e.g. grau de proteção de dados pessoais adequado ao previsto na LGPD, normas corporativas globais, selos, certificados e outros), assegurando, a confidencialidade, privacidade e sigilo dos dados transferidos.
Armazenamento, Retenção e Eliminação de Dados Pessoais
Os Dados Pessoais serão retidos pelo período necessário ao cumprimento dos trabalhos desenvolvidos pelo IBRAM ou para o exercício de demais hipóteses legais, conforme item 10 desta Política. Quando não, serão adotadas a Eliminação, ou ainda, a Anonimização dos Dados Pessoais, que só poderão ser realizados em consonância com as diretrizes estabelecidas nesta Política. Os Dados Pessoais mantidos por meio de registros manuais ou eletrônicos que tenham atingido a data de Retenção, deverão ser descartados como “lixo confidencial”, colocadas em desuso, removidas e destruídas imediatamente. Entretanto, tendo em vista que as ferramentas e metodologias online implantadas oferecem maior confiabilidade e menor exposição ao risco de Vazamento, perda e outros incidentes de Segurança, o IBRAM desencoraja o uso de registros manuais, sobretudo aqueles relativos à Dados Pessoais. Na eventual hipótese de solicitação de Eliminação de Dados Pessoais pelo seu Titular, o IBRAM, se reserva o direito de mantê-los no seu Banco de Dados, para o cumprimento de obrigações legais, resolver disputas, manter a Segurança, evitar fraudes, abusos, garantir o cumprimento de contratos, ou ainda, prestar informações à órgãos públicos, passo em que os Dados Pessoais deverão ser Anonimizados.
Mudanças nesta Política
A presente Política está sujeita à constante melhoria e aprimoramento para garantir mais Transparência e Segurança aos Titulares dos Dados Pessoais. Assim, o IBRAM se reserva o direito de modificar a qualquer momento, de forma unilateral, o presente documento. Destarte, a direção do IBRAM deverá comunicar eventual alteração desta Política. De igual modo, considera-se, para os fins adotados nesta Política, que os Titulares dos Dados Pessoais automaticamente concordarão com o teor das modificações realizadas.
Efetividade e cumprimento desta Política
O IBRAM adotará todos os meios e enforcements necessários para assegurar o efetivo cumprimento desta Política, tais como divulgação desta Política, adesão aos termos de anuência, adequações contratuais, treinamentos, sanções disciplinares e outras medidas que se fizerem necessárias.
Contato
Para esclarecimentos, dúvidas ou solicitações adicionais, o Titular dos Dados Pessoais deverá entrar em contato com o Encarregado, via: e-mail ibram@ibram.org.br; site www.ibram.org.br; ou telefone (31) 3223-6751.
INSTITUTO BRASILEIRO DE MINERAÇÃO – IBRAM