Política Geral de Privacidade e Proteção de Dados Pessoais

1. Objetivo

A presente Política Geral de Privacidade e Proteção de Dados Pessoais (“Política”) tem como objetivo orientar quanto às diretrizes aplicáveis à privacidade e proteção dos dados pessoais aos quais a Samarco tem acesso, como forma de estabelecer o alicerce do Programa de Privacidade da SAMARCO MINERAÇÃO S.A. (“Samarco” ou “Companhia”), em conformidade com a Lei Geral de Proteção de Dados.

Resumidamente, esta Política visa demonstrar o comprometimento da Samarco em:

• Proteger os direitos dos Empregados e Colaboradores da Samarco;
• Adotar processos e regras que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
• Promover a transparência sobre a forma na qual a Companhia trata dados pessoais; e
• Proteger a Companhia, bem como seus Empregados e Colaboradores de riscos por ocasião de incidentes de segurança envolvendo dados pessoais.

Esta política se aplica a todos os Empregados e Colaboradores da Samarco, assim como terceiros, prestadores de serviço, fornecedores e quaisquer outras pessoas que tiverem acesso a dados pessoais por meio da Samarco.

Havendo conflito entre as disposições desta Política e a legislação de proteção de dados aplicável, prevalecerá a legislação.

2. Conceitos

• Autoridade Nacional de Proteção de Dados (“ANPD”): É o órgao público responsável por regulamentrar, fiscalizar e aplicar penalidades administrativas, relacionadas à proteção de dados pessoais.
• Bases Legais: hipóteses que autorizam o tratamento de dados pessoais listadas nos artigos 7o e 11 da Lei Geral de Proteção de Dados.
• Dados Pessoais: Informação relacionada a pessoa natural, direta ou indiretamente, identificada ou identificável. Também são considerados dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural – um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa física, por exemplo: nome, CPF, Estado Civil, endereço, número de telefone, e-mail.
• Dados Pessoais Sensíveis: Categoria especial de dado pessoal que se refere a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a pessoa natural.
• Encarregado pelo Tratamento de Dados Pessoais (“Encarregado”): Pessoa nomeada pela Samarco para atuar como canal de comunicação entre a Samarco, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. Além disso, coordena e supervisiona o Programa de Privacidade. Também conhecido pela sigla DPO, que significa Data Protection Officer. Pessoa que poderá ser procurada para esclarecer as dúvidas relacionadas à proteção de dados.
• Lei Geral de Proteção de Dados (“LGPD”): Nome dado à Lei Federal no 13.709/2018 que dispões sobre o tratamento de dados pessoais em meios digitais ou físicos, realizados por uma pessoa natural ou por pessoa jurídica.
• Tratamento: Toda e qualquer operação com dados pessoais, incluindo coleta, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, atualização, comunicação, transferência, compartilhamento e extração de dados pessoais.
• Colaboradores: são os Fornecedores, Contratados, Parceiros, Representantes da Samarco, Clientes e Parceiro de Negócios, no Brasil e no exterior.

3. Diretrizes Básicas do Programa

Por meio desta política, a Samarco se compromete em realizar o tratamento de dados pessoais em conformidade às hipóteses de bases legais e demais requisitos da Lei Geral de Proteção de Dados (Lei. 13.709/18).

Entre suas diversas atividades, a Samarco se utiliza do tratamento de dados pessoais para assegurar:

• A saúde e segurança de seus empregados e colaboradores.
• O cumprimento de obrigações legais e celebração de contratos.
• Acompanhamento das documentações trabalhistas e previdenciárias dos próprios empregados e de contratadas.
• Gestão de acessos à rede corporativa e plataformas de trabalho.
• Inovação e desenvolvimento dos processos.
• Relacionamento com comunidades, órgãos públicos, partes relacionadas e sindicatos.

A Samarco fará todo tratamento de dados pessoais respeitando as finalidades específicas definidas pelas suas operações de tratamento de dados, com o intuito de manter a privacidade destas informações como aspecto indispensável para garantia dos seus valores e objetivos. Desta forma, a Samarco procura proteger os interesses do negócio, de seus empregados e de outros stakeholders envolvidos à empresa.

