Skip To Main Content

1. Visão Geral

1.1 PROPÓSITO

A Albaugh (doravante denominada “a Empresa”) DSR (“Solicitação de Titular de Dados”) & Política de Gestão de Cookies e Consentimento rege o recebimento, avaliação, resposta e manutenção de registros da Albaugh em relação às DSRs. As DSRs podem ser feitas à Albaugh sob várias Leis Aplicáveis, e esta política está em vigor para governar o processo de recebimento e resposta a tais solicitações em conformidade com as Leis Aplicáveis. Além disso, esta política fornece diretrizes sobre quando o consentimento deve ser obtido, a linguagem que deve ser usada e como a documentação deve ser mantida.

1.2 ÂMBITO

Esta política se aplica a todos os membros da força de trabalho da Albaugh, incluindo trabalhadores contratados e consultores. A Albaugh exigirá que todas as terceirizadas que utilizem hardware, software, redes, aplicativos, dados, propriedade intelectual e quaisquer recursos associados geridos e de propriedade da Albaugh cumpram os padrões legais aplicáveis. Esta política se aplica à Albaugh e suas Afiliadas.

2. Definições

Leis Aplicáveis - Qualquer lei estadual, federal ou estrangeira, regra ou regulamento aplicável ao Processamento de Informações Pessoais.

Controlador - A entidade que determina as finalidades e os meios do processamento de Informações Pessoais. O Controlador pode ser referido como “Empresa” sob as Leis Aplicáveis.

Titular de Dados - Pessoa identificada ou identificável a quem as Informações Pessoais se referem.

Solicitação de Titular de Dados (“DSR”) - O meio pelo qual os titulares de dados solicitam que a organização divulgue quais Informações Pessoais detém sobre eles e como a organização as utiliza ou pretende utilizá-las.

Informações Pessoais (“PI”) - Qualquer informação relacionada a uma pessoa natural ou “Titular de Dados”, que possa ser usada para identificar direta ou indiretamente a pessoa. Informações Pessoais podem incluir informações referidas como “Dados Pessoais” ou “Informações de Identificação Pessoal” (PII) em algumas jurisdições.

Processamento - Qualquer operação ou conjunto de operações realizadas sobre as Informações Pessoais, seja ou não por meios automáticos, como coleta, registro, organização, armazenamento, adaptação ou alteração, recuperação, consulta, divulgação por transmissão, disseminação ou disponibilização de outra forma, alinhamento ou combinação, bloqueio, apagamento ou destruição.

Processador - Entidade que processa Informações Pessoais em nome do Controlador. O Processador pode ser referido como “Fornecedor de Serviços” sob as Leis Aplicáveis.

3. Solicitações de Titular de Dados 

3.1 SOLICITAÇÕES NO ESCOPO

Dependendo da Lei Aplicável onde os titulares de dados (por exemplo, clientes, consumidores, funcionários, etc.) residem, os titulares de dados podem ter os seguintes direitos relacionados às PI:

Acesso e Portabilidade: O direito de solicitar que a Albaugh forneça um relatório das PI detidas pela empresa. O relatório pode incluir:

  • As categorias de PI que a Albaugh coletou sobre esse consumidor;
  • As categorias de fontes de onde as PI são coletadas;
  • A finalidade comercial ou empresarial para a coleta ou venda de PI;
  • As categorias de terceiros com quem a Albaugh compartilha PI;
  • As informações específicas de PI que a Albaugh coletou sobre esse consumidor.

Retificação: O direito de solicitar que a Albaugh retifique PI incorretas ou incompletas.

Eliminação: O direito de solicitar que a Albaugh elimine ou apague PI.

Por exemplo, solicitações podem ser negadas se a retenção de PI for exigida sob certas circunstâncias, incluindo, mas não se limitando a:

  • Cumprir uma obrigação legal;
  • Estabelecer, exercer ou defender reivindicações legais; ou
  • Executar uma tarefa de interesse público ou no exercício de autoridade oficial;

Retirar o consentimento: O direito de retirar o consentimento para a Albaugh processar PI (ver seção “Gestão de Cookies e Consentimento” abaixo).

Comunicações de Marketing: O direito de optar por não receber comunicações de marketing da Albaugh.

Objeção: O direito dos Titulares de Dados de se oporem ao processamento de PI que lhes dizem respeito.

Restrição do Processamento: O direito de restringir ou se opor ao processamento ou transferência de PI pela Albaugh em determinadas circunstâncias.

Decisão Individual Automatizada: O direito de não ser submetido a uma decisão baseada exclusivamente no processamento automatizado de PI, incluindo a criação de perfis.

Não Discriminação: O direito de não enfrentar discriminação por exercer os direitos acima mencionados. A Albaugh não tomará ações retaliatórias ou discriminatórias contra qualquer consumidor que opte por exercer qualquer um dos direitos acima. Assim, a Albaugh não pode negar serviços e produtos aos indivíduos. A Lei Aplicável pode proibir práticas que sejam usurárias, coercitivas ou injustas nesse sentido. 

3.2 REQUISITOS DE DSR

Independentemente da regulamentação sob a qual uma DSR é feita, elementos comuns do programa de resposta de DSR da Albaugh existem; quando aplicável por lei, estes devem ser realizados pela Albaugh da seguinte forma:

Recepção

O processo pelo qual as DSRs podem ser submetidas por indivíduos à Albaugh é descrito e fornecido aos indivíduos através dos Avisos de Privacidade de acesso público da Albaugh.

Documentação e Monitoramento das Solicitações Recebidas

A Albaugh deve garantir que todas as DSRs recebidas sejam documentadas para fins de reconhecimento interno do recebimento. A Albaugh deve garantir que o status de conclusão seja então monitorado (ou seja, do recebimento à rejeição ou cumprimento) para cada solicitação para garantir que uma resposta satisfatória seja emitida em conformidade com os requisitos regulatórios e prazos.

Treinamento e Conscientização

A Albaugh garante que todos os indivíduos responsáveis pelo manuseio de DSRs recebidas e consultas externas (ou seja, solicitações onde é necessária a cooperação de terceiros) sejam informados de todos os requisitos regulatórios aplicáveis e procedimentos internos da Albaugh.

Prazos de Resposta e Reconhecimento

A Albaugh responderá às solicitações de acordo com os prazos regulamentares relevantes. Isso pode incluir o reconhecimento do recebimento das solicitações antes de uma determinação sobre a aceitação ou rejeição da solicitação ser feita e antes do cumprimento da solicitação.

Avaliação da Base Legal

Como parte do processo de resposta de DSR, a Albaugh aceitará ou rejeitará DSRs com base em uma avaliação da base legal da solicitação sob as Leis Aplicáveis. Em caso de negação de uma DSR,

A Albaugh comunicará ao titular dos dados por que não há obrigação legal de atender à solicitação.

Verificação de Identidade

A determinação da base legal da solicitação e qualquer resposta subsequente ao solicitante incluirá, conforme exigido pela lei aplicável, um procedimento de verificação de identidade antes que qualquer informação seja divulgada.

Avaliação Legal de Solicitações de Terceiros e Verificação de Identidade

Quando um titular de dados usa um agente para enviar uma DSR, a Albaugh pode exigir que o titular de dados siga etapas adicionais para manter a conformidade.

Rejeição de uma Solicitação

A Albaugh garante que todas as informações relacionadas à decisão de rejeitar a solicitação, e que são exigidas a serem fornecidas sob as Leis Aplicáveis, sejam fornecidas à parte solicitante, e sejam retidas de acordo com os requisitos regulamentares. Instâncias em que a Albaugh pode rejeitar a solicitação incluem, mas não se limitam à incapacidade de validar a identidade do Titular de Dados e outras limitações com relação à conformidade com outras Leis Aplicáveis (como leis da União Europeia ou dos Estados Membros, leis federais dos EUA, etc.).

Cumprimento da Solicitação

A Albaugh, para garantir o cumprimento do processo de DSR, possui políticas e procedimentos que exigem que o relatório apropriado (ou a modificação apropriada) das PI seja realizado na organização. A Albaugh também garante que seus sistemas e quaisquer terceiros aplicáveis executem corretamente e cumpram as obrigações do processo de DSR aprovado pela Albaugh.

Anti-discriminação

A Albaugh não discrimina indivíduos que exerçam quaisquer dos direitos a eles conferidos sob regulamentações aplicáveis em todas as circunstâncias. Esta anti-discriminação inclui, mas não se limita a não negar bens ou serviços ao solicitante; não cobrar preços ou taxas diferentes para bens ou serviços, incluindo através do uso de descontos ou outros benefícios ou imposição de penalidades, e não fornecer um nível ou qualidade diferente de bens ou serviços aos solicitantes individuais, nem sugerir que indivíduos receberão um preço ou taxa diferente para bens ou serviços ou um nível ou qualidade diferente de bens ou serviços como resultado de exercerem seus direitos.

Além disso, os Oficiais de TI e Compliance regionais trabalharão com o Grupo de TI e o Oficial de Compliance do Grupo para tratar dos requisitos específicos de qualquer lei local aplicável em cada região.

4. Cookies e Consentimento

4.1 QUESTÕES REGULATÓRIAS

O termo “consentimento” aparece em quase todas as regulamentações de proteção de dados em vigor ao redor do mundo. A maioria dos países, com exceção dos Estados Unidos, exige “consentimento opt-in” dado livremente pelo titular de dados de quem a Albaugh está coletando informações. As Leis Aplicáveis geralmente definem “consentimento” como “qualquer indicação livremente dada, específica, informada e inequívoca dos desejos do Titular de Dados pelos quais ele ou ela, por uma declaração ou por uma ação afirmativa clara, indica acordo com o processamento de Dados Pessoais relativos a ele ou ela”.

As Leis Aplicáveis determinam bases legais que uma organização pode alegar ao coletar e processar PI; isso inclui “consentimento”. A Albaugh deve garantir que, se alegar “consentimento” como a base legal para uma determinada atividade de processamento de dados, o raciocínio seja consistente durante todo o processo e não possa ser alterado para outra base legal posteriormente (no entanto, várias bases legais podem ser citadas inicialmente).

As Leis Aplicáveis fornecem as seguintes condições em relação ao “consentimento”:

Dado Livremente:

O cumprimento de uma disposição ou serviço não deve exigir consentimento para processar PI que não seja necessário para cumprir essa disposição ou serviço específico.

Uma escolha genuína ou livre deve ser oferecida ao Titular de Dados.

Específico:

Se o consentimento for capturado no contexto de uma declaração escrita que diz respeito a outros assuntos, a seção de consentimento deve ser claramente distinguível do restante.

Os Titulares de Dados devem consentir com cada atividade de processamento de dados separadamente.

Informado:

Os Titulares de Dados devem ser informados, em linguagem simples, quem está processando seus dados, quais atividades de processamento ocorrerão e a finalidade do processamento dos dados; isso deve ser expresso antes do consentimento ser inicialmente capturado.

Inequívoco:

O consentimento do Titular de Dados para o processamento de suas PI deve ser demonstrável.

O silêncio ou inatividade não seriam aceitáveis, o Titular de Dados deve “optar por” conscientemente marcando uma caixa, escolhendo uma configuração técnica ou fornecendo uma declaração clara de consentimento.

Pode Ser Revogado:

O Titular de Dados deve sempre ter o direito de retirar facilmente seu consentimento (ou seja, optar por não participar) a qualquer momento; este direito deve ser expresso antes do consentimento ser inicialmente capturado.

