Aditivo sobre privacidade e segurança de dados
Aditivo sobre privacidade e segurança de dados
Anexo D do Contrato Principal de Serviços assinado em XXX XX, 2023 Por:
xxxxxxxxxxxxxxxxx x
Doravante o Cliente
ENTIDADE YALO
Doravante Yalo
A Yalo e o Cliente, doravante cada um deles uma Parte ou Controlador de Dados e, em conjunto, as Partes ou os Controladores de Dados
Este Aditivo de Segurança e Privacidade de Dados (este "Aditivo"), em vigor a partir de [DATA] ("Data de Vigência do Aditivo"), faz parte do Contrato de Serviço Principal da Yalo ("MSA") ou Declaração de Trabalho da Yalo ("SOW") celebrado por e entre os Controladores de Dados e a q, datado de [DATA], e pode ser alterado ou complementado de tempos em tempos (o "Contrato") ao longo da prestação dos Serviços definidos nos Termos e Condições do (o "Contrato"). As Partes concordaram em celebrar este Contrato a fim de atender às obrigações de conformidade impostas às Partes de acordo com a Lei de Privacidade Aplicável, incluindo, mas não se limitando à Lei Geral de Proteção de Dados do Brasil (Lei 13.709/2018 ou LGPD), conforme definido abaixo, e para garantir que as salvaguardas adequadas sejam implementadas com relação à proteção de tais Dados Pessoais.
Em consideração às questões descritas acima, os Controladores de Xxxxx concordam com o seguinte:
1. DEFINIÇÕES
1.1. "Lei de Privacidade Aplicável" significa todas as leis, estatutos, regulamentos, portarias, códigos, regras, orientações, ordens ou qualquer outro direito legal emitido por qualquer órgão governamental que regule a coleta, o uso, a transferência e a divulgação de Dados Pessoais nos quais os Controladores de Dados operam ou coletam Dados Pessoais, conforme estabelecido no Anexo D, exclusivamente em relação às Atividades de Processamento estabelecidas no MSA ou SOW, e exclusivamente em relação às jurisdições das quais os Dados Pessoais são coletados.
1.2. "Lei Aplicável" significa todas as leis, estatutos, regulamentos, portarias, códigos, regras, orientações, ordens ou qualquer outro direito legal emitido por qualquer órgão governamental que governe os Controladores de Dados e que seja de aplicação geral para entidades que operam dentro das jurisdições em que os Controladores de Dados operam ou conforme identificado no Contrato de Serviço Principal (MSA) ou na Declaração de Trabalho (SOW) feita de acordo com ele.
1.3. "Empresas Afiliadas" significa quaisquer entidades legais que controlem, sejam controladas por ou estejam sob controle comum com um Controlador de Dados, conforme estabelecido no Contrato de Serviço Principal (MSA).
1.4. "Controlador de dados" significa a parte que tem autoridade sobre o processamento de informações pessoais, determinando a finalidade de seu uso e a maneira como elas são processadas.
1.5. "Processador de Dados" significa a parte que processa os Dados Pessoais em nome do Controlador de Dados e sob as instruções do mesmo.
1.6. "Autoridade de Proteção de Dados" significa o órgão oficial que garante a conformidade com a Lei de Privacidade Aplicável dentro de sua jurisdição aplicável.
1.7. "Titular dos Dados" significa a pessoa identificada ou identificável, direta ou indiretamente, a quem os Dados Pessoais se referem.
1.8. "Violação de Dados" significa uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou processados de outra forma, excluindo Dados Pessoais criptografados ou tokenizados, para os quais a senha, token, chave de segurança ou dispositivo para descriptografar tais Dados Pessoais não tenha sido objeto de qualquer perda ou divulgação.
1.9. "Lei Geral de Proteção de Dados do Brasil" e "LGPD" significam a Lei nº 13.709/2018 e suas alterações posteriores, e quaisquer outras leis e regulamentos relativos ao tratamento, proteção e privacidade de Dados Pessoais que possam ser aplicáveis e, se aplicável, todas as diretrizes, regras, portarias, regulamentos e códigos de prática e conduta emitidos pela Autoridade de Proteção de Dados ou outra autoridade de proteção ou supervisão de Dados Pessoais relevante.
1.10. "Dados Pessoais" significa qualquer informação regulada pela Lei de Privacidade Aplicável fornecida pelos Controladores de Dados, incluindo informações relativas a um indivíduo identificado ou identificável, como nome, endereço, idade, sexo, renda, situação familiar, registros de saúde, etc
1.11. "Processamento" significa qualquer operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, uso, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle de informações, modificação, comunicação, transferência, disseminação ou extração.
