ANEXO DE CONTRATO DE PROCESSAMENTO DE DADOS PARA OS TERMOS E CONDIÇÕES DE VENDA PADRÃO ELEKTA
ANEXO DE CONTRATO DE PROCESSAMENTO DE DADOS PARA OS TERMOS E CONDIÇÕES DE VENDA PADRÃO ELEKTA
SEÇÃO 1: TERMOS
1. CONTEXTO E OBJETIVO. Dentro do escopo do Contrato, o Fornecedor terá acesso e processará Dados Pessoais para os quais o Cliente é o Controlador de Dados. Isso significa que o Fornecedor é um Processador de Dados de acordo com a Legislação de Proteção de Dados aplicável. O objetivo deste CPD é o cumprimento dos requisitos da Legislação de Proteção de Dados para um contrato por escrito entre o Fornecedor e o Cliente.
2. DEFINIÇÕES. A menos que seja definido de outra forma, os termos usados neste CDP devem ter o mesmo significado que na Legislação de Proteção de Dados:
“Controlador de Dados” significa qualquer pessoa que, sozinha ou em conjunto com outros, determine os propósitos e meios do Processamento de Dados Pessoais;
“Legislação de Proteção de Dados” significa todas as leis e regulamentos aplicáveis ao Processamento de Dados Pessoais nos termos do Contrato, incluindo, mas não se limitando a:
a) Estados membros da União Europeia: o Regulamento Geral de Proteção de Dados (UE) 2016/679 (“GDPR”) e qualquer legislação nacional aplicável que implemente o GDPR.
b) Reino Unido: Lei de Proteção de Dados de 2018.
c) Argentina: os Princípios de Privacidade da Argentina, conforme o definido na Lei Argentina de Proteção de Dados Pessoais 25 326.
d) Austrália: Princípios de privacidade australianos, conforme definido na Lei de Privacidade da Austrália de 1988 (Cth).
e) Brasil: “LGPD” ou Lei Geral de Proteção de Dados, Lei Nº 13.709/2018.
f) Califórnia: Lei de Privacidade do Consumidor da Califórnia ("CCPA", sigla derivada do termo em inglês "California Consumer Privacy Act" ).
g) Canadá: Lei Federal de Proteção de Informações Pessoais e Documentos Eletrônicos ("PIPEDA", sigla derivada do termo em inglês "Federal Personal Information Protection and Electronic Documents Act" ).
h) Chile: Lei chilena 19.628 sobre a Proteção da Vida Privada.
i) Colômbia: Lei colombiana 1581 de 2012 e Decreto 1074 de 2015.
j) México: Lei Federal Mexicana sobre a Proteção de Xxxxx Xxxxxxxx em poder de Partes Privadas.
k) Japão: Lei Japonesa de Proteção de Informações Pessoais e diretrizes relevantes emitidas pela Comissão de Proteção de Informações Pessoais do Japão.
l) Coreia do Sul: Lei Coreana de Proteção de Dados Pessoais e Lei sobre Utilização de Redes de Informações e Comunicações e Proteção de Informações.
“Processador de Dados” significa qualquer pessoa que processa Dados Pessoais em nome do Controlador de Dados;
“CPD” significa este Contrato de Processamento de Dados;
“Dados Pessoais” significa qualquer informação que, direta ou indiretamente, possa identificar uma pessoa física viva, conforme definido pela Legislação de Proteção de Dados;
"Processamento", “Processar” significa qualquer operação ou conjunto de operações realizadas em relação aos Dados Pessoais, sejam ou não realizadas por meios automatizados, por exemplo, coleta, gravação, organização, armazenamento, adaptação ou alteração, recuperação, coleta, uso, divulgação por transmissão, disseminação ou de outra forma disponibilização, alinhamento ou combinação, bloqueio, apagamento ou destruição de informações;
“Subprocessador” significa um subcontratado contratado pelo Fornecedor. O Subprocessador processa Dados Pessoais em nome do Cliente de acordo com a obrigação do Subprocessador de fornecer seus serviços ao Fornecedor.
