Política de confidencialidad - IBRAM

Política de confidencialidad

POLÍTICA DE CONFIDENCIALIDAD Y PROTECCIÓN DE INFORMACIÓN

El Instituto Brasileño de Minería (“IBRAM” o “Instituto”), una organización nacional privada sin fines de lucro, fue creado para representar a las empresas e instituciones que operan en el sector minero, en la búsqueda de establecer un entorno favorable para los negocios, la competitividad y el desarrollo sostenible.

A través de sus acciones, IBRAM busca promover la industria minera brasileña, incentivar la investigación, el desarrollo, la innovación y el uso de las mejores tecnologías disponibles. También tiene como objetivo proporcionar foros para el intercambio de conocimientos y experiencias, realizando congresos, exposiciones, cursos, seminarios, así como contribuir a la competitividad, fomentando el desarrollo sostenible, el respeto por el medio ambiente y el uso de las mejores prácticas de seguridad y salud laboral de los trabajadores.

En el ámbito de sus actividades, IBRAM valora la libertad de expresión, información, comunicación, opinión, así como la Protección de Información. En este escenario, se elaboró ??esta Política de Confidencialidad y Protección de Información Personal (“Política”), en la que se destaca: el respeto a la privacidad; la autodeterminación informativa; la inviolabilidad de la intimidad, el honor y la imagen; el desarrollo económico, tecnológico e innovación; y otros principios esenciales para el desarrollo económico, social e individual.

Asimismo, considerando los principios, normas y directrices globales para la Protección de Información Personal reflejados en esta Política, la gestión del IBRAM, comprometida y atenta a las demandas sociales y a los cambios legislativos, a través de esta Política, reafirma su compromiso con los derechos y libertades fundamentales de las personas, en particular el derecho a la protección y confidencialidad de la Información Personal.

Definiciones

En el curso de esta Política, hemos adoptado los términos que se enumeran a continuación con sus respectivos significados:

  1. Anonimización: uso de medios técnicos razonables disponibles en el momento del Procesamiento, a través de los cuales la información pierde la posibilidad de asociación, directa o indirecta, con un individuo;
  2. Autoridad Nacional de Protección de Información (“ANPI”): Organismo de la Administración Pública encargado de supervisar el cumplimiento de la Ley General de Protección de Información (“LGPI”) en todo el territorio nacional;
  3. Base de Datos: conjunto estructurado de Información Personal, establecida en uno o varios lugares, en soporte electrónico o físico;
  4. Base Jurídica: base legal que legitima el Procesamiento de la Información Personal para una finalidad específica;
  5. Bloqueo: suspensión temporal de cualquier operación de Procesamiento de Información Personal;
  6. California Consumer Privacy Act(“CCPA”): Es una ley de protección de información del Estado de California, en los Estados Unidos, dirigida al consumidor. Reúne reglas que deben ser seguidas por las empresas que procesan Información Personal en el estado.
  7. Consentimiento: expresión libre, informada e inequívoca mediante la cual el Titular consiente el Procesamiento de su Información Personal para una finalidad específica. Cabe mencionar que el Consentimiento no es la única Base Jurídica que autoriza el Procesamiento de información, sino sólo una de las hipótesis;
  8. Controlador de Información o Controlador: persona natural o jurídica que, individualmente o en conjunto con otros, determina los Fines y medios del Procesamiento de la Información Personal en el IBRAM;
  9. Información Anonimizada: información relativa a un Titular que no puede ser identificado, considerando el uso de medios técnicos razonables disponibles al momento de su Procesamiento;
  10. Información Personal: toda información relacionada con una persona física identificada o identificable, que incluye, pero no se limita a: nombre, apellido, apodo, edad, dirección residencial o electrónica, y puede incluir información de ubicación, patentes de automóvil, perfiles de compras, información académica, historial de compras, entre otros;
  11. Información Personal Sensible: información relacionada con las características de la personalidad del individuo y/o elecciones personales, tales como: origen racial o étnico, convicciones religiosas, opinión política, afiliación a un sindicato u organización de carácter religioso, filosófico o político, información relacionada con la salud o vida sexual, genética o biométrica, cuando se vincule a una persona física;
  12. Data Protection Officer (“DPO” o “Encargado”): persona física o jurídica indicada por IBRAM, como eslabón de comunicación entre el Controlador, los Titulares de la información y la ANPI;
  13. Supresión de Información Personal: supresión después de la finalización del Procesamiento de la Información Personal o cumplimiento de las Finalidades, determinaciones legales y/o solicitudes del Titular, siempre que no exista Anonimización;
  14. General Data Protection Regulation(“GDPR”):  Reglamento General de Protección de Información aprobado por el Parlamento Europeo y el Consejo de la Unión Europea, con el objetivo de establecer normas sobre Confidencialidad y Protección de Información de los ciudadanos de la Unión Europea.
  15. Interés legítimo: Base jurídica que puede fundamentar el procesamiento de la información personal para fines legítimos, considerados a partir de situaciones concretas, según el art. 10 de la LGPI;
  16. Operador: se refiere a una persona física o jurídica que procesa Información Personal en nombre del Controlador de Información;
  17. Retención de Información Personal: almacenamiento de toda la Información Personal proporcionada por el Titular a IBRAM para la realización de sus actividades o hasta una eventual solicitud de Supresión;
  18. Terceros: todos aquellos que no forman parte de la estructura organizacional de IBRAM;
  19. Titular: persona a quien se refieren la Información Personal que es objeto de algún Procesamiento;
  20. Transferencia de Información: transferencia de Información Personal, ya sea nacional (internamente en Brasil a cualquier persona física o jurídica) o internacional (al extranjero u organización internacional de la cual el país es miembro);
  21. Procesamiento: toda operación o conjunto de operaciones que se realice utilizando Información Personal, por medios automáticos o no, tales como la recopilación, el registro, la organización, el almacenamiento, la adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, transferencia, difusión o poner a disposición, alineación o combinación, bloqueo, difusión, extracción, supresión o destrucción; y
  22. Violación de Información Personal: cualquier ofensa, real o supuesta, a la seguridad que cause la destrucción total o parcial de la información, además de la pérdida o alteración de su composición. Asimismo, la Violación de Información Personal es la divulgación o transmisión no autorizada de Información Personal, el almacenamiento, la transformación o el acceso indebido de cualquier otra forma.

Ámbito de aplicación

Esta Política establece directrices y parámetros específicos destinados a cumplir y adecuar al IBRAM a las normas vigentes en la Ley N° 13.709/18, Ley General de Protección de Información (“LGPI”), así como buenas prácticas en el uso y Procesamiento de Información Personal.

Por lo tanto, se pretende defender los intereses de la industria minera para prestar servicios de calidad, en Brasil y en el extranjero, y de conformidad con la LGPI, especialmente en relación con las políticas internas del IBRAM, así como con sus valores, principios y procedimientos operativos.

Objetivo

Esta Política tiene como objetivo describir procedimientos/conductas que aseguren y refuercen el compromiso de IBRAM no sólo en relación con el cumplimiento de la LGPI, sino también con las prácticas y normas a ser seguidas en la realización de las actividades y operaciones de Procesamiento de Información Personal realizadas por el Instituto y por los destinatarios de esta Política.

Además, IBRAM pretende, a través de esta Política, ratificar su compromiso con la seguridad de la información de todos los actores involucrados en sus actividades, ya sean clientes, socios comerciales, proveedores de servicios y terceros.

Alcance

Esta Política está dirigida a todos los empleados de IBRAM, efectivos o temporales, a los asociados, socios comerciales, proveedores de servicios, terceros que actúan en nombre de la empresa y también a los Titulares de Información Personal.

Legislación y normativa aplicable

Esta Política fue diseñada con base en las normas previstas en la legislación brasileña, en particular la LGPI, en los principios previstos en otros ordenamientos jurídicos nacionales relacionados con la materia, y en los tratados internacionales de los que la República Federativa de Brasil es parte.

También deben regirse por el Marco de Derechos Civiles para Internet (Ley N° 12.965/14), el Código de Protección al Consumidor (Ley N° 8.078/90), el Código Civil (Ley N° 10.406/02), la Ley de Competencia (Ley N° 12.529/11 ), la Constitución de la República Federativa de Brasil de 1988, y demás normas, en lo aplicable.

Principios del Procesamiento de Información Personal

En el Procesamiento de Información Personal, IBRAM tendrá en cuenta y respetará los principios legales del Procesamiento de Información Personal a continuación:

  1. Adecuación: el Procesamiento de Información Personal debe ser compatible con la Finalidad informada a su Titular, es decir, debe estar en consonancia con las Finalidades previstas en el ámbito de aplicación;
  2. Finalidad: la Información Personal debe recopilarse para un fin específico, explícito y legítimo en el momento de la recopilación. De esta forma, la Información Personal recopilada no deberá ser utilizada para una finalidad distinta a la informada a su Titular;
  3. Licitud: el Procesamiento de Información Personal se considerará lícito, si se basa en al menos una de las Bases Jurídicas establecidas en esta Política;
  4. Libre Acceso: se debe garantizar al Titular la consulta fácil y gratuita sobre la forma y duración del Procesamiento, así como sobre la integridad de su Información Personal;
  5. No Discriminación: la Información Personal no será procesada con fines discriminatorios, ilegales o abusivos;
  6. Necesidad: limitación del procesamiento al mínimo necesario para lograr la Finalidad, evitando el Procesamiento excesivo de la Información Personal;
  7. Prevención: se deben tomar medidas para prevenir la ocurrencia de daños debido al Procesamiento de Información Personal;
  8. Calidad: la Información Personal tratada debe ser exacta, clara, pertinente y actualizada de acuerdo con la necesidad y para el cumplimiento de la Finalidad de su Procesamiento;
  9. Rendición de cuentas: el Controlador será responsable de asegurar el cumplimiento y demostración del cumplimiento de cada operación de Procesamiento de Información Personal con los requisitos establecidos en esta Política;
  10. Seguridad: la Información Personal se procesará con el fin de garantizar la seguridad adecuada para el proceso, incluida la protección contra el Procesamiento no autorizado o inadecuado, y contra la pérdida, destrucción y daño accidentales, utilizando medidas técnicas y organizativas apropiadas;
  11. Transparencia: cuando se recopile Información Personal, el Titular deberá tomar conocimiento, y además, ser previamente informado, de quiénes serán: Controlador(es) de información; Operador(es); Encargado; Tercero(s) a quien(es) la Información Personal puede ser transmitida; y finalidad(es) del Procesamiento.

Protección de la Información Personal

Todos los empleados de IBRAM, efectivos o temporales, socios comerciales, proveedores de servicios y terceros que actúen en su nombre, deben cumplir con todas las leyes locales en materia de protección de Información Personal y protección de los derechos y libertades de los Titulares cuya Información Personal, eventualmente, sea procesada en el ámbito de sus actividades profesionales.

La estructura de gestión de confidencialidad de IBRAM tiene como objetivo garantizar la protección adecuada del Procesamiento de Información Personal y:

  1. cumplir con los requisitos de gestión de la Base de Información Personal de IBRAM;
  2. apoyar los objetivos de los proyectos desarrollados y las obligaciones derivadas de ellos;
  3. imponer controles acordes con el nivel aceptable de riesgo de los proyectos desarrollados;
  4. garantizar el cumplimiento de las obligaciones legales, regulatorias, contractuales y/o profesionales aplicables; y
  5. proteger los intereses de los Titulares de Información Personal.

