ACORDO PARA TRATAMENTO DE DADOS PESSOAIS - DATA PROCESSING AGREEMENT (DPA)
ACORDO PARA TRATAMENTO DE DADOS PESSOAIS - DATA PROCESSING AGREEMENT (DPA)
O presente Acordo para Tratamento de Dados Pessoais (“DPA”) é celebrado entre a CONTRATANTE, devidamente qualificada no Contrato de Prestação de Serviços e/ou Ordem de Serviço, doravante denominada “CONTRATANTE”, e EVEO S.A., sociedade anônima, com sede na cidade de São Paulo, Estado de São Paulo, na Rua Bacaetava, nº 401, 12º andar, Vila Gertrudes, CEP 04.705- 010, neste ato representada na forma do seu Estatuto Social, doravante denominada simplesmente CONTRATADA.
CONTRATANTE e CONTRATADA serão doravante denominadas, em conjunto, simplesmente “PARTES”, e, de forma genérica e individual, simplesmente “PARTE”;
CONSIDERANDO QUE:
I. AS PARTES CELEBRARAM UM CONTRATO DE PRESTAÇÃO DE SERVIÇOS E/OU ORDEM DE SERVIÇO PARA QUE A CONTRATADA FORNEÇA QUALQUER DAS SOLUÇÕES DISPONÍVEIS NO WEBSITE DA CONTRATANTE;
II. DENTRO DO ESCOPO DESSA RELAÇÃO, A CONTRATADA PODERÁ TRATAR DADOS PESSOAIS PERTENCENTES A CONTRATANTE ORIUNDOS DA SOLUÇÃO CONTRATADA;
III. A LEI GERAL DE PROTEÇÃO DE DADOS (“LGPD”) ESTABELECE REGRAS E DIRETRIZES QUE DEVERÃO NORTEAR O TRATAMENTO DE DADOS PESSOAIS;
AS PARTES firmam o presente DPA a fim de estabelecer os requisitos mínimos de proteção de dados que deverão ser observados em conexão com o desempenho das atividades descritas no presente instrumento ou na medida em que, de outra forma, tratem DADOS PESSOAIS no âmbito das relações contratuais.
Salvo disposição em contrário posteriormente, no caso de qualquer conflito, os termos deste DPA prevalecerão.
CLÁUSULA PRIMEIRA - OBJETO
1.1. Constitui objeto deste DPA o tratamento de dados e/ou armazenamento de toda e qualquer informação e/ou dados pessoais relacionados à contratação dos serviços prestados pela Contratada, em especial a solução denominada BACKUP AS A SERVICE, que será implementada no ambiente definido pelo Contratante.
CLÁUSULA SEGUNDA - DEFINIÇÕES
2.1. Neste DPA, as expressões em letra maiúscula, no singular ou plural, terão os significados especificados abaixo:
(a) LGPD: Lei Geral de Proteção de Xxxxx Xxxxxxxx (Lei Federal nº 13.709/18), que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
(b) CONTROLADOR(A): qualquer pessoa natural ou jurídica, de direito público ou privado, a quem competem
as decisões referentes ao tratamento.
(c) DADOS PESSOAIS: qualquer informação relacionada a uma pessoa física identificada ou identificável.
(d) DADOS PESSOAIS SENSÍVEIS: DADOS PESSOAIS sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculados a uma pessoa física.
(e) OPERADOR(A): qualquer pessoa natural ou jurídica, de direito público ou privado, que realiza o
tratamento em nome do CONTROLADOR.
(f) SUBOPERADOR(A): qualquer pessoa natural ou jurídica, de direito público ou privado, que auxilia o OPERADOR a realizar o tratamento de dados pessoais em nome do CONTROLADOR.
(g) TITULAR: pessoa natural a quem se referem os DADOS PESSOAIS ou DADOS PESSOAIS SENSÍVEIS que são objeto de tratamento.
