TERMO ÚNICO DE TRATAMENTO DE DADOS
TERMO ÚNICO DE TRATAMENTO DE DADOS
CONSIDERANDO QUE a CONTRATADA ou suas afiliadas, seus funcionários, representantes, contratados ou outros agindo em seu nome, realiza tratamento de dados pessoais no âmbito de suas contratações com o(s) CONTRATANTE(S), a CONTRATADA deve garantir que qualquer pessoa envolvida no tratamento de dados pessoais em seu nome, em razão deste instrumento, cumprirá determinadas condições.
Diante do acima exposto, resolvem as Partes firmar o presente Termo Único de Tratamento de Dados (“Termo”), que se aplicará integralmente e indistintamente a todos os contratos acima listados (“Contrato ou Contratos”), mediante as seguintes disposições:
1.1 1 Definições: Aplicam-se as definições da Lei Federal 13.709/2018 (LGPD).
1.1.2 Processamento: A CONTRATADA tratará os dados pessoais somente para executar as suas obrigações contratuais acima descritas, ou outras definidas pelo CONTRATANTE, por meio de aditivos a este Contrato. Igualmente, a CONTRATADA não coletará, usará, acessará, manterá, modificará, divulgará, transferirá ou, de outra forma, tratará dados pessoais, sem a ciência e autorização do CONTRATANTE. A CONTRATADA tratará os Dados Xxxxxxxx em observância à todas as leis de privacidade e proteção de dados aplicáveis e às políticas e normas aplicáveis e impostas pelo CONTRATANTE.
1.1.3 Dados pessoais sensíveis: A CONTRATADA reconhece que os Dados Pessoais Sensíveis estão sujeitos a um maior rigor legal e, portanto, exigem maior proteção técnica e organizacional. Assim, quando a CONTRATADA realizar operações de Tratamento de Dados Pessoais Sensíveis, deve garantir que as proteções técnicas apropriadas, aptas a manter a integridade, confidencialidade e segurança destas informações sejam implementadas. A CONTRATADA concorda em realizar o Tratamento de Dados Pessoais Sensíveis apenas quando estritamente necessário para cumprir com as disposições contratuais.
1.1.4 Compartilhamento de informações pessoais: A CONTRATADA assegurará que os Dados Pessoais não sejam acessados, compartilhados ou transferidos para terceiros (incluindo subcontratados, agentes autorizados e afiliados) sem o consentimento prévio por escrito do CONTRATANTE. Caso o CONTRATANTE autorize estas operações de tratamento, a CONTRATADA deverá garantir que tais terceiros se obriguem, por escrito, a garantir a mesma proteção aos Dados Pessoais estabelecida neste Contrato. A CONTRATADA será responsável por todas as ações e omissões realizadas por tais terceiros, relativas ao Tratamento dos Dados Pessoais, como se as tivesse realizado.
1.1.5 Programa de proteção de dados: A CONTRATADA se compromete a instituir e manter um programa abrangente de segurança e governança de Dados Pessoais. Esse programa deverá estabelecer controles técnicos e administrativos apropriados para garantir a confidencialidade, integridade e disponibilidade dos Dados Pessoais objeto de Tratamento, além de garantir a conformidade com a Lei Geral de Proteção de Dados e demais normas que versem sobre privacidade e proteção de dados pessoais. Isso inclui a implementação de “Políticas Internas” que estabeleçam, dentre outras regras: (i) como os Titulares de dados são informados quando do tratamento de Dados Pessoais; (ii) quais são as medidas de segurança aplicadas (técnicas e procedimentais) que garantam a confidencialidade, integridade e disponibilidade das informações; (iii) como é realizada a gestão de crise, em caso de ocorrência de incidentes envolvendo Dados Pessoais; (iv) qual o procedimento instituído que garante a constante atualização destas medidas; (v) a limitação e controle de acesso aos Dados Pessoais; (vi) a revisão periódica das medidas implementadas; (vii) condução de constantes treinamentos com os funcionários da empresa.
1.1.6 Registro de informações: A CONTRATADA manterá devidamente atualizados os registros das operações de Tratamento de Dados Pessoais, que conterá a categoria dos dados tratados, os sujeitos envolvidos na atividade, qual a finalidade das diversas atividades de tratamento realizadas e por quanto tempo os Dados Pessoais serão processados e armazenados após o cumprimento de sua finalidade originária.