3. COMPROMISSO E INSTRUÇÃO. O Fornecedor compromete-se a processar os Dados Pessoais a que tenha acesso nos termos do Contrato em nome do Cliente, para efeitos de cumprimento do Contrato. O Fornecedor compromete-se ainda a:
(a) Processar os Dados Pessoais de acordo com o Contrato e quaisquer outras instruções documentadas do Cliente. No entanto, o Fornecedor pode, sem instruções, Processar as informações exigidas por quaisquer leis aplicáveis, mas deve informar o Cliente de tal requisito antes do Processamento, desde que o Fornecedor não seja proibido de fornecer tais informações de acordo com tais leis aplicáveis;
(b) garantir que as pessoas autorizadas a Processar os Dados Pessoais se comprometeram com a confidencialidade ou estejam sob uma obrigação legal de confidencialidade apropriada;
(c) implementar todas as medidas técnicas, físicas, administrativas e organizacionais necessárias para garantir um nível de segurança adequado ao risco, conforme exigido de acordo com a Legislação de Proteção de Dados;
(d) auxiliar o Cliente, tendo em conta a natureza do Processamento, através da implementação de medidas técnicas, físicas, administrativas e organizacionais adequadas, na medida do possível, para o cumprimento da obrigação do Cliente de responder e cumprir os pedidos dos titulares dos dados no exercício das suas direitos previstos na Legislação de Proteção de Dados;
(e) auxiliar o Cliente a garantir o cumprimento das obrigações da Legislação de Proteção de Dados relativas à implementação de medidas de segurança, gerenciamento de violações de Dados Pessoais, realização de avaliações de impacto de privacidade de dados e participação em consultas prévias com a autoridade supervisora, em todos os momentos levando em consideração a natureza do Processamento e informação à disposição do Fornecedor; e
(f) notificar prontamente ao Cliente qualquer violação de Xxxxx Xxxxxxxx (incidente de segurança), para que o Cliente possa cumprir com suas obrigações nos termos da Legislação de Proteção de Dados de notificar a autoridade supervisora e/ou os titulares dos dados em alguns casos. O Fornecedor deverá, a
pedido do Cliente, fornecer qualquer outra informação razoavelmente solicitada pelo Cliente para auxiliar o Cliente no cumprimento da Legislação de Proteção de Dados relevante e/ou questionamentos da autoridade supervisora.
4. AUDITORIA. O Xxxxxxxxxx deve conceder ao Cliente acesso às informações razoáveis necessárias para demonstrar que as obrigações estabelecidas neste CPD são cumpridas. O Cliente deverá notificar por escrito ao Fornecedor com pelo menos sessenta (60) dias corridos de antecedência de qualquer auditoria. As auditorias devem ser organizadas durante o horário normal de trabalho do Fornecedor. O Fornecedor deve facilitar e participar das auditorias, incluindo inspeções, realizadas pelo Cliente ou por uma autoridade governamental ou por um terceiro autorizado pelo Cliente. Se o Cliente usar um terceiro para realizar a auditoria, esse terceiro não deve ser um concorrente do Fornecedor e deve assumir o sigilo em relação às informações comerciais do Fornecedor. O Xxxxxxxxxx deverá informar e consultar prontamente o Cliente no caso de uma autoridade supervisora iniciar ou tomar qualquer ação em relação ao Fornecedor com relação ao Processamento de Dados Pessoais nos termos do Contrato ou deste CPD.
5. ENVOLVIMENTO DE SUBPROCESSADORES. O Cliente dá ao Fornecedor uma autorização geral para contratar como Subprocessadores, a fim de apoiar o cumprimento do Contrato: quaisquer outras entidades que de tempos em tempos estejam sob propriedade e controle comuns da empresa controladora do Fornecedor, Elekta AB ("Afiliadas").
O Cliente concede ao Fornecedor e às Afiliadas uma autorização geral para nomear os seguintes tipos de Subprocessadores para apoiar o cumprimento do Contrato: O Fornecedor e suas Afiliadas nos ramos de nuvem e engenharia de software e outras empresas que fornecem tecnologia da informação e consultoria de segurança e serviços de suporte; operadoras terceirizadas de data center e fornecedores de serviços terceirizados de suporte técnico.
Os Subprocessadores contratados no momento da assinatura do CPD estão listados na Seção 2. No entanto, o Fornecedor deve informar o Cliente de quaisquer planos relativos à contratação de novos Subprocessadores ou substituição de Subprocessadores, de modo que o Cliente tenha a oportunidade de se opor a tais mudanças.
