ANEXO DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
ANEXO DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
1. Definições:
(a) “Contrato” significa o acordo formalizado entre as Partes, com objetivo de convencionar prazo, preço, condições e
obrigações mútuas para a realização e/ou entrega de determinada finalidade.
(b) "Dados Pessoais" significa qualquer informação relacionada a uma pessoa natural identificada ou identificável, seja essa pessoa cliente, fornecedor, revendedor, colaborador, franqueado e seus colaboradores, terceiro ou parceiro que de alguma forma se relacione com as empresas do Grupo Boticário, de propriedade e controlado pelas empresas do Grupo Boticário.
(c) “Dados Pessoais Sensíveis” significa dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
(d) “Dados Estratégicos” significa toda informação classificada como secreta, confidencial e restrita, conforme definição da Política de Segurança da Informação, que digam respeito às estratégias de negócio do Grupo Boticário, como por exemplo: fórmulas de produtos e de métodos operacionais, mudanças significativas, informações de projetos, informações contábeis e fiscais, entre outros.
(e) “Empresa Afiliada” significa toda e qualquer empresa, existente ou que venha a existir, afiliada, coligada, sob o controle direto ou indireto, subsidiária de BOTICARIO PRODUTOS DE BELEZA LTDA., inscrita no CNPJ sob o nº11.137.051/0001-86 (“O Boticário”).
(f) “Incidente de Segurança de Informação” significa uma violação ou potencial infração dos procedimentos de segurança dispostos na Política de Segurança da Informação do Grupo Boticário que leve, de maneira acidental ou ilícita, à destruição, perda, alteração ou aquisição não autorizada, divulgação, uso ou acesso indevido de/a Dados Pessoais transmitidos, armazenados ou de qualquer outra forma processados pela CONTRATADA.
(g) “Grupo Boticário” significa a empresa O Boticário e todas as empresas que estão ou venham a estar sob seu controle direto ou indireto, as empresas do seu conglomerado econômico, suas afiliadas, coligadas e suas subsidiárias ou que figura como parte contratante do Contrato
(h) "Leis de Proteção de Dados Pessoais" significa todas as leis de proteção e privacidade de dados aplicáveis ao tratamento de Dados Pessoais nos termos deste Contrato, em especial a Lei Geral de Proteção de Dados Pessoais – Lei nº 13.709, de 14 de agosto de 2018 (“LGPD”).
(i) Os termos "controlador", "titular", "dados pessoais", “dados pessoais sensíveis”, "tratamento", "operador" e "Autoridade Nacional de Proteção de Dados", conforme utilizados neste Anexo, têm o significado definido de acordo com a LGPD.
2. Obrigações de conformidade com as Leis de Proteção de Dados Pessoais. A CONTRATADA, por si e por seus colaboradores, obriga-se, sempre que aplicável, a atuar, na execução do escopo do Contrato formalizado entre as Partes, em conformidade com as Leis de Proteção de Dados Pessoais e as determinações de órgãos reguladores/fiscalizadores sobre a matéria, além das demais normas e políticas de proteção de Dados Pessoais de cada país onde houver qualquer tipo de tratamento de Dados Pessoais do Grupo Boticário, assumindo este o papel de controlador dos Dados Pessoais no âmbito do Contrato.
2.1. A CONTRATADA deverá garantir que constituiu e processou sua base de dados em consonância com a legislação vigente, cumprindo integralmente os critérios e condições estabelecidos na legislação, normas e códigos de auto-regulamentação aplicáveis ao tratamento de dados pessoais, respondendo por todos os questionamentos referentes aos dados, a coleta, o armazenamento, notadamente pela sua veracidade e pela sua exatidão, bem como pela obtenção de todas as autorizações e avisos legais necessárias para tanto, conforme estabelecido na legislação vigente.
2.2. A CONTRATADA deverá garantir a adoção de conduta ética e se comprometer a observar, juntamente com seus diretores, administradores, empregados, terceiros e/ou suboperadores, o cumprimento das Leis de Proteção de Dados Pessoais, seja em razão a coleta, processamento, recepção, utilização, acesso, reprodução, processamento, arquivamento, armazenamento, transferência, eliminação e outras formas de tratamento possíveis.
