Índice.
1. Considerando
2. Cláusula Primeira do Alcance Deste Termo Aditivo
3. Cláusula Segunda Definições
4. Cláusula Terceira do Tratamento de Dados Pessoais da Contratante
5. Parágrafo Único
5.1. Parágrafo Primeiro
5.2. Parágrafo Segundo
5.3. Parágrafo Terceiro
6. Cláusula Quarta das Consultas e Solicitações de Direitos do Titular de Dados Decorrentes do Artigo 18 da LGPD
7. Cláusula Quinta da Transferência Internacional de Dados
7.1. Parágrafo Primeiro
7.2. Parágrafo Segundo
8. Cláusula Sexta das Medidas de Segurança e Confidencialidade
8.1. A Contratada Declara Que
9. Cláusula Sétima da Gestão de Incidentes e Notificação de Violação de Dados
10. Cláusula Oitava do Direito de Execução de Auditorias
11. Cláusula Nona da Exclusão dos Dados
11.1. Parágrafo Único
12. Cláusula Décima da Exclusão da Responsabilidade
1. Considerando.
CONTRATADA e CONTRATANTE doravante são denominadas, em conjunto, como “Partes” e, individualmente e indistintamente, como “Parte”.
Em que as partes possuem Contrato de LICENÇA DE USO DE SOFTWARE, SUPORTE, HOSPEDAGEM, MANUTENÇÃO e PARCERIA.
- que a CONTRATADA, de acordo com sua Política de Segurança da Informação (PSI) vigente, reconhece a importância da manutenção do sigilo e confidencialidade sobre Dados Pessoais.
- que as CONTRATADAS possuem programa de governança de dados pessoais, que estabelece práticas assegurando a conformidade com a Lei 13.709/2018, e demais normas referentes à privacidade e proteção de dados pessoais.
- que as CONTRATADAS, no decorrer da prestação dos Serviços à CONTRATANTE nos termos e limites do Contrato, podem processar e tratar Dados Pessoais em nome da CONTRATANTE.
2. Cláusula Primeira do Alcance Deste Termo Aditivo.
Este termo aditivo faz parte do Contrato Principal de Licença de Uso de Software, e seus respectivos Anexos, celebrados entre as partes nas seguintes modalidades:
- “SaaS” (Software As A Service): Modelo de negócio baseado na tecnologia de Computação em Nuvem ou “Cloud Computing”, onde o software é fornecido mediante assinatura mensal.
- “On Premise”: Modelo de utilização dos Softwares da CONTRATADA são disponibilizadas para instalação e uso nos ambientes e/ou nos servidores de propriedade da CONTRATANTE.
A CONTRATANTE celebra este Termo Aditivo em seu nome e, na medida exigida pela Lei Geral de Proteção de Dados Pessoais, o faz em nome e em nome de suas Afiliadas autorizadas.
A CONTRATADA poderá alterar este Termo, assim como os termos e diretrizes de suas políticas de Proteção de Dados, alinhada com a CONTRATANTE. Sendo que o uso dos Programas pela CONTRATANTE e suas Afiliadas após sua alteração constituirá aceitação expressa às alterações efetuadas.
3. Cláusula Segunda Definições.
Para os fins deste Termo Aditivo, os termos e definições de “Tratamento de Dados”, “Dados Pessoais”, “Controlador”, “Operador”, assim como todos as definições referentes à Proteção de Dados Pessoais terão os mesmos significados estabelecidas no Artigo 5º da Lei Geral de Proteção de Dados – Lei nº 13.709/2018 (“LGPD”).
4. Cláusula Terceira do Tratamento de Dados Pessoais da Contratante.
Na medida em que os dados a serem utilizados na plataforma MULTIDADOS TI, adquirida pela CONTRATANTE, sejam considerados como Dados Pessoais, fica ajustado que a CONTRATANTE é considerado o Controlador dos Dados Pessoais, sendo a CONTRATADA um Operador, conforme este termos são entendidos na legislação de Proteção de Dados aplicável, sendo cada parte responsável pelo cumprimento de suas respectivas obrigações, de acordo com os estes termos definidos na legislação de proteção de dados pessoais do Brasil (Lei 13.709/2018).
