Anexo sobre o Tratamento de Dados

Anexo sobre o Tratamento de Dados

Este Adendo de Tratamento de Dados (“DPA”) refere-se ao Contrato de Hospedagem em Nuvem (“Contrato”) subjacente, no qual a ISVHost (“Prestadora de Serviços”) presta serviços de hospedagem em nuvem ao cliente (“Empresa”) e faz parte integrante do Contrato.  

CONSIDERANDO QUE o Prestador de Serviços presta determinados serviços à Empresa nos termos do Contrato (“Serviços”);  

CONSIDERANDO QUE, como parte dos Serviços que o Prestador de Serviços presta à Empresa nos termos do Contrato, o Prestador de Serviços receberá ou terá acesso a Informações Pessoais, tal como esse termo é utilizado e entendido nas Leis de Privacidade de Dados (definidas abaixo);

CONSIDERANDO QUE as partes pretendem implementar um Acordo de Proteção de Dados (DPA) que cumpra os requisitos das leis de proteção de dados.  

POR ISSO, FICA ACORDADO O SEGUINTE:  

  1. Definições
  1. “Publicidade comportamental entre contextos” significa a direcionamento de publicidade a um consumidor com base nas informações pessoais do consumidor obtidas a partir de sua atividade em empresas, sites de marcas distintas, aplicativos ou serviços, que não sejam a empresa, o site de marca distinta, o aplicativo ou o serviço com o qual o consumidor interage intencionalmente.  
  1. “Consumidor” significa uma pessoa física residente em uma jurisdição com leis de privacidade de dados aplicáveis, incluindo, entre outros, um “consumidor” conforme definido na Lei de Privacidade do Consumidor da Califórnia, conforme alterada pela Lei de Direitos de Privacidade da Califórnia, na Lei de Proteção de Dados do Consumidor da Virgínia, na Lei de Privacidade do Colorado, na Lei de Privacidade de Dados de Connecticut, na Lei de Privacidade do Consumidor de Utah, na Lei de Privacidade e Segurança de Dados do Texas, na Lei de Privacidade do Consumidor do Oregon e em outras leis estaduais de privacidade aplicáveis.
  1. “Leis de Privacidade de Dados” significa todas as leis, normas, regulamentos e outros requisitos legais ou de autorregulação aplicáveis em qualquer jurisdição relacionados à privacidade, proteção de dados, segurança de dados, notificação de violação ou ao Tratamento (conforme definido abaixo) de Informações Pessoais.
  1. “Informações pessoais” incluem todas as informações que identificam uma pessoa, conforme definido pelas leis de proteção de dados aplicáveis.
  1. “Tratamento” e “Tratar” referem-se a qualquer operação ou conjunto de operações realizadas em relação aos Dados Pessoais, incluindo, entre outras, a coleta, o armazenamento e a utilização dos Dados Pessoais.  
  1. “Perfilagem” significa qualquer forma de tratamento automatizado de Dados Pessoais com o objetivo de avaliar, analisar ou prever a situação econômica, a saúde, as preferências pessoais, os interesses, a confiabilidade, o comportamento, a localização ou os deslocamentos de um indivíduo.
  1. “Violação de segurança” significa a destruição, perda, alteração, divulgação ou tratamento não autorizado ou ilegal de dados pessoais.  
  1. Os termos “Venda”, “Vender” ou “Terceiros” terão os significados estabelecidos no § 1798.140 do Código Civil da Califórnia, conforme alterado, e as definições análogas previstas em outras leis de privacidade de dados aplicáveis.
  1. “Dados sensíveis” ou “Informações pessoais sensíveis” referem-se a Informações Pessoais que revelem origem racial ou étnica, crenças religiosas, diagnósticos de saúde mental ou física, orientação sexual, cidadania ou status de imigração; dados genéticos ou biométricos processados com o objetivo de identificar um indivíduo de forma exclusiva; Informações Pessoais coletadas de uma criança identificada; ou dados precisos de geolocalização, conforme definido mais detalhadamente pelas Leis de Privacidade de Dados aplicáveis.
  1. O termo “Prestador de Serviços” inclui o termo “Subcontratado” e termos semelhantes, e tais termos terão o mesmo significado definido pelas Leis de Proteção de Dados aplicáveis.
  1. Os termos “Compartilhar”, “Compartilhado” ou “Compartilhamento” terão os significados estabelecidos no § 1798.140 do Código Civil da Califórnia, conforme alterado, e as definições análogas previstas em outras leis de privacidade de dados aplicáveis.
  1. “Subcontratado” significa qualquer subcontratado que trate Informações Pessoais em nome do Prestador de Serviços.
  1. Obrigações do prestador de serviços
  1. O Prestador de Serviços tratará os Dados Pessoais com a finalidade exclusiva de prestar os Serviços à Empresa, conforme enumerado no Contrato ou conforme instruções por escrito da Empresa. Todo o tratamento de Dados Pessoais pelo Prestador de Serviços deverá estar em conformidade com as Leis de Proteção de Dados.  