Uso de la Información Personal

En el ejercicio de sus actividades, y siempre que se cumplan las normas y directrices de esta Política, IBRAM podrá utilizar la Información Personal para:

  1. la consecución del reclutamiento/selección de personas;
  2. registrar, identificar y monitorear el acceso de las personas a los eventos (por ejemplo, congresos, conferencias, simposios) realizados por IBRAM;
  3. preparar informes de gestión de eventos;
  4. realizar alianzas comerciales, desarrollo y cumplimiento de los servicios prestados;
  5. Marketing de e-mail(“Mailing”) con el objetivo de ponerse en contacto con el Titular de Información Personal, a través de boletines informativos, material de marketing, promoción y otros medios;
  6. contactar al Titular (por ejemplo, por correo electrónico, llamadas telefónicas, SMS u otros medios digitales), siempre que sea previa y específicamente autorizado;
  7. compartir con proveedores de servicios y socios comerciales, siempre que estén autorizados, con el fin de desarrollar sus actividades.
  8. la protección del crédito (por ejemplo, consulta con Serasa) en sus transacciones comerciales; y

Procesamiento de Información Sensible

En el ámbito de las actividades de IBRAM, el Procesamiento de Información Personal Sensible se realizará para las siguientes Finalidades:

  1. llenar formularios que contienen información sobre la afiliación de un miembro del sindicato;
  2. biometría digital y facial;
  3. control de documentos médicos (por ejemplo, examen médico de admisión, examen toxicológico, examen de COVID-19 y otros exámenes médicos ocupacionales); y
  4. llenar formulario(s) con información personal en su base de datos (por ejemplo, número de pasaporte).

IBRAM también reconoce la relevancia y especificidad involucradas en el Procesamiento de Información Personal Sensible y, por esa razón, se compromete a adoptar salvaguardas especiales (por ejemplo, segregación de datos, encriptación, Anonimización).

Base jurídica

El Procesamiento de Información Personal en el ámbito de las actividades de IBRAM tiene fundamento(s) legal(es), conforme lo dispuesto en la LGPI. Por lo tanto, principalmente se debe identificar y registrar la base jurídica. Sin embargo, el procesamiento sin ninguna base o fundamento jurídico se considerará ilegal y debe detenerse de inmediato.

En tanto, dicho procedimiento podrá sustentarse en al menos una de las Bases Jurídicas que se describen a continuación:

  1. Consentimiento previo del Titular de Información Personal;
  2. cumplimiento de una obligación legal o regulatoria;
  3. cuando sea necesario para la ejecución de un contrato o procedimientos preliminares relacionados con un contrato en el que el Titular sea parte, a solicitud del Titular de Información Personal;
  4. desempeño de una tarea realizada en interés público o para el ejercicio regular de derechos en procedimientos judiciales, administrativos o de arbitraje;
  5. para la protección de la vida o integridad física del Titular o de un Tercero;
  6. Interés legítimo, salvo en los casos en que prevalezcan los derechos y libertades fundamentales del Titular que requieran la protección de la Información Personal; y
  7. protección del crédito.

Consentimiento

IBRAM, en su actuación, observará preferentemente el Procesamiento de Información Personal con base en el Consentimiento de los Titulares. Para tal efecto, el(los) Operador(es) de Información Personal, siguiendo los lineamientos establecidos en esta Política, deberán asegurar y certificar que el Titular ha brindado el Consentimiento de manera libre, específica y previamente informada.

En este contexto, el Consentimiento debe darse en forma de declaración expresa, inequívoca y clara por parte del Titular de Información Personal.  Por otro lado, si se obtiene bajo coacción o con base en información engañosa, el Consentimiento no será considerado una base jurídica válida para el Tratamiento de Información Personal por parte de IBRAM.

Sin embargo, el Titular de Información Personal también podrá revocar su Consentimiento, en cualquier momento, mediante declaración expresa enviada a IBRAM, en la persona del Encargado, a través de los medios de comunicación indicados al final de esta Política.

