Acordo de tratamento de Dados e Política de Privacidade da PariPassu
Última modificação: 12 de Março de 2020
O presente Acordo de Tratamento de Dados da PariPassu, e seus Anexos, reflete o acordo das partes sobre o Tratamento de Dados Pessoais pela PariPassu em nome do Cliente em relação aos Serviços de Assinatura da PariPassu.
Os presentes “Anexos” complementam e integram o Acordo, entrando em vigor a partir de sua incorporação a ele, a qual poderá ser especificada no Acordo, em um Pedido ou em uma alteração firmada do Acordo.
Periodicamente atualizamos estes termos. Se você tiver uma assinatura ativa da PariPassu, informaremos sobre as atualizações por e-mail.
1. Definições
2. Responsabilidades do Cliente
3. Obrigações da PariPassu
4. Solicitações de Titulares
5. Suboperadores
6. Transferências de dados
1. Definições
“Leis de Proteção de Dados” ou “LGPD” é o termo usado para se referir a proteção de dados (Lei nº 13.709) sancionada em 14 de agosto de 2018 e que entra em vigor a partir de agosto de 2020. Refere-se a todas as leis do mundo sobre proteção e privacidade de dados aplicáveis à respectiva parte que está na função de tratamento dos Dados Pessoais em questão conforme o Acordo.
“Dados Pessoais” é o termo usado para se referir a Dados Pessoais protegidos pela LGPD.
“Cliente”, “Empresa” e “Prestador de Serviço” são termos definidos pela LGPD.
“Responsável” é o termo usado para se referir à pessoa física ou jurídica, de direito público ou privado, que, individual ou coletivamente, determina as finalidades e os meios do Tratamento de Dados Pessoais.
“Titular” é o termo usado para se referir à pessoa física a quem os Dados Pessoais se referem.
“Instruções” é o termo usado para se referir às instruções documentadas por escrito e emitidas por um Responsável a um Operador instruindo-o a executar uma ação específica em relação aos Dados Pessoais (incluindo, sem restrição, anonimização, bloqueio, eliminação, disponibilização).
“Afiliados Permitidos” é o termo usado para se referir a qualquer Afiliado do Cliente que (i) tenha permissão para usar os Serviços de Assinatura conforme o Acordo, sem ter assinado um acordo próprio com a PariPassu e sem ser um “Cliente” conforme definido no Acordo, (ii) se qualifica como Responsável pelos Dados Pessoais tratados pela PariPassu, e (iii) esteja sujeito às Leis de Proteção de Dados.
“Dados Pessoais” é o termo usado para se referir a qualquer informação relacionada a uma pessoa física identificada ou identificável que esteja contida nos Dados do Cliente e seja protegida da mesma forma como dados pessoais, informações pessoais ou informações de identificação pessoal segundo as Leis de Proteção de Dados aplicáveis.
“Violação de Dados Pessoais” é o termo usado para se referir a uma violação de segurança que cause, em caráter acidental ou ilegal, a destruição, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou Tratados de outra forma pela PariPassu e/ou por seus Suboperadores em relação à prestação dos Serviços de Assinatura. O termo “Violação de Dados Pessoais” não incluirá tentativas ou atividades que não comprometam a segurança dos Dados Pessoais, tais como: tentativas fracassadas de login, pings, varreduras de portas, ataques de negação de serviços e outros ataques de rede a firewalls ou sistemas em rede.
“Tratamento” é o termo usado para se referir a qualquer operação ou conjunto de operações com Dados Pessoais, englobando a coleta, gravação, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou outra forma de disponibilização, correlação ou combinação, restrição ou eliminação de Dados Pessoais. Os termos “tratar”, “trata” e “tratado” serão interpretados neste contexto.
“Operador” é o termo usado para se referir à pessoa física ou jurídica, de direito público ou privado, que trata os Dados Pessoais em nome do Responsável.
“Suboperador” é o termo usado para se referir a qualquer Operador contratado pela PariPassu ou seus Afiliados para auxiliar no cumprimento das obrigações da PariPassu quanto à prestação dos Serviços de Assinatura conforme o Acordo. Os Suboperadores poderão incluir terceiros ou Afiliados da PariPassu, excluindo todos os funcionários ou consultores da PariPassu.
“Página de Suboperadores” é o termo usado para se referir à Página de Suboperadores da PariPassu.
2. Responsabilidades do Cliente
a. Conformidade com as Leis
No escopo do Acordo e em seu uso dos serviços, o Cliente será responsável por cumprir todas as exigências previstas nas Leis de Proteção de Dados aplicáveis a ele em relação ao Tratamento de Dados Pessoais e às Instruções emitidas à PariPassu.
Em particular, mas sem prejudicar a generalidade do precedente, o Cliente reconhece e concorda que será exclusivamente responsável: (i) pela precisão, qualidade e legalidade dos Dados Pessoais e dos meios pelo qual os adquire; (ii) por cumprir todas as exigências necessárias de transparência e licitude previstas nas Leis de Proteção de Dados aplicáveis à coleta e ao uso dos Dados Pessoais, obtendo, inclusive, eventuais consentimentos e autorizações necessários (especialmente para uso pelo Cliente para fins de marketing); (iii) por garantir que tem o direito de transferir ou fornecer acesso aos Dados Pessoais para a PariPassu para fins de Tratamento nos termos do Acordo (incluindo Anexos); (iv) por garantir que suas Instruções para a PariPassu sobre o Tratamento de Dados Pessoais cumprem as leis aplicáveis, inclusive as Leis de Proteção de Dados; e (v) por cumprir todas as leis (inclusive as Leis de Proteção de Dados) aplicáveis a qualquer e-mail ou outros conteúdos criados, enviados ou gerenciados pelos Serviços de Assinatura, inclusive aqueles relacionados à obtenção de consentimentos (quando houver exigência) quanto ao envio de e-mails, o conteúdo dos e-mails e suas práticas de implantação de e-mail. O Cliente informará imediatamente à PariPassu se não for capaz de cumprir suas responsabilidades previstas nesta subseção (a) ou nas Leis de Proteção de Dados aplicáveis.
