Classificação: Interno

Emissão: Junho/2021

Documento: Políticas, Normas e Procedimentos

Política de Privacidade e Proteção de Dados Pessoais

1. OBJETIVO

1.1. A presente Política de Privacidade e Proteção de Dados ("Política") da RAÍZEN visa estabelecer regras e diretrizes aplicáveis à privacidade e proteção de Dados Pessoais de seus Colaboradores, Ex-colaboradores, Administradores, Clientes, Fornecedores e Parceiros, aos quais a Companhia tem acesso em função do desempenho de todas as suas atividades corporativas ou em razão de mandamentos legais, estabelecendo as regras aplicáveis sobre o tratamento dos dados, de acordo com as leis nacionais e internacionais, em especial, sem a ela se limitar, a Lei nº 13.709, de 14 de agosto de 2018 ("Lei Geral de Proteção de Dados" ou "LGPD").

1.2. A presente política fornece instruções adicionais, em apoio aos princípios estabelecidos no Código de Conduta da Raízen, que também reconhece a privacidade e a proteção de dados pessoais como premissas e valores a serem observados na condução de todos os seus negócios.

2. ABRANGÊNCIA

2.1. A presente Política aplica-se a todos Colaboradores, Ex-colaboradores, Administradores, Clientes, Consumidores, Fornecedores de bens e serviços e Parceiros que tiverem acesso a Dados Pessoais detidos pela Companhia.

2.2. Considerando as necessidades específicas e os aspectos legais e operacionais a que estão sujeitas cada atividade de tratamento de dados pessoais mapeadas dentro da Companhia, a partir dos direcionamentos previstos na presente Política, toda a Companhia deverá observar as previsões contidas neste documento, sem prejuízo de procedimentos e instruções de trabalho que venham a ser desenvolvidos oportunamente, observando a manutenção e/ou incremento dos aspectos asseguradores da conformidade da Companhia com a legislação vigente nacional e internacional aplicável sobre proteção de dados pessoais.

3. DEFINIÇÕES

• (i) Administrador(es): significam os membros do Conselho de Administração, Diretores Estatutários ou não Estatutários e membros de Comitês Estatutários e Não Estatutários.
• (ii) Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento dos Dados Pessoais, por meio dos quais um dado perde definitivamente a possibilidade de associação, direta ou indireta, a um indivíduo.
• (iii) Colaborador(es) e Ex-colaborador(es): significam todas as pessoas que mantém ou mantiveram vínculo empregatício com a Companhia.
• (iv) Companhia: significa a Raízen e suas empresas controladas ("Raízen").
• (v) Controladas: significam as empresas que a Raízen detém o controle de forma direta ou indireta.
• (vi) Coligadas: sociedades que, em suas relações de capital, são controladas, filiadas, ou de simples participação, de acordo com as definições do Código Civil.
• (vii) Controlador de Dados: significa a entidade legal a quem compete a decisão, os propósitos e meios para realização das atividades de Tratamento de Dados Pessoais.
• (viii) Dados Pessoais: significam quaisquer dados que se relacionem com um indivíduo identificado ou identificável ou uma pessoa que possa ser identificada por meios razoavelmente prováveis de serem usados. Exemplificativamente, são considerados Dados Pessoais: nome, idade, sexo, filiação, endereço físico e eletrônico, números de documentos, identificadores corporativos ("CS" e "TR") identificadores eletrônicos (IP, IMEI), geolocalização, perfil de navegação na internet, perfil de consumo, informações extraídas do usuário a partir de instação de cookies existentes em websites e aplicativos nos dispositivos do usuário.
• (ix) Dados Pessoais Sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou a vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
• (x) Operador de Dados: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.
• (xi) Titular dos Dados: significa uma pessoa natural (física) que pode ser identificada ou tornar-se identificável, direta ou indiretamente, cujos dados são objeto de Tratamento e que, por força da LGPD, possui direitos assegurados.
• (xii) Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
• (xiii) Terceiro(s): os clientes, parceiros de negócio, agentes intermediários, procuradores, subcontratados e fornecedores de bens e serviços, diretos ou indiretos, da Companhia.
• (xiv) DPO (Data Protection Officer): pessoa indicada pela RAIZEN para atuar como canal de comunicação entre a RAIZEN, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.

4. PRINCÍPIOS E COMPROMISSOS NORTEADORES DESTA POLÍTICA

A presente Política visa demonstrar o compromisso da Companhia em:

1. Zelar pela privacidade e proteção dos Dados Pessoais coletados de Colaboradores, Ex-colaboradores, Administradores, Clientes, Consumidores, Fornecedores e Parceiros da Companhia, em função do desempenho da Raízen em todas as suas atividades, sejam elas corporativas e/ou comerciais;
2. Adotar diretrizes que assegurem o cumprimento, de forma abrangente, de normas legais e boas práticas relativas à privacidade e proteção de Dados Pessoais;
3. Promover a transparência sobre a forma pela qual a Companhia trata Dados Pessoais;
4. Adotar medidas técnicas e organizacionais objetivando mitigação de riscos relacionados ao Tratamento de Dados Pessoais;
5. Manter sua conformidade com a legislação vigente sobre o tema privacidade e proteção de dados pessoais, assegurando a observância aos princípios legais previstos na LGPD.

