ANEXO - CONDIÇÕES GERAIS DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
ANEXO - CONDIÇÕES GERAIS DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
As condições gerais de privacidade e proteção de dados pessoais ora estabelecidas neste instrumento (doravante denominado simplesmente “ANEXO”) em conjunto com a Política de Tratamento de Dados Pessoais Para Fornecedores (disponível em xxxxx://xxx.xxxxxxxxxxx.xxx.xx/xxxxxxxxxxx/xxxxxxxxxxxx), constituem padrão para contratos em geral, independentemente da natureza (doravante denominados simplesmente “Contrato” ou “Instrumento”), celebrados por empresa(s) do Grupo EcoRodovias, conforme definidas a seguir.
A Ecorodovias Infraestrutura e Logística S.A. (“EcoRodovias”) e todas as sociedades controladas, direta ou indiretamente, pela EcoRodovias serão denominadas, coletivamente, como “Grupo EcoRodovias” ou individualmente referidas simplesmente como “CONTRATANTE” ou “ECORODOVIAS”, sem prejuízo de serem consideradas de per si como partes autônomas e individualizadas e não solidárias entre si.
As disposições desse ANEXO regulamentam hipóteses em que podem haver tratamento de dados pessoais. Assim, ao celebrar o Contrato com a CONTRATANTE, ressalvados eventuais ajustes acordados entre as Partes e previstos especificamente no próprio Contrato, a CONTRATADA estará declarando ciência e concordância com os termos desse ANEXO, comprometendo-se a cumpri-lo integralmente, independentemente da data de instrumentalização e assinatura do Contrato, conforme o contexto em que enquadrar como Operadora ou Controladora, conforme a situação fática contratual.
Para os fins previstos neste ANEXO e no Contrato, os termos a seguir serão interpretados conforme a legislação brasileira, notadamente Lei nº 13.709, de 14 de agosto de 2018 e eventuais alterações posteriores (a “Lei Geral de Proteção de Dados Pessoais” ou “LGPD”), com os seguintes significados:
(i) “ANPD” ou “Autoridade Nacional de Proteção de Dados” é a autoridade regulatória máxima para dispor sobre assuntos de proteção de dados pessoais no Brasil.
(ii) “Contrato de Concessão” significa o Contrato de Concessão celebrado entre uma das sociedades do Grupo Ecorodovias e o respectivo PODER CONCEDENTE. Tratando-se de documento público que pode ser acessado pela internet.
(iii) “Controladora” significa a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados Pessoais.
(iv) “Dado Pessoal” ou “Dados Pessoais” significa qualquer informação relacionada a pessoa natural identificada ou identificável, ou seja, que tenha o potencial de ser usada, de forma direta ou indireta, isoladamente ou em conjunto, para identificar uma pessoa natural.
(v) “Dados Pessoais Sensíveis” significa qualquer Xxxx Xxxxxxx sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
(vi) “Legislação de Proteção de Dados” significa qualquer legislação nacional, decretos, regulamentos, inclusive normas regulatórias emitidas pela ANPD, aplicável à segurança da informação, proteção de dados pessoais e privacidade no contexto do Tratamento de Dados Pessoais, incluindo, mas não se limitando à Lei Geral de Proteção de Dados Pessoais.
(vii) “Incidentes de Segurança” significa qualquer acesso não autorizado a Dados Pessoais e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de Tratamento inadequado ou ilícito dos Dados Pessoais.
(viii) “Operadora” significa a pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome da Controladora e em conformidade com suas instruções legais.
(ix) “Suboperadora” significa qualquer pessoa natural ou jurídica contratada pela Operadora e que realizará Tratamento de Dados Pessoais sob a responsabilidade da Operadora para as finalidades do presente ANEXO.
(x) “Titular de Dados Pessoais” ou “Titular” significa a pessoa natural a quem se referem os Dados Pessoais que são objeto de Tratamento.
(xi) “Tratamento” significa toda operação realizada com Dados Pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados.
PROTEÇÃO DE DADOS PESSOAIS: CONTROLADORA – OPERADORA
1. PROTEÇÃO DE DADOS PESSOAIS - Em situações em que o Contrato implicar no Tratamento de Dados Pessoais em que a CONTRATANTE atue como Controladora e a CONTRATADA como Operadora, serão aplicáveis as disposições abaixo.
