Política de privacidade global

Esta Política de privacidade global da Avaya (“Política”) estabelece o^[1] método da Avaya para o cumprimento das leis de proteção de dados quando do “Processamento” de^[2] “Dados pessoais”^[3]. Esta Política não substitui nenhum requisito de proteção de dados específico que possa ser aplicado a uma unidade de negócios ou função. Caso leis e regulações locais determinem restrições adicionais à coleta, ao uso e à divulgação de Dados pessoais, que não estejam incluídas nesta Política, as leis e regulações locais prevalecerão.

Esta Política descreve como os Dados pessoais serão processados de forma a estar em conformidade com as normas de proteção de dados da Avaya e as leis e regulações de privacidade. As instruções e/ou diretrizes referentes ao Processamento de Dados pessoais na Avaya são disponibilizadas aos funcionários e contratados da Avaya nas políticas internas.

O que é a Lei de proteção de dados?

A Lei de proteção de dados concede aos indivíduos determinados direitos relacionados à forma como os seus Dados pessoais são processados. As organizações que não estiverem em conformidade com a lei de proteção de dados poderão estar sujeitas a sanções e penalidades impostas pelas autoridades nacionais de proteção de dados e pelos tribunais. Quando a Avaya processa Dados pessoais, essa atividade e os Dados pessoais em questão são cobertos e regulados pela lei de proteção de dados.

Quando uma empresa processa Dados pessoais para suas próprias finalidades, essa empresa é considerada um “Controlador de dados” das informações e, portanto, é a principal responsável por atender aos requisitos legais da lei de proteção de dados.

Por outro lado, quando uma empresa processa Dados pessoais em nome de terceiros (por exemplo, conteúdo hospedado em nome de um cliente da Avaya ), essa empresa é considerada um “Processador de dados” das informações. Nesse caso, o Controlador de dados referente aos Dados pessoais (ou seja, o cliente da Avaya) será o principal responsável por atender aos requisitos legais.

Transparência das atividades de Processamento de Dados pessoais pela Avaya

Esta Política, juntamente com as Regras corporativas vinculativas: políticas do controlador e do processador (aprovadas pelas autoridades europeias de proteção de dados), descrevem as práticas gerais de tratamento de Dados pessoais na Avaya.

A Avaya está sempre empenhada em fornecer transparência em todas as atividades de Processamento de Dados pessoais e em estar em conformidade com todas as leis e regulações de privacidade aplicáveis. Devido à vasta gama de produtos e serviços, isso está sendo feito por meio de diversas declarações/boletins informativos de privacidade. A Avaya, dependendo da sua função (Controlador de dados ou Processador de dados), adota uma abordagem em camadas para informar completamente seus clientes e/ou Titulares de dados, conforme o caso, sobre o tratamento de seus dados pessoais. Quando a Avaya é um Controlador de dados, ela cumpre suas obrigações de transparência (por exemplo, os tipos de Dados pessoais que a Avaya coleta e mantém; como a Avaya coleta e mantém Dados pessoais; as finalidades para as quais a Avaya coleta, armazena, usa e divulga Dados pessoais, etc.) por meio de declarações de privacidade ad hoc aplicáveis; quando a Avaya é um Processador de dados, ela fornece informações para seus clientes (os Controladores de dados), de forma que eles possam cumprir suas obrigações de transparência.

Salvo acordado de outra forma ou estabelecido em uma declaração ou boletim informativo de privacidade mais específico, na condução dos seus negócios, a Avaya transferirá Dados pessoais ao exterior para alavancar seus recursos internacionais, incluindo empresas afiliadas e terceiros de confiança, com a finalidade de fornecer soluções solicitadas ou realizar negócios. Isso significa que os Dados pessoais fornecidos à Avaya na função de Controlador de dados  ou na função de Processador de dados serão transferidos internacionalmente. Isso inclui vários tipos de Dados pessoais: (i) por um lado, Dados pessoais como dados de contato comercial e outras informações que estejam sendo processadas pela Avaya para celebração e administração de contratos com clientes, bem como os Dados pessoais dos nossos próprios funcionários, e (ii) por outro lado, Dados pessoais necessários para o fornecimento das nossas soluções (geralmente considerados como “Processamento em nome de” segundo várias leis de privacidade). Esse último item resulta principalmente de acordos contratuais com os nossos clientes e, especificamente, do seu uso individual (e da sua contribuição) para as soluções fornecidas pela Avaya. Os tipos desses Dados pessoais normalmente incluem nome, informações de contato (empresa, cargo/posição, endereço de e-mail, número de telefone, endereço físico), dados de conexão, dados de localização, dados de vídeo/chamada (gravações) e metadados derivados dos mesmos, etc. Informações adicionais referentes à privacidade dentro das respectivas soluções da Avaya podem ser encontradas em descrições de ofertas/serviços, declarações/boletins informativos de privacidade do produto ou na página Privacidade nos nossos produtos.

