Aditivo ao Contrato Principal – Anexo de Privacidade e Proteção de Dados

ADITIVO AO CONTRATO PRINCIPAL – ANEXO DE PRIVACIDADE E PROTEÇÃO DE DADOS

 

As partes decidem aditar o contrato principal, consoante cláusulas e compromissos ora firmados.

 

Definições

 

  • Dados Pessoais”: qualquer informação obtida em razão do presente contrato, relacionada a pessoa natural identificada ou identificável, como por exemplo: nome, CPF, RG, endereço residencial ou comercial, número de telefone fixo ou móvel, endereço de e-mail, informações de geolocalização, entre outros.

 

  • Dados Pessoais Sensíveis”: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

 

  • Dado anonimizado”: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

 

  • Titular dos dados”:  pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

 

  • Tratamento”: qualquer operação ou conjunto de operações efetuadas com dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a coleta, o registro, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, a eliminação ou a destruição.

 

  • Controlador”: a quem competem as decisões referentes ao tratamento de dados pessoais, especialmente relativas às finalidades e os meios de tratamento de dados pessoais.

 

  • Operador”: parte que trata dados pessoais de acordo com as instruções do Controlador. Neste caso, o operador será o fornecedor XXXXX.

 

  • Autoridade Nacional de Proteção de Dados”: órgão responsável pela fiscalização do cumprimento das disposições da Lei Geral de Proteção de Dados, Lei Federal nº 13.709/2018 no território nacional.

 

Disposições

 

Considerando o Tratamento de Dados Pessoais que é realizado pelo {OPERADOR} ou suas afiliadas, seus funcionários, representantes, contratados ou outros em nome da Ânima ou de suas afiliadas, o {OPERADOR} deve garantir que qualquer pessoa envolvida no Tratamento de Dados Pessoais em seu nome, em razão deste Contrato, cumprirá esta cláusula.

 

  1. Processamento: O {OPERADOR} tratará os dados pessoais somente para executar as suas obrigações contratuais descritas no contrato principal, ou outras definidas pela Ânima, por meio de aditivos a este contrato. Igualmente, o {OPERADOR} não coletará, usará, acessará, manterá, modificará, divulgará, transferirá ou, de outra forma, tratará dados pessoais, sem a ciência e autorização da Ânima. O {OPERADOR} tratará os Dados Pessoais em observância a todas as leis de privacidade e proteção de dados aplicáveis e às políticas e normas aplicáveis e impostas pela Ânima.

 

  1. Dados pessoais sensíveis: O {OPERADOR} reconhece que os Dados Pessoais Sensíveis estão sujeitos a um maior rigor legal e, portanto, exigem maior proteção técnica e organizacional. Assim, quando o {OPERADOR} realizar operações de Tratamento de Dados Pessoais Sensíveis, deve garantir que as proteções técnicas apropriadas, aptas a manter a integridade, confidencialidade e segurança destas informações sejam implementadas, como por exemplo, a criptografia. O {OPERADOR} concorda em realizar o Tratamento de Dados Pessoais Sensíveis apenas quando estritamente necessário para cumprir com as disposições contratuais.

 

  1. Compartilhamento de informações pessoais: O {OPERADOR} assegurará que os Dados Pessoais não sejam acessados, compartilhados ou transferidos para terceiros (incluindo subcontratados, agentes autorizados e afiliados) sem o consentimento prévio por escrito da Ânima. Caso a Ânima autorize estas operações de tratamento, o {OPERADOR} deverá garantir que tais terceiros se obriguem, por escrito, a garantir a mesma proteção aos Dados Pessoais estabelecida neste Contrato. O {OPERADOR} será responsável por todas as ações e omissões realizadas por tais terceiros, relativas ao Tratamento dos Dados Pessoais, como se as tivesse realizado.