1.1. Cada Parte se compromete a cumprir com o disposto na Legislação de Proteção de Dados na execução do objeto do Contrato. A depender da natureza do Contrato, a CONTRATADA poderá realizar o Tratamento de todos os Dados Pessoais em nome da ECORODOVIAS nos termos deste ANEXO. A CONTRATADA concorda em: (i) limitar o acesso aos Dados Pessoais que tratar em nome da ECORODOVIAS a seus colaboradores que tenham necessidade de acesso a tais Dados Pessoais para executarem as suas funções; e (ii) assegurar que tais colaboradores sejam treinados com relação à obrigações de confidencialidade previstas nesta cláusula e no Contrato, e concordem em cumpri-las.
1.2. A CONTRATADA tratará os Dados Pessoais com a finalidade exclusiva e estritamente necessária ao cumprimento do Contrato e de acordo com as instruções legais da ECORODOVIAS. A CONTRATADA não irá realizar o Tratamento de Dados Pessoais para qualquer outra finalidade não prevista neste ANEXO, a menos que seja autorizada previamente por escrito pelo(s) representante(s) legal(is) da ECORODOVIAS.
1.2.1. Salvo o disposto na cláusula acima, caso a CONTRATADA realize atividades que extrapolem aquelas necessárias à execução do objeto do Contrato, sua conduta poderá se enquadrar em descumprimento contratual, hipótese na qual poderá ser
responsabilizada nos termos deste ANEXO e do Contrato celebrado entre as Partes.
1.3. A CONTRATADA não poderá transferir ou divulgar Dados Pessoais para quaisquer terceiros sem a prévia e expressa anuência, por escrito, da ECORODOVIAS, inclusive uma Suboperadora. Caso seja autorizada pela ECORODOVIAS a divulgar Dados Pessoais a quaisquer Suboperadoras, a CONTRATADA deverá firmar contrato escrito com a respectiva Suboperadora, permanecendo solidariamente responsável com este, devendo tal contrato conter disposições de proteção de dados não menos severas do que as previstas neste ANEXO. Caso seja solicitado pela ECORODOVIAS, a CONTRATADA deverá fornecer em até 05 (cinco) dias cópias dos contratos executados (ou a serem assinados) com as Suboperadoras para análise da ECORODOVIAS.
1.3.1. Não obstante qualquer autorização da ECORODOVIAS com relação às Suboperadoras da CONTRATADA, a CONTRATADA deverá certificar-se que tais Suboperadoras sejam capazes de cumprir a Legislação de Proteção de Dados, bem como os termos deste ANEXO. A CONTRATADA permanecerá solidariamente responsável por qualquer Tratamento de Xxxxx Xxxxxxxx realizado por uma Suboperadora da CONTRATADA, ainda que tal subcontratação tenha sido autorizada pela ECORODOVIAS.
1.4. A CONTRATADA e suas Suboperadoras não poderão transferir para o exterior quaisquer Dados Pessoais relacionados ao Contrato, inclusive no que concerne ao armazenamento de dados em nuvem, salvo se previamente autorizado, por escrito, pela ECORODOVIAS. Em qualquer caso, ainda que autorizado pela ECORODOVIAS, a transferência internacional de Xxxxx Xxxxxxxx estará sujeita à observação das hipóteses permissivas de transferência internacional de Dados Pessoais previstas na Legislação de Proteção de Dados e à existência de salvaguardas do Tratamento dos Dados Pessoais por escrito. A CONTRATADA deverá (i) garantir o cumprimento dos princípios e direitos dos Titulares determinados na Legislação de Proteção de Dados com relação a qualquer Dado Xxxxxxx transferido para o exterior, em qualquer circunstância; (ii) adotar medidas técnicas e organizacionais adequadas para garantir a confidencialidade, disponibilidade e integridade dos Dados Pessoais transferidos. Ainda, deverá fornecer um nível de segurança adequado ao risco representado pelo Tratamento e pela natureza dos Dados Pessoais a serem protegidos; (iii) garantir a adoção dos mecanismos previstos na Legislação de Proteção de Dados, notadamente na LGPD e regulamentações oriundas da ANPD; (iv) indicar o(s) país(es) para o(s) qual(is) os Dados serão enviados; e (v) garantir que os termos do Contrato com o terceiro sejam interpretados de acordo com a legislação aplicável e órgãos fiscalizadores competentes, bem como que o Contrato preveja regras não menos rigorosas que aquelas estabelecidas neste ANEXO.
