MODELO DE CLÁUSULA UNILATERAL DE PROTEÇÃO DE DADOS PESSOAIS

ESSE DOCUMENTO É PARTE INTEGRANTE DO GUIA DE GOVERNANÇA DA LGPD PARA REDE DE FRANQUIA

MODELO DE CLÁUSULA UNILATERAL DE PROTEÇÃO DE DADOS PESSOAIS

NOTA: as cláusulas abaixo correspondem a uma sugestão, sendo necessário que cada uma das empresas franqueadas avalie o que faz sentido para a relação contratual que está sendo estabelecida, realizando as adequações necessárias.

[Cláusula/Termo/Aditivo/Anexo] de Privacidade e Proteção dos Dados Pessoais

[Qualificação das Partes, quando cabível]

CONSIDERANDO QUE:

1. As Partes firmaram Contrato [inserir tipo do contrato], na data de [inserir data de formalização do Contrato], que se encontra vigente;

2. Para o cumprimento do Contrato, a Contratada (“Operadora”) realizará atividades de tratamento de dados pessoais em nome da Contratante (“Controladora”);

3. As Partes possuem interesse em estabelecer regramentos referentes à privacidade e a proteção de dados pessoais, considerando a Lei Geral de Proteção de Dados (Lei n. 13.709/2018 ou “LGPD”) e demais legislação aplicável às Partes sobre o tema (“Legislação de Proteção de Dados”).

1. Definições. Nesta [Cláusula/Termo/Aditivo/Anexo], serão aplicadas as definições a seguir:

• Legislação de Proteção de Dados: significa qualquer lei sobre privacidade e proteção de dados, incluindo a LGPD, à(s) qual(is) ambas as Partes estejam sujeitas em conexão com o Contrato (incluindo, sem limitação, e a título de exemplo, interpretações, decisões, acordos ou diretrizes de qualquer autoridade governamental);

• ANPD: significa a Autoridade Nacional de Proteção de Dados;

• Incidente de Segurança: significa qualquer evento adverso, relacionado à segurança dos dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco ou dano relevante aos titulares;

• Os demais termos, incluindo, mas não limitados a: “dados pessoais”; “dados pessoais sensíveis”; “controlador”; “operador”; “tratamento”, possuem o significado atribuído pelo artigo 5° da LGPD.

2. Escopo. Esta [Cláusula/Termo/Aditivo/Anexo] aplica-se a toda atividade de tratamento de dados pessoais da Controladora que seja realizada pela Operadora na execução do Contrato e em nome da Controladora. Esta [Cláusula/Termo/Aditivo/Anexo] permanecerá em vigor enquanto a Operadora tratar dados pessoais da Controladora em conexão com o Contrato, salvo pelas previsões que, por sua natureza, devem sobreviver ao término do Contrato, nos termos da Legislação de Proteção de Dados, como, mas não limitadas a: confidencialidade; remediação; retenção de dados; registros de tratamento.

3. Conformidade e Finalidade. A Operadora declara e garante que tratará os dados pessoais e os dados pessoais sensíveis (em conjunto, “dados pessoais”), oriundos da relação [contratual/comercial] entre as Partes, em estrita observância à Legislação de Proteção de Dados, bem como para a única finalidade de cumprir com as obrigações contratuais estabelecidas entre as Partes.

4. Operação. A Operadora atuará, em relação ao tratamento de dados pessoais decorrentes do presente instrumento, de acordo com as instruções, restrições e condições informadas pela Controladora. Caso a Operadora colete qualquer dado pessoal em nome da Controladora, esses dados pessoais deverão ser coletados de acordo com a forma, parâmetro ou exigência legal aplicável, de acordo com as instruções da Controladora. A Operadora deverá manter os registros de tratamento de dados pessoais e enviá-los à Controladora, conforme frequência, meio e formatos especificados por esta.

5. Medidas de Segurança. A Operadora declara e se compromete a adotar medidas de segurança físicas, técnicas e organizacionais aptas a proteger os dados pessoais contra acessos, perdas, alteração, revelação, destruição não autorizadas ou acidentais ou qualquer forma de tratamento ilícito ou em desconformidade com a Legislação de Proteção de Dados.

5.1. A Operadora deverá adotar, no mínimo, as seguintes medidas listadas abaixo:

• Controle e Hierarquia de acesso aos dados pessoais;

• Backup ou cópia de segurança dos dados pessoais;

• Mecanismos de dupla-autenticação ou autenticação multi-fatores;

• Políticas de governança interna, incluindo: Política de Segurança da Informação; Política de Privacidade e Política de Resposta a Incidentes de Segurança;

• Procedimentos de monitoramento de vulnerabilidades técnicas no ambiente da Operadora;

• [Preencher com outras eventuais medidas cabíveis].

6. Avisos. Informar à Controladora, em prazo não superior a 2 (dois) dias úteis, se (i) considerar que uma orientação sobre o tratamento de dados pessoais dada por esta viola Legislação de Proteção de Dados ou (ii) for obrigada por lei ou decisão de autoridade administrativa ou judicial a tratar dados pessoais que não tenham sido os acordados nesta [Cláusula/Termo/Aditivo/Anexo]; (iii) ocorrer qualquer mudança nas políticas, comunicados ou procedimentos relativos à proteção de dados pessoais da Operadora.