1.12. "Apenso" significa os Apensos do DPA.
1.13. "Subprocessador" significa o Processador de Dados terceirizado contratado pelo Processador de Xxxxx que armazenou ou potencialmente armazenará, terá acesso ou processará Dados Pessoais.
1.14. "Dados Pessoais Sensíveis" significa dados pessoais sobre origem racial ou étnica, crença religiosa, posição política, filiação a um sindicato ou a uma organização religiosa, filosófica ou política, dados relativos à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a um indivíduo.
1.15. "Serviços" significa os serviços prestados ao Cliente pela Yalo de acordo com o MSA e a Declaração de Trabalho da Yalo ("SOW")
1.16. "Medidas de Segurança Técnicas e Organizacionais" significa as medidas destinadas a proteger os Dados Pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado, em particular quando o Processamento envolve a transmissão de dados em uma rede, e contra todas as outras formas ilegais de Processamento.
1.17. "Transferência" significa divulgar ou, de outra forma, disponibilizar os Dados Pessoais a um terceiro (inclusive a qualquer Afiliado ou Subprocessador), seja pela movimentação física dos Dados Pessoais para esse terceiro ou permitindo o acesso aos Dados Pessoais por outros meios.
Todos os outros termos expressos em letras maiúsculas não explicitamente definidos neste Contrato terão os significados que lhes são atribuídos pela Lei de Privacidade Aplicável.
2. FINALIDADE(S) DO PROCESSAMENTO DE DADOS PESSOAIS
2.1. Tanto a Yalo quanto o Cliente atuam como Controladores e devem processar quaisquer Dados Pessoais em sua posse de acordo com a LGPD. A(s) finalidade(s) do processamento do DPA e do MSA estão especificadas no Anexo A e devem ser restritas aos limites estabelecidos pela Lei de Privacidade Aplicável. Cada parte declara e garante que tem autoridade total para emitir instruções e/ou orientações vinculantes para a outra parte, com relação à natureza, ao escopo e ao procedimento das atividades de processamento de dados. As instruções devem ser concedidas de forma documentada (ou seja, por escrito, inclusive por e-mail).
.
2.2. Cada Parte concorda que a outra Parte poderá usar os nomes, números de telefone, endereços comerciais e endereços de e-mail de seus funcionários (Informações de Contato Comercial) para gerenciamento de contratos, processamento de pagamentos, ofertas de serviços e outras finalidades, conforme estabelecido no aviso de privacidade da Parte usuária (cujas cópias serão disponibilizadas mediante solicitação), sujeito à conformidade com as leis aplicáveis. Para esses fins, e não obstante qualquer outra disposição deste DPA ou de qualquer Declaração de Trabalho (SOW) nos termos do MSA, com relação aos Dados Pessoais em geral, cada Parte será considerada um Controlador de Dados com relação às Informações de Contato Comercial da outra Parte e terá o direito de transferir essas informações para qualquer país em que a organização dessa Parte opere. Cada Parte garante que tem autoridade para consentir com o uso das Informações de Contato Comercial pela outra Parte.
2.3. O Cliente reconhece que a principal finalidade dos Serviços nos termos do MSA e da Declaração de Trabalho da Yalo (SOW) é apoiar as comunicações entre o Cliente e seus clientes por meio da Plataforma de Mensagens do Processador de Dados (conforme definido no MSA e na Declaração de Trabalho da Yalo (SOW). O Cliente reconhece ainda que, devido à natureza dos Serviços prestados, a Yalo e seus subprocessadores podem não estar cientes se os Dados Pessoais foram de fato armazenados em seus sistemas, e não acessam regularmente quaisquer Dados Pessoais que possam estar residentes nos sistemas da Yalo. Além disso, a própria Yalo tem procedimentos para garantir que, embora programaticamente os Serviços da Yalo possam acessar os Dados Pessoais armazenados nos Serviços, esse acesso é limitado a indivíduos-chave e não está disponível para a equipe, funcionários e contratados da Yalo em geral, exceto apenas com base na necessidade de saber para o desempenho de responsabilidades administrativas e operacionais como um guardião de dados, para facilitar serviços profissionais, suporte ao cliente ou resposta a incidentes de segurança.
2.4. Se qualquer uma das Partes for obrigada a divulgar Dados Pessoais à Autoridade de Proteção de Dados ou de acordo com uma ordem de uma corte ou tribunal de jurisdição competente, ela deverá informar a outra Parte sobre essa exigência legal antes de divulgar os Dados Xxxxxxxx referentes aos Serviços Prestados, a menos que a lei aplicável proíba tais informações por motivos importantes de interesse público ou para apoiar seus interesses legítimos em cumprir as leis de aplicação geral por parte da Parte envolvida.
