Informações legais

Perguntas frequentes sobre privacidade e segurança

Informações legais
/
Perguntas frequentes sobre privacidade e segurança

A Avetta respeita a privacidade dos seus clientes e está comprometida em proteger os dados dos clientes.

Estas seção de perguntas frequentes contém informações sobre o relacionamento entre a Avetta, os clientes da Avetta (cada um, um “Cliente”) e os fornecedores que participam da Rede Avetta (individualmente, o “Fornecedor”) com relação à privacidade e responde a perguntas comuns dos Fornecedores sobre como a Avetta trata e protege seus dados. Esta seção de Perguntas Frequentes é disponibilizada apenas para fins informativos, não substitui aconselhamento jurídico e não será incorporada nem fará parte de nenhum contrato com a Avetta. Os termos em maiúsculas usados nesta página, mas não definidos aqui, têm o significado estabelecido no Acordo do usuário final para serviços (“EUSA”, na sigla em inglês).

1. Como um Fornecedor ingressa na Rede Avetta?

Há dois métodos comuns para os Fornecedores ingressarem na Rede Avetta:

  • Um Cliente identifica um Fornecedor que deseja contratar e gerenciar pela plataforma de SaaS da Avetta (a “Plataforma da Avetta”). Posteriormente, a Avetta, em conjunto com o Cliente, envia um convite ao Fornecedor, solicitando que o Fornecedor participe da Rede Avetta. Esse processo atende à necessidade do Cliente de ter acesso a determinados documentos ou outros dados sobre o Fornecedor, que fornecidos pelo Fornecedor à Avetta. Em seguida, a Avetta disponibiliza esses dados ao Cliente pela Plataforma da Avetta. Portanto, os dados do Fornecedor são coletados pela Avetta para atender a uma solicitação de tais dados feita por um Cliente com o qual o Fornecedor faz negócios.
  • Um Fornecedor também pode ingressar na Rede Avetta por iniciativa própria e conectar-se aos Clientes na Rede Avetta. Nesse caso, ele apresentará documentos e outros dados de acordo com os requisitos estabelecidos por quaisquer Clientes conectados.

2. Quais dados a Avetta coleta de Fornecedores por meio da Plataforma da Avetta?

Em geral, a Avetta coleta dois tipos de dados de Fornecedores: Dados de Acesso Geral e Dados de Acesso Limitado.

“Dados de Acesso Geral” incluem o nome comercial, descrição dos serviços, endereço comercial, informações de contato comercial e outras informações comerciais gerais de um Fornecedor.

“Dados de Acesso Limitado” incluem os dados de um Fornecedor contidos nos formulários de pré-qualificação (PQFs), informações específicas de seguros, estatísticas de segurança, como taxa de modificação de experiência (EMR) e dados OSHA, todos e quaisquer dados coletados durante uma auditoria (uma auditoria refere-se à avaliação objetiva da Avetta sobre os procedimentos e práticas do Fornecedor para avaliar a conformidade do Fornecedor com os padrões regulatórios relevantes, práticas recomendadas do setor ou outros critérios ou parâmetros determinados por Clientes conectados) e dados dos trabalhadores se um Fornecedor usar nosso(s) produto(s) para trabalhadores. A abrangência específica dos Dados de Acesso Limitado que a Avetta coleta de um Fornecedor depende dos Serviços da Avetta que o Fornecedor assinou e dos requisitos definidos pelos Clientes conectados do Fornecedor na Plataforma da Avetta.

3. Quem pode acessar os dados dos Fornecedores por meio da Plataforma da Avetta e por quê?

Os Dados de Acesso Geral são dados não disponíveis publicamente, mas protegidos por senha e compartilhados apenas com os Clientes e Fornecedores que integram a Rede Avetta e, em determinadas circunstâncias, com Clientes em potencial. A exibição dos Dados de Acesso Geral dos Fornecedores é um benefício/recurso oferecido aos Fornecedores, para que outros Clientes possam pesquisar Fornecedores na Rede Avetta em busca de possíveis trabalhos.

Os Dados de Acesso Limitado só podem ser acessados pelos Clientes conectados de um Fornecedor (e Fornecedores Principais se o Fornecedor for um terceirizado). Os Dados de Acesso Limitado são mantidos para o benefício dos Clientes conectados (por exemplo, para confirmar que o Fornecedor atende aos requisitos para trabalhar com o Cliente, ou que um trabalhador específico está apto a ter acesso ao local de trabalho do Cliente). Os Dados de Acesso Limitado podem ser categorizados em dois grupos: (i) dados de conformidade padrão, acessíveis por todos os Clientes conectados (e Fornecedores Principais, quando aplicável), e (ii) dados de conformidade específicos do Cliente, acessíveis exclusivamente pelo Cliente que define os requisitos específicos (e eventuais Fornecedores Principais desse Cliente, se aplicável). É importante observar que os dados dos trabalhadores enviados através dos produtos da Avetta para trabalhadores se enquadram na categoria de dados de conformidade específicos do Cliente, e o acesso a esses dados é limitado ao Cliente que estabelece os requisitos para o acesso ao local.

4. Quais dados pessoais a Avetta coleta de Fornecedores?

Os Dados de Acesso Geral não costumam incluir dados pessoais, a menos que as informações de contato comercial fornecidas pelo Fornecedor contenham o nome ou endereço de e-mail de alguém.

Os Dados de Acesso Limitado podem conter dados pessoais, mas os tipos específicos de dados pessoais incluídos nos Dados de Acesso Limitado dependem dos Serviços da Avetta que o Fornecedor assinou e dos requisitos definidos pelos Clientes conectados do Fornecedor.

Consulte o Suplemento B do nosso Adendo de Tratamento de Dados (“ATD”) para se informar sobre as categorias de dados pessoais, os tipos de titulares de dados, as finalidades de tratamento e outros detalhes do tratamento que a Avetta realizará em conexão com a prestação dos serviços, de acordo com o EUSA.

5. Quais são as finalidades do tratamento de dados?

As finalidades do tratamento de dados pela Avetta são as seguintes:

  • Para prestar os Serviços da Avetta.
  • Os dados pessoais sobre os trabalhadores são mantidos na Plataforma da Avetta para o benefício dos Clientes conectados (por exemplo, para confirmar que um determinado trabalhador está apto a ter acesso ao local de trabalho do Cliente).
  • Os dados agregados e anonimizados são usados pela Avetta para:
    • Desenvolvimento de produtos;
    • Pesquisa;
    • Análise de mercado.
  • Os dados de contato comercial são usados pela Avetta para:
    • Marketing direto (por exemplo, envio de newsletters e e-mails promocionais);
    • Desenvolvimento de negócios;
    • Suporte ao cliente.
  • Para outros interesses legítimos da Avetta, consulte a seção 5 da Política de Privacidadeda Avetta.

6. Qual é o papel da Avetta nos termos do GDPR ao tratar dados pessoais de Fornecedores?

A Avetta é considerada uma operadora na medida em que o tratamento de dados pessoais é realizado em nome e sob a direção do Fornecedor, como o tratamento dos dados pessoais do Fornecedor contidos nos PQFs, conjuntos de dados OSHA, conjuntos de dados coletados durante uma Auditoria, dados de trabalhadores contidos em produtos para trabalhadores ou outros dados enviados à Avetta com base nos requisitos determinados pelos Clientes conectados do Fornecedor.

A Avetta é considerada uma controladora de dados na medida em que o tratamento de Dados Pessoais é para os próprios fins da Avetta em conexão com a prestação dos Serviços da Avetta ou para os interesses comerciais legítimos da Avetta, como faturamento, gestão de contas, suporte técnico, prevenção de fraudes, marketing e vendas (por exemplo, envio de newsletters aos usuários administradores do Fornecedor).

7. Como a Avetta protege os dados dos Fornecedores?

A Avetta está vinculada às disposições de confidencialidade contidas na seção 13 do EUSA e se compromete a tratar e proteger os dados pessoais dos Fornecedores de acordo com o ATD.

A Avetta mantém controles técnicos, físicos, administrativos e organizacionais robustos, projetados para manter a confidencialidade, a segurança e a integridade das informações confidenciais, incluindo dados pessoais, que lhe são confiados, e implementou sistemas e procedimentos para detectar, prevenir e responder a ataques, invasões e falhas do sistema, além de testes e monitoramento periódicos da eficácia de tais sistemas e procedimentos, incluindo, sem limitação, através de verificações de vulnerabilidade e testes de penetração. A Avetta detém as certificações ISO/IEC 27001:2013 (normas para Sistemas de Gestão de Segurança da Informação (ISMS)) e 27701:2019 (Sistema de Gestão de Informações de Privacidade (PIMS) sob forma de uma extensão da ISO/IEC 27001), bem como ISO/IEC 27017:2015 (normas para controles de segurança aplicáveis à prestação e uso de serviços na nuvem), ISO/IEC 27018:2019 (normas para proteção de informações de identificação pessoal em nuvens públicas) e ISO/IEC 22301:2019 (normas para sistemas de gestão de continuidade de negócios), além de realizar auditorias independentes anuais SOC 2 Tipo II.

Para saber mais sobre as medidas organizacionais e técnicas da Avetta para proteção dos dados de clientes, consulte o Anexo II do ATD.

