ACORDO DE PROCESSAMENTO DE DADOS PESSOAIS (DPA) (Revisado em 26/01/2021)


ACORDO DE PROCESSAMENTO DE DADOS PESSOAIS (DPA)


ANLIX ANÁLISE E PROGRAMAÇÃO DE SISTEMAS LTDA., sociedade empresária limitada, inscrita no CNPJ sob o nº 29.330.934/0001-73, com sede à Rua Hélio de Almeida, s/n (Incubadora de empresas da COPPE), Cidade Universitária, Rio de Janeiro/RJ, CEP 21.941-614, doravante denominada “Anlix” ou “Operador” e pessoa jurídica designada “Contratante” ou “Controlador”, devidamente qualificada no Termo de Declaração e Adesão (“Termo de Adesão”), documento que é parte integrante das CONDIÇÕES GERAIS DE CONTRATAÇÃO DO CONTRATO DE LICENCIAMENTO DE SOFTWARE COMO PRESTAÇÃO DE SERVIÇO (SAAS) DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO (TIC), doravante denominado “Acordo de Processamento de Dados Pessoais” ou (“DPA”), mediante cláusulas e condições abaixo.


Considerando que:

1. As Partes firmaram nesta data o Contrato de Licenciamento de Software como Prestação de Serviço (SaaS) de Tecnologia da Informação e Comunicação (TIC), “Contrato”, no qual se obrigam a respeitar a legislação em vigor aplicável ao Tratamento de Dados Pessoais, em especial à Lei Geral de Proteção de Dados, Lei n° 13.709, de 14 de agosto de 2018 (LGPD).


2. Nos termos do “Contrato”, a Contratante poderá transferir à Anlix Dados Pessoais necessários à realização dos Serviços.


3. Conforme definido nos art.5° incisos VI e VII da LGPD e para todos os fins de direito, incluindo, mas não limitado para os fins de execução do Contrato, considera-se a “Controlador” a Contratante e “Operador” a Anlix.


1. DO OBJETO


1.1. Objeto. O presente Acordo tem por objeto definir as condições nas quais a Anlix, na qualidade de Operador, se engaja por conta e ordem da Contratante, na qualidade de Controlador, a realizar operações de Tratamento de Dados Pessoais conforme definidas a seguir, assegurando sua proteção e conforme a legislação em vigor aplicável mencionada acima.


2. DAS DEFINIÇÕES


2.1. Definições. As palavras, expressões e abreviações com as letras iniciais maiúsculas, não definidas em outras partes deste Acordo, no singular ou no plural, terão o significado atribuído a elas nesta Cláusula, exceto se expressamente indicado de outra forma:


a. Dado Pessoal: Informação relacionada a pessoa natural identificada ou identificável a ser tratada pela Anlix sob as instruções e por conta da Contratante, nos termos deste Acordo. Considera-se “identificável” uma pessoa natural que possa ser identificada, direta ou indiretamente, seja através de referências a números de identificação, seja através de outros elementos que lhe são próprios.


b. Usuário ou Titular: Pessoa natural titular dos Dados Pessoais que são objeto de Tratamento.


c. Controlador: Aquele que determina as finalidades e os meios do Tratamento dos Dados Pessoais e a quem compete as decisões referentes a esse Tratamento.


d. Operador: Aquele que realiza o Tratamento dos Dados Pessoais sob a autoridade, sob as instruções e por conta do Controlador.


e. Tratamento: Toda operação realizada pelo Operador por conta e ordem do Controlador comportando os Dados Pessoais, tais como a coleta, o registro, a organização, a estruturação, a conservação, a adaptação ou modificação, a extração, a consulta, a utilização, a divulgação, a difusão ou qualquer outra forma de disposição, a conciliação ou interconexão, bem como a limitação, a eliminação ou a destruição.


f. Violação de Dados Pessoais: Designa uma violação de segurança que provoque de maneira acidental ou ilícita, a destruição, a perda, a alteração, a corrupção, o desvio de finalidade, o comprometimento da confidencialidade ou a divulgação não autorizada dos Dados Pessoais transferidos, conservados, tratados ou o acesso não autorizado aos Dados Pessoais.


Em caso de conflito ou de ambiguidade entre as disposições do presente Acordo e as do Contrato, prevalecerão as do presente Acordo.


3. DAS DESCRIÇÕES DOS TRATAMENTOS REALIZADOS PELA ANLIX


3.1. Autorização. A Anlix está autorizada a tratar por conta da Contratante os Dados Pessoais necessários para fornecer ANLIX, os serviços Flashbox. A Anlix não tratará os Dados Pessoais para outras finalidades que não as descritas no Contrato sem a prévia e expressa autorização da Contratante.


3.2. Finalidade dos tratamentos. A Contratante será responsável pela determinação da finalidade dos tratamentos confiados à Anlix. A Contratante autoriza a Anlix a realizar os tratamentos dos Dados Pessoais necessários às funcionalidades Flashbox descritas no Termo de Adesão.


a. Os Dados Pessoais tratados pela Anlix no âmbito do Contrato são:


– Endereço MAC do roteador do usuário de banda larga

– CPF ou número do contrato do usuário de banda larga

– Nome da rede Wi-Fi do usuário de banda larga

– Lista de endereços MAC de aparelhos do usuário de banda larga

– Lista de nomes de aparelhos do usuário de banda larga

– Quantidade de tráfego de rede enviada ou recebida pelo usuário de banda larga

– Latitude do roteador pertencente ao usuário de banda larga

– Longitude do roteador pertencente ao usuário de banda larga


b. A categoria de titulares são os Usuários da Contratante.


c. A duração dos Tratamentos será equivalente ao prazo de vigência do Contrato.


4. DAS OBRIGAÇÕES DO OPERADOR


4.1. Obrigações. A Anlix se obriga a:


a. Tratar os Dados Pessoais somente para as finalidades estipuladas neste Acordo;


b. Tratar os Dados Pessoais conforme as instruções documentadas da Contratante;


c. Garantir, através da adoção de medidas técnicas e organizacionais, a segurança e a confidencialidade dos Dados Pessoais dos Usuários no âmbito do Contrato, impedindo a sua destruição, vazamento, deformação, desvio, ataque ou divulgação à terceiros não autorizados.


d. Zelar para que seus colaboradores autorizados a tratar os Dados Pessoais se comprometam a respeitar a confidencialidade e sejam treinados para respeitar as noções fundamentais sobre o tema da proteção de dados pessoais;


e. Aplicar no desenvolvimento de ferramentas tecnológicas, aplicativos ou serviços as noções “privacy by design & by default”, garantindo que a proteção de dados pessoais será aplicada desde a fase de concepção de cada produto;


f. Respeitar os princípios da proporcionalidade, minimização e limitação dos Dados Pessoais, assegurando que somente os Dados Pessoais pertinentes, descritos no item 3.2 acima, sejam tratados.


4.2. Adesão colaboradores e subcontratados. A Anlix garantirá a adesão de seus colaboradores e subcontratados às obrigações equivalentes às por si contraídas nos termos deste Acordo.


4.3. Ausência de transferência de Dados Pessoais. A Anlix não realizará transferência de dados pessoais de Usuários para fora do território nacional, salvo se prévia e expressamente autorizada pela Contratante, conforme disposto neste Acordo, e se tal transferência estiver estritamente enquadrada nas hipóteses previstas na LGPD.


4.4. Prontidão e Prestação de Contas. Durante a execução dos Serviços, a Anlix deverá estar sempre pronta a responder, desde a primeira demanda da Contratante, acerca do conjunto de medidas de segurança e dispositivos de proteção de Dados Pessoais adotados, visando garantir que o tratamento seja limitado ao mínimo necessário para as finalidades deste Acordo, bem como adequado às regras da LGPD.


4.5. Documentação. A Anlix disponibilizará à Contratante a documentação necessária a demonstrar a adequação e cumprimento de suas obrigações no âmbito do presente Anexo e da LGPD.


5. DA COOPERAÇÃO E ASSISTÊNCIA


5.1. Requisições. No caso de requisição, por parte dos Usuários à Contratante referente ao exercício de direitos previsto na LGPD, em especial referentes ao direito de acesso, modificação, eliminação, oposição ou limitação ao tratamento e portabilidade, a Anlix prestará prontamente sua assistência para que a Contratante esteja apta a responder ao Usuário dentro dos prazos legais aplicáveis.


a. Caso a requisição seja enviada diretamente à Anlix esta informará imediatamente à Contratante por escrito e ao endereço fornecido no Termo de Adesão e agirá conforme as instruções desta.


5.2. Dever de Lealdade. A Anlix se compromete a colaborar com a Contratante, com lealdade e prontidão, no âmbito das análises de impacto relativas aos Dados Pessoais por esta realizadas, bem como, no âmbito das consultas prévias realizadas pela ANPD.


6. DA SUBCONTRATAÇÃO


6.1. Contratação de Terceiros. A Anlix está autorizada contratar terceiros para realizar atividades de Tratamento dos Dados Pessoais pela Contratante, nos termos estipulados no Contrato.


6.2. Transferência Internacional de Dados Pessoais. A Anlix está autorizada a transferir os Dados Pessoais a subcontratados no exterior que demonstrem o cumprimento dos princípios e a adesão a regime de proteção de Dados Pessoais em grau adequado aos previstos na LGPD.


6.3. Adesão. Toda subcontratação será realizada mediante a adesão do subcontratado às mesmas regras e princípios deste Acordo e em respeito à LGPD.


6.4. Garantias do subcontratado. O subcontratado deverá ser capaz de oferecer garantias de que adotará medidas técnicas e administrativas suficientes para assegurar o respeito a LGPD, medidas estas que sejam, no mínimo, equivalentes às convencionadas neste Acordo.


6.5. Responsabilidade. A Anlix se responsabiliza perante a Contratante, até o limite estipulado no Contrato, na hipótese de descumprimento das obrigações referentes à LGPD por um subcontratado.


7. DA NOTIFICAÇÃO DE VIOLAÇÃO DE DADOS PESSOAIS


7.1. Segurança e Confidencialidade. A Anlix informará à Contratante via e-mail a respeito de qualquer incidente seja físico ou técnico relativo à segurança ou confidencialidade dos Dados Pessoais, no prazo máximo de 24 (vinte e quatro) horas após a tomada de conhecimento sobre o ocorrido.


7.2. Proteção dos Dados Pessoais. A Anlix notificará via e-mail à Contratante sobre qualquer Violação de Dados Pessoais que tenham ou possam vir a ter consequências diretas ou indiretas sobre a proteção dos Dados Pessoais ou ainda, suscetíveis de afetar negativamente a imagem, reputação ou honra da Contratante. A notificação será enviada ao endereço fornecido no Termo de Adesão no prazo máximo de 24h (vinte e quatro horas) após a tomada de conhecimento sobre a violação e deverá conter as seguintes informações:


a. A descrição e a natureza da Violação de Dados Pessoais incluindo, se possível, a categoria e o número aproximado de Usuários atingidos e o número aproximado de Dados Pessoais registrados;


b. O nome e o endereço do encarregado pelo Tratamento de Dados Pessoais, se houver, ou da pessoa responsável que possa fornecer informações suplementares sobre a violação e informa o endereço de e-mail lgpd@anlix.io dedicado aos assuntos referentes à Proteçao de Dados Pessoais.


c. A descrição das consequências prováveis da Violação de Dados Pessoais;


d. A descrição das medidas tomadas para remediar a violação de Dados Pessoais, incluindo, se for o caso, a descrição das medidas tomadas no sentido de atenuar as consequências negativas.


7.3. Colaboração. A Anlix prestará colaboração ativa junto à Contratante, no sentido de colocar em prática ações necessárias para corrigir as eventuais disfunções que possam ter dado origem à Violação de Dados Pessoais ou que dela resultem, no sentido de impedir a sua reprodução.


7.4. Não divulgação. A Anlix se obriga a não divulgar e a não comunicar informações relativas a uma Violação de Dados Pessoais a terceiros, salvo se por obrigação legal ou mediante prévia autorização da Contratante.


8. DA SEGURANÇA DE DADOS PESSOAIS


8.1. Preservação da confidencialidade e segurança. A Anlix empregará todas as precauções necessárias à preservação da confidencialidade e à segurança dos Dados Pessoais, no sentido de evitar que esses sejam alterados, danificados, desviados ou divulgados à terceiros não autorizados e, igualmente, adotará todas as medidas apropriadas para proteger os Dados Pessoais de destruição acidental ou ilícita, perda acidental, alteração, difusão ou de acesso não autorizado.


8.2. Garantias. A Anlix tomará todas as medidas no sentido de: (i) garantir a confidencialidade, a integridade, a disponibilidade e a resiliência permanente dos sistemas e dos Serviços; (ii) reestabelecer prontamente a disponibilização e o acesso aos Dados Pessoais em caso de incidente físico ou técnico e (iii) testar, analisar e avaliar regularmente a eficácia dessas medidas.


8.3. Documentação técnica. A Anlix manterá à disposição da Contratante os documentos relativos à segurança dos Dados Pessoais incluindo, especialmente, a documentação técnica referente às análises de risco realizadas e às medidas de segurança adotadas.


9. DO ENGARREGADO PELO TRATAMENTO DE DADOS PESSOAIS


9.1. Encarregados. As Partes se manterão mutuamente informadas acerca do nome e coordenadas de seus respectivos encarregados pelo tratamento de dados pessoais, ou responsáveis, conforme cabível, nos termos da LGPD.


10. DO REGISTRO DAS ATIVIDADES DE TRATAMENTO


10.1. Registro. A Anlix manterá o registro das operações de Tratamento realizadas por conta da Contratante no âmbito do Contrato, nos termos da LGPD.


11. DA AUDITORIA


11.1. Auditoria. A Contratante poderá, nos termos do Contrato, auditar o bom cumprimento das obrigações legais de adequação à LGPD durante a vigência do Contrato.


11.2. Remediação. Caso a auditoria realizada pela Contratante revele uma não-adequação da Anlix às obrigações do presente Acordo, esta terá o prazo de 30 (trinta) dias para remediá-la.


12. DO TÉRMINO DO TRATAMENTO DOS DADOS PESSOAIS AO FIM DO CONTRATO


12.1. Restituição e Destruição dos Dados Pessoais. Ao término do contrato a Anlix se compromete, a critério da Contratante, ou a restituir a totalidade dos Dados Pessoais de Usuários sob seu controle ou a destruí-los integralmente, notificando a Contratante desta destruição, ressalvadas, no entanto, as obrigações legais, que, se aplicáveis à Anlix, serão informadas por escrito para a Contratante.


13. DISPOSIÇÕES GERAIS


O presente Acordo é regido pelas leis da República Federativa do Brasil, e todo e qualquer litígio e/ou controvérsia oriundo de e/ou relativo a este instrumento deverá ser solucionado de acordo com o procedimento e as regras acordadas na Cláusula 16 do Contrato.