1.5. Dentro do prazo de 15 (quinze) dias (a) após os Dados Pessoais não mais serem necessários para os propósitos do Contrato, ou (b) após o encerramento do prazo do Contrato, ou, ainda, (c) por qualquer razão, por decisão da ECORODOVIAS, a CONTRATADA deverá devolver ou destruir todos os Dados Xxxxxxxx em sua posse ou controle em decorrência do Contrato. Caso a CONTRATADA resolva manter uma cópia dos Dados Pessoais para fins de cumprimento de obrigações legais e/ou regulatórias, caso a Legislação de Proteção de Dados autorize, a CONTRATADA declara plena ciência de que ela será (i) a única responsável pelo dever de guarda de tais dados; (ii) responsável por indenizar integralmente os Titulares em caso de incidente que lhes gerem perdas e/ou danos, não havendo qualquer responsabilidade da
CONTRATANTE em tal situação e não se aplicando qualquer limitação de responsabilidade; (iii) responsável por ressarcir integralmente a CONTRATANTE eventuais perdas e danos suportados por essa em decorrência da reclamação do Titular ou terceiros afetados pelo Tratamento inadequado de Dados Pessoais.
1.6. Não obstante quaisquer obrigações previstas no Contrato ou neste ANEXO estabelecendo padrões para sistemas, aplicações, arquivos de dados e outras ferramentas de tecnologia, a CONTRATADA garante que adotou e implementou, e manterá durante o prazo do Contrato, as medidas organizacionais e técnicas de segurança para proteger todos os tipos de Dados Pessoais contra destruição indevida, compartilhamento irregular ou não-autorizado, perda acidental, alteração, acesso ou divulgação irregulares e/ou qualquer forma de Tratamento inadequado ou ilícito dos Dados Pessoais. A adequabilidade dessas medidas será avaliada à luz das técnicas mais modernas, custo de implementação, natureza dos Dados Pessoais e risco aos quais os Dados Pessoais estejam expostos. Essas medidas serão pelo menos iguais ou superiores a, cumulativamente: (i) qualquer regulamentação definida pela ANPD ou outro órgão governamental competente; (ii) padrões do ramo da CONTRATANTE; e (iii) medidas que a CONTRATADA adota para proteger outro Dado Xxxxxxx em sua posse ou controle, bem como dados confidenciais.
1.6.1. Sem prejuízo do disposto na cláusula acima, as medidas organizacionais e técnicas de segurança adotadas pela CONTRATADA devem garantir: (i) a confidencialidade, integridade, disponibilidade e resiliência continuada do Tratamento dos Dados Pessoais; (ii) a capacidade de restaurar a disponibilidade e o acesso aos Dados Pessoais rapidamente no caso de um Incidente de Segurança físico ou técnico; e
(iii) um processo de verificação regular e avaliação da eficácia das medidas técnicas e organizacionais, a fim de garantir a segurança do Tratamento.
1.6.2. A CONTRATADA compromete-se a prestar auxílio à CONTRATANTE para garantir o cumprimento tempestivo de todos os comandos da Legislação de Proteção de Dados.
1.6.3. Quando realizar operações de Tratamento envolvendo Dados Pessoais Sensíveis, a CONTRATADA declara plena ciência de que deverá garantir que as medidas de proteções técnicas apropriadas, aptas a manter a integridade, confidencialidade e segurança destas informações sejam implementadas de forma criteriosa e restrita, concordando restringir o acesso aos seus colaboradores estritamente necessários para cumprir com o Contrato.
1.6.4. A CONTRATADA se compromete a fornecer os subsídios necessários para que o CONTRATANTE possa elaborar Relatórios de Impacto em relação às atividades de Tratamento de Dados Pessoais decorrentes do Contrato.
1.7. Imediatamente e nunca em prazo superior a 24 (vinte e quatro) horas após tomar ciência ou suspeitar razoavelmente de qualquer Incidente de Segurança que possa comprometer a integridade, confidencialidade e/ou disponibilidade de qualquer Dado Pessoal, a CONTRATADA deverá notificar a ECORODOVIAS, por escrito, sobre tal fato. Referida notificação deverá, no mínimo:
(a) informar data e hora do Incidente de Segurança e da ciência pela CONTRATADA;
(b) descrever a natureza dos Dados Pessoais afetados, as categorias e o número de titulares dos Dados Pessoais em questão;
(c) fornecer informações sobre os titulares de Xxxxx Xxxxxxxx envolvidos;
(d) informar as medidas técnicas e de segurança utilizadas para a proteção dos Dados Pessoais;
(e) comunicar o nome e os detalhes de contato do encarregado ou responsável por proteção de Xxxxx Xxxxxxxx da CONTRATADA;
(f) descrever as prováveis consequências e riscos relacionados ao Incidente de Segurança;
(g) descrever as medidas adotadas ou propostas a serem adotadas para solucionar o Incidente de Segurança;
(h) descrever as medidas que foram ou serão tomadas para reverter ou mitigar os efeitos das perdas relacionadas ao Incidente de Segurança; e
(i) os motivos da demora, no caso de a comunicação não ter ocorrido dentro do prazo de 24 (vinte e quatro) horas, sem prejuízo de incorrer nas penalidades contratuais por inadimplemento de seus termos.
