Termos de Uso

TÍTULO: PROCEDIMENTO PARA ATENDIMENTO ÀS REQUISIÇÕES DOS TITULARES DE DADOS 

1. OBJETIVO 

Descrever e fornecer orientações aos empregados que irão atuar diretamente nos atendimentos às requisições dos titulares de dados pessoais bem como estabelecer regras para o encaminhamento requisições dos titulares de dados pessoais. 

Descrever como a ArcelorMittal Brasil deve responder às solicitações de acesso a Dados Pessoais por titulares de dados de dados pessoais, descrevendo as diretrizes gerais para lidar com solicitações de acesso do Titular dos dados de indivíduos das seguintes categorias:

(i) Empregados, estagiários ou aprendizes 

(ii) Ex-empregado(a) 

(iii) Clientes: bem como seus representantes, funcionários ou indivíduos relacionados (como contatos dentro da empresa) 

(iv) Fornecedor/ Terceiro:  representantes de fornecedores e parceiros de negócios 

(v) Candidato(a) ao emprego 

(vi) Outro: partes interessadas, seus representantes ou indivíduos relacionados (stakeholders) 

• REFERÊNCIA /COMPLEMENTAÇÃO 

O detalhamento das práticas padrão específicas deste procedimento são decorrentes da Política e Procedimento de Proteção de Dados Pessoais da ArcelorMittal Brasil. 

• APLICAÇÃO

Este procedimento é um documento interno, com valor jurídico e possui aplicabilidade imediata e indistinta, a partir de sua publicação aos colaboradores envolvidos no tratamento de dados pessoais, seja o tratamento realizado por meio de sistemas de TI ou de qualquer outra maneira, incluindo o uso de sistemas de terceiros ou registros em papel. 

• PUBLICAÇÃO 

Este procedimento deve ser publicado de forma a abranger todas as Unidades Organizacionais do Grupo ArcelorMittal Brasil. 

• FREQUÊNCIA 

Essa prática deve ser aplicada sempre que for verificada uma requisição acerca de dados pessoais por titular de dados pessoais. 

• VIGÊNCIA 

Esta prática será considerada oficialmente em vigor a partir da data da sua publicação.

• SIGLAS/SÍMBOLOS 

DPO – Data Protection Officer (Encarregado de Proteção de Dados) 

Fale Conosco – portal de contato da ArcelorMittal Brasil com seus clientes, servindo também como ponto de contato para solicitações acerca de dados pessoais, realizadas através de formulário eletrônico integrado com o Sistema OneTrust ou através do e-mail de contato com o Encarregado de Proteção de Dados (DPO). 

OneTrust – Plataforma de Gerenciamento de Governança em Privacidade e Proteção de Dados Pessoais 

• DEFINIÇÕES 

Agentes de tratamento: são o controlador e o operador dos dados. 

Controlador – Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.É quem determina a finalidade do tratamento dos dados, bem como dá as instruções para que essa finalidade seja alcançada. Na maioria das vezes a ArcelorMittal Brasil será a controladora dos dados. 

Dado Pessoal – Informação relacionada a pessoa natural identificada ou identificável. 

Direitos do Titular: O titular dos dados pessoais tem direito a obter da ArcelorMittal Brasil a qualquer momento e mediante requisição, a confirmação da existência de tratamento, acesso aos dados, correção de dados incompletos, inexatos ou desatualizados, anonimização, bloqueio ou eliminação de dados desnecessários, portabilidade dos dados a outro fornecedor de serviço ou produto, eliminação dos dados pessoais tratados com o consentimento do titular, informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados, informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, a revogação do consentimento e obtenção de cópia das cláusulas utilizadas para a realização de transferência internacional de dados.

Operador – pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Geralmente, esta posição é ocupada por fornecedores e parceiros de negócio. O operador somente poderá agir de acordo com as instruções do controlador. Por exemplo: quando a ArcelorMittal Brasil contrata um servidor de nuvem, para hospedar seus dados, a AMB estará agindo como controladora dos dados, e o fornecedor deste servidor será o operador. Armazenar dados também é uma forma de tratamento. Estes dados continuam sendo de responsabilidade da ArcelorMittal Brasil, mas estão momentaneamente sendo apenas armazenados (conforme instruções) por este terceiro, que será o operador dos dados. 

