Este Acordo de Tratamento de Dados (“Acordo”) é celebrado entre você,
e
iubenda s.r.l.
Via San Raffaele, 1
20121 Milão
Itália
representante legal, Andrea Giannangelo
O objeto deste Contrato decorre do contrato principal celebrado pelas partes para o fornecimento de serviço da iubenda (“Contrato”). O Processador deverá realizar as atividades de tratamento descritas neste documento
com relação às seguintes categorias de Dados Pessoais:
referentes às seguintes categorias de Titulares dos Dados:
Independentemente da localização do Controlador, salvo disposição em contrário neste documento - sobretudo em relação aos Subprocessadores, de acordo com a seção 7 abaixo - todas as atividades de tratamento de dados realizadas pelo Processador deverão ser executadas nos territórios da União Europeia / Espaço Econômico Europeu (UE/EEE).
No presente Acordo, salvo se o contexto exigir o contrário, os termos a seguir terão os seguintes significados:
a. “Acordo” refere-se a este Acordo de Tratamento de Dados e a todas as suas respectivas Programações, bem como a quaisquer alterações.
b. “Leis de Proteção de Dados Aplicáveis” refere-se, conforme o caso, a quaisquer leis e regulamentos de privacidade e proteção de dados aplicáveis, como, por exemplo: (i) Regulamento Geral de Proteção de Dados da UE (Regulamento 2016/679) (“GDPR”); (ii) Lei Federal de Proteção de Dados da Suíça (“FADP”); (iii) Lei Geral de Proteção de Dados do Brasil Nº. 13.709/2018 (“LGPD”); (iv) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral de Proteção de Dados do Reino Unido) (“GDPR do Reino Unido”).
c. “Controlador” é a entidade que, sozinha ou em conjunto com outras, determina as finalidades e os meios do Tratamento de Dados Pessoais.
d. “Titular dos Dados” é o indivíduo a quem os Dados Pessoais se referem.
e. “Certificação ISO 27001” refere-se a um padrão internacional amplamente reconhecido para sistemas de gerenciamento de segurança da informação. Determina os requisitos para estabelecer, implementar, manter e aprimorar continuamente o sistema de gestão de segurança da informação (SGSI) de uma empresa. A certificação ISO 27001 atesta que o Processador implementou um conjunto abrangente de controles e medidas de segurança para proteger a confidencialidade, a integridade e a disponibilidade dos ativos de informação, e foi submetido a uma avaliação e auditoria independentes por um órgão de certificação com o objetivo de verificar a conformidade com a norma ISO 27001.
f. “Dados pessoais” refere-se a qualquer informação relacionada a uma pessoa física identificada ou identificável. Uma pessoa física identificável é aquela que pode ser identificada de forma direta ou indireta, sobretudo em relação a um identificador, como, por exemplo, um nome, um número de identificação, dados de localização, um identificador on-line ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa física.
g. “Tratamento” é qualquer operação ou conjunto de operações realizadas sobre os Dados Pessoais ou sobre conjuntos de Dados Pessoais, seja ou não por meios automatizados, tais como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização de qualquer forma, alinhamento ou combinação, restrição, apagamento ou destruição.
h. “Processador” é a pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa os Dados Pessoais em nome do Controlador.
i. “Subprocessador” é qualquer Processador contratado pelo Processador que concorde em receber deste os Dados Pessoais destinados exclusivamente às atividades de Tratamento a serem realizadas em nome do Controlador e após este último ter autorizado tal subcontratação.
l. “Medidas Técnicas e Organizacionais” são as medidas destinadas a proteger os Dados Pessoais contra destruição acidental ou ilegal, perda acidental, alteração, divulgação, acesso não autorizado ou qualquer outra forma ilegal de Processamento.
Todos os termos em letras maiúsculas não definidos neste documento terão o significado estabelecido no GDPR, FADP, LGPD, GDPR do Reino Unido ou quaisquer Leis de Proteção de Dados Aplicáveis.
O Processador concorda em realizar o tratamento dos Dados Pessoais somente sob orientações documentadas do Controlador, inclusive com relação a transferências de Dados Pessoais para um terceiro país ou uma empresa internacional, salvo se requerido a fazê-lo pelas Leis de Proteção de Dados Aplicáveis às quais o Processador está sujeito.
O Processador se compromete a implementar medidas técnicas e organizacionais apropriadas que proporcionem um nível de segurança adequado ao risco envolvido no Tratamento e na natureza dos Dados Pessoais a serem protegidos. Essas medidas devem, por exemplo, proteger os Dados Pessoais contra destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais transmitidos, armazenados ou processados.
Os detalhes específicos dessas medidas estão descritos no Anexo I.
O Processador se compromete a auxiliar o Controlador a garantir a conformidade com os direitos dos Titulares dos Dados, nos termos das Leis de Proteção de Dados Aplicáveis.
Os direitos concedidos ao Controlador por meio deste acordo, incluindo, por exemplo, o direito de retificação, restrição e exclusão ou devolução de dados, podem ser exercidos por meio do sistema de tickets ou do contato com o Processador no endereço de e-mail info@iubenda.com.
O Processador garantirá a qualidade de suas atividades de tratamento de dados e cumprirá suas obrigações de acordo com as Leis de Proteção de Dados Aplicáveis. As funções do Processador são:
a. Documentar e implementar procedimentos: O Processador manterá um registro de todas as categorias de atividades de tratamento realizadas em nome do Controlador, contendo as informações exigidas pelas Leis de Proteção de Dados Aplicáveis.
b. Minimização de dados: O Processador garantirá a adequação, a relevância e a limitação dos Dados Pessoais em relação ao que é necessário para as finalidades para as quais eles estão sendo processados.
c. Precisão dos dados: O Processador tomará todas as medidas razoáveis para garantir que os Dados Pessoais imprecisos, considerando as finalidades para as quais são processados, sejam apagados ou retificados o mais rápido possível.
d. Disponibilidade, integridade e confidencialidade dos dados: O Processador fará o tratamento dos Dados Pessoais de forma a garantir, por meio de medidas técnicas ou organizacionais apropriadas, a segurança adequada dos Dados Pessoais, incluindo a proteção contra tratamento não autorizado ou ilegal e contra perda, destruição, dano ou interrupção acidental.
e. Cooperação com o Controlador: O Processador auxiliará o Controlador a garantir a conformidade com as obrigações relativas à segurança do processamento, à notificação de violações de Dados Pessoais à autoridade supervisora, à comunicação de violações de Dados Pessoais ao Titular dos Dados, às avaliações de impacto sobre a proteção de dados e à consulta prévia em relação ao processamento de alto risco.
f. Confidencialidade do funcionário: O Processador garantirá que os funcionários envolvidos no Tratamento de Dados Pessoais sejam informados sobre a natureza confidencial dos Dados Pessoais, tenham recebido treinamento adequado sobre suas responsabilidades e estejam sujeitos a obrigações de confidencialidade e restrições de uso com relação aos Dados Pessoais.
g. Resposta aos Titulares dos Dados: Se o Processador receber uma solicitação do Titular dos Dados, baseada em qualquer Lei de Proteção de Dados Aplicável, relativa aos Dados Pessoais, o Processador aconselhará o Titular dos Dados a enviar sua solicitação ao Controlador e o Processador notificará o Controlador sobre tal solicitação o mais rápido possível.
h. Avaliação de Impacto sobre a Proteção de Dados (DPIA): Mediante solicitação do Controlador, o Processador fornecerá ao Controlador as informações necessárias para realizar uma DPIA, conforme exigido pelas Leis de Proteção de Dados Aplicáveis.
O Controlador está ciente e concorda que o Processador poderá contratar Subprocessadores para realizar atividades de tratamento nos termos deste Acordo. Considera-se que os Subprocessadores atualmente contratados foram aceitos pelo Controlador.
Uma lista de Subprocessadores pode ser solicitada por meio do sistema de tickets ou do endereço de e-mail info@iubenda.com.
O Processador se compromete a notificar o Controlador com antecedência sobre qualquer mudança planejada de Subprocessadores e a obter a aprovação do Controlador antes de realizar tal mudança. O Processador deverá, em qualquer hipótese, impor aos Subprocessadores as mesmas obrigações de proteção de dados estabelecidas neste Acordo.
Mediante solicitação, o Processador disponibilizará ao Controlador todas as informações necessárias para comprovar a conformidade com as obrigações estabelecidas neste Acordo, além de permitir e contribuir para as auditorias e inspeções conduzidas pelo Controlador ou por outro auditor determinado pelo Controlador.
As inspeções e auditorias devem ser previamente acordadas com o Processador e devem ocorrer sem prejudicar as operações comerciais regulares do Processador. O Processador poderá cobrar do Controlador os custos de tais auditorias ou inspeções.
O Processador utilizará procedimentos e tecnologias eficientes para detectar, prevenir e combater violações de dados.
