ACORDO DE TRATAMENTO DE DADOS PESSOAIS
DPA Controlador x Operador
ACORDO DE TRATAMENTO DE DADOS PESSOAIS
Contrato (“Contrato”) | [inserir nome do contrato] |
Data do Contrato | [inserir a data de celebração] |
Contratante (“Controlador”) | Pirelli Comercial de Pneus Ltda. (“Pirelli”) |
Contratada (“Operador”) | [inserir razão social da Contratada] |
Controlador e Operador, doravante em conjunto denominados simplesmente como “Partes”, ou isoladamente, “Parte”.
Este Acordo de Tratamento de Dados Pessoais (“Acordo”) se aplica às atividades de Tratamento de Dados Pessoais
(conforme definido abaixo) realizadas em razão do Contrato e o integra para todos os fins de direito.
Quaisquer termos iniciados em letras maiúsculas e não definidos de outra forma neste Acordo terão o significado atribuído a eles no Contrato ou na LGPD. Exceto conforme modificado abaixo, os termos do Contrato permanecerão em pleno vigor e efeito.
1. Definições
1.1 Neste Acordo, os seguintes termos terão os significados definidos abaixo:
1.1.1 “Leis e Regulamentos de Proteção de Dados” significam qualquer lei e regulação, incluindo qualquer decisão publicada por qualquer Autoridade Fiscalizadora competente, aplicável ao Tratamento dos Dados Pessoais que ocorra no contexto do Contrato;
1.1.2 “LGPD” significa Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados, e suas respectivas alterações posteriores);
1.1.3 “Dados Pessoais” significam qualquer informação relacionada a pessoa natural identificada ou identificável. Neste Acordo a definição também inclui qualquer Dado Pessoal compartilhado pelo Controlador para Tratamento pela Contratada ou qualquer um de seus Suboperadores, incluindo Dados Pessoais Sensíveis, no contexto do Contrato;
1.1.4 “Tratamento de Dados Pessoais” significa qualquer operação realizada com Dados Pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
1.1.5 “Serviços” significam os serviços e outras atividades que serão fornecidas ou realizadas pela ou em nome da Contratada para a Contratante, nos termos do Contrato;
1.1.6 “Suboperador” significa qualquer pessoa natural ou jurídica que, em nome do Operador, irá tratar os Dados Pessoais em nome do Controlador, nos termos do Contrato;
1.1.7 Colaborador(es)” significa qualquer empregado, funcionário, inclusive subcontratados ou terceirizados, representantes ou prepostos, remunerado ou sem remuneração, em regime integral ou parcial, que atue em nome das Partes e que tenha acesso a Dados Pessoais;
1.1.8 “Autoridades Fiscalizadoras” significa qualquer autoridade, inclusive judicial, competente para fiscalizar, julgar e aplicar a legislação pertinente, incluindo, mas não se limitando à ANPD;
1.1.9 “ANPD” significa a Autoridade Nacional de Proteção de Dados no Brasil, conforme definido na LGPD; e
1.1.10 “Incidente de Segurança” significa qualquer evento adverso de segurança ou um conjunto deles, confirmado ou sob suspeita que impacte a disponibilidade, integridade, confidencialidade ou a autenticidade de um ativo de informação. No caso do presente Acordo, a expressão referir-se-á a incidentes envolvendo Xxxxx Xxxxxxxx.
2. Tratamento de Dados Pessoais do Controlador
2.1. A execução do Contrato pressupõe o compartilhamento de Dados Pessoais pelo Controlador para a Contratada, que atuará como Operador. O Operador se compromete, em relação às atividades de Tratamento de Dados Pessoais realizadas no contexto do Contrato, a:
2.1.1. Tratar os Dados Pessoais de acordo com todas as Leis e Regulamentos de Proteção de Dados aplicáveis, inclusive as que entrarem em vigor após a assinatura deste Acordo;
2.1.2. Tratar apenas os Dados Pessoais do Controlador necessários para a execução do Contrato, e apenas para as finalidades previstas no Apêndice 1 (quando preenchido), exceto nos casos em que o Tratamento for necessário para o cumprimento de obrigações legais ou regulatórias a que se sujeite o Operador. Caso o Operador entenda que outras atividades de Tratamento são necessárias para a execução do Contrato, deverá requerer a aprovação prévia, por escrito, do Controlador. O Operador deve abster-se de realizar as novas atividades de Tratamento até que o Controlador manifeste sua concordância por escrito;
2.1.3. Comunicar imediatamente o Controlador caso o Operador tenha acesso, no contexto da execução do Contrato, a Dados Pessoais excessivos ou não necessários à execução do Contrato, devendo inutilizar tais Dados Pessoais;
2.1.4. Cooperar com o Controlador no devido cumprimento das obrigações referentes ao exercício dos direitos dos Titulares previstos na LGPD e no atendimento a eventuais solicitações de Autoridades Fiscalizadoras; e
2.1.5. Notificar imediatamente o Controlador em caso de qualquer alteração relacionada à segurança, privacidade e/ou práticas que possam impactar as obrigações assumidas por meio da assinatura deste Acordo.
2.2. É vedado ao Operador:
2.2.1. Copiar, transferir, duplicar, ou realizar qualquer ação que vise à criação de um novo banco de dados contendo os Dados Pessoais do Controlador fora do escopo inicialmente contratado com, ou autorizado, por escrito, pelo Controlador;
2.2.2. Utilizar qualquer tipo de ferramenta, tecnologia, engenharia reversa ou qualquer outro método que vise identificar os Titulares dos Dados Pessoais, nos casos em que o Controlador tenha compartilhado os Dados Pessoais de forma a não ser possível a identificação direta dos Titulares sem que haja o cruzamento com outras informações ou com o acesso à chave de identificação; e
2.2.3. Anonimizar os Dados Pessoais do Controlador que foram disponibilizados ao Operador no contexto do Contrato e utilizá-los, de forma anonimizada, para outras finalidades que não previstas no Contrato e neste Acordo.
3. Dos Colaboradores do Operador
3.1. O Operador deverá assegurar que o acesso e o Tratamento dos Dados Pessoais do Controlador realizados no contexto do Contrato fiquem restritos aos Colaboradores responsáveis pelo Tratamento, de acordo com a cláusula
2.1.2 deste Acordo, bem como que tais Colaboradores:
3.1.1. Tenham ciência dos princípios referentes à proteção de dados e às leis que envolvem o Tratamento; e
3.1.2. Tenham responsabilidade ao executar atividades que envolvam o acesso e Tratamento de Dados Pessoais, informações confidenciais e de propriedade dos Agentes de Tratamento;
3.2. O Operador deverá assegurar que todos os Colaboradores estejam sujeitos a contratos de sigilo ou obrigações profissionais ou estatutárias de confidencialidade e proteção de dados.
4. Segurança
4.1. O Operador implementará medidas técnicas, administrativas e organizacionais adequadas e compatíveis com as atividades de Tratamento realizadas. Para avaliar o nível apropriado de segurança, o Operador deverá levar em conta os riscos que são apresentados pelo Tratamento, em particular aqueles relacionados a Incidentes de Segurança.
4.2. O Controlador estabelece, por escrito, os critérios mínimos de segurança que considera necessários à execução do Contrato, que deverão ser adotados pelo Operador, conforme o Apêndice 2. Tais critérios não limitam a obrigação do Operador de adotar medidas de segurança adicionais, bem como não eximem o Operador em seu dever de garantia de segurança da informação.
4.3. O Operador se compromete a realizar regularmente testes, avaliações e verificações da efetividade das medidas técnicas, administrativas e organizacionais para assegurar a segurança dos processos que envolvam o tratamento dos Dados Pessoais do Controlador.
5. Suboperador
5.1. O Operador não poderá realizar qualquer atividade de Tratamento em nome do Controlador por meio de terceiros Suboperadores, salvo (i) em caso de Suboperadores autorizados por meio do Apêndice 3 (se existente), conforme cláusula 5.3; ou (ii) quando autorizado por escrito pelo Controlador.