(h) TRATAMENTO: qualquer operação ou conjunto de operações realizadas com DADOS PESSOAIS ou DADOS PESSOAIS SENSÍVEIS, por meios automáticos ou não automáticos, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
(i) VIOLAÇÃO: violação ou incidente de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a DADOS PESSOAIS e/ou DADOS PESSOAIS SENSÍVEIS transmitidos, armazenados ou tratados de outra forma.
(j) ANPD: Autoridade Nacional de Proteção de Dados, órgão da administração pública, responsável pela implementação, zelo, fiscalização e cumprimento da LGPD em todo território nacional, bem como pela interação com órgãos de outros países.
CLÁUSULA TERCEIRA - AGENTES DO TRATAMENTO
3.1. As PARTES estabelecem que a CONTRATANTE figurará como CONTROLADORA, ao passo que a CONTRATADA
figurará como OPERADORA de todos os DADOS PESSOAIS disponibilizados e tratados no âmbito deste DPA.
CLÁUSULA QUARTA - CONFORMIDADE COM A LEGISLAÇÃO DE PROTEÇÃO DE DADOS
4.1. As PARTES deverão estar sempre em conformidade com a legislação de proteção de dados, aí consideradas todas as leis, regulamentos e requisitos vigentes de orientação regulamentar, em qualquer jurisdição, relacionados à proteção de dados, privacidade e confidencialidade de DADOS PESSOAIS, em especial à LGPD.
CLÁUSULA QUINTA - TERMOS DO TRATAMENTO
5.1. Ao realizar o TRATAMENTO em nome da CONTRATANTE, a CONTRATADA deverá:
(a) Tratar os DADOS PESSOAIS apenas para fins de prestação dos serviços e de acordo com as instruções da CONTRATANTE, e para nenhum outro fim, a menos que exigido pela legislação vigente a qual a CONTRATADA esteja sujeita. Nesse caso, a CONTRATADA deverá informar à CONTRATANTE, por escrito, sobre essas obrigações legais antes de iniciar o TRATAMENTO, a menos que a lei proíba tal informação por motivos importantes de interesse público.
(b) Informar imediatamente à CONTRATANTE se, na sua opinião, qualquer instrução em relação ao TRATAMENTO viola a legislação de proteção de dados vigente e aplicável.
(c) Garantir que todos os seus funcionários, bem como terceirizados e parceiros de negócio, inclusive, mas não se limitando, ao(s) seu(s) SUBOPERADOR(ES), que realizam TRATAMENTO em execução da prestação de serviços, estejam sujeitos a obrigações de confidencialidade adequadas e em conformidade com a legislação de proteção de dados vigente e aplicável.
(d) Gerenciar o acesso aos DADOS PESSOAIS, se aplicável, fornecendo o acesso estritamente necessário à prestação dos serviços, nos termos deste DPA, garantindo, ainda, a segurança, integridade, confidencialidade e rastreabilidade do acesso.
(e) Quando aplicável, implementar medidas de segurança, técnicas e administrativas que sejam capazes de proteger os DADOS PESSOAIS contra o acesso não autorizado e a destruição acidental ou ilegal, perda, modificação, comunicação ou qualquer outra forma de TRATAMENTO inadequado ou ilegal.
(f) Assegurar que todos os meios de TRATAMENTO, incluindo o tratamento por fornecedores ou SUBOPERADOR(ES), dentre outros, estejam de acordo com a legislação de proteção de dados vigente e aplicável, aí incluídas todas as normas de proteção de dados e orientações e códigos de prática emitidos pela ANPD ou outro órgão administrativo competente.
(g) Não divulgar ou transferir DADOS PESSOAIS a quaisquer terceiros sem o consentimento prévio por escrito da CONTRATANTE, exceto quando tal divulgação ou transferência for a um terceirizado ou parceiro de negócio da CONTRATADA, para a execução dos serviços contratados, responsabilizando-se pela escolha e assegurando que respectivo parceiro seguirá toda legislação, normas e regulamentos de proteção de dados, bem como regulamentações e orientações emitidos pela ANPD.