1.7.1. Na hipótese de a CONTRATADA não dispor da integralidade das informações elencadas na cláusula acima no momento do envio da notificação, deverá transmiti- las gradualmente, comprometendo-se a enviar informações completas no prazo limite de 10 (dez) dias.
1.7.2. A CONTRATADA deverá cooperar com a ECORODOVIAS e adotar as medidas razoáveis, conforme as instruções da ECORODOVIAS para auxiliar na investigação, mitigação e correção de cada Incidente de Segurança, permitindo à ECORODOVIAS (i) realizar uma investigação completa sobre o Incidente de Segurança, (ii) formular uma resposta correta e adotar medidas adicionais adequadas em relação ao Incidente de Segurança, a fim de atender a qualquer requisito da legislação aplicável.
1.7.3. As Partes concordam em coordenar e cooperar de boa-fé no desenvolvimento do conteúdo de quaisquer declarações públicas relacionadas ou de quaisquer avisos necessários para os Titulares afetados pelo Incidente de Segurança ou para a ANPD. Cabe à CONTRATANTE determinar a estratégia acerca das medidas a serem adotadas, providenciando, quando aplicável: (i) a notificação dos Titulares afetados e da autoridade competente, como a ANPD, nos termos da legislação aplicável; (ii) a adoção, em colaboração com a CONTRATADA de um plano de ação que pondere os fatores que levaram à causa do Incidente de Segurança e aplique medidas que visem garantir a não recorrência de Incidentes da mesma natureza.
1.7.4. A CONTRATADA não deve informar terceiros sem antes obter o consentimento prévio, por escrito, da ECORODOVIAS, a menos que seja exigida notificação pela legislação à qual a CONTRATADA esteja sujeita. Nesse caso, a CONTRATADA deverá, na máxima extensão permitida pela legislação aplicável, informar a ECORODOVIAS sobre tal requisito legal, fornecer uma cópia da(s) notificação(ões) proposta(s) e considerar os comentários feitos pela ECORODOVIAS, antes de notificar a quaisquer terceiros sobre o Incidente de Segurança.
1.7.5. Se a ECORODOVIAS incorrer em custos, diretos ou indiretos, em razão do Incidente de Segurança, incluindo investigar, remediar e mitigar o seu impacto, a CONTRATADA concorda em reembolsar a ECORODOVIAS dos respectivos custos. Mediante correção satisfatória do Incidente de Segurança, a CONTRATADA concorda em tomar ações razoavelmente necessárias para evitar nova ocorrência, e fornecerá declarações escritas para a ECORODOVIAS sobre as medidas apropriadas que foram tomadas para proteger a CONTRATADA contra a ameaça de uma ocorrência de fato similar.
1.7.6. Para os Incidentes de Segurança que tenham sido causados em decorrência de ação ou omissão da CONTRATADA ou de seus Suboperadores, esta será responsável por eventuais sanções aplicadas pelas autoridades competentes, sem prejuízo das demais disposições legais e contratuais aplicáveis.
1.8. Caberá exclusivamente à CONTRATANTE elaborar as respostas às requisições dos Titulares ou de terceiros incluindo, mas não se limitando, a Autoridade Nacional de Proteção de Dados, que versem sobre o Tratamento de Dados Pessoais realizado em decorrência do presente Contrato (“Requisição”).
1.8.1. A CONTRATADA transmitirá à ECORODOVIAS, imediatamente, qualquer Requisição recebida. A CONTRATADA concorda em cumprir com todas as instruções razoáveis solicitadas pela ECORODOVIAS quanto à resposta a tal solicitação individual e a não responder a qualquer solicitação de Titular de Dados Pessoais diretamente. Além disso, a CONTRATADA concorda em fornecer toda e qualquer assistência requerida pela ECORODOVIAS para responder, dentro do período exigido pela Legislação de Proteção de Dados ou política da ECORODOVIAS, a qualquer solicitação individual recebida pela CONTRATADA ou pela ECORODOVIAS.