Además, si el(los) Operador(es) identifica(n) que no se ha cumplido con la Base Jurídica del Consentimiento o que no se ha obtenido de forma válida y lícita, el Procesamiento de Información Personal debe cesar de inmediato e IBRAM, a través de su Encargado, será notificado con prontitud.

Derechos de los Titulares de Información Personal

IBRAM, en el ámbito de esta Política y su actuación, velará y respetará los siguientes derechos de los Titulares:

  1. derecho de acceso a la información sobre el Procesamiento de Información Personal mantenida y/o eventualmente divulgada o transferida;
  2. derecho a oponerse, restringir, detener o impedir el Procesamiento;
  3. derecho a corregir cualquier error de su Información Personal;
  4. derecho a suprimir la Información Personal de las Bases de Información Personal, salvo en los casos legales de almacenamiento;
  5. derecho a recibir su Información Personal en un formato estructurado y legible;
  6. derecho a revocar su Consentimiento para los Fines de Procesamiento de Información Personal vinculados al mismo;
  7. derecho a la información sobre el desarrollo de su relación con IBRAM;
  8. derecho a la portabilidad de la Información Personal, previa solicitud, para que la Información Personal en Procesamiento sea transferida a otro proveedor de servicios indicado por el Titular; y
  9. derecho a la Anonimización o Bloqueo, previa solicitud.

Sin embargo, es importante señalar que los derechos de los Titulares no son absolutos, ya que IBRAM está sujeto al cumplimiento de las obligaciones legales impuestas en virtud de la LGPI y otras normas y/u obligaciones regulatorias.

Sucede que, en determinadas situaciones, la Información Personal puede ser indispensable para el ejercicio regular de los derechos en procedimientos judiciales, administrativos o arbitrales, hechos que pueden constituir hipótesis que impidan el cumplimiento de determinadas solicitudes del Titular de Información Personal.

En caso de solicitud de ejercicio del derecho, por parte del Titular, el(los) Operador(es), siguiendo los lineamientos establecidos en esta Política, verificará cualquier eventual impedimento al ejercicio del derecho del Titular. Y en caso de existir algún impedimento, también corresponderá al/los Operador(es) registrarse y comunicarlo al DPO, a fin de que se notifique justificadamente al Titular del incumplimiento.

Seguridad de la Información Personal

Todos los empleados, ya sean efectivos o temporales, son responsables de garantizar que la Información Personal procesada por IBRAM se mantenga de forma segura, a través de medidas técnicas/organizativas apropiadas para evitar la Violación de la Información Personal mantenida bajo el control de la empresa.

Asimismo, sólo podrán acceder a la Información Personal aquellas personas físicas/jurídicas cuyo acceso individual haya sido concedido o autorizado. Por lo tanto, queda terminantemente prohibido cualquier tipo de acción que resulte en alteración, violación o acceso indebido al nivel de jerarquía no autorizado/permitido por IBRAM.

Por otro lado, toda la Información Personal inoperante/inactiva debe ser descartada o Anonimizada (codificada/encriptada) para la Seguridad del Titular y del mismo IBRAM, de acuerdo con las directrices establecidas en esta Política.

Finalmente, IBRAM advierte que su sitio web puede contener enlaces a otros sitios que no son operados por la empresa. Se advierte, sin embargo, que IBRAM no tiene control sobre los dominios electrónicos en poder de otras personas físicas/jurídicas, por lo que no es responsable por: el contenido; sitios web; políticas de confidencialidad; o cualquier servicio de Terceros que no esté directamente relacionado con sus actividades.

