Lei Geral de Proteção de Dados Pessoais (LGPD)

ANEXO II

TERMO DE TRATAMENTO DE DADOS PESSOAIS

  1. Objetivo
  2. Definições
  3. Obrigações sobre a proteção de dados
    1. Controladora e operadora
    2. Tratamento dos dados pessoais
    3. Incidente de segurança
  4. Subcontratação

OBJETIVO

Este Termo de Tratamento de Dados Pessoais (“Termo”) aplica-se aos tratamentos de dados pessoais realizados em razão do Contrato de Fornecimento de Bens e Prestação de Serviços (“Contrato”), celebrado por e entre CONTRATANTE e CONTRATADA, ambas definidas no Contrato, e o integra para todos os fins de direito.

DEFINIÇÕES

A CONTRATANTE e a CONTRATADA são doravante designadas, em conjunto como “Partes” e, individualmente como “Parte”. Não obstante qualquer disposição em contrário no Contrato, no caso de qualquer ambiguidade ou conflito entre os demais documentos integrantes do Contrato e deste Termo, os termos e condições deste Termo prevalecerão. Quaisquer termos iniciados em letras maiúsculas e não definidos de outra forma neste Termo terão o significado atribuído a eles no Contrato. Exceto conforme modificado abaixo, os termos do Contrato permanecerão em pleno vigor e efeito.
“Anonimização”
utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
“Controlador”
pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, aqui representado pela CONTRATANTE.
“Dado Pessoal”
dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa, bem como nome, prenome, estado civil, filiação e endereço, e-mail, telefone.
“Dado Pessoal Sensível”
dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
“Encarregado”
pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.
“Incidente de Segurança”
o estabelecido na Cláusula 3.3.1. do contrato.
“Leis Aplicáveis”
toda a legislação brasileira, incluindo leis, regulamentos, regras, ordens, decretos ou outras diretrizes com força de lei, relacionadas à proteção de dados e que sejam aplicáveis às Partes.
“Operador”
pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, aqui representado pela CONTRATADA.
“Requisitos de Segurança”
requisitos mínimos de segurança da informação estabelecidos pela CONTRATANTE para Tratamento seguro dos Dados Pessoais. Estarão consolidados em documento anexo ao Contrato, caso a CONTRATANTE julgue aplicável.
“Serviços”
os serviços e/ou fornecimentos, bem como outras atividades a serem executadas pela CONTRATADA à CONTRATANTE, ou em seu nome, nos termos do Contrato.
“Subcontratado”
os subcontratados, representantes e outros prestadores de serviços terceirizados, pessoa natural ou jurídica, contratados pelo Operador, que tenham acesso a Dados Pessoais relacionados à execução do Contrato.
“Titular”
pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
“Tratamento”
toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

OBRIGAÇÕES SOBRE A PROTEÇÃO DE DADOS

CONTROLADORA E OPERADORA

As Partes reconhecem que no âmbito da prestação dos Serviços a CONTRATANTE atuará na qualidade de Controladora, somente, e a CONTRATADA, conforme definido no preâmbulo, na qualidade de Operadora, conforme as obrigações e responsabilidades estabelecidas a cada uma delas, nos termos das Leis Aplicáveis.

TRATAMENTO DOS DADOS PESSOAIS

São obrigações da CONTRATADA no âmbito deste Termo:

Tratar os Dados Pessoais, conforme as instruções e diretrizes da CONTRATANTE, na medida do necessário para a prestação do Serviço. É vedado o Tratamento adicional de qualquer Dado Pessoal ao qual a CONTRATADA, porventura, tenha acesso em razão do Contrato para outras finalidades, salvo se expressamente autorizado pela CONTRATANTE.

Manter e disponibilizar, quando solicitado pela CONTRATANTE, registro de todas as categorias de atividades de Tratamento realizadas em decorrência do Contrato, de acordo com as Leis Aplicáveis. Este registro deverá incluir, ao menos:

  1. A descrição dos processos de Tratamento de Dados Pessoais realizados.
  2. A relação de transferências de Dados Pessoais para fora do Brasil, quando expressamente autorizada pela CONTRATANTE, incluindo a identificação (i) dos países destino e (ii) do mecanismo de transferência utilizado para realização da transferência internacional.
  3. Descrição geral das medidas técnicas e organizacionais utilizadas pela CONTRATADA, conforme melhores práticas de Segurança, caso aplicável.
  4. Nome e dados de contato do Subcontratado, caso aplicável, assim como seus representantes ou Encarregado.

