Privacidade e proteção de dados

Privacidade e proteção de dados

TERMO DE PRIVACIDADE E PROTEÇÃO DE DADOS

DEFINIÇÕES  

(a) DADOS PESSOAIS”: qualquer informação obtida em razão do presente contrato,  relacionada a pessoa natural identificada ou identificável, como por exemplo: nome,  CPF, RG, endereço residencial ou comercial, número de telefone fixo ou móvel,  endereço de e-mail, informações de geolocalização, entre outros.  

(b) DADOS PESSOAIS SENSÍVEIS”: dado pessoal sobre origem racial ou étnica, convicção  religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso,  filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou  biométrico, quando vinculado a uma pessoa natural; 

(c) DADO ANONIMIZADO: dado relativo a titular que não possa ser identificado,  considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de  seu tratamento; 

(d) TITULAR DOS DADOS”: pessoa natural a quem se referem os dados pessoais que são  objeto de tratamento; 

(e) TRATAMENTO”: qualquer operação ou conjunto de operações efetuadas com dados  pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não  automatizados, tais como a coleta, o registro, a organização, a estruturação, a  conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a  divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a  comparação ou interconexão, a limitação, a eliminação ou a destruição.  

(f) CONTROLADOR”: a quem competem as decisões referentes ao tratamento de dados  pessoais, especialmente relativas às finalidades e os meios de tratamento de dados  pessoais. 

(g) OPERADOR”: parte que trata dados pessoais de acordo com as instruções do  Controlador. Neste caso, o operador será o fornecedor – MAIA E REIS JUNIOR  DESENVOLVIMENTO LTDA – ME  

(h) AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS”: órgão responsável pela fiscalização do  cumprimento das disposições da Lei Geral de Proteção de Dados, Lei Federal nº  13.709/2018 no território nacional.  

DISPOSIÇÕES  

Considerando o Tratamento de Dados Pessoais que é realizado pelo OPERADOR ou  suas afiliadas, seus funcionários, representantes, contratados ou outros em nome da  CONTRATANTE ou de suas afiliadas, o OPERADOR deve garantir que qualquer pessoa  envolvida no Tratamento de Dados Pessoais em seu nome, em razão deste Contrato,  cumprirá esta cláusula.

1. Processamento: O OPERADOR tratará os dados pessoais somente para executar as  suas obrigações contratuais descritas no contrato principal, ou outras definidas pela  CONTRATANTE, por meio de aditivos a este contrato. Igualmente, o OPERADOR não coletará,  usará, acessará, manterá, modificará, divulgará, transferirá ou, de outra forma,  tratará dados pessoais, sem a ciência e autorização da CONTRATANTE. O OPERADOR tratará  os Dados Pessoais em observância a todas as leis de privacidade e proteção de dados  aplicáveis e às políticas e normas aplicáveis e impostas pela CONTRATANTE.

2. Dados pessoais sensíveis: O OPERADOR reconhece que os Dados Pessoais Sensíveis  estão sujeitos a um maior rigor legal e, portanto, exigem maior proteção técnica e  organizacional. Assim, quando o OPERADOR realizar operações de Tratamento de  Dados Pessoais Sensíveis, deve garantir que as proteções técnicas apropriadas,  aptas a manter a integridade, confidencialidade e segurança destas informações  sejam implementadas, como por exemplo, a criptografia. O OPERADOR concorda em  realizar o Tratamento de Dados Pessoais Sensíveis apenas quando estritamente  necessário para cumprir com as disposições contratuais. 

3. Compartilhamento de informações pessoais: O OPERADOR assegurará que os  Dados Pessoais não sejam acessados, compartilhados ou transferidos para terceiros  (incluindo subcontratados, agentes autorizados e afiliados) sem o consentimento  prévio por escrito da CONTRATANTE. Caso a CONTRATANTE autorize estas operações de tratamento, o OPERADOR deverá garantir que tais terceiros se obriguem, por escrito, a garantir  a mesma proteção aos Dados Pessoais estabelecida neste Contrato. O OPERADOR  será responsável por todas as ações e omissões realizadas por tais terceiros, relativas  ao Tratamento dos Dados Pessoais, como se as tivesse realizado.

4. Programa de proteção de dados: O OPERADOR se compromete a instituir e manter  um programa abrangente de segurança e governança de dados pessoais. Esse  programa deverá estabelecer controles técnicos e administrativos apropriados para  garantir a confidencialidade, integridade e disponibilidade dos Dados Pessoais  objeto de Tratamento, além de garantir a conformidade com a Lei Geral de Proteção  de Dados e demais normas que versem sobre privacidade e proteção de dados  pessoais. Isso inclui a implementação de “Políticas Internas” que estabeleçam,  dentre outras regras: (i) como os titulares de dados são informados quando do  tratamento de dados pessoais; (ii) quais são as medidas de segurança aplicadas  (técnicas e procedimentais) que garantam a confidencialidade, integridade e  disponibilidade das informações; (iii) como é realizada a gestão de crise, em caso de  ocorrência de incidentes envolvendo dados pessoais; (iv) qual o procedimento  instituído que garante a constante atualização destas medidas; (v) a limitação e  controle de acesso aos Dados Pessoais; (vi) a revisão periódica das medidas  implementadas; (vii) condução de constantes treinamentos com os funcionários da  companhia.  

5. Registro de informações: O OPERADOR manterá devidamente atualizados os  registros das operações de Tratamento de Dados Pessoais, que conterá a categoria  dos dados tratados, os sujeitos envolvidos na atividade, qual a finalidade das  diversas atividades de tratamento realizadas e por quanto tempo os dados pessoais  serão processados e armazenados após o cumprimento de sua finalidade originária. 

6. Medidas e controles de segurança: O OPERADOR concorda e declara possuir  medidas implementadas para proteger as informações pessoais tratadas, possuir  uma política de segurança da informação instituída, a qual deverá determinar  medidas técnicas e administrativas capazes de garantir a integridade,  disponibilidade e confidencialidade das informações tratadas. Tal política deverá  instituir, mas não limitar a:  

a) condução de constantes treinamentos com os funcionários da companhia; e  b) possuir medidas técnicas de controle, que deverá possuir, no mínimo: 

b.1) sistema de detecção de invasão ou tentativa de invasão pela internet,  incluindo, mas não se limitando a contenção de vírus e drives maliciosos;  b.2) solução que possibilite a encriptação dos dados pessoais tratadas em razão  do presente contrato, quando necessário e de acordo com o nível de sensibilidade  e volume das informações;  

b.3) sistemas que previnem a acoplagem de qualquer sistema móvel de  carregamento de informações ou dispositivos relacionados; e  

b.4) um profissional designado e instituído em tempo integral, para figurar como  ponto focal responsável pelas medidas de segurança aplicadas.  

7. Direito de conduzir auditorias: Com a celebração do presente contrato, o  OPERADOR declara estar ciente e autoriza, mediante prévia notificação, por prazo  não superior a 24 (vinte e quatro horas), a condução de auditorias em seus sistemas  e/ou procedimentos internos relacionados ao programa interno de privacidade e  governança de dados pessoais. Este procedimento poderá ser conduzido pela CONTRATANTE,  seus afiliados e parceiros, ou terceiros contratados para esta finalidade. Quando da  realização deste procedimento, deverá o OPERADOR garantir: (i) pleno acesso às  instalações e arquivos de informações (físicos ou eletrônicos); e (ii) pleno apoio de  seus funcionários para a condução das diligências necessárias. Na hipótese de  identificação de inconsistências ou irregularidades quando da condução das  auditorias, deverá a OPERADOR providenciar a imediata remediação, comprovando  à CONTRATANTE, em prazo não superior a 48 (quarenta e oito horas), as medidas  mitigadoras adotadas.

8. Confidencialidade das Auditorias: As partes concordam que qualquer auditor ou  empresa de segurança terceirizada que celebre um contrato com o OPERADOR  deverá (i) usar as informações confidenciais do OPERADOR somente para fins de  inspeção ou auditoria; (ii) manter as informações confidenciais do OPERADOR  (incluindo quaisquer informações relativas a seus outros clientes) confidenciais; e (iii) tratar os Dados Pessoais em observância às regras aqui estabelecidas para o  Tratamento de Dados pelo OPERADOR. 

