PROCEDIMENTO DE PROTEÇÃO DE DADOS

PROCEDIMENTO DE PROTEÇÃO DE DADOS

Parte integrante do Contrato/Aditivo firmado entre OPERADOR e CONTROLADOR.

1. POLÍTICA DE PRIVACIDADE

1.1. O CONTROLADOR declara que está ciente e concorda com a Política de Privacidade do OPERADOR, constante no link: xxxxx://xxxxxxxx.xxxxxxxx.xxx.xxx.xx/xxxxxx-xx- seguranca-e-privacidade.html, replicando-a aos Titulares quando aplicável.

2. DEFINIÇÕES

2.1. Para os fins do presente Anexo, são consideradas as definições a seguir, conforme estipulado pela LGPD:

(i) “Xxxx Xxxxxxx” ou “Dado”: informação relacionada a pessoa natural identificada ou identificável e, quando aplicável, poderá incluir Xxxx Xxxxxxx Xxxxxxxx, que seriam aqueles dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

(ii) “Titular”: pessoa natural a quem se referem os dados pessoais que são objeto de Tratamento;

(iii) “Controlador”: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados;

(iv) “Operador”: pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados em nome do Controlador;

(v) “Tratamento”: toda operação realizada com Dados, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

2.1.1. Eventuais termos utilizados no presente documento, aos quais não seja dada definição específica, serão interpretados nos termos da LGPD, assim como aqueles cuja definição a LGPD tenha alterado ou atualizado.

3. CONDIÇÕES GERAIS

3.1. As Partes declaram e garantem que os Tratamentos de Dados serão realizados em conformidade com o objeto do Contrato e sua finalidade, obedecendo-se às disposições legais do CONTROLADOR e das legislações em vigor.

3.2. Se o OPERADOR vier a ser legalmente obrigado a comunicar ou compartilhar Dados por força de lei ou decisão judicial ou administrativa, enviará imediatamente ao CONTROLADOR notificação por escrito, de forma que possibilite requerer em tempo, caso seja necessário, medida cabível para a proteção dos compromissos e interesses do CONTROLADOR, o que inclui, mas não se limita a, quando aplicável, evitar o compartilhamento/revelação dos Dados. Caso o compartilhamento/revelação dos Dados seja necessário, o OPERADOR deverá revelar tão somente os Dados que forem

legalmente exigíveis e empreenderá seus melhores esforços para assegurar a confidencialidade para quaisquer Dados que forem compartilhados/revelados.

3.3. As Partes deverão manter registro das operações de Tratamento de Dados que realizarem, especialmente se a base legal utilizada for o legítimo interesse.

3.4. As Partes deverão adotar medidas de segurança, técnicas e administrativas necessárias e adequadas para proteger os Dados em sua confidencialidade, disponibilidade e integridade, não se limitando à proteção contra acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de Tratamento inadequado, ilícito ou em desacordo com as diretrizes técnico-normativas de agências reguladores, tais como a Agência Nacional de Proteção de Dados.

4. OBRIGAÇÕES DO OPERADOR

4.1. São obrigações do OPERADOR:

(i) realizar o Tratamento dos Dados de acordo com as instruções do CONTROLADOR e a legislação aplicável, devendo dar imediata ciência ao CONTROLADOR para qualquer Tratamento de Dados que esteja em desacordo ou extrapole o objeto do Contrato e sua finalidade, a legislação aplicável ou as orientações recebidas do CONTROLADOR, de modo que as medidas cabíveis sejam tomadas em tempo hábil por parte do CONTROLADOR;

(ii) informar imediatamente ao CONTROLADOR caso seja incapaz ou esteja impedido de atender qualquer das orientações ou especificações recebidas do CONTROLADOR ou estabelecidas na legislação aplicável ou no Contrato;

(iii) informar o CONTROLADOR a respeito de qualquer suspensão programada do Tratamento de Dados, bem como de qualquer outra limitação que impeça ou venha a impedir o Tratamento de Dados conforme estabelecido no Contrato, na legislação aplicável ou conforme rotineiramente praticado pelo OPERADOR;

(iv) não utilizar os Dados para finalidade não relacionada ao Contrato ou às instruções do CONTROLADOR;

(v) manter sigilo sobre os Dados, ainda que o CONTROLADOR, o Titular ou terceiros tenham os tornado públicos;

(vi) não comunicar ou compartilhar os Dados a terceiros sem a prévia autorização por escrito do CONTROLADOR;

(vii) tomar as medidas necessárias para impedir o acesso, comunicação, compartilhamento ou Tratamento não autorizado dos Dados, o que inclui, mas não se limita a:

a) fazer uso de controles de acesso aos Dados, para manter sua segurança e confidencialidade;

b) fazer uso de sistemas, softwares e políticas para manter a confidencialidade, integridade, disponibilidade e segurança no Tratamento;

c) manter registro em seus sistemas que afetem os Dados, apontando

(i) a ação realizada; (ii) a identificação do usuário que realizou a ação; (iii) quando aplicável, dados do IP ou identificador único relacionado à origem

do acesso no momento da ação; (iv) data/hora da ação, com referência UTC (Universal Time Coordinated).

d) ter condições de restaurar a disponibilidade dos Dados em tempo hábil em caso de incidentes, resguardadas disposições contratuais de níveis de serviço e/ou excetuados os termos e condições de serviços acordados entre as Partes.

e) realizar testes, análises e avaliações regulares para verificar a efetividade das medidas e políticas internas no Tratamento de Dados, bem como prover relatórios de auditoria que assegurem a efetividade dos controles aplicáveis ao ambiente, serviço ou produtos vinculados ao contrato e seus níveis de conformidade; e

f) garantir a segurança dos Dados, sua disponibilidade, integridade e confiabilidade, de acordo com as melhores práticas de mercado.

(viii) assegurar que todo funcionário, representante ou terceiros que tenha acesso aos Dados estejam sujeitos a obrigações em consonância com a legislação, o Contrato e o disposto no presente Anexo, em especial, mas não se limitando a, confidencialidade;

(ix) garantir que o acesso aos Dados seja permitido apenas àqueles indivíduos necessários para a correta execução do objeto do Contrato e que tais acessos sejam revistos e suspensos caso não mais necessários;

(x) prestar todo o suporte necessário para atender as solicitações dos Titulares sobre os Dados, incluindo, sem limitação, o direito à acesso facilitado, portabilidade, solicitação de retificação e exclusão dos Dados;

(xi) a subcontratação de terceiros suboperadores para o tratamento dos Dados fica desde já permitida de forma geral desde que os terceiros assumam obrigações e níveis de Segurança da Informação e conformidade semelhantes ou superiores à do presente Anexo;

(xii) quando constatado lapso por parte exclusiva e inequívoca do OPERADOR ou seus suboperadores; ocorrer a comunicação, compartilhamento ou o Tratamento não autorizados dos Dados fornecidos pelo CONTROLADOR; a não observância das práticas de Segurança da Informação; divulgação ou Tratamento não autorizado dos Dados; e utilização dos Dados em desconformidade com os termos do Contrato, o OPERADOR assume solidariamente a responsabilidade perante o CONTROLADOR, o Titular e terceiros, respondendo pelos danos e indenizações decorrentes de desconformidade ou descumprimento do presente Anexo por si e/ou pelos terceiros suboperadores contratados, sem prejuízo do direito de regresso pelo CONTROLADOR;

(xiii) definir e implementar medidas técnicas, administrativas e organizacionais razoáveis para assegurar nível de segurança adequado ao Tratamento, incluindo, mas não se limitando, a estar em conformidade com padrões técnicos que venham a ser versados na legislação, normativas e pelas autoridades nacionais competentes, além de cumprir aquelas medidas já estabelecidas pelo CONTROLADOR;

(xiv) comunicar o CONTROLADOR em tempo razoável, caso receba requerimento, notificação ou questionamento da autoridade competente ou do Titular a respeito dos Dados, assegurando que a resposta esteja em consonância com as instruções do CONTROLADOR;

(xv) prestar assistência ao CONTROLADOR para elaboração de quaisquer relatórios de impacto à proteção dos Dados, bem como fornecimento de informações eventualmente exigidas pelas autoridades competentes, informações exigidas pelos Titulares ou terceiros e para cumprimento das obrigações do CONTROLADOR perante a legislação aplicável;

(xvi) ao término da relação entre as Partes, em prazo não superior a 6 (seis) meses, deverá o OPERADOR se abster de utilizar, e deverá devolver de forma segura e auditável os Dados que lhe tiverem sido transmitidos pelo CONTROLADOR durante a vigência do Contrato, e eliminar de forma igualmente segura e definitiva após a confirmação de que os Dados foram recebidos e puderam ser acessados em sua integralidade pelo CONTROLADOR ou quem este vier a indicar para receber os Dados. Em caso de acordo contratual expresso do CONTROLADOR, deverá o OPERADOR manter em arquivo os Dados compartilhados e registro das operações realizadas com tais Dados para cumprimento da finalidade determinada pelo Contrato, por tempo determinado pelo CONTROLADOR e dentro das possibilidades previstas na legislação em vigor;

(xvii) assegurar acesso do CONTROLADOR e das autoridades competentes aos Dados e operações de Tratamento realizadas em nome do CONTROLADOR ou sob o Contrato, bem como às medidas de segurança empregadas para proteção dos Dados e operações de Tratamento; e

(xviii) o OPERADOR deverá permitir que o CONTROLADOR, por si ou terceiro por ele indicado, realize auditoria em suas instalações e ambientes, mediante comunicação prévia a ser fornecida com 30 (trinta) dias de antecedência, para realização de procedimentos visando a verificação e revisão de controles de prevenção, proteção de dados e privacidade.

4.2. O OPERADOR poderá ter acesso a Dados fornecidos pelo CONTROLADOR para a consecução do Contrato – que podem incluir, mas não se limitam a, dados de clientes ou terceiros – os quais só poderão ser armazenados pelo OPERADOR utilizando as medidas técnicas conforme disposto na cláusula 4.1. (xiii) e respeitando o disposto na legislação aplicável. Os Dados a que o OPERADOR terá acesso destinam-se única e exclusivamente à execução do objeto do Contrato, conforme instruções expressas do CONTROLADOR, destinação esta que não poderá ser alterada em hipótese alguma pelo OPERADOR sem instruções expressas e por escrito do CONTROLADOR, sob pena de responder pelos danos e indenizações.

4.2.1. O OPERADOR deverá comunicar em tempo hábil e por escrito o CONTROLADOR nos casos de qualquer (i) incidente ou violação dos seus procedimentos de segurança da informação; (ii) acesso ou alteração não autorizada, divulgação ou uso de Dados fornecidos pelo CONTROLADOR, com informações suficientes para que o CONTROLADOR cumpra quaisquer obrigações de reportar ou comunicar às autoridades competentes e/ou os Titulares, nos termos da legislação aplicável. Esse aviso incluirá uma avaliação dos Dados e Titulares afetados e medidas tomadas ou previstas pelo OPERADOR para remediar a situação. Sendo verificada brecha na segurança, o OPERADOR deverá imediatamente rastrear e/ou recriar os passos que levam à essa violação e saná-los.

4.3. O OPERADOR expressamente autoriza o CONTROLADOR a utilizar seu nome e dados de identificação para indicar aos Titulares ou autoridades competentes a sua condição de Operador no Tratamento de Dados.

5. OBRIGAÇÕES DO CONTROLADOR

5.1. São obrigações do CONTROLADOR:

(i) garantir a plena conformidade, legitimidade, legalidade e observância aos preceitos da lei no tocante aos Dados transferidos para Tratamento do OPERADOR, incluindo, mas não limitando-se à, serviços, produtos e demandas contratadas perante o OPERADOR que, porventura, tenham como objeto o Tratamento de Dados;

(ii) realizar a coleta, o Tratamento e compartilhamento dos Dados em conformidade com a legislação vigente, devendo estar amparado por uma ou mais das bases legais legítimas previstas na legislação aplicável. Caso solicitado pelas autoridades competentes ou pelo Titular, o CONTROLADOR deverá apresentar o fundamento jurídico que justifica o Tratamento de dados por si e pelo OPERADOR, isentando e eximindo o OPERADOR de qualquer responsabilidade relacionada com o Tratamento de Dados nas condições estabelecidas no Contrato ou nas orientações do CONTROLADOR;

(iii) definir medidas destinadas a atenuar os riscos decorrentes do Tratamento de Dados conforme o objeto e finalidade do Contrato, informando e consultando o OPERADOR previamente sobre as medidas que lhe serão aplicáveis ou que se façam aplicáveis mediante adequações ensejadas em âmbito contratual;

(iv) cooperar na implementação e instruir o OPERADOR sobre medidas técnicas, administrativas e organizacionais razoáveis e cabíveis para assegurar nível de segurança adequado, incluindo, mas não se limitando, a estar em conformidade com padrões técnicos que venham a ser versados na legislação e pelas autoridades nacionais competentes e adotar as medidas de segurança necessárias no envio dos Dados ao OPERADOR;

(v) definir e formalizar as finalidades para as quais o OPERADOR deverá realizar o Tratamento, bem como instrui-lo quanto às ações e medidas a serem tomadas durante o Tratamento e atualizar tais orientações e instruções sempre que necessário;

(vi) garantir a exatidão, clareza e atualização dos Dados disponibilizados ao OPERADOR, informando-o nas hipóteses de solicitações do Titular, judiciais ou administrativas, tais como de atualização, correção e exclusão dos Dados;

(vii) comunicar o OPERADOR, em tempo razoável, caso receba requerimento, notificação ou questionamento da autoridade competente ou do Titular a respeito dos Dados;

(viii) quando aplicável, auxiliar o OPERADOR na elaboração de quaisquer relatórios de impacto à proteção dos Dados, bem como fornecimento de informações eventualmente exigidas pelas autoridades competentes; e

(ix) assumir a responsabilidade perante o OPERADOR, o Titular e terceiros pelos danos e indenizações decorrentes do Tratamento realizado sob as suas orientações e as condições deste Anexo e do Contrato, sem prejuízo do direito de regresso pelo OPERADOR.

5.2. O CONTROLADOR reconhece que o Tratamento dos Dados nas condições por ele estabelecidas conforme apontado neste Anexo, no Contrato e em suas orientações, eximem o OPERADOR da responsabilidade pela licitude do Tratamento, isentando o OPERADOR da responsabilidade e respondendo pelos danos e indenizações causados ao OPERADOR e/ou a terceiros.

6. DIREITOS DO TITULAR

6.1. As Partes, dentro de seus respectivos papéis e obrigações como CONTROLADOR e OPERADOR, adotam e adotarão as medidas necessárias para garantir que os Titulares exerçam seus direitos de acordo com o previsto na legislação, sem custo para o Titular.

7. TRANSFERÊNCIA INTERNACIONAL DE DADOS

7.1. O OPERADOR somente poderá transferir ou autorizar a transferência de Dados a terceiros localizados em outros países desde que:

a) seja informado ao CONTROLADOR a respeito da transferência, indicando os países para os quais os dados poderão ser transferidos, e mantenha registros detalhados a esse respeito;

b) não haja restrições regulatórias ligadas ao negócio do CONTROLADOR que impeça a transferência de Dados para o país;

c) os terceiros assumam obrigações semelhantes ou mais restritivas à do presente Anexo e/ou em concordância com eventuais cláusulas-padrão estipuladas na legislação aplicável, bem como, quando aplicável, normas corporativas globais, selos, certificados e códigos de conduta regularmente emitidos e aceitos no território brasileiro e onde os Dados forem Tratados; e

d) o OPERADOR assuma toda e qualquer responsabilidade perante o CONTROLADOR, o Titular e terceiros, respondendo pelos danos e indenizações de qualquer espécie decorrentes de desconformidade ou descumprimento do presente Anexo pelos terceiros, quando identificada falta ou lapso exclusivo e inequívoco por parte do OPERADOR e seus subcontratados, sem prejuízo do direito de regresso pelo CONTROLADOR.

8. LIMITAÇÃO DE RESPONSABILIDADE

8.1. Salvo disposição em contrário no Contrato ou no presente Anexo, em nenhuma circunstância eventual a indenização a ser paga por qualquer das Partes decorrente de disposição do presente Anexo excederá a soma dos valores efetivamente pagos pelo CONTROLADOR ao OPERADOR em virtude do Contrato e deste Anexo nos últimos 12 (doze) meses anteriores ao ato ou fato do descumprimento.