ARCONIC INC. AVISO DE PRIVACIDADE E DE PROTEÇÃO DE PRIVACIDADE EUA-UE DEFINIÇÕES

Transcrição

1 ARCONIC INC. AVISO DE PRIVACIDADE E DE PROTEÇÃO DE PRIVACIDADE EUA-UE A Arconic Inc. ("Arconic") reconhece e respeita os direitos de privacidade de pessoas no que diz respeito a Dados Pessoais que a companhia obtém sobre elas. A Arconic atua em conformidade com o U.S.-EU Privacy Shield Framework [Escudo de Proteção de Privacidade UE-EUA] e o U.S.-Swiss Safe Harbor Framework [Acordo de Porto Seguro Estados Unidos-Suíça], segundo estipulado pelo U.S. Department of Commerce [Departamento de Comércio dos Estados Unidos], no que diz respeito a coleta, uso e retenção de Dados Pessoais transferidos de países-membros da União Europeia e da Suíça. A Arconic assegura que cumpre os Princípios de Privacidade e de Proteção de Privacidade sobre aviso, escolha, transferência subsequente, segurança, integridade de dados, acesso e aplicação. A certificação de Proteção de Privacidade da Arconic pode ser acessada em Para se obter mais informações relativas aos Princípios de Proteção de Privacidade, visite Para mais informações sobre o processamento da Arconic de Dados Pessoais de Indivíduos não afiliados da União Europeia, referente a informações coletadas em seus sites, acesse o Aviso de Privacidade Online da Arconic ou outros avisos de privacidade publicados pela companhia. CONTEXTO: Os presentes princípios de privacidade consolidam princípios anteriores emitidos mediante certificações pregressas pela Arconic e ampliam o seu escopo. ESCOPO: Os presentes princípios se aplicam a todos os Dados Pessoais de Indivíduos não afiliados à União Europeia, recebidos pela Arconic da Europa, sob sua certificação consolidada de Proteção de Privacidade. DEFINIÇÕES Dados Pessoais: Dados Pessoais correspondem a qualquer informação, incluindo-se Informações Sensíveis, que (i) se refiram a uma pessoa identificada ou identificável; (ii) sejam recebidas pela Arconic nos EUA da União Europeia, e (iii) sejam registradas de alguma forma. Dados Sensíveis: Dados Sensíveis são Dados Pessoais tratados nas leis europeias de proteção de dados como aqueles que representam riscos especiais a indivíduos, tais como informações sobre origem racial ou étnica, posturas políticas, convicções religiosas ou filosóficas, filiação sindical, saúde ou vida sexual. Outras categorias de Dados Pessoais sujeitos a proteções especiais, em alguns países europeus, incluem dados sobre antecedentes criminais, condenações na esfera civil, sanções administrativas, medidas governamentais de segurança, números de identificação emitidos por governos, dados biométricos, dados genéticos, dados de geolocalização, criação de perfil de personalidade e informação no contexto de "denúncia de irregularidades" (ou whistleblowing). Controlador de Dados: um Controlador de dados é uma parte ou a entidade que determina as finalidades e os meios de tratamento de Dados Pessoais. Uma companhia funciona como uma Controladora de Dados quando decide a forma com que tais dados devem ser utilizados e os utiliza, então, em conformidade com essa forma. Processador de Dados: um Processador de dados é uma parte ou entidade que processa Dados Pessoais em nome de um Controlador de dados. Uma companhia funciona como uma Processadora de Dados quando atua como um agente de outra companhia, seguindo suas instruções para saber como esses dados devem ser manuseados e processados. Indivíduos não afiliados à União Europeia: um Indivíduo não afiliado à União Europeia corresponde a qualquer pessoa física que esteja situada na União Europeia, excluindo-se, porém, qualquer indivíduo que aja na qualidade daquela pessoa como um Funcionário. PAPEIS DA ARCONIC NA ENTREGA DE DADOS PESSOAIS Para alguns Dados Pessoais abrangidos pelos presentes princípios, a Arconic atua como Controladora de Dados, tomando decisões sobre as finalidades e os meios de processamento dos dados recebidos da Europa e então fazendo uso desses dados para os referidos fins. Para outros Dados Pessoais, a Arconic atua como Processadora de Dados, atuando sob as instruções de um Controlador de Dados, incluindo-se a manutenção de

2 dados em centros de dados nos Estados Unidos, exclusivamente em nome de suas subsidiárias e afiliadas europeias. PRINCÍPIOS APLICÁVEIS O acesso à declaração completa dos presentes princípios, resumidos a seguir, está disponível no site de Proteção de Privacidade do U.S. Dept. of Commerce [Departamento de Comércio dos Estados Unidos], fornecido acima. Tipos de Dados Pessoais coletados pela Arconic A Arconic obtém Dados Pessoais, tais como informações de contato, em linha com a manutenção de seus relacionamentos e fornecimento de produtos e serviços a clientes. A Arconic também obtém Dados Pessoais de representantes de seus fornecedores, tais como informações de contato, demonstrações financeiras e dados sobre reputação. A Arconic utiliza as referidas informações com o fim de gerenciar o seu relacionamento com fornecedores e em conformidade com leis aplicáveis ou requisitos legais. Além disso, a Arconic coleta Dados Pessoais diretamente de indivíduos não afiliados à União Europeia. A referida coleta ocorre, por exemplo, quando o indivíduo visita sites da Arconic e fornece Dados Pessoais à companhia. A companhia pode fazer uso de tais informações para: fornecer produtos e serviços; remeter materiais promocionais ou outros conteúdos de comunicação; comunicar-se com clientes e gerenciar sua participação em eventos especiais, programas, ofertas, pesquisas e estudos de mercado; responder a solicitações de cliente; realizar análises de dados (incluindo anonimização e agregação de Dados Pessoais); operar, avaliar e aprimorar os negócios da companhia (incluindo desenvolvimento de novos produtos e serviços, aprimoramento e melhoria de produtos e serviços da companhia, gestão de comunicação, análise de produtos, serviços e comunicações da companhia, realização de contabilidade, auditoria e outras funções internas); gerenciar serviços ao cliente, incluindo-se a gestão de negociações, contratos, transações e contas de clientes, orçamentos, contabilidade, manutenção de registros relacionados à análise de finanças de clientes; assegurar proteção, identificar e prevenir a segurança cibernética e outros eventos de segurança, espionagem, fraude e outras atividades ilegais, declarações e outros passivos; e cumprir e fazer cumprir requisitos legais aplicáveis, padrões relevantes da indústria e políticas da companhia. A Arconic também pode empregar as informações de outras maneiras para as quais ela forneça aviso específico no momento da coleta. Os tipos de Dados Pessoais coletados pela Arconic em linha com essas atividades incluem: informações de contato (nome, endereço postal, contato telefônico e endereço de ); credenciais de login para sites da companhia; fotografia, assinatura eletrônica e confirmações de recebimento de política da companhia; outros Dados Pessoais submetidos por fornecedores e subcontratados atuais ou potenciais, como número de Seguridade Social, número de identificação de contribuinte e antecedentes civis ou criminais; conta bancária e detalhes financeiros; e outros Dados Pessoais encontrados no conteúdo fornecido por indivíduos não afiliados. As práticas de privacidade da Arconic relativas a tratamento de Dados Pessoais de Indivíduos não afiliados à União Europeia estão em conformidade com os Princípios de Aviso de Proteção de Privacidade: Escolha; Responsabilidade por Transferência Subsequente; Segurança; Integridade de Dados e Limitação de Finalidade; Acesso; e Recurso, Aplicação e Responsabilidade.

