Acordo das Condições Gerais para o Tratamento de Dados Pessoais

Acordo das Condições Gerais para o Tratamento de Dados Pessoais

Este Acordo das Condições Gerais para o Tratamento de Dados Pessoais da Attus Telecom ("Operador"), regula as condições de tratamento de dados pessoais direcionados pelo Cliente (“Agente”) a partir do Contrato de Prestação de Serviços ("Contrato") que estabelece as condições dos serviços (“Serviços”).

1. ESCOPO

1.1. Tratamento de Dados Pessoais

1.1.1. Este Acordo das Condições Gerais de Tratamento de Dados Pessoais (“Acordo”) regulará o tratamento de Dados Pessoais que o Operador realiza em nome do Agente enquanto os Serviços estiverem sendo prestados “Dados Pessoais” se referem a qualquer informação relativa a uma pessoa natural identificada ou identificável.

1.1.2. Dada a natureza dos Serviços prestados pela Attus Telecom, os quais viabilizam estruturas de tecnologia da informação aos seus Clientes e possuem forte natureza de armazenamento de dados, então usualmente é tratado grande volume de dados gerais, o que inclui, também, Dados Pessoais. De igual forma, pela mesma natureza dos Serviços prestados, o Operador não controla, e tampouco poderia controlar, a natureza dos dados que são tratados a partir dos seus Serviços. Nessa linha, o Cliente declara, para todos os efeitos legais, que todos os dados tratados, em especial os Dados Pessoais, são obtidos e preservados a partir de pressupostos legais que autorizam o referido tratamento.

1.1.3. A Attus Telecom, na qualidade de Operador de Dados Pessoais, assegura que todas as infraestruturas empregadas possuem padrões de mercado aptos à finalidade contratada, sendo relevante, para os fins deste Acordo, que o Cliente avaliou e discutiu com o Operador formatos possíveis e configurações para as suas necessidades, estando ciente de que em segurança da informação os Serviços e níveis de segurança dependem de uma série de medidas adotadas pelo Cliente, as quais contam com os Serviços do Operador como a fração de um todo.

1.2. Extensão do Tratamento dos Dados Pessoais

1.2.1. O tratamento de Dados Pessoais a partir dos sistemas que compõem o leque de Serviços se dá para viabilizar sobretudo a prestação de serviços de tecnologia da informação, pelo Operador, ao Agente.

1.2.2. Os Dados Pessoais serão armazenados conforme os Serviços disponibilizados pelo Operador e de escolha do Cliente. Nesse sentido, os precisos locais de armazenamento de Dados Pessoais, bem como o local de seu tratamento dependerá do projeto e das soluções contratadas, restando desde já assegurado que, em caso de tratamento de Dados Pessoais a partir de soluções em nuvem poderá haver tratamento internacional, sempre condicionado o cumprimento, pelos Parceiros envolvidos, de governança e obrigações legais ao menos similares àquelas verificadas no Brasil para atendimento da LGPD.

1.3. Natureza e a finalidade do tratamento dos Dados Pessoais: o Tratamento de Dados Pessoais entre o Cliente e o Operador se dá para a execução do Contrato, tendo por principal objetivo a disponibilização dos Serviços e eventuais soluções correlatas, todas dispostas em Proposta Comercial.

1.3.1. Ainda, o Tratamento de Dados Pessoais poderá ser realizado por empresas terceiras e parceiros do Operador, ficando desde já estabelecido que o Cliente reconhece tal necessidade para fins de execução do Contrato e o oferecimento dos Serviços de forma integral.

1.3.2. O Operador assegura e garante que todo e qualquer parceiro necessário para disponibilização dos Serviços possui níveis aceitáveis de governança e proteção no que tange a segurança da informação e proteção de Dados Pessoais.

1.3.3. O Cliente, sempre que desejar, poderá verificar as políticas institucionais e termos e condições de uso de qualquer parceiro do Operador, os quais estarão devidamente informados, seja a partir de sites institucionais, seja a partir de requisição.

