CLASSIFICAÇÃO: Reservado

Shape2


CLASSIFICAÇÃO: Reservado

DIRETORIA ADJUNTA DE COMPLIANCE, RISCOS CORPORATIVOS E CONTROLES INTERNOS - DCI

GERÊNCIA DE PRIVACIDADE E PROTEÇÃO DE DADOS – DCI/PR


Minuta Controlador x Operador V6


ANEXO II

TRATAMENTO DE DADOS PESSOAIS


O presente Anexo de Tratamento de Dados Pessoais (“Anexo”) é parte integrante do Convênio de Cooperação Técnico-Científica que entre si celebram a Cemig xxxxxxxxxxxxxx denominada PROPONENTE e xxxxxxxxxxxxxxxxxxxx denominada EXECUTORA (em conjunto “PARTES” e, isoladamente, “PARTE”), na data de assinatura.


CLÁUSULA 1 – DEFINIÇÕES


    1. Para fins de interpretação deste Aditamento, os termos definidos terão os seguintes significados:


  • Autoridade Nacional de Proteção de Dados ou ANPD: refere-se ao órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados (“LGPD”) em todo o território nacional;

  • Dados Pessoais: refere-se a quaisquer informações relacionadas a uma pessoa física identificada ou identificável. Refere-se também aos Dados pessoais Sensíveis, quando mencionados indistintamente;

  • Dados Pessoais Sensíveis: refere-se a Dados Pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

  • Incidente: refere-se a qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de informação, que ocasione, de maneira acidental ou ilegal, à destruição, perda, alteração, acesso ou aquisição não autorizada, divulgação, utilização abusiva ou acesso a Dados Pessoais não criptografados, transmitidos, armazenados ou de algum modo tratado pela outra PARTE;

  • Leis de Proteção de Dados Pessoais: refere-se a todas as leis de proteção e privacidade de dados que se apliquem às PARTES e/ou ao presente instrumento incluindo, mas não se limitando, a Lei Geral de Proteção de Dados brasileira (Lei Federal nº 13.709/2018, conforme alterada pela Lei Federal nº 13.853/2019, Lei 14.010/2020 e demais alterações), o Marco Civil da Internet (Lei Federal nº 12.965/14) e demais regulamentos a serem emitidos pelas autoridades competentes;

  • Terceiro: refere-se a qualquer pessoa autorizada a tratar Dados Pessoais, em nome de qualquer das PARTES, podendo, a depender do contexto, ser qualificado como operador ou suboperador de Dados Pessoais;

  • Tratamento: toda operação realizada com Dados Pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.


    1. Os demais termos aqui utilizados e não definidos acima, como “titular de dados”, “controlador” e “operador”, têm o significado constante da Lei Federal nº 13.709/2018.



CLÁUSULA 2 – DA PROTEÇÃO DE DADOS PESSOAIS


2.1. O presente Anexo visa estabelecer os termos e condições aplicáveis ao Tratamento de Dados Pessoais realizado para fins de execução do Convênio, especialmente o Tratamento pela EXECUTORA dos Dados Pessoais de clientes e funcionários da PROPONENTE, tratados para fins de prestar os serviços objeto do CONVÊNIO.


2.2. Para a execução do presente Xxxxxxxx a EXECUTORA irá tratar os seguintes dados pessoais em nome da PROPONENTE: [descrever os dados pessoais tratados nesta atividade, que serão compartilhados com o terceiro]. Todo o tratamento de dados realizado para fins do presente Convênio será regulado pelas condições dispostas no presente Anexo.