Como a Lei de proteção de dados afeta a Avaya em nível internacional?

Muitos países/regiões têm legislação em relação às transferências internacionais de Dados pessoais. Por exemplo, a lei europeia de proteção de dados proíbe a transferência de dados pessoais para países fora da Europa^[4] que não assegurem um nível adequado de proteção de dados, a não ser que a entidade exportadora implemente um dos mecanismos contratuais ou legais estabelecidos na lei. Alguns dos países onde a Avaya opera não são considerados pelas autoridades europeias de proteção de dados com nível adequado de proteção dos direitos de privacidade e de proteção de dados dos indivíduos.

Que providências a Avaya está tomando?

A Avaya precisa tomar medidas adequadas para garantir um Processamento seguro e legal de Dados pessoais a nível internacional. A Avaya implementou processos e controles para atender a esses requisitos. A Avaya obteve a aprovação das autoridades Europeias de proteção de dados e adotou as suas Regras globais corporativas vinculativas: políticas do controlador e do processador, que estabelecem uma estrutura para atender aos requisitos da lei de proteção de dados (essas políticas, inclusive seus anexos, por exemplo, “Procedimento de direito do titular dos dados”, “Procedimento de tratamento de reclamações”, “Procedimento de cooperação”, “Procedimento de acesso aos dados de aplicação da lei”, etc., são incorporadas neste documento por referência como parte integrante desta política). Essa estrutura se aplicará a todas as atividades de Processamento de Dados pessoais realizadas pela Avaya em escala global.

Regras corporativas vinculativas da Avaya: Política do controlador

As normas descritas nas Regras corporativas vinculativas da Avaya (política do controlador) são normas mundiais que se aplicam a todos os “membros do grupo”^[1] no processamento de dados pessoais para fins de execução das atividades comerciais, administração de carreira e gerenciamento da cadeia de suprimentos da Avaya. Veja abaixo um resumo dos princípios básicos de proteção de dados que a Avaya deve observar ao processar Dados pessoais na qualidade de Controlador de dados. Eles estão descritos em detalhes na política supracitada.

Princípios básicos

Princípio 1 – Licitude do processamento

• A Avaya deverá assegurar que todo o Processamento será realizado de acordo com as leis aplicáveis.

Princípio 2 – Equidade e Transparência

• A Avaya deverá informar e explicar aos indivíduos, à época da coleta dos seus Dados pessoais, como os Dados pessoais serão processados.

Princípio 3 – Limitação da finalidade

• A Avaya somente deverá obter e processar Dados pessoais para as finalidades conhecidas pelo indivíduo ou que estejam dentro de suas expectativas e sejam relevantes para a Avaya.
• A Avaya somente deverá processar Dados pessoais para finalidades específicas, explícitas e legítimas, e não processará informações que estejam fora dessas finalidades, a menos que esse Processamento adicional esteja de acordo com a legislação aplicável do país no qual os Dados pessoais foram coletados.

Princípio 4 – Minimização e exatidão dos dados

• A Avaya deverá manter os Dados pessoais exatos e atualizados.
• A Avaya somente deverá processar Dados pessoais que sejam adequados, relevantes e limitados ao necessário em relação às finalidades para as quais forem processados.

Princípio 5 – Retenção limitada de dados pessoais

• A Avaya deverá reter os Dados pessoais somente pelo tempo necessário para as finalidades para as quais foram coletados e posteriormente processados.

Princípio 6 – Segurança, integridade e confidencialidade

• A Avaya deverá implementar medidas técnicas e organizacionais adequadas para assegurar um nível de segurança de Dados pessoais adequado ao risco aos direitos e liberdades individuais.
• A Avaya deverá assegurar que seus fornecedores de serviços também adotem medidas de segurança adequadas e equivalentes.
• A Avaya deverá cumprir as exigências de notificação sobre violação de segurança de dados, conforme exigido pelos termos da legislação aplicável.