 

  1. Programa de proteção de dados: O {OPERADOR} se compromete a instituir e manter um programa abrangente de segurança e governança de dados pessoais. Esse programa deverá estabelecer controles técnicos e administrativos apropriados para garantir a confidencialidade, integridade e disponibilidade dos Dados Pessoais objeto de Tratamento, além de garantir a conformidade com a Lei Geral de Proteção de Dados e demais normas que versem sobre privacidade e proteção de dados pessoais. Isso inclui a implementação de “Políticas Internas” que estabeleçam, dentre outras regras: (i) como os titulares de dados são informados quando do tratamento de dados pessoais; (ii) quais são as medidas de segurança aplicadas (técnicas e procedimentais) que garantam a confidencialidade, integridade e disponibilidade das informações; (iii) como é realizada a gestão de crise, em caso de ocorrência de incidentes envolvendo dados pessoais; (iv) qual o procedimento instituído que garante a constante atualização destas medidas; (v) a limitação e controle de acesso aos Dados Pessoais; (vi) a revisão periódica das medidas implementadas; (vii) condução de constantes treinamentos com os funcionários da companhia.

 

  1. Registro de informações: O {OPERADOR} manterá devidamente atualizados os registros das operações de Tratamento de Dados Pessoais, que conterá a categoria dos dados tratados, os sujeitos envolvidos na atividade, qual a finalidade das diversas atividades de tratamento realizadas e por quanto tempo os dados pessoais serão processados e armazenados após o cumprimento de sua finalidade originária.

 

  1. Medidas e controles de segurança: O {OPERADOR} concorda e declara possuir medidas implementadas para proteger as informações pessoais tratadas, possuir uma política de segurança da informação instituída, a qual deverá determinar medidas técnicas e administrativas capazes de garantir a integridade, disponibilidade e confidencialidade das informações tratadas. Tal política deverá instituir, mas não limitar a:
  2. a) condução de constantes treinamentos com os funcionários da companhia; e
  3. b) possuir medidas técnicas de controle, que deverá possuir, no mínimo:

b.1) sistema de detecção de invasão ou tentativa de invasão pela internet, incluindo, mas não se limitando a contenção de vírus e drives maliciosos;

b.2) solução que possibilite a encriptação dos dados pessoais tratadas em razão do presente contrato, quando necessário e de acordo com o nível de sensibilidade e volume das informações;

b.3) sistemas que previnem a acoplagem de qualquer sistema móvel de carregamento de informações ou dispositivos relacionados; e

b.4) um profissional designado e instituído em tempo integral, para figurar como ponto focal responsável pelas medidas de segurança aplicadas.

 

  1. Direito de conduzir auditorias: Com a celebração do presente contrato, o {OPERADOR} declara estar ciente e autoriza, mediante prévia notificação, por prazo não superior a 24 (vinte e quatro horas), a condução de auditorias em seus sistemas e/ou procedimentos internos relacionados ao programa interno de privacidade e governança de dados pessoais. Este procedimento poderá ser conduzido pela Ânima, seus afiliados e parceiros, ou terceiros contratados para esta finalidade. Quando da realização deste procedimento, deverá o {OPERADOR} garantir: (i) pleno acesso às instalações e arquivos de informações (físicos ou eletrônicos); e (ii) pleno apoio de seus funcionários para a condução das diligências necessárias. Na hipótese de identificação de inconsistências ou irregularidades quando da condução das auditorias, deverá a {OPERADOR} providenciar a imediata remediação, comprovando à Ânima, em prazo não superior a 48 (quarenta e oito horas), as medidas mitigadoras adotadas.

 

  1. Confidencialidade das Auditorias: As partes concordam que qualquer auditor ou empresa de segurança terceirizada que celebre um contrato com o {OPERADOR} deverá (i) usar as informações confidenciais do {OPERADOR} somente para fins de inspeção ou auditoria; (ii) manter as informações confidenciais do {OPERADOR} (incluindo quaisquer informações relativas a seus outros clientes) confidenciais; e (iii) tratar os Dados Pessoais em observância às regras aqui estabelecidas para o Tratamento de Dados pelo {OPERADOR}.

 

  1. Atualização dos dados: O {OPERADOR} deverá assegurar que as informações pessoais tratadas em razão da finalidade celebrada neste instrumento permaneçam corretas e devidamente atualizadas, devendo as informações desatualizadas serem imediatamente corrigidas ou excluídas.

