TERMO DE RESPONSABILIDADE DO AFILIADO PARA O TRATAMENTO DE DADOS PESSOAIS

TERMO DE RESPONSABILIDADE DO AFILIADO PARA O TRATAMENTO DE DADOS PESSOAIS

1. DAS CONDIÇÕES ESPECÍFICAS SOBRE O TRATAMENTO DOS DADOS

1.1 O objeto deste Termo de Responsabilidade do Afiliado para o Tratamento de Dados Pessoais (“Termo”) é regular as condições adicionais relacionadas, especialmente, ao cumprimento da Lei Federal nº 13.709/2018 (“LGPD”) e de demais legislações e regulamentações relacionadas à preservação da privacidade e à proteção de dados pessoais mantida entre a GROUP YBOX e seu AFILIADO.

1.1.1 Para fins do disposto neste Termo, os termos abaixo terão as seguintes definições:

i. “Afiliado” Indivíduo ou Organização responsável por realizar a divulgação online

dos clientes da GROUP YBOX mediante comissionamento;

ii. “Controlador”, para efeito desta definição, tem o significado atribuído a ele na

LGPD;

iii. “Dados”, significam os Dados Pessoais e Dados Pessoais Sensíveis encaminhados e/ou utilizados em qualquer formato pelas partes, para utilização no âmbito do Contrato;

iv. “Dados Pessoais”, para efeito desta definição, tem o significado a ele atribuído

na LGPD;

v. “Dados Pessoais Sensíveis”, para efeito desta definição, tem o significado a ele

atribuído na LGPD;

vi. “Lei” significa qualquer lei, regulamento, ato normativo, ordem, liminar, decreto ou intimação de qualquer tribunal (inclusive arbitral), de qualquer instância, ou autoridade competente aplicáveis às Partes e ao presente Termo.

vii. “Operador”, para efeito desta definição, tem o significado atribuído a ele na LGPD;

viii. “Titular”, para efeito desta definição, tem o significado atribuído a ele na LGPD;

ix. “Tratamento”, para efeito desta definição, tem o significado atribuído a ele na

LGPD.

Os termos iniciados em maiúsculas que não tenham sido expressamente definidos neste Termo terão os significados que lhe forem atribuídos no Contrato.

1.2. O Afiliado será considerado Controlador, de forma exclusiva e independente, dos Dados Pessoais, inclusive dos dados pessoais da base de clientes do Afiliado, por ele fornecidos, obtidos e/ou utilizados no âmbito das suas atividades próprias, no Contrato e com relação às atividades de Tratamento que realizar, sendo inteiramente responsável por tais Dados e Tratamentos, inclusive no tocante à eventual indenização à GROUP YBOX, aos clientes do GROUP YBOX, ao Titular e/ou a terceiros.

1.3. O Afiliado será considerado Operador com relação às atividades envolvendo Dados Pessoais que resultem em qualquer operação de tratamento de Dados Pessoais oriundos da rede de afiliação da GROUP YBOX e no âmbito da prestação do serviço pactuado . Quando atuar na qualidade de Operador, o Afiliado deverá realizar o Tratamento de acordo com as instruções fornecidas pela GROUP YBOX.

1.4. A GROUP YBOX será considerada Controladora, de forma exclusiva e independente, dos Dados Pessoais contidos em sua plataforma/rede de afiliação e terá integral responsabilidade relacionada à sua integridade porquanto não conceder acesso ao Afiliado.

1.5. As Partes garantem e declaram que Dados por eles obtidos, fornecidos e/ou de qualquer forma utilizados no âmbito de suas atividades e no Contrato foram e serão obtidos e de qualquer forma tratados de forma lícita, com a devida transparência aos Titulares em relação ao tratamento de Dados, nos termos da legislação em vigor, inclusive em relação à preservação da privacidade à proteção de dados pessoais, com base legal apropriada nos termos da LGPD, inclusive para fins de compartilhamento ou Tratamento no escopo e para fins do Contrato. As partes se obrigam a dar transparência aos Titulares sobre o uso e compartilhamento dos Dados, bem como a obter o consentimento dos Titulares com relação aos dados comportamentais, previamente,

quando este for exigido para o desenvolvimento das atividades do Contrato, inclusive o compartilhamento de tais Dados para os propósitos aqui previstos.

1.6. Caso uma das Partes realize qualquer atividade de Tratamento que não esteja relacionada à execução do Contrato, esta atividade de Tratamento ocorrerá fora do contexto deste Clausulado. Nesse caso, a Parte que realizar o Tratamento será considerada única Controladora em relação a esta atividade de Tratamento, ficando a outra Parte livre de qualquer obrigação ou responsabilidade que dela derive.

2. DAS OBRIGAÇÕES DAS PARTES

2.1. Com relação ao Tratamento de Dados no âmbito do Contrato, as Partes, em conjunto, se obrigam a:

i. Possuir mecanismos para garantir que a utilização e Tratamento dos Dados será realizada em conformidade com a LGPD;

ii. Manter a segurança sigilo e confidencialidade dos Dados, adotando medidas de segurança, técnicas e administrativas aptas a realizar o compartilhamento de dados entre as Partes e a proteger os Dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

iii. Quando necessário e no prazo a ser previamente definido pelas Partes, fornecer à outra Parte informações, documentos e relatórios relacionados ao Tratamento dos Dados no âmbito da Parceria, quando solicitado;

iv. Observar eventuais limitações ao uso dos Dados fornecidos pela outra Parte que tenham sido acordadas pelas Partes, utilizando os Dados para os fins estabelecidos no Contrato e conforme permitido pela legislação aplicável;

v. Não compartilhá-los, transferi-los, comercializá-los ou de qualquer forma permitir o acesso aos Dados por terceiros que não sejam Afiliadas, prestadores de serviços das Partes ou terceiros autorizados;

vi. Restringir o acesso aos Dados apenas àqueles que efetivamente tenham necessidade de acessá-los para o cumprimento deste Termo e no limite necessário ao Tratamento, garantindo, ainda que aqueles que, nos limites e previsões deste TermoClausulado, tenham, ou possam ter, acesso aos Dados respeitem e mantenham a confidencialidade e a segurança dos Dados, bem como observem o disposto no Termo e no Contrato a esse respeito;

vii. Se houver necessidade de transferência internacional dos Dados para a execução do Contrato e/ou do Tratamento previsto neste Termo, garantir que todas as medidas para proteção dos dados dos Titulares serão tomadas para a realização de referida transferência, bem como sejam cumpridos os requisitos previstos pela Lei;

viii. Manter registro das atividades de Tratamento de Dados, os logs e a comprovação do Tratamento que realizar que forem exigidos pela legislação, se aplicável;

ix. Manter avaliação periódica do Tratamento para garantir a segurança e qualidade do objeto deste Termo, e;

x. Não utilizar qualquer tipo de ferramenta, tecnologia, engenharia reversa ou qualquer outro método que vise identificar os Titulares, nos casos em que a outra Parte tenha compartilhado os Dados de forma a não ser possível a identificação direta dos Titulares sem que haja o cruzamento com outras informações ou com o acesso à chave de identificação.

2.2. O Afiliado, por sua vez, se obriga a:

xii. Quando subcontratar qualquer atividade de Tratamento a um Operador envolvendo a realização de qualquer operação relacionada à divulgação dos clientes da GROUP YBOX, deverá, em relação ao Operador: (a) preservar a integridade e precisão dos Dados fornecidos pela outra Parte; (b) celebrar, por escrito, contrato com cada Operador, cujo teor deverá garantir obrigações equivalentes às dispostas neste Termo; e (c) ser responsável por todas as ações e omissões do Operador em relação ao Tratamento de Dados e Dados Pessoais adquiridos perante a GROUP YBOX.

xiii. Garantir, integralmente, a plena rastreabilidade de sua base de dados pessoais, bem como sua perfeita adequação e conformidade aos ditames da Lei Geral de Proteção de Dados Pessoais, em especial, para garantir os direitos dos titulares dos dados pessoais que mantém.

xiv. Exercer, em conformidade com a Lei, a adequada gestão de consentimento em relação aos dados pessoais que administra, garantindo aos titulares canal adequado para que efetivem seus direitos previstos na Lei Geral de Proteção de Dados de maneira plena, sob pena de incorrer em sanções legais e cláusulas de responsabilidades previstas na seção 5, do presente termo.

xv. O Afiliado deverá manter sigilo em relação aos dados pessoais tratados em virtude deste Termo, garantindo que todas as pessoas autorizadas a tratarem tais dados estão comprometidas, de forma expressa e por escrito, estando sujeitas ao dever de confidencialidade, bem como devidamente instruídas e capacitadas para o tratamento de dados pessoais.

xvi. Sempre que necessário, o Afiliado deverá auxiliar a GROUP YBOX a realizar avaliações de risco e impacto com relação à proteção de dados pessoais, bem como garantir a possibilidade de exercício dos seguintes direitos por parte dos Titulares:

a) Confirmação da existência de tratamento;

b) Acesso aos dados;

c) Correção de dados incompletos, inexatos ou desatualizados;

d) Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;

e) Portabilidade dos dados;

f) Eliminação dos dados pessoais tratados com o consentimento;

g) Informação sobre entidades públicas e privadas com as quais foi realizado o uso compartilhado de dados;

h) Informação sobre a possibilidade de não fornecimento do consentimento e sobre as consequências da negative;

i) Revogação do consentimento; e,

j) Revisão das decisões automatizadas tomadas com base no tratamento de dados pessoais.

3. SOBRE AS SOLICITAÇÕES DOS TITULARES

3.1. Cada Parte será responsável pelo atendimento das solicitações dos Titulares e solicitações decorrentes de Lei no que diz respeito aos Dados de que forem Controladores, sendo certo que: (i) é obrigação do Afiliado informar, esclarecer dúvidas e atender reclamações e pedidos dos Titulares em relação aos produtos e serviços do Afiliado, assim como a respeito do uso e compartilhamento de Dados pelo Parceiro; e, (ii) é obrigação da GROUP YBOX informar, esclarecer dúvidas e atender reclamações e pedidos dos Titulares em relação aos produtos e serviços da GROUP YBOX e serviços e produtos financeiros do Contrato, assim como a respeito do uso e compartilhamento de Dados pela GROUP YBOX.

3.2. Cada Parte deverá fornecer à outra, tempestivamente, informações e documentos e auxiliar a outra Parte para o atendimento dos direitos dos Titulares previstos na LGPD e demais Leis aplicáveis.

3.3. As Partes deverão comunicar a outra acerca de eventuais pedidos de clientes, Titulares e outras requisições decorrentes de Lei, órgãos reguladores, órgãos de defesa do consumidor e Poder Judiciário a respeito do uso e compartilhamento de Dados no âmbito do Contrato, assim como eventual Incidente de Segurança que envolva as Partes.

3.4. Se o Afiliado, atuando como Operador, for obrigado por Lei ou solicitado pelo Titular, a revelar, alterar, excluir ou realizar qualquer outro Tratamento dos Dados ou a fornecer informações ou documentos relativos aos Dados, ao Tratamento ou sobre este Termo, o Afiliado deverá informar a GROUP YBOX imediatamente, enviando os documentos e informações necessários para que a GROUP YBOX possa se defender ou se manifestar em relação à referida divulgação, alteração, exclusão ou outro Tratamento, assim como o fornecimento de informações ou documentos. A GROUP YBOX poderá requerer ao Afiliado informações adicionais e providências que entender necessárias, bem como realizar por conta própria a referida divulgação, alteração, exclusão ou outro Tratamento. Para fins de esclarecimento, as obrigações desta cláusula serão aplicáveis se não houver vedação contida em Lei.

3.5. Com relação aos Dados fornecidos e/ou obtidos por cada uma das Partes, em nome próprio e utilizados exclusivamente em suas atividades, estas deverão ser responsáveis pelo atendimento das solicitações dos Titulares e decorrentes da Lei.

3.6. Uma Parte deve comunicar à outra caso o atendimento aos direitos dos Titulares e ao disposto em Lei possa impactar as atividades do Contrato e/ou da outra Parte, bem como se for necessário realizar qualquer ação relacionada ao Tratamento dos Dados, incluindo sua correção, eliminação, anonimização e/ou bloqueio em decorrência de solicitação do Titular ou de Lei.

4. DOS INCIDENTES DE SEGURANÇA

4.1. A fim de garantir a confidencialidade , integridade e disponibilidade dos Dados, ao tomar conhecimento de qualquer incidente de segurança da informação que ocorrer em ambiente próprio ou de terceiro, de sua responsabilidade, e que possa comprometer o Tratamento, os Dados ou as atividades em relação ao Contrato, especialmente acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de Tratamento inadequado ou ilícito, (“Incidente de Segurança”), o Afiliado deverá:

i. em tempo razoável, enviar notificação, por escrito, à outra Parte, respeitada a antecedência mínima de 48 horas com relação ao prazo previsto em Lei, se houver, indicando em referida notificação, no mínimo, (a) a descrição e natureza dos dados pessoais afetados; (b) as informações sobre os Titulares envolvidos ou afetados pelo Incidente de Segurança; (c) a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais; (d) os riscos relacionados ao Incidente de Segurança; (e) caso a Parte não tenha notificado a outra Parte imediatamente após a ocorrência do Incidente de Segurança, indicar os motivos pelos quais não foi possível cumprir esse prazo; e, (f) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do Incidente de Segurança;

ii. adotar todas as medidas necessárias para identificar e remediar as causas do Incidente de Segurança, além de preservar e proteger a segurança dos Dados e do Tratamento;

iii. cumprir com as diretrizes que venham a ser solicitadas pela GROUP YBOX em relação ao Incidente de Segurança, incluindo (a) a obtenção de evidências sobre o Incidente de Segurança e sobre os Dados e/ou Tratamento que podem ter sido comprometidos; e, (b) a execução de todas as estratégias de mitigação de riscos para reduzir o impacto do Incidente de Segurança ocorrido e/ou a probabilidade ou impacto de eventual incidente semelhante; e,

iv. se ambas as Partes forem Controladoras de Dados de modo independente, o Controlador diretamente prejudicado pelo incidente tomará as decisões e contará com a colaboração da outra Controladora em relação ao Incidente de Segurança, incluindo (a) a obtenção de evidências sobre o Incidente de Segurança e sobre os Dados e/ou Tratamento que podem ter sido comprometidos; e (b) a execução de todas as estratégias de mitigação de riscos para reduzir o impacto do Incidente de Segurança ocorrido e/ou a probabilidade ou impacto de eventual incidente semelhante.

4.2. Ocorrendo Incidente de Segurança envolvendo quaisquer irregularidades relativas a Dados Pessoais contidos neste serviço, caberá ao Afiliado realizar as comunicações necessárias aos órgãos reguladores e aos Titulares, quando necessário nos termos da legislação aplicável. Caso o Incidente de Segurança ou os efeitos do Incidente de Segurança envolvam a GROUP YBOX, as comunicações em questão devem ser previamente alinhadas com a outra Parte.

5. RESPONSABILIZAÇÃO POR PERDAS E DANOS

5.1. O Afiliado, por si, suas Afiliadas, representantes e subcontratados, será responsável pelas perdas, danos e demandas sofridos pela GROUP YBOX, Titulares ou terceiros que tenham sido causadas em decorrência da coleta, do uso e do fornecimento, pelo Afiliado, de Dados de forma indevida no âmbito do Contrato ou seu uso pelo Afiliado em desacordo com este Termo ou com a Lei, ou de Incidentes de segurança causados pelo Afiliado, suas Afiliadas, representantes ou subcontratados.

5.2. Às Partes, em casos de eventuais demandas propostas por titulares de dados pessoais, entidade pública ou privada, em razão do vazamento de dados pessoais que estavam sob o armazenamento deste, fica assegurado o direito de denunciação da lide, nos termos do Art. 125, II, do Código de Processo Civil, bem como, nos casos permitidos, o direito ao regresso.

6. DIREITO DE AUDITORIA

6.1. O Afiliado concorda que a a GROUP YBOX terá o direito, a qualquer momento, durante a vigência do Contrato e/ou durante todo o período em que a o Afiliado retiver os Dados Pessoais relativos ao serviço mantido entre as partes, a GROUP YBOX poderá realizar uma avaliação interna ou auditoria para confirmar que o Afiliado está agindo em conformidade com este Termo no Tratamento de Dados, mediante notificação da GROUP YBOX com quinze dias úteis de antecedência.

6.2. O Afiliado deverá disponibilizar, a qualquer momento, todas as informações necessárias para demonstrar conformidade com este Termo, e deverá permitir e contribuir com auditorias, incluindo verificações e inspeções periódicas, pela GROUP YBOX em relação ao Tratamento dos Dados Pessoais da GROUP YBOX pelo Afiliado, nos termos previstos na cláusula 6.1. No caso de quaisquer problemas de segurança encontrados durante tais auditorias, o Afiliado deverá tomar, às suas próprias custas, todas as ações possíveis e necessárias para resolver os problemas mencionados.

7. DISPOSIÇÕES GERAIS E HIPÓTESES ADICIONAIS PARA O TÉRMINO DESTE INSTRUMENTO

7.1. Superveniência de Lei. Na hipótese de superveniência de Lei à qual estejam sujeitas as Partes, as Partes acordam em negociar de boa-fé as adaptações deste Termo e/ou Contrato para que tais instrumentos se mantenham em conformidade com as Leis.

7.2. Cumprimento da LGPD. Sem prejuízo do disposto nestas Condições Específicas, as Partes se obrigam a observar e cumprir a LGPD, bem como a observar e cumprir normas e procedimentos que vierem a ser publicados e/ou requeridos por entidades reguladoras, inclusive pela Autoridade Nacional de Proteção de Dados, no âmbito do Tratamento dos Dados.

Finalizado o presente Termo de Responsabilidade para tratamento de Dados Pessoais, deixamos claro que não poderemos seguir com o serviço sem sua integral concordância, a qual será concedida mediante o prosseguimento em nossa plataforma.