2.3. A CONTRATADA deverá fornecer relatórios ao Grupo Boticário, sempre que solicitado por ele, os quais devem incluir, pelo menos (i) o status dos sistemas de tratamento de Dados Pessoais; (ii) as medidas de segurança;
(iii) o tempo de inatividade registrado das medidas técnicas de segurança; (iv) a (não) conformidade estabelecida com as medidas organizacionais; (v) quaisquer eventuais violações de dados e/ou incidentes de segurança; (vi) as ameaças percebidas à segurança e aos Dados Pessoais; e (vii) as melhorias exigidas e/ou recomendadas.
2.4. A CONTRATADA deverá adotar, sempre que aplicável, política de cookies e banner de cookies de acordo com as orientações e diretrizes emitidas pela Autoridade Nacional de Proteção de Dados, garantindo, ainda, que manterá os seus modelos de política e banner de cookies adequados em caso de nova orientação proferida pelos órgãos reguladores/fiscalizadores.
3. Diretrizes de tratamento. Cabe à CONTRATADA, na condição de operadora dos Dados Pessoais, seguir as instruções recebidas do Grupo Boticário em relação ao tratamento dos Dados Pessoais, além de observar e cumprir as normas legais vigentes aplicáveis, devendo a CONTRATADA garantir a sua licitude e idoneidade, sob pena de arcar com as perdas e danos que eventualmente possa causar, sem prejuízo das demais sanções aplicáveis.
3.1. A CONTRATADA deverá corrigir, completar, excluir e/ou bloquear os Dados Pessoais, caso seja solicitado pelo Grupo Boticário.
3.2. Sempre que necessário, a CONTRATADA se compromete a incluir, em suas políticas de privacidade ou outros instrumentos firmados com o intuito de fornecer transparência ao Titular sobre o Tratamento de seus Dados Pessoais, referências claras sobre as atividades de Tratamento de Dados Pessoais que serão e são realizadas no âmbito deste Contrato, informando ao Titular sobre as finalidades para as quais o Dado Pessoal será tratado, com quem ele é compartilhado, medidas de segurança aplicadas, prazos de retenção dos Dados e canal para que o Titular possa exercer seus direitos previstos nas Leis de Proteção de Dados Pessoais.
4. Atuação restrita. A CONTRATADA deverá realizar o tratamento os Dados Pessoais de acordo e nos limites das finalidades previstas no Contrato e neste Anexo, ficando proibido o uso para fins diversos daqueles expressamente autorizados, incluindo o armazenamento não autorizado das informações em base de dados própria ou, ainda, o compartilhamento dos Dados Pessoais com terceiros.
4.1. O Grupo Boticário não autoriza a CONTRATADA a usar, compartilhar ou comercializar quaisquer eventuais elementos de dados, produtos ou subprodutos que se originem ou sejam criados a partir do tratamento de Dados Pessoais estabelecido no Contrato ou neste Anexo.
5. Exercício de Direitos. Caso algum Titular dos Dados Xxxxxxxx Tratados no âmbito do Contrato questione a CONTRATADA sobre o Tratamento de seu Dado Pessoal realizado pelas Partes e/ou solicite a confirmação, acesso, alteração, atualização, correção, portabilidade ou exclusão de seu Dado Pessoal, a CONTRATADA deverá imediatamente, ou em prazo não superior a 24 (vinte e quatro) horas contado de seu recebimento, informar a CONTRATANTE, por escrito sobre tal solicitação, para que a CONTRANTANTE possa tomar todas as medidas necessárias para atendimento à referida requisição e/ou para fiscalizar a CONTRATADA no atendimento da referida requisição. A CONTRATADA deverá proceder ao atendimento da requisição feita pelo Titular dos Dados Pessoais somente após autorização escrita da CONTRANTANTE, de forma gratuita e sem demora injustificada. No caso de solicitação de exclusão dos Dados Pessoais, a CONTRATADA compromete-se a agir conforme o procedimento estabelecido na cláusula abaixo “Retenção e Exclusão dos Dados”. Caso a requisição seja feita pelo Titular diretamente a CONTRANTANTE, este comunicará a CONTRATADA, que se compromete a tomar as medidas indicadas pela CONTRANTANTE.