b. Instruções do Responsável
As partes concordam que o Acordo (incluindo Anexos), junto com o uso do Serviço de Assinatura pelo cliente conforme o Acordo, formam as Instruções completas e definitivas do Cliente para a PariPassu em relação ao Tratamento de Dados Pessoais, e instruções adicionais fora do escopo das Instruções requererão acordo prévio e por escrito entre o Cliente e a PariPassu.
3. Obrigações da PariPassu
a. Cumprimento das Instruções
A PariPassu tratará apenas os Dados Pessoais para os fins descritos neste Acordo (incluindo Anexos) ou conforme acordado de outra forma dentro do escopo das Instruções lícitas do Cliente, salvo se exigido de outra forma pelas leis aplicáveis. A PariPassu não é responsável pelo cumprimento de nenhuma Lei de Proteção de Dados aplicável ao Cliente ou ao setor dele que não seja geralmente aplicável à PariPassu.
b. Conflito de leis
Ao ficar ciente de que não pode tratar Dados Pessoais conforme as Instruções do Cliente devido a uma exigência prevista em qualquer lei aplicável, a PariPassu: (i) comunicará imediatamente o Cliente acerca de tal exigência legal obedecendo ao limite permitido pela lei aplicável; e (ii) quando necessário, interromperá todo o Tratamento (exceto o mero armazenamento e manutenção da segurança dos Dados Pessoais afetados), até o momento em que o Cliente emitir novas Instruções que possam ser cumpridas pela PariPassu. Caso a presente disposição seja invocada, a PariPassu não será responsabilizada perante o Cliente nos termos do Acordo por não prestar os Serviços de Assinatura aplicáveis devidos até o momento em que o Cliente emitir novas Instruções lícitas sobre o Tratamento.
c. Segurança
A PariPassu implementará e manterá medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais contra Violações de Dados Pessoais, conforme descrito no Anexo 2 deste Acordo (“Medidas de Segurança”). Não obstante alguma disposição em contrário, a PariPassu poderá modificar ou atualizar as Medidas de Segurança práticas a seu exclusivo critério, desde que tal modificação ou atualização não gere um prejuízo material à proteção oferecida a tais medidas.
d. Confidencialidade
A PariPassu garantirá que todo o pessoal autorizado por ela a tratar os Dados Pessoais em seu nome estará sujeito às devidas obrigações de confidencialidade (seja por previsão em contrato ou na lei) em relação a esses Dados Pessoais.
e. Violações de Dados Pessoais
A PariPassu notificará prontamente o Cliente após ter ciência de qualquer Violação de Dados Pessoais e fornecerá oportunamente informações relativas à Violação de Dados Pessoais quando estas forem conhecidas ou razoavelmente solicitadas pelo Cliente. Mediante solicitação do Cliente, a PariPassu prestará prontamente toda a assistência razoável necessária para dar condições ao Cliente de comunicar Violações de Dados Pessoais relevantes às autoridades competentes e/ou aos Titulares afetados, caso o Cliente precise fazê-lo nos termos das Leis de Proteção de Dados.
f. Exclusão ou devolução de Dados Pessoais
A PariPassu excluirá ou devolverá todos os Dados Pessoais (incluindo cópias deles) tratados nos termos deste Acordo conforme os procedimentos e prazos estipulados no Acordo, ressalvando que esta exigência não se aplicará aos casos em que a PariPassu for obrigada pela lei aplicável a reter os Dados Pessoais no todo ou em parte, ou aos Dados Pessoais arquivados nos sistemas de backup, dados estes que a PariPassu isolará em segurança e protegerá contra Tratamentos, excluindo-os de acordo com suas práticas de exclusão.
4. Solicitações de Titulares
O Serviço de Assinatura oferece diversos controles que o Cliente pode usar para recuperar, corrigir, excluir ou restringir Dados Pessoais, a fim de auxiliá-lo a cumprir suas obrigações previstas nas Leis de Proteção de Dados, inclusive obrigações para atender a solicitações de Titulares no exercícios de seus direitos conforme as Leis de Proteção de Dados aplicáveis (“Solicitações de Titulares”).
Se o Cliente for incapaz de atender a uma Solicitação de Titular por conta própria pelo Serviço de Assinatura, então, mediante solicitação escrita do Cliente, a PariPassu prestará assistência razoável ao Cliente para responder a eventuais Solicitações de Titulares ou de autoridades de proteção de dados sobre o Tratamento de Dados Pessoais nos termos do Acordo. O Cliente reembolsará à PariPassu os custos comercialmente razoáveis decorrentes do referido auxílio.
Se a Solicitação de Titular ou outra solicitação sobre o Tratamento de Dados Pessoais nos termos do Acordo for feita diretamente à PariPassu, a PariPassu informará prontamente o fato ao Cliente e instruirá o Titular a enviar sua solicitação ao Cliente. Caberá unicamente ao Cliente responder a eventuais Solicitações de Titulares ou comunicações que envolvam Dados Pessoais.