A CONTRATANTE é e será a única responsável pela exatidão, qualidade e legalidade dos dados pessoais e pelos meios em que coletou e/ou obteve os dados pessoais armazenados e tratados pelos softwares da CONTRATADA.
Compete exclusivamente à CONTRATANTE administrar o uso responsável dos recursos de tratamento de dados pessoais disponíveis nos Softwares da CONTRATADA, tais como:
- Controle de Autenticações e acessos à API’s de comunicação com aplicações de troca de mensagens como Whats APP, Facebook Messenger, Skype e quaisquer aplicativos de comunicação .
- Controle de Acesso e Gestão dos Perfis de Acesso aos usuários, que compreende atribuir direitos de acesso à usuários que possam exportar dados pessoais em consultas em tela, geração de relatórios em papel e exportação de dados em formatos de planilha eletrônica ou em formato PDF.
- Utilização dos recursos nativos de Criação de Campos adicionais necessários para o complemento das informações e dados pessoais de titulares de dados.
- Controle de Acesso à utilização de softwares através de aplicativos móveis.
5. Parágrafo Único.
O Rol dos recursos no item 4 é exemplificativo, não taxativo, que não exaure possíveis ações de utilização dos recursos dos softwares não descritos nos termos deste contrato, que podem violar ou potencialmente colocar em risco os direitos de privacidade de titulares de dados, cabendo exclusivamente à CONTRATANTE adotar políticas de utilização e medidas técnicas e administrativas para garantir a Confidencialidade, Integridade e Disponibilidade dos dados pessoais.
A CONTRATADA tratará os dados pessoais da CONTRATANTE como CONFIDENCIAIS, O acesso e tratamento das informações de dados pessoais da CONTRATANTE são limitados exclusivamente às seguintes finalidades:
- Execução de Contrato onde os usuários da CONTRATANTE executam instruções de tratamento de dados no uso dos Softwares da CONTRATADA.
- Para cumprimento de instruções expressas de tratamento de dados fornecidas pela CONTRATANTE, desde que tais instruções sejam condizentes com os termos do Contrato, e em conformidade com os termos do artigo 39 da LGPD, cabendo à CONTRATADA, se recusar a realizar tal tratamento de dados pessoais em nome da CONTRATANTE, fornecendo justificativa fundamentada sobre sua decisão.
5.1. Parágrafo Primeiro.
Após o recebimento das instruções fornecidas pela CONTRATANTE, a CONTRATADA executará às instruções recebidas, dentro dos prazos razoavelmente necessários para o cumprimento da obrigação legal, na medida necessária para que a CONTRATANTE cumpra as obrigações exigidas pela Lei Geral de Proteção de Dados.
5.2. Parágrafo Segundo.
Eventuais solicitações de serviços referentes à LGPD deverão ser submetidas à CONTRATADA mediante abertura de chamado com o componente (Árvore de serviços LGPD), podendo incorrer em encargos ou custos adicionais à CONTRATANTE, a serem tratados mediante emissão de Proposta Comercial de Serviços Complementar.
5.3. Parágrafo Terceiro.
Sem prejuízo da obrigação de cumprir as instruções, as partes negociarão de boa-fé com relação à ocorrência de tais encargos não previstos.
6. Cláusula Quarta das Consultas e Solicitações de Direitos do Titular de Dados Decorrentes do Artigo 18 da LGPD.
A CONTRATANTE, no uso dos softwares, deverá tratar os dados pessoais de acordo com os requisitos aplicáveis ao Papel de CONTROLADOR, o que inclui fornecer informações aos titulares de dados pessoais sobre o uso de seus dados nos softwares da CONTRATADA.
A CONTRATADA poderá, na extensão razoavelmente necessária para execução do contrato, auxiliar a CONTRATANTE, com serviços e mão de obra no atendimento à solicitação de direitos de um titular de Dados. Na medida em que a CONTRATANTE não possua a capacidade de atender uma solicitação do titular de dados pessoais, a CONTRATADA deverá, mediante ordens expressas da CONTRATANTE, fornecer mão de obra e serviços para apoiar a CONTRATANTE a responder a solicitação, sendo a CONTRATANTE responsável por quaisquer custos decorrentes destes serviços.
