1. OBJETIVO
Este documento tem como objetivo informar você, titular dos dados, sobre como a Nexa Resources S.A. (doravante “Nexa”, “Nós” ou “Empresa”) trata seus dados pessoais, isto é, como seus dados pessoais são coletados, utilizados, compartilhados, armazenados e protegidos.
A proteção da privacidade e dos dados pessoais é um valor da Nexa. Este documento reafirma nosso respeito e compromisso com a sua privacidade e confirma que seus dados pessoais são tratados em conformidade com as leis aplicáveis, somente para finalidades informadas, buscando assegurar a devida transparência e segurança no tratamento desses dados.
2. REFERÊNCIAS
– Lei Geral de Proteção de Dados Pessoais (Lei Federal nº 13.709/2018).
– Regulamento Geral sobre a Proteção de Dados (Regulamento (UE) 2016/679, de 27 de abril de 2016).
– Lei de Proteção de Dados Pessoais (Lei nº 29733), conforme alterada pelo Decreto Legislativo 1353 (doravante, “Lei Peruana”).
– Regulamento da Lei de Proteção de Dados Pessoais, aprovado pelo Decreto Supremo nº 003-2013-JUS (doravante, “Regulamento Peruano”).
– Resolução Diretoral nº 02-2020-JUS/DGTAIPD, que regula a videovigilância.
– Diretiva sobre a Segurança da Informação Gerida por Bancos de Dados Pessoais, aprovada pela Resolução Diretoral 019-2013-JUS/DGPDP (doravante, “Diretiva Peruana de Segurança”).
– Doravante denominadas, em conjunto, “Legislação de Proteção de Dados”.
3. DEFINIÇÕES
– Dados Anonimizados: Dados que, por meio do uso de meios técnicos razoáveis disponíveis no momento do tratamento, não podem mais ser direta ou indiretamente associados a um indivíduo identificado ou identificável.
– Controlador: Pessoa natural ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao Tratamento de Dados Pessoais.
– Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer – DPO): Pessoa responsável pela supervisão e implementação da estratégia de proteção de dados na Nexa, bem como pelo desenvolvimento de mecanismos para assegurar a conformidade com os requisitos da Legislação de Proteção de Dados aplicável.
– Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador.
– Titular dos Dados: indivíduo vivo identificado ou identificável ao qual os Dados Pessoais se referem.
– Dados Pessoais: Informações relacionadas a uma pessoa natural identificada ou identificável.
– Agentes de Tratamento: o Controlador e o Operador de Dados Pessoais.
– Tratamento: Qualquer operação ou conjunto de operações realizadas com Dados Pessoais ou conjuntos de Dados Pessoais, por meios automatizados ou não automatizados, tais como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou qualquer outra forma de disponibilização, comparação ou interconexão, limitação, eliminação ou destruição.
– Terceiro: qualquer pessoa natural ou jurídica, autoridade pública, agência ou qualquer outro organismo que não seja o Titular dos Dados ou o Controlador. Qualquer fornecedor ou prestador de serviços que trate Dados Pessoais, de forma isolada ou conjunta, em nome do Controlador e atue de acordo com as instruções do Controlador.
4. LEGITIMIDADE PARA O TRATAMENTO DE DADOS
A Nexa Resources S.A. atua como Controladora nos casos em que é responsável por tomar decisões sobre o tratamento dos seus Dados Pessoais. Os Dados Pessoais podem ser tratados por nossas subsidiárias, controladas diretas e indiretas, joint ventures e afiliadas, localizadas no Brasil, Peru, Luxemburgo e outros países, sempre observando os princípios de proteção de dados, em especial os princípios da finalidade, necessidade e proporcionalidade.
5. INFORMAÇÕES QUE COLETAMOS E POR QUÊ
O tipo de Dados Pessoais e a forma como a Nexa os coleta dependem de como você se relaciona conosco e por qual motivo. De acordo com as finalidades apresentadas, somente Dados Pessoais adequados e necessários serão tratados.
