TERMO DE PRIVACIDADE E PROTEÇÃO DE DADOS
DEFINIÇÕES
(a) “DADOS PESSOAIS”: qualquer informação obtida em razão do presente contrato, relacionada a pessoa natural identificada ou identificável, como por exemplo: nome, CPF, RG, endereço residencial ou comercial, número de telefone fixo ou móvel, endereço de e-mail, informações de geolocalização, entre outros.
(b) “DADOS PESSOAIS SENSÍVEIS”: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
(c) “DADO ANONIMIZADO”: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
(d) “TITULAR DOS DADOS”: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
(e) “TRATAMENTO”: qualquer operação ou conjunto de operações efetuadas com dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a coleta, o registro, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, a eliminação ou a destruição.
(f) “CONTROLADOR”: a quem competem as decisões referentes ao tratamento de dados pessoais, especialmente relativas às finalidades e os meios de tratamento de dados pessoais.
(g) “OPERADOR”: parte que trata dados pessoais de acordo com as instruções do Controlador. Neste caso, o operador será o fornecedor – MAIA E REIS JUNIOR DESENVOLVIMENTO LTDA – ME
(h) “AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS”: órgão responsável pela fiscalização do cumprimento das disposições da Lei Geral de Proteção de Dados, Lei Federal nº 13.709/2018 no território nacional.
DISPOSIÇÕES
Considerando o Tratamento de Dados Pessoais que é realizado pelo OPERADOR ou suas afiliadas, seus funcionários, representantes, contratados ou outros em nome da CONTRATANTE ou de suas afiliadas, o OPERADOR deve garantir que qualquer pessoa envolvida no Tratamento de Dados Pessoais em seu nome, em razão deste Contrato, cumprirá esta cláusula.
1. Processamento: O OPERADOR tratará os dados pessoais somente para executar as suas obrigações contratuais descritas no contrato principal, ou outras definidas pela CONTRATANTE, por meio de aditivos a este contrato. Igualmente, o OPERADOR não coletará, usará, acessará, manterá, modificará, divulgará, transferirá ou, de outra forma, tratará dados pessoais, sem a ciência e autorização da CONTRATANTE. O OPERADOR tratará os Dados Pessoais em observância a todas as leis de privacidade e proteção de dados aplicáveis e às políticas e normas aplicáveis e impostas pela CONTRATANTE.
2. Dados pessoais sensíveis: O OPERADOR reconhece que os Dados Pessoais Sensíveis estão sujeitos a um maior rigor legal e, portanto, exigem maior proteção técnica e organizacional. Assim, quando o OPERADOR realizar operações de Tratamento de Dados Pessoais Sensíveis, deve garantir que as proteções técnicas apropriadas, aptas a manter a integridade, confidencialidade e segurança destas informações sejam implementadas, como por exemplo, a criptografia. O OPERADOR concorda em realizar o Tratamento de Dados Pessoais Sensíveis apenas quando estritamente necessário para cumprir com as disposições contratuais.
3. Compartilhamento de informações pessoais: O OPERADOR assegurará que os Dados Pessoais não sejam acessados, compartilhados ou transferidos para terceiros (incluindo subcontratados, agentes autorizados e afiliados) sem o consentimento prévio por escrito da CONTRATANTE. Caso a CONTRATANTE autorize estas operações de tratamento, o OPERADOR deverá garantir que tais terceiros se obriguem, por escrito, a garantir a mesma proteção aos Dados Pessoais estabelecida neste Contrato. O OPERADOR será responsável por todas as ações e omissões realizadas por tais terceiros, relativas ao Tratamento dos Dados Pessoais, como se as tivesse realizado.
