ANEXO H – TRATAMENTO DE DADOS PESSOAIS
ANEXO H – TRATAMENTO DE DADOS PESSOAIS
O presente Anexo de Tratamento de Dados Pessoais é parte integrante do [XXXXXXXX] (Nome do instrumento contratual) [XXXXXXXX] (Número do instrmento contratual), celebrado entre CEMIG D, e a (XXXXXXXX), doravante denominada PARTE CONTRATADA (denominação da parte contratada conforme tipo de instrumento contratual) (em conjunto “PARTES” e, isoladamente, “PARTE”), na data de assinatura.
CLÁUSULA 1 – DEFINIÇÕES
1.1. Para fins de interpretação deste Anexo, os termos definidos terão os seguintes significados:
Autoridade Nacional de Proteção de Dados ou ANPD: refere-se ao órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados (“LGPD”) em todo o território nacional;
Xxxxx Xxxxxxxx: refere-se a quaisquer informações relacionadas a uma pessoa física identificada ou identificável. Refere-se também aos Dados pessoais Sensíveis, quando mencionados indistintamente;
Xxxxx Xxxxxxxx Sensíveis: refere-se a Dados Pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Incidente: refere-se a qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de informação, que ocasione, de maneira acidental ou ilegal, à destruição, perda, alteração, acesso ou aquisição não autorizada, divulgação, utilização abusiva ou acesso a Dados Pessoais não criptografados, transmitidos, armazenados ou de algum modo tratado pela outra PARTE;
Leis de Proteção de Dados Pessoais: refere-se a todas as leis de proteção e privacidade de dados que se apliquem às PARTES e/ou ao presente instrumento incluindo, mas não se limitando, a Lei Geral de Proteção de Dados brasileira (Lei Federal nº 13.709/2018, conforme alterada pela Lei Federal nº 13.853/2019, Lei 14.010/2020 e demais alterações), o Marco Civil da Internet (Lei Federal nº 12.965/14) e demais regulamentos a serem emitidos pelas autoridades competentes;
Terceiro: refere-se a qualquer pessoa autorizada a tratar Xxxxx Xxxxxxxx, em nome de qualquer das PARTES, podendo, a depender
do contexto, ser qualificado como operador ou suboperador de Xxxxx Xxxxxxxx;
Tratamento: toda operação realizada com Dados Pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
1.2. Os demais termos aqui utilizados e não definidos acima, como “titular de dados”, “controlador” e “operador”, têm o significado constante da Lei Federal nº 13.709/2018.
CLÁUSULA 2 – DA PROTEÇÃO DE DADOS PESSOAIS
2.1. O presente Anexo visa estabelecer os termos e condições aplicáveis ao Tratamento de Dados Pessoais realizado para fins de execução do Instrumento Contratual, especialmente o Tratamento pela PARTE CONTRATADA dos Dados Pessoais de clientes e funcionários da CEMIG D, tratados para fins de prestar os serviços objeto do Instrumento Contratual.
2.2. Para a execução do presente Instrumento Contratual a PARTE CONTRATADA irá tratar dados pessoais em nome da CEMIG D, conforme descritos no Instrumento Contratual. Todo o tratamento de dados realizado para fins do presente Instrumento Contratual será regulado pelas condições dispostas no presente Anexo.
CLÁUSULA 3 - DECLARAÇÕES E GARANTIAS
3.1. A CEMIG D declara e garante que:
3.1.1. Todo o tratamento dos Dados Pessoais, desde a coleta até o momento de seu compartilhamento com a PARTE CONTRATADA, foi realizado de acordo com o quanto disposto nas Leis de Proteção de Dados Pessoais, e que as instruções para o Tratamento de Dados Pessoais pelo PARTE CONTRATADA estão também de acordo com tais normas, incluindo o enquadramento de tal tratamento dentro das bases legais cabíveis e em atenção aos princípios previstos nas Leis de Proteção de Dados Pessoais;
3.1.2. Após a expiração ou rescisão do Instrumento Contratual, instruirá a PARTE CONTRATADA sobre eventual obrigação de exclusão ou devolução dos Dados Pessoais disponibilizados à PARTE
CONTRATADA, para os fins aqui dispostos, inclusive estabelecendo o prazo apropriado para tanto, de acordo com os critérios da legislação aplicável, incluindo as Leis de Proteção de Dados.
3.1.3. Mantêm políticas de governança em privacidade e proteção de Xxxxx Xxxxxxxx, com medidas de inibição de utilização indevida, planos de contingenciamento e eventual punição para casos de violações às obrigações legais e aqui estabelecidas, cumprem todas as Leis de Proteção de Dados Pessoais.
3.2. A PARTE CONTRATADA, por sua vez, declara e garante que:
3.2.1. Realiza o Tratamento de Dados Pessoais conforme indicado pela CEMIG D, unicamente para a operacionalização deste Instrumento Contratual e no seu contexto, tratando estes Dados Pessoais no limite do quanto necessário para o bom cumprimento das suas atividades;
3.2.2. Manterá registro de todas as operações de tratamento de Dados Pessoais que realizar, bem como implementará medidas de segurança, técnicas e administrativas necessárias para proteger os Dados Pessoais contra a destruição, acidental ou ilícita, a perda, a alteração, a comunicação ou difusão ou o acesso não autorizado, além de garantir que o ambiente (seja ele físico ou virtual) utilizado por ela para o tratamento de Dados Pessoais seja estruturado de forma a atender os requisitos de segurança, aos padrões de boas práticas de governança e aos princípios gerais previstos na legislação aplicável e nas demais normas regulamentares aplicáveis;
3.2.3. Firmará acordo de confidencialidade com todos os seus funcionários que possam vir a ter contato com as informações compartilhadas no curso deste Instrumento Contratual, apresentando estes documentos quando caso solicitado pela CEMIG D;
3.2.4. Seguirá as instruções da CEMIG D no Tratamento dos Dados Pessoais, sendo que, caso não o faça, assumirá as responsabilidades de controlador dos Dados Pessoais quanto às ações tomadas em desacordo com as instruções da CEMIG D;
3.2.5. Caso, por qualquer motivo, a PARTE CONTRATADA discorde de alguma instrução recebida da CEMIG D relativa ao Tratamento de Dados Pessoais controlados pela CEMIG D, deverá notificá-la, por escrito, justificando os motivos para tanto;
3.2.6. Prestará assistência à CEMIG D, nos limites das obrigações
impostas pela LGPD, ou qualquer outra lei que venha a tratar do assunto, caso a ANPD ou qualquer outra autoridade governamental ou Titular de Dados Pessoais requeira informações quanto à conformidade do Tratamento dos Dados Pessoais com a LGPD, na medida em que tais informações encontrem-se de posse da PARTE CONTRATADA, ou de terceiro que lhe assista nas atividades de Tratamento dos Dados Pessoais;
3.2.7. Implementará plano de resposta à Incidentes, comprometendo-se a fornecer à CEMIG D toda e qualquer informação necessária para que ela tenha completo conhecimento com relação ao Incidente;
3.2.8. Seguirá a Política de Privacidade da CEMIG D, em todas as situações que realizar o Tratamento de Dados Pessoais de clientes ou funcionários da CEMIG D;
CLÁUSULA 4 - TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
4.1. A PARTE CONTRATADA em nenhuma hipótese deverá transferir Dados Pessoais para fora do Brasil, nem permitirá o acesso aos Dados Pessoais por pessoa localizada fora do Brasil, responsabilizando-se integralmente por qualquer ato que realize neste sentido, mantendo indene a CEMIG D de qualquer sanção administrativa ou judicial que venha a sofrer em razão desta atividade.
CLÁUSULA 5 – COMPARTILHAMENTO DE DADOS PESSOAIS
5.1. A PARTE CONTRATADA não está autorizada a transferir e/ou compartilhar com Terceiros os Dados Pessoais tratados em razão da presente relação contratual, assumindo todos os ônus decorrentes de qualquer compartilhamento que venha a realizar.
CLÁUSULA 6 – COOPERAÇÃO ENTRE AS PARTES
6.1. Caberá a CEMIG D atender as requisições de exercício de direitos por parte dos Titulares ou de Dados Pessoais ou solicitações da ANPD ou de qualquer outra autoridade que venha a fiscalizar o Tratamento de Dados Pessoais deste Instrumento Contratual.
6.2. Caberá à PARTE CONTRATADA, sempre que necessário e solicitado pela CEMIG D, auxiliar no atendimento das requisições realizadas por Titulares ou por qualquer autoridade, tais como pedidos de acesso aos Dados Pessoais, correção de Dados Pessoais incompletos, inexatos ou desatualizados, anonimização, bloqueio ou eliminação de Dados
Pessoais desnecessários ou excessivos, portabilidade dos Dados, dentre outros direitos previstos na legislação, cujo deferimento ou não ficará ao exclusivo critério da CEMIG D.
6.3. Quaisquer informações solicitadas pela CEMIG D deverão ser atendidas pela PARTE CONTRATADA de forma imediata ou no prazo máximo de 48 (quarenta e oito horas) horas, justificando os motivos da demora.
CLÁUSULA 7 – RESPOSTA DE INCIDENTES
7.1. Na ocorrência de qualquer Incidente que envolva os Dados Pessoais tratados em razão da presente relação contratual, a PARTE CONTRATADA deverá adotar, minimamente, os seguintes passos:
7.1.1. Notificação imediata à CEMIG D, com tolerância de no máximo 24 (vinte e quatro horas) desde que a PARTE CONTRATADA justifique o motivo da demora, por meio de canal específico definido pelas Partes, devendo conter, no mínimo, as seguintes informações: (i) data e hora do Incidente; (ii) data e hora da ciência pela PARTE CONTRATADA; (iii) relação dos tipos de Dados Pessoais afetados pelo Incidente; (iv) número de usuários afetados (volumetria do Incidente) e, se possível, a relação desses indivíduos; (v) Dados de contato do Encarregado da PARTE CONTRATADA ou, não havendo Encarregado, a pessoa junto à qual seja possível obter maiores informações sobre o ocorrido; (vi) descrição das possíveis consequências do Incidente; (vii) medidas que estão sendo tomadas para a mitigação dos riscos.
7.1.2. Após notificada sobre o Incidente, a CEMIG D dará orientações à PARTE CONTRATADA, que deverá providenciar: (i) a notificação dos Titulares afetados e da autoridade competente, como a Autoridade Nacional de Proteção de Dados, de acordo com a orientação e texto previamente aprovado pela CEMIG D; (ii) a adoção de um plano de ação que pondere os fatores que levaram à causa do Incidente e aplique medidas que visem garantir a não recorrência de Incidentes da mesma natureza.
7.1.3. Para os Incidentes que tenham sido causados exclusivamente por culpa da PARTE CONTRATADA em desobediência às orientações da CEMIG D, a PARTE CONTRATADA será integralmente responsável por eventuais sanções aplicadas. Caso a CEMIG D seja responsabilizada judicial ou administrativamente, por sanções atribuídas em razão do Incidente causado por culpa da PARTE CONTRATADA, a PARTE CONTRATADA deverá ressarcir integralmente a CEMIG D.
CLÁUSULA 8 – SEGURANÇA DOS DADOS
8.1. Durante o Tratamento, a PARTE CONTRATADA se responsabiliza pela manutenção de registro escrito das atividades e pela adoção de padrões de segurança sustentados nas melhores tecnologias disponíveis no mercado, devendo:
a) Restringir o acesso aos Dados mediante a definição de pessoas habilitadas e responsáveis pelo Tratamento;
b) Adotar medidas técnicas e organizacionais de segurança que garantam a inviolabilidade, a confidencialidade, a disponibilidade e a integridade dos Dados, tais como: (i) mecanismos de autenticação de acesso aos registros, como sistemas de autenticação dupla para assegurar a individualização do responsável pela atividade; (ii) anonimização, pseudonimização e encriptação dos Dados Pessoais; (iii) recursos que permitam a restauração da disponibilidade e do acesso aos Dados Pessoais de forma rápida em caso de Incidente; e (iv) processo de verificação contínua da implementação das referidas medidas técnicas e organizacionais;
c) Manter inventário detalhado dos acessos aos Dados Pessoais e aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso e o arquivo acessado, inclusive quando tal acesso é feito para cumprimento das obrigações legais ou determinações definidas por autoridade competente;
d) Registrar as atividades que envolvam transferência internacional de Xxxxx Xxxxxxxx, indicando o país/organização de destino e adotando as garantias necessárias para que a transferência seja realizada de acordo com a LGPD e orientações definidas por autoridade competente;
e) Fornecer, sempre que solicitado, relatório que evidencie a adoção de medidas de segurança técnicas e administrativas, contendo as seguintes informações: (i) relatório contendo informações sobre os sistemas e softwares utilizados para a gestão dos dados pessoais tratados em decorrência do Instrumento Contratual, omitidas informações protegidas por segredo comercial ou confidencialidade com terceiros; (ii) declaração por escrito a respeito da aplicação de pseudonimização ou anonimização ao tratamento de dados pessoais tratados no âmbito do presente do Instrumento Contratual, quando aplicável; (iii) relatório a respeito dos recursos que permitam a restauração da disponibilidade e do acesso aos Dados Pessoais, em caso de Incidente com os Dados Pessoais;
e (iv) relatório sumarizado com relação ao último deste de segurança realizado nos sistemas, omitidas informações protegidas por segredo comercial ou confidencialidade.