Caso o Fornecedor contrate um Subprocessador para o Processamento de Dados Pessoais em nome do Cliente, o Fornecedor e o Subprocessador devem celebrar um contrato de Processamento de dados por escrito que imponha ao Subprocessador obrigações equivalentes as especificadas neste CPD. Caso o Fornecedor contrate um Subprocessador fora do país onde o Cliente esteja baseado, os fundamentos legais para a transferência para um país terceiro devem ser garantidos, por exemplo, por meio da celebração de um contrato de transferência de dados apropriado. Nesse caso, o Fornecedor, pelo presente instrumento, recebe o mandato e a missão de celebrar um contrato de transferência de dados em nome do Cliente. O Fornecedor é responsável, em todos os aspectos, pelo Subprocessador e por si mesmo.
6. OBRIGAÇÃO DE EXCLUIR DADOS PESSOAIS. Os Dados Pessoais não devem ser armazenados por um período mais longo do que o necessário para realizar a finalidade original do Processamento.
Quando um aplicativo permite que o Cliente migre os Dados Pessoais mantidos pelo aplicativo e o Cliente concorda em migrar todos e quaisquer Dados Pessoais antes da rescisão do Contrato, o Fornecedor deve envidar esforços comerciais razoáveis para permitir que o Cliente use a função de
migração até o término do Contrato. Quando o Contrato for rescindido com efeito imediato devido à violação do Cliente, o Fornecedor deverá envidar esforços comerciais razoáveis para permitir que o Cliente use a função de migração no período de 10 dias após tal rescisão.
Para aplicativos em que nenhuma funcionalidade de migração está disponível para uso independente pelo Cliente, o Cliente e o Fornecedor devem colaborar para transferir todos e quaisquer Dados Pessoais ao Cliente para fins de arquivamento após o término ou rescisão do Contrato. O Fornecedor não é obrigado a armazenar nenhum dos Dados Pessoais do Cliente após o término do Contrato. O Fornecedor deverá, em no máximo 30 dias após o término do Contrato, excluir efetivamente todos os Dados Pessoais. Para os fins desta disposição, a exclusão efetiva significa que os dados são excluídos de acordo com os padrões da indústria de práticas recomendadas, de forma que os Dados Pessoais não possam ser reconstruídos usando nenhuma tecnologia conhecida.
Sem limitar o acima exposto, a qualquer momento durante a vigência deste CPD, o Fornecedor excluirá efetivamente os Dados Pessoais na medida solicitada pelo Cliente.
A obrigação de excluir Dados Pessoais não se aplica se o armazenamento de Dados Pessoais for exigido de acordo com a Legislação de Proteção de Dados, for necessário para cumprir as obrigações do Fornecedor nos termos do Contrato ou se o Fornecedor for obrigado por outras leis aplicáveis a reter os dados.
7. DANOS. A responsabilidade total do Fornecedor pelo seu desempenho nos termos deste CPD não deve exceder o preço pago pelo Cliente nos termos do Contrato nos doze (12) meses imediatamente anteriores à reclamação que tenha dado origem à responsabilidade. Para evitar dúvidas, multas administrativas são impostas à Parte em violação de suas obrigações e, em consequência, nenhuma das Partes arcará com as multas administrativas da outra Parte.
8. COMPENSAÇÃO. As Partes concordam que a remuneração do Fornecedor nos termos do Contrato não inclui compensação pelas medidas e atividades do Fornecedor necessárias para cumprir o CPD. O Fornecedor terá direito a uma compensação de forma tempestiva e material por qualquer trabalho e custos documentados para medidas e atividades praticadas a fim de cumprir seus compromissos sob o CPD.
9. VIOLAÇÃO. Caso o Fornecedor viole suas obrigações nos termos do CPD, o Fornecedor deve remediar a violação no prazo de trinta (30) dias a partir da notificação da violação, ou dentro do prazo acordado entre as Partes.
10. VIGÊNCIA. O CPD entra em vigor no início do Contrato e permanece em vigor enquanto o Fornecedor Processar os Dados Pessoais em nome do Cliente. Quando o Contrato expirar ou for rescindido, o Fornecedor deve, com base nas instruções do Cliente, excluir ou devolver ao Cliente, de forma aceitável para o Cliente, todos os Dados Pessoais e excluir as cópias existentes, a menos que o armazenamento de Dados Pessoais seja necessário de acordo com qualquer leis aplicáveis ou de outra forma permitido nos termos deste CPD.