Responsável legal – indivíduo dotado do poder de representar uma pessoa que seja menor de idade ou incapaz. 

Terceiro – Pessoa Física ou Jurídica que presta serviços através de instrumento de contrato, para atender as necessidades operacionais e administrativas da Companhia. 

Titular – Pessoa natural a quem se referem os Dados Pessoais que são objeto de tratamento.

Transferência Internacional de Dados –  Transferência de Dados Pessoais do Brasil para país estrangeiro ou organismo internacional do qual o Brasil seja membro, o que pode envolver operações como utilização de serviços em nuvem (Cloud Computing), compartilhamento com fornecedores internacionais e transferência de dados para as demais empresas do grupo econômico da ArcelorMittal Brasil. 

Tratamento – Toda operação realizada com Dados Pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. 

• RESPONSABILIDADES 

Encarregado pelo Tratamento de Dados Pessoais – DPO

• Garantir o registro de todas as requisições dos titulares na ferramenta OneTrust. 
  • Analisar a necessidade de informações adicionais para análise das requisições de exercício de direito dos Titulares dos Dados Pessoais. 
  • Verificar a identidade do Requisitante. 
  • Definir a natureza e a complexidade da requisição, estipulando seu prazo. 
  • Manter a comunicação direta com o Requisitante, sempre que necessário. 
  • Solicitar, sempre que necessário, suporte técnico ou jurídico. 
  • Decidir sobre a negativa de eventuais requisições de exercício de direito dos Titulares dos Dados Pessoais. 
  • Documentar todo o processo de comunicação junto aos Titulares dos Dados Pessoais. 
  • Fiscalizar o cumprimento dos Agentes de Tratamento quanto a ações necessárias resultantes de requisições de Titulares dos Dados Pessoais. 
  • Arquivar devidamente os procedimentos de requisição por 5 (cinco) anos e destruí-los após decorrido este período. 

Área de Relações Institucionais:

• Encaminhar demandas referentes às solicitações de informações acerca de dados Pessoais para DPO. 

Departamento Jurídico: 

• Auxiliar na análise legal das requisições de direitos dos Titulares dos Dados, sempre que solicitado pelo Encarregado pelo Tratamento dos Dados Pessoais – DPO; 
• Estabelecer os requisitos de cumprimento dos Agentes de Tratamento quanto a ações necessárias resultantes de requisições dos Titulares dos Dados. 

Áreas de Negócio 

• Executar as ações necessárias para o cumprimento das requisições encaminhadas pelo Encarregado pelo Tratamento dos Dados Pessoais – DPO 
• Notificar os Agentes de Tratamento de Dados Pessoais que realizam o tratamento dos dados pessoais quando o objeto da requisição necessita da execução de ações  

Operador:  

• Auxiliar o Controlador no atendimento das requisições dos titulares sempre que requisitado, sem demora injustificada. 
  • Executar o requisitado pelo Controlador quando do atendimento das requisições, como por exemplo, proceder à retificação dos dados dos titulares em suas atividades de tratamento. 
  • Informar ao titular dos dados o meio adequado do Controlador para a realização de requisições de direitos. 

1. PROCEDIMENTOS 

1. REALIZAÇÃO DO PEDIDO 

Somente o Titular dos Dados Pessoais ou o seu Representante Legal podem requerer o exercício de direitos sobre os dados pessoais, mediante requerimento expresso. 

Preferencialmente, o Requerente deve fazer uma solicitação por meio do Canal “Fale Conosco”  disponível no site institucional da ArcelorMittal Brasil em:

https://www.arcelormittal.com.br/contato

Ainda que o Requerente não utilize o link acima mencionado para fazer uma solicitação, qualquer requisição realizada por outro meio (telefone, carta, e-mail, etc) será válida e deverá ser tratada como uma Requisição do Titular dos Dados. 

Quaisquer solicitações recebidas fora da Ferramenta OneTrust devem ser inseridas imediatamente na ferramenta pelo Encarregado de Proteção de Dados -DPO. 