Excepcionalmente, tão somente nos casos em que a CONTRATADA coletar dados em nome da CONTRATANTE, fica obrigada a fornecer tempestivamente informações e documentos e auxiliar a Contratante, inclusive por meio da adoção de medidas técnicas e organizacionais apropriadas, para que a Contratante possa atender aos direitos dos Titulares previstos na Legislação de Proteção de Dados, sem incremento de custos adicionais para a CONTRATANTE.
7. Cláusula Quinta da Transferência Internacional de Dados.
A menos que seja especificamente ajustado de outra forma, por escrito pelas CONTRATADAS, os Dados da CONTRATANTE podem ser hospedados pelas CONTRATADAS, ou em seus respectivos provedores de serviço localizados nos Estados Unidos, na União Europeia, ou em outros países.
7.1. Parágrafo Primeiro.
Na medida em que os Dados Pessoais da CONTRATANTE se originam de um Agente ou Usuário Final no Brasil, A CONTRATADA garante que se os mesmos forem transferidos para outro país, então essa transferência só ocorrerá:
- Mediante formalização de contratos apropriados que garantem utilização de medidas de segurança necessárias para garantir confidencialidade, integridade e disponibilidade dos dados pessoais transferidos.
- Se o país em questão garantir um nível adequado de proteção de dados ou uma das outras condições listadas no Artigo 33 da LGPD seja plenamente satisfeita.
7.2. Parágrafo Segundo.
As mesmas regras de exigência de segurança e requisitos se aplicam caso seja realizada transferência de dados internacional pela CONTRATADA e seus Operadores, em caso de utilização de empresas Sub-Operadores ou Operadores Terceirizados. Tais entidades estarão sujeitas ao mesmo nível de proteção e segurança de dados da CONTRATADA.
8. Cláusula Sexta das Medidas de Segurança e Confidencialidade.
A CONTRATADA declara que mantém medidas de segurança técnicas e organizacionais apropriadas para garantir a Confidencialidade, Integridade e Disponibilidade de todos os bens, serviços, equipamentos, sistemas e softwares utilizados para a execução dos serviços, garantindo que suas medidas de segurança técnicas e organizacionais são adequadas à execução dos serviços e para se proteger quando à ocorrência de incidentes de segurança.
As medidas de segurança são destinadas a evitar destruição, perda, alteração, divulgação não autorizada ou acesso às Informações Pessoais, tanto na forma acidental ou ilegal. Essas medidas de segurança regem todas as áreas de segurança aplicáveis aos Serviços, incluindo acesso físico, acesso ao sistema, acesso a dados, transmissão e criptografia e controle de acesso.
A CONTRATADA incluindo todos os seus colaboradores e prepostos, compromete-se a tratar os Dados Pessoais da CONTRATANTE como Confidenciais, exceto se já eram de conhecimento público sem qualquer contribuição da CONTRATADA, ainda que este contrato venha a ser resolvido, e independentemente dos motivos que deram causa a seu término ou resolução.
8.1. A Contratada Declara Que.
- Possui Termo de Confidencialidade firmado com todos os seus colaboradores e prepostos.
- Todos os colaboradores e prepostos envolvidos na operação são informados sobre a natureza confidencial dos dados.
- Todos os colaboradores e propostos receberam treinamentos apropriados sobre suas responsabilidades, fortalecendo o compromisso de confidencialidade, e com o propósito de mitigar riscos de violação de dados pessoais.
- O acesso aos dados pessoais da CONTRATANTE é limitado à equipe que realiza os serviços decorrentes do contrato.
Mediante solicitação da CONTRATANTE, a CONTRATADA fornecerá suporte e assistência razoáveis à CONTRATANTE para realizar uma avaliação do impacto da proteção de dados relacionada ao uso dos SOFTWARES, na medida em que a CONTRATANTE não tenha acesso de outra forma às informações relevantes, e na medida em que tais informações estejam disponíveis nos Softwares da CONTRATANTE.
9. Cláusula Sétima da Gestão de Incidentes e Notificação de Violação de Dados.
A CONTRATADA declara que possui implementado um Plano de Resposta a Incidentes, projetado para detectar e responder prontamente a incidentes que criem suspeita ou indiquem destruição, perda, alteração, divulgação não autorizada ou acesso a Informações pessoais transmitidas, armazenadas ou processadas de outra forma.