5. Suboperadores
O Cliente concorda que a PariPassu pode contratar Suboperadores para tratar Dados Pessoais em nome do Cliente. No momento, a PariPassu nomeia como Suboperadores os Afiliados da PariPassu e terceiros listados em sua Página de Suboperadores. A PariPassu notificará o Cliente caso adicione ou remova Suboperadores da Página de Suboperadores antes de qualquer alteração, desde que o Cliente tenha optado por receber tais notificações por e-mail ao preencher os formulários.
Ao contratar Suboperadores, a PariPassu imporá termos de proteção de dados aos Suboperadores que garantam, no mínimo, o mesmo grau de proteção para os Dados Pessoais conforme o disposto no Acordo, observada a natureza dos serviços prestados por tais Suboperadores.
6. Transferências de dados
O Cliente concorda e reconhece que a PariPassu pode acessar e tratar Dados Pessoais em escala global conforme o necessário para prestar o Serviço de Assinatura conforme o Acordo e, em particular, que os Dados Pessoais serão transferidos e tratados pela PariPassu e em outras jurisdições em que os Afiliados da PariPassu e os Suboperadores tenham operações. A PariPassu garantirá que tais transferências sejam feitas de acordo com as exigências das Leis de Proteção de Dados.
Anexo 1 – Detalhes do Tratamento
Este Anexo faz parte do Acordo.
A. Natureza e finalidade do Tratamento
A PariPassu tratará os Dados Pessoais conforme necessário para prestar os Serviços de Assinatura em conformidade com o Acordo, conforme especificado em mais detalhes no Formulário de Pedido e instruído pelo Cliente em seu uso dos Serviços de Assinatura.
B. Duração do Tratamento
Sujeita à seção “Exclusão ou devolução de Dados Pessoais” deste Acordo, a PariPassu tratará Dados Pessoais durante a vigência do Acordo, salvo acordado de outra forma por escrito.
C. Categorias de Titulares
O Cliente poderá enviar Dados Pessoais ao usar o Serviço de Assinatura, cuja extensão é determinada e controlada a exclusivo critério do Cliente, podendo incluir, sem restrições, Dados Pessoais relativos às seguintes categorias de Titulares dos Dados:
Contatos do Cliente e outros usuários finais, incluindo funcionários, prestadores de serviços, colaboradores, clientes, prospects, fornecedores e subcontratados do Cliente. Os Titulares também poderão incluir pessoas físicas que tentarem se comunicar com os usuários finais do Cliente ou transferir Dados Pessoais a eles.
D. Categorias de Dados Pessoais
O Cliente poderá enviar Dados Pessoais aos Serviços de Assinatura, cuja extensão é determinada e controlada a exclusivo critério do Cliente, podendo incluir, sem restrições, as seguintes categorias de Dados Pessoais:
- Informações de Contato (conforme definido nos Termos de Serviço ao Cliente da PariPassu).
- Quaisquer outros Dados Pessoais que o Cliente ou seus usuários finais enviarem ou receberem pelo Serviço de Assinatura.
E. Categorias especiais de dados (se adequado)
As partes não preveem a transferência de categorias especiais de dados.
F. Operações de tratamento
Os Dados Pessoais serão tratados conforme o Acordo (incluindo este Acordo) e poderão estar sujeitos às seguintes atividades de Tratamento:
a. Armazenamento e outros Tratamentos necessários para prestar, manter e aperfeiçoar os Serviços de Assinatura prestados ao Cliente, como envio de e-mails; e/ou
b. Divulgação conforme o Acordo (incluindo este Acordo) e/ou conforme exigido pelas leis aplicáveis.
Anexo 2 – Medidas de Segurança
Este Anexo faz parte do Acordo.
No momento, a PariPassu segue as Medidas de Segurança descritas no presente Anexo 2. Todos os termos em letras maiúsculas não definidos de outra forma neste documento terão os mesmos significados definidos no Acordo.
a) Controle de acesso
i) Impedimento ao acesso não autorizado ao produto
Tratamento terceirizado: A PariPassu hospeda seu Serviço com fornecedores de infraestrutura em nuvem terceirizados. Além disso, a PariPassu mantém relacionamentos contratuais com fornecedores a fim de prestar o Serviço de acordo com o Acordo de Tratamento de Dados. A PariPassu confia nos pactos contratuais, nas políticas de privacidade e nos programas de conformidade de seus fornecedores para proteger os dados tratados ou armazenados por eles.
Segurança física e ambiental: A PariPassu hospeda a infraestrutura de seu produto com fornecedores de infraestrutura de multilocação terceirizados. Os controles físicos e ambientais de segurança são auditados quanto ao cumprimento de padrões e certificações.
Autenticação: A PariPassu implementou uma política uniforme de senhas para os produtos de seus clientes. Os clientes que interagem com os produtos via a interface de usuário devem passar por autenticação antes de acessar dados de clientes que não são públicos.
Autorização: Os Dados do Cliente são armazenados em sistemas de armazenamento de multilocação acessíveis aos Clientes somente por meio de interfaces de usuários de aplicativos e interfaces de programação de aplicativos. Os Clientes não têm acesso direto à infraestrutura de aplicativos subjacente. O modelo de autorização de cada um dos produtos da PariPassu é projetado para garantir que somente pessoas devidamente autorizadas consigam acessar recursos, visualizações e opções de personalização pertinentes. A autorização a conjuntos de dados é feita pela validação das permissões do usuário de acordo com os atributos associados a cada conjunto de dados.