O Encarregado pelo Tratamento de Dados Pessoais -DPO deve fazer uma análise formal da requisição e, caso a requisição não preencha os requisitos formais descritos, deve ser recusada e informada ao Requerente a oportunidade de complementar os dados e enviar novamente a requisição. 

A análise formal pelo Encarregado pelo Tratamento de Dados Pessoais deve contemplar: 

a) O nome completo do Titular dos Dados Pessoais, telefone, endereço completo, e-mail ou outro canal para retornar a sua solicitação; 

b) Cópia (física ou digitalizada) de documento oficial para identificar a identidade do Titular dos Dados Pessoais; 

c) Caso a requisição seja feita pelo Representante Legal do Titular dos dados pessoais, documento comprobatório da responsabilidade do Representante Legal;

d) Descrição ou razões sobre os direitos que se pretende exercer; 

e) Sempre que possível, informações que facilitem a localização dos dados pessoais. 

Caso a solicitação não contenha as informações necessárias, o requerente será informado que possui um prazo de 30 (trinta) dias corridos para complementar a sua requisição (verificar sua identidade ou incluir informações cruciais para o atendimento, por exemplo) sob pena de ter que ingressar com uma nova requisição após o transcorrido este prazo. 

O Encarregado pelo Tratamento de Dados Pessoais possui um prazo de 15 (quinze) dias corridos, a partir do recebimento da requisição (quando acompanhada de verificação de identidade), para responder a requisição relacionada a confirmação de existência, disponibilização de acesso aos dados pessoais, ou o fornecimento de cópia das cláusulas utilizadas para a realização de transferência internacional de dados. Quando a requisição não estiver acompanhada de uma forma de verificação de identidade, ou que não possua elementos suficientes que definam claramente a intenção do requerente, a ArcelorMittal Brasil deverá solicitar ao requisitante os dados complementares para atender à solicitação. O prazo de 15 dias para resposta à requisição somente se iniciará após a complementação destes dados pelo requerente. 

As demais requisições, tais como retificação, anonimização, oposição, portabilidade, por exemplo, devem ser tratadas pelo Encarregado pelo Tratamento de Dados Pessoais, sem demora injustificada e dentro de um prazo de 30 (trinta) dias corridos, contados, também a partir do seu recebimento. 

Exceções em relação ao prazo poderão ocorrer em requisições mais complexas (que envolvam a busca em arquivos físicos, por exemplo) ou devido à quantidade de requisições recebidas, sendo este período prorrogável por mais 30 (trinta) dias corridos. 

O Requisitante deve ser informado a respeito de eventuais prorrogações e suas justificativas, sob pena de denúncia à Autoridade Nacional de Proteção de Dados. 

No entanto, os direitos dos titulares dos dados não são absolutos, e podem ser negados em caso de impossibilidade técnica ou jurídica, desde que sejam enviadas as respectivas justificativas ao requisitante.  

10.2 CLASSIFICAÇÃO E ANÁLISE DO PEDIDO 

Considera-se que uma solicitação se enquadra no escopo deste Procedimento apenas caso se refira aos direitos do Titular dos dados pessoais mencionados na Política de Proteção de Dados da ArcelorMittal Brasil e no Procedimento de Proteção de dados da ArcelorMittal Brasil. Portanto, antes de considerar qualquer solicitação de dados pessoais, é essencial garantir que a solicitação esteja relacionada aos direitos detalhados nas respectivas Políticas.

10.2.1 Tipos de solicitações do titular de dados 

PEDIDOS ACESSO 

Os titulares dos dados têm o direito de obter a confirmação da ArcelorMittal Brasil se os Dados Pessoais relativos a eles estão sendo tratados ou não, além de receber uma cópia dos seus Dados Pessoais.  

As informações e os dados poderão ser fornecidos, a critério do titular, por meio eletrônico, seguro e idôneo para esse fim, ou, sob forma impressa. 

Caso solicitado pelo titular dos dados, as seguintes informações devem ser fornecidas. 

