1. OBJETIVO
Este documento tiene por objetivo informarle a usted, titular de los datos, cómo Nexa Resources S.A. (en adelante, “Nexa”, “Nosotros” o la “Compañía”) trata sus datos personales, es decir, cómo sus datos personales se recopilan, usan, comparten, almacenan y protegen.
La protección de la privacidad y de los datos personales es un valor de Nexa, y este documento reafirma nuestro respeto y compromiso con su privacidad y confirma que sus datos personales se tratan de conformidad con la normativa aplicable y únicamente para finalidades informadas, procurando brindarle la debida transparencia y seguridad en el tratamiento de estos datos.
2. REFERENCIAS
– Ley General de Protección de Datos Personales (Ley Federal N.º 13.709/2018 – Brasil).
– Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 de 27 de abril de 2016).
– Ley de Protección de Datos Personales (Ley N.º 29733), modificada por el Decreto Legislativo N.º 1353 (en adelante, la “Ley Peruana”).
– Reglamento de la Ley de Protección de Datos Personales, aprobado por el Decreto Supremo N.º 003-2013-JUS (en adelante, el “Reglamento Peruano”).
– Resolución Directoral N.º 02-2020-JUS/DGTAIPD, que regula la videovigilancia.
– Directiva sobre la Seguridad de la Información Administrada por Bancos de Datos Personales, aprobada por la Resolución Directoral N.º 019-2013-JUS/DGPDP (en adelante, la “Directiva Peruana de Seguridad”).
En conjunto, la “Legislación de Protección de Datos”.
3. DEFINICIONES
– Datos Anonimizados: Datos que, mediante el uso de medios técnicos razonables disponibles en el momento del tratamiento, ya no pueden asociarse directa o indirectamente con una persona identificada o identificable.
– Responsable del Tratamiento (Controlador): Persona natural o jurídica, de derecho público o privado, responsable de las decisiones relativas al tratamiento de datos personales.
– Delegado de Protección de Datos (DPO): Persona responsable de la supervisión e implementación de la estrategia de protección de datos en Nexa, así como del desarrollo de mecanismos para asegurar el cumplimiento de los requisitos de la Legislación de Protección de Datos aplicable.
– Encargado del Tratamiento (Operador): Persona natural o jurídica, de derecho público o privado, que realiza el tratamiento de datos personales por cuenta del Responsable del Tratamiento.
– Titular de los Datos: Persona natural viva identificada o identificable a la que se refieren los Datos Personales.
– Datos Personales: Información relacionada con una persona natural identificada o identificable.
– Agentes de Tratamiento: El Responsable del Tratamiento y el Encargado del Tratamiento de Datos Personales.
– Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre Datos Personales o conjuntos de Datos Personales, por medios automatizados o no automatizados, tales como recopilación, registro, organización, estructuración, almacenamiento, adaptación o modificación, extracción, consulta, uso, divulgación por transmisión, difusión o cualquier otra forma de habilitar el acceso, comparación o interconexión, limitación, eliminación o destrucción.
– Tercero: Cualquier persona natural o jurídica, autoridad pública, entidad u otro organismo distinto del Titular o del Responsable del Tratamiento. Cualquier proveedor o prestador de servicios que trate Datos Personales de forma exclusiva o conjunta por cuenta del Responsable del Tratamiento y actúe conforme a las instrucciones del Responsable del Tratamiento.
4. LEGITIMIDAD PARA EL TRATAMENTO DE DATOS PERSONALES
Nexa Resources S.A. actúa como Responsable del Tratamiento en los casos en que Nexa es responsable de tomar decisiones sobre el tratamiento de sus Datos Personales. Los Datos Personales podrán ser tratados por nuestras subsidiarias, subsidiarias directas e indirectas, joint ventures y afiliadas ubicadas en Brasil, Perú, Luxemburgo y otros países, siempre respetando los principios de protección de datos, en particular los principios de finalidad, necesidad y proporcionalidad.