2.5. O Cliente e a Yalo concordam em processar informações, incluindo Dados Pessoais, necessárias para manter e melhorar os Serviços, e utilizar dados anônimos e agregados, conforme estabelecido na seção 5.3 do MSA para os próprios fins da Yalo. As atividades de processamento relacionadas à manutenção, controle de qualidade e melhorias dos Serviços devem, em qualquer caso, ser conduzidas pela Parte responsável pelo banco de dados sujeito às suas obrigações nos termos deste Anexo e da Lei de Privacidade Aplicável.
3. OBRIGAÇÕES DO CLIENTE
O Cliente deverá, trabalhando em cooperação com a Yalo:
3.1. Aplicar princípios de minimização de dados na coleta, uso ou armazenamento de tais Dados Pessoais no uso pelo Cliente dos Serviços fornecidos de acordo com a Declaração de Trabalho (SOW), que são realmente necessários para utilizar os Serviços exigidos, reconhecendo que a coleta de dados feita por meio dos Serviços pode ser realizada com um conjunto mínimo de elementos de dados pessoais;
3.2. Utilizar métodos seguros para a transmissão e o compartilhamento de Dados Pessoais com o Processador de Dados (se houver), adequados à sua sensibilidade;
3.3. Manter e conservar em segurança as senhas e os tokens utilizados para acessar os Serviços;
3.4. Gerenciar, usando o portal e as ferramentas fornecidas pela Yalo, sua própria retenção de dados, incluindo o descarte seguro ou a exclusão de tais Dados Pessoais;
3.5. Envidar esforços razoáveis para garantir que o Cliente possa cumprir as obrigações contratuais resultantes deste Contrato.
3.6. Responder às consultas dos Titulares dos Dados, da Autoridade de Proteção de Dados e/ou das autoridades competentes em relação ao Processamento de Dados Pessoais. As respostas serão dadas em um prazo razoável, de acordo com a Lei de Privacidade Aplicável.
3.7. Manter registros de Processamento de Xxxxx Xxxxxxxx, bem como quaisquer outros registros, documentos ou inventários, de acordo com qualquer Lei de Privacidade Aplicável e divulgá-los à Yalo mediante solicitação razoável.
3.8. Estabelecer mecanismos de autenticação para acesso aos registros, usando, por exemplo, sistemas de autenticação de dois fatores para garantir a individualização da pessoa responsável pelo processamento de dados.
3.9. Tomar medidas razoáveis para garantir a confiabilidade de qualquer funcionário, agente ou contratado que possa ter acesso aos Dados Pessoais, garantindo, em cada caso, que o acesso seja estritamente limitado aos indivíduos que precisam conhecer/acessar os Dados Pessoais relevantes, conforme estritamente necessário para os fins do Contrato, e para cumprir todas as leis, incluindo a Lei de Privacidade Aplicável, no contexto dos deveres de cada indivíduo, garantindo que todos esses indivíduos estejam sujeitos a compromissos de confidencialidade ou obrigações profissionais ou estatutárias de confidencialidade.
3.10. Criar um inventário detalhado dos acessos à conexão e aos registros de aplicativos, contendo o horário, a duração, a identidade do funcionário ou da pessoa responsável pelo acesso designada pelo Cliente e o arquivo acessado, mesmo quando esse acesso for feito para cumprir obrigações legais ou determinações de autoridades;
3.11. Implementar Medidas de Segurança Técnicas e Organizacionais apropriadas para garantir a segurança adequada dos Dados Pessoais (incluindo proteção contra destruição não autorizada, acidental ou ilegal, perda, alteração, divulgação ou acesso a Dados Pessoais transmitidos, armazenados ou processados de outra forma) incluindo, conforme aplicável: (i) a pseudonimização e a criptografia dos Dados Pessoais; (ii) a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de Processamento; (iii) a capacidade de restaurar a disponibilidade e o acesso aos Dados Pessoais em tempo hábil no caso de um incidente físico ou técnico; e (iv) um processo para testar, avaliar e comprovar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do Processamento.
3.12. Notificar imediatamente a Yalo, em um prazo máximo de 24 horas, sobre (a) qualquer intimação, demanda, pedido de cooperação judicial referente à divulgação de Dados Pessoais; (b) qualquer acesso acidental ou não autorizado a Dados Pessoais; (c) qualquer solicitação de Titulares de Dados que possa potencialmente envolver a Yalo, antes de respondê-la, a menos que expressamente autorizado a fazê-lo.
3.13. Manter a Xxxx informada sobre todos os subcontratados existentes que processarão os Dados Pessoais relacionados a este Contrato e fornecer atualizações caso ocorram novas contratações.
3.14. Não utilizar nenhum tipo de ferramenta, tecnologia, engenharia reversa ou qualquer outro método destinado a identificar os Titulares dos Dados Pessoais nos casos em que a Yalo tenha compartilhado Dados Pessoais Anonimizados.
O Cliente declara e garante que os Dados Pessoais estão sendo processados legalmente de acordo com a Lei de Privacidade Aplicável ou com as leis e regulamentos aplicáveis nos quais os Dados Pessoais são derivados, ou aos quais o Cliente está sujeito.
4. OBRIGAÇÕES DA XXXX Xxxx deve:
4.1. Tomar todas as medidas de segurança exigidas de acordo com a Lei de Privacidade Aplicável. As medidas de segurança técnica e operacional estão definidas no Anexo B.
4.2. Fornecer, sem custo adicional, todas as informações necessárias para demonstrar a conformidade com a Lei de Privacidade Aplicável.
4.3. Notificar o Cliente sobre qualquer alteração relevante nas leis aplicáveis ao Processamento de dados que impeça qualquer uma das Partes de cumprir suas obrigações nos termos deste DPA em conformidade com a Lei de Privacidade Aplicável ou que exija modificações ou ações adicionais.
4.4. Garantir que os Dados Pessoais estejam sendo coletados, usados e processados somente conforme exigido no Anexo A. Caso a Yalo tome conhecimento de que recebeu informações adicionais que não são necessárias para fornecer os Serviços, deverá informar o Cliente dentro de cinco (5) dias úteis e interromper o processamento dos Dados Pessoais adicionais.
4.5. Garantir que todo o pessoal com acesso aos Dados Pessoais esteja legalmente vinculado a obrigações de confidencialidade durante e após o término do DPA, inclusive após o término de seu vínculo empregatício.
4.6. Treinar seus funcionários envolvidos no processamento dos Dados Pessoais para que cumpram a Lei de Privacidade Aplicável e os requisitos estabelecidos neste DPA
4.7. Fornecer acesso a seus funcionários somente com base na necessidade de conhecimento e certificar-se de que os funcionários estejam cientes e em conformidade com a MSA, a DPA e a Lei de Privacidade Aplicável.
4.8.
Auxiliar o Cliente, na medida do possível, a responder a qualquer solicitação do Titular dos Dados que exerça seus direitos de acordo com a LGPD ou outra Lei de Privacidade Aplicável.
4.9. Designar um Contato do Processador de Dados (DPO), quando exigido pela Lei de Privacidade Aplicável.
5. PROCESSADORES E SUBPROCESSADORES DE DADOS
5.1. Qualquer uma das Partes deverá exigir aprovação por escrito da outra Parte para contratar um Processador de Dados ou Subprocessadores para lidar com os Dados Pessoais.
5.2. Uma lista de Processadores ou Subprocessadores de Dados aprovados está incluída no Anexo C; a Parte consente com o uso dos Processadores ou Subprocessadores de Dados definidos no Anexo C.
5.3. As obrigações e especificações incluídas na DPA se aplicarão aos Processadores e Subprocessadores de Dados ao lidar com os Dados Pessoais.
5.4. A Parte envolvida avaliará e validará anualmente a capacidade de cada Processador ou Subprocessador de Dados de cumprir as obrigações da DPA.
5.5. A outra Parte deverá ser notificada sobre quaisquer deficiências ou não conformidade do Processador de Dados ou dos Subprocessadores existentes e sobre as decisões de contratar qualquer novo Processador de Dados ou Subprocessador do qual os Serviços dependam.
6. DIREITOS DOS TITULARES DE DADOS
As Partes devem se ajudar mutuamente no cumprimento de suas obrigações para facilitar o exercício dos direitos do Titular dos Dados de acordo com a Lei de Privacidade Aplicável.
7. RESPOSTA A SOLICITAÇÕES DE TITULARES DE DADOS
As Partes transferirão uma para a outra qualquer solicitação recebida dos Titulares dos Dados dentro de (10) dias úteis, a menos que um período mais curto seja prescrito pela Lei Aplicável, e informarão aos Titulares dos Dados que eles podem direcionar suas solicitações diretamente ao Controlador de Dados responsável. A Yalo só tratará as solicitações de acordo com as instruções do Cliente; no entanto, a Xxxx só será obrigada a responder às solicitações relacionadas ao processamento pelo qual a Yalo é responsável sob seu contrato com o Cliente.