• Finalidade do tratamento; 

• Categorias de dados pessoais envolvidos; 

• Quando possível, o período previsto para o qual os Dados Pessoais serão armazenados ou, se não for possível, os critérios utilizados para determinar o período de armazenamento; 

• Existência do direito de solicitar à ArcelorMittal Brasil a retificação ou apagamento de dados pessoais ou restrição de tratamento de dados pessoais em relação ao Titular dos Dados;

• Existência do direito de se opor a esse tratamento; 

• O direito de ser informado sobre as consequências em não fornecer o consentimento para o tratamento previsto; 

• Qualquer informação disponível quanto à fonte de Dados Pessoais, nos casos em que os Dados Pessoais não foram coletados diretamente do Titular dos Dados; 

• Direito de apresentar uma reclamação à Autoridade Nacional de Proteção de Dados; 

• Existência de tomada de decisão automatizada, incluindo criação de perfil e informações significativas sobre a lógica envolvida, bem como o significado e as consequências previstas desse tratamento para o Titular dos Dados. 

PEDIDOS DE ATUALIZAÇÃO OU RETIFICAÇÃO DE DADOS 

Os titulares dos dados têm o direito de procurar retificar seus dados pessoais e completar seus dados pessoais incompletos. Essa opção pode ser conferida ao titular dos dados por meio de uma plataforma logada, em que ele mesmo realize a atualização de seus dados. É importante manter registros de qualquer alteração realizada, a fim de comprovar o cumprimento com os direitos dos titulares. 

PEDIDOS DE INFORMAÇÃO SOBRE COMPARTILHAMENTO DE DADOS

Os titulares dos dados têm o direito de obter informações sobre as entidades públicas e privadas com quem o Controlador tenha realizado o uso compartilhado de dados.

Para esse fim, é recomendável que os sejam fornecidas ao titular informações detalhadas sobre os destinatários a quem os Dados Pessoais foram ou serão divulgados. Quando o destinatário estiver localizado em país terceiro ou for organização internacional, a ArcelorMittal deve indicar tal fato ao titular em sua resposta. Caso não seja possível identificar destinatários individuais, o titular deve ser informado, no mínimo, sobre as categorias de destinatários com quem os dados possam ter sido ou vir a ser compartilhados.

No caso de Transferências Internacionais:

Caso o compartilhamento em questão inclua a realização de Transferências Internacionais, os titulares dos dados têm o direito de obter da ArcelorMittal Brasil cópia da íntegra das cláusulas utilizadas para a realização dessa transferência, observados os segredos comerciais e industriais da ArcelorMittal Brasil.

Solicitação isolada:

Se a solicitação da cópia das cláusulas utilizadas for feita sem outros pedidos de informação sobre compartilhamento de dados, a resposta deve incluir unicamente a cópia das cláusulas utilizadas, conforme solicitado, sem o fornecimento de informações adicionais.

Solicitação conjunta:

Se a solicitação da cópia das cláusulas utilizadas for feita em conjunto com informações gerais sobre compartilhamento de dados, as cópias devem ser fornecidas juntamente a tais informações, em documento apartado.

Se o Titular dos Dados solicitante pretender receber cópias das cláusulas relacionadas a todas as transferências internacionais a que seus dados pessoais estejam sujeitos, sem outras limitações, o Encarregado de Dados – DPO da ArcelorMittal Brasil poderá entrar em contato a fim de tentar restringir o escopo da pesquisa (por exemplo: estabelecendo um contrato ou um grupo de contratos a que a solicitação diga respeito) com base na resposta oferecida pelo Titular de Dados Pessoais.  

No entanto, se o Titular dos dados reiterar sua solicitação de acesso às cláusulas de todos os contratos relacionados a transferências internacionais de seus dados pessoais, deverá ser fornecida cópia integral de todas as cláusulas solicitadas, observadas as restrições acima.

PEDIDOS DE APAGAMENTO/EXCLUSÃO DE DADOS 

Sob certas condições, os titulares dos dados pessoais têm o direito de solicitar o apagamento de seus dados pessoais.  A ArcelorMittal Brasil tem a obrigação de apagar os Dados Pessoais em uma solicitação do Titular dos dados pessoais, dentro dos prazos listados no item 10.1, se: 

• Os dados pessoais não são mais necessários para os fins para os quais foram coletados; 

• O tratamento foi baseado no consentimento do titular dos dados, sendo que este titular revoga o consentimento e não há outras bases legais para dar continuidade ao tratamento; 

• Os dados pessoais foram tratados em desacordo com a Lei Geral de Proteção de Dados; 

• Os dados pessoais devem ser apagados para conformidade com uma obrigação legal a que a ArcelorMittal Brasil está sujeita. 

