Termos LGPD
1. As partes deverão seguir a legislação de proteção de dados aplicável, incluindo, mas não se limitando, à Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – “LGPD”). Neste sentido, as partes declaram que realizam o tratamento adequado aos dados e informações recebidas, mantendo sua confidencialidade e comprometendo-se a adotar todas as medidas técnicas organizacionais para garantir a segurança necessária para protegê-los de uso indevido, perda ou revelação não autorizada ou ilícita, garantindo que seus colaboradores, agentes, prepostos, subcontratados observem e cumpram seus dispositivos.
2. As partes reconhecem e concordam que, no que diz respeito ao tratamento dos dados pessoais e em conformidade com o artigo 6º, incisos VI e VII da Lei Geral de Proteção de Dados, entende-se por controlador: a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais e operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
2.1. A CONTRATADA, independentemente da CONTRATANTE deve avaliar os riscos para os direitos e liberdades das pessoas singulares inerentes ao tratamento de dados pessoais e aplicar medidas destinadas a atenuar esses riscos. Para tanto, a CONTRATANTE deve fornecer à CONTRATADA todas as informações necessárias para identificar e avaliar esses riscos.
2.1.1. Além disso, a CONTRATADA deve prestar assistência à CONTRATANTE para assegurar o cumprimento das obrigações relativas à LGPD, nomeadamente fornecendo à CONTRATANTE informações relativas às medidas técnicas e organizativas já aplicadas, bem como todas as outras informações necessárias para que a CONTRATANTE cumpra a obrigação que lhe incumbe por força da LGPD.
2.1.2. Se, posteriormente, na avaliação da CONTRATANTE, a mitigação dos riscos identificados exigir que a CONTRATADA aplique outras medidas além das já aplicadas por este, nos termos da LGPD, a CONTRATANTE deverá especificar essas medidas adicionais à CONTRATADA que será responsável por aplicá-las.
2.2. Tendo em conta a natureza do tratamento, a CONTRATADA deve prestar assistência à CONTRATANTE, por meio de medidas técnicas e organizativas adequadas, na medida do possível, para o cumprimento das obrigações da CONTRATANTE de resposta aos pedidos de exercício dos direitos do titular de dados previstos na LGPD. Isto implica que a CONTRATADA deve, na medida do possível, prestar assistência à CONTRATANTE no que diz respeito a:
1. confirmação da existência de tratamento;
2. acesso aos dados;
3. correção de dados incompletos, inexatos ou desatualizados;
4. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
5. portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
6. eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
7. informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
8. informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, e
9. revogação do consentimento, nos termos do § 5º do art. 8º da LGPD.
2.3. Para além da obrigação da CONTRATADA de prestar assistência à CONTRATANTE nos termos da LGPD, deve ainda, tendo em conta a natureza do tratamento e a informação ao seu dispor, prestar assistência à CONTRATANTE para assegurar o cumprimento:
1. da obrigação da CONTRATANTE de notificar a autoridade de controle competente, Autoridade Nacional de Proteção de Dados - ANPD, da violação de dados pessoais, sem demora injustificada e respeitando o prazo máximo a ser estipulado pela autoridade de controle, a menos que a violação de dados pessoais não seja suscetível de resultar em risco para os direitos e liberdades das pessoas singulares;
2. da obrigação da CONTRATANTE de comunicar, sem demora injustificada, a violação dos dados pessoais ao titular dos dados, sempre que a violação destes dados possa resultar num risco elevado para os direitos e liberdades das pessoas singulares, e
3. da obrigação da CONTRATANTE de efetuar uma avaliação do impacto das operações de tratamento previstas sobre a proteção de dados pessoais (avaliação do impacto na proteção de dados).
2.4. Em caso de qualquer violação de dados pessoais, a CONTRATADA deve notificar essa violação à CONTRATANTE, de maneira imediata, sem demora injustificada, após ter tido conhecimento de tal violação.
2.5. A CONTRATADA deve prestar assistência à CONTRATANTE na notificação da violação de dados pessoais à autoridade de controle competente, o que significa que impende sobre a CONTRATADA a obrigação de prestar assistência na obtenção das informações a seguir enumeradas e que devem ser indicadas na notificação da CONTRATANTE à autoridade de controle competente:
1. a natureza da violação dos dados pessoais, incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registros de dados pessoais em causa;
2. as consequências prováveis da violação de dados pessoais, e
3. as medidas adotadas ou propostas pela CONTRATANTE para reparar a violação de dados pessoais, inclusive, se o caso, medidas para atenuar os seus eventuais efeitos negativos.
2. As partes reconhecem e concordam que, no que diz respeito ao tratamento dos dados pessoais e em conformidade com o artigo 6º, incisos VI e VII da Lei Geral de Proteção de Dados, entende-se por controlador: a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais e operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
2.1. A CONTRATADA, independentemente da CONTRATANTE deve avaliar os riscos para os direitos e liberdades das pessoas singulares inerentes ao tratamento de dados pessoais e aplicar medidas destinadas a atenuar esses riscos. Para tanto, a CONTRATANTE deve fornecer à CONTRATADA todas as informações necessárias para identificar e avaliar esses riscos.
2.1.1. Além disso, a CONTRATADA deve prestar assistência à CONTRATANTE para assegurar o cumprimento das obrigações relativas à LGPD, nomeadamente fornecendo à CONTRATANTE informações relativas às medidas técnicas e organizativas já aplicadas, bem como todas as outras informações necessárias para que a CONTRATANTE cumpra a obrigação que lhe incumbe por força da LGPD.
2.1.2. Se, posteriormente, na avaliação da CONTRATANTE, a mitigação dos riscos identificados exigir que a CONTRATADA aplique outras medidas além das já aplicadas por este, nos termos da LGPD, a CONTRATANTE deverá especificar essas medidas adicionais à CONTRATADA que será responsável por aplicá-las.
2.2. Tendo em conta a natureza do tratamento, a CONTRATADA deve prestar assistência à CONTRATANTE, por meio de medidas técnicas e organizativas adequadas, na medida do possível, para o cumprimento das obrigações da CONTRATANTE de resposta aos pedidos de exercício dos direitos do titular de dados previstos na LGPD. Isto implica que a CONTRATADA deve, na medida do possível, prestar assistência à CONTRATANTE no que diz respeito a:
1. confirmação da existência de tratamento;
2. acesso aos dados;
3. correção de dados incompletos, inexatos ou desatualizados;
4. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
5. portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
6. eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
7. informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
8. informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, e
9. revogação do consentimento, nos termos do § 5º do art. 8º da LGPD.
2.3. Para além da obrigação da CONTRATADA de prestar assistência à CONTRATANTE nos termos da LGPD, deve ainda, tendo em conta a natureza do tratamento e a informação ao seu dispor, prestar assistência à CONTRATANTE para assegurar o cumprimento:
1. da obrigação da CONTRATANTE de notificar a autoridade de controle competente, Autoridade Nacional de Proteção de Dados - ANPD, da violação de dados pessoais, sem demora injustificada e respeitando o prazo máximo a ser estipulado pela autoridade de controle, a menos que a violação de dados pessoais não seja suscetível de resultar em risco para os direitos e liberdades das pessoas singulares;
2. da obrigação da CONTRATANTE de comunicar, sem demora injustificada, a violação dos dados pessoais ao titular dos dados, sempre que a violação destes dados possa resultar num risco elevado para os direitos e liberdades das pessoas singulares, e
3. da obrigação da CONTRATANTE de efetuar uma avaliação do impacto das operações de tratamento previstas sobre a proteção de dados pessoais (avaliação do impacto na proteção de dados).
2.4. Em caso de qualquer violação de dados pessoais, a CONTRATADA deve notificar essa violação à CONTRATANTE, de maneira imediata, sem demora injustificada, após ter tido conhecimento de tal violação.
2.5. A CONTRATADA deve prestar assistência à CONTRATANTE na notificação da violação de dados pessoais à autoridade de controle competente, o que significa que impende sobre a CONTRATADA a obrigação de prestar assistência na obtenção das informações a seguir enumeradas e que devem ser indicadas na notificação da CONTRATANTE à autoridade de controle competente:
1. a natureza da violação dos dados pessoais, incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registros de dados pessoais em causa;
2. as consequências prováveis da violação de dados pessoais, e
3. as medidas adotadas ou propostas pela CONTRATANTE para reparar a violação de dados pessoais, inclusive, se o caso, medidas para atenuar os seus eventuais efeitos negativos.