5. INFORMACIÓN QUE RECOPILAMOS Y POR QUÉ
El tipo de Datos Personales y la forma en que Nexa los recopila dependen de cómo usted interactúa con nosotros y del motivo. De acuerdo con las finalidades presentadas, solo se tratarán los Datos Personales adecuados y necesarios.
Para cumplir con las leyes relacionadas con la protección de datos personales, los Datos Personales proporcionados por los Titulares y recopilados por Nexa se almacenarán para las finalidades detalladas en los siguientes Bancos de Datos Personales, los cuales pueden cambiar de tiempo en tiempo conforme evolucione nuestro negocio:
Nexa recopila, entre otros, (i) datos de identificación, tales como nombre completo, registro nacional, filiación, nacionalidad y fecha de nacimiento; (ii) información de contacto, como dirección comercial/domiciliaria, correo electrónico, teléfono o celular; (iii) historial profesional y académico; (iv) datos de navegación, como cookies y dirección IP; (v) datos financieros; (vi) datos biométricos; y (vii) cualquier dato necesario para la ejecución de actividades específicas de la Compañía, como imágenes y fotografías con fines de seguridad, entre otros, que pueden variar según la relación entre Nexa y usted.
Sin perjuicio de lo anterior, Nexa utiliza sus Datos Personales para brindar servicios y atención de alta calidad. A continuación, detallamos las finalidades para las cuales utilizamos sus datos:
– Identificarlo y autenticarlo en nuestros entornos, por ejemplo para permitirle el acceso a áreas operativas y corporativas, visitas a nuestras unidades y uso de plataformas de Nexa;
– Cumplir obligaciones contractuales y aquellas derivadas de concesiones, permisos o autorizaciones otorgadas por las Autoridades Públicas Competentes;
– Registrar y gestionar solicitudes o requerimientos en nuestros canales de comunicación;
– Permitir el contacto con nuestro Ombudsman;
– Permitir su registro en los procesos de reclutamiento y selección de candidatos para vacantes, prácticas, programas trainee, etc., disponibles a través de la opción Careers en el sitio web oficial;
– Cumplir obligaciones legales y regulatorias;
– Permitir acciones de ayuda humanitaria y otras acciones de asistencia e interacción realizadas por Nexa con las comunidades, ya sea como iniciativas voluntarias o por cumplimiento de mandatos generales; y atender solicitudes de agentes públicos y autoridades competentes;
– Cumplir determinaciones, órdenes judiciales, decisiones y/o sentencias cuyo cumplimiento sea exigible a Nexa;
– Verificar y mantener la seguridad de las personas y de las actividades operativas desde el acceso, permanencia y salida de los entornos físicos de Nexa;
– Permitir la realización de las actividades empresariales de Nexa, ya sea relacionadas con la ejecución de nuevos negocios y adquisiciones, con sus socios y prestadores de servicios, así como en la gestión de acciones relacionadas con excolaboradores y sus dependientes o beneficiarios;
– Analizar procesos de control ejecutados para acreditar el cumplimiento de leyes nacionales e internacionales, políticas y el Código de Conducta de Nexa.
Nexa no trata Datos Personales de niños (menores de 12 años) ni de adolescentes (entre 12 y 18 años), salvo en el caso de hijos de colaboradores; en el contexto de procesos judiciales o arbitrales que involucren a niños o adolescentes; o para reclutar nuevos talentos para nuestro equipo (por ejemplo, aprendices o practicantes).
6. CON QUIÉN COMPARTIMOS SUS DATOS PERSONALES
Para cumplir las finalidades mencionadas, Nexa puede compartir sus Datos Personales con terceros ubicados en el territorio nacional e internacional. Todas estas transferencias se realizarán conforme a las leyes y regulaciones aplicables. Asimismo, Nexa procurará que el tratamiento de los Datos Personales transferidos se limite a las finalidades autorizadas, se mantenga confidencial y cuente con medidas de seguridad adecuadas.
Nexa puede compartir sus Datos Personales en determinadas situaciones, como se ejemplifica a continuación:
– Con proveedores y socios, cuando sea necesario para prestar servicios. Para este intercambio, se establecen derechos y obligaciones entre las partes mediante contratos o acuerdos, a fin de asegurar el cumplimiento de la legislación aplicable;
– Con nuestras empresas afiliadas, cuando sea necesario para cumplir las finalidades establecidas;
– Con autoridades judiciales, administrativas o gubernamentales competentes, cuando exista determinación legal, solicitud, orden judicial o para atender consultas, investigaciones o la necesidad de defender intereses;
– Con empresas ubicadas fuera del territorio nacional, cuando sea necesario para cumplir finalidades específicas de Nexa. Cuando exista una transferencia internacional de Datos Personales, realizaremos esfuerzos razonables para asegurar medidas adecuadas de seguridad y protección de conformidad con el principio de un nivel de protección adecuado o mediante salvaguardas apropiadas (por ejemplo, salvaguardas contractuales); y
– Con partes interesadas en caso de transacciones corporativas, tales como fusiones, adquisiciones, incorporaciones y desinversiones, además de procedimientos de due diligence y auditorías legales dentro del alcance de dichas transacciones.
7. CÓMO PROTEGEMOS SUS DATOS PERSONALES
Realizamos esfuerzos significativos para proteger sus Datos Personales frente a acceso no autorizado, destrucción, pérdida, alteración, comunicación, divulgación o cualquier forma de tratamiento inadecuado o ilícito. Para ello, hemos adoptado medidas de seguridad técnicas, administrativas y organizacionales, tanto en entornos físicos como digitales.
Para mantener seguros sus Datos Personales y evitar incidentes, empleamos credenciales de acceso robustas (usuarios y contraseñas) para el acceso a nuestros servidores y plataformas, donde se almacenan Datos Personales y registros de acceso, con el fin de controlar y mantener actualizado el inventario de accesos a Datos Personales.
Asimismo, realizamos periódicamente copias de seguridad de los Datos Personales (backups). Todo software, herramienta y tecnología utilizada por Nexa es objeto de una evaluación y aprobación cuidadosas. Todos los Datos Personales tratados por nosotros son confidenciales y el acceso de terceros es restringido; solo las partes previamente analizadas y autorizadas (ya sean las empresas con las que compartimos datos, o nuestros empleados y colaboradores) pueden acceder, estando sujetas a un deber estricto de confidencialidad. No se permite ningún uso de Datos Personales de forma inapropiada o en desacuerdo con las disposiciones de esta Política y la Legislación de Protección de Datos.
Usted también debe colaborar en el mantenimiento de la seguridad de sus Datos Personales, asegurando que el entorno de su computador o dispositivo desde el cual accede al sitio web, sistemas y plataformas permanezca seguro, incluyendo: (i) el uso de herramientas adecuadas, como antivirus y firewall; (ii) el uso de versiones actualizadas de navegadores, sistemas operativos y otros softwares; (iii) no compartir sus credenciales de acceso (usuario y contraseña) con terceros; y (iv) evitar hacer clic en enlaces y páginas no confiables o no seguras.
Nexa no solicita, por correo electrónico, teléfono o WhatsApp, información relacionada con sus contraseñas de acceso. Si sospecha que sus Datos Personales tratados por Nexa están en riesgo, contáctenos.
Cuando utiliza nuestros entornos, puede ser dirigido, a través de enlaces, a otros portales o plataformas que pueden recopilar sus Datos Personales y contar con sus propias políticas de privacidad. Es importante que lea las políticas de privacidad de dichos portales y plataformas.
8. TRANFERENCIA INTERNACIONAL DE DATOS PERSONALES
La naturaleza internacional de las actividades de Nexa, la ubicación mundial de sus clientes y proveedores de servicios, además de su gestión global de recursos humanos y de su organización de tecnologías de la información, requieren comunicaciones y transferencias de información entre Brasil, Perú y nuestra holding en la Unión Europea, por ejemplo.
Nexa procura asegurar que las transferencias transfronterizas de Datos Personales ocurran únicamente hacia destinatarios ubicados en países que ofrezcan un nivel adecuado de protección o cuando existan salvaguardas apropiadas (por ejemplo, salvaguardas contractuales), y siempre para finalidades legítimas relacionadas con el tratamiento.
