De forma a proteger os dados pessoais do Cliente que eventualmente venham a ser tratados no âmbito do desenvolvimento do contrato de licença de utilização de software e para assegurar o sigilo profissional da APLANET Brazil Ltda. (“APLANET”), as Partes acordam à aplicação das seguintes Cláusulas:

1.- Finalidade do serviço

A ordem de tratamento tem por finalidade permitir à APLANET acesso aos dados pessoais de que necessita para a prestação dos serviços contratados através da respectiva Ordem de Compra (ODC) e estabelecer os termos e condições em que se pode realizar o referido processo.

O presente Acordo reproduzirá as seguintes definições da Lei Geral de Proteção de Dados (“LGPD”):

• “Dado pessoal”: Informação relacionada a pessoa natural identificada ou identificável.
• “Dado pessoal sensível”: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
• “Titular”: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
• “Controlador”: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Neste caso, considera-se como Controlador dos dados o Cliente.
• “Operador”: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Neste caso, considera-se como Operador dos dados a APLANET.
• “Encarregado”: Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
• “Tratamento”: Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
• “Anonimização”: Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
• “Transferência internacional de dados”: Transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
• “Autoridade Nacional de Proteção de Dados (ANPD)”: Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

2.- Natureza dos serviços prestados e finalidade do tratamento

Ambas as partes acordam que a APLANET prestará os referidos serviços nas suas próprias instalações e nos seus próprios sistemas de informação de forma a dar suporte e manutenção técnica do serviço contratado, sendo responsável como Operadora pelo tratamento dos dados pessoais inseridos em seus sistemas, devendo tratar os dados conforme as orientações do Controlador, observado o disposto nas legislações, normas e regulamentos aplicáveis.

3.- Identificação da informação prestada

Para a execução dos serviços contratados, a APLANET poderá ter acesso às informações e dados pessoais detalhados abaixo:

• Como categorias de titulares, serão tratados os dados dos USUÁRIOS do Cliente.
• Os seguintes dados pessoais serão tratados:
  • Dados pessoais (nome, saudação, título/grau acadêmico, data de nascimento).
  • Detalhes de contato (endereço de e-mail, número de telefone).
  • Dados de comunicação eletrônica (endereço IP, páginas web acessadas, detalhes do dispositivo utilizado, sistema operacional e navegador).
• Dados pessoais sensíveis: não serão tratados.

4.- Obrigações do Operador pelo tratamento

A APLANET e todo o seu pessoal são obrigados a cumprir as seguintes estipulações:

4.1.- Dever de Confidencialidade

• Manter o dever de sigilo sobre os dados pessoais a que teve acesso em virtude desta atribuição, mesmo após o término da sua finalidade, por prazo indeterminado, exceto se a divulgação for exigida por autoridade governamental ou por ordem de Tribunal competente, sob pena de ser caracterizada desobediência ou outra penalidade. Nestas hipóteses, os dados pessoais a serem revelados observarão estritamente àqueles requisitados na medida exigida e deverão ser objeto de toda a proteção governamental ou judicial possível, devendo a APLANET, prontamente notificar a outra para que a mesma possa adotar as medidas cabíveis junto à autoridade ou Tribunal para proteção das informações.
• Garantir que as pessoas autorizadas a tratar dados pessoais se comprometam, expressamente e por escrito, a respeitar a confidencialidade e a cumprir as medidas de segurança correspondentes, das quais devem ser devidamente informados.
• Manter à disposição do Controlador a documentação comprobatória do cumprimento da obrigação estabelecida no item anterior.
• Garantir a formação necessária sobre proteção de dados pessoais das pessoas autorizadas a tratar dados pessoais.

4.2.- Utilizar os dados pessoais objeto de tratamento, ou os recolhidos para inclusão, apenas para a finalidade da prestação de serviço. Em nenhum caso os dados pessoais poderão ser tratados para fins diversos.

4.3.- Processar os dados de acordo com as instruções do Cliente. Se a APLANET considerar que alguma das instruções infringe a LGPD ou qualquer outra disposição de proteção de dados do Brasil, informará imediatamente o Cliente.

4.4.- Não compartilhar os dados a terceiros, salvo autorização expressa do Cliente e nos casos em que seja legalmente exigido.

4.5.- Transferência internacional de dados

Caso a APLANET deva transferir dados pessoais para um país terceiro ou para uma organização internacional, informará previamente o Cliente e garantirá que a transferência será realizada observando as obrigações exigidas pela LGPD e demais normas brasileiras aplicáveis.

4.6.- Medidas de segurança

A APLANET aplicará as medidas técnicas e organizacionais necessárias para garantir o nível de segurança adequado ao risco, evitando a sua alteração, perda, tratamento ou acesso não autorizado, tendo em conta o estado da tecnologia, os custos de aplicação, a natureza, o escopo, o contexto e as finalidades do tratamento, bem como os riscos aos direitos e liberdades das pessoas físicas a que estão expostas.

APLANET aplicará especificamente as seguintes medidas de segurança:

• Preparar um registro de todas as categorias de atividades de processamento realizadas por conta do Cliente, que conterá:
  • O nome e os contatos do Operador e, se for o caso, do representante e do Encarregado pela proteção de dados.
  • As categorias de tratamentos realizados por conta do Cliente.
  • Se for o caso, as transferências de dados pessoais para um país terceiro ou organização internacional, incluindo a identificação do referido país terceiro ou organização internacional.
  • Uma descrição geral das medidas de segurança técnicas e organizacionais relativas a:
    • A pseudonimização e/ou criptografia de dados pessoais.
    • A capacidade de garantir a permanente confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de tratamento.
    • A capacidade de restaurar rapidamente a disponibilidade e o acesso aos dados pessoais no caso de um incidente físico ou técnico.
    • O processo de verificação regular, valoração e avaliação da eficácia das medidas técnicas e organizacionais para garantir a segurança do tratamento.

       

• Notificação de violações de segurança de dados:
  
  A APLANET notificará o Cliente, sem demora injustificada e, em qualquer caso, antes do prazo máximo de 24 horas e através do correio eletrônico [email protected] das violações da segurança dos dados pessoais a seu cargo de que tenha conhecimento, juntamente com todas as informações relevantes para a documentação e comunicação do incidente. A notificação não será necessária quando for improvável que a referida violação de segurança constitua um risco ou dano relevante para os direitos e liberdades dos titulares.Se estiverem disponíveis, no mínimo, as seguintes informações devem ser fornecidas:

   

  • Descrição da natureza da violação da segurança dos dados pessoais, incluindo, sempre que possível, as categorias e número aproximado de titulares afetados, e as categorias e número aproximado de registos de dados pessoais afetados.
  • O nome e contatos do Encarregado de proteção de dados ou outro ponto de contato onde possam ser obtidas mais informações.
  • Descrição das possíveis consequências da violação da segurança dos dados pessoais.
  • Descrição das medidas adotadas ou propostas para sanar a violação da segurança dos dados pessoais, incluindo, se for o caso, as medidas adotadas para mitigar os possíveis efeitos negativos. E na medida em que não for possível fornecer as informações simultaneamente, as informações serão fornecidas gradualmente, sem demora injustificada.

4.7.- Direitos dos titulares

Auxiliar o Cliente na resposta ao exercício dos direitos de:

• Confirmação da existência de tratamento, acesso, correção de dados incompletos, inexatos ou desatualizados, anonimização, bloqueio, eliminação e oposição.
• Portabilidade de dados.
• A não estar sujeito a decisões individualizadas automatizadas (incluindo criação de perfil).

O Cliente comunicará à APLANET os requerimentos dos seus usuários para que resolva o pedido no prazo estabelecido de 3 dias úteis. Uma vez executado o pedido, a APLANET notificará o Cliente no endereço fornecido, seja por meio físico ou eletrônico, para que este possa responder ao titular dos dados no prazo de (i) 15 dias, a contar da data do requerimento, caso o titular formule requerimento para confirmação de existência de tratamento ou acesso aos dados, ou (ii) 1 (um) mês, quando o requerimento tratar de outro exercício de direito, salvo quando houver expressa regulamentação pela Autoridade Nacional de Proteção de Dados (“ANPD”) e esta estabelecer prazo inferior, hipótese em que deverá obedecer a normativa do órgão.

Quando os titulares exercerem os referidos direitos diretamente perante a APLANET, está redirecionará o titular para entrar em contato com o Cliente.

4.8.- Fornecer suporte ao Cliente na realização de avaliações de impacto relacionadas à proteção de dados, quando apropriado.

4.9.- Apoiar o Cliente na realização de consultas prévias à ANPD, quando for o caso.

4.10.- Colocar à disposição do Cliente toda a informação necessária para demonstrar o cumprimento das suas obrigações, bem como permitir e contribuir para a realização de auditorias, incluindo inspeções efetuadas pelo Cliente ou outro auditor por ele autorizado, desde que a APLANET considere que isso não infringe outras disposições sobre proteção de dados.

5.- Responsabilidade

A APLANET e seus Suboperadores não serão responsabilizados por danos de ordem patrimonial, moral, individual ou coletivo causados pelo tratamento de dados quando demonstrado (i) que não realizaram o tratamento de dados pessoais que lhes é atribuído; (ii) que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou (iii) que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

6.- Destino dos dados

A APLANET compromete-se a destruir os dados, uma vez decorridos três meses desde o final da prestação dos serviços. No entanto, a APLANET poderá conservar uma cópia durante prazo razoável e necessário, com os dados devidamente bloqueados, desde que possam decorrer responsabilidades e obrigações legais ou regulatórias decorrentes da execução da prestação de serviços.

7.- Subcontratación

O Cliente autoriza a APLANET a subcontratar parte do serviço e aprova expressamente a participação dos Suboperadores listados na seção 1 do ANEXO. A APLANET notificará o Cliente de qualquer mudança planejada nos Suboperadores de Tratamento com 15 dias de antecedência.

O subcontratante, que também terá a qualidade de Operador de dados, também está obrigado a cumprir as obrigações estabelecidas neste documento para a APLANET e as instruções emitidas pelo Cliente.

8.- Obrigações do responsável pelo tratamento

As seguintes obrigações correspondem ao Cliente:

1. Proporcionar aos titulares dos dados o direito à informação no momento do acesso ao serviço, observando os princípios da transparência, adequação, necessidade e finalidade, previstos na LGPD.
2. Notificar a APLANET de qualquer variação que ocorra nos dados pessoais fornecidos, para que a mesma os atualize.
3. Comunicar os incidentes:
   • À Autoridade Nacional de Proteção de Dados (ANPD), sem demora injustificada e, em qualquer caso, antes do prazo máximo de 2 (dois) dias úteis, a menos que seja improvável que a referida violação de segurança constitua um risco ou dano relevante para os direitos e liberdades dos titulares. Se a notificação à ANPD não ocorrer no prazo de 2 (dois) dias úteis, deve ser acompanhada da indicação dos motivos do atraso. Neste caso, o Cliente poderá realizar comunicação preliminar à ANPD e complementar a comunicação no menor tempo possível e, no mais tardar, em 30 dias corridos contados da comunicação preliminar.
   • Aos titulares, no menor prazo possível quando for provável que a violação represente risco ou dano relevante aos direitos e liberdades dos titulares, devendo ser realizada de forma individual e, sempre que possível, diretamente aos titulares através do canal já habitualmente utilizado pelo Cliente para se comunicar com o titular. Caso não seja possível realizar a comunicação direta e individual, e de forma justificada, o Cliente poderá realizar comunicação indireta por meio de publicação em meios de comunicação, com o devido destaque à divulgação, utilizando linguagem clara e conter as seguintes informações: (i) resumo e data da ocorrência do incidente; (ii) descrição dos dados pessoais afetados; (iii) riscos e consequências aos titulares de dados; (iv) medidas tomadas pelo Cliente e as recomendadas aos titulares para mitigar os efeitos do incidente, se cabíveis; (v) dados de contato do encarregado do Cliente para que os titulares possam solicitar informações adicionais a respeito do incidente.
4. Realizar avaliações de impacto relacionadas à proteção de dados, quando apropriado.
5. Efetuar as consultas prévias que correspondam à ANPD, quando for o caso.
6. Supervisionar o tratamento, incluindo a realização de inspeções e auditorias.
7. Indicar o encarregado pelo tratamento de dados pessoais, salvo se houver regulamento da ANPD que o isente desta obrigação.

9.- Jurisdição aplicável

Para qualquer divergência que venha a surgir na interpretação deste Acordo de Tratamento de Dados, será competente o foro da capital do Rio de Janeiro, renunciando as partes ao foro próprio.

ANEXO 1: SUBOPERADORES APROVADOS

1. Lista de Suboperadores de Tratamento

Suboperadores contratados pela APLANET para auxiliá-la a realizar o tratamento de dados pessoais em nome do Cliente.

No caso de Clientes que contratarem o produto “APLANET Neutrality”, além do disposto acima, aplica-se o seguinte: