ACORDO DE TRATAMENTO DE DADOS PESSOAIS

De forma a proteger os dados pessoais do Cliente que eventualmente venham a ser tratados no âmbito do desenvolvimento do contrato de licença de utilização de software e para assegurar o sigilo profissional da APlanet Brazil Ltda. (“APlanet”), as Partes acordam à aplicação das seguintes Cláusulas:

  • Finalidade do serviço

A ordem de tratamento tem por finalidade permitir à APlanet acesso aos dados pessoais de que necessita para a prestação dos serviços contratados através da respectiva Ordem de Compra (ODC) e estabelecer os termos e condições em que se pode realizar o referido processo.

O presente Acordo reproduzirá as seguintes definições da Lei Geral de Proteção de Dados (“LGPD”):

Dado pessoal

Informação relacionada a pessoa natural identificada ou identificável;

Dado pessoal sensível

Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Titular

Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

Controlador

Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Neste caso, considera-se como Controlador dos dados o Cliente;

Operador

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Neste caso, considera-se como Operador dos dados a APlanet;

Encarregado

Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)

Tratamento

Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Anonimização

Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

Transferência internacional de dados

Transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

Autoridade Nacional de Proteção de Dados – ANPD

Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. 
  • Natureza dos serviços prestados e finalidade do tratamento

Ambas as partes acordam que a APlanet prestará os referidos serviços nas suas próprias instalações e nos seus próprios sistemas de informação de forma a dar suporte e manutenção técnica do serviço contratado, sendo responsável como Operadora pelo tratamento dos dados pessoais inseridos em seus sistemas, devendo tratar os dados conforme as orientações do Controlador, observado o disposto nas legislações, normas e regulamentos aplicáveis.

  • Identificação da informação prestada

Para a execução dos serviços contratados, a APlanet poderá ter acesso às informações e dados pessoais detalhados abaixo:

  • Como categorias de titulares, serão tratados os dados dos USUÁRIOS do Cliente.
  • Os seguintes dados pessoais serão tratados:
  1. Dados pessoais (nome, saudação, título/grau acadêmico, data de nascimento)
  2. Detalhes de contato (endereço de e-mail, número de telefone)
  3. Dados de comunicação eletrônica (endereço IP, páginas web acessadas, detalhes do dispositivo utilizado, sistema operacional e navegador)
  • Dados pessoais sensíveis: não serão tratados.
  • Obrigações do Operador pelo tratamento

A APlanet e todo o seu pessoal são obrigados a cumprir as seguintes estipulações:

  • Dever de Confidencialidade
  • Manter o dever de sigilo sobre os dados pessoais a que teve acesso em virtude desta atribuição, mesmo após o término da sua finalidade, por prazo indeterminado, exceto se a divulgação for exigida por autoridade governamental ou por ordem de Tribunal competente, sob pena de ser caracterizada desobediência ou outra penalidade. Nestas hipóteses, os dados pessoais a serem revelados observarão estritamente àqueles requisitados na medida exigida e deverão ser objeto de toda a proteção governamental ou judicial possível, devendo a APlanet, prontamente notificar a outra para que a mesma possa adotar as medidas cabíveis junto à autoridade ou Tribunal para proteção das informações.
  • Garantir que as pessoas autorizadas a tratar dados pessoais se comprometam, expressamente e por escrito, a respeitar a confidencialidade e a cumprir as medidas de segurança correspondentes, das quais devem ser devidamente informados.
  • Manter à disposição do Controlador a documentação comprobatória do cumprimento da obrigação estabelecida no item anterior.
  • Garantir a formação necessária sobre proteção de dados pessoais das pessoas autorizadas a tratar dados pessoais.
  1. Utilizar os dados pessoais objeto de tratamento, ou os recolhidos para inclusão, apenas para a finalidade da prestação de serviço. Em nenhum caso os dados pessoais poderão ser tratados para fins diversos.
  1. Processar os dados de acordo com as instruções do Cliente. Se a APlanet considerar que alguma das instruções infringe a LGPD ou qualquer outra disposição de proteção de dados do Brasil, informará imediatamente o Cliente.
  • Não compartilhar os dados a terceiros, salvo autorização expressa do Cliente e nos casos em que seja legalmente exigido.


  • Transferência internacional de dados

A APlanet armazenará os dados pessoais em servidores dos seus suboperadores: (i) Digital Ocean, localizada em Amsterdã, Holanda, (ii) Postmarkpp, localizada nos Estados Unidos da América e (iii) Intercom, localizada nos Estados Unidos da América. Em qualquer caso de transferência para um país terceiro ou para uma organização internacional, informará previamente o Cliente e garantirá que será realizada observando as obrigações exigidas pela LGPD e demais normas brasileiras aplicáveis.

