1. OBJETIVO

O objetivo desta Política é estabelecer uma cultura empresarial que observe os padrões nacionais e internacionais de proteção de dados pessoais, identificando as principais premissas a serem observadas que permitem que a U.S.A - Usina Santo Ângelo trate dados pessoais de maneira adequada. A U.S.A - Usina Santo Ângelo está comprometida a seguir altos padrões éticos e tecnológicos de conduzir todos os seus negócios de forma transparente e de acordo com leis, regras, regulamentos, códigos, e diretrizes aplicáveis, respeitando os direitos e liberdades fundamentais de titulares de dados, nos termos da Lei Geral de Proteção de Dados (“LGPD”), Lei n° 13.709/2018.

2. ESCOPO

Esta Política se aplica a todos os colaboradores e terceiros que de alguma maneira tratam dados pessoais para, ou em nome, da U.S.A - Usina Santo Ângelo independentemente de vínculo direto com a empresa, ou da natureza do tratamento. Entende-se por ‘Colaborador’ todos os funcionários, estagiários e jovens aprendizes da U.S.A - Usina Santo Ângelo, independentemente do cargo ou função exercida, enquanto ‘Terceiro’ são todos os prestadores de serviços, trabalhadores terceirizados, parceiros comerciais, fornecedores e representantes da Empresa.

Esta Política estabelece os padrões mínimos aplicáveis ao tratamento de dados pessoais, independentemente de onde se localizem o titular e/ou a unidade de negócio responsável pelo tratamento dessas informações, dentro ou fora do território nacional. Entende-se por ‘Tratamento de dados’ toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Por sua vez, ‘Titular’ é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Em todos os casos, aplicaremos sempre o padrão mais alto em relação à proteção de dados, seja ele estabelecido nesta política, seja ele estabelecido em legislação aplicável. Variações decorrentes de leis locais e/ou regulações setoriais serão transformadas em anexo a esta Política, e devem ser interpretados em conjunto com esta Política.

3. DEFINIÇÕES

3.1 Dado Pessoal

Informação relacionada a pessoa natural identificada ou identificável.

3.2 Dado Pessoal Sensível

Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

3.3 Dado Anonimizado

Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

3.4 Controlador

Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

3.5 Operador

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

3.6 DPO (Encarregado)

Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

3.7 Transferência Internacional de Dados

Transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.

3.8 Autoridade Nacional de Proteção de Dados (“ANPD”)

Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

3.9 Privacy by Design

Considerar as implicações de privacidade de um determinado tratamento de dados desde o início de sua concepção.

4. REGRAS GERAIS

Tratar dados pessoais é inevitável, e este tratamento pode gerar riscos para a U.S.A - Usina Santo Ângelo, por isso, devemos nos esforçar para garantir que esse tratamento ocorra de maneira adequada, de acordo com as regras desta Política e demais políticas e procedimentos aplicáveis à proteção de dados que vierem a surgir. Quaisquer dúvidas sobre como interpretar esta Política devem ser imediatamente levadas ao gestor da área e, no caso de desconhecimento, encaminhar ao DPO (Encarregado), através do e-mail: privacidade@usangelo.com.br.

4.1 Princípios

Toda a atividade na U.S.A - Usina Santo Ângelo deve observar a boa-fé no tratamento de dados, e os seguintes princípios:

• Possuir finalidade legítima, específica, explícita e informada ao titular;
• Adequar o tratamento de dados realizados às finalidades informadas ao titular;
• Reter os dados pessoais apenas pelo tempo necessário;
• Coletar apenas os dados necessários para atender às finalidades do tratamento, restringindo-nos a informações mínimas e proporcionais;
• Permitir aos titulares acessar seus dados de forma gratuita e facilitada;
• Garantir a exatidão, clareza, relevância e atualização dos dados tratados;
• Dar informações claras e precisas aos titulares sobre aspectos do tratamento de seus dados pessoais, por meio facilmente acessível;
• Proteger os dados pessoais tratados com medidas aptas a manter a integridade, disponibilidade e confidencialidade dos dados tratados de interferências acidentais ou dolosas;
• Prevenir danos aos titulares que possam ser causados pelo tratamento de seus dados pessoais;
• Certificarmo-nos de que os tratamentos realizados não resultem em atos discriminatórios, ilícitos, ou abusivos, revisitando as operações de tratamento sempre que necessário para avaliar se há possibilidade de discriminação;
• Buscar a pela correta aplicação destes princípios em todas as atividades de tratamento que realizar;
• Adotar medidas eficazes para demonstrar o cumprimento das normas de proteção de dados em toda a U.S.A - Usina Santo Ângelo, permitindo uma efetiva prestação de contas quanto ao tratamento de dados pessoais.