  1. Sem limitar o disposto acima, o Prestador de Serviços não deverá: (i) vender Informações Pessoais; (ii) compartilhar Informações Pessoais para fins de publicidade comportamental entre contextos; (iii) reter, utilizar ou divulgar quaisquer Informações Pessoais para qualquer finalidade, incluindo fins comerciais, que não sejam os fins comerciais especificados no Contrato ou conforme autorizado por escrito pela Empresa; (iv) reter, utilizar ou divulgar quaisquer Informações Pessoais a terceiros fora da relação comercial direta entre a Empresa e o Prestador de Serviços; (v) violar quaisquer restrições aplicáveis enumeradas nas Leis de Privacidade de Dados, incluindo aquelas relativas à combinação das Informações Pessoais que o Prestador de Serviços recebe da Empresa, ou em nome dela, com Informações Pessoais que o Prestador de Serviços recebe de outra pessoa ou pessoas, ou em nome delas, ou que o Prestador de Serviços coleta a partir de qualquer interação entre si e qualquer indivíduo; desde que, no entanto, o acima exposto não proíba o Prestador de Serviços de combinar Dados Desidentificados (conforme definido abaixo) com outros dados desidentificados ou anonimizados para fins internos de análise, pesquisa ou melhoria de produtos do Prestador de Serviços; ou (vi) realizar qualquer Tratamento de Informações Pessoais que seja proibido ou não permitido por “Processadores” ou “Prestadores de Serviços” nos termos das Leis de Privacidade de Dados.
  1. Não obstante o exposto acima, o Prestador de Serviços poderá desidentificar, tornar anônimos ou agregar os Dados Pessoais recebidos da Empresa, desde que: (i) tal desidentificação, anonimização ou agregação seja realizada em conformidade com as Leis de Privacidade de Dados aplicáveis; (ii) os dados resultantes (“Dados Desidentificados”) não possam, razoavelmente, ser utilizados para identificar qualquer indivíduo ou ser associados a qualquer indivíduo; (iii) o Prestador de Serviços implemente salvaguardas técnicas e processos operacionais para impedir a reidentificação; e (iv) o Prestador de Serviços proíba contratualmente que quaisquer destinatários posteriores tentem reidentificar os dados. O Prestador de Serviços poderá utilizar, reter e combinar Dados Desidentificados para seus próprios fins internos de análise, pesquisa, benchmarking e melhoria de produtos ou serviços. O Prestador de Serviços não tentará reidentificar quaisquer Dados Desidentificados ou quaisquer outras informações pseudonimizadas, anonimizadas, agregadas ou desidentificadas.
  1. Caso o Prestador de Serviços seja legalmente obrigado a fornecer quaisquer Informações Pessoais a terceiros: (i) o Prestador de Serviços concederá imediatamente à Empresa uma oportunidade razoável para contestar a obrigação legal ou solicitar proteção contra a divulgação; e (ii) o Prestador de Serviços, após consulta à Empresa e ao seu consultor jurídico, divulgará apenas o mínimo de Informações Pessoais necessário para cumprir a obrigação legal.
  1. O Prestador de Serviços deverá, no prazo de cinco (5) dias úteis, notificar a Empresa caso determine que não pode mais cumprir suas obrigações nos termos deste DPA ou das Leis de Proteção de Dados, ou que tenha descumprido qualquer uma de suas obrigações previstas neste DPA ou violado qualquer Lei de Proteção de Dados.  
  1. Salvo na medida em que seja necessário para cumprir obrigações legais, o Prestador de Serviços excluirá todas as Informações Pessoais de seus sistemas após o término dos Serviços relacionados ao Tratamento. Caso o Prestador de Serviços seja legalmente obrigado a manter tais Informações Pessoais, ele deverá notificar a Empresa a esse respeito. A partir de então, tais Informações Pessoais poderão continuar armazenadas no sistema do Prestador de Serviços, mas não serão tratadas de nenhuma outra forma e deverão estar em conformidade com todas as Leis de Privacidade de Dados aplicáveis.  
  1. O Prestador de Serviços concede à Empresa o direito de, mediante aviso prévio razoável, tomar medidas razoáveis e adequadas para impedir e corrigir qualquer uso não autorizado de Informações Pessoais.  
  1. As partes deverão prestar cooperação mútua razoável para modificar ou alterar este Acordo de Tratamento de Dados (DPA) caso novas leis de proteção de dados ou alterações nas leis existentes exijam tal modificação ou alteração.  
  1. Restrições relativas a dados sensíveis e à criação de perfis. Os seguintes requisitos adicionais aplicam-se ao tratamento de dados sensíveis pelo Prestador de Serviços e a quaisquer atividades de criação de perfis:
  1. O Prestador de Serviços não deverá tratar Dados Sensíveis, exceto na medida estritamente necessária para a prestação dos Serviços e somente mediante consentimento prévio por escrito da Empresa, especificando as categorias de Dados Sensíveis a serem tratados e as finalidades desse tratamento.
  1. O Prestador de Serviços deverá implementar e manter medidas de segurança técnicas e organizacionais reforçadas para os Dados Sensíveis, adequadas ao risco elevado associado a tais dados, incluindo criptografia em repouso e em trânsito, controles de acesso que limitem o acesso ao pessoal autorizado e o registro de todos os acessos aos Dados Sensíveis.