Para cumprir as leis relacionadas à proteção de dados pessoais, os Dados Pessoais fornecidos pelos Titulares e coletados pela Nexa serão armazenados para as finalidades detalhadas nos seguintes Bancos de Dados Pessoais, que podem mudar ao longo do tempo conforme a evolução do nosso negócio:
A Nexa coleta, incluindo, mas não se limitando a: (i) dados de identificação, como nome completo, número de registro nacional, filiação, nacionalidade e data de nascimento; (ii) informações de contato, como endereço comercial/residencial, e-mail, telefone ou celular; (iii) histórico profissional e escolar; (iv) dados de navegação, como cookies e endereço IP; (v) dados financeiros; (vi) dados biométricos; e (vii) quaisquer dados necessários para a execução de atividades específicas da Empresa, como imagens e fotografias para fins de segurança, entre outros, que podem variar de acordo com o relacionamento entre a Nexa e você.
Não obstante o exposto, a Nexa utiliza seus Dados Pessoais para prestar serviços e atendimento de alta qualidade. Detalhamos abaixo as finalidades para as quais utilizamos seus dados:
– Identificar e autenticar você em nossos ambientes, como para permitir seu acesso a áreas operacionais e corporativas, visitas às nossas unidades e uso de plataformas da Nexa;
– Cumprir obrigações contratuais e aquelas decorrentes de concessões, permissões ou autorizações concedidas por Autoridades Públicas Competentes;
– Registrar e atender solicitações ou demandas em nossos canais de comunicação;
– Permitir contato com a nossa Ouvidoria;
– Viabilizar seu cadastro em processos de recrutamento e seleção para vagas de emprego, estágio, trainee etc., disponíveis por meio da opção Carreiras no site oficial;
– Cumprir obrigações legais e regulatórias;
– Viabilizar assistência humanitária e outras ações de assistência e interação realizadas pela Nexa com as comunidades, sejam iniciativas voluntárias ou em cumprimento de determinações gerais; responder a solicitações de agentes públicos e autoridades competentes;
– Cumprir determinações, ordens judiciais, decisões e/ou sentenças cujo cumprimento seja dirigido à Nexa;
– Verificar e manter a segurança das pessoas e das atividades operacionais no acesso, permanência e saída dos ambientes físicos da Nexa;
– Permitir a condução das atividades de negócios da Nexa, seja relacionada à execução de novos negócios e aquisições, a seus parceiros e prestadores de serviço, bem como no tratamento de ações relacionadas a ex-empregados e seus dependentes ou beneficiários;
– Analisar processos de controle executados para atestar conformidade com leis nacionais e internacionais, políticas e o código de conduta da Nexa.
A Nexa não realiza o tratamento de Dados Pessoais de crianças (menores de 12 anos) ou adolescentes (entre 12 e 18 anos), exceto: (i) em relação a filhos de empregados; (ii) no contexto de processos judiciais ou arbitrais que envolvam crianças ou adolescentes; ou (iii) para recrutamento de novos talentos para nossa equipe (no caso de jovens aprendizes ou estagiários).
6. COM QUEM COMPARTILHAMOS SEUS DADOS PESSOAIS
Para cumprir as finalidades mencionadas, a Nexa poderá compartilhar seus Dados Pessoais com terceiros localizados no território nacional e internacional. Todas essas transferências serão realizadas em conformidade com as leis e regulamentos aplicáveis. Nesses casos, a Nexa assegurará que o tratamento dos Dados Pessoais transferidos se limite às finalidades autorizadas, que as informações permaneçam confidenciais e que sejam implementadas medidas de segurança apropriadas.