5.2. Quando qualquer atividade de Tratamento a ser realizada por um Suboperador for autorizada pelo Controlador, o Operador deverá garantir que as obrigações presentes neste Acordo estender-se-ão ao Suboperador. O Operador deverá, em relação ao Suboperador, ainda:
5.2.1. Preservar a integridade e precisão dos Dados Pessoais do Controlador, devendo atualizar, corrigir ou deletar tais dados a pedido do Controlador;
5.2.2. Verificar que cada Suboperador tenha condições de garantir um nível de proteção de Dados Pessoais, no mínimo, equivalente a este Acordo e providenciar evidências dessa verificação para o Controlador;
5.2.3. Celebrar, por escrito, contrato com cada Suboperador, cujo teor deverá incluir disposições, no mínimo, equivalentes a este Acordo;
5.2.4. Ser responsável por todas as ações e omissões do Suboperador em relação ao tratamento de Dados Pessoais do Controlador;
5.2.5. Apresentar, quando requerido pelo Controlador cópia dos contratos firmados entre Operador e Suboperador, devidamente assinados, podendo tarjar as informações confidenciais, comerciais ou concorrencialmente sensíveis.
5.3. O Operador deve fornecer notificação prévia por escrito ao Controlador sobre seu interesse de indicar qualquer novo Suboperador que não se enquadre nas exceções da cláusula 5.1, incluindo detalhes completos do Tratamento a ser realizado pelo Suboperador. O Controlador poderá, a seu exclusivo critério, aprovar ou não a contratação de Suboperador, manifestação essa que se dará por escrito ao Operador. O Operador não contratará com, nem divulgará quaisquer Dados Pessoais do Controlador para o Suboperador proposto, caso não tenha sido aprovado pelo Controlador.
6. Transferência Internacional de Dados
6.1. Caso seja necessário, única e exclusivamente para prestação dos Serviços, a realização de Transferência Internacional de Dados Pessoais por parte do Operador, e caso o país de destino não possua nível adequado de proteção de Dados Pessoais conforme determinações da ANPD, o Operador deverá garantir que a Transferência Internacional seja realizada de acordo com um dos mecanismos previstos pela LGPD e demais Leis e Regulamentos de Proteção de Dados.
7. Direitos do Titular
7.1. O Operador deverá auxiliar o Controlador no cumprimento das obrigações relacionadas ao exercício dos direitos dos Titulares dos Dados Pessoais, de acordo com as Leis e Regulamentos de Proteção de Dados. O Operador deverá garantir que os Suboperadores que participam das atividades de Tratamento contribuam nos mesmos termos.
7.2. O Operador deverá:
7.2.1. Notificar imediatamente o Controlador em caso de recebimento de solicitação de Titular de Dados, quando relacionada a qualquer atividade de Tratamento realizada em nome do Controlador, no contexto do Contrato; e
7.2.2. Abster-se de responder qualquer solicitação de Titular de Dados relacionada à atividade de Tratamento realizada em nome do Controlador, sem que o Controlador tenha manifestado, por escrito, concordância com o teor da resposta a ser apresentada ao Titular.
8. Incidente de Segurança
8.1. Quando o Operador identificar a ocorrência ou suspeita de ocorrência de um Incidente de Segurança deverá notificar o Controlador, imediatamente e por escrito, com informações suficientes (no mínimo, descrição do ocorrido, Titulares afetados, data, causa, possíveis impactos aos Titulares de Dados Pessoais do Controlador, ações de mitigação adotadas e próximos passos) para que o Controlador possa cumprir com eventuais exigências impostas pelas Leis e Regulamentos de Proteção de Dados.
8.2. O Operador, além de enviar a notificação, deverá apresentar em até 48 (quarenta e oito) horas um plano de resposta ao Incidente de Segurança para aprovação do Controlador.
8.3. O Operador, às suas próprias custas, investigará as causas e as consequências do Incidente de Segurança e tomará as medidas necessárias para remediar suas consequências, informando prontamente o Controlador de todas as ações tomadas.
8.4. O Operador deverá manter registro dos Incidentes de Segurança, contendo pelo menos (a) descrição da natureza do Incidente de Segurança, (b) descrição das consequências do Incidente de Segurança e (c) descrição das medidas tomadas ou propostas pelo Operador para tratar do Incidente de Segurança.
8.5. O Operador não divulgará qualquer informação sobre o Incidente de Segurança, a menos que seja expressamente autorizado a fazê-lo pelo Controlador, ou esteja obrigado por determinação de Autoridades Fiscalizadoras ou pelas Leis e Regulamentos de Proteção de Dados.
9. Autoridades Fiscalizadoras
9.1. O Operador deverá cooperar com o Controlador no cumprimento de obrigações ou solicitações impostas por qualquer Autoridade Fiscalizadora competente.
