Anexo de Privacidade e Proteção de Dados
Última atualização: 20 de março de 2025 i
| Autor | ARCO |
|---|---|
| Atualizada em | 20/03/2025 15:11 |
| Versão | 1.0 |
| Assinatura digital | 26d0a47929c5eef8bd1a7bd87442b3d25b36a705fd2d67c3c77b8d7e27803a4c |
Para a execução do Contrato, as Partes concordam em seguir as diretrizes de Privacidade e Proteção de Dados constantes neste Anexo, que integra o Contrato para todos os fins de direito.
1. Nos termos da Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018 (LGPD), será considerado Controlador de Dados apessoa natural ou jurídica, de direito público ou privado, que toma as decisões referentes ao tratamento de Dados Pessoais e Operador apessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de Dados Pessoais em nome do Controlador, seguindo suas instruções.
2. As Partes concordam que tratarão os Dados Pessoais em conformidade com a legislação aplicável, incluindo, mas não se limitando, à LGPD. Caso as Partes sejam Controladoras dos Dados Pessoais, as atividades de tratamento realizadas fora do escopo deste Contrato serão de exclusiva responsabilidade da Parte que as realizar, devendo manter a outra Parte livre de quaisquer responsabilidades, danos ou prejuízos decorrentes desse tratamento.
3. Obrigações da Operadora no tratamento dos Dados Pessoais. Se a Contratada atuar como Operadora deverá cumprir as seguintes obrigações:
I. Seguir as instruções da Contratante em relação ao tratamento dos Dados Pessoais egarantir que o tratamento ocorra exclusivamente dentro das finalidades previstas noContrato, sendo vedado qualquer uso para fins não expressamente autorizados pela Contratante;
II. Não compartilhar Dados Pessoais deste Contrato com terceiros, exceto quando essencial para a prestação do serviço. Nesses casos, deve garantir que os terceiros adotemos requisitos de privacidade e segurança, no mínimo, equivalentes aos estipulados neste Anexo e assumirá a integral responsabilidade pelo tratamento realizado por estes em seu nome;
III. Notificar imediatamente a Contratante caso receba quaisquer questionamentos de Titulares ou Autoridades sobre o tratamento de Dados Pessoais decorrentes deste Contrato e abster-se de responder antes da Contratante apresentar as devidas instruções;
IV. Comunicar imediatamente à Contratante caso tenha acesso a Dados Pessoais excessivos ou não necessários à execução do Contrato, devendo inutilizar tais Dados Pessoais;
V. Não criar bancos de dados independentes a partir dos Dados Pessoais da Contratante sem autorização prévia e expressa;
VI. Implementar mecanismos de segurança para impedir a identificação indevida dos titulares por qualquer ferramenta, tecnologia ou engenharia reversa, nos casos em que os Dados Pessoais tenham sido compartilhados de forma que sua identificação direta não seja possível, exceto mediante cruzamento com outras informações ou o acesso à chave de identificação;
VII. Abster-se de anonimizar os Dados Pessoais da Contratante;
VIII. Realizar qualquer Transferência Internacional de Dados Pessoais quando estritamente necessária, garantindo a segurança, privacidade e conformidade com a LGPD e, apenas se houver, mecanismos legais adequados, como as Cláusulas Contratuais-Padrão (SCCs brasileiras) definidas pela ANPD;
3.1. O presente Contrato não implica em transferência de propriedade ou controle à Contratada sobre os Dados Pessoais da Contratante e de seus titulares.
4. Suboperador e/ou Subcontratado. A Operadora deverá, em relação ao(s) seu(s) Suboperador(es)/Subcontratado(s):
I. Preservar a integridade e precisão dos Dados Pessoais da Contratante , devendo atualizar, corrigir ou deletar tais dados a pedido da Contratante;
II. Verificar por meio de due diligence ou procedimento equivalente que o(s) seu(s) Suboperador(es) ou Subcontratado(s) garante(m) um nível de segurança e proteção de Dados Pessoais, no mínimo, equivalente a este Anexo, e fornecer evidências dessa verificaçãoà Contratante, quando solicitado;
III. Formalizar Contrato por escrito com o(s) seu(s) Suboperador(es) ou Subcontratado(s), assegurando que contenha disposições, no mínimo, equivalentes a este Anexo;
IV. Responder integralmente por todos os atos e omissões do(s) seu(s) Suboperador(es) ou Subcontratado(s) no tratamento dos Dados Pessoais da Contratante;
V. Disponibilizarà Contratante, quando solicitado, cópia dos Contratos firmados com o(s) Suboperador(es) ou Subcontratado(s) podendo ocultar informações confidenciais.
5. Obrigações da Controladora no tratamento dos Dados Pessoais. Caso a Contratada atue como Controladora, deverá cumprir as seguintes obrigações:
I. Assumir a responsabilidade pelas decisões referentes ao tratamento dos Dados Pessoais, atuando como Controlador individual ou Controlador conjunto, conforme a legislação e regulamentos aplicáveis;
II. Gerenciar a base legal apropriada para o tratamento de dados pessoais. Se forconsentimento, obter, registrar e informar à Contratante sobre eventuais revogações, quando aplicável;
III. Caso o tratamento dos Dados Pessoais decorrentes deste Contrato seja realizado por terceiros, a Contratada garante que determinará aos terceiros os requisitos de privacidade e segurança, no mínimo, equivalentes aos tratados neste Contrato e assumirá a integral responsabilidade pelo tratamento realizado por estes em seu nome;
IV. Cooperar com o exercício dos direitos dos titulares e solicitações por parte da Autoridade Nacional de Proteção de Dados (ANPD).