A Nexa poderá compartilhar seus Dados Pessoais em determinadas situações, como exemplificado abaixo:
– Com fornecedores e parceiros, quando necessário para a prestação de serviços. Para esse compartilhamento, direitos e deveres são estabelecidos entre as partes por meio de contratos ou acordos, de modo a assegurar conformidade com a legislação aplicável;
– Com empresas afiliadas, sempre que necessário para atender às finalidades estabelecidas;
– Com autoridades judiciais, administrativas ou governamentais competentes, sempre que houver determinação legal, solicitação, ordem judicial ou para atender questionamentos, investigações ou necessidade de defesa de interesses;
– Com empresas localizadas fora do território nacional, sempre que necessário para atender finalidades específicas da Nexa. Quando houver transferência internacional de Dados Pessoais, envidaremos esforços razoáveis para assegurar medidas adequadas de segurança e proteção, em conformidade com o princípio de nível de proteção adequado ou com salvaguardas apropriadas (por exemplo, salvaguardas contratuais) implementadas; e
– Com partes interessadas em caso de transações societárias, como fusões, aquisições, incorporações e alienações, além de procedimentos de due diligence e auditorias legais no âmbito dessas transações.
7. COMO PROTEGEMOS SEUS DADOS PESSOAIS
Empregamos esforços significativos para proteger seus Dados Pessoais contra acesso não autorizado, destruição, perda, alteração, comunicação, divulgação ou qualquer forma de tratamento inadequado ou ilícito. Para isso, adotamos medidas de segurança técnicas, administrativas e organizacionais, tanto em ambientes físicos quanto digitais.
Para manter seus Dados Pessoais seguros e evitar incidentes, utilizamos credenciais de acesso (usuário e senha) robustas para acesso a nossos servidores e plataformas, onde os Dados Pessoais e os registros de acesso são armazenados, de forma a controlar e manter atualizado o inventário de acessos a Dados Pessoais.
Também realizamos, periodicamente, cópias de segurança (backups) dos Dados Pessoais. Todos os softwares, ferramentas e tecnologias utilizados pela Nexa passam por avaliação e aprovação criteriosas. Todos os Dados Pessoais tratados por nós são confidenciais e o acesso por terceiros é restrito, de modo que apenas partes previamente analisadas e autorizadas (sejam as empresas com as quais compartilhamos dados, sejam nossos empregados e colaboradores) têm acesso, sempre sujeitos a dever absoluto de confidencialidade. Não é permitido qualquer uso de Dados Pessoais de forma inadequada ou em desacordo com esta Política e com a Legislação de Proteção de Dados.
Você também deve colaborar para a manutenção da segurança dos seus Dados Pessoais, assegurando que o ambiente do seu computador ou dispositivo utilizado para acessar o site, sistemas e plataformas permaneça seguro, incluindo: (i) o uso de ferramentas adequadas, como antivírus e firewall; (ii) o uso de versões atualizadas de navegadores, sistemas operacionais e demais softwares; (iii) não compartilhar suas credenciais de acesso (usuário e senha) com terceiros; e (iv) evitar clicar em links e páginas não confiáveis e inseguras.
A Nexa não solicita, por e-mail, telefone ou WhatsApp, informações relacionadas às suas senhas de acesso. Caso você suspeite que seus Dados Pessoais tratados pela Nexa estejam em risco, entre em contato conosco.
Quando você utiliza nossos ambientes, pode ser direcionado, por meio de links, a outros portais ou plataformas, que podem coletar seus Dados Pessoais e ter suas próprias políticas de privacidade. É importante que você leia as políticas de privacidade desses portais e plataformas.
8. TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
A natureza internacional dos negócios da Nexa, a localização global de seus clientes e prestadores de serviços, além da sua organização global de gestão de recursos humanos e de tecnologia da informação, exigem comunicações e transferências de informações entre Brasil, Peru e nossa holding na União Europeia, por exemplo.
A Nexa busca assegurar que transferências internacionais de Dados Pessoais ocorram apenas para destinatários localizados em países que ofereçam nível de proteção adequado ou quando existirem salvaguardas apropriadas (por exemplo, salvaguardas contratuais), e sempre para finalidades legítimas relacionadas ao tratamento.
9. POR QUANTO TEMPO OS DADOS PESSOAIS SÃO ARMAZENADOS
Todos os Dados Pessoais coletados pela Nexa são armazenados pelo período necessário para cumprir as finalidades descritas nesta política ou até que você, como Titular, exerça seus direitos de oposição, restrição ou eliminação, solicitando a exclusão dos Dados Pessoais ou revogando o consentimento, quando aplicável.
Quando os Dados Pessoais deixarem de ser necessários ou relevantes para a finalidade específica, ou quando você exercer seus direitos como Titular, tais Dados Pessoais serão eliminados de nossas bases.
No entanto, mesmo que a finalidade tenha sido atendida, ou que você tenha revogado seu consentimento ou solicitado a eliminação dos seus Dados Pessoais, a Nexa poderá mantê-los armazenados, se necessário, para resguardar direitos, cumprir ordens judiciais ou solicitações de autoridades competentes, bem como para cumprir obrigações legais e regulatórias.
10. SEUS DIREITOS COMO TITULAR DE DADOS PESSOAIS
Você possui direitos inerentes à sua condição de Titular. Esses direitos visam proteger seus Dados Pessoais e resguardar sua privacidade. A seguir, listamos quais são esses direitos e como você pode exercê-los perante a Nexa. Caso uma lei ou regulamento específico preveja direitos adicionais não listados abaixo, a Nexa garantirá o cumprimento desses direitos.
– Direito de acesso e confirmação: Você tem o direito, a qualquer momento, de confirmar se realizamos tratamento de seus Dados Pessoais, bem como de acessar os dados tratados por nós;
– Direito de retificação: Você tem o direito de solicitar a correção ou atualização dos seus Dados Pessoais, caso verifique que estão incorretos ou desatualizados;
– Direito de eliminação/cancelamento: Você tem o direito de solicitar a eliminação ou cancelamento dos seus Dados Pessoais de um banco de dados pessoais quando não forem mais necessários ou relevantes para as finalidades para as quais foram coletados.
– Direito de anonimização, bloqueio ou eliminação: Você tem o direito de solicitar (i) a anonimização dos seus Dados Pessoais, de forma que não possam mais ser relacionados a você e, portanto, deixem de ser Dados Pessoais; (ii) o bloqueio dos seus Dados Pessoais, suspendendo temporariamente a possibilidade de tratá-los; e (iii) a eliminação dos seus Dados Pessoais, hipótese em que eliminaremos todos os seus Dados Pessoais sem possibilidade de reversão;
– Direito à portabilidade: Quando o direito à portabilidade estiver regulamentado pela Legislação de Proteção de Dados aplicável, você poderá solicitar que a Nexa forneça seus Dados Pessoais em formato estruturado e interoperável, para fins de transferência a terceiros, desde que tal transferência não viole direitos de propriedade intelectual e/ou segredos comerciais da Nexa;
– Direito de oposição/restrição: Você tem o direito de se opor ao tratamento dos seus Dados Pessoais. Deixaremos de tratar seus Dados Pessoais, salvo se pudermos demonstrar fundamentos legítimos para a continuidade do tratamento.
– Direito à informação: Você tem o direito de ser informado, de forma detalhada, simples, explícita, inequívoca e previamente à coleta dos seus Dados Pessoais, sobre: a finalidade do tratamento; quem será ou poderá ser o destinatário; a existência do banco de dados pessoais no qual seus Dados Pessoais serão armazenados; bem como a identidade e o endereço do controlador e, se aplicável, do operador dos seus Dados Pessoais. Você também deve ser informado sobre a natureza obrigatória ou facultativa das suas respostas ao questionário fornecido, especialmente em relação a dados sensíveis; a transferência dos seus Dados Pessoais; as consequências de fornecer ou recusar fornecer seus Dados Pessoais; o prazo de retenção; e a possibilidade de exercer os direitos previstos na Legislação de Proteção de Dados aplicável (incluindo apresentar reclamação perante a autoridade de proteção de dados competente).