9.2. O Operador deverá informar imediatamente ao Controlador acerca do recebimento de solicitações de informações ou determinações por Autoridades Competentes relacionadas a qualquer atividade de Tratamento realizada no contexto do Contrato. Quando essas solicitações ou determinações estiverem relacionadas aos Dados Pessoais do Controlador, o Operador submeterá sugestão de resposta para validação do Controlador dentro do prazo legal ou determinado pelas Autoridades Competentes.
10. Exclusão e devolução dos Dados Pessoais do Controlador
10.1. O Operador deverá, sempre que solicitado por escrito pelo Controlador, inclusive com o Término do Contrato,
(i) interromper o Tratamento dos Dados Pessoais do Controlador, e/ou (ii) eliminar completamente os Dados Pessoais elencados pelo Controlador, bem como todas as cópias porventura existentes (seja em formato digital ou físico), exceto quando a manutenção dos Dados Pessoais for necessária para o cumprimento de obrigação legal ou regulatória, devendo fornecer declaração confirmando essas providências.
10.2. O Operador deverá, com o término do Contrato, mediante solicitação por escrito do Controlador, devolver ao Controlador uma cópia completa de todos os Dados Pessoais do Controlador, mediante transferência segura e em formato interoperável ou proprietário do Controlador.
10.3. O Operador deverá fornecer certificação por escrito para o Controlador de que cumpriu integralmente esta seção, dentro de 30 dias corridos do Data do Término, guardando seus logs e outra comprovação de exclusão e/ou devolução, os quais podem ser solicitados a qualquer momento pelo Controlador.
11. Direito de Auditoria
11.1. O Operador concorda que o Controlador terá o direito, a qualquer momento, durante a vigência do Contrato e/ou durante todo o período em que o Operador e/ou Suboperador retiver os Dados Pessoais do Controlador, de realizar avaliação interna ou auditoria para confirmar que o Operador e/ou Suboperador está agindo em conformidade com este Acordo, mediante notificação ao Operador com 10 (dez) dias de antecedência. A auditoria apenas poderá ser realizada por empregados do Controlador ou terceiro contratado, desde que seja assinado termo de confidencialidade com o Controlador.
11.2. O Operador deverá disponibilizar, a qualquer momento, todas as informações necessárias para demonstrar conformidade com este Acordo e com o Contrato, e deverá permitir e contribuir com as auditorias, incluindo verificações e inspeções periódicas, pelo Controlador ou por auditor enviado pelo Controlador, em relação ao Tratamento dos Dados Pessoais do Controlador. No caso de quaisquer falhas ou inconformidades de segurança encontradas durante tais auditorias, o Operador deverá tomar, às suas próprias custas, todas as ações necessárias para resolver as falhas ou inconformidades identificadas.
11.3. Caso o Operador não solucione as falhas ou inconformidades identificadas pelo Controlador, em prazo acordado pelas Partes, o Controlador poderá rescindir o Contrato.
12. Indenização
12.1. O Operador deverá indenizar, defender e isentar o Controlador e/ou suas filiais contra toda e qualquer responsabilidade, perda, reivindicação, dano, indenização, multa, penalidade e despesa (incluindo honorários advocatícios e custos decorrentes ou relacionados a qualquer ação, reivindicação ou alegação de terceiros) que decorrer do não cumprimento deste Acordo e/ou não cumprimento das Leis e Regulamentos de Proteção de Dados.
12.2. Caso a ANPD ou qualquer outra Autoridade Fiscalizadora impute sanções ao Controlador, relacionadas a este Acordo, e for constatada culpa, dolo ou outro elemento de responsabilidade do Operador e/ou Suboperador, o Operador deverá arcar com a penalidade financeira – quando for o caso - e/ou indenizar o Controlador, inclusive pelos danos reputacionais experimentados pelo Controlador ao longo do processo administrativo, judicial e/ou arbitral.
12.3. Este Acordo não gera responsabilidade solidária entre as Partes por quaisquer penalidades relacionadas às atividades de Tratamento realizadas no contexto do Contrato, devendo cada Parte ser responsabilizada individualmente no limite de suas atividades.
13. Responsabilidade
13.1. As obrigações de indenização do Operador de acordo com a Cláusula 12 serão adicionais, e não excluem qualquer obrigação de indenização que conste do Contrato.