CLÁUSULA 3 – DECLARAÇÕES E GARANTIAS


3.1. A PROPONENTE declara e garante que:


3.1.1. Todo o tratamento dos Dados Pessoais, desde a coleta até o momento de seu compartilhamento com a EXECUTORA, foi realizado de acordo com o quanto disposto nas Leis de Proteção de Dados Pessoais, e que as instruções para o Tratamento de Dados Pessoais pelo EXECUTORA estão também de acordo com tais normas, incluindo o enquadramento de tal tratamento dentro das bases legais cabíveis e em atenção aos princípios previstos nas Leis de Proteção de Dados Pessoais;


3.1.2. Após a expiração ou rescisão do Convênio, instruirá a EXECUTORA sobre eventual obrigação de exclusão ou devolução dos Dados Pessoais disponibilizados à EXECUTORA, para os fins aqui dispostos, inclusive estabelecendo o prazo apropriado para tanto, de acordo com os critérios da legislação aplicável, incluindo as Leis de Proteção de Dados.


3.1.3. Mantêm políticas de governança em privacidade e proteção de Xxxxx Xxxxxxxx, com medidas de inibição de utilização indevida, planos de contingenciamento e eventual punição para casos de violações às obrigações legais e aqui estabelecidas, cumprem todas as Leis de Proteção de Dados Pessoais.


3.2. A EXECUTORA, por sua vez, declara e garante que:


3.2.1. Realiza o Tratamento de Dados Pessoais conforme indicado pela PROPONENTE, unicamente para a operacionalização deste Convênio e no seu contexto, tratando estes Dados Pessoais no limite do quanto necessário para o bom cumprimento das suas atividades;


3.2.2. Manterá registro de todas as operações de tratamento de Dados Pessoais que realizar, bem como implementará medidas de segurança, técnicas e administrativas necessárias para proteger os Dados Pessoais contra a destruição, acidental ou ilícita, a perda, a alteração, a comunicação ou difusão ou o acesso não autorizado, além de garantir que o ambiente (seja ele físico ou virtual) utilizado por ela para o tratamento de Dados Pessoais seja estruturado de forma a atender os requisitos de segurança, aos padrões de boas práticas de governança e aos princípios gerais previstos na legislação aplicável e nas demais normas regulamentares aplicáveis;


3.2.3. Firmará acordo de confidencialidade com todos os seus funcionários que possam vir a ter contato com as informações compartilhadas no curso deste Convênio, apresentando estes documentos quando caso solicitado pela PROPONENTE;


3.2.4. Seguirá as instruções da PROPONENTE no Tratamento dos Dados Xxxxxxxx, sendo que, caso não o faça, assumirá as responsabilidades de controlador dos Dados Pessoais quanto às ações tomadas em desacordo com as instruções da PROPONENTE;


3.2.5. Caso, por qualquer motivo, a EXECUTORA discorde de alguma instrução recebida da PROPONENTE relativa ao Tratamento de Dados Pessoais controlados pela PROPONENTE, deverá notificá-la, por escrito, justificando os motivos para tanto;


3.2.6. Prestará assistência à PROPONENTE, nos limites das obrigações impostas pela LGPD, ou qualquer outra lei que venha a tratar do assunto, caso a ANPD ou qualquer outra autoridade governamental ou Titular de Dados Pessoais requeira informações quanto à conformidade do Tratamento dos Dados Pessoais com a LGPD, na medida em que tais informações encontrem-se de posse da EXECUTORA, ou de terceiro que lhe assista nas atividades de Tratamento dos Dados Pessoais;


3.2.7. Implementará plano de resposta à Incidentes, comprometendo-se a fornecer à PROPONENTE toda e qualquer informação necessária para que ela tenha completo conhecimento com relação ao Incidente;


3.2.8. Seguirá a Política de Privacidade da PROPONENTE, em todas as situações que realizar o Tratamento de Dados Pessoais de clientes ou funcionários da PROPONENTE;


CLÁUSULA 4 – TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS


4.1. A EXECUTORA em nenhuma hipótese deverá transferir Dados Pessoais para fora do Brasil, nem permitirá o acesso aos Dados Pessoais por pessoa localizada fora do Brasil, responsabilizando-se integralmente por qualquer ato que realize neste sentido, mantendo indene a PROPONENTE de qualquer sanção administrativa ou judicial que venha a sofrer em razão desta atividade.