1.3.4. Outros detalhes sobre os Serviços, de igual forma, são previstos no Contrato e na Proposta Comercial.

2. OBRIGAÇÕES DO AGENTE

2.1. Cliente como Agente de Tratamento.

2.1.1. O Cliente continua a ser responsável pela legalidade de seu Tratamento, bem como pela proteção dos direitos dos titulares dos dados, em conformidade com as Leis de Proteção de Dados.

2.1.2. O Agente deverá disponibilizar informações seguras e suficientes para que se possa informar os titulares dos Dados Pessoais (“Titular”).

2.1.3. O Agente declara que o Tratamento de Dados Pessoais ocorre para o cumprimento de relacionamento com os Titulares de Xxxxx Xxxxxxxx, sendo certo que apresentou ou apresentará Política de Privacidade relacionada aos Dados Pessoais tratados pelo Operador para que tais atividades de tratamento sejam conhecidas pelos Titulares dos Dados Pessoais, o que se dará sempre que o consentimento for necessário. Quando aplicável, o Agente declara e assegura que o referido documento apenas será alterado se previamente encaminhado ao Operador, o que se dará sempre que considerado pertinente para o desempenho de suas atividades e para o exato conhecimento das condições estabelecidas em tais documentos.

2.1.4. O Agente, por sua vez, declara que os Dados Pessoais tratados a partir dos Serviços prestados foram obtidos de maneira legal, em especial com relação à LGPD.

2.2. Instruções

2.2.1. A fim de assegurar a adequação do tratamento de Dados Pessoais, dentro dos limites legais e segundo o que poderá estar previsto em Política de Privacidade, o Agente se reserva o direito de dar instruções ao Operador a qualquer momento.

2.2.2. Se a extensão das instruções recebidas do Agente exceder o que se espera que o Operador execute, conforme estabelecido no Contrato e na Proposta Comercial, o Agente poderá formalizar um aditivo ao Contrato, devendo haver mútuo consentimento com relação aos custos e demais impactos de tal aditivo, quando aplicáveis.

2.3. Obrigação de notificar

2.3.1. Se o Agente tiver conhecimento de que os Dados Pessoais que foram ou são tratados pelo Operador, de acordo com este Acordo, Proposta Comercial ou Contrato, foram ou são inadvertidamente conhecidos por terceiros não autorizados, o Agente informará o Operador sobre isso em tempo devido para permitir que o Operador tome as medidas técnicas, de governança e organizacionais necessárias do seu lado

2.4. Possibilidade de Customização

2.4.1. O Operador recomenda que a customização no tratamento de Dados Pessoais ocorra impreterivelmente em estrito atendimento à finalidade e necessidade de tratamento pelo Agente, sempre que aplicável ou dentro dos estritos limites do cumprimento de dever legal. O Agente declara que tem conhecimento e reconhece que a utilização de customizações implica em riscos que devem ser previamente estudados pelo Agente e que apenas ocorrerão dentro da necessidade e finalidade exigidas para o cumprimento dos Serviços e para o atendimento às necessidades do Titular.

2.5. Em casos em que a customização dos Serviços implique em violação dos direitos do Titular dos Dados Pessoais, o Agente será plenamente responsável por arcar com todas as despesas, multas e indenização decorrentes dessaviolação.

2.6. Acesso aos Dados Pessoais por meio de API

2.7. Os Serviços disponibilizados permitem que o Agente, por meio de parceiros, empregue APIs que viabilizam o compartilhamento dos Dados Pessoais com tais parceiros e o próprio Agente. Tais parceiros são incluídos e gerenciados pelo Agente, o que se dá com o suporte do Operador quando solicitado. Os Dados Pessoais podem ser coletados a partir dos Serviços, mas os resultados do uso de tais dados são integralmente desconhecidos pelo Operador, o qual não tem qualquer acesso ou outro tipo de conhecimento sobre as atividades dos parceiros e eventualmente do próprio Agente.

2.8. Agente e parceiros referidos no item anterior possuem pleno conhecimento das condições específicas de uso dos Serviços. Dessa forma, não há qualquer espécie de solidariedade ou responsabilidade conjunta do Operador em relação aos parceiros, ressaltando que o Operador não participa na relação entre Agente e parceiros.