O direito ao apagamento (“direito ao esquecimento”) não é absoluto. A ArcelorMittal Brasil está sujeita a obrigações legais e têm interesses legítimos que podem impedir o cumprimento de determinadas solicitações do titular dos dados. 

A ArcelorMittal Brasil não deve apagar dados pessoais com base em uma solicitação do Titular dos Dados caso o tratamento seja necessário para o cumprimento de uma obrigação legal ou para o exercício regular de seus direitos, por exemplo. De toda forma, o titular será formalmente comunicado da decisão da empresa com a respectiva justificativa técnica ou jurídica que a impossibilite de apagar/excluir os dados do titular. 

PEDIDO DE ANONIMIZAÇÃO, BLOQUEIO OU ELIMINAÇÃO DE DADOS DESNECESSÁRIOS  

A anonimização corresponde à utilização de meios técnicos razoáveis e disponíveis no momento, por meio dos quais um dado perde a possibilidade de associação – direta ou indireta – a um indivíduo. O processo de anonimização é irreversível. 

O bloqueio de dados se refere à suspensão temporária de qualquer operação de tratamento, mediante guarda de dado pessoal ou de banco de dados. 

E, por fim, o direito à eliminação é a exclusão de dados ou de conjunto de dados desnecessários armazenados em bancos de dados, sendo também uma medida irreversível. 

Os Titulares dos Dados têm o direito de exigir a restrição de Tratamento quando houver a existência de um dos seguintes itens a seguir:

• A precisão/exatidão dos dados pessoais for contestada pelo titular dos dados, até que a precisão/exatidão dos dados pessoais seja verificada; 

• O tratamento é ilícito e o titular dos dados se opõe ao apagamento dos dados pessoais e solicita a restrição de seu uso; 

• O Titular dos Dados requer a preservação dos dados, pois necessita deles para que possa exercer a defesa de suas reinvindicações legais. Dessa forma, cabe à ArcelorMittal Brasil preservar esses dados, utilizando os meios adequados, mesmo que não necessite mais desses dados para fins de atividade de tratamento; 

• Se o tratamento for embasado pelo legítimo interesse da ArcelorMittal Brasil e o titular dos dados se opuser, o tratamento de dados pessoais será restrito até que seja verificado que a ArcelorMittal Brasil possui motivos legítimos de processamento que subsidiem os interesses, direitos e liberdades do titular dos dados. 

PEDIDO DE PORTABILIDADE 

O Titular dos Dados possui o direito de solicitar uma cópia de seus dados pessoais em formato estruturado, legível por máquinas, bem como o direito de portá-los a outro Agente de Tratamento, mediante requisição expressa, de acordo com a regulamentação da Autoridade Nacional, observados os segredos comerciais e industriais.

OBJEÇÃO AO TRATAMENTO 

Os titulares dos dados têm o direito de se opor ao tratamento de seus dados pessoais. Entretanto, se a ArcelorMittal Brasil comprovar que realiza o tratamento de modo legítimo e em conformidade com as legislações aplicáveis, o tratamento poderá continuar a ocorrer. 

Durante a verificação de legalidade, ou seja, se o tratamento está ocorrendo conforme as diretrizes da Lei Geral de Proteção de Dados e suportado por uma das bases legais oferecidas, mediante solicitação dos titulares dos dados, o tratamento pela ArcelorMittal Brasil pode ser restrito por meio do bloqueio temporário dos dados pessoais. 

PEDIDO DE REVISÃO DE DECISÃO AUTOMATIZADA 

O Titular dos dados tem o direito de requisitar uma revisão sobre uma decisão baseada apenas no tratamento automatizado, incluindo criação de perfil, que produz efeitos legais a respeito ou que o afeta de maneira semelhante. 

A ArcelorMittal Brasil deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial. 

Em caso de não oferecimento de informações baseado na observância de segredo comercial e industrial, a Autoridade Nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais. 

PEDIDO FORA DO ESCOPO 

Em caso de recebimento de solicitações que não se enquadram no escopo deste Procedimento o solicitante deverá ser informado de que sua solicitação não será tratada como uma solicitação de acesso do Titular dos Dados. Essas solicitações devem ser tratadas de acordo com as leis, políticas e práticas locais, conforme o caso. 

10.3 TRATAMENTO DO PEDIDO 

IDENTIDADE DO TITULAR 

Primeiramente, a identidade do titular dos dados deve ser verificada, antes do início de quaisquer tratativas a fim de dar seguimento à análise da solicitação.  

Se a solicitação for enviada por um empregado por meio do Canal “Fale Conosco”, ele deverá fornecer o ID/Número pessoal e e-mail corporativo no momento da solicitação.    

Se a solicitação for enviada por um ex-empregado ou terceiro por meio do Canal “Fale Conosco”, a identidade do Titular dos dados será verificada em consulta realizada pelo RH nas fichas dos ex-empregados ou sistemas de gestão de terceiros. Se a solicitação não for enviada por meio do Canal “Fale Conosco”, a área de negócios que receber a solicitação irá orientar o titular a usar a plataforma online. Se o solicitante concordar, o processo de identificação acima será aplicado. 

Se o solicitante não concordar, o pedido deverá ser encaminhado ao Encarregado de Proteção de Dados – DPO que será responsável por coordenar o processo de verificação da identidade do Titular dos Dados, responder às solicitações do Titular dos Dados e garantir que a solicitação e o fluxo do processo sejam registrados na Ferramenta OneTrust. 

Se a identidade do titular dos dados não puder ser verificada, a ArcelorMittal Brasil se recusará a tomar as medidas solicitadas. 

Como regra geral, os Dados Pessoais nunca devem ser entregues a um Titular dos Dados por telefone. Se, no entanto, for implementado um procedimento documentado para a verificação da identidade por telefone, será possível o compartilhamento de informações por telefone. 

SOLICITAÇÕES FEITAS POR TERCEIRO EM NOME DO TITULAR 

Como regra geral, as solicitações podem ser enviadas apenas pelos titulares dos dados em questão. Os terceiros que apresentarem uma solicitação do Titular dos Dados em relação a terceiros devem ser informados de que os direitos de acesso do Titular dos Dados podem ser exercidos apenas pelos próprios Titulares dos Dados, a menos que: 

• O titular dos dados é menor de idade e o representante é um dos pais da criança, mediante verificação dos direitos dos pais por documento comprobatório da responsabilidade do Representante Legal; 

• O titular dos dados está sob tutela legal mediante a verificação da documentação oficial aceita pela legislação brasileira vigente. 

• O titular está sendo representado legalmente por procurador, devidamente habilitado por procuração com poderes específicos.  

Se o titular da responsabilidade parental ou o responsável legal do Titular dos dados enviar a solicitação, ela não poderá ser processada até que a relação legal entre o Titular dos Dados e seu representante seja verificada e validada. 

O compartilhamento de dados pessoais com representantes legais ou da União (como por exemplo, representantes de sindicato, advogados, defensores legais) deve estar de acordo com o Contrato Coletivo aplicável ou as leis locais ou com o consentimento do Titular dos Dados. 

PEDIDOS ADICIONAIS 

O Encarregado de Proteção de Dados – DPO determinará se há necessidade de informações adicionais a serem solicitadas ao Titular dos Dados. Se o formulário de inscrição não contiver todas as informações necessárias para realizar a solicitação será enviado ao solicitante um e-mail, a carta padrão de ‘Solicitação de informações adicionais’, juntamente com a solicitação original para complemento das informações da solicitação. 

Se o Titular dos Dados solicitante pretender acessar todos os seus Dados Pessoais em arquivo, o Encarregado de Dados – DPO da ArcelorMittal Brasil poderá entrar em contato a fim de tentar restringir o escopo da pesquisa (por exemplo: estabelecendo um intervalo de tempo em que os dados foram tratados) com base na resposta oferecida pelo Titular de Dados Pessoais.  

No entanto, se o Titular dos dados reiterar sua solicitação de acesso à totalidade de seus Dados Pessoais tratados pela ArcelorMittal Brasil, o acesso à todos os dados solicitados pelo titular deverá ser fornecido. 