11. CONFLITOS. Este CPD constitui o acordo e entendimento integral das Partes e substitui qualquer acordo anterior entre as Partes com relação ao objeto deste CPD. Não obstante o acima exposto, para clientes dos EUA, os termos e condições deste CPD aplicam-se além daqueles no Contrato de
Parceiro Comercial e, em caso de conflito entre este CPD e o Contrato de Parceiro Comercial, os termos e condições deste CPD deverão prevalecer.
SEÇÃO 2: INSTRUÇÕES PARA O PROCESSAMENTO DE DADOS PESSOAIS
O Processamento de Dados Pessoais do Cliente pelo Fornecedor pode variar dependendo dos Produtos, aplicativos de Software e/ou Serviços adquiridos pelo Cliente ou licenciados pelo Fornecedor, da seguinte forma:
1. OS OBJETIVOS DO PROCESSAMENTO
O Fornecedor processará os Dados Pessoais do Cliente na medida necessária para cumprir o Contrato com o Cliente, para melhorar e desenvolver ainda mais seus Produtos e Serviços (ou seja, para avaliar a usabilidade), ou conforme acordado de outra forma entre o Cliente e o Fornecedor por escrito.
Além disso, em relação ao Elekta Axis e ao software baseado em nuvem da Elekta:
a) Para a Kaiku Health:
O Fornecedor oferece ao Cliente um serviço baseado em nuvem para monitoramento e gerenciamento digital de pacientes, usado por pacientes e funcionários do Cliente. Os usuários pacientes podem relatar sobre sua saúde e bem-estar usando métricas predefinidas (dados relatados pelo paciente), como sintomas ou qualidade de vida, receber lembretes, notificações e instruções relacionadas ao relato das métricas predefinidas e acessar materiais do paciente fornecidos pelo hospital ou relevantes terceiros. Os usuários profissionais de saúde podem atribuir pacientes a Módulos de Gerenciamento e Monitoramento de Pacientes predefinidos e individualizados; receber, inserir e visualizar as métricas do paciente (por exemplo, métricas e sintomas de qualidade de vida); e visualizar painéis em pacientes individuais e populações de pacientes de métricas predefinidas.
b) Para MOSAIQ® Oncology Analytics (na Elekta Axis):
O Fornecedor fornece o MOSAIQ Oncology Analytics, uma solução baseada em nuvem hospedada pelo Fornecedor usando a plataforma Microsoft Azure.
Para orientar e apoiar o Cliente na definição/configuração de relatórios personalizados por meio da extração de dados (incluindo Dados Pessoais) do(s) sistema(s) MOSAIQ do Cliente e outros sistemas, o Fornecedor também pode Processar Dados Pessoais. O objetivo do Cliente é otimizar as operações clínicas e identificar tendências, ineficiências, utilizações de recursos, analisar resultados e possíveis economias de custo.
c) Para MOSAIQ SmartClinic (em Elekta Axis):
O MOSAIQ SmartClinic fornece acesso móvel a um conjunto de funções do MOSAIQ e a um Resumo do Paciente. Para o MOSAIQ SmartClinic em Elekta Cloud, o Fornecedor fornece ao Cliente uma solução baseada em nuvem hospedada pelo Fornecedor usando a plataforma Microsoft Azure.
Além da mobilidade, também contém recursos “Inteligentes” que facilitam a visualização, navegação, automação e notificação de atividades que precisam de processos para gerenciar o atendimento ao paciente.
d) Para ProKnow (em Elekta Axis):
O Fornecedor fornece ao Cliente um RT-PACS ("Radiation Therapy Picture/Patient Archiving and Communication System", ou Sistema de Comunicação e Arquivamento de Imagens de Terapia de Radiação) baseado em nuvem, hospedado pelo Fornecedor usando a plataforma Microsoft Azure. O ProKnow é capaz de arquivar dados de pacientes, gerenciar informações de planejamento de tratamento e realizar grandes análises de coorte com foco nos dados e imagens específicos para pacientes de radiação oncológica.
