PROTEÇÃO DE DADOS PESSOAIS
PROTEÇÃO DE DADOS PESSOAIS
Caso a execução do Contrato requeira que a CONTRATADA efetue qualquer tratamento de Xxxxx Xxxxxxxx, que estejam sobre controle da CONTRATANTE, aplicar-se-á a presente Cláusula.
1. Definições
(a) "Controlador", "Operador", "Titular dos dados", "Dados Pessoais", "Tratamento" terão os significados definidos na Lei Geral de Proteção de Dados; e
(b) “Lei de Proteção de Dados” significa o conjunto de todas as leis, normas e regulamentos que regem o tratamento de Dados Pessoais, especificamente a Lei Geral de Proteção de Dados – Lei nº 13.709 de 14/08/2018 (“LGPD”), o Regulamento Geral Europeu de Proteção de Dados (“GDPR”), este, naquilo que for aplicável, assim como as normas e regulamentos adotados pelas autoridades de proteção de dados brasileiras.
2. Relacionamento das partes
2.1 A CONTRATANTE atuará como “Controlador” dos Dados Pessoais. A CONTRATADA atuará como “Operador” dos Dados Pessoais.
2.2 Os Dados Pessoais somente serão tratados nos casos seguintes casos: (i) para o cumprimento de obrigação legal ou regulatória pelo Controlador; e/ou (ii) quando necessário para a execução do Contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; e/ou (iii) para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); e/ou (iv) quando necessário para atender aos interesses legítimos do Controlador ou de terceiros; e/ou (v) para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente; e/ou (vi) mediante o fornecimento de consentimento, por escrito, pelo Titular, caso o tratamento não seja realizado para as hipóteses previstas nos itens acima (“Finalidades Permitidas”).
3. Conformidade das Partes
3.1 O Operador processará os Dados Pessoais do Controlador somente de acordo com as instruções escritas fornecidas por este. Ademais, caso o Operador considere que não possui informações suficientes para o tratamento dos Dados Pessoais de acordo com o Contrato ou, ainda, que uma instrução infringe a Lei de Proteção de Dados, o Operador notificará o Controlador e aguardará novas instruções.
3.2 O Operador se certificará que seus empregados, representantes, prepostos ou subcontratados autorizados agirão de acordo com este Contrato, a Lei de Proteção de Dados e as instruções transmitidas pelo Controlador. Ademais, o Operador se certificará que as pessoas autorizadas a tratar os Dados Pessoais assumam um compromisso de confidencialidade que sejam, pelo menos, tão rigorosos quanto as obrigações de confidencialidade do Operador nos termos deste Contrato ou estejam sujeitas a adequadas obrigações legais de confidencialidade.
3.3 Se o titular dos dados, autoridade de proteção de dados, ou terceiros solicitarem informações para o Operador relativas ao tratamento de Dados Pessoais, o Operador submeterá esse pedido à apreciação do Controlador. O Operador não poderá, sem instruções prévias do Controlador, transferir ou, de qualquer outra forma, compartilhar e/ou garantir acesso aos Dados Pessoais ou a quaisquer outras informações relativas ao tratamento de Dados Pessoais a qualquer terceiro.
4. Subcontratação
4.1 O Operador não poderá transferir Dados Pessoais para fora do território nacional, nem terceirizar, para uma subcontratada, o tratamento de Dados Pessoais sem a prévia autorização do Controlador, por escrito.
4.2 Se for aprovada a contratação de subcontratadas, o Operador assegurará que tais subcontratadas assumam contratualmente o cumprimento de obrigações correspondentes às obrigações contidas neste Contrato. Nos casos em que uma subcontratada deixar de cumprir sua obrigação de proteger os dados, o Operador será responsável perante o Controlador pelo cumprimento das obrigações da subcontratada.
4.3 Se o Controlador aprovar a utilização de subcontratadas, o Operador, prontamente, informará o Controlador, por escrito, de quaisquer mudanças pretendidas relativas à adição ou substituição dessas subcontratadas, dando ao Controlador, dessa forma, a oportunidade de impugnar essas mudanças. Caso o Controlador venha a impugnar essas mudanças, o Operador não procederá com a utilização das subcontratadas.
4.4 Em todo o caso de subcontratação, o Operador permanecerá integral e solidariamente responsável perante o Controlador pelos atos, erros e omissões de qualquer subcontratado que ele indicar para processar os Dados Pessoais do Controlador. Ademais, antes de uma subcontratação, o Operador deve realizar as devidas diligências para garantir que a subcontratada seja capaz de fornecer o nível de proteção para os Dados Pessoais do Controlador exigidos pelo Contrato e pela Lei de Proteção de Dados.
5. Transferências internacionais de Dados Pessoais
5.1 Se os Dados Pessoais vierem a ser transferidos para uma subcontratada localizada fora do território nacional, o Operador assegurará que cláusula semelhante à deste Contrato faça parte do contrato celebrado com a subcontratada ou assegurará que essa transferência seja, de outra forma, permitida pela Lei de Proteção de Dados.