Difusión y transferencia de Información Personal a  terceros

Sólo se permitirán las difusiones sin el consentimiento del titular cuando se solicite información para uno o más de los siguientes casos:

  1. cumplimiento de una obligación legal o regulatoria de IBRAM;
  2. Procesamiento compartido de Información Personal necesaria para la ejecución, por parte de la administración pública, de políticas públicas previstas en leyes o reglamentos;
  3. el ejercicio regular de los derechos, incluso en los contratos y en los procesos judiciales, administrativos y arbitrales, en los términos de las leyes aplicables;
  4. protección de la vida o integridad física del Titular o de un Tercero;
  5. protección del crédito, incluidas las disposiciones de la legislación pertinente;
  6. cuando sea necesario para atender intereses legítimos de IBRAM o de un Tercero, salvo que prevalezcan derechos y libertades fundamentales del Titular que requieran la protección de la Información Personal.

De esta forma, toda solicitud de suministro de Información Personal con base en las hipótesis antes descriptas deberá estar respaldada con documentación adecuada y expresamente autorizada por el Encargado del Procesamiento de Información Personal.

Transferencia y procesamiento de Información Personal de extranjeros

En caso de Procesamiento de Información Personal de extranjeros y/o Transferencia internacional de Información Personal, IBRAM acreditará y formalizará el Procesamiento o Transferencia, según sea el caso, respetando, en particular, los principios, límites legales y derechos de los titulares, de conformidad con lo dispuesto en el art. 33 de la LGPI, y demás títulos legales vigentes (por ejemplo, “GDPR”; “CCPA”).

Asimismo, IBRAM observará las normas y directrices locales, así como analizará los aspectos de cada caso de transferencia individualmente (por ejemplo, grado de protección de información personal adecuado a lo previsto en la LGPI, estándares corporativos globales, sellos, certificados y otros), asegurando la confidencialidad, privacidad y secreto de la información transferida.

Almacenamiento, retención y eliminación de información personal

La Información Personal será retenida por el período necesario para la realización de los trabajos desarrollados por IBRAM o para el ejercicio de otras hipótesis legales, conforme lo indica el punto 10 de esta Política. De no ser así, se adoptará la Supresión o Anonimización de la Información Personal, la cual sólo podrá realizarse de conformidad con los lineamientos establecidos en esta Política.

La Información Personal mantenida a través de registros manuales o electrónicos que hayan llegado a la fecha de Retención debe ser dispuesta como “residuo confidencial”, puesta en desuso, removida y destruida de inmediato. No obstante, dado que las herramientas y metodologías en línea implementadas ofrecen mayor confiabilidad y menor exposición al riesgo de Fuga, pérdida y otros incidentes de Seguridad, IBRAM desaconseja el uso de registros manuales, especialmente aquellos relacionados con Información Personal.

En caso de solicitud de Supresión de Información Personal por parte de su Titular, IBRAM se reserva el derecho de mantenerla en su Base de Datos, para cumplir con obligaciones legales, resolver disputas, mantener la Seguridad, prevenir fraudes, abusos, garantizar el cumplimiento de contratos, o incluso brindar información a organismos públicos, en los cuales la Información Personal deberá ser Anonimizada.

Modificaciones a esta política

Esta Política está sujeta a constantes mejoras para garantizar una mayor Transparencia y Seguridad a los Titulares de Información Personal. Así, IBRAM se reserva el derecho de modificar unilateralmente este documento en cualquier momento.

Por lo tanto, la administración de IBRAM debe comunicar cualquier modificación a esta Política.  Asimismo, se considera, para los efectos adoptados en la presente Política, que los Titulares de Información Personal estarán automáticamente de acuerdo con el contenido de las modificaciones realizadas.

Vigencia y cumplimiento de esta Política

IBRAM adoptará todos los medios y medidas necesarios para garantizar el cumplimiento efectivo de esta Política, tales como divulgación de esta Política, adhesión a los términos de consentimiento, ajustes contractuales, capacitación, sanciones disciplinarias y otras medidas que sean necesarias.

Contacto

Para aclaraciones, dudas o solicitudes adicionales, el Titular de Información Personal deberá ponerse en contacto con el Encargado por: e-mail ibram@ibram.org.brsitio web www.ibram.org.br; o teléfono + 55 31 3223-6751.

INSTITUTO BRASILEÑO DE MINERÍA – IBRAM