Em relação ao atendimento de pedidos e Serviços remotos:
e) Para Atendimento de Pedidos e Serviços no local:
O Fornecedor pode estar no local nas instalações do Cliente para realizar serviços de atendimento de pedidos, incluindo, mas não se limitando a, planejamento do local, instalação, desinstalação de Produtos Elekta e/ou fornecimento no local de serviços de manutenção e suporte. O Cliente tomará medidas razoáveis para proteger a confidencialidade e privacidade dos Dados Pessoais. Caso o Fornecedor seja exposto a quaisquer Dados Pessoais, os termos e condições deste CPD serão aplicados.
f) Para IntelliMax:
O Fornecedor fornece ao Cliente acesso remoto via Elekta IntelliMax com a capacidade de transferir arquivos para fornecer suporte técnico e manutenção preditiva de produtos Elekta. Nenhuma informação pessoal de saúde (PHI) ou Dados Pessoais são ativamente processados (acessados, visualizados, armazenados, etc.) pelo Fornecedor, a menos que o Cliente os exiba no produto final durante a sessão ou os transfira ao Fornecedor. Caso o Fornecedor seja exposto a quaisquer Dados Pessoais, os termos e condições deste CPD serão aplicados.
2. CATEGORIAS DE ATIVIDADES DE PROCESSAMENTO
As atividades de Processamento podem incluir:
a) Armazenamento/hospedagem de Dados Pessoais em banco de dados de relatórios proprietários (Elekta Axis no Microsoft Azure).
b) Suporte local e remoto para assistência e manutenção em equipamentos de radiocirurgia e radioterapia oncológica fornecidos pelo Fornecedor.
c) Gerenciamento e resposta às solicitações de atendimento ao Cliente. Isso pode incluir:
- Escalonamento de solicitações de serviço;
- Resolução de problemas e serviço remoto para equipamentos;
- Gerenciamento de reparo externo, renovação ou descarte de equipamentos ou componentes defeituosos
d) Fornecimento de suporte técnico para os produtos relevantes;
e) Desenvolvimento e implementação de protocolos de imagem customizados para o Cliente;
f) Fornecimento de serviços adicionais ou avançados aos quais o Cliente se inscreveu;
g) Integração de sistemas, migração de dados e operações de instalação (CT, PACS, etc.);
h) Extração, transformação e carregamento (ETL) de dados pessoais de sistemas relevantes;
i) Os dados do Cliente podem incluir acesso ao aplicativo, informações de registro de auditoria, uso de recursos do aplicativo, etc;
j) Facilitação de relatórios para Clientes;
k) Análise dos dados do paciente a fim de fornecer análises ao Cliente, conforme descrito no Contrato;
l) Exportação/transferência de dados pessoais de uma solução baseada em nuvem para fins de arquivamento ou análise offline. Isso geralmente é feito pelo Cliente;
m) Computação, networking e armazenamento em um ambiente de nuvem;
n) Melhoria, aprimoramento e desenvolvimento de produtos e serviços;
o) Fornecimento de suporte de serviço remoto e gerenciamento de instalações de TI (monitoramento e suporte de plataforma e aplicativos e manutenção de equipamentos);
p) Fornecimento engenharia de software, manutenção de software, manutenção de sistemas, incluindo o gerenciamento da disponibilidade, latência, escalabilidade e eficiência dos Serviços;
q) Anonimizar os Dados Pessoais processados para fornecer o Serviço de acordo com a descrição do Serviço (ou seja, para treinar modelos de inteligência artificial) e para melhorar e desenvolver o serviço (ou seja, para avaliar a usabilidade). Para a Kaiku Health, o Fornecedor pode usar os dados anônimos para desenvolver o Serviço e transferir dados anônimos para terceiros (por exemplo, seus parceiros, como empresas de ciências biológicas) para uso em pesquisa e desenvolvimento e vigilância pós-mercado. O Fornecedor é responsável por garantir o anonimato dos dados anonimizados. A descrição das técnicas de anonimização aplicadas está disponível mediante solicitação.