Na hipótese de violação de Dados Pessoais, o Processador notificará o Controlador imediatamente após tomar conhecimento do fato. Essa notificação conterá:
O Processador documentará todas as violações de Dados Pessoais, incluindo os fatos relacionados à tais violações, seus efeitos e as providências tomadas. O Processador também auxiliará o Controlador a garantir, nos termos das leis de proteção de dados aplicáveis, a conformidade com suas obrigações em relação às notificações de violação de segurança às autoridades e aos indivíduos afetados.
O Processador não comunicará a violação de Dados Pessoais a nenhum terceiro ou ao Titular dos Dados afetado sem o consentimento prévio por escrito do Controlador, salvo se essa comunicação for exigida pelas Leis de Proteção de Dados Aplicáveis.
O Processador está ciente e concorda que qualquer falha no auxílio prestado ao Controlador, conforme previsto neste Artigo, poderá resultar em penalidades e multas, pelas quais o Processador será responsabilizado.
Este Artigo não afeta quaisquer direitos ou recursos que o Controlador possa ter nos termos deste Acordo ou das Leis de Proteção de Dados Aplicáveis.
Após a conclusão da prestação dos serviços, ou antes, se assim for determinado pelo Controlador, o Processador deverá, a critério do Controlador, excluir ou devolver todos os dados pessoais coletados e processados nos termos deste acordo, salvo se qualquer disposição legal aplicável exigir que o Processador retenha referidos dados pessoais.
Salvo orientação em contrário do Controlador, o Processador reterá os dados pessoais por um período de seis meses após o término do contrato e a conclusão da prestação dos serviços, exclusivamente com a finalidade de permitir que o Controlador os exporte. Após o término do período de retenção de seis meses, o Processador deverá excluir todos os dados pessoais.
Não obstante o acima exposto, e mesmo após a conclusão da prestação dos serviços e o término do contrato, o Processador terá o direito de reter todas as informações necessárias para demonstrar o processamento regular e adequado, de acordo com os períodos legais de retenção.
De acordo com a certificação UNI CEI EN ISO/IEC ISO 27001:2017 do Processador, os seguintes elementos-chave foram implementados como medidas técnicas e organizacionais:
a. Políticas de segurança da informação: O Processador elaborou e revisa regularmente uma política de segurança da informação que fornece orientação e suporte para a segurança da informação de acordo com os requisitos comerciais e com as leis e regulamentos relevantes.
b. Organização da segurança da informação: O Processador atribui competências a tarefas específicas para garantir o gerenciamento eficaz da segurança das informações.
c. Segurança dos recursos humanos: O Processador implementou práticas de segurança para funcionários e prestadores de serviços durante o curso de seus empregos e atribuições de trabalho.
d. Gestão de ativos: O Processador mantém um inventário de ativos e definiu competências de proteção adequadas.
e. Controle de acesso: O Processador assegura que os funcionários e contratados têm acesso apenas às informações e aos ativos relacionados à sua função.
f. Criptografia: O Processador utiliza criptografia e gerenciamento de chaves para a proteção das informações.
g. Segurança física e ambiental: O Processador assegura a segurança de escritórios, salas e instalações para evitar acesso físico não autorizado, danos e interferência nas instalações e informações do Processador.
h. Segurança das operações: O Processador garante operações precisas e seguras das instalações de processamento de informações.
i. Segurança das comunicações: O Processador implementa redes e transferências de informações de forma segura.
l. Aquisição, desenvolvimento e manutenção de sistemas: O Processador garante que a segurança das informações seja parte integrante dos sistemas durante todo o seu ciclo de vida.
m. Relacionamentos com fornecedores: O Processador protege seus ativos acessíveis aos fornecedores.
n. Gestão de incidentes: O Processador gerencia incidentes e melhorias na segurança das informações.
o. Gestão da continuidade dos negócios: O Processador garante a continuidade da gestão da segurança das informações em caso de interrupção dos negócios.
p. Conformidade: O Processador cumpre os requisitos legais, estatutários, regulamentares e contratuais, bem como as políticas e os procedimentos do Processador.
q. Segurança na nuvem: O Processador implementou medidas adicionais de segurança na nuvem para proteger a integridade, a acessibilidade e a confidencialidade dos dados. Essas medidas incluem, por exemplo, transferência segura de dados, interfaces de software seguras, armazenamento seguro de dados, gestão de identidade e acesso de usuários e segurança de infraestrutura. O Processador também realiza auditorias de segurança regulares em seu ambiente de nuvem para identificar e solucionar possíveis vulnerabilidades.
Mais informações sobre a certificação ISO 27001 do Processador, incluindo uma cópia do próprio certificado, podem ser solicitados por meio do sistema de tickets do Processador ou por e-mail.