A CONTRATADA definirá o devido processo de escalonamento para investigar tais incidentes a fim de confirmar a ocorrência de violação de Dados Pessoais da CONTRATANTE, e tomar medidas razoáveis destinadas a identificar a(s) causa(s) da violação e mitigar possíveis efeitos adversos e eventual possível recorrência.
A CONTRATADA e seus prepostos, se comprometem a notificar a CONTRATANTE por escrito imediatamente sem atrasos indevidos, sempre tomar conhecimento ou houver suspeita de violação, acesso não autorizado, aquisição, uso, divulgação ou destruição não autorizada de Dados Pessoais (“Violação de Segurança ou Violação de Dados Pessoais”), e se compromete igualmente em fornecer informações detalhadas sobre a natureza e o escopo da violação de segurança, a causa real ou potencial da violação e as medidas adotadas pela CONTRATANTE para investigar a violação, corrigir ou atenuar a violação e seus efeitos, e impedir futuras violações.
A CONTRATADA concorda que qualquer decisão de notificar os Titulares de Dados ou Autoridades Públicas sobre a Violação de Segurança será feita a critério exclusivo do CONTRATANTE e qualquer aviso deverá ser previamente aprovado pela mesma.
10. Cláusula Oitava do Direito de Execução de Auditorias.
A CONTRATADA desde já autoriza, mediante prévia notificação, por prazo não inferior a 15 (quinze) dias, a condução de auditorias ao programa interno de privacidade e governança de dados pessoais. Este procedimento poderá́ ser conduzido pela CONTRATANTE.
Quando da realização deste procedimento, deverá a CONTRATADA garantir:
- acesso às instalações e arquivos de informações (físicos ou eletrônicos).
- apoio dos colaboradores para a condução das diligências necessárias.
Na hipótese de identificação de inconsistências ou irregularidades quando da condução das auditorias, deverá a CONTRATADA providenciar a imediata remediação, notificando à CONTRATANTE as medidas corretivas adotadas.
11. Cláusula Nona da Exclusão dos Dados.
A CONTRATADA, em caso de tratamento de dados pessoais, se compromete a tratar exclusivamente os dados pessoais para os fins e duração previstos. Após o término da prestação de serviços, a CONTRATADA, na qualidade de Operador, se compromete a devolver os dados da CONTRATANTE, e excluir todos os dados pessoais tratados em nome da CONTRATANTE/CONTROLADORA, sem retenção de quaisquer cópias, salvo exceção por força de lei ou cumprimento de ordem judicial.
O descarte dos dados será realizado pela CONTRATADA de forma a assegurar a execução de medidas razoáveis para destruir as informações tais como:
- Fragmentação;
- Apagar e excluir permanentemente;
- Desmagnetização;
- Modificação ou anonimização de dados pessoais de forma a tornar os registros ilegíveis, irreconhecíveis e indecifráveis.
11.1. Parágrafo Único.
As regras sobre exclusão descritas no item 11 sobre a cláusula 9 aplicam-se somente aos contratos de fornecimento dos softwares no modelo SaaS / Cloud Computing. Caso a CONTRATANTE utilize os softwares da CONTRATADA na modalidade On Premises”, a responsabilidade de BACKUP e EXCLUSÃO DE DADOS corre exclusivamente por conta da CONTRATANTE.
12. Cláusula Décima da Exclusão da Responsabilidade.
Este Contrato não autoriza a CONTRATADA a praticar atos de gestão referentes a coleta, tratamento, armazenamento, compartilhamento e exclusão de dados pessoais, bem como quaisquer outros atos que caracterizem tratamento, governança e gestão de dados, limitando-se sua atuação estritamente, consultoria, aconselhamento, capacitação e treinamento ações e medidas de parametrização e desenvolvimento de programas, para assegurar a melhor utilização da plataforma MULTIDADOS TI ao negócio da CONTRATANTE, remanescendo a prática de todo e qualquer ato de gestão de dados responsabilidade exclusiva da Contratante.
A CONTRATADA não responderá, em hipótese alguma, por eventuais vazamentos de dados pessoais, pela infração de direitos dos titulares, pela não observância dos princípios gerais da proteção de dados no Brasil ou por atos de coleta, tratamento, armazenamento, compartilhamento e exclusão de dados pessoais realizados pela CONTRATANTE em desacordo com a LGPD.