– Direito à informação sobre compartilhamento: Você tem o direito de saber com quais entidades públicas e privadas a Nexa compartilha seus Dados Pessoais. Nesta política, mencionamos os tipos de terceiros com os quais compartilhamos dados. Em qualquer caso, se você tiver dúvidas ou quiser mais detalhes, você tem o direito de solicitar essas informações;
– Direito à informação sobre a possibilidade de não consentir: Você tem o direito de receber informações claras e completas sobre a possibilidade e as consequências de não fornecer consentimento, quando este for solicitado pela Nexa. Quando necessário, o seu consentimento deve ser livre, informado e inequívoco.
– Direito de revisão de decisões automatizadas: Você pode solicitar a revisão de decisões tomadas exclusivamente com base em tratamento automatizado de Dados Pessoais que afetem seus interesses, bem como a indicação dos critérios utilizados para tais decisões.
– Direito de revogação: Caso você tenha fornecido consentimento para o tratamento dos seus Dados Pessoais, poderá revogá-lo a qualquer tempo. Quando recebermos sua solicitação, não trataremos mais seus Dados Pessoais com base no consentimento, salvo se realizarmos o tratamento com base em outra hipótese legal (por exemplo, para continuar a cumprir contratos com você).
Para esse fim, o Titular deve encaminhar sua solicitação à Nexa por meio dos canais descritos na seção “Como contatar a Nexa” desta Política de Privacidade. A solicitação deve conter, no mínimo: (i) o nome do Titular; (ii) uma descrição clara dos Dados Pessoais relacionados ao exercício do direito à informação e/ou de outros direitos, e a indicação expressa do direito que o Titular deseja exercer; (iii) documentos ou evidências que sustentem a solicitação (como documento de identificação do Titular); (iv) um endereço de e-mail para que a Nexa possa responder; e (v) a data e assinatura.
Os prazos de resposta a solicitações relacionadas aos direitos dos Titulares podem variar conforme a lei aplicável e o direito exercido. Como diretriz geral, a Nexa responderá em: (i) oito (8) dias úteis para o direito à informação; (ii) dez (10) dias úteis para os direitos de retificação, eliminação e restrição; e (iii) vinte (20) dias úteis para o direito de acesso. Se for necessária prorrogação por circunstâncias justificadas, a Nexa poderá estender o prazo por igual período e informará o Titular (ou seu representante legal) dentro do prazo original, apresentando a justificativa.
Em alguns casos, a Nexa poderá ter motivos legítimos para não atender a uma solicitação de exercício de direitos. Essas situações incluem, por exemplo, casos em que a divulgação de determinadas informações possa violar direitos de propriedade intelectual ou segredos comerciais da Nexa ou de outras empresas do grupo, bem como casos em que pedidos de eliminação de dados não possam ser atendidos em razão da existência de obrigação de retenção, seja para cumprimento de obrigações legais, seja para viabilizar a defesa da Nexa em disputas de qualquer natureza.
Se a Nexa rejeitar ou deixar de atender a uma solicitação individual de exercício de direitos, o Titular tem o direito de apresentar reclamação contra a Nexa perante a autoridade de proteção de dados competente.
11. COMO CONTATAR A NEXA
A Nexa está sempre disponível para esclarecer dúvidas relacionadas ao tratamento dos seus Dados Pessoais e colocar você no controle dessas informações. Se você desejar exercer qualquer um dos direitos mencionados no tópico anterior, preencha o formulário disponível no link a seguir:
Encarregado pelo Tratamento de Dados Pessoais (DPO): Loren Matias
12. ALTERAÇÕES NESTA POLÍTICA DE PRIVACIDADE
Os serviços prestados pela Nexa podem mudar ao longo do tempo, especialmente para otimizar a operação do nosso site, plataformas e sistemas. Essas mudanças também podem afetar o uso dos seus Dados Pessoais, sempre observando os princípios da Legislação de Proteção de Dados, como o da finalidade. Assim, a Nexa se reserva o direito de alterar esta Política de Privacidade sem aviso prévio. Recomendamos que você revise periodicamente esta política para estar ciente de alterações e atualizações.