Acordo de Processamento de Dados Pessoais (DPA), entre EZ e Cliente

PREÂMBULO

Considerando que as partes estão sujeitas aos ditames da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD) e que o Contrato formalizado entre a CONTRATANTE e a CONTRATADA (EZ), pode conter atividades que envolvam dados pessoais, estando sujeito, portanto, à Lei 13.709/18 e demais legislações correlatas; e que o presente documento regulamenta as obrigações das partes na prestação de serviços.


As partes formalizam por meio do presente instrumento sua aderência e concordância com os termos e condições relacionados a seguir:


CONCEITOS

Salvo disposição em contrário contidas no Contrato, todos os termos iniciados em maiúscula neste DPA terão o significado que lhes é atribuído abaixo: 

  1. DADOS: significam os Dados Pessoais, Dados Pessoais Sensíveis e informações encaminhadas em qualquer formato pela CONTRATANTE ou por terceiros para execução do Contrato e/ou Dados Pessoais, Dados Pessoais Sensíveis e/ou informações que sejam utilizados para a execução do Contrato.
  2. DADOS PESSOAIS: qualquer informação relativa a uma pessoa singular identificada ou identificável (“Titular”). É considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa singular.
  3. TRATAMENTO: qualquer operação ou conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
  4. DADO ANONIMIZADO: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
  5. CONTROLADOR: parte que determina as finalidades e os meios de tratamento de dados pessoais. No caso do presente Contrato, o Controlador é a CONTRATANTE, isto é, o CLIENTE da CONTRATADA.
  6. OPERADOR: parte que trata dados pessoais de acordo com as instruções do CONTROLADOR. No caso do presente contrato, o Operador é a CONTRATADA.
  7. ENCARREGADO: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
  8. BANCO DE DADOS: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
  9. ANONIMIZAÇÃO: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
  10. BLOQUEIO: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
  11. ELIMINAÇÃO: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
  12. TRANSFERÊNCIA INTERNACIONAL DE DADOS: transferência de dados pessoais para país estrangeiro.
  13. TITULAR DOS DADOS: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Indivíduo identificado ou identificável, que pode ser identificado, direta ou indiretamente, em particular por referência a um identificador, como nome, número de identificação, dados de localização, identificação on-line ou um ou mais fatores específicos para a identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa natural.
  14. AVALIAÇÃO DE IMPACTO À PROTEÇÃO DE DADOS (DPIA): é um processo que deve ser conduzido pelo Controlador e pelo Operador destinado a identificar e mitigar os riscos relacionados à proteção de dados decorrentes de um projeto, que podem afetar a organização ou as pessoas das quais a empresa coleta, processa e armazena dados pessoais.
  15. RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
  16. INCIDENTE COM DADOS PESSOAIS: significa qualquer violação não autorizada ou ilegal da segurança que leve a, ou que se acredite ter causado, a perda, destruição, alteração, divulgação ou acesso não autorizado ou acidental aos dados pessoais.
  17. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS OU ANPD: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
  18. PAÍS ESTRANGEIRO: Outros países que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD brasileira.
  19. ORGANISMO INTERNACIONAL: organismos internacionais do qual o Brasil seja membro, que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD brasileira.
  20. SERVIÇO OU OFERTA DE SERVIÇO: significa os serviços contratados pela CONTRATANTE e fornecidos pela CONTRATADA conforme o Contrato e que é a base deste DPA.
  21. COOKIES: significam um conjunto de informações que um site pode armazenar no seu dispositivo. A partir do momento que essas informações forem armazenadas, elas serão fornecidas pelo navegador do titular sempre que acessar esse site, fazendo com que suas preferências sejam aplicadas. A CONTRATADA utiliza cookies para armazenamento de dados com as seguintes finalidades:
  22. Autenticação: Quando o acesso no portal da plataforma EZ e a autenticação são feitos por meio de usuário e senha, IDs são criados de forma aleatória para todos os usuários, e vinculados a cada conta. Dessa forma, evitamos a solicitação de login nas páginas subsequentes;
  23. Realizar o registro das preferências do usuário, como por exemplo o idioma, para que sejam aplicadas em todos os momentos de acesso ao portal;
  24. Para o correto funcionamento da plataforma EZ;
  25. Os cookies fornecem informações anônimas, que são usadas para compor a análise de Pesquisa e Estatística da EZ. Um exemplo é a utilização do Google Analytics, que nos ajuda a compreender a interação dos usuários com nossa plataforma, para, então, encontrar oportunidades de evoluir nossos serviços.