Princípio 7 – Direitos dos indivíduos

• A Avaya deverá aderir ao procedimento de direitos dos Titulares de dados e atenderá às solicitações dos indivíduos de acesso aos seus Dados pessoais nos termos da legislação aplicável.
• A Avaya também deverá lidar com solicitações para retificar ou apagar Dados pessoais, exercer o direito à portabilidade de dados, restringir ou negar o Processamento de Dados pessoais de acordo com o procedimento de direitos do Titular dos dados. 

Princípio 8 – Garantia da proteção adequada nas transferências transnacionais

• A Avaya não deverá transferir Dados pessoais a terceiros fora da Europa sem garantir a proteção adequada.

Princípio 9 – Proteção contra o uso de Dados pessoais confidenciais

• A Avaya somente processará Dados pessoais confidenciais quando houver consentimento explícito do indivíduo, a menos que a Avaya tenha uma base legal alternativa nos termos da legislação do país em que os Dados pessoais foram coletados.

Princípio 10 – Legitimação de marketing direto

• A Avaya deverá permitir que os clientes optem por não receber informações de marketing.

Princípio 11 – Decisões individuais automatizadas, incluindo criação de perfil

• A Avaya deverá assegurar que tem em operação controles adequados para cumprir a legislação e as políticas aplicáveis​ relativas ao direito de o indivíduo de não estar sujeito a uma decisão baseada exclusivamente no Processamento automatizado, inclusive a criação de perfil, a não ser que esse Processamento automatizado seja autorizado por lei.

Princípio 12 – Prestação de contas

• A Avaya deve realizar uma avaliação de impacto na proteção de dados caso haja uma probabilidade no Processamento que resulte em alto risco para os indivíduos envolvidos.
• A Avaya deverá manter registros das atividades de Processamento de dados sob sua responsabilidade.
• A Avaya implementará “privacidade desde a concepção” e “privacidade por padrão” em novos sistemas e aplicativos.

Compromissos práticos

Compromisso 1 – Equipe e suporte

• A Avaya deverá ter pessoal e suporte adequados para assegurar e supervisionar a conformidade da privacidade em toda a empresa.

Compromisso 2 – Treinamento sobre privacidade

• A Avaya deverá fornecer treinamento adequado sobre privacidade aos funcionários com acesso permanente ou normal aos dados pessoais, envolvidos no processamento de dados pessoais ou no desenvolvimento de ferramentas usadas para processar dados pessoais, de acordo com o Programa de treinamento sobre privacidade estabelecido no Apêndice 4 de sua Política do controlador das regras corporativas vinculativas.

Compromisso 3 – Auditoria

• A Avaya deverá verificar a conformidade com os princípios acima e realizar auditorias de proteção de dados regularmente, de acordo com o Protocolo de auditoria definido no Apêndice 5 de sua Política do controlador das regras corporativas vinculativas.

Compromisso 4 - Tratamento de reclamações

• A Avaya deverá assegurar que os indivíduos possam exercer o direito de apresentar reclamações e tratar essas reclamações de acordo com o Procedimento de tratamento de reclamações estabelecido no Apêndice 6 da sua Política de controlador das regras corporativas vinculativas.

Compromisso 5 – Cooperação com autoridades de proteção de dados

• A Avaya deverá cooperar com as autoridades de proteção de dados em caso de problemas relacionados à Política do controlador das regras corporativas vinculativas da Avaya, de acordo com o Procedimento de cooperação estabelecido no Apêndice 7 da sua Política de controlador das regras corporativas vinculativas.

Compromisso 6 – Ação quando a legislação nacional impedir a conformidade com a Política do controlador das regras corporativas vinculativas da Avaya

• A Avaya assegurará que, quando julgar que a legislação aplicável poderia impedi-la de cumprir suas obrigações nos termos de sua Política do controlador das regras corporativas vinculativas ou que a legislação tenha um efeito substancial sobre a sua capacidade de estar em conformidade com a Política do controlador das regras corporativas vinculativas, a Avaya informará o assunto imediatamente ao Diretor de privacidade de dados e à entidade da UE com responsabilidades sobre a proteção de dados, a não ser que seja proibido por alguma autoridade de aplicação da lei.
• A Avaya assegurará que, em caso de conflito entre a legislação aplicável a ela e sua Política do controlador das regras corporativas vinculativas, o Diretor de privacidade de dados tomará uma decisão responsável sobre a ação a realizar e, em caso de dúvida, deverá relatar à autoridade de jurisdição competente na proteção de dados.

