TERMOS ADITIVO LGPD
Anexo I
Privacidade e Proteção de Dados Pessoais
1) Definições:
Para fins de interpretação do presente Anexo I (Privacidade e Proteção de Dados Pessoais) os termos abaixo possuirão os significados adiante estabelecidos:
“Afiliada(s) CONTRATANTE” significa a entidade que possuir ou controlar a CONTRATANTE, for possuída ou for controlada, integral ou parcialmente, pela CONTRATANTE, ou que esteja sob controle de entidade que também controle a CONTRATANTE, sendo que o controle se entende pela posse, direta ou indireta, de quotas ou ações com direito a voto suficientes para conduzir e definir a gestão das políticas e atividades da entidade;
“Autoridade Nacional de Proteção de Dados ou ANPD” significa a entidade pública competente para supervisionar, fiscalizar e conduzir a execução dos procedimentos previstos na Lei Geral de Proteção de Dados Pessoais – LGPD e criada pela Medida Provisória 869/2018;
“Dados Pessoais”, “Dados Pessoais Sensíveis”, “Tratamento”, “Controlador”, “Operador”, “Encarregado” e “Titular”, devem possuir os mesmos significados contidos na Lei Geral de Proteção de Dados Pessoais - LGPD;
“Dados Pessoais da CONTRATANTE” possuem o significado de qualquer Dado Pessoal ou Dado Pessoal Sensível, conforme descrito na LGPD, objeto de Tratamento pela CONTRATADA em nome da CONTRATANTE, ou qualquer uma de suas Afiliadas, na execução do Contrato;
“Lei Geral de Proteção de Dados ou LGPD” significa a Lei Federal nº 13.709 de 14 de agosto de 2018 e suas alterações inseridas pela Medida Provisória 869/2018;
“Legislação Aplicável” significa (i) a LGPD, com respeito a quaisquer Dados Pessoais e seu Tratamento; e (ii) qualquer outra lei aplicável com relação à proteção e privacidade de Dados Pessoais em território nacional brasileiro;
“Leis de Proteção de Dados” devem significar as regras contidas na LGPD e qualquer outra regra contida em legislação específica e que se aplique à proteção e privacidade de Dados Pessoais em território nacional brasileiro;
“Serviços” significam os serviços a serem prestados pela CONTRATADA à CONTRATANTE, e/ou suas Afiliadas, na execução do Contrato;
“Sub Operador” significa qualquer Operador (incluindo terceiros) indicado pela CONTRATADA para tratar os Dados Pessoais CONTRATANTE em nome da CONTRATANTE, ou qualquer uma de suas Afiliadas;
“Sub Operador Autorizado” significa o Sub operador expressamente consentido e autorizado pela CONTRATANTE, de acordo com os termos do item 6 abaixo; e
“Violação de Dados Pessoais” significa a violação para destruição ilícita ou acidental, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais da CONTRATANTE, transmitidos, armazenados ou de qualquer outra forma tratados pela CONTRATADA em nome da CONTRATANTE, ou qualquer uma de suas Afiliadas, bem como qualquer violação do quanto previsto nos termos do item 5 abaixo, ou da proteção dos dados, confidencialidade ou disposições previstas neste Anexo I.
2) Termos do Tratamento de Dados:
Os Dados Pessoais da CONTRATANTE poderão ser tratados, em nome da CONTRATANTE, ou qualquer uma das suas Afiliadas, pela CONTRATADA, durante o curso da prestação dos Serviços do Contrato. A CONTRATADA concorda em cumprir e estar em conformidade com todas as disposições ora estipuladas em relação aos Dados Pessoais CONTRATANTE ou qualquer outro Dado Pessoal submetidos a Tratamento.
3) Tratamento de Dados Pessoais da CONTRATANTE:
A CONTRATADA apenas poderá tratar os Dados Pessoais da CONTRATANTE para execução da finalidade prevista no Contrato. A CONTRATADA não deverá tratar, transferir, modificar, aditar, alterar, divulgar ou permitir a divulgação dos Dados Pessoais da CONTRATANTE a qualquer terceiro que não tenha expressamente sido autorizado pela CONTRATANTE, salvo quando o tratamento é exigido por obrigação legal a que a CONTRATADA esteja sujeita, a qual, na medida do permitido, deverá informar a CONTRATANTE de tal requerimento e/ou exigência legal antes de dar continuidade ao Tratamento dos seus Dados Pessoais.
4) Acesso de Colaboradores da CONTRATADA:
A CONTRATADA deverá tomar todas as medidas de segurança necessárias em relação ao acesso aos Dados Pessoais da CONTRATANTE por qualquer um de seus colaboradores, agentes ou subcontratados, garantindo que tais acessos serão limitados àqueles indivíduos que realmente necessitarem acessar tais Dados Pessoais e estritamente para execução das finalidades estabelecidas no item 3 acima, garantindo que tais indivíduos:
Sejam informados da natureza confidencial dos Dados Pessoais CONTRATANTE, bem como estejam cientes das obrigações assumidas pela CONTRATADA no Contrato e por este Anexo I em relação aos Dados Pessoais CONTRATANTE;
Recebam o treinamento apropriado com relação às Leis de Proteção de Dados;
Estejam sujeitos às obrigações contratuais e legais, e obedeçam ao dever de confidencialidade aceitos pela CONTRATADA; e
Estejam sujeitos a todas as medidas técnicas de segurança de acesso aos Dados Pessoais.
5) Medidas de Segurança:
Levando-se em consideração o estado da arte, a natureza do escopo e o contexto envolvido, bem como as finalidades para o Tratamento ora estipuladas, além da relevância na preservação dos direitos e liberdades das pessoas naturais, a CONTRATADA deverá implementar todas as medidas técnicas e organizacionais possíveis e disponíveis para garantir os apropriados níveis de segurança da informação e mitigação de riscos previstos nas Leis de Proteção de Dados, em especial na LGPD.
6) Subtratamento:
Autorizada a subcontratação nos termos do Contrato, a CONTRATADA garante que seus Sub Operadores sempre fiquem sujeitos, no mínimo, às mesmas obrigações de conformidade aplicáveis a si previstas no Contrato e neste Anexo.
Com relação a cada Sub Operador, a CONTRATADA deverá:
Incluir termos e condições nos contratos firmados entre a CONTRATADA e os Sub Operadores substancialmente equivalentes aos termos deste Anexo.
Responsabilizar-se integralmente perante a CONTRATANTE por qualquer falha ou Violação de Dados Pessoais oriundas de atividades de responsabilidade de qualquer um dos Sub Operadores.
7) Direitos dos Titulares:
Levando-se em conta a natureza da atividade de Tratamento, a CONTRATADA deverá auxiliar e assistir a CONTRATANTE na implantação das medidas técnicas e organizacionais apropriadas, a fim de facilitar o cumprimento pela CONTRATANTE, ou qualquer uma de suas Afiliadas, das obrigações (como Controlador) em responder às eventuais solicitações dos Titulares em relação aos seus direitos, conforme elencado e previsto no Artigo 18 da LGPD, desde que dentro do escopo deste contrato.
A CONTRATADA deverá prontamente notificar a CONTRATANTE no caso de receber qualquer solicitação de algum Titular acerca do Tratamento dos Dados Pessoais CONTRATANTE sob a regência de qualquer Lei de Proteção de Dados.
A CONTRATADA deverá cooperar, conforme solicitado e ajudar a CONTRATANTE a viabilizar o cumprimento e estar em conformidade com qualquer direito do Titular sob a égide das Leis de Proteção de Dados e em relação aos Dados Pessoais da CONTRATANTE e estar em conformidade com qualquer avaliação de risco, aviso ou investigação sob a égide das Leis de Proteção de Dados em relação aos Dados Pessoais da CONTRATANTE, desde que dentro do escopo deste contrato ou deste Anexo.
