Contract
1. PROTEÇÃO DOS DADOS PESSOAIS
1.1. Proteção dos Dados Pessoais. A Contratada, por si e por seus colaboradores, obriga-se, sempre que aplicável, a atuar no presente Contrato em conformidade com a Legislação vigente sobre proteção de dados relativos a uma pessoa física (“Titular”) identificada ou identificável (“Dados Pessoais”) e as determinações de órgãos reguladores/fiscalizadores sobre a matéria, em especial a Lei 13.709/2018 (“Lei Geral de Proteção de Dados”), além das demais normas e políticas de proteção de dados de cada país onde houver qualquer tipo de tratamento dos Dados Pessoais sob responsabilidade da Xxxxxxx.
1.2. Diretrizes de tratamento. Considerando que competirá à Arteris as decisões referentes ao tratamento dos Dados Pessoais (“Controladora”) e que a Contratada realizará o tratamento dos Dados Pessoais em nome da Xxxxxxx (“Operadora”), a Contratada seguirá as instruções recebidas da Xxxxxxx em relação ao tratamento dos Dados Pessoais, além de observar e cumprir as normas legais vigentes aplicáveis, devendo a Contratada garantir a licitude e idoneidade do tratamento, sob pena de arcar com as perdas e danos que eventualmente possa causar, sem prejuízo das demais sanções aplicáveis.
1.2.1. A Contratada deverá corrigir, completar, excluir e/ou bloquear os Dados Pessoais ou, ao menos, fornecer os meios necessários para tanto, caso seja solicitado pela Arteris.
1.3. Solicitações de Titulares. A Contratada deverá notificar a Arteris sobre as reclamações e solicitações dos Titulares de Dados Pessoais que eventualmente receber (por exemplo, sobre a correção, exclusão, complementação e bloqueio de dados).
1.4. Confidencialidade dos Dados Pessoais. A Contratada, incluindo os seus colaboradores, compromete-se a tratar todos os Dados Xxxxxxxx como confidenciais, exceto se já eram de conhecimento público prévio, ainda que este Contrato venha a ser resolvido e independentemente dos motivos que derem causa ao seu término ou resolução.
1.5. Governança e segurança. A Contratada compromete-se a adotar medidas, ferramentas e tecnologias necessárias para garantir a segurança dos dados e cumprir com suas obrigações, sempre considerando o estado da técnica disponível.
1.5.1. A Contratada deverá cumprir com os requisitos das medidas de segurança técnicas e organizacionais para garantir a confidencialidade, pseudonimização e a criptografia dos Dados Pessoais, inclusive no seu armazenamento e transmissão.
1.5.2. Sempre em observância ao estado da técnica, a Contratada compromete-se a utilizar tecnologias visando à proteção das informações em todas as comunicações, especialmente nos compartilhamentos de Dados Pessoais pela Contratada à Arteris, a exemplo de padrão seguro de transmissão dados e criptografia.
1.5.3. A Contratada deverá manter registro das operações de tratamento de Dados Pessoais que realizar, bem como implementar medidas técnicas e organizacionais necessárias para proteger os dados contra a destruição, acidental ou ilícita, a perda, a alteração, a comunicação ou difusão ou o acesso não autorizado, além de garantir que o ambiente (seja ele físico ou lógico) utilizado por ela para o tratamento de Dados Pessoais são estruturados de forma a atender os requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos em Lei e às demais normas regulamentares aplicáveis.
1.6. Registro de atividades. A Contratada deverá realizar o registro de todas as atividades realizadas em seus sistemas/ambientes (“Registros”) no mínimo enquanto viger este Contrato, incluindo qualquer atividade relativa à Dados Pessoais tratados sob determinação da Xxxxxxx, de modo a permitir a identificação de quem as realizou.
1.7. Subcontratação de operadores. A Contratada somente poderá subcontratar qualquer parte das atividades que envolvam o tratamento de Dados Pessoais para um ou mais terceiros (“Suboperadores”) mediante consentimento prévio e por escrito da Xxxxxxx. Neste caso, a Contratada deverá celebrar um contrato escrito com o Suboperador para (i) obrigar o Suboperador às mesmas obrigações impostas por este Contrato em relação à Contratada, no que for aplicável aos Serviços subcontratados, (ii) descrever os Serviços subcontratados e (iii) descrever as medidas técnicas e organizacionais que o Suboperador deverá implementar.
1.8. Conformidade da Contratada. A Contratada deverá monitorar, por meios adequados, sua própria conformidade e a de seus funcionários e Suboperadores com as respectivas obrigações de proteção de Dados Pessoais em relação ao escopo do Contrato e deverá fornecer à Arteris relatórios sobre esses controles sempre que solicitado por ela.
1.8.1. Os relatórios acima citados deverão incluir, pelo menos, (i) o status dos sistemas de processamento de Dados Pessoais, (ii) as medidas de segurança, (iii) o tempo de inatividade registrado das medidas técnicas de segurança, (iv) a (não) conformidade estabelecida com as medidas organizacionais, (v) quaisquer eventuais violações de dados e/ou incidentes de segurança, (vi) as ameaças percebidas à segurança e aos Dados Pessoais e (vii) as melhorias exigidas e/ou recomendadas.
1.9. Monitoramento de conformidade. A Arteris terá o direito de acompanhar, monitorar, auditar e fiscalizar a conformidade da Contratada com as obrigações de Proteção de Dados Pessoais, sem que isso implique em qualquer diminuição de responsabilidade que a Contratada possui perante a Lei e este Contrato.
1.10. Notificação. A Contratada deverá notificar a Arteris: a) em até 24 (vinte e quatro) horas (i) de qualquer não cumprimento (ainda que suspeito) das disposições legais relativas à proteção de Dados Pessoais; (ii) de qualquer descumprimento das obrigações contratuais relativas ao tratamento dos Dados Pessoais; (iii) de qualquer violação de segurança na Contratada ou nos seus Suboperadores; (iv) de qualquer exposições ou ameaças em relação à conformidade com a proteção de Dados Pessoais; ou b) ou em período menor, se necessário, de qualquer ordem de Tribunal, autoridade pública ou órgão regulador competente.
1.11. Colaboração. A Contratada compromete-se a auxiliar a Arteris: a) com a suas obrigações judiciais ou administrativas, de acordo com a Lei de Proteção de Dados Pessoais aplicável, fornecendo informações relevantes disponíveis e qualquer outra assistência para documentar e eliminar a causa e os riscos impostos por quaisquer violações de segurança; e b) no cumprimento das obrigações decorrentes dos Direitos dos Titulares dos Dados Pessoais, principalmente por meio de medidas técnicas e organizacionais adequadas.
1.12. Propriedade dos Dados Pessoais. O Contrato não transfere a propriedade ou controle dos Dados Pessoais da Arteris para a Contratada. Os Dados Pessoais gerados, obtidos ou coletados a partir do objeto do Contrato são e continuarão da Arteris, inclusive sobre qualquer novo elemento de Dados Pessoais, produto ou subproduto que seja criado a partir do tratamento de Dados Pessoais estabelecido por este Contrato.
1.13. Tratamento de Dados Pessoais no exterior. Todo e qualquer tratamento de Dados Pessoais fora do Brasil, depende de autorização prévia e por escrito pela Arteris à Contratada.
1.14. Atuação restrita. A Arteris não autoriza a Contratada a usar, compartilhar ou comercializar quaisquer eventuais elementos de Dados Pessoais, produtos ou subprodutos que se originem ou sejam criados a partir do tratamento de Dados Pessoais estabelecido por este Contrato.
1.14.1. Adequação legislativa. Caso exista modificação dos textos legais acima indicados ou de qualquer outro de forma que exija modificações na estrutura da prestação de serviços à Arteris ou na execução das atividades ligadas a este Contrato, a Contratada deverá adequar-se às condições vigentes. Se houver alguma disposição que impeça a continuidade do Contrato conforme as disposições acordadas, a Contratada concorda em notificar formalmente este fato à Xxxxxxx, que terá o direito de resolver o Contrato sem qualquer penalidade, apurando-se os valores devidos até a data da rescisão.
1.14.2. Se qualquer legislação nacional ou internacional aplicável ao tratamento de Dados Pessoais no âmbito do Contrato vier a exigir adequação de processos e/ou instrumentos contratuais por forma ou meio determinado, as Partes desde já acordam em celebrar termo aditivo escrito neste sentido.
1.15. Solicitação de Dados Pessoais ou Registros. Sempre que Dados Pessoais ou Registros forem solicitados pela Arteris à Contratada, esta deverá disponibilizá-los em até 48 (quarenta e oito) horas, podendo ser em menor prazo nos casos em que a demanda judicial, a norma aplicável ou o pedido de autoridade competente assim o exija. Caso a Contratada receba diretamente alguma ordem judicial para fornecimento de quaisquer Dados, deverá comunicar a Arteris antes de fornecê- los, se possível.
1.16. Devolução dos Dados Pessoais. A Contratada se compromete a devolver todos os Dados Pessoais que vier a ter acesso, em até 30 (trinta) dias, nos casos em que (i) a Arteris solicitar; (ii) o Contrato for rescindido; ou (iii) com o término do presente Contrato. Em adição, a Contratada não deve guardar, armazenar ou reter os Dados por tempo superior ao prazo legal ou necessário para a execução do presente Contrato.
1.16.1. Caso os Dados Pessoais da Arteris estejam contidos em um banco de dados, além de restituir este banco de dados de inteira propriedade da Arteris em qualquer hipótese de extinção deste instrumento, a Contratada deverá remeter o dicionário de dados que permita entender a organização do banco, em até 10 (dez) dias ou em eventual prazo acordado entre as Partes.
1.17. Regresso. Fica assegurado à Arteris, nos termos da lei, o direito de regresso em face da Contratada no caso de danos causados por esta em decorrência do descumprimento das obrigações aqui assumidas em relação a proteção dos Dados Pessoais.
1.17.1. A responsabilidade da Contratada diante do referido descumprimento é ilimitada, não produzindo nenhum efeito qualquer outra clausula que disponha de forma contrária.