4. Programa de proteção de dados: O OPERADOR se compromete a instituir e manter um programa abrangente de segurança e governança de dados pessoais. Esse programa deverá estabelecer controles técnicos e administrativos apropriados para garantir a confidencialidade, integridade e disponibilidade dos Dados Pessoais objeto de Tratamento, além de garantir a conformidade com a Lei Geral de Proteção de Dados e demais normas que versem sobre privacidade e proteção de dados pessoais. Isso inclui a implementação de “Políticas Internas” que estabeleçam, dentre outras regras: (i) como os titulares de dados são informados quando do tratamento de dados pessoais; (ii) quais são as medidas de segurança aplicadas (técnicas e procedimentais) que garantam a confidencialidade, integridade e disponibilidade das informações; (iii) como é realizada a gestão de crise, em caso de ocorrência de incidentes envolvendo dados pessoais; (iv) qual o procedimento instituído que garante a constante atualização destas medidas; (v) a limitação e controle de acesso aos Dados Pessoais; (vi) a revisão periódica das medidas implementadas; (vii) condução de constantes treinamentos com os funcionários da companhia.
5. Registro de informações: O OPERADOR manterá devidamente atualizados os registros das operações de Tratamento de Dados Pessoais, que conterá a categoria dos dados tratados, os sujeitos envolvidos na atividade, qual a finalidade das diversas atividades de tratamento realizadas e por quanto tempo os dados pessoais serão processados e armazenados após o cumprimento de sua finalidade originária.
6. Medidas e controles de segurança: O OPERADOR concorda e declara possuir medidas implementadas para proteger as informações pessoais tratadas, possuir uma política de segurança da informação instituída, a qual deverá determinar medidas técnicas e administrativas capazes de garantir a integridade, disponibilidade e confidencialidade das informações tratadas. Tal política deverá instituir, mas não limitar a:
a) condução de constantes treinamentos com os funcionários da companhia; e b) possuir medidas técnicas de controle, que deverá possuir, no mínimo:
b.1) sistema de detecção de invasão ou tentativa de invasão pela internet, incluindo, mas não se limitando a contenção de vírus e drives maliciosos; b.2) solução que possibilite a encriptação dos dados pessoais tratadas em razão do presente contrato, quando necessário e de acordo com o nível de sensibilidade e volume das informações;
b.3) sistemas que previnem a acoplagem de qualquer sistema móvel de carregamento de informações ou dispositivos relacionados; e
b.4) um profissional designado e instituído em tempo integral, para figurar como ponto focal responsável pelas medidas de segurança aplicadas.
7. Direito de conduzir auditorias: Com a celebração do presente contrato, o OPERADOR declara estar ciente e autoriza, mediante prévia notificação, por prazo não superior a 24 (vinte e quatro horas), a condução de auditorias em seus sistemas e/ou procedimentos internos relacionados ao programa interno de privacidade e governança de dados pessoais. Este procedimento poderá ser conduzido pela CONTRATANTE, seus afiliados e parceiros, ou terceiros contratados para esta finalidade. Quando da realização deste procedimento, deverá o OPERADOR garantir: (i) pleno acesso às instalações e arquivos de informações (físicos ou eletrônicos); e (ii) pleno apoio de seus funcionários para a condução das diligências necessárias. Na hipótese de identificação de inconsistências ou irregularidades quando da condução das auditorias, deverá a OPERADOR providenciar a imediata remediação, comprovando à CONTRATANTE, em prazo não superior a 48 (quarenta e oito horas), as medidas mitigadoras adotadas.
8. Confidencialidade das Auditorias: As partes concordam que qualquer auditor ou empresa de segurança terceirizada que celebre um contrato com o OPERADOR deverá (i) usar as informações confidenciais do OPERADOR somente para fins de inspeção ou auditoria; (ii) manter as informações confidenciais do OPERADOR (incluindo quaisquer informações relativas a seus outros clientes) confidenciais; e (iii) tratar os Dados Pessoais em observância às regras aqui estabelecidas para o Tratamento de Dados pelo OPERADOR.
9. Atualização dos dados: O OPERADOR deverá assegurar que as informações pessoais tratadas em razão da finalidade celebrada neste instrumento permaneçam corretas e devidamente atualizadas, devendo as informações desatualizadas serem imediatamente corrigidas ou excluídas.
10. Transferência internacional: Caso seja necessária a transferência internacional de Dados Pessoais para o cumprimento do presente Contrato, o OPERADOR deverá informar previamente à CONTRATANTE e garantir a implementação das medidas de segurança necessárias para a garantia da confidencialidade, integridade e disponibilidade dos dados pessoais transferidos.
11.Direitos dos titulares: Sempre que necessário, deverá o OPERADOR auxiliar a CONTRATANTE no atendimento das requisições realizadas por titulares de dados, providenciando, de forma imediata, ou no máxima em 24 (vinte e quatro) horas, justificando os motivos da demora: (i) a confirmação da existência do tratamento; (ii) o acesso aos dados pessoais tratados; (iii) a correção dos dados pessoais incompletos, inexatos ou desatualizados; (iv) a anonimização, o bloqueio ou a eliminação dos dados pessoais; (v) a portabilidade dos dados pessoais; (vi) informação sobre as entidades públicas e privadas com as quais foi realizada o compartilhamento de dados; (vii) informar as consequências da revogação do consentimento; e (viii) informar os fatores que levaram a uma decisão automatizada.
12. Incidentes (e.g. Vazamento de dados): O OPERADOR deverá elaborar um plano escrito e estruturado para casos de ocorrência de incidentes envolvendo Dados Pessoais.
12.1. Para os fins deste Contrato, entende-se como incidente qualquer violação de confidencialidade, disponibilidade e/ou integridade dos Dados Pessoais, incluindo, mas não se limitando a, situações de:
o exposição indevida ou acidental, temporária ou permanente, dos Dados Pessoais;
o acesso ao sistema ou a documentos por terceiros não autorizados, através de meios digitais (“invasão hacker”) ou físico (utilizando-se de engenharia social);
o perda ou roubo de equipamentos, pastas ou documentos que contenham Dados Pessoais armazenados com ou sem criptografia;
o impossibilidade, ainda que temporária, de acesso aos servidores onde estejam armazenados os Dados Pessoais (incluindo situações de ataque de negação de serviço, distribuído ou simples – DoS/DDoS – e ransomwares);
o bloqueio, perda, corrupção, deleção ou criptografia indevida (i.e., criptografia de terceiros) dos Dados Pessoais; e
o inclusões, modificações ou alterações não autorizadas nos Dados Pessoais ou em seus parâmetros de classificação;
12.2. O plano de resposta deverá conter, minimamente:
o Notificação à CONTRATANTE, a qual deverá ocorrer de maneira imediata, por meio de e-mail encaminhado ao gestor do contrato e à DPO (xxxxxx@xxxxxx); A referida comunicação deverá conter, no mínimo:
(i) data e hora do incidente; (ii) data e hora da ciência pelo OPERADOR; (iii) relação dos tipos de dados afetados pelo incidente; (iv) número de usuários afetados (volumetria do incidente) e, se possível, a relação destes indivíduos; (v) dados de contato do Encarregado pela Proteção de Dados do OPERADOR, ou outra pessoa junto à qual seja possível obter maiores informações sobre o ocorrido; e (vi) descrição das possíveis consequências do evento;
A seguir, e após o consentimento da CONTRATANTE, deverá o OPERADOR providenciar:
o A notificação dos indivíduos afetados, mediante texto previamente aprovado pela CONTRATANTE.
o A notificação da Autoridade Nacional de Proteção de Dados, mediante texto previamente aprovado pela CONTRATANTE.
o A adoção de um plano de ação que pondere os fatores que levaram à causa do incidente e aplique medidas que visem garantir a não recorrência deste evento.
Para os incidentes que envolvam Dados Pessoais causados em razão de conduta única e exclusiva do OPERADOR, este ficará responsável por adotar as medidas acima descritas, bem como adimplir com eventuais sanções determinadas pela Autoridade Nacional de Proteção de Dados.
Caso a CONTRATANTE assuma tais sanções, poderá exercer o direito de regresso perante o OPERADOR, ficando este instrumento contratual constituído como título executivo extrajudicial.
