(Versão 12/01/2024)
1. DEFINIÇÕES
1.1. Para os fins do presente Acordo, são consideradas as definições a seguir, conforme significado atribuído na Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados (“LGPD”), especialmente no artigo 5º e seus incisos:
a) “Dado Pessoal”/”Dados Pessoais”: informação relacionada a pessoa natural identificada ou identificável e, quando aplicável, poderá incluir Dado Pessoal Sensível, que seriam aqueles dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
b) “Titular”: pessoa natural a quem se referem os dados pessoais que são objeto de Tratamento;
c) “Controlador”: pessoa natural ou jurídica, de direito público ou privado, responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade deste tratamento;
d) “Operadora”: pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados em nome do Controlador, conforme a finalidade indicada;
e) “Tratamento”: toda operação realizada com Dados, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
f) “Contrato”: Contrato de Licenciamento da Plataforma Stilingue, ou simplesmente ficha contratual, firmado entre as Partes.
2. REGRAS GERAIS SOBRE O TRATAMENTO DE DADOS
2.1. No desenvolvimento de quaisquer atividades relacionadas à execução deste Contrato, as Partes observarão o regime legal da proteção de Dados Pessoais, empenhando-se em proceder ao tratamento de Dados Pessoais que venha mostrar-se necessário, no estrito e rigoroso cumprimento da Lei nº 13.709/2018 (a “Lei Geral de Proteção de Dados Pessoais” ou “LGPD”) e de normas e procedimentos que venham a ser publicados e/ou requeridos por entidades reguladoras e outras autoridades competentes, inclusive pela Autoridade Nacional de Proteção de Dados (“ANPD”), assegurando que seus colaboradores, prepostos, consultores, subcontratados e/ou prestadores de serviços também cumpram as disposições legais aplicáveis.
2.2. Para fins do Contrato, do qual este Acordo é parte integrante, o CLIENTE é considerado “CONTROLADOR” e a BLIP-STILINGUE é “OPERADORA” dos Dados Pessoais fornecidos pelo CLIENTE e trafegados na Plataforma Stilingue, conforme configuração feita pelo CLIENTE. Para fins de esclarecimento, no desempenho das atividades próprias da BLIP–STILINGUE relacionadas à gestão e ao aprimoramento da Plataforma, a BLIP–STILINGUE será considerada “Controladora Independente”, não tendo o CLIENTE qualquer ingerência ou responsabilidade sobre tais processos executados pela BLIP–STILINGUE.
2.3. Em razão do presente Contrato, o CONTROLADOR garante que os Dados Pessoais compartilhados com a OPERADORA estarão amparados por uma base legal válida, legítima e adequada para a(s) finalidade(s) do Tratamento em questão, na forma da legislação aplicável, mantendo a OPERADORA indene de qualquer responsabilidade nesse sentido.
2.4. As Partes deverão adotar medidas de segurança, técnicas e administrativas necessárias e adequadas para proteger os Dados Pessoais em sua confidencialidade, disponibilidade e integridade, não se limitando à proteção contra acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de Tratamento inadequado, ilícito ou em desacordo com as diretrizes técnico-normativas de agências reguladores, tais como a Agência Nacional de Proteção de Dados.
2.5. O CONTROLADOR poderá estar sujeito ao cumprimento de normas previstas em legislação específica de sua área de atuação, as quais não necessariamente serão obrigatórias à OPERADORA, tais como regras diferenciadas de armazenamento de dados.
2.6. A OPERADORA tratará os Dados Pessoais somente de acordo com as instruções definidas pelo CONTROLADOR, por meio da configuração feita por seus Usuários nos Painéis de Pesquisa disponíveis na Plataforma Stilingue. A a OPERADORA envidará esforços razoáveis para seguir todas as demais instruções do CONTROLADOR, desde que sejam exigidas pela Legislação Aplicável, tecnicamente viáveis e que não exijam mudanças no desempenho da Plataforma Stilingue.
2.7. Quando da inclusão de credenciais do CONTROLADOR para acesso a quaisquer dos serviços conectados através da Plataforma Stilingue, o titular de dados pode optar por disponibilizar dados específicos, incluindo Dados Pessoais, diretamente ao OPERADOR. Tais dados poderão constar de relatórios extraídos da Plataforma Stilingue, por exemplo, através do Produto Smart Care. Neste contexto, o CONTROLADOR é inteiramente responsável pelos Dados Pessoais que tiver acesso e compartilhados e sobre o tratamento que dará a estes dados, isentando a OPERADORA de qualquer responsabilidade.