  • Medidas de segurança

A APlanet aplicará as medidas técnicas e organizacionais necessárias para garantir o nível de segurança adequado ao risco, evitando a sua alteração, perda, tratamento ou acesso não autorizado, tendo em conta o estado da tecnologia, os custos de aplicação, a natureza, o escopo, o contexto e as finalidades do tratamento, bem como os riscos aos direitos e liberdades das pessoas físicas a que estão expostas.

APlanet aplicará especificamente as seguintes medidas de segurança:

  • Preparar um registro de todas as categorias de atividades de processamento realizadas por conta do Cliente, que conterá:
  1. O nome e os contatos do Operador e, se for o caso, do representante e do Encarregado pela proteção de dados.
  2. As categorias de tratamentos realizados por conta do Cliente.
  3. Se for o caso, as transferências de dados pessoais para um país terceiro ou organização internacional, incluindo a identificação do referido país terceiro ou organização internacional.
  4. Uma descrição geral das medidas de segurança técnicas e organizacionais relativas a:
  • A pseudonimização e/ou criptografia de dados pessoais.
  • A capacidade de garantir a permanente confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de tratamento.
  • A capacidade de restaurar rapidamente a disponibilidade e o acesso aos dados pessoais no caso de um incidente físico ou técnico.
  • O processo de verificação regular, valoração e avaliação da eficácia das medidas técnicas e organizacionais para garantir a segurança do tratamento.
  • Notificação de violações de segurança de dados – A APlanet notificará o Cliente, sem demora injustificada e, em qualquer caso, antes do prazo máximo de 24 horas e através do correio eletrônico [email protected] das violações da segurança dos dados pessoais a seu cargo de que tenha conhecimento, juntamente com todas as informações relevantes para a documentação e comunicação do incidente.

A notificação não será necessária quando for improvável que a referida violação de segurança constitua um risco ou dano relevante para os direitos e liberdades dos titulares.

Se estiverem disponíveis, no mínimo, as seguintes informações devem ser fornecidas:

  • Descrição da natureza da violação da segurança dos dados pessoais, incluindo, sempre que possível, as categorias e número aproximado de titulares afetados, e as categorias e número aproximado de registos de dados pessoais afetados.
  • O nome e contatos do Encarregado de proteção de dados ou outro ponto de contato onde possam ser obtidas mais informações.
  • Descrição das possíveis consequências da violação da segurança dos dados pessoais.
  • Descrição das medidas adotadas ou propostas para sanar a violação da segurança dos dados pessoais, incluindo, se for o caso, as medidas adotadas para mitigar os possíveis efeitos negativos. E na medida em que não for possível fornecer as informações simultaneamente, as informações serão fornecidas gradualmente, sem demora injustificada.
  1. Direitos dos titulares – Auxiliar o Cliente na resposta ao exercício dos direitos de:
  • Confirmação da existência de tratamento, acesso, correção de dados incompletos, inexatos ou desatualizados, anonimização, bloqueio, eliminação e oposição.
  • Portabilidade de dados.
  • A não estar sujeito a decisões individualizadas automatizadas (incluindo criação de perfil).

O Cliente comunicará à APlanet os requerimentos dos seus usuários para que resolva o pedido no prazo estabelecido de 3 dias úteis. Uma vez executado o pedido, a APlanet notificará o Cliente no endereço fornecido, seja por meio físico ou eletrônico, para que este possa responder ao titular dos dados no prazo de (i) 15 dias, a contar da data do requerimento, caso o titular formule requerimento para confirmação de existência de tratamento ou acesso aos dados, ou (ii) 1 (um) mês, quando o requerimento tratar de outro exercício de direito, salvo quando houver expressa regulamentação pela Autoridade Nacional de Proteção de Dados (“ANPD”) e esta estabelecer prazo inferior, hipótese em que deverá obedecer a normativa do órgão.

Quando os titulares exercerem os referidos direitos diretamente perante a APlanet, esta redirecionará o titular para entrar em contato com o Cliente.