1.1.7 Medidas e controles de segurança: A CONTRATADA concorda e declara possuir medidas implementadas para proteger os dados e as informações pessoais tratadas, possuir uma política de segurança da informação instituída, a qual deverá determinar medidas técnicas e administrativas capazes de garantir a integridade, disponibilidade e confidencialidade das informações tratadas. Tal política deverá instituir, mas não limitar a:
a) condução de constantes treinamentos com os funcionários da empresa; e
b) possuir medidas técnicas de controle, que deverá possuir, no mínimo:
b.1) sistema de detecção de invasão ou tentativa de invasão pela internet, incluindo, mas não se limitando a contenção de vírus e drives maliciosos;
b.2) solução que possibilite a encriptação dos dados pessoais tratadas em razão do presente Contrato, quando necessário e de acordo com o nível de sensibilidade e volume das informações;
b.3) sistemas que previnem a acoplagem de qualquer sistema móvel de carregamento de informações ou dispositivos relacionados; e
b.4) um profissional designado e instituído em tempo integral, para figurar como ponto focal responsável pelas medidas de segurança aplicadas.
1.1.8 Direito de conduzir auditorias: Com a celebração do presente Contrato, a CONTRATADA declara estar ciente e autoriza, mediante prévia notificação, por prazo não superior a 24 (vinte e quatro horas), a condução de auditorias em seus sistemas e/ou procedimentos internos relacionados ao programa interno de privacidade e governança de dados pessoais. Este procedimento poderá ser conduzido pelo CONTRATANTE, seus afiliados e parceiros, ou terceiros contratados para esta finalidade. Quando da realização deste procedimento, deverá a CONTRATADA garantir: (i) pleno acesso às instalações e arquivos de informações (físicos ou eletrônicos); e (ii) pleno apoio de seus funcionários para a condução das diligências necessárias. Na hipótese de identificação de inconsistências ou irregularidades quando da condução das auditorias, deverá a CONTRATADA providenciar a imediata remediação, comprovando ao CONTRATANTE, em prazo não superior a 48 (quarenta e oito horas), as medidas mitigadoras adotadas.
1.1.9 Confidencialidade das Auditorias: As Partes concordam que qualquer auditor ou empresa de segurança terceirizada que celebre um contrato com a CONTRATADA deverá (i) usar as informações confidenciais da CONTRATADA somente para fins de inspeção ou auditoria; (ii) manter as informações confidenciais da CONTRATADA (incluindo quaisquer informações relativas a seus outros clientes) confidenciais; e (iii) tratar os Dados Pessoais em observância às regras aqui estabelecidas para o Tratamento de Dados pela CONTRATADA.
1.1.10 Atualização dos dados: A CONTRATADA deverá assegurar que as informações pessoais tratadas em razão da finalidade celebrada neste instrumento permaneçam corretas e devidamente atualizadas, devendo as informações desatualizadas serem imediatamente corrigidas ou excluídas, conforme orientação do CONTRATANTE.
1.1.11 Transferência internacional: Caso seja necessária a transferência internacional de Dados Pessoais para o cumprimento do presente Contrato, a CONTRATADA deverá informar previamente ao CONTRATANTE e garantir a implementação das medidas de segurança necessárias para a garantia da confidencialidade, integridade e disponibilidade dos Dados Pessoais transferidos.
1.1.12 Direitos dos titulares: Sempre que necessário, deverá a CONTRATADA auxiliar o CONTRATANTE no atendimento das requisições realizadas por titulares de dados, providenciando, de forma imediata, ou no máxima em 24 (vinte e quatro) horas, justificando os motivos da demora: (i) a confirmação da existência do tratamento; (ii) o acesso aos Dados Pessoais tratados; (iii) a correção dos Dados Pessoais incompletos, inexatos ou desatualizados; (iv) a anonimização, o bloqueio ou a eliminação dos Dados Pessoais; (v) a portabilidade dos Dados Pessoais; (vi) informação sobre as entidades
públicas e privadas com as quais foi realizada o compartilhamento de dados; (vii) informar as consequências da revogação do consentimento; e (viii) informar os fatores que levaram a uma decisão automatizada.
1.1.13 Incidentes (e.g. Vazamento de dados): A CONTRATADA deverá elaborar um plano escrito e estruturado para casos de ocorrência de incidentes envolvendo Dados Pessoais. Entende-se como incidentes, qualquer perda, deleção, ou exposição indevida ou acidental das informações pessoais. O plano de resposta deverá conter, minimamente:
1.1.13.1Notificação ao CONTRATANTE, a qual deverá ocorrer de maneira imediata, em até 24 (vinte e quatro) horas da ciência do incidente. A referida comunicação deverá conter, no mínimo:
(i) data e hora do incidente; (ii) data e hora da ciência pela CONTRATADA (iii) relação dos tipos de dados afetados pelo incidente; (iv) número de usuários afetados (volumetria do incidente); (v) identidade específica de cada um desses indivíduos; (vi) dados de contato do representante da CONTRATADA, ou outra pessoa junto à qual seja possível obter maiores informações sobre o ocorrido; e
(vii) descrição das possíveis consequências do evento;
1.1.13.2 O CONTRATANTE avaliará o incidente e notificará a Autoridade Nacional de Proteção de Dados, demais autoridades, conforme aplicável e, os titulares, quando entender necessário.