COLETA DE INFORMAÇÕES 

Envolvimento das áreas de negócios 

O Encarregado de Proteção de Dados – DPO deve envolver todos os departamentos relevantes que serão necessários para apoiar a resposta à solicitação do Titular dos Dados e garantir que a solicitação seja tratada dentro do prazo prescrito. 

Envolvimento de terceiros 

O Encarregado de Proteção de Dados também deve envolver os operadores (terceiros, fornecedores ou parceiros comerciais) a quem os Dados Pessoais foram transmitidos, se necessário. 

Se a ArcelorMittal Brasil tiver transferido Dados Pessoais para terceiros, e o Titular dos Dados tiver exercido posteriormente algum dos direitos de retificação, apagamento ou restrição, a ArcelorMittal Brasil como Controladora de dados deverá envolver os terceiros para que a solicitação do titular dos dados seja processada por completo. 

As informações coletadas pelos diferentes departamentos e terceiros externos com possíveis metadados e explicações adicionais devem ser revisadas pelo Encarregado pelo Tratamento de Dados ou sua equipe de apoio antes de serem enviadas ao Titular dos Dados. 

Caso um operador receba diretamente um pedido do titular de dados, este deverá informar ao titular o meio correto para que as solicitações sejam realizadas (perante a ArcelorMittal Brasil), bem como encaminhá-las imediatamente à ArcelorMittal Brasil, ainda que não possuam validade jurídica, para fins de conhecimento. 

Divulgação de informações que identifiquem os titulares de dados de terceiros 

Se os Dados Pessoais extraídos em resposta à solicitação de acesso do Titular dos Dados contiverem dados relacionados a outros titulares de dados, os dados pessoais dos outros titulares de dados devem ser anonimizados. Caso a anonimização dos Dados Pessoais de terceiros exija esforço excessivo, o assunto deve ser encaminhado ao Encarregado pelo Tratamento de Dados – DPO, para que sejam feitas recomendações técnicas para manter o sigilo, a segurança e a privacidade dos dados, como por exemplo, a utilização de tarjas que bloqueiem parte do conteúdo. 

COMPARTILHANDO OS DADOS COM OS TITULARES

Os Dados Pessoais devem ser enviados ao Titular dos Dados por e-mail ou de maneira impressa, conforme solicitado pelo titular a menos que esse processo não seja viável ou considerado inseguro ou se houver um acordo com o Titular dos Dados a esse respeito.

Quando todos os dados pessoais solicitados forem compartilhados com o titular dos dados, o status da solicitação deve ser atualizado na ferramenta OneTrust, como “concluído”.

NEGATIVA DE ATENDIMENTO 

O Encarregado pelo Tratamento de Dados – DPO decidirá sobre a negativa de solicitação do Titular dos Dados nos seguintes casos: 

• A identidade da parte solicitante como o titular dos dados não puder ser verificada; 

• A solicitação foi enviada por uma terceira pessoa que não é: 

• o titular da responsabilidade parental sobre o titular dos dados menor, 

• o responsável legal do titular dos dados;  

• o representante legal agindo de acordo com acordos coletivos, leis locais ou o consentimento do titular dos dados; ou 

• o representante legal munido de Procuração com poderes específicos para o exercício dos direitos dos titulares. 

• A solicitação estava fora do escopo deste Procedimento; 

A ArcelorMittal Brasil não está obrigada a atender requisições em que o Titular dos Dados esteja realizando uma tentativa, claramente excessiva ou infundada, de exercer direitos não estipulados pela LGPD. 

Será necessária uma análise minuciosa pelo Encarregado do Tratamento dos Dados Pessoais – DPO de cada caso e as operações de tratamento nele constantes para que o exercício dos direitos dos Titular dos Dados ocorra na forma da lei, sem prejuízo a nenhuma das Partes. 

Dentro do mesmo prazo de resposta estabelecido neste procedimento, deve ser enviada uma carta de recusa indicando o motivo pelo qual a ArcelorMittal Brasil não tomará as medidas solicitadas. Além disso, esta carta deve notificar a parte solicitante sobre a possibilidade de apresentar uma reclamação à Autoridade Nacional de Proteção de Dados.