Compromisso 7 - Solicitações do governo para divulgação de dados pessoais

• Se um Membro do Grupo Avaya receber uma solicitação juridicamente vinculativa de autoridade de aplicação da lei ou órgão de segurança estadual para divulgar Dados pessoais sujeitos à Política de controlador das regras corporativas vinculativas da Avaya, deverá cumprir o Procedimento de solicitação de dados do governo definido no Apêndice 9 de sua Política de controlador das regras corporativas vinculativas.
• Em nenhuma circunstância deverá transferir Dados pessoais de qualquer Membro do Grupo Avaya a qualquer autoridade de aplicação da lei, de segurança estadual ou outra autoridade governamental de maneira maciça, desproporcional e indiscriminada que ultrapasse o necessário em uma sociedade democrática.

Regras corporativas vinculativas da Avaya: Política do processador

As normas descritas nas Regras corporativas vinculativas da Avaya (política do processador) são normas mundiais que se aplicam a todos os membros do grupo no Processamento de Dados pessoais em nome de um Controlador de dados que não seja um Membro do grupo, como, por exemplo, ao fornecer um serviço a um cliente corporativo. Veja abaixo um resumo dos princípios básicos de proteção de dados que a Avaya deve observar ao processar Dados pessoais na qualidade de Processador de dados. Eles estão descritos em detalhes na política supracitada.
 

Princípios básicos

Princípio 1 – Licitude do processamento

• A Avaya deverá assegurar que todo o Processamento será realizado de acordo com as leis aplicáveis.
• A Avaya deverá cooperar e auxiliar o Controlador de dados, sem atrasos injustificados, a cumprir suas obrigações de acordo com as leis de proteção de dados aplicáveis. 

Princípio 2 – Equidade e Transparência

• A Avaya deverá auxiliar o Controlador de dados a cumprir a exigência de informar e explicar aos indivíduos como seus Dados pessoais serão processados, de acordo com as leis aplicáveis.

Princípio 3 – Limitação da finalidade

• A Avaya somente deverá processar Dados pessoais em nome do Controlador de dados e de acordo com suas instruções. 

Princípio 4 – Minimização e exatidão dos dados

• A Avaya deverá auxiliar o Controlador de dados a manter os Dados pessoais exatos e atualizados.

Princípio 5 – Retenção limitada de dados pessoais

• A Avaya deverá reter os Dados pessoais somente pelo tempo necessário, de acordo com os termos do contrato ou outro documento juridicamente vinculativo com o Controlador de dados. 

Princípio 6 – Segurança e confidencialidade

• A Avaya deverá implementar medidas técnicas e organizacionais adequadas para proteger Dados pessoais processados em nome de um Controlador de dados.
• A Avaya deverá notificar ao Controlador de dados, sem atrasos injustificados, qualquer violação de segurança que afete os Dados pessoais que estejam sendo processados em nome do Controlador de dados, de acordo com os termos do contrato ou outro documento juridicamente vinculativo com o Controlador de dados.
• A Avaya deverá cumprir as exigências do Controlador de dados com relação à indicação de um subprocessador.
• A Avaya deverá assegurar que os subprocessadores externos comprometam-se a cumprir as disposições que estejam de acordo com (i) os termos do contrato ou outro documento juridicamente vinculativo com o Controlador de dados e (ii) as Regras corporativas vinculativas da Avaya (política do processador) e, especificamente, que o subprocessador adotará medidas de segurança adequadas e equivalentes. 

Princípio 7 – Direitos dos indivíduos

• A Avaya deverá auxiliar os Controladores de dados a cumprir o seu dever de respeitar os direitos dos indivíduos.

Princípio 8 – Prestação de contas

• A Avaya demonstrará a conformidade com o Controlador de dados.
• A Avaya deverá manter registros de atividades do Processamento de dados que estiver executando em nome de um Controlador de dados.
• A Avaya auxiliará o Controlador de dados a implementar ferramentas de privacidade desde a concepção e privacidade por padrão.