4.2 Registro de Atividades de Tratamento de Dados Pessoais

A U.S.A - Usina Santo Ângelo é legalmente obrigada a mapear suas atividades de tratamento de dados pessoais, e manter este Registro de Atividades de Tratamento de Dados Pessoais atualizado, o que pode ser feito tomando como diretriz o Fluxo para Atualização do Registro de Atividades de Tratamento de Dados Pessoais. Todos aqueles que tratam dados pessoais devem contribuir para a atualização deste registro informando eventuais suspeitas de inconsistências, a criação de novas atividades de tratamento, e o encerramento de atividades de tratamento antigas ao DPO (Encarregado). O DPO (Encarregado) é responsável por garantir a atualização e revisão periódica completa deste registro.

4.3 Tratamento de Dados Pessoais

Todo tratamento de dados deve ser feito em acordo com as regras estabelecidas no Aviso de Privacidade e Proteção de Dados Pessoais da U.S.A - Usina Santo Ângelo. Assim, a U.S.A - Usina Santo Ângelo deve implementar Avisos de Privacidade sempre e quando coletar dados pessoais de titulares, tanto internos quanto externos à U.S.A - Usina Santo Ângelo. Os Avisos de Privacidade descrevem quais dados são coletados, como e porquê eles serão utilizados, e devem ser fornecidos antes da coleta dessas informações.

Além disso, todo tratamento deve considerar questões de privacidades desde o início da coleta, sendo essencial que as atividades de tratamento estejam adequadas à LGPD e outras leis de proteção de dados que venham a ser aplicáveis. Em certos casos, a área responsável pela atividade deverá realizar um Relatório de Impacto à Proteção de Dados (“RIPD”), documentação que contém a descrição dos processos de tratamento de dados pessoais que podem  acarretar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco para demonstrar que a atividade proposta é adequada e não fere direitos dos titulares de dados.

Dados sensíveis naturalmente tem um maior potencial de causar danos aos titulares. Portanto, tem hipóteses mais restritas para serem usados. Em certos casos, pode ser que precisemos pedir o consentimento dos titulares para a atividade.

4.4 Compartilhamento de Dados

É nosso dever garantir que os dados que recebemos foram coletados observando às diretrizes da LGPD. Igualmente, é nossa responsabilidade obrigar àqueles que recebem dados pessoais que nós coletamos a tratá-los de acordo com a LGPD.

No Compartilhamento de Dados Pessoais, devemos ser diligentes ao escolher parceiros, e restringir as informações enviadas ao mínimo necessário para realização da atividade. Para isso, devemos aplicar cláusulas contratuais sobre privacidade e proteção de dados avaliadas e com o suporte do Jurídico da U.S.A - Usina Santo Ângelo. Nos casos em que o compartilhamento de dados cruzar fronteiras nacionais, cuidados adicionais podem precisar ser tomados, de acordo com o país de destino de certa informação.

4.5 Incidentes de Dados Pessoais

Se houver suspeita de um incidente envolvendo dados pessoais, os envolvidos, poderão acionar o DPO (Encarregado) imediatamente para que possa verificar esta ocorrência e tomar as medidas necessárias.

Todo colaborador será responsável por notificar a ocorrência de eventuais incidentes ao DPO (Encarregado) por meio do e-mail: privacidade@usangelo.com.br.

4.6 Geração de Evidências

Todo programa de conformidade deve gerar evidências. No caso de um titular, ou a ANPD questionarem a implementação do Programa de Privacidade e Proteção de Dados Pessoais, nós devemos ser capazes de produzir documentos que atestem a existência de nosso programa. Nosso programa é composto por políticas e procedimentos que devem nortear o uso de dados pessoais na U.S.A - Usina Santo Ângelo, tendo como principais documentos os listados abaixo:

5. DIREITO DOS TITULARES

Os titulares possuem diversos direitos relacionados a seus dados pessoais. É obrigação da U.S.A - Usina Santo Ângelo permitir que esses titulares exerçam seus direitos de forma gratuita e simplificada. Dentre os pedidos que podem ser feitos estão o de: confirmação da existência de tratamento, acesso aos dados, correção de informação, restrição de dados excessivos, portabilidade de dados a outro fornecedor, recusar de dar consentimento, revogar consentimento previamente dados, eliminar dados tratados com base num consentimento pregresso, informação sobre compartilhamentos já realizados, e revisão de decisões automatizadas.