13.2. Fica ainda estabelecido que o presente Acordo: (i) não gera qualquer limitação de responsabilidade do Operador das atividades de Tratamento de Dados Pessoais realizadas em nome do Controlador, no contexto do Contrato; e (ii) não impede o Controlador de exercer quaisquer direitos que possa ter em relação a este Acordo.
14. Termos Gerais
14.1. Sem prejuízo de eventuais disposições sobre mediação e jurisdição:
14.1.1. As Partes deste Acordo se submetem à escolha da jurisdição estipulada no Contrato com relação a quaisquer disputas ou reivindicações, de qualquer forma, decorrentes deste Acordo, incluindo disputas relativas à sua existência, validade ou rescisão ou as consequências de sua nulidade; e
14.1.2. Este Acordo e todas as obrigações extracontratuais ou outras decorrentes ou relacionadas a ele são regidas pelas leis do país ou território estipulado para este fim no Contrato.
14.2. Em caso de conflito entre as disposições deste Acordo e o Contrato ou qualquer outro documento firmado entre as Partes, especificamente em relação às atividades de Tratamento de Dados Pessoais, prevalecerão as disposições
deste Acordo, exceto nos casos em que documento superveniente seja firmado entre as Partes, declarando expressamente a subsidiariedade deste Termo.
14.3. Este Acordo poderá ser alterado pela vontade das Partes ou caso sobrevenha nova lei, regulação ou direcionamentos por parte da ANPD ou qualquer Autoridade Fiscalizadora que demande a alteração de suas disposições. As novas disposições deverão ser acordadas pelas Partes de boa-fé e sempre por escrito como termo aditivo a este Acordo.
14.4. Caso qualquer disposição deste Acordo seja considerada nula, inválida ou inexequível, as disposições remanescentes permanecerão válidas e em vigor. A disposição nula, inválida ou inexequível deve ser alterada para garantir a sua validade e eficácia, preservando as intenções das Partes.
14.5. Este Acordo permanecerá em vigor até que o Contrato seja rescindido por qualquer motivo.
14.6. Este Acordo sobreviverá à rescisão ou término do Contrato com relação às atividades de Tratamento dos Dados Pessoais do Controlador originadas pelo Contrato que continuem ocorrendo, mesmo após a rescisão ou término do Contrato, ainda que apenas para fins de cumprimento de obrigação legal ou regulatória.
Este Acordo é celebrado e torna-se parte integrante e obrigatória do Contrato, com efeitos a partir desta data, aplicando-se, porém, a todas as atividades de Tratamento de Dados Pessoais realizadas desde a data da celebração do Contrato.
[local, data]
Controlador | Operador |
Nome: | Nome: |
Cargo: | Cargo: |
Data: | Data: |
Testemunhas
Nome: | Nome: | |
Cargo: | Cargo: | |
Data: | Data: |
APÊNDICE 1 – Dados Pessoais Tratados e Finalidades
Selecione abaixo a(s) categoria(s) de titulares de dados cuja informações pessoais serão tratadas:
☐ Candidatos a vagas
☐ Empregados
☐ Familiares dos empregados
☐ Consumidores
☐ Ex-empregados
☐ Clientes (B2B)
☐ Clientes (B2C)
☐ Usuários
☐ Prestadores de serviço
☐ Fornecedores
☐ Visitantes
☐ Outros. Especificar:
Selecione abaixo a(s) natureza(s) de dados pessoais que serão tratados:
☐ Dados cadastrais
☐ Dados financeiros
☐ Dados relacionados a logins e senhas
☐ Dados de geolocalização
☐ Dados pessoais sensíveis (origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural)
☐ Dados de dependentes
☐ Dados profissionais
☐ Outros. Especificar:
Duração do tratamento: em regra a duração do tratamento irá durar até o encerramento da prestação de serviço, exceto nos casos em que a Pirelli indicar o contrário por escrito.
APÊNDICE 2 – Medidas de Segurança
Medidas técnicas e organizacionais para garantir a segurança dos dados
Abaixo estão listadas as medidas técnicas e organizacionais básicas que a Pirelli exige que os fornecedores que são operadores ("Fornecedores") adotem e implementem para garantir um nível apropriado de segurança dos dados pessoais da Pirelli ("Dados Pessoais da Pirelli"). A lista abaixo deve ser lida em conjunto com qualquer outro documento técnico, checklist ou certificação vigente entre a Pirelli e o Fornecedor sobre medidas técnicas e organizacionais aplicáveis ao tratamento dos Dados Pessoais da Pirelli.