 

  1. Transferência internacional: Caso seja necessária a transferência internacional de Dados Pessoais para o cumprimento do presente Contrato, o {OPERADOR} deverá informar previamente à Ânima e garantir a implementação das medidas de segurança necessárias para a garantia da confidencialidade, integridade e disponibilidade dos dados pessoais transferidos.

 

  1. Direitos dos titulares: Sempre que necessário, deverá o {OPERADOR} auxiliar a Ânima no atendimento das requisições realizadas por titulares de dados, providenciando, de forma imediata, ou no máxima em 24 (vinte e quatro) horas, justificando os motivos da demora: (i) a confirmação da existência do tratamento; (ii) o acesso aos dados pessoais tratados; (iii) a correção dos dados pessoais incompletos, inexatos ou desatualizados; (iv) a anonimização, o bloqueio ou a eliminação dos dados pessoais; (v) a portabilidade dos dados pessoais; (vi) informação sobre as entidades públicas e privadas com as quais foi realizada o compartilhamento de dados; (vii) informar as consequências da revogação do consentimento; e (viii) informar os fatores que levaram a uma decisão automatizada.

 

  1. Incidentes (e.g. Vazamento de dados): O {OPERADOR} deverá elaborar um plano escrito e estruturado para casos de ocorrência de incidentes envolvendo Dados Pessoais.

 

  • Para os fins deste Contrato, entende-se como incidente qualquer violação de confidencialidade, disponibilidade e/ou integridade dos Dados Pessoais, incluindo, mas não se limitando a, situações de:
  • exposição indevida ou acidental, temporária ou permanente, dos Dados Pessoais;
  • acesso ao sistema ou a documentos por terceiros não autorizados, através de meios digitais (“invasão hacker”) ou físico (utilizando-se de engenharia social);
  • perda ou roubo de equipamentos, pastas ou documentos que contenham Dados Pessoais armazenados com ou sem criptografia;
  • impossibilidade, ainda que temporária, de acesso aos servidores onde estejam armazenados os Dados Pessoais (incluindo situações de ataque de negação de serviço, distribuído ou simples – DoS/DDoS – e ransomwares);
  • bloqueio, perda, corrupção, deleção ou criptografia indevida (i.e., criptografia de terceiros) dos Dados Pessoais; e
  • inclusões, modificações ou alterações não autorizadas nos Dados Pessoais ou em seus parâmetros de classificação;

 

 

  • O plano de resposta deverá conter, minimamente:

 

  • Notificação à Ânima, a qual deverá ocorrer de maneira imediata, por meio de e-mail encaminhado ao gestor do contrato e à DPO (paula.starling@animaeducacao.com.br) (…); A referida comunicação deverá conter, no mínimo:

 

(i) data e hora do incidente; (ii) data e hora da ciência pelo {OPERADOR}; (iii) relação dos tipos de dados afetados pelo incidente; (iv) número de usuários afetados (volumetria do incidente) e, se possível, a relação destes indivíduos; (v) dados de contato do Encarregado pela Proteção de Dados do {OPERADOR}, ou outra pessoa junto à qual seja possível obter maiores informações sobre o ocorrido; e (vi) descrição das possíveis consequências do evento;

 

A seguir, e após o consentimento da Ânima, deverá o {OPERADOR} providenciar:

 

  • A notificação dos indivíduos afetados, mediante texto previamente aprovado pela Ânima.

 

  • A notificação da Autoridade Nacional de Proteção de Dados, mediante texto previamente aprovado pela Ânima.

 

  • A adoção de um plano de ação que pondere os fatores que levaram à causa do incidente e aplique medidas que visem garantir a não recorrência deste evento.

 

Para os incidentes que envolvam Dados Pessoais causados em razão de conduta única e exclusiva do {OPERADOR}, este ficará responsável por adotar as medidas acima descritas, bem como adimplir com eventuais sanções determinadas pela Autoridade Nacional de Proteção de Dados.

 

Caso a Ânima assuma tais sanções, poderá exercer o direito de regresso perante o {OPERADOR}, ficando este instrumento contratual constituído como título executivo extrajudicial.