2.8. Quando da contratação do Produto Smart Care, o CONTROLADOR reconhece a possibilidade de compartilhamento de imagens, vídeos, áudios e gifs através da Plataforma Stilingue. Neste contexto, o CONTROLADOR assume a responsabilidade total pelo conteúdo multimídia compartilhado, incluindo, mas não se limitando, o uso de dados e imagens de terceiros, assim como pelo prazo em que estes arquivos ficarão disponíveis nas conversas, isentando a OPERADORA de qualquer responsabilidade decorrente de violações relacionadas a esse compartilhamento de mídia.
3. OBRIGAÇÕES DO CONTROLADOR
3.1. São obrigações do CONTROLADOR:
a) garantir a plena conformidade, legitimidade, legalidade e observância aos preceitos da lei no tocante aos Dados Pessoais transferidos para Tratamento pela OPERADORA;
b) garantir a existência de uma base legal específica e claramente identificada prevista na legislação aplicável para compartilhar os Dados Pessoais com a OPERADORA, bem como os demais tratamentos realizados pela OPERADORA em nome do CONTROLADOR;
c) fornecer instruções detalhadas e específicas, estabelecendo regras para o tratamento de Dados Pessoais pela OPERADORA, respeitando não apenas os limites técnicos da Plataforma Stilingue, mas também estar em total conformidade com as normas de proteção de dados em vigor
d) comunicar prontamente e de maneira eficaz à OPERADORA quando decidir pelo cumprimento de qualquer pedido de acesso, retificação, portabilidade ou exclusão feito pelos titulares de Dados Pessoais;
e) através da figura do Usuário Master indicado em Contrato, gerenciar e realizar a gestão de acessos de seus colaboradores ou prepostos na Plataforma Stilingue, observando as regras de segurança adequadas, responsabilizando-se por todos os atos destes, bem como solicitações por estes realizadas perante à OPERADORA; e
f) quando aplicável, auxiliar a OPERADORA na elaboração de quaisquer relatórios de impacto à proteção dos Dados, bem como fornecimento de informações eventualmente exigidas pelas autoridades competentes.
3.2. O CONTROLADOR reconhece que o Tratamento dos Dados nas condições por ele estabelecidas conforme apontado neste Acordo, no Contrato e em suas orientações, exime a OPERADORA da responsabilidade por eventual ilicitude do Tratamento feito pelo CONTROLADOR, devendo este último assumir integralmente a responsabilidade pelas eventuais perdas e danos suportados pela OPERADORA e/ou terceiros.
4. OBRIGAÇÕES DA OPERADORA
4.1. São obrigações da OPERADORA:
a) tratar os Dados Pessoais para as finalidades deste Contrato ou finalidades indicadas pelo CONTROLADOR, bem como para a concepção e aperfeiçoamento da Plataforma Stilingue, responsabilizando-se pelos tratamentos por ela realizados;
b) realizar o Tratamento dos Dados de acordo com as instruções do CONTROLADOR, levando sempre em consideração a capacidade técnica da Plataforma Stilingue. Desde já, as Partes acordam que a OPERADORA não será obrigada a cumprir ou observar as instruções do CONTROLADOR se tais instruções estiverem em desacordo com as Leis de Proteção de Dados aplicáveis;
c) estabelecer mecanismos eficazes para Informar o CONTROLADOR rapidamente sobre o recebimento de qualquer solicitação dos titulares de Dados Pessoais em relação aos Dados Pessoais e auxiliá-lo na resposta às solicitações, garantindo que tenha todas as informações necessárias para cumprir com seus deveres previstos na LGPD;
d) informar ao CONTROLADOR caso se encontre em situação que a impeça e/ou esteja impedido de atender qualquer das orientações ou especificações recebidas ou estabelecidas na legislação aplicável, bem como no Contrato;
e) não utilizar os Dados Pessoais para finalidades distintas daquelas estabelecidas no Contrato e neste Acordo; e
f) não comunicar ou compartilhar os Dados Pessoais a terceiros sem a prévia autorização por escrito do CONTROLADOR, ressalvadas as hipóteses expressamente previstas neste Acordo, no Contrato e/ou seus Anexos.
5. INCIDENTES E COMUNICAÇÃO
5.1. Caso venha a ocorrer um Incidente (acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, que possam acarretar riscos ou danos relevantes aos titulares de dados) (“Incidente de Segurança”) com os Dados Pessoais tratados no escopo desta contratação, a Parte Infratora deverá comunicar a outra no prazo de 18h (dezoito horas), contado a partir da ciência inequívoca do incidente.
5.1.1. A referida comunicação deverá, sempre que possível, conter as seguintes descrições: (i) data e hora do Incidente; (ii) data e hora da ciência do Incidente; (iii) relação dos tipos de Dados Pessoais envolvidos no Incidente; (iv) relação de Titulares afetados pelo Incidente; (v) riscos identificados como consequência do Incidente, sejam eles de natureza técnica, operacional, legal ou regulatória; e (vi) indicação de medidas que estiverem sendo tomadas, bem como aquelas em vias de serem tomadas para reparar ou mitigar o dano e evitar novos Incidentes.
5.1.2. A notificação deverá ser enviada nos e-mails indicados no Contrato firmado pelas Partes.
5.2. As Partes acordam em não divulgar qualquer informação sobre o Incidente de Segurança a Terceiro, exceto nas seguintes hipóteses: (i) se ambas as Partes autorizarem prévia e expressamente, (ii) se houver obrigação legal que exija tal divulgação, ou ainda (iii) se ocorrer determinação de Autoridades Fiscalizadoras.
5.2.1. Na hipótese de ocorrência de Incidente de Segurança, seja ele qual for, as Partes ainda se comprometem a analisar todas as circunstâncias envolvidas e decidir, de forma conjunta, se este se enquadra na exigência legal de comunicação à Autoridade Nacional de Proteção de Dados. Caso decidam pela comunicação, as Partes devem cooperar para fornecer informações necessárias em conformidade com as exigências da Agência Nacional de Proteção de Dados.
6. COMPARTILHAMENTO
6.1. O CONTROLADOR reconhece e autoriza que para a execução do presente Contrato, a OPERADORA poderá realizar a contratação de terceiros processadores de dados com os quais poderá compartilhar os Dados Pessoais recebidos do CONTROLADOR, tais como provedores de nuvem e ferramentas de atendimento.
6.1.1. Em todos os casos, a OPERADORA se responsabilizará por todos seus suboperadores, bem como exigirá as obrigações e requisitos de Segurança da Informação que devem ser cumpridos, garantindo a conformidade com os termos estabelecidos neste Acordo.
7. SEGURANÇA DA INFORMAÇÃO
7.1. O CONTROLADOR declara ciência e concordância, que para a realização de quaisquer testes e avaliações, de forma automatizada ou manual, tais como (i) de segurança, incluindo, mas não se limitando à análise de vulnerabilidade e/ou (ii) de intrusão (ou Pentest) nos produtos, serviços ou infraestrutura da OPERADORA, deverá encaminhar previamente solicitação fundamentada de autorização formal e por escrito da OPERADORA, sendo facultado à OPERADORA negar a autorização requerida.
7.2. Caso o CONTROLADOR identifique no seu ambiente ou na sua interação com a Plataforma Stilingue, qualquer incidente de segurança que coloque em risco (i) a segurança, integridade e estabilidade da Plataforma Stilingue ou (ii) qualquer dos serviços prestados pela OPERADORA ou sua infraestrutura, tais como, mas não se limitando a, ataques envolvendo ransomware, comprometimento ou negação de serviço, o CONTROLADOR deverá, imediatamente, notificar a OPERADORA, fornecendo uma descrição detalhada do ocorrido, bem como as ações adotadas para reverter ou mitigar os efeitos do incidente, para que a OPERADORA possa avaliar a adoção de eventuais medidas de segurança, sem que isso transfira a responsabilidade do incidente à OPERADORA.
8. DISPOSIÇÕES FINAIS
8.1. Fica estabelecido o comprometimento do CONTROLADOR e da OPERADORA na elaboração de quaisquer relatórios de impacto à proteção dos Dados Pessoais, conforme determinação legal, bem como fornecimento de informações eventualmente exigidas pelas autoridades competentes.
8.2. As Partes se comprometem a comunicar uma à outra, com a maior brevidade possível e em tempo hábil, caso receba requerimento, notificação ou questionamento da autoridade competente ou do Titular a respeito dos Dados Pessoais.
8.3. Sob o comando expresso do CONTROLADOR, a OPERADORA deverá realizar, em prazo mínimo razoável, a exclusão inequívoca dos Dados Pessoais que, eventualmente, venham a ser compartilhados em razão deste Contrato, respeitada as hipóteses de guarda e armazenamento dos dados legalmente previstas.
8.4. A OPERADORA poderá realizar o tratamento dos Dados Pessoais necessários para a execução deste Contrato, para a concepção, adoção de melhorias e o desenvolvimento da Plataforma Stilingue e atividades da OPERADORA, com o objetivo de ofertar aos clientes do CONTROLADOR uma experiência de atendimento e comunicação eficiente, otimizada e personalizada.
8.4.1. O CONTROLADOR autoriza a OPERADORA a armazenar os dados mesmo após o término do Contrato, em bases proprietárias da OPERADORA, de forma anonimizada, para permitir a consecução das atividades dispostas na Cláusula 8.4.
8.5. A responsabilidade por descumprimento/inobservância de qualquer das obrigações aqui estabelecidas será apurada no formato descrito pela Cláusula de responsabilidade do Contrato, sem prejuízo das sanções legalmente previstas.