9. Atualização dos dados: O OPERADOR deverá assegurar que as informações pessoais  tratadas em razão da finalidade celebrada neste instrumento permaneçam corretas  e devidamente atualizadas, devendo as informações desatualizadas serem  imediatamente corrigidas ou excluídas.

10. Transferência internacional: Caso seja necessária a transferência internacional de  Dados Pessoais para o cumprimento do presente Contrato, o OPERADOR deverá  informar previamente à CONTRATANTE e garantir a implementação das medidas de  segurança necessárias para a garantia da confidencialidade, integridade e  disponibilidade dos dados pessoais transferidos.

11.Direitos dos titulares: Sempre que necessário, deverá o OPERADOR auxiliar a CONTRATANTE no atendimento das requisições realizadas por titulares de dados, providenciando,  de forma imediata, ou no máxima em 24 (vinte e quatro) horas, justificando os  motivos da demora: (i) a confirmação da existência do tratamento; (ii) o acesso aos  dados pessoais tratados; (iii) a correção dos dados pessoais incompletos, inexatos  ou desatualizados; (iv) a anonimização, o bloqueio ou a eliminação dos dados  pessoais; (v) a portabilidade dos dados pessoais; (vi) informação sobre as entidades  públicas e privadas com as quais foi realizada o compartilhamento de dados; (vii) informar as consequências da revogação do consentimento; e (viii) informar os  fatores que levaram a uma decisão automatizada.  

12. Incidentes (e.g. Vazamento de dados): O OPERADOR deverá elaborar um plano  escrito e estruturado para casos de ocorrência de incidentes envolvendo Dados  Pessoais. 

12.1. Para os fins deste Contrato, entende-se como incidente qualquer violação de  confidencialidade, disponibilidade e/ou integridade dos Dados Pessoais, incluindo,  mas não se limitando a, situações de: 

o exposição indevida ou acidental, temporária ou permanente, dos Dados  Pessoais; 

o acesso ao sistema ou a documentos por terceiros não autorizados, através  de meios digitais (“invasão hacker”) ou físico (utilizando-se de engenharia  social); 

o perda ou roubo de equipamentos, pastas ou documentos que contenham  Dados Pessoais armazenados com ou sem criptografia; 

o impossibilidade, ainda que temporária, de acesso aos servidores onde  estejam armazenados os Dados Pessoais (incluindo situações de ataque de  negação de serviço, distribuído ou simples – DoS/DDoS – e ransomwares);

o bloqueio, perda, corrupção, deleção ou criptografia indevida (i.e.,  criptografia de terceiros) dos Dados Pessoais; e 

o inclusões, modificações ou alterações não autorizadas nos Dados Pessoais  ou em seus parâmetros de classificação; 

12.2. O plano de resposta deverá conter, minimamente:  

o Notificação à CONTRATANTE, a qual deverá ocorrer de maneira imediata, por meio  de e-mail encaminhado ao gestor do contrato e à DPO  (xxxxxx@xxxxxx); A referida comunicação deverá  conter, no mínimo: 

(i) data e hora do incidente; (ii) data e hora da ciência pelo OPERADOR; (iii) relação dos tipos de dados afetados pelo incidente; (iv) número de usuários  afetados (volumetria do incidente) e, se possível, a relação destes  indivíduos; (v) dados de contato do Encarregado pela Proteção de Dados do  OPERADOR, ou outra pessoa junto à qual seja possível obter maiores  informações sobre o ocorrido; e (vi) descrição das possíveis consequências  do evento;  

A seguir, e após o consentimento da CONTRATANTE, deverá o OPERADOR providenciar:

o A notificação dos indivíduos afetados, mediante texto previamente  aprovado pela CONTRATANTE. 

o A notificação da Autoridade Nacional de Proteção de Dados, mediante texto  previamente aprovado pela CONTRATANTE.

o A adoção de um plano de ação que pondere os fatores que levaram à causa  do incidente e aplique medidas que visem garantir a não recorrência deste  evento.  

Para os incidentes que envolvam Dados Pessoais causados em razão de  conduta única e exclusiva do OPERADOR, este ficará responsável por adotar as medidas acima descritas, bem como adimplir com eventuais sanções  determinadas pela Autoridade Nacional de Proteção de Dados.  