8. Para quem a Avetta pode divulgar os dados dos Fornecedores?

De modo geral, a Avetta pode divulgar os dados de um Fornecedor para:

  • Afiliadas de seu grupo e seus provedores/prestadores de serviços (como a AWS para serviços de hospedagem em nuvem, produtos de terceiros integrados à Plataforma da Avetta, Salesforce para CRM, prestadores de serviços de segurança de rede e outras ferramentas usadas no decurso dos negócios);
  • Conforme explicado na Pergunta 3, os usuários dos Serviços da Avetta como parte da oferta do produto (Dados de Acesso Geral disponíveis para usuários na Plataforma da Avetta e Dados de Acesso Limitado compartilhados apenas com os Clientes e Fornecedores Principais conectados do Fornecedor, se houver); e
  • Outros destinatários, incluindo terceiros em conexão com atividades de fusão e aquisição, e partes para as quais a divulgação não se baseia no “consentimento” como base legal (por exemplo, a Avetta pode ser obrigada a divulgar os dados de um Fornecedor a órgãos fiscalizadores).

Para saber mais, consulte a seção 6 da nossa Política de Privacidade.

9. A Avetta vende dados de Fornecedores?

A Avetta não vende nenhum dado enviado pelos Fornecedores durante o uso da Plataforma da Avetta.

No entanto, podemos usar cookies e tecnologias semelhantes no nosso site geral (não na Plataforma da Avetta) para fins publicitários, o que, de acordo com a Lei de Privacidade do Consumidor da Califórnia de 2018, pode ser considerado “venda” ou “compartilhamento” de dados pessoais de um visitante do site. Não obstante, não nos envolvemos em nenhuma “venda” de dados pessoais com fins lucrativos.

10. Determinados serviços da Avetta oferecem aos clientes acesso à AskAva™, uma ferramenta de IA desenvolvida para gerar sugestões de segurança no local de trabalho. A Avetta usa o Conteúdo do Cliente para treinar a AskAva? Como essa ferramenta lida com dados pessoais?

A Avetta não usa nenhum Conteúdo do Cliente para treinar a AskAva. A AskAva é um recurso com tecnologia da OpenAI. Visto que as sugestões são geradas por IA, elas podem conter erros ou estarem incompletas.

O uso adequado da AskAva não requer que os usuários insiram dados pessoais. Os usuários são aconselhados a não inserir dados pessoais por serem desnecessários para gerar sugestões de segurança no local de trabalho. Os dados pessoais só serão compartilhados com a OpenAI para fins de tratamento, caso um usuário os forneça intencionalmente.

O uso da AskAva é totalmente opcional e, se você não quiser que a OpenAI trate seus dados, não use a AskAva. Para saber como a OpenAI trata dados, consulte a documentação da OpenAI sobre a sua API.

11. Onde a Avetta armazena os dados dos Fornecedores?

A tabela abaixo descreve os locais de instalação de servidores nos quais a Avetta trata e armazena dados para os serviços de SaaS. Em geral, a Avetta seleciona servidores nos países onde as leis locais proporcionam um nível mais alto de proteção dos direitos de privacidade dos indivíduos.

Produto da Avetta Local do Cliente (local de hospedagem)
Produtos de conformidade de fornecedores, incluindo, sem restrição, Avetta Connect® Health & Safety; ESG e Sustentabilidade; Riscos de negócios; e Avetta Transportation Safety – Motor Carrier Statistics Enterprise
  • Global (Alemanha)
  • Recuperação de desastres (Irlanda)
Worker Management
  • APAC (Austrália)
  • Global, exceto para APAC (Alemanha)
Pegasus Workforce Management
  • Austrália (Austrália)
  • Estados Unidos (Estados Unidos)
  • Global, exceto para Austrália e Estados Unidos (Reino Unido)

Observe que nossos dados de não produção ficam armazenados no Canadá.

12. Os dados pessoais serão transferidos para fora das jurisdições onde os titulares dos dados residem?

A sede da Avetta fica nos Estados Unidos, e a Avetta contrata vários prestadores terceirizados (operadores/suboperadores) para prestar os serviços. Os dados pessoais provavelmente serão transferidos para fora das jurisdições onde residem os titulares dos dados.

13. Quais são os mecanismos de transferências transfronteiriças que a Avetta usa para transferir dados?

Ao transferir dados pessoais para fora do EEE ou do Reino Unido, nós:

(i) asseguraremos que o país onde os dados pessoais serão tratados tenha sido considerado “adequado” pela Comissão Europeia ou pelo Reino Unido, conforme aplicável;

(ii) incluiremos em nossos contratos as Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia (conforme aplicável) para transferir dados pessoais do EEE ou do Reino Unido e, adicionalmente, o Adendo de Transferência Internacional de Dados às Cláusulas Contratuais Padrão da Comissão da UE para transferir dados pessoais do Reino Unido; ou

(iii) confiaremos em outros mecanismos ou condições legais para tal transferência de dados.