6. Propriedade dos Dados. O Contrato celebrado entre as Partes e o presente Anexo não transferem à CONTRATADA a propriedade ou controle dos dados do Grupo Boticário ou dos clientes deste, inclusive Dados Pessoais (“Dados”). Os Dados gerados, obtidos ou coletados a partir da execução do objeto do Contrato são e continuarão sendo propriedade, única e exclusiva do Grupo Boticário e suas Empresas Afiliadas, inclusive qualquer novo elemento de Dados, produto ou subproduto que seja criado a partir do tratamento de Dados estabelecido pelo Contrato.
7. Confidencialidade dos Dados Pessoais. A CONTRATADA, incluindo todos os seus colaboradores, compromete- se a tratar os Dados Xxxxxxxx como se Informações Confidenciais fossem, exceto se já eram de conhecimento público sem qualquer contribuição da CONTRATADA, ainda que o Contrato venha a ser resolvido e independentemente dos motivos que derem causa ao seu término ou resolução.
7.1. A CONTRATADA deverá garantir o acesso aos Dados Pessoais e/ou Dados Estratégicos tão somente àqueles seus empregados que tenham necessidade de tal acesso para fins de execução do Contrato.
8. Subcontratação de operadores. A CONTRATADA somente poderá subcontratar qualquer parte do escopo
contratado, que envolva o tratamento de Dados Pessoais, para um ou mais terceiros (“Suboperadores”) mediante
atendimento integral das condições de subcontratação previstas no Contrato, cabendo ainda à CONTRATADA celebrar um contrato escrito com o Suboperador para (i) obrigar o Suboperador às mesmas obrigações impostas pelo Contrato e por este Anexo em relação à CONTRATADA, no que for aplicável aos serviços subcontratados, sem que isso implique em diminuição de responsabilidade da CONTRATADA perante o Grupo Boticário; e (ii) descrever as medidas técnicas e organizacionais que o Suboperador deverá implementar.
9. Obrigações de Segurança. A CONTRATADA deverá implementar medidas técnicas e organizacionais apropriadas de segurança para proteger os Dados Pessoais e Dados Estratégicos contra tratamento não autorizado e perda ou danos acidentais, acesso ou revelação acidental ou ilegal, conforme descrito neste Anexo (“Salvaguardas de Dados Pessoais e Dados Estratégicos"), garantindo que seus controles, políticas e procedimentos internos estão em consonância com as regras estabelecidas neste Anexo e, ainda, que realizará backup e plano de recuperação de dados em caso de incidente com as informações veiculadas e armazenadas pela CONTRATADA.
9.1. A CONTRATADA deverá manter procedimentos para detectar e responder a Incidentes de Segurança da Informação, inclusive se comprometendo a cooperar com o Grupo Boticário na investigação do Incidente de Segurança da Informação e, considerando natureza dos serviços prestados e as informações disponíveis à CONTRATADA, prestará ao Grupo Boticário assistência necessária com respeito às obrigações de notificação sobre violações nos termos das Leis de Proteção de Dados Pessoais aplicáveis.
9.2. Os acessos concedidos à CONTRATADA que impliquem no tratamento de Xxxxx Xxxxxxxx deverão ser respeitados conforme definição, de modo que quando pessoais não deverão ser compartilhados mesmo que por colaboradores da CONTRATADA.
10. Salvaguardas de Dados Pessoais e Dados Estratégicos. As salvaguardas de dados apresentadas pelo Grupo Boticário estabelecem as medidas técnicas e organizacionais que o Grupo Boticário e a CONTRATADA seguirão com relação à manutenção da segurança dos Dados Pessoais e Dados Estratégicos do Grupo Boticário com relação ao Contrato. Em caso de conflito entre estas Salvaguardas de Dados e quaisquer termos e condições estabelecidos no Contrato, os termos e condições destas Salvaguardas de Dados prevalecerão. A implementação e conformidade com essas Salvaguardas de Dados e quaisquer medidas de segurança adicionais estabelecidas no Contrato são projetadas para fornecer um nível de segurança apropriado ao risco em relação ao processamento dos Dados Pessoais.