1.1.13.3 Para os incidentes que envolvam Dados Pessoais causados em razão de conduta única e exclusiva da CONTRATADA, este ficará responsável por notificar a Autoridade Nacional de Proteção de Dados, demais autoridades, conforme aplicável e, os titulares, bem como adimplir com eventuais sanções determinadas pela Autoridade Nacional de Proteção de Dados e/ou demais autoridades.
1.1.13.3.1 Nessa hipótese, a notificação da Autoridade Nacional de Proteção de Dados e dos titulares, ou qualquer outra autoridade, conforme aplicável, deverá ser previamente aprovada pelo CONTRATANTE.
1.1.13.3.2. Caso o CONTRATANTE assuma tais sanções, poderá exercer o direito de regresso perante a CONTRATADA, ficando este instrumento contratual constituído como título executivo extrajudicial.
1.1.14 Destruição ou devolução dos dados pessoais: A CONTRATADA deverá, sob o comando do CONTRATANTE, ou quando da extinção do vínculo contratual e obrigacional existente, devolver os Dados Pessoais compartilhados em razão das finalidades previamente pactuadas e realizar a exclusão definitiva e permanente dos mesmos. Não obstante, em caso de comando expresso, por escrito, do CONTRATANTE,
deverá a CONTRATADA manter em arquivo os Dados Pessoais compartilhados para cumprimento da finalidade determinada pelo presente instrumento, por tempo determinado pelo CONTRATANTE.
1.1.15 Cumprimento de obrigação legal: Caso a CONTRATADA seja destinatário de qualquer ordem judicial ou comunicação oficial que determine o fornecimento ou divulgação de informações pessoais, deverá notificar o CONTRATANTE, no prazo máximo de 24 (vinte e quatro) horas, sobre o ocorrido, oportunizando a adoção, em tempo hábil de medidas legais para impedir ou mitigar os efeitos decorrentes da divulgação dos dados pessoais relacionados a esta requisição ou objetos desta.
1.1.16 Indenizações: a CONTRATADA será responsável por quaisquer reclamações, perdas e danos, inclusive, indiretos, despesas processuais judiciais, administrativas e arbitrais, em qualquer instância ou tribunal, que venham a ser ajuizadas em face do CONTRATANTE, multas, inclusive, mas não se limitando àquelas aplicadas pela Autoridade Nacional de Proteção de Dados ou outras autoridades, conforme aplicável, além de qualquer outra situação que exija o pagamento de valores pecuniários, quando os eventos que levarem a tais consequências decorrerem de: (i) descumprimento, pela CONTRATADA, ou por terceiros por ele contratados, das disposições expostas neste instrumento; (ii) qualquer exposição acidental ou proposital de dados pessoais; (iii) qualquer ato da CONTRATADA ou de terceiros por ele contratados, em discordância com a legislação aplicável à privacidade e proteção de dados.
1.1.16.1 Para os fins do caput da Cláusula 1.1.16 acima, a CONTRATADA resguardará os interesses do CONTRATANTE, prestando, inclusive, as garantias necessárias à sua eventual desoneração.
1.1.16.2 Nas demandas processuais administrativas, arbitrais, judiciais e extrajudiciais que tramitarem somente em face da CONTRATADA, está se obriga a notificar o CONTRATANTE para que ele tenha conhecimento do processo.
1.1.16.2.1 Caso o CONTRATANTE tenha interesse, poderá ingressar no processo judicial como assistente litisconsorcial, nos termos do artigo 124 do Código de Processo Civil, hipótese em que todas as despesas processuais, correção monetária, juros e honorários advocatícios serão de inteira responsabilidade da CONTRATADA.
1.1.16.2.2 O CONTRATANTE poderá denunciar à lide em face da CONTRATADA quando esta, por qualquer motivo, não tenha sido parte do processo, nos termos dos artigos 125 e ss do Código de Processo Civil, hipótese em que a CONTRATADA assumirá, perante o juízo, integral responsabilidade pelos danos causados e despesas incorridas.
1.1.17 Sobrevivência: Não obstante qualquer disposição em contrário, as obrigações da CONTRATADA definidas neste Contrato, perdurarão enquanto a CONTRATADA continuar a ter acesso, estiver na posse, adquirir ou realizar qualquer operação de
Tratamento aos Dados Pessoais obtidos em razão da relação contratual com o CONTRATANTE, mesmo que todos os contratos entre a CONTRATADA e CONTRATANTE tiverem expirado ou sido rescindidos.