  • OBJETO
  1. O objeto dos termos e condições deste DPA é regular as condições adicionais relacionadas ao cumprimento da Lei 13.709/18 e legislação relacionada à proteção de dados pessoais e privacidade pelas partes.
  2. Este DPA se aplica ao tratamento de dados pessoais do Operador em nome do Controlador. O Operador processará os Dados Pessoais conforme necessário para executar o Contrato entre as partes, de acordo com os termos e conforme instruído pelo Controlador no uso do Serviço, sempre por escrito. Este DPA regula as medidas para proteger os Dados Pessoais de acordo com a Lei 13.709/18 (Lei Geral de Proteção de Dados ou LGPD) e outras legislações aplicáveis.
  3. A CONTRATANTE será o Controlador dos Dados pessoais fornecidos e/ou obtidos pela CONTRATANTE e/ou os Dados coletados pela CONTRATADA em nome da CONTRATANTE. A CONTRATADA somente será considerada como Controladora com relação aos dados pessoais de seus colaboradores que atuarem junto à CONTRATANTE e será considerada Operadora com relação aos dados pessoais da CONTRATANTE, sendo inteiramente responsável por tais Dados e Tratamentos, inclusive no tocante à eventual indenização devida a CONTRATANTE, ao Titular dos Dados e/ou terceiros, quando descumprir a legislação de proteção de dados pessoais ou as orientações lícias e escritas enviadas pela CONTRATANTE.
  4. Os termos iniciados em maiúsculas que não tenham sido expressamente definidos nestes termos e condições do DPA terão os significados que lhes forem atribuídos no Contrato ou na legislação aplicável. 
  5. Os Dados Pessoais tratados pelo Operador sob este DPA serão aqueles necessários para o fornecimento da Plataforma as a service e dos seus serviços correlatos.
  6.  Instruções ou termos adicionais (se houver) fora do escopo deste DPA requerem um acordo prévio por escrito entre o Operador e o Controlador. Também deve ser estabelecido um acordo sobre quaisquer taxas adicionais a serem pagas pelo Controlador ao Operador pela execução de instruções e/ou termos adicionais.



  • DO TRATAMENTO DOS DADOS 
  1. Em decorrência dos contratos entre as partes, a CONTRATADA realizará o tratamento de dados de acordo com as orientações expressas da CONTRATANTE e com as finalidades de cumprimento dos objetos contratuais.
  2. As partes declaram, por este instrumento, que cumprem toda a legislação aplicável sobre privacidade e proteção de dados, inclusive (sempre e quando aplicáveis) a Constituição Federal, o Código de Defesa do Consumidor, o Código Civil, o Marco Civil da Internet (Lei Federal n. 12.965/2014), seu decreto regulamentador (Decreto 8.771/2016), a Lei Geral de Proteção de Dados Pessoais (Lei Federal nº 13.709/2018), e demais normas setoriais ou gerais sobre o tema. 
  3. A CONTRATADA se compromete a tratar os dados pessoais que possam estar relacionados ao objeto do Contrato somente nos estritos limites previstos nos documentos entre as partes e orientações da CONTRATANTE, não devendo praticar qualquer tipo de ato que envolva os dados pessoais transmitidos por meio deste Contrato sem a prévia e expressa autorização ou solicitação da CONTRATANTE, sob pena de responder pelos eventuais danos causados.
  4. Durante o armazenamento de dados pessoais transmitidos pela CONTRATANTE, a CONTRATADA respeitará, no mínimo, os seguintes padrões de segurança, os quais sempre deverão estar sustentados nas melhores tecnologias disponíveis no mercado:


  1. O estabelecimento de controle estrito sobre o acesso aos dados, mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados responsáveis;
  2. O estabelecimento de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros;
  3.  A criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela CONTRATADA e o arquivo acessado, inclusive quando tal acesso é feito para cumprimento das obrigações legais ou determinações por parte de autoridades; e 
  4.  Uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação.
  5. Caso a CONTRATADA entenda que alguma das orientações fornecidas pela CONTRATANTE viola a legislação de proteção de dados aplicável, deverá comunicá-la imediatamente, apresentando as respectivas justificativas.


A CONTRATADA deverá manter registro escrito das seguintes informações:

  1. Registro de todas as atividades de tratamento de dados pessoais fornecidos pela CONTRATANTE;
  2. Registro das transferências internacionais de dados pessoais a países terceiros, incluindo a informação sobre o país/organização de destino, e no caso das transferências indicadas no artigo 33 da Lei Geral de Proteção de Dados, a documentação que comprove a adequação das garantias necessárias;
  3. Descrição geral das medidas técnicas e organizacionais de segurança que garantam a: 
  4. Pseudonimização e encriptação dos dados pessoais, quando aplicável;
  5. Confidencialidade, disponibilidade, integridade e resiliência dos sistemas; 
  6. Capacidade de restaurar a disponibilidade e o acesso aos dados pessoais de forma rápida em caso de incidente físico ou técnico; e 
  7. Existência de processo de verificação contínua de medidas técnicas e organizacionais relativas à segurança do tratamento de dados pessoais.
  8. A CONTRATADA deverá manter sigilo em relação os dados pessoais tratados em virtude deste contrato, garantindo que todas as pessoas e suboperadores autorizados a tratarem tais dados estão comprometidos, de forma expressa e por escrito, estando sujeitas ao dever de confidencialidade, bem como devidamente instruídos e capacitados para o tratamento de dados pessoais. 
  9. Sempre que necessário, a CONTRATADA deverá auxiliar a CONTRATANTE a realizar avaliações de risco e impacto (DPIA), bem como a garantir a possibilidade de exercício dos seguintes direitos por parte dos Titulares dos dados:
  10. Confirmação da existência de tratamento;
  11. Acesso aos dados;
  12. Correção de dados incompletos, inexatos ou desatualizados;
  13. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
  14. Portabilidade dos dados;
  15. Eliminação dos dados pessoais tratados com o consentimento;
  16. Informação sobre entidades públicas e privadas com as quais foi realizado uso
  17. compartilhado de dados;
  18. Informação sobre a possibilidade de não fornecimento do consentimento e sobre as
  19. consequências da negativa;
  20. Revogação do consentimento; e
  21. Revisão de decisões automatizadas tomadas com base no tratamento de dados pessoais.
  22. Caso algum Titular solicite o exercício de seus direitos descritos na cláusula anterior diretamente à CONTRATADA, esta deverá comunicar tal fato à CONTRATANTE, de forma imediata (e, no limite, no dia útil seguinte). 
  23. Sem prejuízo do disposto nas cláusulas anteriores, a CONTRATADA será responsável, mediante a comprovação de culpa, por eventual acesso indevido, não autorizado e do vazamento ou perda dos dados pessoais armazenados que forem transmitidos pela CONTRATANTE (“violação de dados pessoais”):
  24. Caso a CONTRATANTE seja demandada por qualquer pessoa, autoridade ou entidade, pública ou privada, em razão de violação de dados que estavam sob armazenamento da CONTRATADA, por culpa exclusiva dessa, fica garantido à CONTRATANTE o direito de denunciação da lide, nos termos do artigo 125, II, do Código de Processo Civil.
  25. Em caso de incidente de segurança, que de alguma forma afete ou possa afetar o tratamento e a segurança dos dados pessoais, incluindo má utilização por parte de prepostos, empregados ou representantes da CONTRATADA, deverá a CONTRATADA enviar comunicação à CONTRATANTE por escrito, por meio físico ou eletrônico, no prazo máximo de 48 (quarenta e oito) horas, certificando-se do recebimento, imediatamente a partir da ciência do vazamento, contendo, no mínimo, as seguintes informações: 
  26. data e hora do incidente;
  27. data e hora da ciência pela CONTRATADA;
  28. relação dos tipos de dados afetados pelo incidente;
  29. número de Titulares afetados;
  30. relação de Titulares afetados pelo vazamento;
  31. dados de contato do Encarregado de Proteção de Dados (DPO) ou outra pessoa junto à qual seja possível obter maiores informações sobre o ocorrido;
  32. descrição das possíveis consequências do incidente; e
  33. indicação de medidas que estiverem sendo tomadas para reparar o dano e evitar novos incidentes. 


