ACORDO DE NÍVEL DE PRIVACIDADE (ANP)
Nº V2-2020
ACORDO DE NÍVEL DE PRIVACIDADE (ANP)
CONTRATO DE TRATAMENTO DE DADOS
CONTRATADA |
RAZÃO SOCIAL: Secure Service IT Tecnologia da Informação LTDA |
CNPJ: 20.232.446/0001-59 |
ENDEREÇO COMPLETO: Xxxxxxx Xxxxxxxxx Xxxxxxxxx Xxxx, 0000, 0x Xxxxx, Xxxxxx - XXX 00000-000, Salvador, Bahia |
Entre Contratante a seguir designado “Controlador” e Contratada e suas afiliadas a seguir designada “Operador”.
• Considerando que em 14/08/2018 foi publicada a Lei 13.709 que dispões sobre a proteção de dados pessoais;
• Considerando que o Contrato de Prestação de Serviços de Conectividade formalizado entre a CONTRATANTE e a CONTRATADA, em 20 de julho de 2020, pode conter atividades que envolvam dados pessoais, estando sujeito, portanto, à Lei 13.709/18 e demais legislações correlatas;
• A CONTRATADA se obriga a cumprir os termos e condições previstos neste “Acordo de Nível de Privacidade” e está de acordo que estes termos e condições passarão a fazer parte integrante do Contrato de Prestação de Serviços de Conectividade que a CONTRATADA tenha firmado e/ou que venha a firmar em a CONTRATANTE, produzindo efeitos a partir da entrada em vigor da Lei 13.709/18.
INTRODUÇÃO
Este Acordo de Nível de Privacidade (ou "ANP") é um anexo ao Contrato de Prestação de Serviços de Conectividade (doravante referido como Contrato), acordado entre o Controlador e o Operador em conexão com o registro dos Serviços contratados e regula detalhadamente as medidas de tratamento dos dados pessoais.
DEFINIÇÕES
Salvo disposição em contrário contidas no Contrato, todos os termos iniciados em maiúscula neste ANP terão o significado que lhes é atribuído abaixo:
Instruções Adicionais: significa quaisquer instruções do Controlador para o Operador que não foram estabelecidas neste ANP após sua execução;
Lei Geral de Proteção de Dados ou LGPD: significa a Lei 13.709/18 que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;
Lei: significa qualquer lei, regulamento, ato normativo, ordem, liminar, decreto ou intimação de qualquer tribunal (inclusive arbitral), de qualquer instância, ou autoridade aplicáveis às partes e ao Contrato;
Dados: significam os Dados Pessoais, Dados Pessoais Sensíveis e informações encaminhadas em qualquer formato pela Contratante ou por terceiros para execução do Contrato e/ou Dados Pessoais, Dados Pessoais Sensíveis e/ou informações que sejam utilizados para a execução do Contrato;
Dados Pessoais: informação relacionada à pessoa natural identificada ou identificável;
Dados Pessoais Sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou
biométrico, quando vinculado a uma pessoa natural;
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete às decisões referentes ao tratamento de dados pessoais;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
Agentes de Tratamento: o controlador e o operador;
Tratamento de Dados Pessoais: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
Transferência Internacional de Dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
Uso Compartilhado de Dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
Titular dos Dados: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Indivíduo identificado ou identificável, que pode ser identificado, direta ou indiretamente, em particular por referência a um identificador, como nome, número de identificação, dados de localização, identificação on-line ou um ou mais fatores específicos para a identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa natural;
Avaliação de Impacto à Proteção de Dados (DPIA): é um processo que deve ser conduzido pelo Controlador e pelo Operador destinado a identificar e mitigar os riscos relacionados à proteção de dados decorrentes de um projeto, que podem afetar a organização ou as pessoas das as quais a empresa coleta, processa e armazena dados pessoais;
Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
Violação de Dados Pessoais: significa qualquer violação não autorizada ou ilegal da segurança que leve a, ou que se acredite ter causado, a perda, destruição, alteração, divulgação ou acesso não autorizado ou acidental a dados pessoais;
Autoridade Nacional de Proteção de Dados ou ANPD: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional;
País Estrangeiro: País Estrangeiro: Outros países que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD brasileira;
Organismo Internacional: organismos internacionais do qual o Brasil seja membro, que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD brasileira;
Serviço ou Oferta de Serviço: significa os serviços contratados pela Contratante e fornecidos pela Contratada conforme o Contrato e que é à base do Contrato e deste ANP;