4.2 “VENDA” DE INFORMAÇÕES PESSOAIS

“Venda” refere-se à venda, aluguel, liberação, divulgação, disseminação, disponibilização, transferência ou comunicação por meio oral, escrita, eletrônica ou outros meios de PI que o consumidor não direcionou intencionalmente para ser compartilhado com um terceiro. As transferências de PI para terceiros, independentemente da consideração monetária, podem ser classificadas como uma “venda” sob as Leis Aplicáveis. Portanto, uma “venda” de informações pessoais requer consentimento.

4.2.1 Regra de Não Venda

Sob certas Leis Aplicáveis, os consumidores possuem o direito de dizer às empresas para não “venderem” suas PI. Os requisitos específicos da Regra de Não Venda incluem o seguinte:

  • Todos os sites devem ter uma página chamada “Não Vender Minhas Informações Pessoais” que permite aos consumidores optarem por não vender suas PI.
  • O link da página “Não Vender Minhas Informações Pessoais” deve estar presente na página inicial do site (também é melhor prática tornar o link visível em todas as páginas da web).
  • Os consumidores devem poder optar por não participar sem criar uma conta no site.
  • A política de privacidade do site deve incluir uma linguagem descrevendo os direitos dos consumidores e um link para a página “Não Vender Minhas Informações Pessoais”.
  • Após um consumidor optar por não participar, ele não pode ser solicitado a ter suas PI “vendidas” por 12 meses.

A Albaugh não se envolve na venda de PI. Se qualquer site da Albaugh coletar PI para vender a um terceiro, o site deve incluir uma página “Não Vender Minhas Informações Pessoais”.

4.2.2 Menores e a Venda de Informações Pessoais

A Albaugh não deve “vender” conscientemente as PI de consumidores menores de 16 anos. Os consumidores entre 13 e 16 anos ou os pais/guardians (para consumidores com menos de 13 anos) devem especificamente “optar por” ou “consentir” com a “venda” de suas (ou de seus filhos) PI.

Os serviços e produtos da Albaugh não são destinados a indivíduos menores de dezoito (18) anos. A Albaugh não coleta e utiliza conscientemente PI relacionadas a menores.

4.3 REQUISITOS DA POLÍTICA

A Albaugh é obrigada a obter consentimento dos Titulares de Dados de acordo com as Leis Aplicáveis. Onde o consentimento é exigido, o seguinte deve estar em vigor:

  • Capacidade de demonstrar que o Titular de Dados deu consentimento explícito para o processamento de suas PI.
  • Capacidade de demonstrar que o Titular de Dados consentiu com o processamento de suas PI para um ou mais propósitos específicos.
  • O consentimento é facilmente distinguível de qualquer outro assunto relacionado ao Titular de Dados.
  • O consentimento está em uma forma inteligível e de fácil acesso, usando linguagem clara e simples.
  • O Titular de Dados foi informado de seu direito de retirar o consentimento antes de dá-lo.
  • O processamento de dados é limitado ao contrato vinculado pelo consentimento explícito dado pelo Titular de Dados.
  • Os registros de consentimento são retidos, quando aplicável, de acordo com as políticas internas de retenção de dados e obrigações regulatórias.

Além disso, o TI regional e o Oficial de Compliance regional verificarão os procedimentos de consentimento da Albaugh em relação a quaisquer leis e regulamentos locais adicionais aplicáveis.

4.4 EXCEÇÕES

Qualquer exceção à política deve ser aprovada pelo Conselheiro Geral.

4.5 APLICAÇÃO DA POLÍTICA

Qualquer funcionário que violar esta política poderá ser sujeito a ação disciplinar, incluindo demissão.

5. Histórico e Aprovação de Revisão do Documento

Ação

Data

Nome

Criação da Política

2023/05/02

Conselheiro Geral

Aprovação da Política

2023/05/02

Conselheiro Geral