A confirmação do tratamento de dados pessoais e o acesso (simples ou completo) a essas informações deve ser feito em até 72 horas do pedido. Os outros direitos serão regulamentados posteriormente pela Autoridade Nacional de Proteção de Dados.

6. RESPONSÁVEIS PELO PROGRAMA DE PRIVACIDADE

Para que o programa de privacidade da U.S.A - Usina Santo Ângelo se mostre efetivo e produza resultados positivos, é de grande importância que todos os colaboradores, gestores, diretores, funcionários, prestadores de serviços, dentre outros, observem as disposições contidas neste documento, levando em consideração que os atos de quaisquer colaboradores da U.S.A - Usina Santo Ângelo poderão repercutir para a Companhia como um todo. Para facilitar o controle de conteúdo, datas de publicação e prazos para revisão, os documentos de governança relacionados à privacidade (incluindo esta Política) devem ser controlados e gerenciados pelo DPO (Encarregado) competindo a este juntamente com os setores de T.I, RH e Jurídico, a gestão desta política interna com a LGPD, incluindo a fiscalização de cumprimento, atualização de políticas e procedimentos, e treinamento de colaboradores.

Com o apoio dos responsáveis descritos acima, para a garantia do cumprimento das normas de privacidade e proteção de dados pessoais, os pontos a seguir devem ser observados por todos, sem prejuízo dos demais pontos desta política:

• Os colaboradores possuem como dever primário o de garantir a integridade, disponibilidade e confidencialidade dos dados pessoais tratados no exercício de suas funções;
• O tratamento dos dados pessoais deverá, necessariamente, observar as finalidades propostas, não permitido o tratamento incompatível ou excessivo ou para finalidades diversas, sem que haja a expressa autorização da U.S.A - Usina Santo Ângelo, o qual previamente validou esta nova finalidade com o titular das informações;
• O colaborador deverá se utilizar do mínimo de informações necessárias para o cumprimento das finalidades pretendidas e regular exercício de suas funções;
• Os dados pessoais tratados no exercício da função deverão necessariamente ser armazenados em local seguro e oficialmente aprovados pela U.S.A - Usina Santo Ângelo, sendo vedado o armazenamento não autorizado em ambientes próprios, como notebooks ou área de trabalho de computadores, sem prejuízo do disposto no Procedimento de Manuseio de Dados Pessoais;
• Os dados pessoais tratados no exercício da função não poderão ser apagados, deletados ou anonimizados, sem que haja comando direto da U.S.A - Usina Santo Ângelo para tanto.
• Os dados pessoais tratados no exercício da função, como regra, não poderão ser enviados para endereços de e-mail pessoal ou dispositivos remotos como pen drives, celulares, HDs Externos ou outro meio capaz de gravar e distribuir tais dados.

Violações desta política, por parte dos colaboradores, poderão ocasionar a aplicação de medidas disciplinares, nos termos dos códigos e procedimentos estabelecidos pela U.S.A - Usina Santo Ângelo, bem como pela Consolidação das Leis do Trabalho (CLT) Decreto-Lei n° 5.452/1943, sem prejuízo das ações cíveis e criminais aplicáveis ao agente.

Em caso de dúvidas relacionadas à privacidade e/ou proteção de dados, entre em contato conosco pelos seguintes meios:

E-mail: privacidade@usangelo.com.br

7. DISPOSIÇÕES FINAIS

Violações às regras contidas nesssa Política Interna de Privacidade e Proteção de Dados Pessoais podem ocasionar a aplicação de medidas disciplinares, nos termos dos códigos, políticas e procedimentos internos estabelecidos.

Esta Política será revisada sempre que houver mudanças no Programa de Governança em Privacidade e Proteção de Dados Pessoais da U.S.A - Usina Santo Ângelo, ou a cada 2 (dois) anos.