 

  1. Destruição ou devolução dos dados pessoais: O {OPERADOR} deverá, sob o comando da Ânima, ou quando da extinção do vínculo contratual e obrigacional existente, devolver os dados pessoais compartilhados em razão das finalidades previamente pactuadas e realizar a exclusão definitiva e permanente dos mesmos. Não obstante, em caso de comando expresso, por escrito, da Ânima, deverá o {OPERADOR} manter em arquivo os dados pessoais compartilhados para cumprimento da finalidade determinada pelo presente instrumento, por tempo determinado pela Ânima.

 

  1. Cumprimento de obrigação legal: Caso o {OPERADOR} seja destinatário de qualquer ordem judicial ou comunicação oficial que determine o fornecimento ou divulgação de informações pessoais, deverá notificar a Ânima, no prazo máximo de 24 (vinte e quatro) horas, sobre o ocorrido, oportunizando a adoção, em tempo hábil de medidas legais para impedir ou mitigar os efeitos decorrentes da divulgação dos dados pessoais relacionados a esta requisição ou objetos desta.

 

  1. Indenizações O {OPERADOR} será responsável por quaisquer reclamações, perdas e danos, despesas processuais judiciais, administrativas e arbitrais, em qualquer instância ou tribunal, que venham a ser ajuizadas em face da Ânima, multas, inclusive, mas não se limitando àquelas aplicadas pela Autoridade Nacional de Proteção de Dados, além de qualquer outra situação que exija o pagamento de valores pecuniários, quando os eventos que levarem a tais consequências decorrerem de: (i) descumprimento, pelo {OPERADOR}, ou por terceiros por ele contratados, das disposições expostas neste instrumento; (ii) qualquer exposição acidental ou proposital de dados pessoais; (iii) qualquer ato do {OPERADOR} ou de terceiros por ele contratados, em discordância com a legislação aplicável à privacidade e proteção de dados.

 

15.1 Para os fins do caput da Cláusula 15, o OPERADOR resguardará os interesses da Ânima, prestando, inclusive, as garantias necessárias à sua eventual desoneração.

 

15.2 Nas demandas processuais administrativas, arbitrais, judiciais e extrajudiciais que tramitarem somente em face do Operador, este se obriga a notificar o Controlador para que ele tenha conhecimento do processo.

 

15.2.1 Caso o Controlador tenha interesse, poderá ingressar no processo judicial como assistente litisconsorcial, nos termos do artigo 124 do Código de Processo Civil, hipótese em que todas as despesas processuais, correção monetária, juros e honorários advocatícios serão de inteira responsabilidade do Operador.

 

15.3 O Controlador poderá denunciar à lide em face do Operador quando este, por qualquer motivo, não tenha sido parte do processo, nos termos dos artigos 125 e ss.. do Código de Processo Civil, hipótese em que o Operador assumirá, perante o juízo, integral responsabilidade pelos danos causados e despesas incorridas.

 

  1. Sobrevivência: Não obstante qualquer disposição em contrário, as obrigações do {OPERADOR} definidas neste Contrato, perdurarão enquanto o {OPERADOR} continuar a ter acesso, estiver na posse, adquirir ou realizar qualquer operação de Tratamento aos Dados Pessoais obtidos em razão da relação contratual com a Ânima, mesmo que todos os contratos entre o {OPERADOR} e a Ânima tiverem expirado ou sido rescindidos.

 

  1. Na hipótese de haver alteração da legislação nacional a respeito de privacidade e proteção de dados e que, nesta hipótese, fique inviável ou demasiadamente onerosa a prestação de serviços no nível de segurança exigido, o Operador notificará imediatamente a Anima, caso esta queira exercer o direito de suspender os serviços ou rescindir o contrato principal, de pleno direito e sem ônus.

 

  1. O descumprimento das obrigações ora previstas, pelo Operador, ensejará a possibilidade de rescisão imediata do contrato principal, pela Anima, sem qualquer ônus, além da aplicação das penalidades previstas para descumprimento contratual.

 

E, assim, por estarem justas e acertadas, firmam o presente instrumento em duas vias de igual teor e forma, na presença de duas testemunhas.

 

 

 

SÃO PAULO, 27, AGOSTO, 2020.

 

 

ANIMA

 

 

OPERADOR

 

 

TESTEMUNHAS