Tratamento dos dados pessoais

1. As partes obrigam-se a obedecer a Lei 13.709/2018, Lei Geral de Proteção de Dados (LGPD), especialmente no que concerne à confidencialidade de dados pessoais e dados sensíveis que são confiados a uma das partes pelos titulares desses dados e compartilhados para que a outra parte proceda a seu tratamento por força e para os fins deste contrato, bem como a cumprir todas as demais legislações de privacidades de dados pessoais porventura aplicáveis, como o Marco Civil da Internet. As partes ajustam que, para fins de execução deste contrato, os conceitos aplicados a vocábulos e expressões serão considerados aqueles definidos pelo art. 5º da LGPD.

2. As partes ajustam que, além dos princípios gerais de Direito, a interpretação das cláusulas deste contrato obedecerá aos princípios definidos pelo art. 6º da LGPD.

3. Para os fins específicos deste contrato, as partes declaram que tanto a CONTRATANTE quanto a CONTRATADA serão considerados CONTROLADORES de dados pessoais, na forma do que determina o artigo 5º, VI e VII da Lei Geral de Proteção de Dados (LGPD).

4. As partes asseguram que empenharão esforços mútuos e individuais para garantir que sejam adotadas medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais contra acessos não autorizados e de situações acidentais, ou qualquer forma de tratamento inadequado, necessárias ao cumprimento da Lei Geral de Proteção de Dados (Lei n° 13.709/2018); contudo, quanto ao funcionamento do software, sua manutenção e banco de dados a responsabilidade exclusiva é da OPERADORA.

5. As partes asseguram que adotam regras de boas práticas e de governança garantem que o tratamento de dados pessoais e sensíveis seja lícito, leal, transparente e limitado às finalidades autorizadas a que se destina.

6. As partes ajustam que toda a coleta de dados pessoais e dados sensíveis para tratamento é realizada pelas partes com base em medidas necessárias para assegurar a exatidão, integridade, confidencialidade e, quando cabível, anonimização, bem como garantir o respeito à liberdade, à privacidade, à inviolabilidade da intimidade, à imagem, enfim, a todos os direitos dos titulares, inclusive o exercício do direito de solicitar acesso, correção e eliminação de dados pessoais e sensíveis armazenados em banco de dados digital de ambas as partes. Nesse sentido, as partes reconhecem como são direitos dos terceiros titulares dos dados tratados: a) confirmação da existência de tratamento; b) acesso aos dados; c) correção de dados incompletos, inexatos ou desatualizados; d) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a legislação; e) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador; f) eliminação dos dados pessoais tratados com o consentimento do titular; g) informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; h) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; i) revogação do consentimento; j) opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na legislação.

Assim sendo, os direitos dos titulares de dados pessoais são entendidos como:

a. Direito ao conhecimento: pode ter o direito de confirmação da existência de tratamento de dados pessoais que coletamos sobre você e para que finalidade.

b. Direito de acesso: pode ter o direito de solicitar informações sobre os dados pessoais que possuímos e obter uma cópia dessas informações pessoais.

c. Direito retificação: pode ter o direito de solicitar correção de dados incompletos, imprecisos ou desatualizados;

d. Direito à objeção: pode ter o direito de se opor ao processamento de seus dados pessoais, quando aplicável e revogar seu consentimento para processar ou conceder acesso aos seus dados pessoais.

e. Tomada de decisão automatizada: pode ter o direito de não ter uma decisão tomada sobre você que se baseie apenas no processamento automatizado se essa decisão produzir efeitos legais ou similarmente significativos em relação a você.

f. Direito à portabilidade: pode ter o direito de receber suas informações pessoais, em um formato estruturado, comumente usado e legível por máquina e ter essas informações transmitidas para outra organização em determinadas circunstâncias.

g. Direito à exclusão: pode ter o direito de solicitar a exclusão de suas informações pessoais que coletamos de você.

h. Direito de estar livre de discriminação: ninguém discriminará você por qualquer informação ou por exercer seus direitos de privacidade.

7. As partes deverão manter registro de dados pessoais processados para os propósitos do presente contrato a fim de cooperar e fornecer todas as informações necessárias para o cumprimento das obrigações deste instrumento e o dever de notificação sob a Lei Geral de Proteção de Dados (LGPD).

8. Sem prejuízo às demais disposições deste instrumento, são obrigações do Controlador, que para fins deste contrato, é a parte a quem compete as decisões referentes ao tratamento de dados pessoais: a) Respeitar os direitos dos titulares, nos termos da legislação brasileira; b) O Controlador deve obter consentimento do titular dos dados ou outra base legal aplicável para comunicar ou compartilhar dados pessoais com outros controladores, ciente de que é seu dever comprovar a obtenção deste; c) Em caso de utilização da base legal consentimento, este deverá ser obtido sempre de forma escrita e assinada pelas partes; d) Caso o Controlador utilize por base legal o consentimento, deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.