8. VIOLAÇÕES DE DADOS NOTIFICÁVEIS
8.1. As Partes deverão notificar uma à outra, sem atrasos indevidos, dentro de (24) horas após a confirmação de uma Violação de Dados. A notificação deverá incluir:
8.1.1. Descrição da violação de dados, incluindo, se possível, as categorias de dados e registros em questão, a categoria e o número de titulares de dados afetados.
8.1.2. Prováveis consequências da violação de dados.
8.1.3. Medidas tomadas ou propostas para tratar e/ou mitigar os efeitos da violação de dados.
8.1.4. Nome e contato do Diretor de Proteção de Dados ou do Diretor de Privacidade, ou qualquer ponto de contato onde possam ser obtidas mais informações.
8.2. Os Contatos de Privacidade e Segurança de Dados de ambas as Partes deverão cooperar para cumprir a obrigação de notificar as Autoridades de Proteção de Dados e os Titulares dos Dados de acordo com as Leis de Privacidade Aplicáveis.
8.3. A Parte afetada deverá, sem atrasos indevidos, tomar todas as medidas urgentes para invocar o protocolo de resposta à violação para conter a violação de dados e proteger os dados pessoais.
8.4. As partes precisam da aprovação prévia da outra parte para incluí-las e identificá-las nas notificações de violação. As partes não devem atrasar ou reter a aprovação sem uma causa razoável.
9. COOPERAÇÃO
9.1. Mediante solicitação, as Partes deverão auxiliar uma à outra no cumprimento de suas obrigações nos termos da LGPD quando relacionadas ao processamento dos Dados Pessoais, incluindo, mas não se limitando a:
9.1.1. Violações de dados.
9.1.2. Avaliações de impacto na proteção de dados.
9.1.3. Consultas, reclamações, auditorias ou reivindicações de qualquer tribunal, funcionário do governo, autoridade de proteção de dados, terceiros ou indivíduos (incluindo, entre outros, os Titulares dos Dados).
9.2. As Partes disponibilizarão uma à outra todas as informações necessárias para cumprir suas obrigações de acordo com a DPA e a Lei de Privacidade Aplicável.
9.3. As Partes notificarão a outra Parte sobre quaisquer exigências de uma autoridade oficial no prazo de 48 (quarenta e oito) horas após o recebimento da referida consulta, sujeito à seção 2.4.
10. DIREITOS DE AUDITORIA
10.1. As Partes deverão cumprir as obrigações e os requisitos previstos na Lei de Privacidade Aplicável para Processar, Transferir ou, de qualquer forma, tratar os Dados Pessoais
10.2. Mediante aviso prévio por escrito, e não mais do que uma vez por ano, o Cliente pode solicitar a realização de uma auditoria às suas próprias custas para verificar a conformidade da Yalo com o DPA. A aprovação de tal auditoria será exclusivamente a critério da Yalo.
10.2.1. O Cliente poderá fazer uma (1) auditoria anual em caso de violação de dados ou de um incidente de segurança que afete os dados do Cliente.
10.2.2. O Cliente deverá agendar a auditoria com a Yalo com pelo menos 4 semanas de antecedência.
10.2.3. Ambas as Partes deverão concordar com o escopo, o Apenso e a duração da auditoria.
10.2.4. O Cliente deve notificar a Yalo sobre informações relativas a qualquer não conformidade descoberta durante uma auditoria, e quaisquer relatórios ou remediação devem ser considerados informações confidenciais da Yalo.
10.2.5. A Yalo, dependendo do escopo, duração e impacto dos recursos de pessoal na Yalo, pode cobrar uma taxa em relação à auditoria do Cliente.
10.3. A auditoria pode ser realizada pelo Cliente diretamente ou por um auditor terceirizado indicado pelo Cliente.
11. CONTATOS DE PRIVACIDADE E SEGURANÇA DE DADOS Para a Yalo:
Nome | |
Endereço | |
Telefone |
Para o cliente:
Nome | |
Endereç o | |
Telefone |
12. RESCISÃO POR JUSTA CAUSA
12.1. Cada Parte tem o direito de rescindir o DPA por justa causa se a outra Parte infringir de maneira substancial as seguintes disposições: Seções 5 - Obrigações do Processador de Dados;
Seção 3 - Instruções; Seção 6 - Subprocessador
Seção 9 - Violações de dados notificáveis; Seção 10 - Cooperação;
Seção 11 - Direitos de Auditoria.
12.2. Os direitos estatutários de rescisão por justa causa não serão afetados.
13. DEVOLUÇÃO E EXCLUSÃO DE INFORMAÇÕES PESSOAIS
13.1. A Yalo deverá devolver ou excluir irrevogavelmente ou remover os Dados Pessoais após a rescisão do DPA, a menos que o armazenamento dos Dados Pessoais seja exigido pela Lei de Privacidade Aplicável.
13.2. A Yalo fornecerá a certificação da exclusão, remoção ou devolução dos Dados Pessoais. O Cliente tem a capacidade de excluir e remover documentos que contenham Dados Pessoais através das ferramentas fornecidas pela Yalo.
14. RESPONSABILIDADE
14.1. 14.1 A responsabilidade da Yalo perante o Cliente, suas afiliadas, seus diretores, agentes e funcionários nos termos deste Contrato será limitada ao valor de um (1) ano de assinatura do Contrato de Serviço Principal (MSA) da Yalo.
15. SEGURO DE SEGURANÇA CIBERNÉTICA
15.1. As Partes deverão adquirir um seguro de segurança cibernética adequado para cobrir todas as responsabilidades que possam surgir no âmbito do DPA e garantir que o seguro de segurança cibernética esteja em pleno vigor e efeito durante toda a vigência do DPA.
.
15.2. As Partes deverão se certificar de que seus respectivos Processadores ou Subprocessadores de Dados estejam segurados em níveis adequados, se relevante para seus serviços.
16. JURISDIÇÃO
16.1. Este DPA será regido pela legislação brasileira.
17. AVISOS
18.1 Qualquer notificação entre as Partes deverá ser feita por escrito para os seguintes endereços:
18.1.1 Yalo:
Endereço | |
18.2 O Cliente:
Endereço | |
18. APLICABILIDADE
18.1. Caso qualquer disposição deste DPA seja ou se torne, no todo ou em parte, nula, ineficaz ou inexequível, a validade, a eficácia e a exequibilidade das outras disposições deste DPA não serão afetadas.
18.2. Qualquer cláusula inválida, ineficaz ou inexequível deverá, na medida do permitido por lei, ser considerada substituída por uma cláusula válida, eficaz e exequível que reflita de forma mais próxima a intenção econômica e a finalidade da cláusula inválida, ineficaz ou inexequível em relação a seu objeto, escala, tempo, local e escopo de aplicação.
18.3. A regra supracitada deverá ser aplicada mutatis mutandis para preencher qualquer lacuna que possa existir neste DPA.
19. CONTRATO INTEGRAL
As Partes declaram explicitamente que este DPA e os documentos aqui mencionados constituem o acordo integral entre as Partes e substituem quaisquer minutas, acordos, compromissos, entendimentos, condições e arranjos anteriores, não obstante qualquer ordem conflitante de precedência, de qualquer natureza entre as Partes, por escrito ou não, em relação ao objeto deste DPA.
EM TESTEMUNHO DO QUE, [ ] e [ ] fizeram com que este DPA fosse assinado por seus representantes devidamente autorizados.
[ ]: [ ]:
Assinatura Assinatura
Nome em letra de forma
Nome em letra de forma
Título Título
Data Data
Índice de programações:
Anexo A: Finalidade do processamento de dados, categorias de dados e titulares de dados Apenso B: Medidas de segurança técnica e operacional
Apenso C: Subprocessadores e serviços de apoio aprovados Anexo D: Lei Aplicável - Jurisdições
Anexo A - Finalidade do processamento de dados, categorias de dados e titulares de dados
A extensão, o tipo e a finalidade do Processamento são os seguintes:
● A Yalo coletará Dados Pessoais limitados conforme necessário para apoiar o uso de seus Serviços pelo Cliente.
Isso exclui os dados processados pelo Processador de Dados de acordo com a seção 2.3.