CLÁUSULA 5 – COMPARTILHAMENTO DE DADOS PESSOAIS


5.1. Nos termos do Convênio, admite-se que a EXECUTORA subcontrate parte das atividades que irá realizar, desde que autorizado pela PROPONENTE e estritamente para as finalidades previstas no Convênio, hipótese em que a EXECUTORA assumirá todos os ônus decorrentes do referido compartilhamento.


5.2. A EXECUTORA se compromete de que a subcontratada atenderá todas as disposições deste Anexo de Proteção de Dados Pessoais, responsabilizando-se diretamente por qualquer descumprimento das instruções ou das obrigações assumidas no presente documento.


5.3. A EXECUTORA manterá a PROPONENTE informadas sobre todos os Terceiros que terão acesso aos Dados Pessoais controlados pela PROPONENTE para o cumprimento das obrigações da EXECUTORA sob o Xxxxxxxx.


CLÁUSULA 6 – COOPERAÇÃO ENTRE AS PARTES


6.1. Caberá a PROPONENTE atender as requisições de exercício de direitos por parte dos Titulares ou de Dados Pessoais ou solicitações da ANPD ou de qualquer outra autoridade que venha a fiscalizar o Tratamento de Dados Pessoais deste Convênio.


6.2. Caberá à EXECUTORA, sempre que necessário e solicitado pela PROPONENTE, auxiliar no atendimento das requisições realizadas por Titulares ou por qualquer autoridade, tais como pedidos de acesso aos Dados Xxxxxxxx, correção de Dados Pessoais incompletos, inexatos ou desatualizados, anonimização, bloqueio ou eliminação de Dados Pessoais desnecessários ou excessivos, portabilidade dos Dados, dentre outros direitos previstos na legislação, cujo deferimento ou não ficará ao exclusivo critério da PROPONENTE.


6.3. Quaisquer informações solicitadas pela PROPONENTE deverão ser atendidas pela EXECUTORA de forma imediata ou no prazo máximo de 48 (quarenta e oito horas) horas, justificando os motivos da demora.


CLÁUSULA 7 – RESPOSTA DE INCIDENTES


7.1. Na ocorrência de qualquer Incidente que envolva os Dados Pessoais tratados em razão da presente relação contratual, a EXECUTORA deverá adotar, minimamente, os seguintes passos:


7.1.1. Notificação imediata à PROPONENTE, com tolerância de no máximo 24 (vinte e quatro horas) desde que a EXECUTORA justifique o motivo da demora, por meio de canal específico definido pelas Partes, devendo conter, no mínimo, as seguintes informações: (i) data e hora do Incidente; (ii) data e hora da ciência pela EXECUTORA; (iii) relação dos tipos de Dados Pessoais afetados pelo Incidente; (iv) número de usuários afetados (volumetria do Incidente) e, se possível, a relação desses indivíduos; (v) Dados de contato do Encarregado da EXECUTORA ou, não havendo Encarregado, a pessoa junto à qual seja possível obter maiores informações sobre o ocorrido; (vi) descrição das possíveis consequências do Incidente; (vii) medidas que estão sendo tomadas para a mitigação dos riscos.


7.1.2. Após notificada sobre o Incidente, a PROPONENTE dará orientações à EXECUTORA, que deverá providenciar: (i) a notificação dos Titulares afetados e da autoridade competente, como a Autoridade Nacional de Proteção de Dados, de acordo com a orientação e texto previamente aprovado pela PROPONENTE; (ii) a adoção de um plano de ação que pondere os fatores que levaram à causa do Incidente e aplique medidas que visem garantir a não recorrência de Incidentes da mesma natureza.


7.1.3. Para os Incidentes que tenham sido causados exclusivamente por culpa da EXECUTORA em desobediência às orientações da PROPONENTE, a EXECUTORA será integralmente responsável por eventuais sanções aplicadas. Xxxx a PROPONENTE seja responsabilizada judicial ou administrativamente, por sanções atribuídas em razão do Incidente causado por culpa da EXECUTORA, a EXECUTORA deverá ressarcir integralmente a PROPONENTE.


CLÁUSULA 8 – SEGURANÇA DOS DADOS


8.1. Durante o Tratamento, a EXECUTORA se responsabiliza pela manutenção de registro escrito das atividades e pela adoção de padrões de segurança sustentados nas melhores tecnologias disponíveis no mercado, devendo:


  1. Restringir o acesso aos Dados mediante a definição de pessoas habilitadas e responsáveis pelo Tratamento;

  2. Adotar medidas técnicas e organizacionais de segurança que garantam a inviolabilidade, a confidencialidade, a disponibilidade e a integridade dos Dados, tais como: (i) mecanismos de autenticação de acesso aos registros, como sistemas de autenticação dupla para assegurar a individualização do responsável pela atividade; (ii) anonimização, pseudonimização e encriptação dos Dados Pessoais; (iii) recursos que permitam a restauração da disponibilidade e do acesso aos Dados Pessoais de forma rápida em caso de Incidente; e (iv) processo de verificação contínua da implementação das referidas medidas técnicas e organizacionais;

  3. Manter inventário detalhado dos acessos aos Dados Pessoais e aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso e o arquivo acessado, inclusive quando tal acesso é feito para cumprimento das obrigações legais ou determinações definidas por autoridade competente;

  4. Registrar as atividades que envolvam transferência internacional de Dados Pessoais, indicando o país/organização de destino e adotando as garantias necessárias para que a transferência seja realizada de acordo com a LGPD e orientações definidas por autoridade competente;

  5. Xxxxxxxx, sempre que solicitado, relatório que evidencie a adoção de medidas de segurança técnicas e administrativas, contendo as seguintes informações: (i) relatório contendo informações sobre os sistemas e softwares utilizados para a gestão dos dados pessoais tratados em decorrência do Convênio, omitidas informações protegidas por segredo comercial ou confidencialidade com terceiros; (ii) declaração por escrito a respeito da aplicação de pseudonimização ou anonimização ao tratamento de dados pessoais tratados no âmbito do presente do Convênio, quando aplicável; (iii) relatório a respeito dos recursos que permitam a restauração da disponibilidade e do acesso aos Dados Pessoais, em caso de Incidente com os Dados Pessoais; e (iv) relatório sumarizado com relação ao último deste de segurança realizado nos sistemas, omitidas informações protegidas por segredo comercial ou confidencialidade.


8.2. A EXECUTORA reconhece que algumas informações podem relevar Dados Pessoais Sensíveis, os quais estão sujeitos a um maior rigor legal e, portanto, exigem maior proteção técnica e organizacional. Assim, a EXECUTORA somente poderá realizar operações de Tratamento de Dados Pessoais Sensíveis quando estritamente necessário para cumprir com as disposições do Convênio, devendo garantir a implementação de proteções técnicas apropriadas, aptas a manter a integridade, confidencialidade e segurança destas informações sejam implementadas.


8.3. Mediante prévia solicitação da PROPONENTE, a EXECUTORA deverá permitir que a PROPONENTE e/ou seus representantes realizem auditoria e avaliem programa de Segurança de Informação da EXECUTORA, suas instalações de Tratamento de Xxxxx Xxxxxxxx, bem como seu programa de conformidade de proteção de dados, para verificar a conformidade com o Convênio, este Anexo e as Leis de Proteção de Dados, e, conforme aplicável, de acordo com as instruções da PROPONENTE.


8.3.1. As Partes devem concordar mutuamente em relação ao escopo, ao tempo e à duração da auditoria de proteção de dados e segurança e, se necessário, à contratação de um auditor terceiro independente, cujos custos serão integralmente arcados pela PROPONENTE.


CLÁUSULA 9 – RESPONSABILIDADE


9.1. A EXECUTORA manterá a PROPONENTE integralmente isenta de quaisquer responsabilidades ou reivindicações dos Titulares do Dados Xxxxxxxx compartilhados pela PROPONENTE à EXECUTORA, com base em eventual Tratamento de Dados Pessoais em desacordo com as instruções deste Convênio e/ou este Anexo.


9.2. Ocorrendo a hipótese de serem ajuizadas ações pelos titulares dos Dados Pessoais contra a PROPONENTE, ou de serem recebidas pela PROPONENTE notificações de quaisquer órgãos públicos, com base no uso indevido de Dados Pessoais decorrente de falha da EXECUTORA, ou de eventuais Terceiros sob a responsabilidade da EXECUTORA, em tomar as devidas medidas para o Tratamento de tais Dados Pessoais nos termos do Convênio ou deste Anexo, deverá a EXECUTORA intervir nos processos, reivindicando a condição de demandado e requerendo a exclusão da PROPONENTE e, em caso de condenação da PROPONENTE, a EXECUTORA deverá ressarci-la pelo valor principal pago, bem como por todos os danos (incluindo lucros cessantes) e todas as despesas envolvidas na demanda.


CLÁUSULA 10 – TÉRMINO DO TRATAMENTO DE DADOS PESSOAIS


10.1. Após a expiração ou rescisão do Convênio, a EXECUTORA eliminará ou devolverá à PROPONENTE os materiais contendo Dados Pessoais que lhes foram disponibilizados para os fins dispostos no Convênio, no prazo informado pela PROPONENTE, e de acordo com os critérios da legislação aplicável.


10.2. Mesmo após a rescisão deste Convênio ou de outros acordos celebrados entre as Partes, as obrigações da EXECUTORA perdurarão enquanto ela tiver acesso, estiver em posse ou conseguir realizar qualquer operação de Tratamento dos Dados Pessoais envolvendo informações fornecidas pela PROPONENTE.


CLÁUSULA 11. – COMUNICAÇÃO ENTRE AS PARTES


11.1. A comunicação entre as PARTES, entre as PARTES e o Titular dos Dados Pessoais e também com a Autoridade Nacional de Proteção de Dados (“ANPD”) em assuntos relacionados ao Tratamento de Dados Pessoais se dará através do Encarregado pelo Tratamento de Dados Pessoais (“DPO”) de cada uma das PARTES, conforme os seguintes contatos:


PROPONENTE: (INSERIR PROPONENTE)

ENCARREGADO DE TRATAMENTO DE DADOS PESSOAIS

Endereço: Avenida Barbacena, 1.200, 13º andar, Ala b1, Bairro Santo Agostinho

Cidade/Estado: Belo Horizonte/MG

CEP: 30190-131

E-mail: xxxxxxxxxxx@xxxxx.xxx.xx

Telefone: (00) 0000-0000


EXECUTORA: (INSERIR EXECUTORA)

Nome: (INSERIR NOME)

Endereço: (INSERIR ENDEREÇO)

Bairro: (INSERIR BAIRRO)

CEP: (INSERIR CEP)

E-mail: (INSERIR E-MAIL)

Telefone: (INSERIR TELEFONE)


CLÁUSULA 12 – NULIDADE


12.1. Se qualquer disposição do presente Anexo for julgada inválida ou inexequível por qualquer tribunal ou órgão administrativo de jurisdição competente, a invalidade ou inexequibilidade de tal disposição não deverá afetar quaisquer outras disposições do presente Anexo e todas as demais disposições não afetadas por tal invalidade ou inexequibilidade permanecerão em pleno vigor e efeito.


CLÁUSULA 13 – CONFLITO


13.1. Este Anexo faz parte do Convênio, sendo que, caso existam disposições conflitantes dentro dos dois documentos, os termos e condições deste Anexo prevalecerão e os demais termos e condições do Convênio permanecerão inalterados.


CLÁUSULA 14 – SOLUÇÃO DE DISPUTAS


14.1. Caso haja quaisquer controvérsias entre as PARTES com relação à interpretação ou execução dos termos e condições presentes neste Anexo, o mecanismo de solução de disputas presente no Convênio será aplicável.


7

Document Metadata

Filed: June 10th, 2021