9. Sem prejuízo às demais disposições deste instrumento, são obrigações do Operador que as partes vierem a contratar: a) Agir estritamente de acordo com as normas contratualmente estabelecidas neste instrumento e unicamente para persecução do objeto contratual, conforme instruções escritas dadas pelo Controlador; b) Garantir que as pessoas que tratam os dados estejam sujeitas à ciência destas cláusulas protetivas, instrumentalizada mediante assinatura de termo de confidencialidade; c) Tomar medidas apropriadas para garantir a segurança do tratamento. Nesse sentido, o Operador manifesta ciência de que não poderão ser usados os dados pessoais do Controlador para qualquer outro fim que não previsto neste Instrumento, que não poderão ser usados os dados pessoais para seus próprios propósitos e que somente serão revelados a terceiros mediante autorização expressa do Controlador.

10. O Operador estará ciente de que, independentemente de ordem judicial e a qualquer tempo, o Controlador poderá solicitar evidências sobre os processos de guarda/descarte dos dados decorrentes desta relação contratual; podendo ainda o Controlador realizar auditorias sobre o cumprimento acerca de medidas técnicas e organizacionais implementadas pela parte auditada; e, em caso não se evidenciem que a tomada de medidas técnicas e organizativas apropriadas, destinadas a proteger os dados pessoais tratados no presente instrumento contra uso indevido e perda, ou contra qualquer outra violação de proteção de dados, ou que estas sejam insuficientes, a Controladora poderá rescindir a relação havida sem qualquer ônus.

11. O Operador, estará autorizado a contratar outros operadores de dados pessoais que atuem como ferramentas integradas às suas tecnologias somente mediante autorização escrita do Controlador, nomeando tais suboperadores. Ao contratar outros operadores de dados, o Operador principal requererá a eles termos de proteção de dados que garantam, no mínimo, o mesmo grau de proteção para os Dados Pessoais conforme o disposto neste instrumento, observada a natureza dos serviços prestados por tais suboperadores. O Operador seguirá sendo corresponsável pelos seus subcontratados no que disser respeito à presente Cláusula.

12. Os suboperadores contratados pelo Operador não poderão compartilhar dados com empresas terceiras; bem como não poderão utilizar dados pessoais objeto do presente instrumento para fins de marketing e remarketing, e qualquer tipo de publicidade, seja por qualquer meio.

13. O Operador deverá auxiliar o Controlador na aplicação das medidas técnicas e organizacionais necessárias ao cumprimento das solicitações de direitos dos titulares dos dados pessoais, nos termos da Lei Geral de Proteção de Dados Pessoais. Assim sendo, caso tais titulares exerçam qualquer dos seus direitos diretamente ao Operador, este deverá comunicar o Controlador imediatamente e por escrito e informar ao titular dos dados pessoais a respeito de que o Operador atua como mero processador dos dados pessoais e que deverá encaminhar a sua solicitação diretamente ao Controlador, por escrito, no endereço de e-mail do encarregado de proteção de dado.

14. Por ocasião da extinção da relação, o Operador se comprometerá a eliminar os dados pessoais imediatamente de sua base de dados, inclusive aqueles classificados como sensíveis,; excetuam-se do previsto acima aqueles dados cuja manutenção seja compulsória por força de Lei ou comando com mesma obrigatoriedade de atendimento, hipótese em que seu tratamento e sua eliminação deverão ser realizados em estrita observância das normas aplicáveis. Nesse sentido, o Operador responsabiliza-se a garantir que não reterá indevidamente tais dados pessoais e que nem qualquer pessoa que esteja vinculado contratualmente realizará tal retenção indevida, bem como responsabiliza-se por formalizar junto aos seus subcontratados que está revogada a autorização de tratamento dos dados pessoais do Controlador.

15. Em caso de ser detectada violação de dados pessoais, caracterizada como roubo, acesso não autorizado, perda ou dano a qualquer informação na base de dados de cada uma das partes, esta deverá comunicar tal incidente á contraparte, com a maior brevidade possível, mas sempre dentro de 36 (trinta e seis) horas, para relatar os detalhes de tal incidente de violação, de acordo com a legislação aplicável. O referido comunicado conterá, no mínimo, as seguintes informações: a) Descrição do incidente; b) Data e hora da identificação do incidente; c) Usuários afetados; d) Plano de ação.

16. Em caso de violação de proteção de dados, cada parte deverá auxiliar a contraparte a fornecer todas as informações necessárias a que tenha acesso a fim de cumprir suas obrigações perante a Autoridade Nacional de Proteção de Dados, bem como para fazer cessar a violação de proteção de dados.

17. Os responsáveis pela Proteção de dados de ambas as partes constam dos respectivos sítios eletrônicos da companhia; onde poderão ser consultados; de forma atualizada.

18. Fica claro que a CONTRATADA realizará a gestão e armazenamento dos dados pessoais dos consumidores que transitarem no seu SOFTWARE, remetendo à CONTRATANTE somente os dados pessoais necessários ao atingimento do objeto contratual firmado entre as partes e devidamente autorizados pelo consumidor.

E, por estarem assim, justos e contratados, firmam o presente em duas vias de igual teor e forma, juntamente com as testemunhas signatárias.