Acesso por Interfaces de Programação de Aplicativos (API): As APIs públicas de produtos podem ser acessadas por uma chave de API ou por autorização com protocolo.
ii) Impedimento ao uso não autorizado ao produto
A PariPassu implementa controles de acesso e recursos de detecção que são padrão da indústria para as redes internas que atendem a seus produtos.
Controles de acesso: Os mecanismos de controle de acesso a redes são projetados para impedir que tráfego de rede com protocolos não autorizados alcance a infraestrutura dos produtos. As medidas técnicas implementadas variam conforme os fornecedores de infraestrutura e incluem implementações de Nuvem Privada Virtual (VPN, na sigla em inglês), atribuições de grupos de segurança e regras de firewall tradicionais.
Análise de código estático: Análises de segurança de códigos armazenados nos repositórios de código-fonte da PariPassu são feitas para verificar as melhores práticas de programação e falhas identificáveis em software.
A PariPassu utiliza metodologias de desenvolvimento de software, aceitos globalmente, que buscam garantir a qualidade dos sistemas desenvolvidos. Todas as novas versões dos sistemas passam por testes para garantir a qualidade e a segurança das informações armazenadas.
iii) Limitações de privilégios e requisitos de autorização
Acesso a produtos: Um subgrupo de funcionários da PariPassu tem acesso aos produtos e dados de clientes por meio de interfaces controladas. Os objetivos do acesso a um subgrupo de funcionários é a prestação de um suporte ao cliente eficaz, a solução de possíveis problemas, a detecção e a resposta a incidentes de segurança e a implementação da segurança de dados. O acesso é permitido por solicitações e todas essas solicitações ficam registradas. Os funcionários têm acesso de acordo com suas funções, e análises de concessões de privilégios de alto risco são feitas frequentemente. As funções dos funcionários são analisadas pelo menos uma vez a cada doze meses.
Verificações de histórico profissional: Todos os funcionários da PariPassu passam por uma verificação independente do histórico profissional antes de avançarem em uma proposta de trabalho, de acordo com as leis aplicáveis. Todos os funcionários são obrigados a se comportar conforme as diretrizes da empresa, exigências de confidencialidade e padrões éticos.
b) Controle de transmissão
Em trânsito: A PariPassu disponibiliza criptografia HTTPS (também chamada de SSL ou TLS) em todas as suas interfaces de login.A implementação HTTPS da PariPassu usa algoritmos e certificados que são padrão na indústria.
Em repouso: A PariPassu armazena as senhas dos usuários de acordo com políticas que seguem práticas de segurança que são padrão na indústria. A PariPassu implementou tecnologias para garantir que as senhas armazenadas fiquem criptografadas quando estiverem em repouso.
c) Controle de entrada
Detecção: A PariPassu projetou sua infraestrutura para registrar vastas informações sobre comportamento do sistema, tráfego recebido, autenticação do sistema e outras solicitações de aplicativos. Os sistemas internos agregam dados de registro e alertam determinados funcionários sobre atividades mal-intencionadas, não intencionais ou anômalas. O pessoal da PariPassu, incluindo as equipes de segurança, de operações e de suporte, respondem a incidentes conhecidos.
Anexo 3 – Cláusulas Contratuais Padrão
Para efeitos do Artigo para a transferência de dados pessoais a operadores estabelecidos em países terceiros que não garantem um nível adequado de proteção a dados, o Cliente, conforme definido nos Termos de serviço ao cliente da PariPassu (o “exportador de dados”)
E
PariPassu Aplicativos Especializados LTDA. (o “importador de dados”),
sendo cada um uma “parte”, e juntos, “partes”,
CONCORDAM com as seguintes Cláusulas Contratuais (as Cláusulas) a fim de aduzir proteções adequadas à proteção da privacidade e de direitos e liberdades fundamentais de pessoas naturais relacionados à transferência dos dados pessoais especificados no
Apêndice 1 entre o exportador de dados e o importador de dados.
Cláusula 1ª - Terceiros beneficiários
1. O titular, na qualidade de terceiro beneficiário, pode fazer valer, em face do exportador de dados: destas Cláusulas.
2. O titular pode fazer valer em face do importador de dados destas Cláusulas nos casos em que o exportador de dados tenha efetivamente desaparecido ou deixado de existir juridicamente, salvo se uma eventual entidade sucessora tiver assumido todas as obrigações jurídicas do exportador de dados por contrato ou por força de lei, assumindo, portanto, os direitos e obrigações do exportador de dados, caso no qual o titular pode fazer valer tais cláusulas em face de tal entidade sucessora.
3. O titular pode fazer valer em face do suboperador destas Cláusulas nos casos em que tanto o exportador de dados quanto o importador de dados tenham efetivamente desaparecido, deixado de existir juridicamente ou se tornado insolventes, salvo se uma eventual entidade sucessora tiver assumido todas as obrigações jurídicas do exportador de dados por contrato ou por força de lei, assumindo, portanto, os direitos e obrigações do exportador de dados, caso no qual o titular pode fazer valer tais cláusulas em face de tal entidade sucessora. Essa responsabilidade perante terceiros do suboperador ficará limitada às suas próprias atividades de tratamento nos termos das Cláusulas.
4. As partes não se opõem a um titular ser representado por uma associação ou outro órgão se a legislação nacional permitir e se o titular declarar expressamente que esta é sua vontade.
Cláusula 2ª - Obrigações do exportador de dados
O exportador de dados declara e garante:
(a) que o tratamento dos dados pessoais, incluindo a própria transferência deles, tenha ocorrido e que continuará ocorrendo de acordo com as disposições pertinentes das leis aplicáveis de proteção de dados (e, quando for o caso, que foi comunicado às autoridades competentes do Estado em que o exportador de dados está estabelecido) e que tal tratamento, incluindo a própria transferência, não violam as disposições pertinentes de tal Estado;
(b) que instruiu e instruirá, ao longo de toda a duração dos serviços de tratamento de dados pessoais, o importador de dados a tratar os dados pessoais transferidos somente em nome do exportador de dados e de acordo com as leis aplicáveis de proteção de dados e as Cláusulas;
(c) que o importador de dados fornecerá garantias suficientes em relação às medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 do presente contrato;
(d) que após avaliar as exigências das leis aplicáveis de proteção de dados, as medidas de segurança são adequadas para a proteção de dados pessoais contra destruição acidental ou ilegal, contra perda, alteração, divulgação ou acesso não autorizados em caráter acidental, em particular, quando o tratamento envolver a transmissão de dados por rede, e contra todas as outras formas de tratamento ilegal, e que tais medidas garantem um nível de segurança adequado aos riscos apresentados pelo tratamento e pela natureza dos dados a serem protegidos, considerando o estado da arte e o custo da implementação de tais medidas.
(e) que garantirá o cumprimento de tais medidas de segurança;
(f) que, se a transferência envolver categorias especiais de dados, o titular foi ou será informado antes ou assim que possível após a transferência de que seus dados poderiam ser transmitidos a um país terceiro que não oferece a proteção adequada a dados aos termos da LGPD;
(g) encaminhar eventuais notificações provenientes do importador de dados ou de qualquer suboperador conforme as Cláusulas à autoridade de controle de proteção de dados caso o exportador de dados decida continuar a transferência ou retirar a suspensão;
(h) disponibilizar, mediante solicitação dos titulares, uma cópia das Cláusulas, com exceção do Apêndice 2, e uma breve descrição das medidas de segurança, bem como uma cópia de qualquer contrato para serviços de subtratamento que deva ser feito de acordo com as Cláusulas, salvo se as Cláusulas ou o contrato contiverem informações comerciais, caso no qual tais informações comerciais poderão ser removidas;
(i) que, no caso de subtratamento, a atividade de tratamento seja desempenhada de acordo com as Cláusulas por um suboperador que ofereça, no mínimo, o mesmo nível de proteção a dados pessoais e os mesmos direitos de titulares que o importador de dados nos termos das Cláusulas; e
(j) que cumprirá a Cláusula 4(a) a (i).
Cláusula 3ª - Obrigações do importador de dados
O importador de dados declara e garante:
(a) tratar os dados pessoais em nome do exportador de dados e de acordo com as instruções dele e com as Cláusulas; se, por algum motivo, tal conformidade não for possível, o importador de dados concorda em notificar prontamente o exportador de dados acerca de tal impossibilidade, caso no qual o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;
(b) que não tem motivos para acreditar que a legislação aplicável a si o impeça de cumprir as instruções passadas pelo exportador de dados e suas obrigações previstas no contrato, e que, no caso de mudanças em tal legislação que tenham potencial para prejudicar as obrigações e garantias previstas pelas Cláusulas, o importador de dados prontamente notificará o exportador de dados assim que tomar ciência de tais mudanças, caso no qual o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;
(c) que implementou as medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 antes de tratar os dados pessoais transferidos;
(d) que comunicará prontamente o exportador de dados sobre:
(i) qualquer solicitação legalmente vinculante para divulgar dados pessoais feita por uma autoridade policial ou de fiscalização, salvo se não houver uma proibição que o impeça de fazer tal comunicação, como uma proibição na legislação penal para preservar a confidencialidade de uma investigação policial ou investigação;
(ii) qualquer acesso acidental ou não autorizado; e
(iii) qualquer solicitação recebida diretamente dos titulares, sem ter respondido a tal solicitação, salvo se houver autorização em contrário para fazê-lo;
(e) atender pronta e devidamente a todos os contatos do exportador de dados em relação ao tratamento de seus dados pessoais, sujeitando-se a transferir e a cumprir as orientações da autoridade de controle em relação ao tratamento dos dados transferidos;
(f) mediante solicitação do exportador de dados, submeter suas instalações de tratamento de dados a auditorias das atividades de tratamento cobertas pelas Cláusulas, que poderão ser conduzidas pelo exportador de dados ou por um órgão de inspeção composto por profissionais independentes devidamente qualificados e com a obrigação de confidencialidade, conforme a seleção pelo exportador de dados, quando aplicável, de acordo com a autoridade de controle;
(g) disponibilizar, mediante solicitação do titular, uma cópia das Cláusulas ou uma cópia de qualquer contrato para serviços de subtratamento, salvo se as Cláusulas ou o contrato contiverem informações comerciais, caso no qual tais informações comerciais poderão ser removidas, com a exceção do Apêndice 2, que será substituído por uma breve descrição das medidas de segurança nos casos em que o titular não conseguir obter uma cópia com o exportador de dados;
(h) que, no caso de subtratamento, já informou previamente ao exportador de dados e obteve seu consentimento prévio por escrito;
(i) que os serviços de tratamento por parte do suboperador serão prestados de acordo com as Cláusulas;
(j) enviar prontamente ao exportador de dados uma cópia de qualquer contrato com suboperador que for firmado nos termos das Cláusulas.
Cláusula 4ª - Responsabilidades
1. As partes concordam que qualquer titular que sofrer danos em decorrência da violação das obrigações mencionadas na Cláusulas por qualquer parte ou por um suboperador tem direito a receber indenização do exportador de dados pelos danos sofridos.
2. Se um titular não puder ajuizar uma ação indenizatória nos termos do parágrafo 1 em face do exportador de dados em decorrência de uma violação de qualquer das obrigações previstas nas Cláusulas por parte do importador de dados ou de seu suboperador, porque o exportador de dados efetivamente desapareceu, deixou de existir juridicamente ou se tornou insolvente, o importador de dados concorda que o titular poderá ajuizar uma ação em face do importador de dados como se ele fosse o exportador de dados, salvo se uma eventual entidade sucessora tiver assumido todas as obrigações jurídicas do exportador de dados por contrato ou por força de lei, caso no qual o titular poderá fazer valer seus direitos em face de tal entidade sucessora. O importador de dados não poderá se basear na violação de suas obrigações por parte de um suboperador para se esquivar de suas próprias responsabilidades.
3. Se um titular não puder ajuizar uma ação em face do exportador de dados ou do importador de dados nos termos dos parágrafos 1 e 2 em decorrência de uma violação por parte deles de qualquer das obrigações previstas nas Cláusula, porque tanto o exportador de dados quanto o importador de dados efetivamente desapareceram, deixaram de existir juridicamente ou se tornaram insolventes, o suboperador concorda que o titular poderá ajuizar uma ação em face do suboperador de dados em relação às suas próprias atividades de tratamento previstas nas Cláusulas como se ele fosse o exportador de dados ou o importador de dados, salvo se uma eventual entidade sucessora tiver assumido todas as obrigações jurídicas do exportador de dados ou do importador de dados por contrato ou por força de lei, caso no qual o titular poderá fazer valer seus direitos em face de tal entidade sucessora. A responsabilidade do suboperador ficará limitada às suas próprias atividades de tratamento nos termos das Cláusulas.
Cláusula 5ª - Mediação e jurisdição
1. O importador de dados concorda que se o titular invocar contra ele os direitos de terceiros beneficiários e/ou ajuizar ações indenizatórias nos termos das Cláusulas, o importador de dados aceitará a decisão do titular para:
(a) submeter a controvérsia para mediação por uma parte externa à relação ou, quando aplicável, pela autoridade de controle;
(b) submeter a controvérsia a tribunais do Estado onde o exportador de dados está estabelecido.
2. As partes concordam que a opção escolhida pelo titular não prejudicará seus direitos materiais ou processuais de buscar remédios jurídicos previstos em outras disposições ou na legislação internacional.
Cláusula 6ª - Cooperação com autoridades de controle
1. O exportador de dados concorda em entregar uma cópia deste contrato à autoridade de controle se assim for solicitado ou se tal entrega for exigida pelas leis aplicáveis de proteção de dados.
2. As partes concordam que a autoridade de controle tem o direito de conduzir uma auditoria no importador de dados e em qualquer suboperador que tenha o mesmo escopo e esteja sujeito às mesmas condições que se aplicariam a uma auditoria do exportador de dados nos termos das leis aplicáveis de proteção de dados.
3. O importador de dados prontamente comunicará ao exportador de dados sobre a existência de legislação aplicável a si ou a qualquer suboperador que impeça a condução de uma auditoria do importador de dados ou de qualquer suboperador nos termos do parágrafo 2. Neste caso, o exportador de dados terá direito a agir conforme previsto nas Cláusulas.
Cláusula 7ª - Lei regente
As Cláusulas serão regidas pelas leis do Estado onde o exportador de dados está estabelecido.
Cláusula 8ª - Alteração do contrato
As partes se comprometem a não alterar ou modificar as Cláusulas. Isso não impede as partes de adicionar cláusulas que versem sobre assuntos comerciais quando necessário, desde que tais cláusulas adicionais não sejam conflitantes com as Cláusulas.
Cláusula 9ª - Subtratamento
1. O importador de dados não subcontratará nenhuma de suas atividades de tratamento executadas em nome do exportador de dados nos termos das Cláusulas sem o consentimento prévio por escrito do exportador de dados. Caso o importador de dados subcontrate suas obrigações nos termos das Cláusulas, com o consentimento do exportador de dados, o importador de dados o fará somente por meio de um contrato por escrito com o suboperador, impondo a ele as mesmas obrigações a que o importador de dados assumiu conforme as Cláusulas. Caso o Suboperador descumpra suas obrigações de proteção de dados previstas em tal contrato por escrito, o importador de dados continuará sendo plenamente responsável perante o exportador de dados pelo cumprimento das obrigações do suboperador nos termos de tal contrato.
2. O contrato prévio por escrito entre o importador de dados e o suboperador também conterá uma cláusula de terceiros beneficiários conforme estabelecido nas Cláusulas para os casos em que o titular não puder ajuizar a ação indenizatória mencionada nas Cláusulas em face do exportador de dados ou do importador de dados, porque eles efetivamente desapareceram, deixaram de existir juridicamente ou se tornaram insolventes e nenhuma entidade sucessora assumiu todas as obrigações jurídicas do exportador de dados ou do importador de dados por contrato ou por força de lei. Essa responsabilidade perante terceiros do suboperador ficará limitada às suas próprias atividades de tratamento nos termos das Cláusulas.
3. As disposições relacionadas aos aspectos de proteção de dados para o subtratamento do contrato mencionado nas Cláusulas serão regidas pelas leis do Estado onde o exportador de dados está estabelecido.
4. O exportador de dados manterá uma lista de contratos de subtratamento firmados conforme as Cláusulas e comunicados pelo importador de dados conforme a Cláusula 5(j), atualizando-a ao menos uma vez por ano. A lista ficará disponível à autoridade de controle de proteção de dados do exportador de dados.
Cláusula 10ª - Obrigação após o término dos serviços de tratamento de dados pessoais
1. As partes concordam que, na ocasião do término dos serviços de tratamento de dados pessoais, o importador de dados e o suboperador, por opção do exportador de dados, devolverão todos os dados pessoais transferidos e suas respectivas cópias ao exportador de dados ou destruirá todos os dados pessoais e certificará ao exportador de dados que assim o fez, salvo se a legislação imposta ao importador de dados o impedir de devolver ou destruir, no todo ou em parte, os dados pessoais transferidos. Nesse caso, o importador de dados garante que manterá a confidencialidade dos dados pessoais transferidos e não mais os tratará de forma ativa.
2. O importador de dados e o suboperador garantem que, mediante solicitação do exportador de dados e/ou da autoridade de controle, submeterá suas instalações de tratamento de dados a uma auditoria das medidas mencionadas no parágrafo 1.
Apêndice 1 das Cláusulas Contratuais Padrão
Este Apêndice faz parte das Cláusulas.
Os termos definidos usados neste Apêndice 1 seguirão os significados dados a eles no Acordo (incluindo o Acordo).
Exportador de dados
O exportador de dados é a pessoa jurídica especificada como “Cliente” no Acordo.
Importador de dados
O importador de dados é a PariPassu.
Titulares
Consulte o Anexo 1 do Acordo, que descreve os titulares dos dados.
Categorias de dados
Consulte o Anexo 1 do Acordo, que descreve as categorias de dados.
Categorias especiais de dados (se adequado)
As partes não preveem a transferência de categorias especiais de dados.
Finalidades do Tratamento.
A PariPassu tratará dados pessoais conforme necessário para prestar os Serviços de Assinatura ao exportador de dados nos termos do Acordo.
Operações de tratamento
Consulte o Anexo 1 do Acordo, que descreve as operações de tratamento.
Apêndice 2 das Cláusulas Contratuais Padrão
Este Apêndice faz parte das Cláusulas.
Descrição das medidas técnicas e organizacionais de segurança implementadas pelo importador de dados conforme as Cláusulas:
Consulte o Anexo 2 do Acordo, que descreve as medidas técnicas e organizacionais de segurança implementadas pela PariPassu.
Apêndice 3 das Cláusulas Contratuais Padrão
Este Apêndice faz parte das Cláusulas.
Este Apêndice define a interpretação das partes de suas respectivas obrigações conforme os termos específicos das Cláusulas Contratuais Padrão (“Cláusulas”). Quando uma parte cumprir as interpretações estabelecidas neste Apêndice, a outra parte a considerará como tendo cumprido as obrigações previstas nestas Cláusulas.
Para os fins deste Apêndice, “Acordo” é o termo usado para se referir ao Acordo de Tratamento de Dados em vigor entre o Cliente e a PariPassu e ao qual estas Cláusulas são incorporadas. O significado de “Acordo” estará estipulado no Acordo.
Divulgação destas Cláusulas
a. O exportador de dados concorda que essas Cláusulas são Informações Confidenciais do importador de dados conforme o termo definido no Acordo e não poderão ser divulgadas pelo exportador de dados a terceiros sem o consentimento prévio por escrito do importador de dados, salvo se o Acordo permitir.
Suspensão das transferências de dados e rescisão
a. As partes reconhecem que o importador de dados poderá tratar os dados pessoais apenas em nome do exportador de dados e de acordo com as instruções dele e com as Cláusulas.
b. As partes reconhecem que se o importador de dados não puder cumprir tal conformidade por qualquer motivo que seja, ele concorda em notificar prontamente o exportador de dados acerca de tal impossibilidade, caso no qual o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato.
c. Se o exportador de dados tiver a intenção de suspender a transferência de dados pessoais e/ou rescindir estas Cláusulas, o exportador de dados notificará o importador de dados sobre isso e dará a ele um prazo razoável para sanar a não conformidade (“Prazo de Saneamento”).
d. Se, após o Prazo de Saneamento, o importador de dados não tiver conseguido sanar a não conformidade, o exportador de dados poderá suspender ou rescindir imediatamente a transferência de dados pessoais. O exportador de dados não será obrigado a fornecer tal notificação caso considere que há um risco significativo de prejudicar os titulares dos dados ou os dados pessoais deles.
Auditoria
a. O exportador de dados reconhece e concorda que exerce seu direito de autoria conforme as Cláusulas ao instruir o importador de dados a cumprir as medidas de auditoria descritas na Seção “Demonstração de conformidade” do Acordo.
Apresentação de contratos de suboperador
a. As partes reconhecem a obrigação do importador de dados de enviar prontamente ao exportador de dados uma cópia de qualquer contrato com suboperador secundário que for firmado nos termos das Cláusulas.
b. As partes reconhecem ainda que, conforme as restrições de confidencialidade do suboperador, o importador de dados pode estar impedido de divulgar os contratos de suboperador secundário ao exportador de dados. Não obstante, o importador de dados envidará esforços razoáveis para solicitar que qualquer suboperador apontado por ele permita a apresentação do contrato de suboperador ao exportador de dados.
c. Mesmo quando o importador de dados não puder apresentar um contrato de suboperador ao exportador de dados, as partes concordam que, mediante solicitação do exportador de dados, o importador de dados apresentará ao exportador de dados (de forma confidencial) todas as informações que razoavelmente considerar necessárias contidas em tal contrato de subtratamento.
Responsabilidade
a. Eventuais reclamações feitas segundo as Cláusulas estarão sujeitas aos termos e condições, incluindo, sem restrição, as exclusões e as limitações estabelecidas no Acordo. Em nenhuma hipótese as partes limitarão sua responsabilidade em relação aos direitos dos titulares dos dados previstos nestas Cláusulas.
Obrigação após o término dos serviços de tratamento de dados pessoais
O importador de dados concorda que o exportador de dados cumprirá sua obrigação de devolver ou destruir todos os dados pessoais na ocasião do término da prestação dos serviços de tratamento de dados em cumprimento da seção “Exclusão ou devolução de Dados Pessoais” do Acordo.
Política de Privacidade – Sistemas da PariPassu
Esta Política de Privacidade e Proteção de Dados visa esclarecer as práticas que serão adotadas em relação a coleta, uso, armazenamento, tratamento, proteção e divulgação das informações que serão fornecidas por qualquer pessoa que utilize ("Usuário") qualquer programa de computador de monitoramento e rastreamento de produtos na cadeia de abastecimento da Paripassu Aplicativos Especializados Ltda. por meio do website www.paripassu.com.br e/ou de qualquer aplicativo relacionado ("Softwares"), especialmente dados pessoais capazes de identificar o Usuário.
O Usuário deverá ler integralmente esta Política de Privacidade antes de utilizar ou submeter qualquer informação por meio dos Softwares. Esta Política de Privacidade aplicar-se-á ao uso dos Softwares por meio de qualquer dispositivo ou plataforma.
Ao acessar ou utilizar os Softwares, o Usuário concorda não apenas com esta Política de Privacidade, mas também com os Termos de Uso dos quais faz parte. Sempre que submeter informações por meio dos Softwares, o Usuário autoriza a coleta, uso, armazenamento, tratamento e divulgação de referidas informações de acordo com os termos desta Política de Privacidade.
As informações fornecidas pelo Usuário serão retidas apenas pelo prazo necessário para atender aos fins propostos pelos Softwares, observada a legislação aplicável. Serão adotadas todas as precauções razoáveis para resguardar as informações disponibilizadas pelo Usuário, as quais serão armazenadas em ambiente seguro e protegidas com os sistemas de segurança normalmente utilizados. O acesso às informações coletadas é restrito a pessoas autorizadas, os quais também estão obrigadas a observar esta Política de Privacidade.
O Usuário garante que todas as informações fornecidas são verdadeiras, precisas, estarão sempre atualizadas e que detém o direito de divulgá-las legalmente, sem violar direitos de terceiros, assumindo toda responsabilidade decorrente do descumprimento dessa garantia.
Quando o Usuário acessa os Softwares poderão ser enviados cookies para o equipamento utilizado no acesso com o propósito de aperfeiçoar o desempenho dos Softwares, bem como personalizar a experiência de acesso do Usuário. O Usuário tem toda liberdade para bloquear referidos cookies, no entanto, tal bloqueio poderá impedir o fornecimento de um acesso personalizado e, eventualmente, o Usuário de utilizar determinadas funcionalidades dos Softwares.
Durante o acesso e/ou a utilização dos Softwares pelo Usuário, serão armazenadas algumas informações para finalidades de segurança e/ou estatísticas. Tais informações poderão incluir os nomes dos provedores de acesso e de serviços de internet, a forma de acesso aos Softwares, o endereço IP do Usuário, bem como a região geográfica, data e horário de acesso.
As informações coletadas serão utilizadas para interesses comerciais legítimos, dentre os quais indica os seguintes propósitos:
(i) manter atualizados o cadastro do Usuário para eventual envio de informações, inclusive informativos;
(ii) comunicar-se com o Usuário para informar a implementação de novas funcionalidades dos Softwares;
(iii) aperfeiçoar a usabilidade e a interatividade dos Softwares; (iv) elaborar e comercializar análises estatísticas, bem como prestar serviços a terceiros, mantendo todavia o anonimato de cada Usuário e evitando que este possa ser individualizado e identificado; (v) responder a eventuais solicitações, comentários ou dúvidas do Usuário;
(vi) observar leis e regulamentos aplicáveis;
e (vii) realizar campanhas de comunicação e marketing de relacionamento, bem como divulgar ofertas especiais de parceiros.
Neste último caso, as mensagens enviadas obrigatoriamente trarão opção de cancelamento do envio daquele tipo de mensagem.
O Usuário reconhece e aceita que as informações fornecidas pelo Usuário poderão ser divulgadas, no todo ou em parte, para responder a ordens ou processos judiciais, bem como para investigar e/ou tomar quaisquer medidas contra eventual suspeita de atividade ilícita ou de violação a esta Política de Privacidade, aos Termos de Uso ou da legislação aplicável. Em qualquer outro caso, o Usuário será consultado previamente a divulgação de qualquer das informações fornecidas.
Esta Política de Privacidade aplica-se exclusivamente aos Softwares, não se aplicando ao acesso de sites de terceiros, ainda que o Usuário tenha sido direcionado para referidos sites de terceiros por meio de links disponibilizados nos Softwares. Portanto, é recomendável que o Usuário, ao ser redirecionado para sites externos, consulte a respectiva política de privacidade e os termos de uso antes de fornecer quaisquer informações.
Esta Política de Privacidade poderá sofrer aprimoramentos esporádicos, sendo que a versão atual estará sempre disponível nos Softwares para consulta periódica do Usuário. O acesso e a utilização dos Softwares após qualquer alteração desta Política de Privacidade constituem aceitação de referidas alterações pelo Usuário. Eventual alteração que reduza os direitos do Usuário dependerá de novo consentimento expresso deste.
Esta Política de Privacidade e Proteção de Dados faz referência ao documento registrado em cartório na data 08/09/2015.