Para transferências de dados para os Estados Unidos, a Avetta optou por se autocertificar com a Estrutura de Privacidade de Dados UE-EUA (“DPF UE-EUA”), a Extensão do Reino Unido à Estrutura de Privacidade de Dados UE-EUA (“Extensão do Reino Unido”) e a Estrutura de Privacidade de Dados Suíça-EUA (“DPF Suíça-EUA”), juntamente com a “DPF UE-EUA” e a “Extensão do Reino Unido”, “DPF”), administrada pelo Departamento de Comércio dos EUA. A Comissão Europeia emitiu uma decisão de adequação para a DPF UE-EUA, confirmando que os EUA asseguram um nível de proteção adequado, comparável ao da União Europeia, para os dados pessoais transferidos da UE para empresas americanas sob o âmbito da estrutura. Da mesma forma, a autoridade do Reino Unido determinou que a Extensão do Reino Unido não prejudica o nível de proteção de dados dos titulares de dados do Reino Unido quando seus dados são transferidos para os EUA e, portanto, estabeleceu a ponte de dados Reino Unido-EUA com os EUA por meio da Extensão do Reino Unido. Como participante do programa DPF, a Avetta se compromete a cumprir os Princípios do DPF de notificação, escolha, responsabilidade por transferência subsequente, segurança, integridade de dados e limitação de finalidade, acesso, recurso, execução e responsabilidade ao tratar dados pessoais. Para saber mais, consulte nosso Aviso da Estrutura de Privacidade de Dados, disponível aqui.

Caso as leis de proteção de dados aplicáveis prescrevam requisitos adicionais ou modifiquem os mecanismos existentes para transferências de dados transfronteiriças, tomaremos as medidas apropriadas, incluindo trabalhar com nossos clientes, para implementar os requisitos ou atualizar os mecanismos de transferência para permitir a transferência legal dos titulares dos dados para fora de seu país de origem.

Para saber mais, consulte a seção 7 do ATD.

14. Como a Avetta cumpre o GDPR e outras leis de proteção de dados aplicáveis?

Enquanto uma organização com operações internacionais, a Avetta está sujeita a várias leis de proteção de dados (como o GDPR, o GDPR do Reino Unido, a CCPA, a PIPEDA e a Lei de Privacidade de Dados Australiana de 1988). Nosso programa de privacidade foi elaborado com base nos requisitos do GDPR. Para atender ainda mais às necessidades globais de conformidade, adotamos a seguinte abordagem: primeiro, identificamos os requisitos comuns das leis de proteção de dados aplicáveis, identificamos lacunas e implementamos as soluções para atender aos requisitos comuns e, em seguida, analisamos as variações e avaliamos a necessidade de personalizar o programa para atender aos requisitos locais ou implementar esses requisitos para todas as jurisdições.

De modo geral, aderimos aos princípios de privacidade de dados que exigem que os dados pessoais sejam:

  • tratados de forma lícita, leal e transparente (licitude, lealdade e transparência);
  • coletados apenas para fins determinados, explícitos e legítimos (limitação de finalidade);
  • adequados, relevantes e limitados ao necessário em relação às finalidades para as quais são tratados (minimização de dados);
  • precisos e, se necessário, atualizados ao longo do ciclo de vida dos dados pessoais (precisão);
  • não mantidos de forma a permitir a identificação dos titulares dos dados por mais tempo do que o necessário para as finalidades para as quais os dados são tratados (limitação do armazenamento);
  • tratados de maneira a garantir a sua segurança, usando medidas técnicas e organizacionais apropriadas para proteger contra tratamento não autorizado ou ilegal e contra perda acidental, destruição ou dano (segurança, integridade e confidencialidade);
  • não transferidos para outro país sem as medidas protetivas adequadas (limitação de transferência); e
  • disponibilizados aos titulares dos dados e permitir que os titulares dos dados exerçam determinados direitos em relação aos seus dados pessoais (direitos e solicitações de titulares dos dados).

15. Quais termos regem o relacionamento entre a Avetta e os Fornecedores?

A relação contratual entre a Avetta e um Fornecedor é regida pelos seguintes instrumentos:

Para saber mais sobre o programa de privacidade e segurança da Avetta, acesse nossa página de informações legais. A Avetta avalia continuamente a eficácia do seu programa de privacidade e segurança e se compromete a monitorar e implementar as mudanças adequadas ou necessárias em consequência dos desenvolvimentos legais, de mercado ou de práticas comerciais.