  1. Fornecer suporte ao Cliente na realização de avaliações de impacto relacionadas à proteção de dados, quando apropriado.
  1. Apoiar o Cliente na realização de consultas prévias à ANPD, quando for o caso.
  1. Colocar à disposição do Cliente toda a informação necessária para demonstrar o cumprimento das suas obrigações, bem como permitir e contribuir para a realização de auditorias, incluindo inspeções efetuadas pelo Cliente ou outro auditor por ele autorizado, desde que a APlanet considere que isso não infringe outras disposições sobre proteção de dados.
  1. Responsabilidade 

A APlanet e seus Suboperadores não serão responsabilizados por danos de ordem patrimonial, moral, individual ou coletivo causados pelo tratamento de dados quando demonstrado:

  1. que não realizaram o tratamento de dados pessoais que lhes é atribuído;
  2. que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
  3. que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
  • Destino dos dados

A Aplanet compromete-se a destruir os dados, uma vez decorridos três meses desde o final da prestação dos serviços. No entanto, a Aplanet poderá conservar uma cópia durante prazo razoável e necessário, com os dados devidamente bloqueados, desde que possam decorrer responsabilidades e obrigações legais ou regulatórias decorrentes da execução da prestação de serviços.

  •  Subcontratação

O Cliente autoriza a APlanet a subcontratar parte do serviço e aprova expressamente a participação dos Suboperadores listados na seção 1 do ANEXO. A APlanet notificará o Cliente de qualquer mudança planejada nos Suboperadores de Tratamento com 15 dias de antecedência.

O subcontratante, que também terá a qualidade de Operador de dados, também está obrigado a cumprir as obrigações estabelecidas neste documento para a APlanet e as instruções emitidas pelo Cliente.

  •  Obrigações do Controlador pelo tratamento de dados.

As seguintes obrigações correspondem ao Cliente:

  1. Proporcionar aos titulares dos dados o direito à informação no momento do acesso ao serviço, observando os princípios da transparência, adequação, necessidade e finalidade, previstos na LGPD.
  2. Notificar a APlanet de qualquer variação que ocorra nos dados pessoais fornecidos, para que a mesma os atualize.
  3. Incidentes: Cabe ao Cliente comunicar os incidentes:
  • À ANPD sem demora injustificada e, em qualquer caso, antes do prazo máximo de 2 (dois) dias úteis, a menos que seja improvável que a referida violação de segurança constitua um risco ou dano relevante para os direitos e liberdades dos titulares. Se a notificação à ANPD não ocorrer no prazo de 2 (dois) dias úteis, deve ser acompanhada da indicação dos motivos do atraso. Neste caso, o Cliente poderá realizar comunicação preliminar à ANPD e complementar a comunicação no menor tempo possível e, no mais tardar, em 30 dias corridos contados da comunicação Preliminar.
  • Aos titulares, no menor prazo possível quando for provável que a violação represente risco ou dano relevante aos direitos e liberdades dos titulares, devendo ser realizada de forma individual e, sempre que possível, diretamente aos titulares através do canal já habitualmente utilizado pelo Cliente para se comunicar com o titular.

Caso não seja possível realizar a comunicação direta e individual, e de forma justificada, o Cliente poderá realizar comunicação indireta por meio de publicação em meios de comunicação, com o devido destaque à divulgação, utilizando linguagem clara e conter as seguintes informações:

  1. resumo e data da ocorrência do incidente;  
  2. descrição dos dados pessoais afetados;  
  3. riscos e consequências aos titulares de dados;  
  4. medidas tomadas pelo Cliente e as recomendadas aos titulares para mitigar os efeitos do incidente, se cabíveis;  
  5. dados de contato do encarregado do Cliente para que os titulares possam solicitar informações adicionais a respeito do incidente.
  1. Realizar avaliações de impacto relacionadas à proteção de dados, quando apropriado.
  2. Efetuar as consultas prévias que correspondam à ANPD, quando for o caso.
  3. Supervisionar o tratamento, incluindo a realização de inspeções e auditorias.
  4. Indicar o encarregado pelo tratamento de dados pessoais, salvo se houver regulamento da ANPD que o isente desta obrigação.
  • Jurisdição Aplicável

Para qualquer divergência que venha a surgir na interpretação deste Acordo de Tratamento de Dados, será competente o foro da capital do Rio de Janeiro, renunciando as partes ao foro próprio.

ANEXO 1: SUBOPERADORES APROVADOS

Lista de Suboperadores de Tratamento

Suboperadores contratados pela APlanet para auxiliá-la a realizar o tratamento de dados pessoais em nome do Cliente. 

Nome do Suboperador de Tratamento

Endereço do Suboperador de Tratamento

Serviços realizados pelos Suboperadores

POSTMARKAPP

https://postmarkapp.com/eu-privacy

Envio de e-mails

AMAZON WEB SERVICES

https://aws.amazon.com/es/compliance/data-privacy/

Hosting  

INTERCOM

https://www.intercom.com/legal/privacy

Chat