1.9. A CONTRATADA concorda em responder total e em até 2 (dois) dias úteis a todos os questionamentos da ECORODOVIAS relacionados ao Tratamento de Dados Pessoais relativos ao Contrato, e auxiliar a ECORODOVIAS a responder total e tempestivamente aos questionamentos de qualquer autoridade competente relativos ao Tratamento de Dados Pessoais relacionado ao Contrato, incluindo a ANPD. A CONTRATADA notificará a ECORODOVIAS imediatamente de qualquer solicitação efetuada pela ANPD ou outra autoridade competente para divulgar Dados Pessoais que a CONTRATADA trate em nome da ECORODOVIAS, salvo se tal comunicação for proibida pela Legislação. Adicionalmente, a CONTRATADA concorda em cooperar com a ECORODOVIAS para responder ou objetar tal solicitação.
1.10. A CONTRATADA deverá disponibilizar à CONTRATANTE, sempre que solicitado, no prazo de até 10 (dez) dias úteis, os documentos que demonstrem cumprimento às obrigações estabelecidas na Legislação de Proteção de Dados, neste ANEXO ou nas instruções da CONTRATANTE, exceto quando em virtude da lei o prazo deva ser inferior. Ainda, a CONTRATADA concorda que, mediante requisição razoável da ECORODOVIAS, disponibilizará suas instalações para auditoria de conformidade da ECORODOVIAS em relação às obrigações deste ANEXO ou do Contrato, a ser realizada pela própria ECORODOVIAS ou empresa designada pela ECORODOVIAS. A CONTRATADA deverá cooperar integral e satisfatoriamente com a referida auditoria. No caso dessa auditoria revelar falhas materiais ou fragilidades nos
esforços de proteção de Dados Pessoais por parte da CONTRATADA, a ECORODOVIAS terá o direito de suspender ou terminar o Contrato, bem como a execução dos serviços que acarretam o Tratamento de Dados Pessoais até que tais medidas sejam resolvidas adequadamente.
1.11. A CONTRATADA defenderá, indenizará e manterá indene a ECORODOVIAS, as sociedades do Grupo Ecorodovias e seus diretores, acionistas, gerentes, agentes, fornecedores, colaboradores e empregados de quaisquer demandas, exigências, despesas, danos, perdas, custos, taxas ou penalidades decorrentes do descumprimento da CONTRATADA da Legislação de Proteção de Dados, do Contrato e das instruções da ECORODOVIAS. Não obstante qualquer previsão no Contrato em contrário, as obrigações de indenização estabelecidas nesta Cláusula não estarão sujeitas a nenhuma limitação de responsabilidade da CONTRATADA.
1.11.1. Sem prejuízo da obrigação de indenização estabelecida na cláusula acima, na hipótese em que a CONTRATADA deixar de observar a Legislação de Proteção de Dados, o Contrato ou as instruções lícitas da ECORODOVIAS, a CONTRATADA incidirá em multa não compensatória correspondente a 10% (dez por cento) do valor do Contrato.
1.12. Caso a CONTRATANTE assuma responsabilidade atribuível à CONTRATADA, conforme disposto nas cláusulas 1.7.6 e 1.11 deste ANEXO, poderá exercer o direito de regresso em relação à CONTRATADA.
1.13. Mesmo após o término da vigência do Contrato, as obrigações das Partes, enquanto Agentes de Tratamento, perdurarão enquanto qualquer delas realizar atividade de Tratamento de Dados Pessoais a que tiveram acesso em decorrência do Contrato.
2. DECLARAÇÕES E GARANTIAS
2.1. A CONTRATANTE declara e garante que instruiu, e continuará instruindo durante o prazo do Contrato, a CONTRATADA sobre a realização do Tratamento de Dados Pessoais, sempre com o devido respeito à Legislação de Proteção de Dados.
2.2. A CONTRATADA declara e garante que:
(i) realizará Tratamento dos Dados Pessoais tão somente dentro dos limites e na medida em que for autorizado pela CONTRATANTE, conforme suas instruções explícitas;
(ii) caso a CONTRATADA perceba que será incapaz de cumprir com os requisitos exigidos pela Legislação de Proteção da Dados, comunicará tal fato imediatamente e por escrito à CONTRATANTE, que poderá, a seu único e exclusivo critério, suspender a transferência de Xxxxx Xxxxxxxx ou rescindir o Contrato;
(iii) irá realizar a criptografia de quaisquer Dados Pessoais Sensíveis armazenados em aparelhos portáteis, bem como de todo Dado Pessoal solicitado pela Controladora, dentro do que lhe for razoavelmente exigido;
(iv) não tem conhecimento de nenhum Incidente de Segurança nos últimos 5 (cinco) anos que possa afetar o Contrato ou a outra Parte; e
(v) encontra-se plenamente capaz de cumprir com os termos e condições do presente ANEXO, do Contrato e da Legislação de Proteção de Dados e que, no evento de uma relevante alteração das normas aplicáveis às atividades de Tratamento de Dados Pessoais que tenha potencial de modificar sua conformidade legal e contratual, notificará a CONTRATANTE imediatamente; e
(vi) implementou todas as medidas organizacionais e técnicas de segurança exigidas nos termos do Contrato da Legislação de Proteção de Dados.