Descrição | Detalhes |
Assunto do processamento | A Yalo é uma provedora de uma Plataforma de Mensagens (conforme definido no MSA). O Cliente adquiriu uma assinatura para os serviços da Yalo de acordo com os termos estabelecidos no Contrato de Serviços para serviços entre as Partes, de acordo com o qual os Dados Pessoais podem ser hospedados pela Yalo, inclusive por meio de seus subprocessadores. |
Tipo de dados pessoais | Quaisquer Titulares de Dados que possam usar a funcionalidade de bate-papo para se comunicar com a Yalo ou com o Cliente, o que pode incluir: funcionários, agentes e subcontratados; clientes e seus funcionários, agentes e subcontratados, incluindo aqueles de outros terceiros com os quais os Clientes tenham interesse comercial ou relacionamento comercial (coletivamente denominados "Usuários"). |
Categorias de titulares de dados | Os dados pessoais podem estar contidos nas mensagens enviadas pelos Usuários por meio da Plataforma de Mensagens, que se relacionam com os clientes do Cliente e/ou seus clientes, funcionários e outras pessoas com as quais os clientes têm interesse comercial ou relacionamento comercial. |
Natureza e finalidades do processamento | Os dados pessoais serão processados na Plataforma de Mensagens de bate-papo da Yalo assim que forem carregados por um Usuário. Além disso, como parte do fornecimento de suporte técnico, a Xxxx poderá acessar dados pessoais por meio de compartilhamento remoto de tela, e-mail e telefone com os Usuários. |
Duração do processamento | O prazo deste Contrato, ou sujeito a exclusão conforme previsto no MSA |
Local de processamento | Região especificada na Declaração de Trabalho (SOW) |
Devolução e destruição de dados | Os dados pessoais entregues ou gerados serão devolvidos ao Cliente em um período não superior a |
90 dias após o término do contrato, incluindo a prova de exclusão. Uma extensão do prazo poderá ser feita mediante acordo mútuo por escrito entre as partes. |
Apenso B - Medidas de segurança técnicas, administrativas e operacionais
Programa de Segurança
A Yalo manterá um programa escrito de segurança da informação de políticas, procedimentos e controles que se alinham diretamente com os objetivos de certificação e atestação declarados nos princípios de serviço de confiança SOC 2 Tipo 2 para "Segurança" ou padrões equivalentes.
Credenciamento e certificação
A Yalo mantém a conformidade com as estruturas reconhecidas pelo setor SOC 1 e SOC 2 tipo 2, sob as quais a Yalo implementa e mantém salvaguardas físicas, administrativas e técnicas razoáveis projetadas para proteger a segurança da Plataforma de Mensagens da Yalo seguindo os critérios de serviços de confiança para "Segurança".
A Yalo avalia regularmente essas salvaguardas e pode revisar e atualizar seu programa de segurança, políticas ou procedimentos, bem como este Aditivo, desde que tais atualizações sejam projetadas para melhorar e não diminuir materialmente o programa de segurança.
A Plataforma de Mensagens da Yalo deve ser avaliada regularmente por auditores terceirizados independentes, pelo menos anualmente, para as seguintes auditorias e certificações:
● SOC 2 Tipo I
● SOC 2 Tipo II
Controle | Mecanismo de controle | Detalhes |
Controle de design | Minimização de dados | ● Os usuários podem fornecer informações com base nas necessidades de comunicação com o Controlador de dados. ● Os dados de uso e a análise são mínimos e agregados (por exemplo, tendências), os dados são coletados. |
Controle de divulgação | Criptografia em repouso/ Criptografia em trânsito | ● Os dados armazenados no aplicativo do Processador de Dados são criptografados ● Todas as transmissões por meio do aplicativo com o Controller ou por meio de painéis de relatórios são criptografadas. ● O acesso aos dados é restrito |
Monitorament o | Registro em log | ● Existem sistemas de relatórios de registro/auditoria para validar o acesso direto e indireto aos dados, o que inclui registro de acesso no nível do sistema operacional, monitoramento em tempo real ● O acesso aos dados é restrito e registrado |
Limite de compartilhame nto | Controles de acesso do controlador | ● Os contatos especificados no Controlador de dados são os únicos capazes de acessar ou criar dados nos sistemas do Processador de dados. |
Limite de acesso | Controles de acesso ao processador: Política de uso aceitável | ● A capacidade da equipe de suporte de acessar dados é limitada à necessidade de conhecimento para o desempenho de responsabilidades administrativas e operacionais como guardiã de dados, para facilitar serviços profissionais, suporte ao cliente ou resposta a incidentes de segurança. ● Registro completo de todos os acessos. ● Política de uso aceitável ● Padrões de classificação e tratamento de dados |
Limite de retenção | Política de retenção | ● A retenção é limitada ao período de tempo exigido pelo Processador de dados para cumprir as obrigações legais ou a finalidade comercial do contrato, e somente para os dados que precisam ser coletados. ● O Controlador de Xxxxx tem a capacidade de excluir dados por meio dos Serviços fornecidos pelo Processador de Dados a qualquer momento. |
Responsabilid ade | Código de Conduta | ● O Código de Conduta exige que os funcionários cumpram as políticas e os procedimentos de segurança e privacidade do Processador de Dados |
Responsabilid ade | Fluxo de dados | ● O fluxo de dados é documentado e atualizado à medida que são feitas alterações no aplicativo |
Responsabilid ade | Contratos de subprocessador Cláusulas contratuais padrão | ● Contratos em vigor com subprocessadores que estabelecem limites de uso e acesso aos dados. ● Cláusulas contratuais padrão ou equivalentes usadas quando apropriado. |
Limite de compartilhame nto | Controle de segregação | ● Os dados do controlador são separados logicamente. Quando os dados pessoais são armazenados, eles são armazenados em um banco de dados lógico estruturado pelo "Controlador de dados" ou armazenados em um banco de dados operacional independente nas instâncias dos produtos dos Processadores de dados que prestam serviços. |
Disponibilidad e | Continuidade dos negócios | ● Procedimentos de backup ● Fonte de alimentação ininterrupta (UPS) ● Armazenamento remoto ● Sistemas antivírus/firewall ● Plano de recuperação de desastres |
Controle de acesso a instalações e instalações | Segurança física | ● O controle de acesso ao site do Data Center da AWS e do Google é controlado pela AWS e pelo Google como um provedor de subserviços. ● A AWS fornece várias certificações e avaliações para apoiar a eficácia dos controles físicos e ambientais. |
Controle de acesso aos sistemas | Controles de usuário técnicos e organizacionais | ● O controle de acesso às instalações de hospedagem é gerenciado pelo subprocessador do Processador de Dados, AWS e GCP, para os quais ambos os subprocessadores devem manter a conformidade com os procedimentos de controle e auditoria do SOC. ● Nenhum dado pessoal é armazenado nas instalações do escritório ou em sistemas hospedados no local. ● Procedimentos de senha (incluindo caracteres especiais, comprimento mínimo, alteração de senha) ● Bloqueio automático (por exemplo, senha ou tempo limite) ● Criptografia de mídia de dados |
Controle de acesso aos dados | Definição orientada por requisitos do esquema de autorização e dos | ● Direitos de acesso diferenciados (perfis, funções, transações e objetos) o Acesso a relatórios |
direitos de acesso, além de monitoramento e registro de acessos: | o Mudança o Exclusão ● As alterações de dados e as solicitações de acesso associadas são registradas. |
Apenso C: Subprocessadores e serviços de apoio aprovados
A tabela a seguir descreve os países e as entidades legais envolvidas no armazenamento, processamento e manuseio de dados pelas Partes. Isso inclui organizações que estão fornecendo serviços ou ferramentas que são essenciais para a entrega da plataforma e dos serviços dos Processadores.
# | Nome da entidade | Tipo de entidade | Área de uso |
1 | Amazon Web Services Inc. | Subprocessador Provedor de serviços em nuvem | O Amazon Web Services (AWS) é usado para hospedagem de produtos e armazenamento de dados para as integrações de clientes da Yalo, incluindo serviços de segurança. |
2 | Plataforma de nuvem do Google (GCP) | Subprocessador Provedor de serviços em nuvem | O Google Cloud Platform é usado para hospedagem de produtos e armazenamento de dados para a infraestrutura da plataforma da Yalo. |
3 | Cloudflare | Serviço de suporte | Provedor de DNS |
4 | Kong Inc. | Serviço de suporte | Provedor de gateway de API |
5 | Auth0 | Serviço de suporte | Serviço de autenticação e autorização que se integra a provedores de identidade de controladores de dados externos. |
6 | Bitbucket | Serviço de suporte | Gerenciamento central do código-fonte da Yalo. |
Oferece funcionalidade de controle de versão e alteração para o processo de desenvolvimento e lançamento de |
software. | |||
7 | Github | Serviço de suporte | Gerenciamento central do código-fonte da Yalo. |
Oferece funcionalidade de controle de versão e alteração para o processo de desenvolvimento e lançamento de software. | |||
8 | Datadog | Serviço de suporte | Serviço de observabilidade para aplicativos em escala de nuvem, fornecendo monitoramento de ferramentas e serviços, por meio de uma solução de dados baseada em SaaS plataforma de análise. |
9 | Confluente | Serviço de suporte | Serviço de corretor de mensagens |
1 0 | Meta | Serviço de suporte | - Plataforma de mensagens do Facebook - Plataforma WhatsApp Business - API do WhatsApp |
11 | Rocketchat | Serviço de suporte | Plataforma de comunicações de código aberto. |
1 | Twilio | Serviço de | Segmento - plataforma |
2 | suporte | de dados do cliente | |
1 3 | Dividir | Serviço de suporte | Plataforma de fornecimento de recursos |
1 4 | Salesforce | Serviço de suporte | - Salesforce SFDC/CRM - Plataforma de comunicações Slack |
1 5 | FrontApp | Serviço de suporte | Plataforma de mensagens colaborativas. |
1 6 | Atlassian | Serviço de suporte | - Controle de problemas do Jira - Bitbucket - gerenciamento de código-fonte e controle de versão |
Apenso D: Jurisdições de origem
(a ser preenchido conforme necessário)