Auxiliar a CONTRATANTE a cumprir as obrigações estabelecidas nas Leis Aplicáveis, principalmente aquelas relacionadas aos direitos dos Titulares.

Comunicar imediatamente a CONTRATANTE caso os Titulares exerçam seus direitos perante a CONTRATADA, sendo vedada qualquer providência para atendimento de demanda de Titulares por parte da CONTRATADA sem autorização prévia e expressa da CONTRATANTE.

Fornecer à CONTRATANTE as informações necessárias para elaboração de documentos exigidos pelas Leis Aplicáveis em decorrência de Tratamentos de Dados Pessoais, especialmente o relatório de impacto à proteção de Dados Pessoas.

Permitir que a CONTRATANTE realize auditorias ou inspeções, por si ou por terceiros, a qualquer tempo, mediante comunicação prévia, a fim de verificar o cumprimento das obrigações dispostas neste Termo.

Excluir ou devolver à CONTRATANTE a critério da CONTRATANTE, todos os Dados Pessoais ao término do Contrato.

Designar um Encarregado da proteção de Dados e informar os seus contatos à CONTRATANTE, se exigível pelas Leis Aplicáveis.

INCIDENTE DE SEGURANÇA

A CONTRATADA deverá imediatamente notificar a CONTRATANTE: (i) se tiver conhecimento ou suspeitar de qualquer comprometimento, divulgação a pessoas não autorizadas ou uso de Dados Pessoais de maneira não autorizada; (ii) se tiverem sido apresentadas quaisquer reclamações sobre as práticas de tratamento pela CONTRATADA; ou (iii) se tiver ocorrido qualquer descumprimento significativo ou substancial deste Termo (cada um denominado individualmente "Incidente de Segurança").

A CONTRATADA deverá: (i) cooperar integralmente com a CONTRATANTE para a investigação do Incidente de Segurança incluindo, sem limitação, a disponibilização de servidores à CONTRATANTE ou ao representante por ela designado, para investigação forense com o intuito de determinar o escopo de qualquer Incidente de Segurança; e (ii) preservar todas as informações e evidências relacionadas ao Incidente de Segurança incluindo, entre outros, a suspensão de limpeza (overwriting) ou exclusão rotineiras de dados ou arquivos de log.

A CONTRATADA deverá imediatamente reembolsar à CONTRATANTE todos os custos razoáveis incorridos pela CONTRATANTE para a resposta e/ou minimização do Incidente de Segurança decorrentes de, ou relacionados à violação pela CONTRATADA de suas obrigações decorrentes do Contrato ou destes Termos.

Salvo se exigido pelas Leis Aplicáveis ou compelida por uma intimação, ordem judicial ou outro documento legal similar emitido judicialmente ou pela Autoridade Nacional de Proteção de Dados, a CONTRATADA concorda em não divulgar o Incidente de Segurança a qualquer terceiro sem primeiramente obter o consentimento prévio e por escrito da CONTRATANTE.

A critério exclusivo da CONTRATANTE, na hipótese de um Incidente de Segurança decorrente de uma violação do Contrato ou deste Termo pela CONTRATADA acarretar a necessidade de: (i) envio de uma notificação a autoridades públicas ou indivíduos; ou (ii) adoção de outras medidas corretivas; se solicitado pela CONTRATANTE, a CONTRATADA deverá adotá-las às suas custas. O momento, conteúdo e maneira de realização de quaisquer notificações ou medidas corretivas serão determinados pela CONTRATANTE.

SUBCONTRATAÇÃO

É vedado à CONTRATADA compartilhar com, ou permitir o Tratamento por terceiros de Dados Pessoais a que tiver acesso, em decorrência do Contrato, salvo se prévia, expressa e formalmente autorizado pela CONTRATANTE.

Caso haja subcontratação autorizada pela CONTRATANTE, a CONTRATADA permanecerá responsável por todas as obrigações contidas neste Termo, incluindo:

Informar à CONTRATANTE a identidade e localização do Subcontratado, bem como a descrição do Tratamento pretendido.

Tomar as medidas cabíveis para garantir o cumprimento deste Termo pelo Subcontratado, aplicando a ele as mesmas obrigações e responsabilidades aqui dispostas.

A CONTRATADA é solidariamente responsável pelo Tratamento de Dados Pessoais realizados pelo Subcontratado, respondendo por eventuais danos causados por este.