Termos: Os termos e condições do Contrato de Prestação de Serviços de Conectividade;
1. OBJETO
1.1 O objeto dos termos e condições deste ANP é regular as condições adicionais relacionadas ao cumprimento da Lei 13.709/18 e legislação relacionada à proteção de dados pessoais e privacidade pelo Operador;
1.2 Este ANP se aplica ao Tratamento de dados pessoais do Operador em nome do Controlador. O Operador processará os Dados Pessoais conforme necessário para executar o Contrato de acordo com os Termos e conforme instruído pelo Controlador no uso do Serviço. Este ANP regula as medidas para proteger os Dados Pessoais de acordo com a Lei 13.709/18 (Lei Geral de Proteção de Dados ou LGPD);
1.3 A Contratante será o Controlador dos Dados fornecidos e/ou obtidos pela Contratante e/ou os Dados coletados pela Contratada em nome da Contratante. A Contratada será considerada controlador com relação a seus próprios Dados e suas atividades de Tratamento, sendo inteiramente responsável por tais Dados e Tratamentos, inclusive no tocante à eventual indenização devida a Contratante, ao Titular dos Dados e/ou terceiros;
1.4 Estes termos e condições do ANP integram todos os contratos de prestação de serviços firmados e a serem firmados entre o Controlador e o Operador para todos os fins, sendo que as disposições aqui contidas prevalecem sobre eventuais disposições conflitantes sobre os Dados e o Tratamento previstos no Contrato;
1.5 Os termos iniciados em maiúsculas que não tenham sido expressamente definidos nestes termos e condições do ANP terão os significados que lhes forem atribuídos no Contrato;
1.6 Os Dados Pessoais tratados pelo Operador sob este ANP e os detalhes do tratamento estão descritos no Apêndice 1 ("Instruções de Tratamento de Dados") anexado a este ANP;
1.7 Instruções ou termos adicionais (se houver) fora do escopo deste ANP requerem um acordo prévio por escrito entre o Operador e o Controlador. Também deve ser estabelecido um acordo sobre quaisquer taxas adicionais a serem pagas pelo Controlador ao Operador pela execução de instruções e/ou termos adicionais;
2. DIREITOS E OBRIGAÇÕES DO CONTROLADOR
2.1 O Controlador será responsável, dentro da estrutura deste ANP, pelo cumprimento das disposições legais da LGPD, particularmente em relação à alocação de Tratamento em relação ao Operador e pelo próprio Tratamento;
2.2 O Controlador tem o direito de dar instruções ao Operador nos seguintes assuntos:
a) No que diz respeito ao atendimento às solicitações dos Titulares dos Dados;
b) No que diz respeito ao procedimento em caso de violação da privacidade de dados;
c) No que diz respeito a medidas adicionais de segurança da informação.
2.3 As instruções devem ser escritas e, em primeiro lugar, fixadas neste ANP e no Apêndice 1. Essas instruções podem ser posteriormente alteradas, complementadas ou substituídas por Instruções adicionais escritas do Controlador para o Operador. Instruções adicionais (se houver) precisam ser previamente acordadas, conforme o item 1.3 deste ANP. Se as partes não concordarem com eventuais instruções adicionais, o Controlador poderá rescindir este ANP e os Termos com efeito imediato;
2.4 O Controlador garantirá que suas instruções e uso do Serviço estejam em conformidade com a LGPD e que as instruções do Controlador não farão com que o Operador viole a LGPD;
2.5 As notificações sobre as informações relativas ao Tratamento ou à Violação de Dados Pessoais (se houver) serão entregues ao endereço de e-mail de notificação da equipe registrada do Controlador e ao endereço de e-mail do
DPO (se registrado). É de responsabilidade exclusiva do Controlador garantir que ele mantenha informações de contato precisas no console de gerenciamento de serviços e transmissão segura o tempo todo;
2.6 O Controlador tem o direito de executar controles das medidas técnicas e organizacionais adotadas pelo Operador, de acordo com a seção 9 deste ANP e conforme descrito em mais detalhes no Apêndice 2 ("Medidas Técnicas e Organizacionais") antes de iniciar o Tratamento e, posteriormente, verificá-las em intervalos regulares. Esses controles também podem ser executados por um auditor independente em nome do Controlador;
2.7 O Controlador deve informar o Operador sem demora quando notar algum erro ou irregularidade ao executar os controles de acordo com o item 2.6 deste ANP. O Operador deve corrigir esses erros ou irregularidades sem demora;
2.8 Se reivindicações forem feitas a uma das partes (Controlador e/ou Operador) por um Titular dos Dados em conformidade com o que dispõe a LGPD, a parte (Controlador e/ou Operador) em questão deve notificar a outra parte sem demora. As partes (Controlador e/ou Operador) devem apoiar-se mutuamente na defesa da reivindicação.
3. TRATAMENTO DE DADOS PESSOAIS
3.1 O Operador garante que, durante o prazo deste ANP, implementou e se compromete a cumprir as medidas técnicas e organizacionais apropriadas, de maneira que seu Tratamento de Dados Pessoais sob este ANP atenda aos requisitos da LGPD e garanta a proteção dos direitos do Titular dos Dados;
3.2 O Operador compromete-se a processar apenas os Dados Pessoais de acordo com as instruções documentadas do Controlador e dentro da estrutura da Oferta de Serviço. As instruções iniciais do Controlador para o Operador sobre
o Tratamento, a duração do Tratamento, a natureza e a finalidade do Tratamento, o tipo de Dados Pessoais e as categorias de Titulares de Dados estão definidas neste ANP e no Apêndice 1;
3.3 O Operador deverá informar o Controlador sem demora injustificada, se descobrir que uma instrução do Controlador viola ou violará a LGPD. O Operador deve estar autorizado a interromper o desempenho desta instrução até que seja confirmada ou alterada pela pessoa responsável do Controlador;
3.4 Para o Tratamento de Dados Pessoais, o Operador deve garantir a aplicação de todas as medidas definidas neste ANP;
3.5 O Operador deve produzir e atualizar uma lista de todas as categorias de atividades que realiza em nome do Controlador, incluindo as especificações obrigatórias de acordo com o capítulo VI, seção I da LGPD, conforme estabelecido no Apêndice 1;
3.6 O Operador não deve usar os dados para outros fins além dos especificados pelo Controlador e não deve mantê-los por mais tempo que o Controlador tenha determinado. Cópias ou duplicações não podem ser geradas sem o conhecimento do Controlador;
3.7 O Operador não deve visualizar, acessar, editar ou usar os Dados Pessoais sem a permissão especifica e explicita do Controlador, ou quando necessário para manter o Serviço, ou conforme necessário para cumprir a Lei ou determinação da ANPD;
3.8 O Tratamento por teletrabalho é permitido para funcionários do Operador. O Operador garante que o Tratamento por teletrabalho estará sempre em conformidade com as medidas de proteção de dados exigidas, o que significa que os dados são protegidos contra acesso não autorizado. Isso significa, por exemplo, comunicação de ponta a ponta segura e criptografada e nenhuma possibilidade de acesso aos sistemas de TI por uma pessoa não autorizada;
3.9 Os dados para fins de teste serão mantidos guardados em segurança até que
o Controlador instrua o Operador a destruí-lo, apagá-lo, bloqueá-lo ou anonimizá-lo de acordo com a LGPD ou devolvê-lo ao Controlador;
3.10 O Controlador indicará ao Operador um Encarregado de contato do Controlador para questões de proteção de dados que surjam dentro da estrutura dos Termos e neste ANP;
3.11 Os dados anonimizados não serão considerados dados pessoais para os fins deste ANP, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido;
3.12 Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados;
3.13 O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição, à anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD e à portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial, exceto quanto aos dados que já tenham sido anonimizados pelo controlador;
3.14 O tratamento de dados pessoais sensíveis somente poderá ocorrer nas hipóteses dos arts. 7º a 11 da LGPD, dispensada a exigência do Consentimento pelo titular para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos na LGPD.
3.15 O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.
4. CONFIDENCIALIDADE E INTEGRIDADE
4.1 O Operador é obrigado a garantir que as pessoas autorizadas ao Tratamento de Dados pessoais se comprometam com a confidencialidade por escrito antes de iniciar a atividade. Além disso, o Operador deve garantir que seus associados sejam suficientemente informados sobre as determinações da LGPD, bem como outros requisitos relevantes de proteção de dados e estejam familiarizados com as instruções do Controlador. O Operador supervisionará a conformidade das medidas técnicas e administrativas adotadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
4.2 O Controlador será obrigado a respeitar a confidencialidade de todos os segredos comerciais e medidas de proteção de dados do Operador que possam ser divulgados dentro da estrutura do relacionamento contratual;
4.3 A obrigação de confidencialidade e integridade continuará sendo aplicada também após o término da relação contratual por um período de 5 (cinco) anos.
5. DIVULGAÇÃO DE DADOS E INFORMAÇÕES PESSOAIS
5.1 O Operador deve, sem atrasos indevidos, encaminhar ao Controlador qualquer solicitação feita por um Titular de Dados ou pela ANPD sobre dados pessoais que o Operador está processando sob esta ANP. O Operador, ou qualquer pessoa que trabalhe sob a supervisão do Operador, não divulgará dados pessoais ou informações sobre o Tratamento de Dados Pessoais, sem a instrução e autorização expressa do Controlador ou conforme previsto neste ANP, a menos que exigido pela LGPD. No caso de o Operador ser obrigado a divulgar dados pessoais de acordo com a LGPD, o Operador tomará todas as medidas para solicitar confidencialidade em conexão com as informações solicitadas e informará imediatamente o Controlador, a menos que o Operador seja impedido de fazê-lo pela Lei;
6. SOLICITAÇÃO DOS TITULARES DOS DADOS
6.1 Tendo em conta a natureza do Tratamento de Dados, o Operador deve auxiliar o Controlador, tomando as medidas técnicas e organizacionais apropriadas, na medida do possível, na observância de suas obrigações legais em relação aos
direitos dos Titulares de Dados de acordo com a LGPD. Isso inclui, entre outros, a obrigação do Controlador de responder às solicitações relativas ao direito dos titulares de dados de receber informações e, mediante solicitação dos titulares de dados, retificar, bloquear ou apagar dados pessoais;
6.2 O Operador deve auxiliar o Controlador no cumprimento de possíveis obrigações, nos termos da LGPD, para permitir a portabilidade de dados referentes a Dados Pessoais que o Operador está realizando o Tratamento sob este ANP.
7. CONTATO COM A ANPD
7.1 O Operador deve informar o Controlador sobre quaisquer dúvidas da ANPD sobre o Tratamento de Dados Pessoais sob este ANP. O Operador não tem o direito de representar o Controlador ou de agir em nome do Controlador em relação à ANPD.
8. SUBCONTRATAÇÃO DE OUTRO OPERADOR
8.1 O Operador não poderá subcontratar outro Operador sem autorização prévia específica ou geral por escrito do Controlador;
8.2 Após a execução deste ANP, o Operador recebe autorização para subcontratar outros Operadores para cumprir suas obrigações contratuais sob este ANP ou para fornecer serviços específicos em seu nome, como serviços de suporte. Os outros Operadores subcontratados pelo Operador no momento da execução deste ANP estão listados no Apêndice 3 ("Operadores subcontratados pelo Operador") deste ANP. Para os Operadores subcontratados pelo Operador mencionados no Apêndice 3, uma autorização específica é concedida pelo Controlador após a execução deste ANP;
8.3 Ao subcontratar outro Operador o Operador deve garantir a conformidade com a LGPD. Em particular, o Operador é responsável por garantir que o Operador subcontratado forneça garantias suficientes para implementar medidas técnicas e organizacionais apropriadas, de maneira que o Tratamento de Dados Pessoais
atenda aos requisitos LGPD. No caso de autorização geral por escrito o Operador deve informar o Controlador sobre quaisquer alterações pretendidas relacionadas à adição ou substituição do (s) Operador (es) subcontratado (s) com pelo menos
30 (trinta) dias de antecedência do uso planejado de um novo Operador subcontratado, dando ao Controlador a oportunidade de se opor à mudança. O Controlador notificará o Operador de tal objeção dentro de 10 (dez) dias após o recebimento do aviso de alteração;
8.4 O Operador deve garantir, por contrato, que as disposições estabelecidas entre o Controlador e o Operador sejam aplicadas ao (s) Operador (es) subcontratado (s). Assim, o Operador deve firmar um contrato por escrito com seu (s) Operador (es) subcontratado (s). Na medida em que o (s) Operador (es) subcontratado (s) estiver (em) executando os mesmos serviços de Tratamento de Dados Pessoais que estão sendo fornecidos pelo Operador sob este ANP, o Operador imporá ao
(s) Operador (es) subcontratado (s) as mesmas obrigações contratuais que o Operador possui sob este ANP;
8.5 O Operador deve anualmente (ou quando necessário) verificar a conformidade do
(s) Operador (es) subcontratado (s) com o ANP. O Operador deve documentar os resultados desses controles;
8.6 A subcontratação no significado dessas disposições não inclui quaisquer serviços adicionais solicitados pelo Operador a terceiros para auxiliar no desempenho do ANP, como serviços de telecomunicações, manutenção ou suporte ao usuário, limpeza, auditoria ou descarte de mídia de dados. Para garantir a proteção e a segurança dos dados do Controlador, o Operador deve concluir acordos adequados e conformes com a lei e realizar atividades de monitoramento, quando quaisquer serviços adicionais forem obtidos de terceiros.
9. MEDIDAS TÉCNICAS E ORGANIZACIONAIS
9.1 No âmbito das suas responsabilidades, o Operador deverá organizar-se internamente de maneira a atender aos requisitos especiais e específicos da proteção de dados. O Operador adotará medidas técnicas e organizacionais para proteger adequadamente os dados do Controlador, atendendo aos requisitos da LGPD;
9.2 As medidas técnicas e organizacionais devem garantir a confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços relacionados ao Tratamento de Dados Pessoais em longo prazo. Também devem ser tomadas medidas para restaurar a disponibilidade de Xxxxx Xxxxxxxx e o acesso a eles imediatamente após um incidente físico ou técnico, bem como usar um procedimento para a revisão regular da eficácia das medidas técnicas e organizacionais para garantir a segurança dos dados em processamento. As medidas a serem adotadas incluem, por exemplo, a pseudonimização e criptografia de Dados Pessoais, na medida do necessário para garantir um nível adequado de segurança.
9.3 As medidas técnicas e organizacionais adotadas pelo Operador, de acordo com o Apêndice 2, poderão ser verificadas pelo Controlador. O Controlador poderá realizar estas verificações solicitando informações, inspecionando o armazenamento de Dados Pessoais, inspecionando os Sistemas de processamento ou inspecionando as instalações do Operador. O Operador deverá garantir o suporte dessas inspeções, se necessário;
9.4 O Operador deverá autorizar o Controlador a inspecionar a conformidade do Operador com a LGPD, bem como o cumprimento das instruções dadas pelo Controlador;
9.5 O Operador deverá apoiar o Controlador na medida do possível, usando medidas de proteção técnica e organizacional apropriadas para permitir que este cumpra suas obrigações com os Titulares dos Dados. Isso pode incluir, por exemplo, as informações e acessos fornecidos aos Titulares dos Dados, a retificação ou apagamento e esquecimento dos dados, a restrição do Tratamento e o direito à portabilidade dos dados;
9.6 O Operador deverá auxiliar o Controlador a elaborar um relatório de impacto à proteção de dados de acordo com o art. 38 da LGPD e, quando aplicável, em consulta prévia da ANPD;
9.7 O Operador deverá fornecer ao Controlador os detalhes e documentos necessários mediante solicitação que evidenciem a implementação destas medidas técnicas e organizacionais. Se houver alguma informação solicitada pelo Controlador que o Operador se recuse a fornecer, o Controlador poderá rescindir este ANP e os Termos;
9.8 O Operador notificará imediatamente o Controlador se as medidas de segurança tomadas pelo Operador diferirem dos requisitos acordados, ou se ocorrerem sérias perturbações no procedimento operacional, ou no caso de violações da LGPD ou das disposições feitas neste ANP pelo Operador ou pelas pessoas por ele empregadas, bem como no caso de suspeita de violações de dados conforme a seção 12 abaixo ou irregularidades no Tratamento de Dados Pessoais.
10. TRANSFERÊNCIA E ARMAZENAMENTO DE DADOS PESSOAIS
10.1 O Operador deverá informar o Controlador sobre a localização geográfica do datacenter que armazenará os Dados e que proverá os serviços definidos no Contrato;
10.2 O Operador não poderá realizar nenhuma transferência de Dados sem que haja uma solicitação expressa do Controlador. Se o Controlador solicitar uma transferência de Xxxxx Xxxxxxxx, o Operador deverá ajudar o Controlador a garantir que essa transferência e Tratamento estejam em conformidade com a LGPD.
11. TRANSFERÊNCIA DE DADOS PESSOAIS PARA PAÍS ESTRANGEIRO
11.1 O Operador ou o Operador subcontrato pelo Operador que estiver realizando o Tratamento de Dados Pessoais em um País Estrangeiro deverá garantir que a transferência para o País Estrangeiro e o Tratamento de Dados Pessoais no País Estrangeiro sejam feitos em conformidade com a LGPD.
12. VIOLAÇÃO DE DADOS PESSOAIS
12.1 No caso de uma Violação de Dados Pessoais envolvendo Dados Pessoais processados em nome do Controlador, o Operador levará em conta a natureza do Tratamento de Dados e as informações disponíveis para o Operador para apoiar o Controlador na garantia de conformidade com as obrigações dos Controladores em relação à LGPD;
12.2 Se o Operador tomar conhecimento de uma Violação de Xxxxx Xxxxxxxx, o Operador notificará sem demora indevida o Controlador sobre a Violação de Xxxxx Xxxxxxxx. A notificação deve pelo menos:
a) Descrever a natureza da violação, as categorias de Dados e Titulares de Dados envolvidas e o número aproximado de Titulares de Dados e conjuntos de dados afetados;
b) Descrever as consequências prováveis da Violação de Xxxxx Xxxxxxxx;
c) Descrever as medidas adotadas ou propostas a serem adotadas pelo Controlador para mitigar os efeitos e minimizar qualquer dano resultante da Violação de Dados Pessoais;
d) Xxxxxxxx o nome e os detalhes de contato de um funcionário do Operador que ficará responsável em fornecer ao Controlador maiores informações sobre a Violação de Dados Pessoais ocorrida.
13. RESPONSABILIDADES
13.1 A responsabilidade de cada parte decorrente ou relacionada a este ANP (seja em contrato, delito ou qualquer outra teoria de responsabilidade) estará sujeita às exclusões e limitações de responsabilidade estabelecidas nos Termos. O Controlador concorda que quaisquer penalidades regulatórias incorridas pelo Operador em relação aos Dados Pessoais que surjam como “resultado de” ou “em conexão com” a falha do Controlador em cumprir com suas obrigações sob este ANP e sob a LGPD contarão no sentido de reduzir a responsabilidade do Operador nos Termos, como se fosse responsabilidade do Controlador nos Termos;
13.2 Sujeito ao item 13.1 acima, o Controlador indenizará e isentará o Operador por qualquer reclamação direta, incluindo qualquer reclamação proveniente dos Titulares de Dados, contra o Operador devido ao Tratamento de Dados Pessoais que viole a LGPD, se tal violação for devido a instruções pouco claras,
inadequadas, inexistentes ou inadmissíveis dadas pelo Controlador, informações inadequadas do Controlador sobre as categorias de Dados Pessoais em Tratamento (por exemplo, se Dados Pessoais sensíveis são processados sem que o Controlador tenha informado o Operador sobre isso) ou devido a circunstâncias do lado do Controlador.
14. PRAZO E RESCISÃO
14.1 Este ANP continuará em vigor até o término do Serviço (a "Data de término");
14.2 Após o término deste ANP, o Operador apagará permanentemente ou bloqueará completamente o acesso a todas as informações, documentação e Dados relacionados aos negócios fornecidos pelo Controlador, incluindo Dados Pessoais criados em conexão com este ANP, a menos que haja uma obrigação para o armazenamento de Dados Pessoais de acordo com as leis brasileiras. O mesmo se aplica aos outros Operadores subcontratados pelo Operador.
15. ALTERAÇÕES E ADIÇÕES
15.1 O Operador pode a qualquer momento fazer adições e / ou emendas a este ANP e todos os seus elementos constituintes (incluindo quaisquer garantias concedidas pelo Operador), informando o Controlador dos novos termos, com uma indicação específica de que é uma emenda ou adição a este ANP. O Operador deve informar o Controlador dos novos termos por escrito, que também podem estar em formato eletrônico. O Controlador pode notificar o Operador de qualquer objeção aos novos termos dentro de 10 (dez) dias úteis. Se tal objeção for feita, o ANP não poderá ser alterado, nem adições poderão ser feitas, a menos que haja acordo por escrito entre as Partes. Caso não haja objeção, as emendas e/ou adições ao ANP entrarão em vigor após 30 (trinta) dias;
15.2 Se qualquer disposição deste ANP for ou se tornar parte inválida ou inexequível, ela não invalidará todo o ANP. Qualquer disposição deste ANP que seja considerada inválida ou inexequível apenas em parte ou em grau deve ser reescrita por acordo mútuo para refletir a disposição inválida ou inexequível, sendo válida e aplicável.
16. DISPOSIÇÕES GERAIS
16.1 O que se segue dos Termos também se aplica ao Tratamento dos Dados Pessoais do Operador e aos compromissos firmados de acordo com este ANP. Para evitar dúvidas, onde houver disposições conflitantes nos Termos e no ANP, as disposições do ANP prevalecerão sobre todo o Tratamento dos Dados Pessoais e nada nos Termos será considerado para limitar ou alterar os compromissos firmados de acordo com este ANP na medida em que isso significaria o não cumprimento da LGPD pelo Controlador;
16.2 A Lei se aplica em todos os aspectos ao Tratamento dos Dados Pessoais do Operador sob este ANP;
16.3 Qualquer controvérsia decorrente ou relacionada ao ANP será resolvida de acordo com as disposições de resolução de litígios contidas nos Termos.
APÊNDICE 1: INSTRUÇÕES PARA O TRATAMENTO DE DADOS PESSOAIS
As instruções a seguir se aplicam ao Tratamento de Dados pessoais sob este ANP. Além do que é declarado neste ANP, o Operador deve cumprir as instruções abaixo:
OPERAÇÕES E FINALIDADES DE TRATAMENTO | O Tratamento de Dados deve incluir as seguintes operações e propósitos: • Armazenamento e encaminhamento de dados e outros processamentos necessários para fornecer, manter e melhorar o Serviço fornecido ao Controlador; • Fornecimento de suporte técnico ao Controlador; e • Divulgações de acordo com o ANP e conforme exigido pela LGPD. |
CATEGORIAS DE DADOS | 1) Dados Pessoais Nome e sobrenome; RG; CPF; Número da CNH; Estado civil; Gênero; Idade; Profissão; Cargo; Função; Conta de e-mail; Telefone e endereço; Título de eleitor; Número de passaporte; Imagens obtidas via Circuito Fechado de TV; Registros de ligações telefônicas; Endereço IP; Protocolos de internet; Registros de conexão à internet; Registros de acesso a aplicações de internet; Cookies; Hábitos; gostos e interesses; Geolocalização. 2) Dados Pessoais Sensíveis: Origem racial ou étnica; Crença religiosa; Opinião política; Filiação a sindicato; Filiação a um partido político; Dados referentes à saúde; Opção sexual; Dado genético; Impressão digital; Voz; Imagem de retina ou íris. |
CATEGORIAS DE TITULARES DE DADOS | Os dados pessoais processados podem incluir as seguintes categorias de titulares de dados: |
• Candidatos a emprego; | |
• Funcionário do Controlador; • Clientes; | |
• Fornecedores; | |
• Representantes comerciais; | |
• Parceiros. | |
PERÍODO DE ARMAZENAMENTO/ RETENÇÃO DOS DADOS | Os Dados Pessoais serão apagados ou anonimizados a pedido do Controlador e de acordo com as instruções do Controlador. |
APÊNDICE 2: MEDIDAS TÉCNICAS E ORGANIZACIONAIS
As medidas técnicas e organizacionais a seguir são acordadas entre o Controlador e o Operador.
1. MEDIDAS PARA GARANTIR A CONFIDENCIALIDADE
⮚ CONTROLE DE ACESSO FÍSICO
Nenhum acesso não autorizado aos sistemas de processamento de dados é fornecido. Os dados são armazenados em datacenters altamente seguros, monitorados 24 horas por dia, 7 dias por semana. O acesso físico às instalações do datacenter é estritamente limitado à equipe de nuvem selecionada.
⮚ CONTROLE DE ACESSO LÓGICO
Não há uso não autorizado do sistema. As chaves SSH são necessárias ao identificar computadores confiáveis, juntamente com nomes de usuário e senhas. A autenticação em duas etapas é ativada em todas as plataformas em nuvem que a fornecem. Credenciais de autenticação individuais não são compartilhadas. As chaves SSH são giradas frequentemente. Todos os terminais (computadores, laptops, telefones celulares) estão usando armazenamento criptografado, senhas seguras e mecanismos de bloqueio automático.
⮚ CONTROLE DE ACESSO A DADOS
Nenhuma leitura, cópia, alteração ou remoção não autorizada dentro do sistema.
⮚ CONTROLE DE SEGREGAÇÃO
Os dados pessoais são processados em sistemas dedicados que não são compartilhados com outros serviços, aplicativos ou entidades corporativas. Em sistemas e bancos de dados, os dados são segregados com controle de acesso lógico. Os Dados Pessoais não são utilizados para outros fins que não os que foram coletados, exceto no caso de aprovação explícita do cliente.
2. MEDIDADES PARA GARANTIR A INTEGRIDADE
⮚ CONTROLE DE TRANSFERÊNCIA
Nenhuma leitura, cópia, alteração ou remoção não autorizada durante a transmissão ou transporte eletrônico. Existem medidas de criptografia de dados para proteger os Dados Pessoais. Os dados que o Controlador coloca no Serviço são criptografados em trânsito e em repouso durante a configuração do Serviço.
⮚ CONTROLE DE ACESSO
Existem sistemas de registro para determinar e registrar se e por quem os Dados Pessoais foram acessados, inseridos, alterados ou removidos.
3. MEDIDAS PARA GARANTIR DISPONIBILIDADE E RESILIÊNCIA
⮚ CONTRLE DE DISPONIBILIDADE
Proteção contra danos acidentais, destruição ou perda por meio de escaladas e planos de emergência.
⮚ RESILIÊNCIA
Os sistemas e serviços são projetados para suportar altas tensões intermitentes ou altas cargas de processamento recorrentes.
4. MEDIDAS PARA A PSEUDONIMIZAÇÃO DE DADOS PESSOAIS
O uso de IDs de pessoal, clientes e fornecedores em vez de nomes é priorizado para proteger os Dados Xxxxxxxx.
5. MEDIDAS PARA CRIPTOGRAFIA DE DADOS PESSOAIS
Existem medidas de criptografia de dados para proteger os Dados. A criptografia de Xxxxx em repouso e em trânsito pode ser aplicada ainda mais pelo Controlador ao usar o Serviço.
6. MEDIDAS PARA RESTAURAR RAPIDAMENTE A DISPONIBILIDADE DE DADOS PESSOAIS APÓS UM INCIDENTE FÍSICO OU TÉCNICO
O Operador realiza o armazenamento redundantes de Dados, e os backups são realizados nos bancos de dados regularmente. O Controlador tem a opção de configurar redundância para os dados processados por meio do serviço.
7. PROCEDIMENTOS PARA REVISÃO E AVALIAÇÃO PERIÓDICA
a) Gerenciamento de privacidade para impedir o fluxo de informações importantes para indivíduos não autorizados;
b) Proteção de dados por padrão;
c) Programa de Segurança da Informação (incluindo políticas como: Política de Gerenciamento de Vulnerabilidades, Política de Gerenciamento de Incidentes, Política de Recuperação de Desastres, etc.);
d) Programa de Conformidade com a LGPD;
e) Plano de continuidade dos negócios.
APÊNDICE 3: OPERADOR SUBCONTRATADO PELO OPERADOR
Nome da empresa Responsável pela Proteção de Dados Ponto de contato para responder perguntas sobre proteção de dados | Função | Local do Tratamento de Dados | Transmissão/acesso a Dados Pessoais do Controlador Categoria de dados e de titulares de dados | |
Amazon Web Services | Datacenter | São Paulo | Armazenamento de Dados |
Para dirimir questões, conflitos ou pendências decorrentes do presente ACORDO, as partes estabelecem que, primeiramente, buscarão a solução por meio de mediação consensual de cooperação voluntária e, não sendo viável a resolução do conflito ou controvérsia auxiliado por mediador extrajudicial, nos termos da Lei nº 13.140, de 26 de junho de 2015, as partes elegem o foro da Comarca de Barbacena/MG, com expressa renúncia a qualquer outro.
Por estarem assim justos e contratados, firmam o presente instrumento, em duas vias de igual teor.
Salvador/BA, 22 de julho de 2020