3 1. Aviso A Arconic fornece informações no presente Aviso e no Aviso Online de Privacidade da companhia sobre suas práticas de Dados Pessoais de Indivíduos não afiliados à União Europeia, incluindo-se os tipos de Dados Pessoais que a companhia coleta, os tipos de terceiros a que a Arconic divulga os Dados Pessoais e os propósitos para tanto, os direitos e as escolhas que Indivíduos não afiliados à União Europeia têm por restringirem o uso e a divulgação de seus Dados Pessoais e o meio de contato com a Arconic sobre suas práticas em matéria de Dados Pessoais. Os Avisos de Privacidade concernentes a atividades de processamento de dados específicos também podem conter informações relevantes. 2. Escolha A Arconic geralmente oferece a Indivíduos não afiliados à União Europeia a oportunidade de escolheres se seus Dados Pessoais podem: (i) ser divulgados a terceiros controladores ou (ii) usados para uma finalidade que seja significativamente distinta dos fins para os quais a informação foi originalmente coletada ou subsequentemente autorizada pelos respectivos Indivíduos não afiliados à União Europeia. Dentro dos limites dos Princípios de Proteção de Privacidade, a Arconic obtém o consentimento por opção para determinados usos e divulgações de Dados Sensíveis. Indivíduos não afiliados à União Europeia podem se comunicar com a Arconic, conforme indicado abaixo, no que concerne ao uso ou à divulgação de seus Dados Pessoais pela companhia. A menos que a Arconic ofereça a Indivíduos não afiliados à União Europeia uma escolha apropriada, ela fará uso de Dados Pessoais meramente para fins que sejam substancialmente os mesmos indicados no presente Aviso ou no Aviso Online de Privacidade da companhia. A Arconic poderá divulgar Dados Pessoais de Indivíduos não afiliados à União Europeia sem oferecer uma oportunidade de não opção, e poderá ser obrigada a divulgar os Dados Pessoais: (i) a Processadores terceirizados de Dados que a companhia tenha contratado para executar serviços, em seu nome e em conformidade com suas instruções; (ii) se for necessário fazê-lo por exigência de lei ou processo legal; ou (iii) em resposta a solicitações legais de autoridades públicas, inclusive para atender a requisitos de segurança nacional, interesse público ou de cumprimento da lei. A Arconic também se reserva o direito de transferir Dados Pessoais no caso de uma auditoria ou se a companhia vender ou transferir a totalidade ou uma parte dos seus negócios ou ativos (inclusive em caso de fusão, aquisição, alienação, joint-venture, reestruturação, dissolução ou liquidação). 3. Transferência subsequente O presente Aviso e o Aviso Online de Privacidade da Arconic descrevem o compartilhamento da companhia sobre Dados Pessoais de Indivíduos não afiliados à União Europeia. Salvo mediante permissão ou exigência de lei aplicável, a Arconic fornecerá a Indivíduos não afiliados à União Europeia a oportunidade de optarem por não compartilhar seus Dados Pessoais com Controladores terceirizados de Dados externos. A Arconic exige de Controladores terceirizados de Dados, para quem ela divulga Dados Pessoais de indivíduos não afiliados à União Europeia, o aceite por meio contratual para: (i) processarem Dados Pessoais somente para finalidades restritas e específicas, compatíveis com o consentimento dado pelo Indivíduo não afiliado à União Europeia; (ii) propiciarem o mesmo nível de proteção de Dados Pessoais, como aquele exigido pelos Princípios de Proteção de Privacidade; e (iii) notificarem a Arconic e cessarem o processamento de Dados Pessoais (ou tomarem outras medidas corretivas razoáveis e adequadas), se o Controlador terceirizado de Dados determinar que não está apto a atender sua obrigação de fornecer o mesmo nível de proteção de Dados Pessoais, segundo os requisitos dos Princípios de Proteção de Privacidade. No que diz respeito à transferência de Dados Pessoais de Indivíduos não afiliados à União Europeia a Processadores externos de Dados, a Arconic: (i) celebra um contrato com cada respectivo Processador de Dados; (ii) transfere Dados Pessoais para cada respectivo Processador de Dados, somente para fins restritos e específicos; (iii) assegura que o Processador de Dados esteja obrigado a fornecer os Dados Pessoais pelo menos no mesmo nível de proteção de privacidade, segundo os requisitos dos Princípios de Proteção de Privacidade; (iv) adota iniciativas plausíveis e apropriadas a fim de garantir que o Processador de Dados de fato processe os Dados Pessoais de maneira compatível com as obrigações da Arconic, em linha com os preceitos dos Princípios