  1. O Prestador de Serviços reconhece que os Consumidores têm o direito de limitar o uso e a divulgação de seus Dados Sensíveis nos termos das Leis de Privacidade de Dados aplicáveis e deverá respeitar quaisquer solicitações de limitação transmitidas pela Empresa.
  1. O Prestador de Serviços não deverá realizar a criação de perfis dos Consumidores utilizando Informações Pessoais recebidas da Empresa, a menos que: (i) tal criação de perfis seja estritamente necessária para a prestação dos Serviços; (ii) a Empresa tenha concedido autorização prévia por escrito para tal atividade de criação de perfis; e (iii) a criação de perfis não produza efeitos jurídicos ou de importância semelhante sobre os Consumidores sem as devidas salvaguardas.
  1. O Prestador de Serviços deverá fornecer à Empresa informações suficientes para que esta possa realizar qualquer avaliação de impacto sobre a proteção de dados ou avaliação semelhante relacionada às atividades de criação de perfis, nos termos das leis de privacidade de dados aplicáveis.
  1. Caso o Prestador de Serviços receba uma solicitação do Consumidor para recusar a criação de perfis, seja diretamente ou por meio da Empresa, o Prestador de Serviços deverá cessar imediatamente todas as atividades de criação de perfis relativas às Informações Pessoais desse Consumidor e confirmar tal cessação à Empresa por escrito.
  1. Assistência no tratamento. Caso o Prestador de Serviços contrate qualquer subcontratado ou outra pessoa para auxiliá-lo no tratamento de Dados Pessoais, deverá notificar a Empresa sobre tal contratação, e tais subcontratados ou pessoas contratadas deverão:  
  1. Foram selecionados por meio de medidas razoavelmente concebidas para garantir a confiabilidade, competência e idoneidade desse subcontratado ou dessa pessoa, incluindo a realização de verificações de antecedentes adequadas, sempre que legalmente possível;
  1. Receberam a formação necessária para facilitar o cumprimento deste Acordo de Tratamento de Dados por parte do Prestador de Serviços;
  1. Tenham celebrado um contrato por escrito adequado que obrigue tal subcontratado ou pessoa a cumprir as leis de proteção de dados e a tratar os dados pessoais apenas na medida do permitido pelo presente DPA; e
  1. Receber do Prestador de Serviços acesso às Informações Pessoais apenas na medida em que tal acesso seja necessário para permitir que o Subcontratado ou a pessoa cumpra as obrigações para as quais foi contratado.
  1. Assistência no cumprimento da legislação sobre proteção de dados. As partes cooperarão e se prestarão assistência mútua, dentro do razoável, para garantir o cumprimento de suas respectivas obrigações previstas na legislação sobre proteção de dados, levando em consideração a natureza do tratamento de dados realizado pelo Prestador de Serviços e as informações de que este dispõe. Sem limitar o disposto acima:
  1. O Prestador de Serviços deverá notificar a Empresa o mais rápido possível, mas, no mínimo, no prazo de três (3) dias úteis após o recebimento de qualquer solicitação ou reclamação relacionada a quaisquer Dados Pessoais.  
  1. O Prestador de Serviços não deverá responder a tais solicitações, a menos que a Empresa tenha autorizado o Prestador de Serviços por escrito a fazê-lo, exceto na medida em que o Prestador de Serviços tenha a obrigação, nos termos da legislação aplicável, de responder diretamente.  
  1. Se o Prestador de Serviços tiver a obrigação, nos termos da legislação aplicável, de responder diretamente, deverá, salvo se tal for legalmente proibido, notificar a Empresa sobre essa exigência antes de efetuar a notificação inicial e cumprir as instruções razoáveis da Empresa ao responder a tal solicitação.
  1. Caso a Empresa solicite ao Prestador de Serviços que exclua ou altere quaisquer Dados Pessoais, o Prestador de Serviços deverá fazê-lo imediatamente e transmitir essas solicitações de exclusão ou alteração às partes a jusante, em conformidade com as Leis de Proteção de Dados.
  1. Segurança. O Prestador de Serviços deverá implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança das Informações Pessoais compatível com o risco e, em todos os casos, tais medidas deverão estar em conformidade com as leis de proteção de dados aplicáveis
  1. Violação de segurança. O Prestador de Serviços cumprirá todas as obrigações relacionadas a violações de segurança que lhe sejam aplicáveis nos termos das Leis de Privacidade de Dados. Levando em consideração a natureza do Tratamento e as informações de que dispõe, o Prestador de Serviços prestará assistência razoável à Empresa no cumprimento das obrigações da Empresa relacionadas a violações de segurança.

As Partes do Acordo declaram e garantem, por meio deste, que estão devidamente autorizadas a vincular legalmente a respectiva Parte aos termos do presente DPA.

Reduza o custo e a complexidade da entrega de seu aplicativo Windows

Assine nosso boletim informativo
Obrigado por participar de nosso boletim informativo.
Ops! Algo deu errado ao enviar o formulário.