PROTEÇÃO DE DADOS PESSOAIS: CONTROLADORA – CONTROLADORA
3. PROTEÇÃO DE DADOS PESSOAIS - Em situações em que o Contrato implicar no Tratamento de Dados Pessoais em que tanto a CONTRATANTE como a CONTRATADA atuem como Controladoras, serão aplicáveis as disposições abaixo.
3.1. Cada Parte se compromete a cumprir com o disposto na Legislação de Proteção de Dados na execução do objeto do Contrato, inclusive deve assegurar que quaisquer dados pessoais que forneça à outra Parte tenham sido obtidos em conformidade com a legislação, disponibilizando publicamente de maneira transparente seus respectivos avisos de privacidade, de acordo com os requisitos aplicáveis. Cada Parte deverá realizar o Tratamento de Dados Pessoais apenas em conformidade com uma base legal válida e para propósitos lícitos, divulgando as informações de Tratamento de Dados Pessoais aos respectivos Titulares.
3.1.1. As Partes deverão tratar os Dados Pessoais como informações confidenciais, responsabilizando-se por quem quer que venha acessá-los, garantindo que tais pessoas estejam sujeitas a idêntico dever de confidencialidade e a regras não menos rigorosas que aquelas estabelecidas neste ANEXO.
3.2. O Tratamento de Dados Pessoais realizado com base no Contrato se dará exclusivamente e estritamente dentro dos limites estabelecidos no Contrato. Cada Parte será exclusivamente responsável pelas finalidades para as quais forem Controladoras independentes, e de modo conjunto, em relação às finalidades do Tratamento de Dados Pessoais para as quais forem Co-Controladoras, exceto na hipótese em que apenas uma delas contribuir para o resultado. As Partes serão responsáveis, ainda, pela conduta de seus respectivos Operadores na forma da Legislação de Proteção de Dados, por conseguinte, concordam em supervisionar seus Operadores e qualquer outra Parte agindo em seu nome para que estas apenas realizem o Tratamento de dados seguindo as instruções fornecidas pela Parte responsável pela subcontratação, assumindo esta responsabilidade integral por todos os atos e omissões do subcontratado, assim como pelos danos, qualquer que seja sua natureza, deles decorrentes..
3.2.1. A utilização dos Dados Pessoais coletados e tratados com base no Contrato por uma das Partes para finalidades secundárias, derivadas ou não relacionadas ao objeto do Contrato, levarão à assunção da responsabilidade integral pela Parte Controladora daquele novo Tratamento específico, inclusive por eventuais danos ou sanções decorrentes de violação legal e desvio de finalidade no Tratamento de Dados. O disposto não limita ou prejudica qualquer obrigação de confidencialidade ou de sigilo legal que tenha sido assumida pela Parte Receptora ou à qual esta esteja obrigada em relação aos Dados Pessoais.
3.3. Conforme aplicável, cada Parte deverá informar de maneira clara e transparente ao Titular caso haja qualquer tipo de transferência ou divulgação de Dados Pessoais, incluindo o uso compartilhado, de uma Parte à outra em razão do Contrato. Cada Parte deverá obter um consentimento válido do Titular para a transferência, divulgação ou uso compartilhado de Dados Pessoais, conforme aplicável, à luz da Legislação de Proteção de Dados. As Partes deverão divulgar aos Titulares que cada uma delas terá um direito independente de realizar o Tratamento dos Dados Pessoais para as finalidades específicas informadas e cada Parte deverá observar e cumprir estritamente com os respectivos avisos de privacidade divulgados aos Titulares.