5. DADOS COLETADOS, FORMA E FINALIDADE DA COLETA

5.1. Estão sujeitos a esta Política os Dados Pessoais tratados nos seguintes contextos:

1. Desempenho das atividades empresariais da Companhia, compreendendo todo o ciclo do dado, desde a sua coleta ou captura, passando pelo seu processamento, análise, compartilhamento, até seu armazenamento e descarte final, após atingir o esgotamento das finalidades que justificam o tratamento do dado;
2. cumprimento de obrigação contratual ou legal, para exercício regular de um direito em processo administrativo, judicial, ou arbitral, ou ainda, quando necessário, forem coletados com o devido consentimento prévio do Titular dos Dados Pessoais;
3. para atendimento dos interesses legítimos da Companhia, observando-se as cautelas necessárias ao uso da base legal do legítimo interesse do controlador.
4. para fins de proteção da vida ou da integridade física do Titular do Dado ou de um terceiro;
5. para a tutela da saúde, mediante atividades de tratamento realizadas exclusivamente por profissionais e serviços de saúde, ou ainda por autoridade sanitária;
6. para fins comerciais, de prospecção de potenciais clientes e oferecimento de produtos e serviços, cujos dados pessoais poderão ser compartilhados entre empresas coligadas, controladoras e controladas e/ou do mesmo Grupo Econômico Raízen.

5.2. As informações serão coletadas por meios éticos e legais, armazenadas em ambiente seguro e controlado, pelo prazo exigido na legislação vigente. A Companhia se compromete a tomar todas as medidas técnicas e administrativas adequadas a proteção dos Dados Pessoais a que tiver acesso de seus Colaboradores, Ex-colaboradores, Administradores, Clientes, Consumidores, Fornecedores e Parceiros, bem como dos indivíduos diretamente relacionados a eles e que venham a ter acesso a tais Dados Pessoais, em razão do desempenho de suas atividades, sendo-lhe vedado ceder e/ou permitir acesso por terceiros a tais informações, ressalvadas as hipóteses legais e contratuais aplicáveis.

5.3. O acesso por parte dos Terceiros abaixo relacionados, mas sem a eles se limitar, às informações coletadas pela Companhia se dá, exclusivamente, para atendimento das finalidades informadas nesta Política e dentro dos limites necessários ao desempenho das atividades, no curso normal dos seus negócios e em cumprimento de lei.

1. Prestadores de serviços ou parceiros que executam operações comerciais e/ou de processamento de informações e Dados Pessoais para a Companhia;
2. Auditores independentes;
3. Órgãos reguladores competentes;
4. Empresas coligadas para fins de oferecimento de produtos e serviços, sendo compartilhados Dados Pessoais como nome, e-mail e telefone de clientes, parceiros e fornecedores.

5.4. A utilização das informações coletadas pela Companhia, em qualquer das hipóteses previstas no item 5.1 acima, é feita exclusivamente para atendimento das finalidades informadas nesta Política, no desempenho das atividades da Companhia ou no oferecimento de conteúdo específico a partir da utilização da informação de forma anonimizada e agregada sobre a sua área de atuação.

5.5. A Companhia poderá compartilhar informações de forma agregada, publicamente e/ou com seus parceiros, desde que tais informações não sejam pessoalmente identificáveis.

5.6. Sempre que se fizer necessário a utilização das informações coletadas pela Companhia para outros fins que não os definidos nesta Política ou aquele expressamente autorizado pelo Titular dos dados, a Companhia informará diretamente ao Titular dos dados sobre esta nova finalidade e, quando necessário, coletará uma nova autorização.

5.7. Quando exigido pela lei aplicável, a Companhia buscará o consentimento prévio, livre, informado, específico e inequívoco do Titular (antes de coletar quaisquer Dados Pessoais).

6. RELACIONAMENTO COM TERCEIROS

6.1. A Companhia exige a todos os terceiros que mantenham a confidencialidade das informações a eles compartilhadas ou a que tenham acesso em virtude do exercício da sua atividade, bem como que utilizem tais informações exclusivamente para os fins expressamente permitidos e de forma segura. No entanto, a Companhia não se responsabilizará pelo uso indevido de tais informações, seja pelos terceiros ou por seus Colaboradores, em virtude do descumprimento da legislação aplicável, desta Política e das obrigações contratuais assumidas por referidos terceiros com a Companhia por meio de instrumentos próprios.