4 de Proteção de Privacidade; (v) exige que o Processador de Dados notifique a Arconic se este vier a determinar que não mais consegue cumprir sua obrigação de fornecer o mesmo nível de proteção, em consonância com os requisitos dos Princípios de Proteção de Privacidade; (vi) mediante notificação, inclusive sob a forma acima citada no item (v), acima, adota medidas aceitáveis e adequadas para interromper e corrigir o processamento não autorizado de Dados Pessoais pelo Processador de Dados; e (vii) fornece uma cópia sucinta ou representativa das respectivas disposições de privacidade do contrato do Processador de Dados ao Department of Commerce [Departamento de Comércio], mediante solicitação. De acordo com os Princípios de Proteção de Privacidade, a Arconic continuará responsável, se destinatários de transferência subsequente do Processador externo de Dados da companhia processarem Dados Pessoais de modo incompatível com os Princípios de Proteção de Privacidade, salvo se a Arconic provar não ser responsável pelo evento que ocasionou o dano. 4. Informações de Segurança A Arconic adota precauções aceitáveis e apropriadas, incluindo-se medidas administrativas, técnicas, relativas a funcionários e medidas físicas para proteger Dados Pessoais contra perda, uso indevido, roubo, acesso não autorizado, divulgação, alteração e destruição. Políticas de segurança, procedimentos operacionais e controles técnicos da Arconic, onde for aplicável, geralmente atendem a padrões geralmente aceitos de segurança de redes, infraestrutura, aplicativos e dados. 5. Integridade dos Dados A Arconic restringe sua coleta de Dados Pessoais àquilo que for relevante para o negócio pretendido e a fins legais. A Arconic não utiliza os dados de uma forma que seja incompatível com os fins para os quais esses tenham sido coletados ou posteriormente autorizados pelo indivíduo. Dentro dos limites necessários à consecução dos citados fins, a Arconic adota medidas razoáveis para assegurar que Dados Pessoais sejam confiáveis para seu pretendido uso, de forma precisa, completa e atual. 6. Acesso A Arconic propicia a indivíduos a oportunidade de acessarem Dados Pessoais sobre si, com o fim de correção, alteração ou exclusão de informações que sejam imprecisas, desatualizadas ou irrelevantes, salvo quando o ônus ou a despesa de fornecimento de acesso vier a ser desproporcional aos riscos à privacidade do indivíduo, ou quando os direitos de pessoas que não sejam o indivíduo forem violados. Indivíduos não afiliados à União Europeia poderão solicitar acesso a seus Dados Pessoais por meio de contato com a Arconic conforme indicado abaixo. 7. Aplicação A Arconic possui mecanismos vigentes, concebidos para ajudar a garantir a conformidade com os Princípios de Proteção de Privacidade. A Arconic realiza uma autoavaliação anual das suas práticas relativas a Dados Pessoais de Indivíduos não afiliados à União Europeia, com o fim de corroborar a veracidade dos atestados e das declarações que emite sobre suas práticas de privacidade de Proteção de Privacidade e que tais práticas são implementadas conforme representadas e em conformidade com os Princípios de Proteção de Privacidade. Indivíduos não afiliados à União Europeia poderão protocolar uma queixa relativa ao processamento de seus Dados Pessoais pela Arconic. A Arconic tomará medidas para solucionar os problemas decorrentes de seu suposto descumprimento dos Princípios de Proteção de Privacidade. Indivíduos não afiliados à União Europeia poderão fazer contato com a Arconic, conforme especificado abaixo, com respeito a reclamações sobre as práticas da companhia para Dados Pessoais de Indivíduos não afiliados à União Europeia. Caso não seja possível solucionar a reclamação de um Indivíduo não afiliado à União Europeia por meio dos processos internos da Arconic, a companhia irá cooperar com o Judicial Arbitration and Mediation Services- JAMS) [Serviços de Arbitragem e Mediação Judicial], no que for pertinente ao JAMS International Mediation Rules [Normas internacionais de mediação do JAMS], disponível no site do JAMS em: mediationrules. A mediação do JAMS poderá ser iniciada, conforme previsto nas regras pertinentes da entidade. O mediador poderá propor alguma solução adequada, como a supressão dos Dados Pessoais em questão, a publicidade de constatações de não conformidades, o pagamento de indenizações por prejuízos

5 decorrentes de desconfoemidade ou suspensão do processamento de Dados Pessoais do Indivíduo não afiliado à União Europeia, que ocasionaram a denúncia. O mediador ou o Indivíduo não afiliado à União Europeia poderá também encaminhar a questão ao U.S. Federal Trade Commission [Comissão Federal de Comércio dos Estados Unidos], que tem poderes de investigação e execução legal em Proteção de Privacidade sobre a Arconic. Sob determinadas circunstâncias, o Indivíduo não afiliado à União Europeia também terá condições de invocar a arbitragem obrigatória para encaminhar reclamações sobre a conformidade da Arconic com os Princípios de Proteção de Privacidade. FORMA DE CONTATO Para entrar em contato com a Arconic com perguntas ou preocupações sobre o presente Aviso ou sobre as práticas de Dados Pessoais de Indivíduos não afiliados à União Europeia: Escrever para: Scott Dietrich Corporate Privacy Counsel Arconic Inc. 201 Isabella Street Pittsburgh, PA ou scott.dietrich@arconic.com Princípios de Privacidade de Proteção de Privacidade Em vigor a partir de 30 de setembro de 2016 Arconic Inc. e suas subsidiárias controladas nos Estados Unidos