Caso sejam necessárias alterações nas medidas técnicas e organizacionais básicas listadas abaixo, o Fornecedor deve notificar prontamente a Pirelli por escrito sobre tais alterações. Todas as alterações devem permanecer consistentes com as medidas gerais de segurança abaixo e nunca devem resultar em uma redução dessas medidas.
1. POLÍTICAS E PROCEDIMENTOS
O Fornecedor deve possuir políticas e/ou procedimentos relacionados às áreas listadas abaixo. Essas políticas e/ou procedimentos devem ser sujeitos a revisão periódica.
1.1. Responsabilidade
O Fornecedor deve identificar e comunicar à Pirelli os detalhes relevantes de um "Ponto de Contato" responsável pela segurança da TI dos ativos e sistemas utilizados para processar os Dados Pessoais da Pirelli. O Fornecedor também deve comunicar antecipadamente à Pirelli os contatos das pessoas responsáveis pela comunicação de violações de dados pessoais. Na medida do possível, o Fornecedor também deve garantir a disponibilidade contínua de tais recursos em regime 24hs - especialmente em casos de emergência.
1.2. Continuidade dos negócios
Requisitos de segurança devem ser garantidos, como o backup do sistema e o plano de continuidade de negócios, especialmente em relação aos ativos utilizados para processar os Dados Pessoais da Pirelli. Nesse sentido, o Fornecedor deve manter a capacidade de restaurar a disponibilidade e o acesso aos citados Dados imediatamente para evitar interrupções de serviço.
1.3. Treinamento e Instruções de Segurança
Devem ser realizadas atividades de treinamento dedicadas a melhorar a conscientização sobre segurança da TI aos empregados e colaboradores. Eles devem receber instruções detalhadas sobre o sigilo e a integridade de suas credenciais de acesso, bem como sobre a guarda diligente e proteção dos dispositivos e sistemas - com referência àqueles usados para processar os Dados Pessoais da Pirelli.
1.4. Registro e monitoramento
Os sistemas e ferramentas usados pelo Fornecedor para processar os Dados Pessoais da Pirelli devem ter mecanismos de registro e monitoramento. Em relação aos registros (logs), o Fornecedor deve gerar e manter registros pelo período exigido pelas leis aplicáveis (ou conforme acordado com a Pirelli) e, em qualquer caso, mantê-los por pelo menos 6 (seis) meses a partir de sua geração. Em relação ao monitoramento, o Fornecedor deve garantir a rastreabilidade de todas as operações realizadas nos Dados Pessoais da Pirelli por meio de seus sistemas e ferramentas, adotando e implementando medidas adequadas de rastreamento.
1.5. Prevenção de perda de dados
O Fornecedor deve possuir políticas e/ou procedimentos que evitem a exportação de dados fora de sua rede. Em caso de compartilhamento dos Dados Pessoais da Pirelli, o Fornecedor deve adotar medidas adequadas de confidencialidade.
1.6. Gerenciamento de Incidente de Segurança
O Fornecedor deve possuir políticas e/ou procedimentos relacionados ao gerenciamento de incidentes de segurança com dados pessoais. Estes, devem ser conhecidos por seus empregados e colaboradores e revisados e auditados periodicamente pelo Fornecedor.
2. GERENCIAMENTO DE ATIVOS
2.1. Inventário de Ativos
O Fornecedor deve possuir e manter atualizado um inventário de todos os ativos utilizados para processar os Dados Pessoais da Pirelli.
2.2. Proteção de Ativos
O Fornecedor deve proteger os ativos utilizados para processar os Dados Pessoais da Pirelli de acordo com os padrões internacionais e as melhores práticas. As medidas de proteção devem incluir, no mínimo: uso de software antivírus, firewalls, módulos IDS/IPS e soluções antispam.
2.3. Gerenciamento do ciclo de vida dos ativos
O Fornecedor deve garantir que todos os ativos que processam os Dados Pessoais da Pirelli, bem como qualquer solução de cibersegurança necessária na prestação de serviços à Pirelli (por exemplo, antivírus, firewalls, módulos IDS/IPS), estejam sempre atualizados com a última versão de software disponível. Quando as atualizações não forem possíveis ou ainda não tenham sido aplicadas, o Fornecedor deverá definir um plano de atualização e um plano geral de mitigação de riscos para gerenciar qualquer risco relevante relacionado à obsolescência do sistema (por exemplo, implementação de segregação, monitoramento, etc.).
2.4. Avaliações de risco de cibersegurança
O Fornecedor deve realizar uma avaliação de risco nos sistemas de TI usados para realizar os serviços para a Pirelli, especialmente levando em consideração todos os riscos apresentados pelo tratamento dos Dados Pessoais da Pirelli. Essa avaliação de risco deve ocorrer anualmente ou quando exigido pelas leis e regulamentos aplicáveis.
A pedido do Controlador, fornecer uma cópia dos resultados da última avaliação de risco realizada dentro de 3 (três) dias consecutivos após o pedido;
3. CRIPTOGRAFIA
3.1. Medidas de criptografia
Levando em consideração o estado da arte da tecnologia e das técnicas de criptografia, o Fornecedor deve implementar a criptografia em diferentes níveis:
• Criptografia em repouso: o Fornecedor deve possuir técnicas de criptografia adequadas para proteger a confidencialidade dos Dados Pessoais da Pirelli em repouso em diferentes níveis (por exemplo, criptografia de disco completo em unidades de massa; criptografia transparente de dados em bancos de dados; criptografia de nível de arquivo).
• Criptografia em trânsito: o Fornecedor deve possuir técnicas de criptografia adequadas para proteger a confidencialidade dos Dados Pessoais da Pirelli em trânsito (por exemplo, criptografia de rede, criptografia de aplicativos, etc.).
• Gerenciamento de chaves de criptografia: o Fornecedor deve possuir soluções adequadas e um processo definido para o gerenciamento de chaves de criptografia, garantindo pelo menos a segregação de propriedade entre proprietários de chaves e proprietários de dados.
• Gerenciamento de certificados de criptografia: o Fornecedor deve possuir soluções adequadas e um processo claro e documentado para o gerenciamento de certificados de criptografia. Esse processo deve ser desenvolvido de acordo com os requisitos definidos pelos padrões internacionais da indústria (por exemplo, comprimento mínimo das chaves de criptografia).
4. GERENCIAMENTO DE IDENTIDADE E ACESSO
4.1. Acesso aos Dados Pessoais da Pirelli
O Fornecedor deve garantir que os Dados Pessoais da Xxxxxxx possam ser acessados somente por pessoal autorizado com expertise e experiência apropriadas em matéria de proteção de dados e que o pessoal esteja sujeito a obrigações de confidencialidade.
O Fornecedor deve manter e atualizar regularmente uma lista de todas as pessoas (incluindo empregados, agentes ou contratados) que atuam sob sua autoridade ou sob a autoridade de quaisquer suboperadores e que têm acesso ou processam os Dados Pessoais da Pirelli.
4.2. Medidas e Princípios para identificação e autorização de usuários
O Fornecedor deve implementar sistemas para gerenciamento de autenticação e autorização de usuários. O Fornecedor deve atribuir as permissões mínimas de acesso aos Dados Pessoais da Pirelli de acordo com os princípios de "Privilégio mínimo e Necessidade de saber" (ou seja, permitindo o acesso apenas aos dados necessários para realizar a função designada). O Fornecedor também deve revisar as permissões para conceder aos usuários com base em sua função no processamento dos Dados Pessoais da Pirelli, bem como em conformidade com qualquer requisito regulatório aplicável sobre gerenciamento de identidade e acesso de usuários.
4.3. Revisão de perfil
O Fornecedor deve revisar a consistência e a presença de perfis de autorização de usuários pelo menos anualmente e deve acompanhar essa atividade quando se referir aos Dados Pessoais da Pirelli.
4.4. Segurança de credenciais
O Fornecedor deve adotar padrões internacionais e melhores práticas de segurança de credenciais em todos os ativos usados para processar os Dados Pessoais da Pirelli.