7. DIREITOS DO TITULAR

7.1. A Companhia disponibilizará ao Titular dos Dados Pessoais canal para que faça a requisição relativa a seus direitos, nos termos previstos na Lei Geral de Proteção de Dados Pessoais.

7.2. Abaixo estão elencados os direitos do Titular de Dados Pessoais, nos termos do Art. 18 da LGPD:

1. Confirmação da existência de Tratamento dos seus Dados Pessoais;
2. Acesso aos Dados Pessoais;
3. Correção de Dados Pessoais incompletos, inexatos ou desatualizados;
4. Anonimização, bloqueio ou eliminação de Dados Pessoais desnecessários, excessivos ou tratados em desconformidade com a lei;
5. Portabilidade dos Dados Pessoais a outro fornecedor de serviço ou produto;
6. Eliminação dos Dados Pessoais tratados com consentimento do Titular;
7. Obtenção de informações sobre as entidades públicas ou privadas com as quais a Companhia compartilhou os seus Dados Pessoais;
8. Informação sobre a possibilidade de o Titular não fornecer o consentimento, bem como sobre as consequências em caso de negativa;
9. Revogação do consentimento, quando aplicável.

7.3. Todos os esforços razoáveis serão empreendidos para atender as requisições feitas pelo Titular de Dados no prazo legal.

7.4. A Companhia poderá rejeitar, de forma justificada e nos termos da legislação aplicável, a requisição do Titular por motivos legais (por exemplo, o pedido de exclusão de dados cuja manutenção seja imprescindível à manutenção da relação contratual), ou mesmo por motivos formais (por exemplo, a incapacidade de comprovar sua identidade).

8. PRECISÃO DOS DADOS, RETENÇÃO E DESCARTE

A Companhia manterá os Dados Pessoais processados com precisão e qualidade necessária para atender a base legal da sua utilização, dentre elas os requisitos do consentimento, quando aplicável. Além disso, a Companhia manterá os Dados Pessoais apenas pelo tempo necessário para atender as finalidades para as quais são processados e de acordo com a legislação aplicável, corretamente eliminando-os na forma da lei e das Políticas e Procedimentos internos da Companhia que venham a ser criados.

9. SEGURANÇA DOS DADOS PESSOAIS

9.1. A Companhia buscará continuamente a implementação e melhoria de procedimentos para proteger os Dados Pessoais coletados.

9.2. Não obstante às medidas de segurança adotadas, a Companhia não se responsabiliza por prejuízos decorrentes da violação da confidencialidade das informações em virtude da ocorrência de qualquer fato ou situação que não lhe seja imputável.

9.3. A Companhia busca atender aos requisitos de segurança e transparência e aos padrões de boas práticas e de governança e aos princípios gerais estabelecidos na Lei Geral de Proteção de Dados Pessoais.

9.4. Todas as tecnologias utilizadas respeitarão sempre a legislação vigente e os termos desta Política.

10. COOPERAÇÃO COM AUTORIDADES REGULADORAS

10.1. Nas hipóteses em que se fizerem necessárias a divulgação dos Dados Pessoais de Administradores, Colaboradores, Ex-colaboradores, clientes, fornecedores e parceiros, seja em razão de cumprimento de lei ou determinação judicial ou de órgão competente fiscalizador das atividades desenvolvidas pela Companhia e/ou terceiros, tais informações deverão ser reveladas somente nos estritos termos e nos limites requeridos para a sua divulgação, sendo que os Titulares das informações divulgadas, na medida do possível, serão notificados sobre tal divulgação, para que tomem as medidas protetivas ou reparadoras apropriadas.

11. TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS

11.1. Os Dados Pessoais coletados pela Companhia podem ser armazenados e tratados em qualquer país onde a Companhia atue ou venha atuar ou onde nossos prestadores de serviço estejam localizados. A Companhia adotará as medidas adequadas para assegurar que as transferências internacionais sejam realizadas em conformidade com a legislação aplicável, de forma a garantir um nível adequado de proteção aos Dados Pessoais.

11.2. O Tratamento de dados fora do território brasileiro seguirá os termos do Regulamento Geral sobre a Proteção de Dados nº 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 ("GPDR") ou de qualquer legislação específica tratando do tema de Proteção de Dados Pessoais do país em questão, sem prejuízo de legislação suplementar aplicável.

12. COOKIES

12.1. Alguns sites da Companhia utilizam a coleta de dados chamados de "cookies". Cookies são partes do texto que são colocadas no disco rígido do computador do usuário quando visita determinados sites e aplicativos. A Companhia poderá usar cookies para obter informações, por exemplo, se o usuário já visitou os sites da Companhia antes ou se é um novo visitante, ajudando a Companhia a identificar recursos nos quais possa aprimorar a experiência do usuário. Os cookies podem aprimorar sua experiência online, salvando suas preferências enquanto você visita um site.

12.2. A Companhia informará quando o Titular do Dado Pessoal visitar sites da Companhia e quais tipos de cookies serão coletados para que o Titular possa desativar tais coletas de cookies. Quando exigido por lei, o Titular dos Dados Pessoais poderá visitar os sites da Companhia e recusar o uso de cookies a qualquer momento em seu computador.

13. DADOS DE MENORES

13.1. A Companhia não utiliza dados de menores para o desempenho das suas atividades. Pode, no entanto, a Companhia realizar a coleta e o tratamento de Dados Pessoais de crianças e adolescentes, sempre em seu melhor interesse.

14. PAPEIS E RESPONSABILIDADES

14.1. DPO (Data Protection Officer) ou Encarregado - O DPO é responsável por:

• i. Garantir que a Política de Privacidade de Dados seja comunicada a todos os Colaboradores e parceiros de negócio da Companhia;
• ii. Suportar as áreas de negócio na implementação de políticas, processos e ferramentas;
• iii. Receber requisições e prestar esclarecimento para o Titular dos Dados (pessoa física) conforme esta Política;
• iv. Tomar todas as medidas de comunicação junto à Autoridade Nacional de Proteção de Dados ("ANPD") e/ou outros / órgãos competentes e ainda junto ao Titular (se o caso) acerca de incidente de segurança que possa acarretar risco ou dano relevante ao Titular de Dados.
• v. Orientar os Colaboradores e os contratados da Companhia a respeito das práticas a serem tomadas em relação à proteção de Dados Pessoais;
• vi. Gerenciar o Programa de Privacidade de Dados na Companhia e monitorar indicadores de gestão;
• vii. Adotar juntamente com o responsável pela área de segurança de informação da Companhia as etapas cabíveis para o gerenciamento de crise e tratamento do incidente de segurança, no caso de violação de Dados Pessoais, nos termos das Políticas internas da Companhia.

14.2. Áreas/departamentos internos da Companhia - Os representantes de cada área/departamento da Companhia são responsáveis por:

• i. Implementar os requisitos de privacidade de dados nas políticas e processos sob sua responsabilidade;
• ii. Seguir os conceitos de Privacy by Design e Privacy by Default, que dizem respeito à proteção de dados pessoais como padrão em todos os processos e atividades desenvolvidos, e o cuidado com a privacidade e a proteção de dados da concepção de um produto ou serviço até a sua execução.
• iii. Atribuir os recursos para garantir que os requisitos desta política sejam coordenados e implementados;
• iv. Solicitar treinamentos de forma a garantir que as pessoas de suas respectivas áreas sejam treinadas na política de Privacidade de Dados; e
• v. Suportar em dúvidas junto aos Colaboradores sobre privacidade de dados ou reportá-las ao DPO.

15. PENALIDADES

15.1. A não observância dos procedimentos desta Política, por parte dos Administradores e Colaboradores, será examinada pelo DPO, sem prejuízo da RAÍZEN adotar eventuais medidas administrativas, civis e penais cabíveis, conforme o caso.

15.2. Com relação a Terceiros, o descumprimento desta Política ou à legislação aplicável poderá ensejar a imediata rescisão contratual, com aplicação das penalidades decorrentes da rescisão, sem prejuízo de ação indenizatória e outras providências legais cabíveis.

16. REPORTE DE DESVIOS E DÚVIDAS

16.1. Constitui responsabilidade de todos os Administradores, Colaboradores e Terceiros garantir o cumprimento desta Política. Indícios de desvio de seu cumprimento ou dúvidas acerca do cumprimento desta Política poderão ser reportados diretamente ao DPO por meio do email: dporaizen@raizen.com

17. REFERÊNCIAS

• Código de Conduta da Raízen;
• Lei nº 13.709, de 14 de agosto de 2018 ("Lei Geral de Proteção de Dados" ou "LGPD");
• Lei nº 10.406, de 10 de janeiro de 2002 ("Código Civil")
• Lei nº 12.965, de 23 de abril de 2014 ("Marco Civil da Internet");
• Regulamento Geral sobre a Proteção de Dados nº 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 ("GPDR").

18. DISPOSIÇÕES GERAIS

18.1. A próxima revisão desta Política acontecerá no advento de mudanças na legislação vigente, assim como em caso de mudança em processos e/ou eventual alteração de tecnologias que impactem os termos do presente documento.

18.2. Será arquivada por 5 (cinco) anos, sendo descartada somente no caso de suas versões subsequentes estarem em uso (divulgadas) por no mínimo 5 (cinco) anos.

18.3. A presente Política revoga eventuais disposições em contrário.

18.4. A presente Política será submetida a aprovação pelo Conselho de Administração da Companhia.