CONSTRUTOR DE VENDAS, pessoa jurídica de direito privado, inscrita no CNPJ/MF sob nº 11.224.696/0001-56, com sede na Cidade de, Estado, na, Bairro, neste ato representada na forma de seu contrato social (“Construtor de Vendas”), doravante denominada “Contratada” estabelece este Acordo de Tratamento de Dados Pessoais (DPA) para definir as regras de Tratamento dos dados pessoais de seus clientes no contexto da utilização do sistema Construtor de Vendas.
Ao contratar qualquer um dos produtos e/ou serviços oferecidos pela Contratada, o Contratante concorda e adere expressamente com os termos aqui estabelecidos.
CONSIDERANDO QUE:
(A) A Contratada, conforme o disposto no Contrato Principal e seus aditivos, presta serviços ou concede licenciamento de software à Contratante;
(B) No decorrer da prestação desses serviços ou do uso do software licenciado, a Contratada poderá realizar o Tratamento de dados pessoais de usuários e clientes finais da Contratante. Dada a necessidade de garantir a conformidade com a legislação de proteção de dados, as partes acordam regular, por meio deste documento, os termos e condições aplicáveis a esse Tratamento.
Resolvem as Partes estabelecer as obrigações de proteção e Tratamento de dados pessoais por meio do presente Acordo.
DEFINIÇÕES PARA FINS DE INTERPRETAÇÃO DESTE DOCUMENTO:
(i) “ANPD”: refere-se ao órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD e demais leis de proteção de dados no Brasil;
(ii) “Contrato Principal”: refere-se ao acordo formal assinado entre o Contratante e a Contratada, que estabelece os termos e condições gerais da relação comercial entre as partes. Este termo abrange as expressões "Contrato" e "Acordo Principal" e deve ser entendido como um documento distinto deste DPA.
(iii) “LGPD”: refere-se a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018);
(iv) “Dados Pessoais”: as informações relacionadas a pessoas naturais identificadas ou identificáveis (“Dados Pessoais”);
(v) “Contratada”: refere-se à parte que presta serviços ao contratante, assumindo as obrigações e responsabilidades estabelecidas no contrato principal e no presente DPA.
(vi) “Contratante”: refere-se à parte que contrata os produtos e/ou serviços da contratada, sendo o responsável pela execução das obrigações estabelecidas no contrato principal e neste DPA.
(vii) “Controladora”: refere-se a Empresa Contratante, responsável por tomar as principais decisões sobre o Tratamento de Dados Pessoais, incluindo a definição da finalidade, a natureza dos dados tratados e a duração do Tratamento. Cabe à Controladora fornecer instruções claras ao Construtor de Vendas (Operador), assegurando que o Tratamento seja realizado de acordo com suas diretrizes e a legislação aplicável. A Controladora mantém o controle sobre os elementos essenciais para o cumprimento da finalidade do Tratamento (“Controladora”);
(viii) Operador: CONSTUTOR DE VENDAS, que realiza o Tratamento de Dados Pessoais em nome da Controlador, seguindo suas instruções. No desempenho dessa função, o Operador pode definir aspectos operacionais e técnicos não essenciais do Tratamento, como a implementação de medidas técnicas de segurança;
(ix) “Titular de Dados Pessoais”: refere-se à pessoa natural a quem os Dados Pessoais, objeto de Tratamento, dizem respeito. O titular de dados tem direitos garantidos pela Lei Geral de Proteção de Dados Pessoais (LGPD), incluindo o acesso, correção, exclusão e outras formas de controle sobre como seus dados são coletados, utilizados e armazenados durante o Tratamento;
(x) “Tratamento”: toda e qualquer operação realizada com Dados Pessoais, como as que se referem a produção, coleta, recepção, classificação, acesso, utilização, reprodução, transmissão, distribuição, processamento, armazenamento, arquivamento, eliminação, avaliação ou controle da informação, comunicação, modificação, transferência, difusão ou extração.
(xi) “Partes”: refere-se ao contratante, que contrata os serviços da contratada, sendo responsável pela execução das obrigações estabelecidas no contrato principal, e à contratada, que presta serviços ao contratante, assumindo as obrigações e responsabilidades estabelecidas no contrato principal. As Partes são responsáveis pelo cumprimento das disposições acordadas no presente documento, garantindo a conformidade com a legislação aplicável ao Tratamento de Dados Pessoais.
(xii) “Plataforma:” Para fins de interpretação deste DPA, o termo "Plataforma" refere-se a um ambiente tecnológico que integra diferentes componentes, incluindo, mas não se limitando a, sistemas SaaS (Software as a Service), softwares, aplicativos e outras soluções digitais. A Plataforma pode incluir recursos como armazenamento de dados, interfaces de usuário, APIs (Application Programming Interfaces) e outras ferramentas que possibilitam a otimização de processos e a melhoria da experiência do usuário.
(xiii) “Titular de Dados Pessoais”: refere-se à pessoa natural a quem se referem os Dados Pessoais que são objeto de Tratamento.
1. TRATAMENTO DE DADOS PESSOAIS
1.1. Cada uma das Partes declara e garante que conhece, respeita e continuará respeitando a legislação referente à proteção de Dados Pessoais, especialmente a Lei Geral de Proteção de Dados Pessoais (“LGPD”) e o Marco Civil da Internet, no âmbito de suas respectivas responsabilidades.
1.2. A Controladora é exclusivamente responsável por assegurar que todas as autorizações e consentimentos necessários foram obtidos dos titulares de dados, quando aplicáveis, e por garantir que os titulares sejam informados de forma transparente sobre o Tratamento de seus Dados Pessoais. Além de garantir que o Tratamento realizado possui a respaldo legal adequado e que as demais instruções seguem fielmente a LGPD. O operador, por sua vez, compromete-se a realizar o Tratamento de Dados Pessoais exclusivamente em nome da Controladora, dentro dos limites estabelecidos por esta e conforme suas instruções legais, de acordo com suas atribuições sob a LGPD.
1.3. O Operador deverá tratar os Dados Pessoais conforme instruções da Controladora e não receberá nenhuma instrução diretamente do Titular de Dados Pessoais, exceto nos casos em que autorizado pela Controladora e/ou pela legislação aplicável.
1.4. Os Dados Pessoais tratados pelo operador serão coletados, armazenados e utilizados sob as instruções da Controladora, exclusivamente para as seguintes finalidades:
a) Cumprimento de obrigações contratuais estabelecidas entre as Partes;
b) Execução de deveres legais da Controladora e/ou do Operador, quando aplicável;
c) Exercício de direitos em processos judiciais ou administrativos, caso necessário;
d) Melhoria e aprimoramento das funcionalidades dos serviços e produtos do Operador e de seus parceiros, assim como para a elaboração de estatísticas e estudos gerais. Nessas situações, os Dados Pessoais serão tratados de forma a garantir a confidencialidade, preferencialmente de modo anonimizado, sempre que possível, e sem identificar ou especificar o Titular de Dados Pessoais.
1.5. A Controladora autoriza expressamente que o Operador realize transferências internacionais de Dados Pessoais para a única e exclusiva intenção de cumprir com as finalidades previstas no Contrato Principal, restando vedadas quaisquer transferências transfronteiriças que possuam finalidades distintas.
2. OBRIGAÇÕES DO OPERADOR RELACIONADAS À PROTEÇÃO DE DADOS PESSOAIS
2.1. Com relação à proteção de Dados Pessoais, o Operador obriga-se:
a) A tratar os Dados Pessoais apenas na medida necessária para executar o objeto contratual, nos termos do Contrato Principal e aditivos firmados a Controladora, nos limites do Acordo;
b) A não utilizar os Dados Pessoais para qualquer outra finalidade que não seja a necessária para execução do objeto contratual, nos termos do estabelecidos com a Contratante e dentro dos limites do Acordo;
c) A garantir que os empregados, assessores e/ou representantes que necessitem tratar os Dados Pessoais, no âmbito da [execução do objeto contratual] sejam submetidos a medidas gerenciais e técnicas de segurança de Dados Pessoais, a exemplo de compromissos de confidencialidade, capacitação, conscientização adequada sobre a proteção de Dados Pessoais;
d) A informar a Controladora se, em sua opinião e dadas às informações à sua disposição, uma instrução infringir as disposições da LGPD;
e) Exceto se de outra forma determinado pela legislação aplicável ou por decisão cautelar da autoridade competente, informar imediatamente à Controladora em caso de recebimento de solicitações da ANPD e/ou outro órgão competente relacionado aos Dados Pessoais, e a limitar a comunicação de tais Dados Pessoais ao que a autoridade tenha expressamente requisitado;
f) Mediante solicitação por escrito da Controladora, fornecer assistência razoável na realização de avaliações de impacto sobre a proteção de dados e consultas prévias à ANPD ou outro órgão competente, com um prazo mínimo de 48 horas a partir do recebimento da solicitação;
g) A divulgar os dados de contato do encarregado pelo Tratamento de dados nomeado, nos termos da LGPD e das orientações emanadas da Autoridade Nacional de Proteção de Dados;
h) O Operador, durante o Tratamento de Dados Pessoais deverá aplicar medidas técnicas e organizacionais adequadas ao intuito de garantir a segurança dos Dados Pessoais, incluindo a proteção contra uma violação da segurança, que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou os acessos não autorizados (“Violação de Dados Pessoais”);
i) O Operador se compromete a disponibilizar a extração e /ou realizar a exclusão de todos os Dados Pessoais que vier a tratar, nos casos em que a Controladora realizar a solicitação de tais dados e em situações de término do Contrato Principal, respeitando os prazos que serão acordado entre as Partes no referido Contrato.
2.2. O Operador compromete-se a implementar medidas de segurança, técnicas e administrativas aptas a proteger os Dados Pessoais tratados em relação ao Acordo.
2.3. O operador compromete-se, ainda, a disponibilizar à Controladora os documentos e/ou informações necessárias e que estiverem disponíveis no momento, para demonstrar o cumprimento dos requisitos legais e contratuais acima. Ressaltamos que documentos que não sejam imprescindíveis e que possam comprometer informações confidenciais, restritas, de produto, de negócio e propriedade intelectual, bem como as obrigações de confidencialidade firmadas perante terceiros e segredos de negócio não serão compartilhados. Além disso, os documentos disponibilizados devem ser tecnicamente viáveis e fazer parte das responsabilidades do Operador em conformidade com a LGPD.
2.4. Caso o operador a seu critério constate que a Plataforma do Operador esteja sendo utilizada para quaisquer fins ilegais, ilícitos, que afrontem a legislação de proteção de Dados Pessoais ou contrários à moralidade, pela Contratante ou por quaisquer de seus colaboradores e/ou representantes, o operador comunicará a Controladora para que cesse o uso da Plataforma Contratada no prazo máximo de cinco dias a contar da notificação enviada pela Contratada à Contratante.
3. VIOLAÇÃO DE DADOS PESSOAIS
3.1. O Operador deverá notificar a Controladora em até 72 (setenta e duas) horas, contadas a partir da ciência do evento, caso tenha conhecimento de incidente e/ou violação que possa acarretar riscos ou danos relevantes aos Titulares de Dados Pessoais, a fim de permitir a Controladora, a tomar todas as medidas necessárias e cumprir a sua obrigação de notificar a violação de dados à Autoridade Nacional de Proteção de Dados, conforme art. 48 da LGPD, se for o caso (“Notificação de Incidentes”). O Operador deverá documentar eventuais incidentes, que não tenham potencial de impacto ou dano relevante ao titular, juntamente com as medidas e planos de ações implementados para mitigar os efeitos desses incidentes.
3.2. A Notificação de Incidentes deverá:
(i) descrever a natureza do incidente;
(ii) descrever as consequências prováveis do incidente;
(iii) descrever as medidas tomadas ou propostas pelo operador em resposta ao incidente; e
(iv) fornecer o contato do encarregado pelo Tratamento dos Dados Pessoais do Operador.
3.3. O Operador deverá notificar a Controladora em até 24 (vinte e quatro) horas úteis, acerca de qualquer ordem, emitida por autoridade judicial ou administrativa (incluindo a ANPD), que tenha por objetivo obter quaisquer informações relativas ao Tratamento de Dados Pessoais. Após a notificação, o Operador compromete-se a, em tempo hábil, encaminhar à Controladora uma cópia da ordem recebida e as informações que serão fornecidas em cumprimento a tal ordem, sempre que possível.
3.4. O Operador será responsável pelos prejuízos e danos eventualmente causados à Controladora e/ou seus clientes finais, desde que, estes sejam devidamente comprovados e causados exclusivamente por ela e/ou por seus Subcontratados no âmbito da [execução contratual/prestação dos serviços].
3.5. As Partes concordam que, em caso de litígio relacionado ao Tratamento de Dados Pessoais, a parte que for demandada judicialmente poderá requerer a denunciação da lide, conforme previsto no artigo 125, II, do Código de Processo Civil. Tal denunciação poderá ser requerida tanto pela Controladora quanto pelo operador, conforme aplicável, caso uma das Partes entenda que a outra ou um terceiro tem responsabilidade pelos prejuízos decorrentes do litígio.
4. SUBCONTRATAÇÃO
4.1. O Operador está autorizada pela Controladora a subcontratar [parte da prestação dos serviços/licenciamento do Software objeto do [Contrato] para outras entidades, desde que estritamente necessária ao devido cumprimento das finalidades previstas neste Contrato (“Subcontratados”).
4.2. Os Subcontratados estarão igualmente sujeitos ao devido cumprimento das finalidades previstas neste Contrato, assim como o Operador será a única responsável pela sua escolha e pela atuação desses no presente Contrato, obrigando-se a garantir que os Subcontratados cumprirão o disposto na LGPD e devendo tal obrigação constar nos contratos escritos que o Operador celebre com os Subcontratados.
5. COMPARTILHAMENTO DE DADOS PESSOAIS
Os Dados Pessoais da Controladora poderão ser compartilhados pelo Operador com terceiros nas seguintes hipóteses:
(a) Sucessão empresarial, como em casos de fusão, aquisição ou incorporação,condicionada à comunicação prévia pelo Operador;
(b) Contratação de serviços de processamento de dados junto a terceiros (suboperadores), como hospedagem de dados, sistemas de processamento (serviços de software em nuvem), consultoria em tecnologia da informação, procedimentos de restauração e enfrentamento a incidentes, representação de direitos em procedimentos judiciais e/ou administrativos;
(c) Compartilhamento com empresas do mesmo grupo econômico do operador, visando a integração, administração, ou suporte às operações, desde que respeitadas as finalidades originalmente previstas e as exigências legais aplicáveis.
6. AUDITORIA E INSPEÇÃO
6.1. O Operador se compromete a fornecer à Controladora toda informação necessária para demonstrar conformidade com o presente Acordo, desde que sejam documentos que o Operador tenha a obrigação de disponibilizar, conforme suas responsabilidades e atribuições sob a LGPD. No entanto, documentos que não sejam imprescindíveis para esse fim e que possam comprometer informações sigilosas de produto, de negócio ou de propriedade intelectual não serão compartilhados.
6.2. A Controladora, poderá auditar, de modo on-line, o cumprimento das obrigações do Operador previstas no Contrato, com o acompanhamento de colaborador disponibilizado por parte do Operador, sendo que o custo da auditoria será arcado totalmente pela Controladora.
A auditoria deve obrigatoriamente atender às seguintes condições:
(a) tenham o escopo único e exclusivo de atestar o cumprimento de obrigações relativas à proteção e privacidade de Dados Pessoais;
(b) não incorra em violação do sigilo comercial, do direito de propriedade intelectual do Operador ou de terceiros; e
(c) seja tecnicamente viável e razoável sua realização, sem comprometer a segurança e integridade dos sistemas do Operador ou causar impacto negativo em suas operações, o que será apurado a partir de formalização com antecedência mínima de 30 (trinta) dias do objeto da auditoria, suas finalidades e escopo; e
(d) as informações a serem auditadas estejam de acordo com o papel e as responsabilidades do operador perante a LGPD, garantindo que apenas informações relevantes e adequadas ao cumprimento das obrigações contratuais sejam compartilhadas.
7. DIREITOS DO TITULAR DE DADOS
7.1. A Controladora responsabilizar-se-á por informar os titulares de dados sobre os seus direitos, e por respeitar esses direitos, incluindo os direitos de acesso, exclusão, limitação, portabilidade ou eliminação de dados.
7.2. O operador fornecerá cooperação e assistência, conforme seja exigido para responder aos pedidos dos titulares de dados. A cooperação e a assistência podem consistir em:
(i) comunicar a Controladora sobre qualquer solicitação recebida diretamente do titular de dados; e
(ii) fornecer apoio à Controladora no que se refere a informações e medidas necessárias para facilitar o exercício desses direitos.
7.3. A Controladora reconhece e concorda que nas hipóteses em que a cooperação e assistência, conforme estabelecidas na Cláusula 6.2 acima, exigirem recursos significativos do operador, tais como tempo, mão de obra, tecnologia e outros meios que demandem investimentos consideráveis, este esforço será exigível mediante aviso prévio e acordado entre as partes. Isso inclui situações em que o Operador necessite alocar pessoal adicional, implementar medidas técnicas ou realizar adaptações em seus sistemas para atender às solicitações adicionais da Controladora, assegurando que ambas as partes estejam cientes e de acordo com os impactos e custos envolvidos.
8. ELIMINAÇÃO DE DADOS PESSOAIS
8.1. Após o término do Contrato, ao Operador poderá, para fins de auditoria, determinação legal e/ou preservação de direitos, preservar dados de acordo com as finalidades próprias, sendo que neste caso, com o fim do prazo de armazenamento, será realizada a exclusão de todos os Dados.
8.2. Em caso de dificuldade na exclusão imediata dos dados em backups ou arquivos, o Operador compromete-se a torná-los inacessíveis para uso e a excluí-los assim que tecnicamente viável.
9. EXCLUSÃO E LIMITAÇÃO DE RESPONSABILIDADE
9.1. Caso o Operador realize algum Tratamento de Dados Pessoais de acordo com as instruções e dentro do escopo do contrato com a Controladora, e o respectivo Tratamento for considerado inadequado, a responsabilidade pelo dano ou violação causados será exclusivamente da Controladora
9.2. A responsabilidade civil do Operador durante sua atuação no presente Contrato está limitada a perdas reais diretamente incorridas pela Controladora e quando devidamente comprovado culpa exclusiva do Operador na forma da Lei Civil. A responsabilidade civil do Operador está restrita às perdas reais diretamente incorridas pela Controladora e não se estende a lucros cessantes, exceto nos casos de má-conduta intencional ou negligência grave por parte do Operador.
9.3. O Operador não garante a impossibilidade de ocorrência de eventos danosos. Dada a possibilidade de falhas ou má-fé por parte de seus próprios usuários, ou ainda de ações maliciosas de terceiros, a Controladora reconhece que a responsabilidade civil e administrativa do Operador se limita exclusivamente aos danos decorrentes de incidentes de segurança causados por conduta culposa ou deliberada do próprio Operador ou de seu corpo funcional.
10. DISPOSIÇÕES GERAIS
10.1. A Controladora é e continuará sendo a proprietária dos dados, assim como será responsável por quaisquer dados de terceiros, inclusive Dados Pessoais, que inserir no Software/Plataforma de propriedade do Operador, no âmbito deste Contrato;
10.2. A Controladora não poderá invocar o descumprimento do Operador para se eximir de suas próprias responsabilidades quanto aos Dados Pessoais.
10.3. Os termos e condições do DPA integram todos os contratos de licenciamento e e serviços firmados e a serem firmados entre a Controladora e o Operador para todos os fins, sendo que as disposições aqui contidas prevalecem sobre eventuais disposições conflitantes sobre os Dados e o Tratamento previstos no Contrato Principal.
11. CONTATOS, DÚVIDAS E SOLICITAÇÕES
11.1. Para esclarecimentos, dúvidas e solicitações de qualquer natureza relacionadas ao Tratamento de Dados Pessoais e aos termos da presente declaração, a Refera se colocará à disposição para contato por e-mail os encarregados pelo Tratamento de Dados Pessoais nomeado: Luiz Augusto Guimarães Espinola e Camila Bachirotto pelo e-mail: [email protected].
10.2. As comunicações referentes à ocorrência de incidente de segurança deverão ser classificadas como confidenciais, com o emprego de recursos que assegurem que o destinatário efetivamente a receba.
10.3. Fica eleito o foro da comarca de Florianópolis para o processamento e avaliação de qualquer tipo de controvérsia, conflito ou litígio associado aos fatos regrados por este instrumento.