(h) Quando aplicável, responsabilizar-se por seus atos ou omissões, bem como os de seus funcionários, prepostos e SUBOPERADOR(ES), com relação às atividades de TRATAMENTO no âmbito da prestação de serviços e do presente DPA celebrado com a CONTRATANTE.
(i) Notificar a CONTRATANTE, sem demora injustificada, ou, mais tardar, nos prazos estabelecidos por regulamentação da ANPD, sobre qualquer solicitação da parte de TITULARES, para exercer os direitos de acordo com a legislação de proteção de dados vigente e aplicável.
(j) Notificar a CONTRATANTE, sem demora injustificada, ou, no mais tardar, nos prazos estabelecidos por regulamentação da ANPD, sobre qualquer solicitação de informações ou requisições da ANPD ou de outra autoridade competente, em relação aos DADOS PESSOAIS tratados no âmbito deste DPA.
(k) Xxxxxxxx toda a assistência à CONTRATANTE, dentro de seus limites técnicos, para que esta cumpra com suas obrigações relativas aos direitos dos TITULARES, avaliação de impacto da proteção de dados pessoais, bem como requisições realizadas por autoridades competentes, em especial à ANPD, nos termos da LGPD e regulamentação aplicável.
(l) Disponibilizar prontamente à CONTRATANTE todas as informações adequadamente necessárias para que
esta cumpra com as obrigações de manutenção dos registros relativos às atividades de TRATAMENTO.
(m) Realizar o TRATAMENTO somente nos locais e/ou regiões estabelecidos neste DPA, ou em contratos específicos, e não alterá-los sem o consentimento prévio e por escrito da CONTRATANTE.
5.2. A CONTRATANTE deverá:
(a) Fornecer todas as instruções devidas para que a CONTRATADA possa exercer sua atividade como operadora de dados, quando aplicável. Tais instruções deverão ser fornecidas através do Console disponível;
(b) Assumir a responsabilidade e meios técnicos para que a CONTRATADA tenha acesso seguro e monitorado aos dados pessoais e informações contidas nos Bancos de Dados e sistemas onde as ferramentas da CONTRATADA estão instaladas, quando aplicável.
(c) Responsabilizar-se pela precisão, qualidade e legalidade dos seus dados, bem como pela legalidade da forma como tais dados foram adquiridos e tratados, já que a CONTRATADA não possui qualquer ingerência sobre tais informações, considerando que é responsável tão somente
pelo armazenamento de tais informações.
(d) Garantir que o compartilhamento de DADOS PESSOAIS com a CONTRATADA será realizado dentro dos parâmetros autorizativos da LGPD e de regulamentação aplicável.
(e) Responsabilizar-se pela devida informação e garantia dos direitos dos TITULARES com relação às atividades de tratamento de dados pessoais.
(f) Evitar, por meios razoáveis e tecnicamente possíveis, o compartilhamento de DADOS PESSOAIS que violem direitos fundamentais dos TITULARES ou que sejam ilícitos, fraudulentos, ou que violem, de qualquer forma, a legislação brasileira, incluindo direitos autorais, propriedade industrial ou privacidade de terceiros.
(g) Implementar as medidas e/ou controles segurança aplicáveis em seus próprios ambientes,
considerando que a CONTRATADA não tem ingerência sobre tais ferramentas e/ou soluções.
CLÁUSULA SEXTA -TRANSFERÊNCIA INTERNACIONAL DOS DADOS PESSOAIS
6.1. A CONTRATADA não poderá transferir dados pessoais para um país terceiro ou para uma organização internacional fora do território brasileiro, a menos que a CONTRATANTE tenha especificamente solicitado ou aprovado para fazê-lo e/ou nos casos em que a transferência seja necessária para a execução do presente DPA.
6.2. Nos casos aplicáveis, a CONTRATADA deverá assegurar que a respectiva transferência preenche os requisitos dispostos no art. 33º, IX, da LGPD e nas regulamentações da ANPD, bem como se responsabilizará por quaisquer consequências decorrentes da operação.