9. POR CUÁNTO TIEMPO CONSERVAMOS LOS DATOS PERSONALES
Todos los Datos Personales recopilados por Nexa se conservarán durante el tiempo necesario para cumplir las finalidades descritas en esta política o hasta que usted, como Titular, ejerza sus derechos de oposición, limitación o supresión, solicitando la eliminación de los Datos Personales o retirando su consentimiento, cuando corresponda.
Una vez que los Datos Personales ya no sean necesarios o pertinentes para la finalidad específica, o cuando usted ejerza sus derechos como Titular, dichos Datos Personales serán eliminados de nuestras bases de datos.
Sin embargo, aun cuando la finalidad se haya cumplido o usted haya retirado su consentimiento o solicitado la supresión de sus Datos Personales, Nexa podrá conservarlos cuando sea necesario para proteger derechos, cumplir órdenes judiciales o solicitudes de autoridades competentes, así como para cumplir obligaciones legales y regulatorias.
10. SUS DERECHOS COMO TITULAR DE DATOS PERSONALES
Usted cuenta con derechos inherentes a su condición de Titular. Estos derechos tienen por finalidad proteger sus Datos Personales y salvaguardar su privacidad. A continuación, indicamos cuáles son estos derechos y cómo puede ejercerlos ante Nexa. En caso de que una ley o reglamento aplicable prevea derechos adicionales no listados a continuación, Nexa garantizará su cumplimiento.
– Derecho de acceso: Usted tiene derecho, en cualquier momento, a confirmar si realizamos algún tratamiento de sus Datos Personales, así como a acceder a los datos tratados por nosotros;
– Derecho de rectificación: Usted tiene derecho a solicitar la corrección o actualización de sus Datos Personales, si verifica que son incorrectos o están desactualizados;
– Derecho de cancelación: Usted tiene derecho a solicitar la supresión o cancelación de sus datos personales de un banco de datos personales cuando ya no sean necesarios o pertinentes para las finalidades para las cuales fueron recopilados.
– Derecho de anonimización o cancelación: Usted tiene derecho a solicitar (i) la anonimización de sus Datos Personales, de modo que ya no puedan vincularse con usted y, por lo tanto, dejen de ser Datos Personales; (ii) el bloqueo de sus Datos Personales, suspendiendo temporalmente la posibilidad de que los tratemos; o (iii) la eliminación de sus Datos Personales, en cuyo caso eliminaremos todos sus Datos Personales sin posibilidad de reversión;
– Derecho a la portabilidad de datos: Cuando el derecho a la portabilidad esté regulado por la Legislación de Protección de Datos aplicable, usted podrá solicitar que Nexa proporcione sus Datos Personales en un formato estructurado e interoperable con miras a su transferencia a un tercero, siempre que dicha transferencia no vulnere la propiedad intelectual y/o secretos empresariales de Nexa;
– Derecho de limitación u oposición: Usted tiene derecho a oponerse al tratamiento de sus Datos Personales. Dejaremos de tratar sus Datos Personales salvo que podamos acreditar motivos legítimos para continuar con el tratamiento.
– Derecho de información: Usted tiene derecho a ser informado, de manera detallada, simple, explícita, inequívoca y previa a la recopilación de sus Datos Personales, acerca de la finalidad para la cual sus Datos Personales serán tratados; quiénes serán o podrán ser los destinatarios; la existencia del banco de datos personales en el que se almacenarán sus Datos Personales; así como la identidad y dirección del responsable y, cuando corresponda, del encargado del tratamiento. Asimismo, usted debe ser informado sobre el carácter obligatorio u opcional de sus respuestas al cuestionario proporcionado, especialmente en relación con datos sensibles; la transferencia de sus Datos Personales; las consecuencias de proporcionar o negarse a proporcionar sus Datos Personales; el plazo durante el cual se conservarán sus datos; y la posibilidad de ejercer los derechos que le otorga la Legislación de Protección de Datos aplicable (incluida la posibilidad de presentar una reclamación ante la autoridad competente de protección de datos).
– Derecho a la información sobre el intercambio: Usted tiene derecho a conocer con qué entidades públicas y privadas Nexa comparte sus datos personales. En esta política mencionamos los tipos de terceros con quienes compartimos datos. En cualquier caso, si tiene preguntas o desea más detalles, tiene derecho a solicitarnos esta información;
– Derecho a la información sobre la posibilidad de no consentir: Usted tiene derecho a recibir información clara y completa sobre la posibilidad y consecuencias de no otorgar su consentimiento cuando Nexa lo solicite. Su consentimiento, cuando sea necesario, debe ser libre, informado e inequívoco.
– PD.Derecho a la revisión de decisiones automatizadas: Usted puede solicitar la revisión de decisiones adoptadas exclusivamente con base en un tratamiento automatizado de Datos Personales que afecten sus intereses, así como la indicación de los criterios utilizados para dichas decisiones.
– Derecho de revocación: Si usted ha otorgado su consentimiento para que tratemos sus datos personales, puede revocarlo en cualquier momento. Cuando recibamos su solicitud, dejaremos de tratar sus datos personales, salvo que exista otra base legal que habilite el tratamiento (por ejemplo, para seguir cumpliendo contratos con usted).
Para este fin, el Titular deberá presentar su solicitud a Nexa a través de los canales descritos en la sección “Cómo contactar a Nexa” de esta Política de Privacidad. La solicitud deberá contener, como mínimo, lo siguiente: (i) el nombre del Titular; (ii) una descripción clara de los Datos Personales relacionados con el ejercicio del derecho de información y/u otros derechos, y una declaración expresa del derecho que el Titular desea ejercer; (iii) documentos o evidencias que sustenten la solicitud (por ejemplo, documento de identidad del Titular); (iv) una dirección de correo electrónico donde Nexa pueda responder; y (v) la fecha y firma.
Los plazos de respuesta a solicitudes relacionadas con los derechos del Titular pueden variar según la ley aplicable y el derecho ejercido. Como pauta general, Nexa responderá dentro de: (i) ocho (8) días hábiles para el derecho de información; (ii) diez (10) días hábiles para los derechos de rectificación, supresión y limitación; y (iii) veinte (20) días hábiles para el derecho de acceso. Si fuera necesaria una prórroga por circunstancias justificadas, Nexa podrá extender el plazo por un período igual e informará al Titular (o a su representante legal) dentro del plazo original, indicando la justificación.
En algunos casos, Nexa puede tener razones legítimas para no atender una solicitud de ejercicio de derechos. Estas situaciones incluyen, por ejemplo, casos en los que la divulgación de información específica pueda vulnerar derechos de propiedad intelectual o secretos comerciales de Nexa u otras empresas del grupo, así como casos en los que solicitudes de supresión no puedan ser atendidas debido a la existencia de una obligación de conservación de datos, ya sea para cumplir obligaciones legales o para permitir la defensa de Nexa en controversias de cualquier naturaleza.
Si Nexa rechaza o no atiende una solicitud de ejercicio de derechos, el Titular tiene derecho a presentar una reclamación ante la autoridad competente de protección de datos.
11. CÓMO CONTACTAR A NEXA
Nexa está siempre disponible para aclarar dudas relacionadas con el tratamiento de sus Datos Personales y brindarle control sobre ellos. Si desea ejercer cualquiera de los derechos mencionados en el tema anterior, complete el formulario disponible en el siguiente enlace:
Delegado de Protección de Datos (DPO): Loren Matias
12. CAMBIOS A ESTA POLÍTICA DE PRIVACIDAD
Los servicios prestados por Nexa pueden cambiar de tiempo en tiempo, especialmente para optimizar el funcionamiento de nuestro sitio web, nuestras plataformas y sistemas. Tales cambios también pueden afectar el uso de sus Datos Personales, siempre con atención a los principios de la Legislación de Protección de Datos, como la finalidad. Por ello, Nexa se reserva el derecho de modificar esta Política de Privacidad sin previo aviso. Recomendamos que revise periódicamente esta política para estar al tanto de cambios y actualizaciones.