13.Destruição ou devolução dos dados pessoais: O OPERADOR deverá, sob o comando da CONTRATANTE, ou quando da extinção do vínculo contratual e obrigacional existente, devolver os dados pessoais compartilhados em razão das finalidades previamente pactuadas e realizar a exclusão definitiva e permanente dos mesmos. Não obstante, em caso de comando expresso, por escrito, da CONTRATANTE, deverá o OPERADOR manter em arquivo os dados pessoais compartilhados para cumprimento da finalidade determinada pelo presente instrumento, por tempo determinado pela CONTRATANTE.
14. Cumprimento de obrigação legal: Caso o OPERADOR seja destinatário de qualquer ordem judicial ou comunicação oficial que determine o fornecimento ou divulgação de informações pessoais, deverá notificar a CONTRATANTE, no prazo máximo de 24 (vinte e quatro) horas, sobre o ocorrido, oportunizando a adoção, em tempo hábil de medidas legais para impedir ou mitigar os efeitos decorrentes da divulgação dos dados pessoais relacionados a esta requisição ou objetos desta.
15. Indenizações O OPERADOR será responsável por quaisquer reclamações, perdas e danos, despesas processuais judiciais, administrativas e arbitrais, em qualquer instância ou tribunal, que venham a ser ajuizadas em face da CONTRATANTE, multas, inclusive, mas não se limitando àquelas aplicadas pela Autoridade Nacional de Proteção de Dados, além de qualquer outra situação que exija o pagamento de valores pecuniários, quando os eventos que levarem a tais consequências decorrerem de: (i) descumprimento, pelo OPERADOR, ou por terceiros por ele contratados, das disposições expostas neste instrumento; (ii) qualquer exposição acidental ou proposital de dados pessoais; (iii) qualquer ato do OPERADOR ou de terceiros por ele contratados, em discordância com a legislação aplicável à privacidade e proteção de dados.
15.1 Para os fins do caput da Cláusula 15, o OPERADOR resguardará os interesses da CONTRATANTE, prestando, inclusive, as garantias necessárias à sua eventual desoneração.
15.2 Nas demandas processuais administrativas, arbitrais, judiciais e extrajudiciais que tramitarem somente em face do Operador, este se obriga a notificar o Controlador para que ele tenha conhecimento do processo.
15.2.1 Caso o Controlador tenha interesse, poderá ingressar no processo judicial como assistente litisconsorcial, nos termos do artigo 124 do Código de Processo Civil, hipótese em que todas as despesas processuais, correção monetária, juros e honorários advocatícios serão de inteira responsabilidade do Operador.
15.3 O Controlador poderá denunciar à lide em face do Operador quando este, por qualquer motivo, não tenha sido parte do processo, nos termos dos artigos 125 e ss.. do Código de Processo Civil, hipótese em que o Operador assumirá, perante o juízo, integral responsabilidade pelos danos causados e despesas incorridas.
16. Sobrevivência: Não obstante qualquer disposição em contrário, as obrigações do OPERADOR definidas neste Contrato, perdurarão enquanto o OPERADOR continuar a ter acesso, estiver na posse, adquirir ou realizar qualquer operação de Tratamento aos Dados Pessoais obtidos em razão da relação contratual com a CONTRATANTE, mesmo que todos os contratos entre o OPERADOR e a CONTRATANTE tiverem expirado ou sido rescindidos.
17. Na hipótese de haver alteração da legislação nacional a respeito de privacidade e proteção de dados e que, nesta hipótese, fique inviável ou demasiadamente onerosa a prestação de serviços no nível de segurança exigido, o Operador notificará imediatamente a CONTRATANTE, caso esta queira exercer o direito de suspender os serviços ou rescindir o contrato principal, de pleno direito e sem ônus.
18.O descumprimento das obrigações ora previstas, pelo Operador, ensejará a possibilidade de rescisão imediata do contrato principal, pela CONTRATANTE, sem qualquer ônus, além da aplicação das penalidades previstas para descumprimento contratual.