Caso a CONTRATANTE assuma tais sanções, poderá exercer o direito de regresso  perante o OPERADOR, ficando este instrumento contratual constituído  como título executivo extrajudicial. 

13.Destruição ou devolução dos dados pessoais: O OPERADOR deverá, sob o comando  da CONTRATANTE, ou quando da extinção do vínculo contratual e obrigacional existente,  devolver os dados pessoais compartilhados em razão das finalidades previamente  pactuadas e realizar a exclusão definitiva e permanente dos mesmos. Não obstante,  em caso de comando expresso, por escrito, da CONTRATANTE, deverá o OPERADOR manter  em arquivo os dados pessoais compartilhados para cumprimento da finalidade  determinada pelo presente instrumento, por tempo determinado pela CONTRATANTE.

14. Cumprimento de obrigação legal: Caso o OPERADOR seja destinatário de qualquer  ordem judicial ou comunicação oficial que determine o fornecimento ou divulgação  de informações pessoais, deverá notificar a CONTRATANTE, no prazo máximo de 24 (vinte e  quatro) horas, sobre o ocorrido, oportunizando a adoção, em tempo hábil de  medidas legais para impedir ou mitigar os efeitos decorrentes da divulgação dos  dados pessoais relacionados a esta requisição ou objetos desta. 

15. Indenizações O OPERADOR será responsável por quaisquer reclamações, perdas e  danos, despesas processuais judiciais, administrativas e arbitrais, em qualquer  instância ou tribunal, que venham a ser ajuizadas em face da CONTRATANTE, multas,  inclusive, mas não se limitando àquelas aplicadas pela Autoridade Nacional de  Proteção de Dados, além de qualquer outra situação que exija o pagamento de  valores pecuniários, quando os eventos que levarem a tais consequências  decorrerem de: (i) descumprimento, pelo OPERADOR, ou por terceiros por ele  contratados, das disposições expostas neste instrumento; (ii) qualquer exposição  acidental ou proposital de dados pessoais; (iii) qualquer ato do OPERADOR ou de  terceiros por ele contratados, em discordância com a legislação aplicável à  privacidade e proteção de dados.  

15.1 Para os fins do caput da Cláusula 15, o OPERADOR resguardará os interesses  da CONTRATANTE, prestando, inclusive, as garantias necessárias à sua eventual  desoneração.

15.2 Nas demandas processuais administrativas, arbitrais, judiciais e extrajudiciais  que tramitarem somente em face do Operador, este se obriga a notificar o  Controlador para que ele tenha conhecimento do processo. 

15.2.1 Caso o Controlador tenha interesse, poderá ingressar no processo  judicial como assistente litisconsorcial, nos termos do artigo 124 do Código  de Processo Civil, hipótese em que todas as despesas processuais, correção  monetária, juros e honorários advocatícios serão de inteira  responsabilidade do Operador. 

15.3 O Controlador poderá denunciar à lide em face do Operador quando este, por  qualquer motivo, não tenha sido parte do processo, nos termos dos artigos 125 e ss..  do Código de Processo Civil, hipótese em que o Operador assumirá, perante o juízo,  integral responsabilidade pelos danos causados e despesas incorridas. 

16. Sobrevivência: Não obstante qualquer disposição em contrário, as obrigações do  OPERADOR definidas neste Contrato, perdurarão enquanto o OPERADOR continuar a  ter acesso, estiver na posse, adquirir ou realizar qualquer operação de Tratamento aos  Dados Pessoais obtidos em razão da relação contratual com a CONTRATANTE, mesmo que  todos os contratos entre o OPERADOR e a CONTRATANTE tiverem expirado ou sido rescindidos

17. Na hipótese de haver alteração da legislação nacional a respeito de privacidade e  proteção de dados e que, nesta hipótese, fique inviável ou demasiadamente onerosa  a prestação de serviços no nível de segurança exigido, o Operador notificará  imediatamente a CONTRATANTE, caso esta queira exercer o direito de suspender os serviços ou rescindir o contrato principal, de pleno direito e sem ônus.

18.O descumprimento das obrigações ora previstas, pelo Operador, ensejará a  possibilidade de rescisão imediata do contrato principal, pela CONTRATANTE, sem qualquer  ônus, além da aplicação das penalidades previstas para descumprimento contratual.