6. Segurança
6.1 Durante todo o prazo do Contrato e em todos os momentos de sua execução, e levando em consideração as técnicas razoáveis, os custos de implementação e a natureza, escopo, contexto e finalidades do tratamento dos Dados Pessoais do Controlador, bem como o risco de probabilidade e severidade variáveis para os direitos e liberdades das pessoas físicas, o Operador, em relação aos Dados Pessoais do Controlador, implementará e manterá medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado a esse risco.
6.2 Ao avaliar o nível apropriado de segurança, o Operador deve levar em conta, em particular, os riscos apresentados pelo processamento de Dados Pessoais do Controlador, em particular, qualquer violação de segurança que leve à destruição acidental ou ilegal, perda, alteração ou divulgação não autorizada ou acesso a essas informações (uma "Violação de Dados").
7. Violações de Dados Pessoais
7.1 Após o Operador ou qualquer um de seus subcontratados tomar conhecimento de uma violação de dados, o Operador notificará o Controlador, no mais tardar em vinte e quatro (24) horas após tomar conhecimento de uma Violação de Xxxxx, fornecendo ao Controlador informações suficientes para permitir que ele cumpra todas as obrigações de relatar ou informar os Titulares dos Dados da Violação de Dados. Essa notificação deve conter, no mínimo: (i) descrição da natureza da violação de dados, as categorias e os números dos titulares de dados envolvidos, bem como as categorias e o número aproximado de Dados Pessoais do Controlador implicados; (ii) o nome e os detalhes de contato do responsável pela proteção de dados do Operador ou outro contato relevante para que mais informações possam ser obtidas; (iii) descrição das prováveis consequências da violação de dados; e (iv) descrição das medidas adotadas ou propostas de serem adotadas para solucionar a violação de dados, incluindo medidas para mitigar seus possíveis efeitos adversos.
7.2 O Operador deve cooperar com o Controlador e tomar as medidas razoáveis, conforme as instruções do Controlador, para auxiliar na investigação, mitigação e correção de cada violação de dados.
8. Direitos de Cooperação e dos Titulares dos Dados
8.1 O Operador, prontamente, prestará assistência ao Controlador, assegurando o cumprimento da obrigação de responder às solicitações dos titulares de dados, incluindo pedidos de acesso, retificação, bloqueio, restrição, apagamento, portabilidade de dados, ou o exercício de quaisquer outros direitos dos titulares de dados com base na Lei de Proteção de Dados. O Operador também assistirá o Controlador, por meio da implementação das devidas medidas técnicas e organizacionais sugeridas por este, para que o Controlador possa cumprir suas obrigações de responder a tais pedidos.
8.2 O Operador prestará assistência ao Controlador no cumprimento de suas outras obrigações, de acordo com a Lei de Proteção de Dados, nos casos em que estiver implícita a assistência do Operador e/ou nos casos em que for necessária a assistência do Operador para que o Controlador cumpra suas obrigações, incluindo aquelas relativas à segurança do tratamento, violações de Dados Pessoais, avaliação de impacto de proteção de dados, e consulta prévia a autoridades de proteção de dados.
9. Avaliação de impacto na proteção de dados e consulta prévia
9.1 O Operador deve fornecer assistência razoável ao Controlador em todas as avaliações de impacto na proteção de dados e consultas prévias com as autoridades de supervisão ou outras autoridades competentes de privacidade de dados, as quais o Controlador razoavelmente considerar, conforme exigidos pela Lei de Proteção de Dados.
10. Exclusão ou devolução de Dados Pessoais do Controlador
10.1 Após o término ou rescisão do Contrato, o Operador (mediante solicitação do Controlador) destruirá ou devolverá ao Controlador, a critério deste, todos os Dados Pessoais do Controlador em sua posse ou controle.
11. Direitos de auditoria
11.1 O Operador disponibilizará ao Controlador, mediante solicitação, todas as informações razoáveis e necessárias para demonstrar a conformidade com o Contrato e permitirá e contribuirá para auditorias, incluindo inspeções, pelo Controlador ou por um auditor mandatado, em relação ao processamento dos Dados Pessoais do Controlador.
12. Responsabilidade das Partes
12.1 As Partes serão responsabilizadas por quaisquer multas impostas por autoridades de proteção de dados, como multa ao Controlador ou ao Operador por violarem a Lei de Proteção de Dados.
12.2 A Parte culpada pela violação indenizará a Parte inocente, suas afiliadas, e seus respectivos diretores, conselheiros, empregados, prepostos, clientes e representantes contra qualquer responsabilidade, dano, prejuízo, custo e despesas, incluindo, mas não se limitando aos devidos honorários advocatícios, as multas, penalidades ou custos investigativos relativos a demandas contra a Parte inocente que surgirem em razão do não cumprimento por parte da Parte culpada.
13. Ordem de precedência
13.1 Com relação a esta cláusula, no caso de inconsistências entre as disposições desta e quaisquer outras partes do Contrato, as disposições desta Cláusula prevalecerão.