Compromissos práticos

Compromisso 1 – Equipe e suporte

• A Avaya deverá ter pessoal e suporte adequados para assegurar e supervisionar a conformidade da privacidade em toda a empresa.

Compromisso 2 – Treinamento sobre privacidade

• A Avaya deverá fornecer treinamento adequado sobre privacidade aos funcionários com acesso permanente ou normal aos dados pessoais, envolvidos no processamento de dados pessoais ou no desenvolvimento de ferramentas usadas para processar dados pessoais, de acordo com o Programa de treinamento sobre privacidade estabelecido no Apêndice 4 de sua Política do processador das regras corporativas vinculativas.

Compromisso 3 – Auditoria

• A Avaya deverá verificar a conformidade com os princípios acima e realizar auditorias de proteção de dados regularmente, de acordo com o Protocolo de auditoria definido no Apêndice 5 de sua Política do processador das regras corporativas vinculativas.

Compromisso 4 – Tratamento de reclamações

• A Avaya deverá assegurar que os indivíduos possam exercer o direito de apresentar reclamações e tratar essas reclamações de acordo com o Procedimento de tratamento de reclamações estabelecido no Apêndice 6 da sua Política de processador das regras corporativas vinculativas.

Compromisso 5 – Cooperação com autoridades de proteção de dados

• A Avaya cooperará com as autoridades de proteção de dados sobre qualquer problema relacionado à Política do processador das regras corporativas vinculativas da Avaya, de acordo com o Procedimento de cooperação estabelecido no Apêndice 7 de sua Política do processador das regras corporativas vinculativas.

Compromisso 6 - Ação quando a legislação nacional impedir a conformidade com a Política do processador das regras corporativas vinculativas da Avaya

• A Avaya assegurará que, quando julgar que a legislação aplicável poderia impedi-la de cumprir suas obrigações nos termos de sua Política do processador das regras corporativas vinculativas ou com os termos do contrato com o cliente, ou que a legislação tenha um efeito substancial sobre a sua capacidade de estar em conformidade com a Política do processador das regras corporativas vinculativas, a Avaya informará o assunto imediatamente (a não ser que seja proibido pela legislação):
  • ao Controlador de dados conforme estabelecido pelo Princípio 2, acima (a não ser que proibido por uma autoridade de aplicação da lei);
  • ao Diretor de privacidade de dados e à entidade da UE com responsabilidades sobre a proteção de dados; e
  • à autoridade de proteção de dados competente com relação ao Controlador de dados e à Avaya.
• A Avaya assegurará que, quando receber uma solicitação de divulgação de Dados pessoais legalmente vinculativa de uma autoridade de aplicação da lei ou de um órgão de segurança estadual que esteja sujeito à sua Política do processador das regras corporativas vinculativas, a Avaya:
  • notificará imediatamente o Controlador de dados, a menos que proibida de fazê-lo por uma autoridade de aplicação da lei; e
  • colocará a solicitação em espera e notificará a autoridade de proteção de dados mais alta e a autoridade de proteção de dados competente com relação ao Processador de dados, a menos que proibida de fazê-lo por uma autoridade de aplicação da lei ou um órgão de segurança estadual.

Procedimento de atualização da política

A Avaya se reserva o direito de alterar, modificar ou atualizar esta Política a qualquer momento. Analise esta política frequentemente para atualizações.

Outras informações

Se você tiver dúvidas sobre as disposições desta Política, seus direitos sob esta Política ou outras questões de proteção de dados, entre em contato com o Escritório Global de Privacidade da Avaya.

Revisado: abril de 2023.

^[1] “Avaya” inclui a Avaya LLC (350 Mt. Kemble Avenue, Morristown, NJ 07960, EUA) e afiliadas designadas (“membros do grupo”), a lista detalhada dessas afiliadas está incorporada às Regras corporativas vinculativas: Políticas do controlador e processador da Avaya  por referência. 

^[2] “Processamento” significa qualquer operação ou conjunto de operações realizadas em Dados pessoais ou em conjuntos de Dados pessoais, quer por meios automatizados ou não, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.

^[3] “Dados pessoais” significa qualquer informação relativa a uma pessoa identificada ou identificável (“Titular dos dados”); uma pessoa identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador como nome, número de identificação, dados de localização, identificador online ou a um ou mais fatores específicos à identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa.

^[4]Para as finalidades desta política, a referência à Europa significa o Espaço Econômico Europeu e a Suíça.