6. Medidas de segurança. As Partes garantem que, independente de sua classificação no tratamento dos Dados Pessoais, implementaram em seus processos medidas de segurança técnicas e organizacionais apropriadas para proteger os Dados Pessoais contra tratamentos irregulares e incidentes de segurança.
6.1. A Contratada declara que manterá políticas, normas e procedimentos conforme as melhores práticas de segurança do mercado ou indicadas pela Contratante, quando aplicável.
6.2. A Contratante poderá estabelecer, por escrito, critérios mínimos de segurança que deverão ser atendidos pela Contratada, sem excluir a obrigação da Contratada de adotar medidas adicionais e garantir a segurança da informação.
6.3. A Contratada deverá periodicamente testar, avaliar e verificar a efetividade das medidas de segurança aplicadas ao tratamento dos Dados Pessoais da Contratante.
6.4. A Contratada garantirá que o Tratamento dos Dados Pessoais no contexto do Contrato seja restrito aos seus colaboradores responsáveis. Esses colaboradores deverão receber treinamentos sobre segurança, proteção de dados e legislação aplicável, bem como ter conhecimento das obrigações previstas neste Anexo. Além disso, assegurará que todos estejam sujeitos a contratos de sigilo ou obrigações de confidencialidade.
7. Incidentes de Segurança. Em caso de mera suspeita ou confirmação de incidentes envolvendo os Dados Pessoais tratados no âmbito do Contrato, a Contratada deverá notificar a Contratante, por escrito, em até 24 horas (vinte e quatro horas) corridas de sua ciência, apresentando, no mínimo, a descrição do ocorrido, data e hora de sua ciência, causa, possíveis impactos aos Titulares, ações de mitigação adotadas e próximos passos.
7.1. A Contratada deverá apresentar um Plano de Resposta ao incidente em até 48 horas (quarenta e oito) para aprovação da Contratante e, se necessário, cooperar para eventual comunicação à ANPD e aos Titulares.
7.2. A Contratada assume que manterá registros detalhados de todos os incidentes, incluindo a descrição da ocorrência, impactos e medidas adotadas para prevenção de novos incidentes.
7.3. A Contratada, às suas próprias custas, investigará as causas e as consequências do Incidente de Segurança e tomará as medidas necessárias para remediá-lo, informando prontamente à Contratante de todas as ações tomadas.
8. Retenção e Eliminação de Dados. A Contratada deverá interromper o tratamento, excluir ou devolver os Dados Pessoais de forma segura, mediante solicitação da Contratante ou término do Contrato, salvo obrigação legal contrária que autorize o tratamento.
8.1. A Contratante poderá solicitar, em até 30 (trinta) dias, evidências, por escrito, que comprovem que a Contratada eliminou os Dados Pessoais e quaisquer cópias que porventura possa ter em seus bancos de dados ou documentos apartados.
9. Auditorias. A Contratada deverá disponibilizar, sempre que solicitado, todas as informações, documentos e relatórios de auditoria necessários para demonstrar a conformidade com este Anexo e com este Contrato quanto ao tratamento de Dados Pessoais. A Contratante poderá requerer essas informações mediante aviso prévio de 5 (cinco) dias, garantindo a verificação do cumprimento das obrigações contratuais e legais.
9.1. A auditoria será limitada aos repositórios físicos e/ou eletrônicos onde ocorra o Tratamento de Dados Pessoais compartilhados pela Contratante, respeitando eventuais obrigações de sigilo profissional e segredo de negócio.
9.3. Caso sejam identificadas falhas ou inconformidades durante a auditoria, a Contratada deverá, às próprias custas, garantir a correção, sob risco de rescisão motivada do Contrato.
10. Responsabilidade e indenização. A Contratada será responsável por si, seus colaboradores, representantes, fornecedores e/ou terceiros por todo tratamento de Dados Pessoais realizados no âmbito deste Contrato, devendo manter a Contratante livre de quaisquer danos ou prejuízos, diretos ou indiretos, inclusive danos reputacionais experimentados, decorrente de qualquer operação de tratamento realizada em desacordo com o Contrato, com a legislação e, quando aplicável, com as instruções da Contratante, sem prejuízo das penalidades previstas no Contrato.
10.1. A Contratada deverá indenizar a Contratante por perdas, reivindicações, indenizações, multas, penalidade e despesa (incluindo honorários advocatícios e custos decorrentes ou relacionados a qualquer ação, reivindicação ou alegação de terceiros) que decorrerem do não cumprimento desteAnexoe/ou das Leis e Regulamentos de Proteção de Dados.
10.2. Fica assegurado à Contratante, nos termos da lei, o direito de regresso em face da Contratada diante eventuais danos causados por esta em decorrência do descumprimento das obrigações assumidas em relação à proteção de Dados Pessoais, sem prejuízo de aplicação de multa prevista em Contrato.
11. Disposições gerais. Este Anexo não gera responsabilidade solidária entre as Partes. Em caso de conflito com o Contrato Principal, prevalecerão as cláusulas deste Anexo, desde que expressamente aplicáveis ao objeto aqui tratado e em conformidade com a legislação vigente.
11.1. Este Anexo sobrevive ao término do Contrato, obrigando as Partes no que diz respeito à proteção de Dados Pessoais.
11.2. Este Anexo poderá ser alterado pela vontade das Partes ou caso sobrevenha nova lei, regulação ou direcionamentos por parte da ANPD ou qualquer Autoridade Fiscalizadora que demande a alteração de suas disposições. As novas disposições deverão ser acordadas pelas Partes de boa-fé e sempre por escrito como termo aditivo a este Anexo.