7.Subcontratação. A Operadora poderá contratar terceiros especializados no tratamento de dados pessoais, desde que comunique a Controladora; formalize instrumento contratual com este terceiro, que deve possuir o mesmo nível de proteção desta [Cláusula/Termo/Aditivo/Anexo]; e realize auditorias periódicas para garantir o tratamento adequado dos dados pessoais pelos terceiros. A Operadora será a única responsável pelas condutas dos terceiros que subcontratar em conexão a este Contrato.

8. Agentes da Operadora. A Operadora é a única e integral responsável por todos os atos e omissões de seus empregados, colaboradores, agentes e prepostos, do mesmo modo que com relação a seus próprios atos e omissões. As Operadora se comprometem a treinar e orientar seus colaboradores, empregados, agentes e prepostos sobre as disposições legais aplicáveis em relação à Proteção de Dados.

9. Incidentes de Segurança. Em caso de incidente de segurança com dados pessoais, efetivo ou razoavelmente suspeito, a Operadora notificará à Controladora, por escrito e em até 24 (vinte e quatro) horas, contadas de sua ciência. A Operadora empreenderá, às suas próprias expensas, uma investigação apropriada e envidará todos os esforços necessários de remediação para corrigir e impedir a recorrência de incidente de segurança, fornecendo todas as informações e requisitos previstos pela Legislação de Proteção de Dados à Controladora, permitindo que esta cumpra com as suas obrigações.

10. Notificações. A Operadora notificará à Controladora, em até 48 (quarenta e oito) horas, por escrito e contadas do recebimento de solicitações: (i) de requerimentos por parte da ANPD ou outra autoridade competente; (ii) de solicitações de titulares dos dados, tais como o direito de acessar, retificar, alterar seus dados pessoais.

10.1. A Operadora fornecerá à Controladora toda a assistência razoavelmente necessária para que esta cumpra suas obrigações perante a Legislação de Proteção de Dados.

10.2. A Operadora deverá notificar à Controladora, em até 24 (vinte e quatro) horas, contadas da notificação do item 10, caso não possa prestar a assistência previstas no item 10.1, fundamentando tal impossibilidade.

11. Eliminação dos dados pessoais. A Operadora, de acordo com as instruções da Controladora, deverá eliminar ou devolver os dados pessoais oriundos da relação contratual das Partes, mediante solicitação desta, exceto em casos de obrigação legal e/ou regulatória em contrário ou para exercício regular de direito em processos judiciais, administrativos e arbitrais.

12. Auditoria. A Operadora, mediante solicitação da Controladora realizada com antecedência mínima de 15 (quinze) dias, deverá disponibilizar informações e evidências relacionadas à conformidade com esta [Cláusula/Termo/Aditivo/Anexo] à Controladora ou outro auditor que a represente.

12.1. Caso a Controladora e/ou auditor que a represente identifique condutas da Operadora em violação à esta [Cláusula/Termo/Aditivo/Anexo], a Controladora notificará a Operadora, para que esta possa corrigir tal falha, dentro do prazo de 30 (trinta) dias ou outro prazo acordado pelas Partes, com o envio da evidência de adequação pela Operadora.

13. Transferência Internacional. A Operadora poderá transferir dados pessoais para países fora do Brasil, desde que (i) comunique previamente a Controladora; (ii) a transferência seja para uma jurisdição considerada pela ANPD como tendo um nível adequado de proteção de dados; (iii) a transferência esteja sujeita a disposições contratuais de acordo com o previsto na Legislação de Proteção de Dados; (iv) de acordo com uma estrutura considerada adequada e aprovada pela Controladora, composta de cláusulas gerais, políticas corporativas globais e códigos de conduta regularmente emitidos; ou (v) de acordo com um documento acordado por escrito entre as Partes e de acordo com as provisões da Legislação de Proteção de Dados.

14. Remediação. A Operadora concorda que a Controladora terá o direito de ser indenizada pela Operadora, por quaisquer perdas, danos, multas, custos ou despesas (incluindo despesas e desembolsos legais) incorridos pela Controladora e que resultem de uma incidente de segurança; falha na adoção de medidas de segurança exigidas pelo artigo 46 da LGPD; ou da não observância de quaisquer pontos desta [Cláusula/Termo/Aditivo/Anexo] em relação aos dados pessoais tratados decorrentes do presente instrumento, e que tais valores serão considerados perdas diretas e serão devidos pela Operadora à Controladora mediante comprovação.

15. Conflito. As Partes concordam que, em caso de divergência de documentos e/ou informações sobre Tratamento de Dados Pessoais entre o Contrato e este Anexo, aplicar-se-ão as condições previstas neste Anexo. Caso não haja divergência, aplicam-se as disposições deste Anexo e demais condições previstas no Contrato.

Agosto 2023