2.9. Em consequência do supramencionado, o Operador não possui qualquer responsabilidade por eventuais prejuízos, falhas ou violações de direitos de Titulares, devendo o Agente arcar com todas as despesas, multas e indenização decorrentes de qualquer ocorrência.

2.10. Supervisão de Instalações e Manutenções

2.11. As instalações APIs será realizada sob a supervisão de um responsável designado pelo Agente ou pelo próprio Agente Dessa forma, todo acesso ao ambiente de Dados Pessoais do Agente deverá sempre ocorrer mediante a supervisão de algum designado, o que não impede eventual monitoramento pelo Operador.

3. DEVERES DO OPERADOR

3.1. Requisito para observar as instruções

3.2. O Operador deverá tratar exclusivamente os Dados Pessoais como parte, e com a finalidade do fornecimento de Serviços ao Agente e de acordo com as instruções documentadas do Agente.

3.3. O Operador não poderá tratar os dados pessoais de nenhuma outra forma e para nenhum outro fim que não seja estritamente a disponibilização dos Serviços, a menos que seja obrigado a fazê-lo de acordo com as Leis de Proteção de Dados Pessoais aplicáveis ao Operador; em tal caso, o Operador deverá informar o Agente desse requisito legal antes do tratamento, a menos que essa lei proíba tal informação.

3.4. Obrigação de informar

3.4.1. O Operador deverá informar o Agente sempre que, em sua opinião, uma instrução dada pelo Agente violar as disposições aplicáveis em relação à proteção de Xxxxx Xxxxxxxx. O Operador terá o direito de suspender a execução da referida instrução até que seja confirmada ou modificada pelo Agente.

3.4.2. O Operador tem obrigação de apontar, em caso de suspensão, o embasamento legal capaz de evidenciar que a instrução dada viola a proteção de Dados Pessoais.

3.5. Obrigação de fornecer suporte

3.5.1. O Operador deverá, a pedido do Agente, prestar suporte adequado ao Agente nas hipóteses em que suas obrigações em relação aos titulares dos Dados Xxxxxxxx possam ser cumpridas apenas (particularmente a obrigação de fornecer ao titular dos Dados Pessoais detalhes sobre o tratamento dos seus Dados Pessoais) mediante seus comentários, informações e apresentação de subsídios.

3.5.2. O Operador deverá encaminhar ao Agente solicitações dos titulares de Dados Pessoais que forem eventualmente direcionadas diretamente ao próprio Operador. O Operador deverá também, mediante solicitação do Agente, auxiliar o Agente a garantir sua conformidade em relação à segurança dos Dados Pessoais (segurança do tratamento, notificação de violação de Dados Pessoais à autoridade competente, comunicação de violação de Dados Pessoais ao titular dos dados, dentre outras), bem como uma avaliação de impacto de proteção de dados potencialmente necessária e consultas prévias, em cada caso, tendo em conta a natureza do tratamento e as informações disponíveis.

3.6. Retificação, exclusão e bloqueio.

3.6.1. Se os Dados Xxxxxxxx precisarem ser retificados, excluídos ou bloqueados, o Agente deverá realizar isso por conta própria caso haja ferramenta tecnológica relacionada aos Serviços que permita tal medida diretamente pelo Agente.

3.6.2. Se isso não for possível, o Operador assumirá as tarefas de retificação, exclusão e bloqueio, seguindo as instruções do Agente.

3.7. Localização do tratamento de Dados Pessoais.

3.8. Os Dados Pessoais estarão armazenados em adequação com os Serviços escolhidos e acordados pelo Cliente por meio da Proposta Comercial. De todo modo, a mesma Proposta Comercial prevê quais serão as localidades de armazenamento e tratamento de Dados Pessoais, sempre de acordo com os Serviços escolhidos pelo Cliente. Nesse sentido, o Operador poderá, ou não, realizar o tratamento de Dados Pessoais em ambiente próprio, restando assegurado de que o Cliente estará ciente de quando e como tal tratamento será conduzido.

3.9. O Agente é completa e unicamente responsável pela segurança dos Dados Pessoais que ficam armazenados em seu ambiente ou em ambiente por este determinado.

3.10. Encarregado

3.10.1. O Operador deve ter um responsável designado para tratativas relacionadas à proteção de Dados Pessoais. O Operador deverá fornecer os dados de contato do seu Encarregado ao Agente mediante solicitação.

3.11. Confidencialidade dos Dados Pessoais

3.11.1. O Operador deve familiarizar os seus colaboradores e terceiros com as disposições regulamentares de proteção de Xxxxx Xxxxxxxx, e deve vinculá-los, por escrito, a manter a confidencialidade e sigilo de tais Dados Pessoais.

3.11.2. Esta obrigação de sigilo aplica-se especialmente às pessoas encarregadas da tarefa de tratamento de Dados Pessoais e demais dados que, pela sua natureza, estejam tutelados e protegidos por confidencialidade, incluindo, mas não se limitando a informações do Agente relacionadas a segredo de negócio, dados financeiros, patentes, registros e todos os demais dados que sejam classificados como confidenciais no Contrato ou em qualquer outro documento que vincule o Agente e o Operador.

3.11.3. Referida obrigação continuará a se aplicar ao Operador mesmo após o término do Contrato e aos seus colaboradores mesmo após a relação de trabalho ou serviços que estes possuam com o Operador, restando desde já consignado que ao término de quaisquer Serviços, pela natureza destes, os Dados Pessoais serão eliminados ou de qualquer forma transferidos ao Cliente, conforme ajuste prévio.

3.12. Obrigação de notificar

3.12.1. Se os Dados Pessoais relacionados aos Serviços prestados ao Agente forem conhecidos por terceiros não autorizados de forma ilegal, ou seja, em violação das leis de proteção de Dados Pessoais aplicáveis, deste Acordo ou das instruções dadas pelo Agente, o Operador então deverá informar, em prazo razoável, ao Agente o ocorrido, indicando igualmente medidas de regularização adotadas e aquelas por adotar.

3.13. Medidas técnicas e organizacionais

3.13.1. Levando em conta o estado da arte da tecnologia, os custos de implementação, a natureza, escopo, contexto e finalidades do processamento, o segmento de atuação do Agente, bem como o risco provável de variabilidade e a gravidade dos direitos e liberdades das pessoas, o Operador deverá implementar medidas técnicas e organizacionais para garantir um nível de segurança adequado.

3.13.2. Além disso, o Operador deverá tomar medidas para assegurar que qualquer pessoa agindo sob sua autoridade, que tenha acesso aos Dados Xxxxxxxx, não os utilize, exceto sob instruções do Agente, a menos que seja obrigado a fazê-lo de acordo com as Leis de Proteção de Dados.

3.14. Seguro

3.14.1. Sempre que houver risco potencial de vazamento ou descumprimento da proteção de Dados Pessoais capazes de impactar a atividade do Agente (suspensão ou interrupção das suas atividades), então o Operador poderá ter cobertura de seguro apropriada durante todo o prazo deste Contrato para possíveis reclamações de responsabilidade decorrentes ou relacionadas a este Contrato, o que implicará em custos adicionais aos Serviços e sempre decorrerá de mútuo acordo das partes.

3.15. Obrigação de indenizar

3.15.1. Se um terceiro (inclusive autoridades públicas) fizer reclamações contra o Agente e/ou acusá-lo de violação de contrato com fundamento na violação das obrigações do Operador, o seguinte será aplicado: O Operador, se

comprovadamente responsável, concederá indenização ao Agente contra essas reivindicações, nos termos do Contrato, fornecerá ao Agente suporte adequado para sua defesa legal e indenizará o Agente pelo custo razoável da defesa legal, nos termos do Contrato.

3.15.2. A obrigação de indenizar somente será válida se o Agente informar ao Operador de quaisquer reivindicações alegadas por escrito e sem demora indevida, não sendo considerada confissão ou qualquer outra declaração semelhante para esse efeito, permitido que o Operador, às próprias custas e tanto quanto for procedimentalmente possível, conduzir todos os processos judiciais e extrajudiciais relativos às reclamações.

3.16. Gestão de Backup de Dados Pessoais

3.16.1. O Backup dos Dados Pessoais coletados, se e desde que contratado por meio das atividades realizadas para o Agente por meio da utilização dos Serviços, se dá no ambiente determinado em Proposta Comercial, de acordo com os Serviços escolhidos pelo Cliente.

3.16.2. Eventual pedido de restauração de Xxxxx Xxxxxxxx, se contratada, deverá ser acessada ou obtida a partir dos Serviços e canais de atendimento.

3.16.3. A portabilidade e condições para realização de Backup dos Dados Pessoais, quando existentes e sob controle do Operador, deverá ocorrer segundo critérios claros e disponibilizados sempre que solicitado. Desde já fica ressaltada a impossibilidade de realização de portabilidade por meio de mídias como CDs e pendrivers, tendo em vista que geram riscos de vazamento, uso e acesso não autorizados.

4. O DIREITO DO AGENTE DE REALIZAR AUDITORIAS

4.1. Medidas necessárias

4.1.1. O Operador deve usar processos e fluxos de tratamento de Dados Pessoais capazes de serem auditados e supervisionados.

4.2. Auditorias

4.2.1. Na medida do necessário e tecnicamente possível, o Agente tem permissão para auditar (por si ou por auditor, mandatado pelo Agente) a conformidade do Operador com:

4.2.1.1. os regulamentos legais em relação à proteção de dados,

4.2.1.2. os acordos contratuais feitos pelas partes, e

4.2.1.3. as instruções do Agente

4.2.2. O Operador deverá contribuir para essas auditorias e disponibilizar ao Agente todas as informações necessárias para demonstrar sua conformidade. Antes de realizar auditorias nas instalações comerciais do Operador, o Agente deverá fornecer um aviso, por escrito, com pelo menos duas semanas de antecedência.

4.2.3. As auditorias devem ser realizadas pelo Agente durante o horário comercial normal e sem causar qualquer interrupção nas operações comerciais. Cada parte deverá cobrir seus próprios custos de, ou em conexão com as auditorias.

4.3. Interesses legítimos do Operador

4.3.1. Se, ao realizar as auditorias, os segredos comerciais e de negócios do Operador puderem ser revelados, ou se a propriedade intelectual do Operador puder ser comprometida, o Agente deverá realizar as auditorias por um terceiro especialista independente, que é obrigado a manter a confidencialidade em respeito ao Operador.

5. SUBCONTRATAÇÃO

5.1. Uso de subcontratados

5.1.1. O Operador estará autorizado a contratar subcontratados para tratar os Dados Pessoais, desde que o Operador assine um contrato, por escrito ou eletrônico, com o subcontratado relativo ao tratamento dos Dados Pessoais e que o nível de proteção fornecido por tal contrato seja igual ou maior que o deste Contrato.

5.1.2. O Operador deverá informar ao Agente sempre que quaisquer alterações pretendidas relativas à adição ou substituição de subcontratados possa impactar o nível de segurança e as condições previstas neste Acordo. Em tais casos, o Agente poderá se opor à modificação, havendo a possibilidade de término do Contrato, o que deverá ocorrer nos termos previstos em tal documento. Se o Agente não apresentar seu consentimento formal em até(trinta) dias após o recebimento da comunicação, então o consentimento será considerado dado.

5.2. Responsabilidade pelos subcontratados

5.2.1. Quando um subcontratado não cumprir suas obrigações de proteção de Xxxxx Xxxxxxxx, o Operador permanecerá totalmente responsável perante o Agente pela execução das obrigações do subcontratado.

6. PRAZO

6.1. Prazo

6.1.1. A vigência deste Acordo corresponderá ao prazo do Contrato mais 30 (trinta) dias, sendo certo que as condições de rescisão e término previstos no Contrato são replicadas neste Acordo.

6.2. Dados Pessoais no momento de término do Contrato.

6.2.1. O Operador irá apagar os Dados Pessoais decorrentes dos Serviços prestados ao Agente de todos os seus meios de armazenamento de dados e destruir qualquer documentação relevante que detenha até 15 (quinze) dias após o término do Contrato, desde que o Operador não seja legalmente obrigado a continuar armazenando tais Dados Pessoais.

6.2.2. O Agente será responsável por exportar os Dados Pessoais em tempo hábil, antes do final desse período, e salvá-los para seu próprio uso continuado.