11. Padrões de Controle recomendados. A CONTRATADA deverá seguir e manter medidas técnicas e organizacionais apropriadas, controles internos e rotinas de segurança da informação destinadas a proteger o conteúdo do Grupo Boticário, incluindo os Dados Pessoais do Titular/Cliente, contra acesso, divulgação, alteração, perda ou destruição acidental, não autorizada ou ilegal. Adicionalmente, a CONTRATADA deverá manter políticas, normas e procedimentos conforme melhores práticas de mercado e aplicará e cumprirá com tais políticas na prestação do escopo contratado. Tais políticas governarão e controlarão dentro dos ambientes da CONTRATADA. Exemplos de tais políticas incluem:
A. Segurança de Sistemas
i. Utilizar padrões de mercado para criptografar os dados durante o seu transporte e repouso.
ii. Disponibilizar ferramentas de proteção no processo de autenticação como por exemplo Duplo Fator de autenticação, mecanismos anti-automação ou outros de acordo com a necessidade do Grupo Boticário.
iii. Manter logs de auditoria nos ambientes que armazenam e manipulam os dados do Grupo Boticário.
iv. Manter políticas de complexidade, comprimento e expiração de chaves de acesso aos ambientes, seguindo melhores práticas do mercado;
v. Seguir melhores práticas para desenvolvimento seguro de Software (OWASP, NIST entre outros).
vi. Disponibilizar ferramentas para a anonimização de dados.
vii. Utilizar padrões de mercado para que as integrações entre os ambientes não permitam a manipulação manual de dados.
viii. Disponibilizar ambiente restrito para o armazenamento dos dados do Grupo Boticário.
B. Segurança da Informação
i. Designar um responsável para responder aos itens relacionados à Segurança da Informação.
ii. Instruir periodicamente os colaboradores internos e parceiros sobre os procedimentos e política de segurança;
iii. Manter ferramentas de proteção bem como atualização de segurança para prevenir contra-ataques e acessos não autorizados.
C. Gestão de Dados
i. Manter um inventário de todas as mídias nas quais o Conteúdo do Cliente está armazenado.
ii. A proteção dos dados deve estar relacionada a sua criticidade, e o acesso a ao dado deve ser restrito.
iii. O descarte de mídias e componentes deverá seguir as melhores práticas de mercado.
iv. Limitar o uso e acesso aos dados do Grupo Boticário somente para o escopo do serviço contratado.
D. Disponibilidade
i. Manter procedimentos e rotinas de backup e de restore para a recuperação de conteúdo em caso de necessidade.
ii. Manter planos de contingência para os ambientes que processam os dados do Grupo Boticário.
E. Gestão de acessos
i. Limitar acesso aos dados somente a pessoas autorizadas e que façam parte do escopo do contrato com os devidos privilégios.
ii. Manter políticas e procedimentos para a concessão, manutenção e revogação de acesso aos ambientes da CONTRATADA;
iii. Seguir padrões e melhores prática de mercado para que os acessos sejam individuais e identificados.
iv. Disponibilizar estrutura para que a autenticação seja integrada as credenciais de rede do Grupo Boticário sempre que for necessário.
12. Tratamento de dados no exterior. Todo e qualquer tratamento de Dados Pessoais fora do Brasil dependerá de autorização prévia e por escrito pela CONTRATADA ao Grupo Boticário.
13. Notificação. A CONTRATADA deverá informar o Grupo Boticário imediatamente após a ciência (i) diante de qualquer Incidente de Segurança da Informação ou de privacidade, inclusive em casos que seja verificada a iminência de sua ocorrência, independentemente da quantidade de titulares possivelmente afetados; (ii) caso seja determinado judicialmente a obrigação de revelar quaisquer Dados Pessoais e/ou Dados Estratégicos; (iii) em caso de qualquer descumprimento das obrigações contratuais relativas ao tratamento dos Dados Pessoais, causada pela CONTRATADA ou por seus Suboperadores; (iv) de qualquer transferência internacional não anteriormente notificada
13.1. A CONTRATADA deverá notificar formalmente o Grupo Boticário nos casos destacados informando minimamente (i) detalhes técnicos do incidente (ii) possíveis consequências do incidente; (ii) quantidade de titulares possivelmente afetados.