4.5. Credenciais individuais
O Fornecedor deve atribuir apenas credenciais individuais em quaisquer ativos usados para processar os Dados Pessoais da Pirelli (especialmente aqueles com amplas permissões em sistemas e aplicativos). A atribuição e o uso de credenciais compartilhadas são estritamente proibidos.
4.6. Ciclo de vida da identidade
O Fornecedor deve possuir um processo claro para o gerenciamento do ciclo de vida da identidade. Esse processo deve garantir que todas as credenciais utilizadas para acessar ativos usados para processar os Dados Pessoais da Pirelli expirem automaticamente após um período predeterminado de não utilização pelos usuários.
5. SEGURANÇA FÍSICA
5.1. Segurança dos Centros de Processamento de Dados ("CPDs")
O Fornecedor deve possuir medidas de segurança física desenvolvidas de acordo com os principais padrões e melhores práticas da indústria, como, no mínimo: instalação de alarmes e câmeras de segurança, tanto em relação às instalações quanto às entradas dos CPDs. O Fornecedor também deve possuir procedimentos para limitar o acesso físico aos CPDs (por exemplo, catracas anti-intrusão),
prevenindo atividades não autorizadas e relatando atividades de acesso (por exemplo, múltiplas tentativas de acesso malsucedidas).
5.2. Posicionamento dos CPDs
O Fornecedor deve, se aplicável, a pedido do Controlador, comunicar onde o(s) data center(s) usado(s) para armazenar os Dados Pessoais do Controlador está(ão) localizado(s) dentro de 3 (três) dias consecutivos após a solicitação, além de comunicar tempestivamente quaisquer alterações na localização.
6. SEGURANÇA EM CLOUD
6.1. Segurança da informação em sistema de cloud
O Fornecedor deve assegurar mecanismos de segurança atualizados e barreiras como antivírus, firewalls e procedimentos, além de garantir um adequado controle de acesso aos Dados Pessoais da Pirelli.
A criptografia, detalhada no item 3, deve ser igualmente garantida.
Os usuários que acessam a rede precisam ser constantemente alertados e treinados a respeito das condutas de risco.
7. OPERAÇÕES DE SEGURANÇA
7.1. Segurança do sistema
O Fornecedor deve possuir medidas adequadas para reduzir as vulnerabilidades dos ativos usados para processar os Dados Pessoais da Pirelli, aplicando configurações adequadas e evitando quaisquer alterações não autorizadas (por exemplo, controle de dispositivos removíveis).
7.2. Diretrizes de desenvolvimento de segurança
No caso de desenvolvimento de software usado para processar os Dados Pessoais da Pirelli, o Fornecedor deve adotar diretrizes de escrita de código seguro.
7.3. Gerenciamento de patches de segurança
O Fornecedor deve gerenciar a instalação e desinstalação de patches com um processo desenvolvido de acordo com as melhores práticas e padrões da indústria que garanta a rastreabilidade e o cronograma das atividades de correção.
7.4. Avaliação de vulnerabilidade
O Fornecedor deve fornecer evidências de atividades de avaliação de vulnerabilidade ou testes de penetração realizados em seus sistemas.
8. VIOLAÇÕES DE DADOS PESSOAIS
8.1. Notificação à Pirelli
Em caso de incidente de segurança referente aos Dados Pessoais da Xxxxxxx, o Fornecedor deve notificar imediatamente a Pirelli por meio do endereço Xxxxxxxx_Xxxx_Xxxxxx@xxxxxxx.xxx. O prazo para notificação da violação será o seguinte:
1. Informações-chave (notificação simples por e-mail incluindo pelo menos os elementos suficientes, no mínimo, descrição do ocorrido, titulares afetados, data, causa, possíveis impactos aos titulares, ações de mitigação).
2. Relatório completo (com base no Relatório de Incidente de Segurança disponível neste link ou, como alternativa, em um formato próprio, que inclua as informações solicitadas no Relatório de Incidente de Segurança da Pirelli, principalmente um plano de resposta ao incidente para a aprovação do Controlador): em até 48 horas após a notificação das informações-chave acima.
APÊNDICE 3 – Lista de Suboperadores
O Operador está autorizado a usar os seguintes Suboperadores: Nome: Click or tap here to enter text.
Endereço: Click or tap here to enter text.
Nome da Pessoa de Contato, posição e detalhes do contato: Click or tap here to enter text.
Descrição do tratamento: Click or tap here to enter text.