8.2. A PARTE CONTRATADA reconhece que algumas informações podem relevar Dados Pessoais Sensíveis, os quais estão sujeitos a um maior rigor legal e, portanto, exigem maior proteção técnica e organizacional. Assim, a PARTE CONTRATADA somente poderá realizar operações de Tratamento de Dados Pessoais Sensíveis quando estritamente necessário para cumprir com as disposições do Instrumento Contratual, devendo garantir a implementação de proteções técnicas apropriadas, aptas a manter a integridade, confidencialidade e segurança destas informações sejam implementadas.
CLÁUSULA 9 - RESPONSABILIDADE
9.1. A PARTE CONTRATADA manterá a CEMIG D integralmente isenta de quaisquer responsabilidades ou reivindicações dos Titulares do Dados Pessoais compartilhados pela CEMIG D à PARTE CONTRATADA, com base em eventual Tratamento de Dados Pessoais em desacordo com as instruções deste Instrumento Contratual e/ou deste Anexo.
9.2. Ocorrendo a hipótese de serem ajuizadas ações pelos titulares dos Dados Pessoais contra a CEMIG D, ou de serem recebidas pela CEMIG D notificações de quaisquer órgãos públicos, com base no uso indevido de Dados Pessoais decorrente de falha da PARTE CONTRATADA, ou de eventuais Terceiros sob a responsabilidade da PARTE CONTRATADA, em tomar as devidas medidas para o Tratamento de tais Dados Pessoais nos termos do Instrumento Contratual ou deste Anexo, deverá a PARTE CONTRATADA intervir nos processos, reivindicando a condição de demandado e requerendo a exclusão da CEMIG D e, em caso de condenação da CEMIG D, a PARTE CONTRATADA deverá ressarci-la pelo valor principal pago, bem como por todos os danos (incluindo lucros cessantes) e todas as despesas envolvidas na demanda.
CLÁUSULA 10 – TÉRMINO DO TRATAMENTO DE DADOS PESSOAIS
10.1. Após a expiração ou rescisão do Instrumento Contratual, a PARTE CONTRATADA eliminará ou devolverá à CEMIG D os materiais contendo Dados Pessoais que lhes foram disponibilizados para os fins dispostos no Instrumento Contratual, no prazo informado pela CEMIG D, e de acordo com os critérios da legislação aplicável.
10.2. Mesmo após a rescisão deste Instrumento Contratual ou de outros acordos celebrados entre as Partes, as obrigações da PARTE CONTRATADA perdurarão enquanto ela tiver acesso, estiver em posse ou conseguir realizar qualquer operação de Tratamento dos Dados Pessoais envolvendo informações fornecidas pela CEMIG D.
CLÁUSULA 11. – COMUNICAÇÃO ENTRE AS PARTES
11.1. A comunicação entre as PARTES, entre as PARTES e o Titular dos Dados Pessoais e também com a Autoridade Nacional de Proteção de Dados (“ANPD”) em assuntos relacionados ao Tratamento de Dados Pessoais se dará através do Encarregado pelo Tratamento de Dados Pessoais (“DPO”) de cada uma das PARTES, conforme os seguintes contatos:
CEMIG D: CEMIG DISTRIBUIÇÃO S.A.
ENCARREGADO DE TRATAMENTO DE DADOS PESSOAIS
Endereço: Xxxxxxx Xxxxxxxxx, 0.000, 00x xxxxx, Xxx x0, Xxxxxx Xxxxx Xxxxxxxxx
Cidade/Estado: Belo Horizonte/MG CEP: 30190-131
E-mail: xxxxxxxxxxx@xxxxx.xxx.xx Telefone: (00) 0000-0000
PARTE CONTRATADA: (INSERIR NOME DA PARTE CONTRATADA)
Nome: (INSERIR NOME) Endereço: (INSERIR ENDEREÇO) Bairro: (INSERIR BAIRRO)
CEP: (INSERIR CEP)
E-mail: (INSERIR E-MAIL) Telefone: (INSERIR TELEFONE)
CLÁUSULA 12 - NULIDADE
12.1. Se qualquer disposição do presente Anexo for julgada inválida ou inexequível por qualquer tribunal ou órgão administrativo de jurisdição competente, a invalidade ou inexequibilidade de tal disposição não deverá afetar quaisquer outras disposições do presente Anexo e todas as demais disposições não afetadas por tal invalidade ou inexequibilidade permanecerão em pleno vigor e efeito.
CLÁUSULA 13 - CONFLITO
13.1. Este Anexo faz parte do Instrumento Contratual, sendo que, caso existam disposições conflitantes dentro dos dois documentos, os termos e condições deste Anexo prevalecerão e os demais termos e condições do Instrumento Contratual permanecerão inalterados.
CLÁUSULA 14 - SOLUÇÃO DE DISPUTAS