13.2. A comunicação de incidentes ao Grupo Boticário deve ser feita exclusivamente através do canal de comunicação de incidentes de privacidade, disponível em xxxxx://xxxxxxxxx.xxxxxxxxxxxxxx.xxx.xx/.
14. Colaboração. A CONTRATADA compromete-se a auxiliar o Grupo Boticário (i) caso este precise fornecer informações (incluindo os detalhes dos serviços prestados pela CONTRATADA) para uma autoridade de fiscalização competente, na medida em que tais informações se encontrem sob posse da CONTRATADA, e qualquer outra assistência para documentar e eliminar as causas e os riscos impostos por quaisquer violações de segurança; e (ii) no cumprimento das obrigações decorrentes do exercício dos direitos dos titulares de Dados Pessoais, principalmente por meio de medidas técnicas e organizacionais adequadas.
14.1. A CONTRATADA não deverá responder, de forma independentemente e sem prévio alinhamento com o Grupo Boticário, os pedidos de autoridade de fiscalização competente que envolvam Dados Pessoais do Grupo Boticário, tampouco os pedidos dos Titulares clientes do Grupo Boticário.
15. Documentação, auditorias e inspeções. O Grupo Boticário poderá, mediante notificação com 05 (cinco) dias de antecedência, realizar, durante horário comercial e às próprias custas, processo de auditoria junto à CONTRATADA, a fim de assegurar o atendimento das obrigações previstas no Contrato, neste Anexo e na legislação aplicável, podendo realizar visitas in loco, solicitar documentos e/ou informações, inclusive acerca de boas práticas adotadas. A CONTRATADA disponibilizará ao Grupo Boticário o acesso e às informações solicitadas para demonstrar o cumprimento das suas obrigações. As regras das auditorias e inspeções do Grupo Boticário (ou terceiros contratados por este) serão realizadas conforme processo e prazos mutuamente acordados, concebido para evitar a interrupção dos serviços e proteger Dados Pessoais, Dados Estratégicos e demais informações confidenciais do Grupo Boticário e da CONTRATADA.
16. Avaliações de impacto de privacidade e proteção de Dados Pessoais. Quando aplicável, considerando a natureza dos serviços prestados e as informações disponibilizadas à CONTRATADA, a CONTRATADA compromete-se a prestar assistência ao Grupo Boticário para realização das avaliações de impacto à privacidade e à proteção de Dados Pessoais no que diz respeito ao tratamento de Dados Pessoais no âmbito do Contrato, conforme exigido pelas Leis de Proteção de Dados Pessoais aplicáveis.
17. Uso de Dados Comerciais. Ambas as partes tratarão Dados comerciais uma da outra para fins de gerenciamento de contratos, processamento de pagamentos, oferta de serviços e desenvolvimento de negócios relacionados ao propósito e necessários à execução do Contrato.
17.1. A CONTRATADA declara-se ciente que os Dados comerciais por ela fornecidos poderão ser compartilhados pelo Grupo Boticário, respeitadas as finalidades previstas nesta Cláusula, com as Empresas Afiliadas.
18. Retenção e exclusão de Dados Pessoais e Dados Estratégicos. No caso de encerramento do Contrato ou a pedido do Grupo Boticário, a CONTRATADA deverá (i) devolver todas as informações e Dados Pessoais que estiverem armazenados consigo em formato adequado e legível e/ou (ii) excluir os Dados Pessoais, inclusive de backups, evidenciando e/ou declarando a eliminação das informações à Grupo Boticário. Em adição, a CONTRATADA não deverá guardar, armazenar ou reter os Dados por tempo superior ao prazo legal ou necessário para a execução do Contrato.