3.4. Não obstante quaisquer obrigações previstas no Contrato, cada Parte garante que adotou e implementou, e manterá durante o prazo do Contrato, as medidas organizacionais e técnicas de segurança para proteger os Dados Pessoais contra destruição indevida, compartilhamento irregular ou não-autorizado, perda acidental, alteração, acesso ou divulgação irregulares e/ou qualquer forma de Tratamento inadequado ou ilícito dos Dados Pessoais. A adequabilidade dessas medidas será avaliada à luz das técnicas mais modernas, custo de implementação, natureza dos Dados Pessoais e risco aos quais os Dados Pessoais estejam expostos. Essas medidas serão pelo menos iguais ou superiores a, cumulativamente: (i) qualquer regulamentação definida pela ANPD ou outro órgão governamental competente; (ii) padrões do setor em que atua cada Parte ; e (iii) medidas que a respectiva Parte adotar para proteger outro Dado Pessoal em sua posse ou controle.
3.5. As Partes serão responsáveis por tomarem as medidas cabíveis no âmbito de suas operações e negócios com relação a qualquer Incidente de Segurança que afete os Dados Pessoais de Titulares. Cada Parte será responsável por avaliar as medidas cabíveis, incluindo a notificação aos Titulares e à ANPD. Sem prejuízo, imediatamente após tomar ciência ou suspeitar razoavelmente de qualquer Incidente de Segurança que possa comprometer a integridade, confidencialidade e/ou disponibilidade de qualquer Dado Pessoal no contexto da relação contratual tida entre as Partes, a Parte responsável deverá notificar a outra Parte, por escrito, sobre tal fato, prestando de maneira completa todas as informações necessárias, assim entendidas minimamente as elencadas no art. 48, §1º da LGPD. Cada Parte deverá cooperar com a outra e adotar as medidas razoáveis para auxiliar na investigação, mitigação e correção de cada Incidente de Segurança que afete o Contrato. As Partes concordam em coordenar e cooperar de boa fé no desenvolvimento do conteúdo de quaisquer declarações públicas relacionadas ou de quaisquer avisos necessários para os Titulares afetados pelo referido Incidente de Segurança e/ou para a ANPD.
3.5.1. Na hipótese de a Parte notificante não dispor da integralidade das informações elencadas na cláusula acima no momento do envio da comunicação, deverá transmiti-las gradualmente, comprometendo-se a enviar informações completas no prazo limite de 10 (dez) dias.
3.5.2. Para os Incidentes de Segurança que tenham sido causados em decorrência de ação ou omissão de uma das Partes, esta será responsável por eventuais sanções aplicadas pelas autoridades competentes à outra Parte, sem prejuízo das demais disposições legais e contratuais aplicáveis.
3.6. Nos termos do Contrato, as Partes poderão compartilhar Dados Pessoais e/ou subcontratar terceiros para o exercício das atividades do Tratamento relacionadas à contratação.
A Parte que subcontratar permanecerá integralmente responsável pelos atos do terceiro, que por sua vez deve se submeter a regras não menos rigorosas que aquelas previstas neste ANEXO.
3.6.1. Caso uma das Partes realize transferência internacional dos Dados Pessoais tratados no âmbito do Contrato, esta se compromete a garantir a confidencialidade, disponibilidade e integridade dos Dados Pessoais e a cumprir com os requisitos da legislação aplicável para a sua efetivação.
3.7. As Partes declaram e garantem que irão cumprir com e responder às solicitações de exercício de direitos dos Titulares de Dados Pessoais na forma e prazo exigidos pela Legislação de Proteção de Dados. Conforme necessário, cada Parte notificará a outra, imediatamente, sobre qualquer solicitação recebida de um Titular cujos Dados Pessoais estejam sendo Tratados pela outra Parte em razão do Contrato. Conforme necessário e na medida do razoável, cada Parte concorda em fornecer a assistência requerida pela outra Parte para responder, dentro do período exigido pela Legislação de Proteção de Dados, a qualquer solicitação individual recebida de um Titular de Dados Pessoais e que esteja relacionada ao Contrato.
3.8. Cada Parte defenderá, indenizará e manterá indene a outra Parte, suas afiliadas e seus diretores, acionistas, gerentes, agentes, fornecedores e empregados de quaisquer demandas, exigências, despesas, danos, perdas, custos, taxas ou penalidades decorrentes do descumprimento da Legislação de Proteção de Dados, bem como desta cláusula.
3.9. Caso uma das Partes assuma responsabilidade atribuível à outra Parte, conforme disposto nas cláusulas 3.5.2 e 3.8 deste ANEXO, poderá a Parte inocente exercer o direito de regresso em relação à Parte responsável.
3.10. Ao término da relação contratual estabelecida, as Partes se comprometem a eliminar ou anonimizar, em caráter definitivo, os Dados Pessoais que tiverem sido tratadas em decorrência do Contrato, salvo permissão legal para a manutenção desse tratamento, estendendo-se essa obrigação a eventuais cópias desses Dados Pessoais. Mesmo após a rescisão do Contrato, as obrigações das Partes perdurarão enquanto tiverem acesso, estiverem em posse ou conseguirem realizar qualquer operação de Tratamento com os Dados Pessoais fornecidos pela outra Parte. Inclusive, na hipótese de retenção de dados após o término da relação contratual, a Parte que manter tais dados será: (i) a única responsável pelo dever de guarda de tais dados;
(ii) se for o caso, responsável por indenizar integralmente os titulares em caso de incidente que lhes gerem perdas e danos, não havendo qualquer responsabilidade da outra Parte em tal situação e não se aplicando qualquer limitação de responsabilidade; (iii) responsável por ressarcir a outra Parte eventuais perdas e danos suportados por essa em decorrência de incidente com relação aos dados retidos..
3.11. . Mesmo após o término da vigência deste Contrato, as obrigações das Partes, enquanto Agentes de Tratamento, perdurarão enquanto qualquer delas realizar atividade de Tratamento de Dados pessoais a que tiveram acesso em decorrência do Contrato.
4. DECLARAÇÕES E GARANTIAS
4.1. Cada Parte declara e garante que:
(i) mantém e cumpre com avisos de privacidade divulgados aos respectivos Titulares na forma da Legislação de Proteção de Dados;
(ii) mantém um encarregado pela proteção de Xxxxx Xxxxxxxx responsável pelo contato com os Titulares e a ANPD, além de cumprir com outras obrigações de adequação à Legislação de Proteção de Dados;
(iii) disponibiliza meios adequados aos Titulares para o exercício de seus direitos;
(iv) não tem conhecimento de nenhum Incidente de Segurança nos últimos 5 (cinco) anos que possa afetar o Contrato ou a outra Parte; e
(v) encontra-se plenamente capaz de cumprir integralmente com as disposições da cláusula de proteção de Dados Pessoais e do Contrato.
PROTEÇÃO DE DADOS PESSOAIS: NÃO TRATAMENTO DE DADOS PESSOAIS
5. NÃO TRATAMENTO DE DADOS PESSOAIS - Em situações em que a execução do objeto do Contrato não implique no estabelecimento de um fluxo de Tratamento de Dados Pessoais, com exceção dos Dados Pessoais dos representantes legais das Partes, testemunhas do Contrato e colaboradores que irão operacionalizar a relação contratual, para os fins desse ANEXO, será entendido que não haverá tratamento de dados pessoais para consecução do escopo do Contrato, consequentemente , serão aplicáveis as disposições abaixo.
5.1. As Partes se comprometem a tratar os Dados Pessoais a que tiveram acesso em decorrência do presente Contrato, exclusivamente para cumprir com a finalidade a que se destina seu Tratamento e em respeito à Legislação de Proteção de Dados.
5.2. Caso as ações comissivas ou omissivas de uma Parte resultem em violações à Legislação de Proteção de Dados, inclusive aquelas que sejam suscetíveis de causar danos a Titulares ou terceiros, a Parte que praticou o ato ilícito e/ou causou o dano será a única e exclusivamente responsável por quaisquer pagamentos a título de indenização, compensação, multa, penalidades, taxas ou quaisquer outros valores devidos. Cada Parte deverá expressamente isentar e indenizar a outra Parte por quaisquer reivindicações, danos, prejuízos e custos, incluindo em relação a terceiros, que tenham por causa a prática de ato ilícito da Parte em violação à Legislação de Proteção de Dados.
5.3. Cada Parte declara e garante que cumpre e continuará a cumprir com a Legislação de Proteção de Dados conforme modificada durante todo o prazo do Contrato, incluindo, mas não se limitando, à indicação de um encarregado de proteção de dados pessoais, conforme aplicável, à adoção de medidas organizacionais e técnicas de segurança, e ao cumprimento dos direitos dos Titulares de Dados Pessoais.
5.4. Na suspeita ou ocorrência de um Incidente de Segurança que envolva os Dados Pessoais tratados em razão deste Contrato, a Parte que tomou ciência do evento deverá comunicar a outra Parte dentro do prazo de 48 (quarenta e oito) horas, trazendo no mínimo as informações exigidas no art. 48, § 1º da LGPD, além de outras que porventura forem solicitadas e que possibilitem a condução de investigação e perícia forense relacionada ao Incidente de Segurança.