b.1. Caso a CONTRATADA não disponha de todas as informações ora elencadas no momento de envio da comunicação, deverá enviá-las de forma gradual, de forma a garantir a maior celeridade possível, sendo certo que a comunicação completa (com todas as informações indicadas) deve ser enviada no prazo máximo de 24 (vinte e quatro) horas a partir da ciência do incidente. 

c)A CONTRATADA disponibilizará toda a documentação necessária para demonstrar o cumprimento das obrigações estabelecidas neste contrato ou na legislação de proteção de dados aplicável, sendo facultado à CONTRATANTE a realização de auditorias, mediante a contratação de empresa terceira ou não, às custas da CONTRATANTE, em período previamente combinado entre as partes. 


3.11. O presente termo expressamente autoriza a CONTRATADA a subcontratar outros Operadores, em todo ou em parte, para o exercício de qualquer atividade de tratamento de dados relacionada ao objeto da contratação, desde que se configurem como serviços auxiliares necessários para o normal funcionamento dos serviços da CONTRATADA. Caso haja a necessidade de subcontratar outras empresas, deverá a CONTRATADA disponibilizar o rol à CONTRATANTE, quando solicitado por escrito, indicando exatamente os tipos de tratamentos e dados afetados pela subcontratação. 

3.11.1. Para todos os efeitos, a parte subcontratada pela CONTRATADA será considerada como Sub-Operador, estando obrigada a, no mínimo, cumprir as obrigações estabelecidas no presente DPA, cabendo à CONTRATADA garantir que a parte subcontratada estará sujeita às mesmas obrigações deste DPA, sendo a CONTRATADA responsável, perante a CONTRATANTE, pelas atividades de tratamento de dados exercidas pela parte subcontratada.

3.12. A CONTRATANTE autoriza expressamente a transferência internacional dos dados pessoais, desde que a CONTRATADA forneça, sempre que solicitado, o local do armazenamento de tais dados e que os países de destino estejam minimamente adequados às obrigações de privacidade estabelecidas na legislação brasileira. 

3.13. Exceção: Não estará incluso neste acordo o tratamento de dados pessoais de titulares que utilizem os serviços da CONTRATADA em nome da CONTRATANTE e que forneçam consentimento lícito para que a CONTRATADA realize envio de mensagens promocionais referentes aos seus serviços. Neste caso, a CONTRATADA será considerada CONTROLADORA DOS DADOS PESSOAIS, conforme Política de Privacidade com Usuários disponível no seu website.


4. PRAZO E RESCISÃO 

  1. O prazo do presente DPA está vinculado ao prazo dos Contrato de serviços entre as partes.
  2. Ao término da relação entre as partes e/ou quando a CONTRATANTE assim solicitar, deverá a CONTRATADA eliminar, corrigir, anonimizar e/ou bloquear o acesso aos dados, em caráter definitivo ou não, a critério da CONTRATANTE, os dados pessoais que tiverem sido transmitidos por este durante a vigência do presente Contrato, estendendo-se a eventuais cópias, salvo mediante instrução diversa na ocasião oportuna.
  3. Após o término deste Contrato, a CONTRATANTE poderá requerer cópia dos Dados Pessoais que estejam nos sistemas e em posse da CONTRATADA, pelo prazo de 30 (trinta) dias após o término do Contrato.
  4. Após esse período, caso a CONTRATANTE não se manifeste, a CONTRATADA realizará a eliminação, em definitivo de seu sistema, de qualquer registro dos Dados Pessoais, exceto na medida em que o seu armazenamento pela CONTRATADA seja exigido pela legislação aplicável. Na medida permitida pela legislação aplicável, nos casos de Dados Pessoais arquivados em sistemas de backup que são mantidos de forma isolada e inalterável para garantia da segurança do sistema, a CONTRATADA irá lidar com a exclusão dos Dados Pessoais de acordo com regras de segurança da sua organização.
  5. Caso a CONTRATANTE requeira a cópia dos Dados Pessoais, no momento que a CONTRATADA terminar a devolução, a CONTRATANTE deverá assinar um termo de aceite reconhecendo que a devolução ocorreu nos termos do Contrato e que a CONTRATADA não possui qualquer obrigação adicional em relação a isso. A não assinatura do referido termo e ausência de manifestação, por parte da CONTRATANTE, no prazo de 20 (vinte) dias corridos a contar do fim da devolução representará a aceitação tácita da CONTRATANTE, a partir da qual a CONTRATADA poderá realizar a eliminação, em definitivo de seu sistema, de qualquer registro ou cópia dos Dados Pessoais, exceto na medida em que o seu armazenamento pela CONTRATADA seja exigido pela legislação aplicável.


5. DISPOSIÇÕES GERAIS

  1. Estes termos e condições do DPA integram todos os contratos de prestação de serviços firmados e a serem firmados entre o Controlador e o Operador para todos os fins, sendo que as disposições aqui contidas prevalecem sobre eventuais disposições conflitantes sobre os Dados e o Tratamento previstos no Contrato.
  2. As notificações sobre as informações relativas ao Tratamento ou à Violação de Dados Pessoais (se houver) serão entregues ao endereço de e-mail de notificação da contraparte. É de responsabilidade das partes manter informações de contato precisas para as finalidades deste DPA, indicando sempre por escrito. 
  3. O Tratamento por teletrabalho ou home-office é permitido para funcionários do Operador. O Operador garante que o Tratamento por teletrabalho ou home-office estará sempre em conformidade com as medidas de proteção de dados exigidas, o que significa que os dados são protegidos contra acesso não autorizado. Isso significa, por exemplo, comunicação de ponta a ponta segura e criptografada e nenhuma possibilidade de acesso aos sistemas de TI por uma pessoa não autorizada.
  4. Os dados anonimizados não serão considerados dados pessoais para os fins deste DPA, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
  5. O Operador deve informar o Controlador sobre quaisquer dúvidas da ANPD sobre o Tratamento de Dados Pessoais sob este DPA. O Operador não tem o direito de representar o Controlador ou de agir em nome do Controlador em relação à ANPD.
  6. Em caso de descumprimento de qualquer obrigação prevista neste instrumento, ficará a CONTRATADA sujeita a reparar eventuais perdas e danos, as quais não estarão sujeitas a qualquer limite (ainda que disposto de outra forma neste ou em outro instrumento celebrado entre as partes).
  7. A CONTRATADA obriga-se, perante a CONTRATANTE e/ou seus respectivos sucessores e cessionários, se devidamente comprovado sua culpa, a indenizar e reembolsar e a todo tempo manter tais pessoas indenes de quaisquer perdas ou demandas, administrativas ou judiciais, incorridas ou sofridas, direta ou indiretamente, em decorrência ou em razão de qualquer violação à presente cláusula e/ou a quaisquer das obrigações de privacidade e proteção de dados previstas neste Contrato, na legislação aplicável (especialmente na Lei n. 13.709/2018), nas regras sobre proteção de dados emanadas dos órgãos reguladores e fiscalizadores aos quais as partes estão subordinadas, e/ou nos entendimentos e diretrizes elaborados pela ANPD.



Versão: 19/04/2024

Share by: