Acordo de Processamento de Dados / Data Processing Agreement (DPA)  

  1. DEFINIÇÕES 

1.1. As partes declaram que, para o entendimento deste Acordo, adotaram a definição de:

I - LGPD como a Lei Federal 13.709/2018, também conhecida como Lei Geral de Proteção de Dados;

II - Dado pessoal como qualquer informação sobre pessoa natural identificada ou identificável. Desta forma, dado anonimizado não será considerado dado pessoal; 

III - Dado pessoal sensível como qualquer dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; 

IV - Titular dos dados pessoais, ou simplesmente Titular, como a pessoa natural a quem os dados pessoais se referem; 

V - Tratamento de dados como toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, ou qualquer outro; 

VI - Controladora como a pessoa a quem compete tomar as decisões referentes ao tratamento de dados pessoais; 

VII - Co-controladora como a pessoa a quem em conjunto com outro agente, determina as finalidades e os meios do tratamento de dados pessoais; 

VIII - Operadora como a pessoa a quem compete realizar o tratamento de dados pessoais em nome do controlador; 

IX - Sub Operadora como uma operadora de dados pessoais LICENCIANTE pela Operadora para auxiliar no cumprimento das finalidades estabelecidas neste DPA; e 

X - ANPD ou Autoridade Nacional de Proteção de Dados como órgão da Administração Pública Federal responsável por regulamentar, garantir a implementação e fiscalizar o cumprimento da LGPD, bem como aplicar as sanções administrativas previstas na lei. 

  1. TRATAMENTO DE DADOS PESSOAIS. 

2.1. As Partes concordam em cumprir e respeitar de forma ampla e geral as leis e regulações relativas à proteção de dados pessoais, incluindo, mas não se limitando a, a LGPD e a Lei Federal n.º 12.965/2014 (“Marco Civil da Internet”), responsabilizando-se cada Parte pelo uso indevido que fizer de tais dados pessoais em desacordo com a legislação aplicável. 

2.1.1. Para todos os fins deste Contrato e em conformidade com a LGPD, a LICENCIADA é qualificada como Controladora dos dados pessoais inseridos na Plataforma, sendo a única responsável por determinar as finalidades e as bases legais para o tratamento. A LICENCIANTE atuará estritamente como Operadora, tratando os dados pessoais em nome da LICENCIADA e de acordo com as suas instruções e os limites definidos neste Contrato."

2.2. A LICENCIANTE (Operadora) se compromete a tratar os dados pessoais inseridos ou disponibilizados pela LICENCIADA (Controladora) estritamente para a execução do Contrato principal, agindo sempre de acordo com as instruções lícitas da LICENCIADA e os limites estabelecidos neste Acordo.

2.3. As Partes se comprometem a não coletar e tratar qualquer dado pessoal ou dado pessoal sensível de forma ilegítima ou sem coletar autorizações porventura necessárias. Caso a LICENCIADA trate dados pessoais sensíveis por meio da Plataforma hunterstack.io, esta será considerada controladora autônoma deste processo de tratamento de dados pessoais para todos os fins de fato e de direito. 

2.4. A LICENCIADA declara que, caso utilize os dados coletados na execução do Contrato firmado para finalidades diversas das indicadas neste DPA, da natureza do contrato e/ou daquelas acordadas pelas Partes, a responsabilidade perante o titular dos dados será inteiramente sua, não agindo nestas hipóteses como co-controladora, mas como verdadeira e exclusiva controladora dos dados pessoais porventura tratados sem respaldo da anuência da LICENCIANTE. Assim, em tais hipóteses, a LICENCIADA fica sujeita às responsabilidades e consequências jurídicas cabíveis na forma do art. 42, § 1º, I, da LGPD. 

2.5. As Partes se comprometem a, durante o tratamento dos dados pessoais, utilizar todas as medidas técnicas e organizacionais apropriadas e razoavelmente necessárias para proteger a segurança dos dados tratados no contexto do Contrato firmado. 

2.6. A LICENCIADA declara que todos os seus colaboradores que tiverem acesso aos dados objetos da relação contratual em questão, estarão comprometidos com a confidencialidade das informações e com o atendimento dos termos deste Acordo, do contrato principal e/ou de outros acordos formalizados entre as Partes, no tocante ao cumprimento das normas de proteção de dados pessoais e privacidade. 

2.7. Caberá à LICENCIADA, na qualidade de Controladora em relação aos dados pessoais que coletar diretamente, bem como, que utilizar para realização do processo seletivo ou outra finalidade, as seguintes responsabilidades, dentre outras inerentes à sua condição: (i) transparência em relação às operações de tratamento realizadas e atendimento às solicitações dos titulares; (ii) definição das bases legais de tratamento de dados pessoais; (iii) coleta e gestão do consentimento, caso este se faça necessário ao tratamento do dado pessoal; (iv) fornecimento de acesso aos titulares que o solicitem. 

2.8. A LICENCIADA se obriga, ainda, a manter os registros de todas as atividades de tratamento dos dados pessoais realizadas no escopo do Contrato firmado, incluindo os registros de exclusão dos dados pessoais tratados, e as razões de tais exclusões, em conformidade com este DPA. 

  1. EXERCÍCIO DE DIREITOS. 

3.1. Caso a LICENCIANTE receba diretamente de um Titular qualquer requisição relativa aos seus dados pessoais, deverá notificar a LICENCIADA, na qualidade de Controladora, o mais breve possível, para que esta possa tomar as devidas providências para responder à solicitação. A LICENCIANTE se compromete a cooperar razoavelmente com a LICENCIADA para o atendimento de tais requisições.

3.1.1. A LICENCIADA se compromete a cumprir com suas obrigações em relação aos direitos dos titulares de dados, previstos na LGPD, quando tais direitos forem exercidos em face dos dados pessoais tratados direta ou indiretamente por ela, nos termos deste DPA. 

3.1.2. A LICENCIADA será integralmente responsável pelas consequências advindas de eventual responsabilização ou penalidades administrativas impostas pelo não atendimento ou atendimento inadequado às requisições de exercício de direitos, que digam respeito às suas atribuições, tanto as formuladas pela LICENCIANTE quanto as formuladas pelos Titulares, com especial destaque para as que tenham por objeto a exclusão ou a anonimização de dados pessoais destes. 

3.1.2.1. Tal responsabilidade inclui, mas não se limita a indenizações, multas e demais sanções impostas à LICENCIANTE pela ANPD, pelo Poder Judiciário ou outras autoridades competentes, em razão de eventual prejuízo causado ao Titular dos dados pessoais. 

3.1.3. A LICENCIADA se compromete a atender às referidas demandas e solicitações no prazo razoavelmente exigido na solicitação, de forma a viabilizar o atendimento tempestivo das solicitações dos titulares com base nos direitos previstos no artigo 18 da LGPD, tais como: 

I - Confirmação da existência de Tratamento; 

II - Acesso aos Dados Pessoais; 

III - Correção de Dados Pessoais incompletos, inexatos ou desatualizados; 

IV - Anonimização, bloqueio ou eliminação de Dados Pessoais desnecessários, excessivos ou tratados em desconformidade com a lei; 

V - Portabilidade dos Dados Pessoais; 

VI - Eliminação dos Dados Pessoais tratados com o consentimento, quando cabível; VII - Informação sobre entidades públicas e privadas com as quais foi realizado uso compartilhado de Dados Pessoais; 

VIII - Informação sobre a possibilidade de não fornecimento do consentimento e sobre as consequências da negativa; e 

IX - Revogação do consentimento. 

3.1.3.1. As requisições - que deverão ser observadas pela LICENCIADA - deverão ser cumpridas nos seguintes prazos a contar da data de requisição, os quais somente não serão observados quando a lei ou regulamentação exigir o cumprimento em prazo menor, caso em que deverá ser considerado o prazo legal: 

I - Exclusão dos Dados Pessoais: em até 30 (trinta) dias; 

II - Acesso aos Dados Pessoais tratados: em até 15 (quinze) dias; 

III - Demais solicitações: em até 15 (quinze) dias. 

3.1.4. Na hipótese de necessidade de dilação do prazo para atendimento do Titular por parte da LICENCIADA, o que somente será admitido em caso de impossibilidade técnica comprovada, esta deverá comunicar prontamente à LICENCIANTE, sob pena de arcar sozinha com eventuais penalidades e responsabilização derivada da inobservância de prazo legal ou regulamentar.

 

  1. EXCLUSÃO DE DADOS PESSOAIS.

4.1. Após atingida a finalidade do Tratamento quanto aos usos permitidos e/ou terminada a relação entre as Partes, ou ainda, se decidirem conjuntamente as Partes, poderá a LICENCIANTE destruir os dados pessoais, bloqueá-los ou garantir sua efetiva anonimização, mas se resguarda a possibilidade de armazenamento para fins de exercício regular de direitos. A LICENCIADA, por seu lado, se responsabiliza por quaisquer prejuízos porventura causados à LICENCIANTE em decorrência de tal fato, sobretudo nos casos em que a LICENCIANTE seja eventualmente acionada por Titular que possuir relação jurídica com a LICENCIADA e não possua os subsídios necessários ao exercício adequado do seu direito de defesa. 

4.2. A Parte que receber qualquer requisição de exclusão de Dados Pessoais advindas diretamente dos seus titulares deverá comunicar à outra Parte, antes da efetiva exclusão. 

4.2.1. Após efetivada a exclusão de dados pessoais mediante requisição, a LICENCIADA deverá enviar à LICENCIANTE evidências da exclusão dos dados pessoais, acompanhadas, se necessário, de declaração ou e-mail firmado por representante legal ou responsável técnico declarando a exclusão dos Dados Pessoais de forma irreversível, nos limites razoáveis da tecnologia existente. 

4.3. Em conformidade com as melhores práticas de mercado, cada Parte concorda em cumprir com a legislação aplicável, informando aos titulares dos Dados Pessoais, sempre que necessário, sobre o procedimento detalhado para se oporem ao tratamento de seus dados pessoais, assim como para solicitar sua exclusão, disponibilizando, por exemplo e se cabível, links que ofereçam tais possibilidades. 

 

  1. SUBCONTRATAÇÃO. 

5.1. A LICENCIANTE poderá armazenar e tratar os dados coletados durante a prestação de serviços em servidores de empresas localizados em outros países (“Suboperadora”). Sempre que solicitado pela LICENCIADA, a LICENCIANTE deverá informar com quais deles têm compartilhado os dados pessoais tratados. 

5.2. A relação contratual estabelecida com o Suboperadora deverá: (i) seguir, no mínimo, os mesmos parâmetros de segurança da informação e de proteção de dados pessoais estabelecidos neste Acordo; (ii) impor à Suboperadora a obrigação de cumprimento de todas as leis aplicáveis às atividades desempenhadas no âmbito da prestação dos serviços e execução das demais atividades previstas no Contrato, incluindo as normas sobre proteção de dados pessoais, privacidade e sigilo; e (iii) estabelecer obrigações de transferência de dados, de modo a manter os mesmos padrões de segurança e privacidade de dados estabelecidos no Contrato. 

  1. COMPARTILHAMENTO DE DADOS PESSOAIS. 

6.1. A LICENCIADA declara e reconhece que, em razão da natureza dos dados pessoais, somente será autorizada a comunicação e/ou o uso compartilhado de dados pessoais, para além das hipóteses já permitidas neste Acordo (que dizem respeito aos casos de contratação de Operadoras e Sub Operadoras), depois de prévio acordo entre as Partes ou de autorização do titular dos dados, principalmente se houver objetivo de obter vantagem econômica. 

6.2. Sempre que possível, os dados pessoais serão tratados e compartilhados de forma anonimizada, preservando a identidade das Partes e dos titulares dos dados pessoais. 

  1. SEGURANÇA. 

7.1. As Partes declaram que, durante o tratamento dos dados pessoais, utilizarão todas as medidas técnicas e organizacionais razoáveis para o cumprimento da legislação de proteção de dados pessoais perante os titulares, incluindo questões relativas a armazenamento, criptografia, controles de acesso (dupla autenticação, manutenção de inventário detalhado) e serviços de firewall, a fim de protegê-los contra perdas, destruições, alterações, divulgações e acessos não autorizados, sejam esses acidentais ou não, devendo adotar medidas para garantir adequada segurança contra os riscos apresentados em decorrência da natureza dos Dados Pessoais. 

  1. INCIDENTES DE SEGURANÇA. 

8.1. Em caso de incidente, a exemplo de acesso indevido, não autorizado, de vazamento ou perda de dados, decorrente de tratamento que seja de responsabilidade da LICENCIADA ou a respeito do qual esta venha a tomar ciência, esta deverá comunicar à LICENCIANTE a ocorrência, por escrito e imediatamente, até no máximo 24 (vinte e quatro) horas ou no prazo previsto em lei ou indicado pela ANPD (o que for menor), certificando-se do recebimento. 

8.2. Caso a LICENCIADA não disponha de todas as informações necessárias no momento de envio da comunicação, deverá enviá-las de forma gradual, de modo a garantir a maior celeridade possível, sendo certo que a comunicação com o máximo das informações indicadas deve ser enviada no prazo previsto em lei ou indicado pela ANPD. 

  1. AUDITORIAS. 

9.1. A LICENCIANTE se compromete a disponibilizar à LICENCIADA todas as informações necessárias para demonstrar o cumprimento das obrigações previstas neste Acordo e na legislação aplicável, permitindo e contribuindo para a realização de auditorias ou inspeções pela LICENCIADA ou por auditor por esta mandatado, mediante aviso prévio razoável de, no mínimo, 30 (trinta) dias.

9.2. A necessidade do aviso prévio referido nesta cláusula será dispensada em caso de fundada suspeita de ocultação de informações por parte da LICENCIADA ou de necessidade para o cumprimento de ordem judicial. 

  1. RESPONSABILIDADE E DIREITO DE REGRESSO 

10.1. A LICENCIADA será a única responsável, independentemente da necessidade de comprovação de culpa, por eventual acesso indevido, não autorizado e/ou além dos limites da autorização, a incidente, a perda de Dados Pessoais ou qualquer outro prejuízo decorrente do Tratamento de Dados Pessoais ou Dados Pessoais Sensíveis que estejam sob sua guarda, obrigando-se a indenizar as partes prejudicadas e a ressarcir todos os danos a que der causa à LICENCIANTE, aos Titulares de Dados e a terceiros, em qualquer esfera. 

10.2. A LICENCIADA se obriga a manter a LICENCIANTE livre de quaisquer ações ou reclamações que digam respeito aos danos que sejam de sua responsabilidade, sem prejuízo do direito de regresso da LICENCIANTE perante a LICENCIADA, aqui expressamente reconhecido, caso qualquer obrigação assumida no presente acordo seja descumprida e a LICENCIANTE venha a ser acionada por terceiros prejudicados. 

10.2.1. O direito de regresso abrangerá o que efetivamente o terceiro e/ou autoridade reclamante vier a obter na via administrativa, extrajudicial ou judicial, acrescidos de todos os dispêndios em que a LICENCIANTE tiver incorrido para a defesa de seus interesses, incluindo, sem a isto se limitar, custas judiciais, honorários advocatícios ora fixados em 20% (vinte por cento) sobre o valor despendido e emolumentos extrajudiciais.