Acordo de Tratamento de Dados Pessoais

(Versão 27/07/2021)

1. DEFINIÇÕES

 

1.1. Para os fins do presente Acordo, são consideradas as definições a seguir, conforme significado atribuído na Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados (“LGPD”), especialmente no artigo 5º e seus incisos:

       a) “Dado Pessoal”/”Dados Pessoais”: informação relacionada a pessoa natural identificada ou identificável e, quando aplicável, poderá incluir Dado Pessoal Sensível, que seriam aqueles dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

       b) “Titular”: pessoa natural a quem se referem os dados pessoais que são objeto de Tratamento;

       c) “Controlador”: pessoa natural ou jurídica, de direito público ou privado, responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade deste tratamento;

       d) “Operador”: pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados em nome do Controlador, conforme a finalidade indicada; e

       e) “Tratamento”: toda operação realizada com Dados, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

 

2. REGRAS GERAIS SOBRE O TRATAMENTO DE DADOS

 

2.1. No desenvolvimento de quaisquer atividades relacionadas à execução deste Contrato, as Partes observarão o regime legal da proteção de dados pessoais, empenhando-se em proceder ao tratamento de dados pessoais que venha mostrar-se necessário, no estrito e rigoroso cumprimento da Lei nº 13.709/2018 (a “Lei Geral de Proteção de Dados Pessoais” ou “LGPD”) e de normas e procedimentos que venham a ser publicados e/ou requeridos por entidades reguladoras e outras autoridades competentes, inclusive pela Autoridade Nacional de Proteção de Dados (“ANPD”), assegurando que seus colaboradores, prepostos, consultores, subcontratados e/ou prestadores de serviços também cumpram as disposições legais aplicáveis.

2.2. Para fins do Contrato de Licenciamento, do qual este Acordo é parte integrante, o CLIENTE é considerado “CONTROLADOR” e a TAKE BLIP é “OPERADORA” dos Dados Pessoais fornecidos pelo CLIENTE e trafegados na Plataforma Blip.

2.3. Em razão do presente Contrato, o CONTROLADOR garante que os Dados Pessoais compartilhados com a OPERADORA estarão amparados por uma base legal válida, legítima e adequada para a(s) finalidade(s) do Tratamento em questão, na forma da legislação aplicável, mantendo a OPERADORA indene de qualquer responsabilidade nesse sentido.

2.4. As Partes deverão adotar medidas de segurança, técnicas e administrativas necessárias e adequadas para proteger os Dados Pessoais em sua confidencialidade, disponibilidade e integridade, não se limitando à proteção contra acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de Tratamento inadequado, ilícito ou em desacordo com as diretrizes técnico-normativas de agências reguladores, tais como a Agência Nacional de Proteção de Dados.

2.5. O CONTROLADOR poderá estar sujeito ao cumprimento de normas previstas em legislação específica de sua área de atuação, as quais não necessariamente serão obrigatórias à TAKE BLIP, tais como regras diferenciadas de armazenamento de dados.

 

3. OBRIGAÇÕES DA CONTROLADORA

 

3.1. São obrigações da CONTROLADORA:

       a) garantir a plena conformidade, legitimidade, legalidade e observância aos preceitos da lei no tocante aos Dados Pessoais transferidos para Tratamento pela OPERADORA;

       b) Garantir a existência de uma base legal prevista na legislação aplicável para compartilhar os Dados Pessoais com a TAKE BLIP, bem como os demais tratamentos realizados pela OPERADORA em nome do CLIENTE;

       c) fornecer instruções e estabelecer regras para o tratamento de Dados Pessoais pela OPERADORA, respeitando tanto os limites técnicos da Plataforma Blip, quanto aqueles dispostos na norma;

       d) comunicar à OPERADORA quando decidir pelo cumprimento de qualquer pedido de acesso, retificação, portabilidade ou exclusão feito pelos titulares de Dados Pessoais;

       e) gerenciar e realizar a gestão de acessos de seus colaboradores ou prepostos na Plataforma Blip, observando as regras de segurança adequadas, responsabilizando-se por todos os atos destes, bem como solicitações por estes realizadas perante à OPERADORA; e

       f) quando aplicável, auxiliar a OPERADORA na elaboração de quaisquer relatórios de impacto à proteção dos Dados, bem como fornecimento de informações eventualmente exigidas pelas autoridades competentes.

3.2. O CONTROLADOR reconhece que o Tratamento dos Dados nas condições por ele estabelecidas conforme apontado neste Acordo, no Contrato e em suas orientações, eximem a OPERADORA da responsabilidade por eventual ilicitude do Tratamento feito pelo CONTROLADOR, devendo este último assumir integralmente a responsabilidade pelas eventuais perdas e danos suportadas à OPERADORA e/ou terceiros.

 

4. OBRIGAÇÕES DA OPERADORA

 

4.1. São obrigações da OPERADORA:

       a) tratar os Dados Pessoais para as finalidades deste Contrato ou finalidades indicadas pelo CLIENTE, bem como para a concepção e aperfeiçoamento da Plataforma Blip, responsabilizando-se pelos tratamentos por ela realizados;

       b) realizar o Tratamento dos Dados de acordo com as instruções do CONTROLADOR, levando sempre em consideração a capacidade técnica da Plataforma Blip. Desde já, as Partes acordam que a OPERADORA não será obrigada a cumprir ou observar as instruções do Cliente se tais instruções estiverem em desacordo com as Leis de Proteção de Dados aplicáveis;

       c) Informar o CLIENTE sobre o recebimento de qualquer solicitação dos titulares de Dados Pessoais em relação aos Dados Pessoais e auxiliá-lo na resposta às solicitações, garantindo que tenha todas as informações necessárias para cumprir com seus deveres previstos na LGPD;

       d) informar ao CONTROLADOR caso não possa e/ou esteja impedido de atender qualquer das orientações ou especificações recebidas ou estabelecidas na legislação aplicável, bem como no Contrato;

       e) não utilizar os Dados Pessoais para finalidades distintas daquelas estabelecidas no presente Contrato e neste Acordo; e

       f) não comunicar ou compartilhar os Dados Pessoais a terceiros sem a prévia autorização por escrito do CONTROLADOR, ressalvadas as hipóteses expressamente previstas no Contrato e/ou seus Anexos.

 

5. INCIDENTES E COMUNICAÇÃO

 

5.1. Caso venha a ocorrer um Incidente (acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão) com os Dados Pessoais tratados no escopo desta contratação, a Parte Infratora deverá comunicar a outra em no menor prazo possível a contar do momento de ciência inequívoca do Incidente.

       5.1.1. A referida comunicação deverá, sempre que possível, conter as seguintes descrições: (i) data e hora da ciência pela Parte; (ii) relação dos tipos de dados afetados pelo incidente; (iii) número de usuários afetados (volumetria do incidente); (iv) dados de contato do Encarregado pelo Tratamento de Dados da Parte, ou outra pessoa junto à qual seja possível obter maiores informações sobre o ocorrido; (v) descrição das possíveis consequências do evento; bem como (vi) medidas tomadas para contenção do incidente.

       5.1.2. A notificação deverá ser enviada nos e-mails indicados no Contrato firmado pelas Partes.

5.2. As Partes acordam em não divulgar qualquer informação sobre o Incidente de Segurança a Terceiro, exceto nas seguintes hipóteses: (i) se ambas as Partes autorizarem prévia e expressamente, (ii) se houver obrigação legal que exija tal divulgação, ou ainda (iii) se ocorrer determinação de Autoridades Fiscalizadoras.

       5.2.1. Na hipótese de ocorrência de Incidente, seja ele qual for, as Partes ainda se comprometem a analisar todas as circunstâncias envolvidas e decidir, de forma conjunta, se este se enquadra na exigência legal de comunicação à Autoridade Nacional de Proteção de Dados.

 

6. COMPARTILHAMENTO

 

6.1. O CONTROLADOR reconhece e autoriza que para a execução do presente Contrato, a OPERADORA poderá realizar a subcontratação de terceiros processadores de dados com os quais poderá compartilhar os Dados Pessoais recebidos do CONTROLADOR, tais como provedores de nuvem e ferramentas de atendimento.

       6.1.1. Em todos os casos, a OPERADORA se responsabilizará por todos seus suboperadores, bem como exigirá destes o cumprimento de obrigações e níveis de Segurança da Informação em conformidade com o disposto no presente Acordo.

 

7. DISPOSIÇÕES FINAIS

 

7.1. Fica estabelecido o comprometimento do CONTROLADOR e da OPERADORA na elaboração de quaisquer relatórios de impacto à proteção dos Dados Pessoais, bem como fornecimento de informações eventualmente exigidas pelas autoridades competentes.

7.2. As Partes se comprometem a comunicar uma a outra, com a maior brevidade possível e em tempo hábil, caso receba requerimento, notificação ou questionamento da autoridade competente ou do Titular a respeito dos Dados Pessoais.

7.3. Sob o comando expresso do CONTROLADOR, a OPERADORA deverá realizar, em prazo mínimo razoável, a exclusão inequívoca dos dados pessoais que, eventualmente, venham a ser compartilhados em razão deste Contrato, respeitada as hipóteses de guarda e armazenamento dos dados legalmente previstas.

7.4. A OPERADORA poderá realizar o tratamento dos Dados Pessoais necessários para a execução deste Contrato, para a concepção, adoção de melhorias e o desenvolvimento da Plataforma Blip e atividades da OPERADORA, com o objetivo de ofertar aos clientes do CLIENTE uma experiência de atendimento e comunicação eficiente, otimizada e personalizada.

       7.4.1. O CLIENTE autoriza a OPERADORA a armazenar os dados mesmo após o término do Contrato, em bases proprietárias da OPERADORA, de forma anonimizada, para permitir a consecução das atividades dispostas na Cláusula 7.4.

       7.4.2. Quando Dados Pessoais forem armazenados mesmo após o término do Contrato na forma da Cláusula 7.4.1, a OPERADORA passará a atuar como Controladora dos Dados Pessoais, assumindo todas as responsabilidades inerentes a essa condição.

7.5. A responsabilidade por descumprimento/inobservância de qualquer das obrigações aqui estabelecidas será apurada no formato descrito pela Cláusula de Responsabilidade do Contrato, sem prejuízo das sanções legalmente previstas.