Desta maneira, ficam instituídas as seguintes diretrizes:

• As operações de Tratamento de Dados Pessoais da Samarco devem seguir os 10 (dez) princípios básicos dispostos pela LGPD em seu Artigo 6o, pois são eles que auxiliam a identificar a correta adequação das atividades ao padrão previsto na lei. São eles:
  • Boa Fé: todas as operações de tratamento deverão ser pautadas em boas intenções, na moral e bons costumes aceitos pela sociedade.
  • Finalidade e adequação: o tratamento de dados pessoais deve se limitar aos propósitos legítimos, específicos, explícitos e informados ao Titular, e somente deve ocorrer de formas compatíveis com estas finalidades. Dados pessoais não poderão ser coletados/obtidos para uma finalidade, e depois utilizados para outra. Todos os usos de um dado devem ser compatíveis com o motivo original da coleta/obtenção.
  • Necessidade: a coleta e utilização de dados pessoais deverá ser limitada ao mínimo necessário para o cumprimento das finalidades pretendidas e expostas ao titular, garantindo também, que tais informações sejam armazenadas pelo menor tempo possível/necessário.
  • Livre acesso e qualidade dos dados: aos titulares deverá ser garantida a consulta facilitada e gratuita quanto à forma e duração do tratamento e integralidade de seus dados pessoais, estando assegurada a exatidão, clareza, relevância e atualização destes.
  • Transparência: serão garantidas aos titulares dos dados informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes, observados os segredos comercial e industrial.
  • Segurança e prevenção: a segurança e confidencialidade dos dados pessoais devem ser garantidas por meio de medidas técnicas e organizacionais, conforme delimitado abaixo no item 4. Responsabilidades, a fim de prevenir a ocorrência de incidentes de segurança envolvendo dados pessoais.
  • Não discriminação: as atividades de tratamento de dados pessoais jamais poderão objetivar fins discriminatórios, ilícitos ou abusivos.
  • Responsabilização: deverá haver o armazenamento de registros de todas as atividades de tratamento de dados pessoais e as respectivas medidas tomadas para adequar tais atividades às normas relativas à privacidade e proteção de dados pessoais, comprovando sua eficácia e eficiência.

• Para toda operação de tratamento de dados pessoais, a Samarco deverá se fundamentar nas hipóteses previstas pelas bases legais descritas na LGPD.
• O compartilhamento de dados pessoais de titulares entre as gerências da Samarco é permitido, desde que respeitada a sua finalidade e base legal, observado o princípio da necessidade, ficando o tratamento de dados pessoais sempre adstrito ao desenvolvimento de atividades autorizadas pela própria Samarco.
• A Samarco deverá possuir o registro atualizado e completo de todas as atividades de Tratamento de Dados Pessoais, contendo, no mínimo, as seguintes informações:
  • i. Descrição do fluxo da informação em cada etapa de seu ciclo de vida (coleta, armazenamento, uso, compartilhamento – e neste caso, a finalidade para transferência – e descarte);
  • ii. BaselegalparaTratamento;
  • iii. Tipos de Dados Pessoais coletados;
  • iv. Finalidade para o qual o dado é tratado;
  • v. Local lógico (nuvem, servidor, laptop etc.) e geográfico onde o dado é tratado;
  • vi. Período de retenção do dado;
  • vii. Área de negócio ou suporte responsável pelo Dado Pessoal; e
  • viii. Volume aproximado de registros existentes.

4. Responsabilidades

É de grande importância que todos os Empregados e Colaboradores da Samarco observem as disposições contidas nesta Política, para que ela possa produzir os devidos efeitos, levando em consideração que quaisquer atos poderão repercutir para a Companhia como um todo, produzindo efeitos de magnitudes não previsíveis, como, por exemplo, na hipótese de vazamento de dados.

A Samarco possui um Encarregado de Proteção de Dados, responsável por garantir a conformidade em relação às leis e demais normas de privacidade e proteção de dados aplicáveis aos seus negócios, que necessita de independência em relação ao restante da administração, para que lhe permita assegurar os direitos dos titulares de dados cujas informações pessoais são tratadas pela Companhia.

O Encarregado é a pessoa que poderá auxiliar o titular dos dados pessoais a esclarecer suas dúvidas em relação ao tratamento de seus dados. Suas funções não devem incluir atividades ou responsabilidades que possam conflitar com a responsabilidade da Companhia para com os titulares de dados pessoais.

Os pontos a seguir devem ser observados por todos, sem prejuízo dos demais aspectos contemplados nesta Política:

• Os Empregados e Colaboradores, que forem realizar alguma atividade de tratamento de dados pessoais, possuem como dever primário o de garantir a integridade, disponibilidade e confidencialidade dos Dados Pessoais tratados no exercício de sua função, promovendo sua aplicação em toda e qualquer ação ou negócio que envolva interesses da Samarco.
• Assim, Empregados e Colaboradores da Samarco não podem disponibilizar nem garantir acesso aos dados pessoais mantidos pela Samarco para quaisquer pessoas não autorizadas ou competentes, de acordo com as normas internas.
• Cada Operação de Tratamento dos Dados Pessoais deverá, necessariamente, observar as finalidades propostas, não permitido o tratamento incompatível, excessivo ou para finalidades diversas. Caso seja necessário atribuir outra finalidade para o tratamento de dados pessoais, deverá haver expressa autorização do Encarregado, ou a coleta prévia do Consentimento do Titular, em caso de ser essa a Base Legal aplicável.
• O Empregado e/ou Colaborador deverá se atentar para a utilização do mínimo de informações necessárias para o cumprimento das finalidades pretendidas e regular exercício de suas funções.
• Os Dados Pessoais tratados no exercício da função deverão necessariamente ser armazenados em local seguro e oficialmente aprovados pela Samarco, quer eles estejam em repositório físico quer em digital. É vedado o armazenamento não autorizado em ambientes particulares (como exemplo: notebooks ou área de trabalho de computadores, pendrive, HD Externo, e-mail pessoal, ou outros dispositivos remotos).
• A operação de compartilhamento de Dados Pessoais com Parceiros deverá estar embasada em um contrato, ou outro instrumento jurídico, que possua uma cláusula de proteção de dados pessoais. Por sua vez, as áreas internas da Samarco somente poderão compartilhar, total ou parcialmente, bases de dados pessoais mediante o conhecimento e a aprovação prévia do Encarregado.
• As informações sobre o Tratamento de Dados Pessoais deverão ser divulgadas através de Avisos de Privacidade ou outros meios que forneçam a transparência necessária ao Titular. Não é permitido tratar Dados Pessoais para finalidades que não sejam compatíveis com aquelas informadas aos Titulares.

De acordo com a LGPD, a Samarco será responsável administrativa e civilmente pelos danos patrimoniais, morais, individuais ou coletivos derivados de violações à legislação de proteção de dados pessoais. No entanto, a lei prevê a possibilidade de a empresa cobrar os demais responsáveis pelo tratamento de dados, na medida de sua participação no evento danoso, através do direito de regresso. Assim, os agentes da cadeia envolvendo o tratamento de dados pessoais podem ser responsabilizados pelos eventuais danos causados.

Nesse sentido, qualquer violação ou não cumprimento ao disposto na presente Política sujeitará os responsáveis, a depender, a medidas disciplinares definidas pela Companhia, podendo chegar ao rompimento do vínculo com a Samarco, bem como a penalidades cabíveis com base na legislação aplicável.

Após todas as recomendações básicas necessárias descritas neste documento, cabe destacar que o Encarregado pelo Tratamento de Dados Pessoais da Samarco estára à disposição para auxiliar a todos os Empregados e Colaboradores da Samarco, e também deverá:

• Aceitar requisições e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• Receber comunicações da autoridade nacional e adotar providências;
• Orientar os funcionários e os contratados da Samarco a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
• Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

5. Considerações Finais

Em caso de dúvidas relacionadas à privacidade ou à proteção de dados ou para situações em que tenha sido identificada ou haja suspeita de violação, por Empregados ou Colaboradores da Samarco, às regras e práticas descritas na presente Política, o contato com o nosso Encarregado poderá ser feito através do endereço de e-mail privacidade@samarco.com.