A avaliação de risco prevista no item anterior deverá cumprir com os requisitos a seguir, mas sem limitação:
Conter relação de todos os Dados Pessoais da CONTRATANTE mantidos pela CONTRATADA, que deverão ser fornecidos quando solicitados pela CONTRATANTE em prazo razoável especificado para cada caso, incluindo os detalhes integrais e cópias das reclamações, comunicações e/ou requerimentos, bem como quaisquer Dados Pessoais da CONTRATANTE tratados e armazenados em relação ao Titular requisitante;
Quando aplicável, levar a CONTRATADA a prover o referido auxílio, mediante solicitação da CONTRATANTE, de modo a viabilizar e cumprir com as conformidades relevantes e requisitadas nos prazos previstos pelas Leis de Proteção de Dados ou estipulados pela ANPD; e
Quando aplicável, solicitar à CONTRATADA implementar qualquer Medida Técnica e Organizacional adicional mediante solicitação da CONTRATANTE ou ANPD, a fim de permitir a competente e efetiva resposta às eventuais e relevantes reclamações, comunicações e/ou requerimentos.
8) Violação de Dados Pessoais:
No caso de ciência de qualquer Violação de Dados Pessoais sob sua custódia e tratamento, a CONTRATADA deverá notificar imediatamente a CONTRATANTE, em qualquer caso e no prazo de 24 (vinte e quatro) horas, provendo a CONTRATANTE com informações suficientes para tomar as medidas necessárias para cumprir o dever de informação em casos como este.
Na medida em que os Dados Pessoais da CONTRATANTE estejam envolvidos em eventuais violações, tais notificações da CONTRATADA deverão, no mínimo:
Descrever a natureza da Violação de Dados Pessoais, o número de Titulares envolvidos, os Dados Pessoais violados e seu volume;
Comunicar o nome e contato do Encarregado e responsável da CONTRATADA ou qualquer outro contato que possa prover informações relevantes sobre a(s) violação(ões);
Descrever as possíveis consequências da Violação de Dados Pessoais; e
Descrever as medidas tomadas (ou a serem tomadas) para mitigar a Violação de Dados Pessoais.
A CONTRATADA deverá cooperar com a CONTRATANTE a tomar todas as medidas comerciais e técnicas conforme direcionamento da própria CONTRATANTE, no sentido de auxiliar nas investigações, mitigar e remediar cada uma das violações.
No caso de qualquer Violação de Dados Pessoais, a CONTRATADA não deverá informar ou comunicar a nenhum terceiro, sem antes obter o expresso consentimento da CONTRATANTE, salvo quando a notificação é requerida por obrigação legal, devendo a CONTRATADA, na medida permitida por lei, informar a CONTRATANTE de tal notificação, devendo fornecer uma cópia e considerar qualquer apontamento da CONTRATANTE antes de fornecer qualquer resposta e/ou notificação a terceiros ou autoridade.
9) Avaliação de Impacto na Proteção de Dados e Consulta Prévia:
A CONTRATADA deverá fornecer toda assistência razoável à CONTRATANTE, mediante consulta prévia, em qualquer avaliação de impacto na proteção de dados e produção do competente relatório de impacto, conforme previsto na LGPD e sempre que for exigido por lei ou pela ANPD.
10) Eliminação e Devolução dos Dados Pessoais da CONTRATANTE:
Encerrado o prazo do Contrato ou não havendo mais propósito ou necessidade no Tratamento dos Dados Pessoais da CONTRATANTE, a CONTRATADA deverá prontamente eliminar, inclusive das cópias/backups existentes, todos os Dados Pessoais da CONTRATANTE tratados pela CONTRATADA ou qualquer Sub Operador Autorizado.
A CONTRATANTE poderá, de acordo com seu exclusivo critério, notificar e solicitar expressamente à CONTRATADA que devolva uma cópia completa dos Dados Pessoais CONTRATANTE, pelos meios e em formatos, analógico ou eletrônico, seguros de transferência e armazenamento de dados, conforme descrição em requerimento próprio.
A CONTRATADA deverá cumprir o quanto solicitado em até 30 (trinta) dias corridos do recebimento do requerimento pela CONTRATANTE.
A CONTRATADA poderá reter os Dados Pessoais da CONTRATANTE na medida que for exigido pela Legislação Aplicável e somente pelo período exigido por lei e sempre observando que a CONTRATADA deverá garantir a confidencialidade, confiabilidade, integridade e segurança dos Dados Pessoais, bem como garantir que tais Dados Pessoais serão tratados e armazenados tão somente enquanto for necessário para finalidade específica e definida na Legislação Aplicável.
11) Direitos de Auditoria:
Adicionalmente aos direitos de auditoria eventualmente previstos no Contrato, a CONTRATADA deverá disponibilizar, sempre mediante solicitação prévia da CONTRATANTE, todas informações necessárias a demonstrar total conformidade a este Anexo, bem como permitir e contribuir com eventuais auditorias, incluindo inspeções pela CONTRATANTE ou qualquer auditor indicado por ela, ou qualquer uma de suas Afiliadas, com relação ao Tratamento dos Dados Pessoais CONTRATANTE e os termos e disposições deste Anexo.
A CONTRATADA deverá cooperar com a CONTRATANTE em qualquer aspecto da referida auditoria, provendo todas as evidências existentes de conformidade aos termos e condições deste Anexo.
12) Indenização:
A CONTRATADA deverá indenizar, bem como livrar de qualquer prejuízo, a CONTRATANTE, ou qualquer uma de suas Afiliadas, no caso de quaisquer perdas, multas e/ou sanções originárias de qualquer ação de terceiros ou das autoridades públicas, em especial a ANPD, em função de violação de qualquer termo ou disposição deste Anexo ou Violação de Dados Pessoais, para os quais a CONTRATADA tenha dado causa.
13) Termos Gerais:
Encerramento
As Partes concordam que este Anexo perde seu efeito automaticamente com (i) o encerramento do Contrato; ou (ii) sujeito ao consenso entre as Partes, o término da finalidade e necessidade de continuidade no Tratamento dos Dados Pessoais CONTRATANTE, ressalvadas as obrigações legais impostas às Partes na guarda e preservação dos direitos da CONTRATANTE ou de Titulares e terceiros, quando as disposições ora previstas devem subsistir em relação à CONTRATADA e seus Sub Operadores.
Foro e Legislação Aplicável
As Partes submetem este Anexo ao foro eleito e previsto no Contrato, afastando qualquer outro, por mais privilegiado que seja, especialmente em relação a qualquer disputa ou ação que possa surgir pela aplicação das regras deste Anexo, incluindo, mas não limitadas, a questões referentes à sua existência, validade, encerramento ou quaisquer consequências de eventuais nulidades.
O presente Anexo é regido pelas regras contidas na Legislação Aplicável.
Violações
Qualquer violação deste Anexo constituirá uma violação material do Contrato.
Contradições e Inconsistências
No caso de qualquer contradição ou inconsistência entre as disposições deste Anexo e qualquer outro acordo entre as Partes, incluindo, mas não limitado ao Contrato, as disposições deste Anexo deverão prevalecer no que se referir às questões de privacidade e proteção de Dados Pessoais.
Custos e Despesas de Medidas Técnicas e Organizacionais
As Partes concordam que quaisquer custos e despesas de implantação das Medidas Técnicas e Organizacionais ora previstas, bem como de adequação de programas de conformidade e segurança da informação, serão de exclusiva responsabilidade de cada uma das Partes e não acarretará em custo ou despesa adicional a nenhuma das Partes em relação à outra por conta da execução do Contrato ou deste Anexo.
Direitos de Terceiros
Nenhum terceiro, que não as Partes deste Contrato, terá direito de exigir a execução ou aplicação das disposições deste Anexo.
O direito de rescindir ou alterar este Anexo não depende da anuência e consentimento de qualquer outra pessoa, que não as Partes deste Anexo.
Alterações das Leis de Proteção de Dados
A CONTRATANTE poderá notificar expressamente a CONTRATADA, a qualquer tempo, quando houver qualquer tipo de alteração das Leis de Proteção de Dados e que exija qualquer tipo de modificação ou edição do presente Anexo. Qualquer alteração necessária deverá ser feita por escrito e de comum acordo entre as Partes, produzindo seus regulares efeitos a partir da assinatura das competentes alterações, bem como podendo implicar na necessária alteração dos acordos e contratos firmados pela CONTRATADA com Sub Operadores ou terceiros, a fim de se adequarem a este Anexo atualizado.
Independência das Disposições
No caso da declaração de nulidade, invalidade ou inaplicabilidade de qualquer uma das disposições previstas neste Anexo, permanecerá em pleno vigor as demais disposições que não forem objeto da referida declaração. As disposições nulas ou inválidas devem ser alteradas, na medida do possível, a fim de conferir validade às disposições e preservar as intenções originais das Partes.