CLÁUSULA SÉTIMA - AUDITORIA
7.1. A CONTRATADA fornecerá à CONTRATANTE toda a documentação e acesso necessário para demonstrar cumprimento às obrigações previstas na legislação aplicável e neste DPA, devendo, ainda, permitir que a CONTRATANTE, a ANPD e/ou outro órgão e/ou auditor, encarregado por estas, possam auditar a conformidade deste DPA.
CLÁUSULA OITAVA - VIOLAÇÃO
8.1. No caso de a CONTRATADA identificar a ocorrência de uma VIOLAÇÃO que possa causar dano relevante ao TITULAR, de acordo com a LGPD e as regulamentações emitidas pela ANPD, deverá notificar à CONTRATANTE em até 72 (setenta e duas) horas. A notificação não deverá ser interpretada como reconhecimento de qualquer falha ou responsabilidade em relação à ocorrência.
8.2. A CONTRATADA não divulgará qualquer informação sobre a VIOLAÇÃO envolvendo os DADOS PESSOAIS compartilhados pela CONTRATANTE, a menos que tenha sido acordado entre as PARTES, ou esteja obrigada por determinação da ANPD ou outra autoridade competente, nos termos da legislação vigente e aplicável.
CLÁUSULA NONA - MEDIDAS DE REMEDIAÇÃO E INDENIZAÇÃO
9.1. No caso de VIOLAÇÃO, a CONTRATADA deverá realizar todos os esforços de remediação exigidos pela
legislação vigente ou pela ANPD. Tais esforços de remediação incluem, mas não se limitam, a:
(i) investigação e resolução das causas e impactos da VIOLAÇÃO;
(ii) o desenvolvimento e fornecimento de avisos, aprovados pela CONTRATANTE, aos TITULARES afetados, se aplicável;
(iii) fornecimento de relatórios gratuitos, além de produtos de restauração de identidade para indivíduos
afetados; e
(iv) outras medidas que a CONTRATANTE determine serem sensatas e proporcionais à natureza e ao nível
da gravidade do incidente.
9.2. A CONTRATADA responderá pelos danos causados pelo tratamento, quando descumprir as obrigações da
legislação de proteção de dados ou quando não tiver seguido as instruções lícitas e escritas da CONTRATANTE.
9.3. Caso a CONTRATANTE venha a ser acionada, seja administrativa, judicial ou extrajudicialmente, em razão do tratamento de dados realizado pela CONTRATADA, incluindo, mas não se limitando em situações de incidentes de segurança, a CONTRATADA deverá envidar os melhores esforços para excluir a CONTRATANTE da referida demanda, sem prejuízo de ressarcimento de quaisquer despesas, custas, multas, indenização e/ou ônus que a CONTRATANTE vier a suportar, limitados ao valor anual do contrato.
CLÁUSULA DÉCIMA - RESCISÃO DO CONTRATO E DESTINAÇÃO DOS DADOS PESSOAIS
10.1. Após encerrada a finalidade para a qual foi celebrado este DPA, e, consequentemente, com o término do tratamento de DADOS PESSOAIS pelas PARTES, a CONTRATADA se compromete a excluir ou devolver todos os DADOS PESSOAIS com ela compartilhados, de acordo com a escolha da CONTRATANTE, podendo mantê-los, eventualmente, apenas nas hipóteses previstas pela legislação aplicável.
10.2. As disposições constantes deste DPA continuarão vigentes, mesmo após o término do TRATAMENTO, pelo tempo que a CONTRATADA ou seu(s) SUBOPERADOR(ES), diretos ou indiretos, tiverem a custódia, o controle ou a posse dos DADOS PESSOAIS compartilhados ou coletados em decorrência da celebração de eventual contrato específico.
CLÁUSULA DÉCIMA PRIMEIRA - FORO
11.1. Para dirimir eventuais dúvidas ou questões relativas a este DPA, as PARTES elegem o foro da Comarca de São Paulo/SP.