- CATEGORIAS DE TITULARES DE DADOS
✓ Funcionários do Cliente
✓ Funcionários do Fornecedor ou funcionários do subprocessador do Fornecedor
✓ Dados de pacientes do Cliente
- CATEGORIAS DE DADOS PESSOAIS
a) No que diz respeito aos funcionários do Cliente e funcionários do Fornecedor, o Fornecedor pode Processar Dados Pessoais e informações de contato (por exemplo, e-mail, número de telefone etc.), bem como nome e localização da instituição em que o exame/serviço tenha sido realizado e nome de funcionários do Cliente que executem um exame ou arquivos de registro e entradas feitas nos Serviços pelo funcionário do Cliente/Fornecedor.
b) Em relação aos pacientes do Cliente, o Fornecedor pode Processar:
- Informações fornecidas ao Serviço pelo titular dos dados (como formulários e mensagens);
- Dados fornecidos ao Serviço pelos funcionários do Cliente, relativos ao atendimento, monitoramento ou planejamento do atendimento ao titular dos dados;
- Dados obtidos pelo Cliente em outras bases de dados, relativos ao atendimento, monitoramento ou planejamento do atendimento ao titular dos dados;
- Dados Pessoais e informações de contato (ou seja, e-mail, número de telefone, endereço, Parente Próximo, Contato de Emergência, Etnia, Religião);
- Informações sociais (estado civil; Tabaco, Álcool, Uso de Drogas, etc.);
- Dados Pessoais relacionados com a saúde do paciente. Isso pode incluir:
o Estado de saúde do paciente e dados de diagnóstico;
o Parâmetros / configurações do equipamento e, em particular: peso, altura, temperatura, idade (em anos ou data de nascimento), sexo, frequência cardíaca, protocolo de aquisição de imagens, dose de radiação, número de imagens, resultados de exames;
o Parâmetros e descrição de protocolos e procedimentos de exame;
o Números de exame / série / imagem ou outros valores de exame gerados por um sistema e atribuídos pelo equipamento para cada exame;
o Imagens da anatomia de um paciente;
o Informações sobre o tratamento, incluindo: Diagnóstico; Labs; Sinais Vitais, Avaliações; Informações do documento transacional; Pedidos; Compromissos; Lista de Verificação de Qualidade; Cobranças; Nomes de Provedor, IDs de Provedor, informações de contato do Provedor.
Os dados do paciente podem incluir Informações de Saúde Protegidas (PHI), conforme definido na legislação dos EUA e quaisquer outras atividades relacionadas ao atendimento ao paciente. De acordo com o GDPR da UE ou legislação aplicável, esses dados podem se enquadrar na definição de categoria especial de dados pessoais.
- SUBPROCESSADORES E LOCAIS ONDE O SUBPROCESSAMENTO É REALIZADO
Os seguintes Subprocessadores podem atualmente ser contratados pelo Fornecedor e o Cliente aprova a contratação pelo Fornecedor desses Subprocessadores para o desempenho das atividades de Processamento: Elekta AB e suas Afiliadas de tempos em tempos, incluindo, sem limitação:
• Elekta Limited, Reino Unido
• Elekta Inc, EUA
• Elekta B.V., Holanda
• Elekta Instrument AB, Suécia
Dependendo da localização do Cliente, Afiliadas Elekta adicionais podem fornecer suporte local (por exemplo, suporte ao idioma, manutenção e suporte de software de licença, desenvolvimento de aplicativos, testes, e suporte, e fornecimento de alcance e suporte ao Cliente).
Microsoft
Parametric Technology UK Ltd Salesforce
Servicemax Dell Boomi Hytec
3. MEDIDAS DE SEGURANÇA TÉCNICA E ORGANIZACIONAL O Fornecedor deve cumprir suas obrigações e ações nos termos desse CPD com a devida habilidade, cuidado e diligência.
O Fornecedor deve empregar medidas de segurança técnicas e organizacionais adequadas para evitar os danos que podem resultar de
qualquer Processamento, perda, destruição, dano, alternância ou divulgação não autorizados ou ilegais dos Dados Pessoais levando em conta a natureza dos Dados Pessoais que devem ser protegidos.
O Cliente reconhece e concorda que a natureza dos Serviços significa que as medidas técnicas e organizacionais podem ser atualizadas pelo Fornecedor de tempos em tempos, mas tais atualizações não devem resultar em um padrão de segurança inferior ao vigente no momento da assinatura deste CPD
Caso o Fornecedor tome conhecimento de qualquer não conformidade com os requisitos de segurança estabelecidos acima, seja dentro de sua própria organização ou dentro da organização do subcontratado, tal não conformidade deve ser notificada ao Cliente de acordo com o procedimento de violação de Dados Pessoais estabelecido neste CPD.