6.3. Cópias de segurança

6.3.1. A obrigação supramencionada de apagar não se aplicará às cópias dos Dados presentes nas cópias de backup regularmente criadas e armazenadas nos conjuntos de dados do Operador, o que exigiria que o Operador investisse recursos significativos para realizar uma exclusão isolada, sendo que esses seriam automaticamente excluídos ou substituídos como parte do ciclo de backup que o Operador deve aplicar.

6.3.2. Até que a exclusão ou substituição automática ocorra, qualquer recuperação ou outro uso de tais cópias é proibido após o término deste Acordo. O Agente pode solicitar ao Operador que elimine tais cópias de segurança imediatamente se o Agente reembolsar o Operador pelos custos razoáveis incorridos por este; isso também inclui a compensação pelo horário de trabalho incorrido do pessoal do Operador.

7. DISPOSIÇÕES GERAIS

7.1. O relacionamento entre as partes deste Acordo é e será estabelecido como de contratantes independentes.

7.2. Nenhuma das partes terá autoridade para prestar declarações, garantias ou compromissos de qualquer tipo, ou praticar qualquer ato que vincula a outra parte, salvo se autorizado previamente por escrito pela outra parte.

7.3. As obrigações de cada uma das partes serão suspensas pelo prazo em que a parte em questão for impedida de cumpri- las, no todo ou em parte, por quaisquer casos fortuito ou de força maior.

7.4. Nesse caso, a parte impossibilitada de cumprir suas obrigações deverá notificar a outra parte, especificando em detalhes razoáveis a natureza do evento causador da suspensão A parte que suspendeu o cumprimento de suas obrigações deverá:

7.4.1. reassumir o cumprimento de suas obrigações previstas neste ato tão logo seja razoavelmente praticável, após terminarem ou cessarem os efeitos das circunstâncias que impediram o cumprimento tal como previsto acima, e;

7.4.2. imediatamente notificar por escrito à outra parte a respeito da retomada das obrigações A suspensão, em qualquer caso, não poderá se estender por mais de(sessenta) dias.

7.5. as alterações ao presente Acordo deverão ser feitas mediante documento escrito, assinado por ambas as partes, restando avençado que a validade deste Acordo independe da validade do Contrato, ainda que parcial ou total.

7.6. No caso de uma ou mais das disposições contidas neste Acordo, por qualquer motivo, for considerada inválida, ilegal ou inexequível, as demais disposições deste Acordo permanecerão exequíveis.

7.7. Todas as notificações, anúncios e demais comunicações nos termos deste Acordo deverão ser efetuadas às partes por escrito, entregues pessoalmente ou enviadas por meio de carta protocolada ou com aviso de recebimento, fac-símile ou outro meio semelhante de comunicação, nos respectivos endereços que vierem a ser fornecido pelas Partes pelos meios de comunicação aqui previstos. As comunicações enviadas por fac-símile serão consideradas efetivamente recebidas quando expedidas.

7.8. A tolerância, por qualquer das partes, a qualquer violação pela outra parte de qualquer termo ou disposição deste Acordo não constitui renúncia ao exercício do direito contido no termo ou disposição em questão, ou a quaisquer outros termos ou disposições deste instrumento. A renúncia ao exercício de direitos previstos neste Acordo só será válida se for feita por escrito e assinada pela parte renunciante.

7.9. As partes assumem também, perante a outra parte, a obrigação de manifestar-se pela exclusão da parte inocente de todo e qualquer processo administrativo ou judicial que seja proposto por qualquer pessoa com vínculo relacionado a uma parte, isentando a parte inocente de qualquer ônus ou responsabilidade, assumindo, inclusive, as obrigações de pagamento decorrentes de tais processos.

7.10. As partes elegem o Foro do Contrato como competente para dirimir quaisquer conflitos originados ou relacionados a este Acordo.

7.11. Os respectivos direitos e obrigações das partes previstos nos itens que tratam de obrigações que, pela natureza destas se sobrepõem ao tempo do Contrato, continuarão em vigor após a rescisão ou término deste Contrato.

8. Controle e Histórico de alterações:

Versão 1.0 Data 18.10.2021 Versão Inicial