LGPD – Lei Geral de Proteção de Dados Pessoais
As Partes se comprometem a cumprir todas as leis, regras e regulamentos aplicáveis aos Dados Pessoais tratados em razão da execução do objeto deste Contrato, incluindo, mas não se limitando, à Lei 13.709/18 (Lei de Proteção de Dados Pessoais – LGPD).
1. Introdução
1.1. As Partes declaram estar cientes de que, para os fins de proteção de dados pessoais, a CONTRATANTE é o CONTROLADOR e a CONTRATADA é o OPERADOR, nos termos da legislação aplicável. Dados pessoais fornecidos pela CONTRATANTE no âmbito deste Instrumento somente podem ser tratados pela CONTRATADA em função do cumprimento de seu objeto e/ou por instrução específica da CONTRATANTE, e desde que observados estritamente os limites desta autorização e da legislação aplicável.
1.2. O uso e tratamento de dados e informações obtidos pela CONTRATADA, fornecidos pela CONTRATANTE, capazes de identificar ou tornar identificáveis os clientes, funcionários e/ou subcontratados da CONTRATANTE, bem como o conteúdo ou as comunicações privadas ocorridas durante a prestação dos serviços (os “Dados Pessoais”), se darão de acordo com as legislações brasileira vigentes e aplicáveis, somente para propósitos legítimos, específicos, explícitos e previamente informados aos titulares dos Dados Pessoais.
1.3. O tratamento e a coleta, quando aplicável, serão limitados ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento e da coleta de dados.
2. Operação dos dados (coleta e armazenamento)
2.1. A CONTRATADA se obriga a não armazenar e a não compartilhar os Dados Pessoais com terceiros, salvo com autorização prévia e expressa dos próprios TITULARES ou por intermédio da CONTRATANTE.
2.2. No caso de envio de Dados Pessoais pela CONTRATANTE à CONTRATADA, a CONTRATANTE declara e garante que constituiu as informações de forma lícita em conformidade com a legislação vigente e que, conforme aplicável, possui autorização ou dá ciência aos titulares sobre o compartilhamento dos dados, e que obteve autorização legal para o tratamento destes dados, operados pela CONTRATANTE.
2.2.1. A CONTRATANTE deverá se responsabilizar exclusivamente pelos Dados Pessoais, obrigando-se a manter a CONTRATADA isenta de toda e qualquer obrigação e responsabilidade por eventuais omissões ou erros cometidos pela CONTRATANTE na obtenção dos Dados Pessoais, principalmente se obtidos sem o consentimento ou autorizações adequadas de seu titular, quando obtidas pela CONTRATANTE.
2.2.2. Caso a CONTRATADA seja arrolada no polo passivo em qualquer demanda decorrente da violação de Dados Pessoais em decorrência da prestação dos serviços, a CONTRATANTE deverá arcar com todas as multas, custos, penalidades, condenações, honorários advocatícios e demais consectários legais incorridos, bem como obriga-se a, em 48 (quarenta e oito) horas pagar à CONTRATADA quaisquer valores que a CONTRATADA, por força de responsabilidade solidária ou subsidiária, venha a pagar a terceiros.
2.3. A CONTRATANTE, autoriza à CONTRATADA, coletar, processar e armazenar, através de seus softwares, informações sobre estatísticas de uso, erros ocorridos no software, endereçamento IP, geolocalização, informações sobre o hardware e sistema operacional, banco de dados e demais informações manipuladas pelo software LSoft, com a finalidade de utilizá-los para estudos e melhoramento do software e/ou para prover condições de fornecer adequada análise e resposta à CONTRATANTE, em relação ao suporte técnico relacionado ao software LSoft.
2.4. As partes garantem possuírem políticas apropriadas de proteção de Dados Pessoais compatível com todas as leis aplicáveis, incluindo, mas não se limitando, a adoção de medidas técnicas apropriadas para proteger os Dados Pessoais contra: (i) ameaças ou riscos à privacidade, à segurança, à integridade e/ou à confidencialidade; (ii) destruição acidental ou ilícita, perda, alteração, divulgação ou acesso não autorizado; (iii) quaisquer outras formas ilegais de tratamento; e (iv) incidentes de segurança ou privacidade.
2.5. A CONTRATADA se obriga a efetuar a gestão de vulnerabilidades de suas ferramentas que sejam utilizadas no tratamento de Dados Pessoais proveniente da CONTRATANTE, realizando testes periódicos para identificação e imediata correção de eventuais vulnerabilidades que venham a ser identificadas.
2.6. A CONTRATADA deverá permitir, colaborar e dar suporte à execução de auditoria técnica acompanhada pelos, titulares e/ou CONTRATANTE, com objetivo de verificação de cumprimento das obrigações deste Contrato, de padrões adequados de segurança da informação, adequação às legislações vigentes e identificação de eventuais vulnerabilidades dos sistemas.
2.7. A CONTRATADA deverá dar atendimento aos titulares dos dados em relação aos direitos de privacidade, especificamente os seguintes, e sem prejuízo dos demais direitos assegurados em lei: acesso aos dados, correção de dados incompletos, inexatos, ou desatualizados, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei, portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa; eliminação dos Dados Pessoais, na forma prevista em lei; informação das entidades públicas e privadas com as quais realizou o uso compartilhado de dados.
2.8. A CONTRATADA garante que o tratamento dos Dados Pessoais será feito com medidas técnicas e administrativas aptas a proteger os Dados Pessoais de acessos não autorizados e situações ilícitas, acidentais ou não, de destruição, perda, alteração, comunicação ou difusão, de acordo com as finalidades previstas neste Contrato e na legislação aplicável.
2.8.1. A CONTRATADA deverá prover todos os esforços possíveis e necessários para garantir a confiabilidade de seus operadores, garantindo ainda seleção e treinamento adequado para realização das atividades e respeito a todas as obrigações da CONTRATADA, especialmente no que concerne à proteção de Dados Pessoais, no desempenho deste Contrato.
2.9. Em caso de incidente de vazamento de Dados Pessoais, a parte afetada deverá enviar comunicação à outra parte, por escrito, no prazo máximo de 24 (vinte e quatro) horas contado a partir da ciência do vazamento, contendo, no mínimo, as seguintes informações:
(i) data e hora do incidente;
(ii) data e hora da ciência do fato;
(iii) relação dos tipos de dados afetados pelo incidente;
(iv) relação de titulares afetados pelo incidente; e
(v) indicação de medidas que estiverem sendo tomadas para reparar eventuais danos e evitar novos incidentes.
2.9.1. Sem prejuízo da comunicação ao órgão ou entidade competente, uma Parte notificará imediatamente a outra Parte nos casos de:
(i) identificação ou suspeita de qualquer incidente de dados (eventos de acesso ou divulgação não autorizada de Dados Pessoais e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito de Dados Pessoais);
(ii) qualquer reclamação relacionada ao tratamento de Dados Pessoais, incluindo alegações de que o tratamento viola os direitos de um titular de dados de acordo com a lei aplicável; ou;
(iii) qualquer ordem, emitida por autoridade judicial ou administrativa, que tenha por objetivo solicitar a divulgação ou bloqueio de Dados Pessoais.
3. Cancelamento
3.1. As Partes acordam que, após o término da vigência deste Contrato, a CONTRATADA deverá, a critério da CONTRATANTE, em um prazo máximo de 30 (trinta) dias, eliminar de seus registros todos os Dados Pessoais e evidenciar referida eliminação bem como certificar à CONTRATANTE por meio de declaração escrita assinada pelos representantes legais da CONTRATADA.
3.2. O descumprimento de obrigações relacionadas à proteção de Dados Pessoais dispostas neste Contrato poderá, a critério exclusivo da parte prejudicada, ensejar, além da aplicação das demais sanções previstas neste Contrato, a rescisão unilateral deste Contrato.
4. Assinatura Eletrônica
As Partes declaram e reconhecem que as disposições constantes no presente Contrato assinado eletronicamente, nos termos do parágrafo 2º, do artigo 10, da Medida Provisória 2.200- 2/2001, são verdadeiras em relação aos signatários, e produzem efeitos legais, nos termos do artigo 219 da Lei Federal n. 10.406, de 10 de fevereiro de 2002 – Código Civil, e do artigo 408, da Lei Federal 13.105, de 16 de março de 2015 – Código de Processo Civil, constituindo obrigações válidas e exigíveis, para todos os fins legais, representando a vontade de todos que o assinam, como prova documental e título executivo extrajudicial, para todos os fins e efeitos, não podendo ser contestada pelas Partes, salvo em caso de comprovado erro ou dolo.
