de acordo com o Art. 28 do Regulamento Geral de Proteção de Dados (GDPR) entre vocês, como usuário do serviço iubenda
e iubenda s.r.l. Via San Raffaele, 1 20121 Milão Itália representante legal, Andrea Giannangelo
O objeto do DPA decorre do contrato principal celebrado entre as partes para a prestação do serviço da iubenda (o “Contrato”). O Processador deve realizar as atividades de tratamento ali descritas
O prazo deste DPA corresponde ao prazo do contrato principal.
As atividades de tratamento devem ocorrer apenas mediante instruções documentadas do Controlador. Essas instruções estão incluídas no Contrato e neste Acordo. As atividades de tratamento de dados previstas neste DPA devem ser realizadas dentro da União Europeia (UE) ou do Espaço Econômico Europeu (EEE). Se qualquer transferência de dados para fora da UE ou EEE tiver que ser executada, ela deve ser realizada de acordo com as condições estabelecidas no art. 44 e subsequentes do GDPR.
O Processador adotou medidas técnicas e organizacionais, a fim de garantir que as atividades de tratamento previstas neste DPA sejam realizadas em conformidade com as disposições de proteção de dados aplicáveis. O Processador, especificamente, adotou medidas de segurança para garantir padrões de proteção adequados aos riscos de confidencialidade, integridade, disponibilidade e resiliência dos sistemas, levando em consideração a probabilidade de violação de dados e a gravidade do risco possivelmente decorrentes para os direitos e liberdades das pessoas físicas. Medidas técnicas e organizacionais devem ser sempre monitoradas e atualizadas de acordo com o progresso e desenvolvimento técnico, a fim de manter ou aumentar os padrões de proteção de dados.
O Processador não deve retificar ou eliminar dados ou restringir o tratamento de dados abrangidos por este contrato, a menos que seja instruído a fazê-lo pelo Controlador. Se um titular dos dados entrar em contato com o Processador a respeito de uma atividade de tratamento de dados na forma deste contrato, o Processador deverá encaminhar tal consulta diretamente ao Controlador.
O Processador deverá cumprir com as disposições deste DPA e com todos os requisitos legais aplicáveis, principalmente aqueles decorrentes do art. 28-33 do GDPR. Principalmente, o Processador garante que
O Processador subcontratou parte de seus serviços a terceiros, que – no que for exigido pela lei – estão sujeitos às mesmas obrigações e garantias previstas neste DPA e pela lei de proteção de dados aplicável. O Controlador pode solicitar a lista dos subprocessadores atuais contratados pelo Processador. Qualquer alteração em tal lista deverá ser notificada ao Controlador sem demora injustificada, dando ao Controlador a opção de contestar. Em caso de contestação, o Processador reserva-se o direito de rescindir o Contrato com o Controlador sem aviso prévio.
Se houver um motivo forte, o Controlador poderá solicitar que seja realizada uma inspeção ou auditoria das atividades de tratamento de dados executadas pelo Processador na forma deste contrato, por um terceiro independente e reconhecido. As inspeções e auditorias devem ser acordadas previamente com o Processador e ocorrer sem prejudicar as operações comerciais normais do Processador. O Processador poderá cobrar os custos de tais auditorias ou inspeções ao Controlador. O cumprimento das obrigações previstas nos Arts. 32-36 do GDPR também pode ser comprovado por meio de evidências de
O Processador deverá auxiliar o Controlador no cumprimento das obrigações relativas à segurança de dados pessoais, na comunicação de violações de dados, nas avaliações de impacto na proteção de dados e consultas prévias, previstas nos artigos 32 a 36 do GDPR, incluindo:
Caso o Controlador venha a exigir alguma alteração no tratamento dos dados pessoais previsto nas instruções documentadas mencionadas no item nº. 2, o Processador deverá informar imediatamente o Controlador se considerar que tais alterações gerem infrações nas disposições de proteção de dados. O Processador poderá se abster de realizar qualquer atividade que possa resultar em tal infração.
Após o final da prestação de serviços, o Processador deverá, a critério do controlador, excluir ou devolver ao Controlador todos os dados pessoais coletados e processados na forma deste contrato, a menos que qualquer disposição legal aplicável, a que o Processador esteja sujeito, exija o armazenamento dos dados pessoais. Em qualquer caso, o Processador poderá reter todas as informações necessárias, a fim de demonstrar que as atividades de tratamento estão em ordem e conformidade, após a rescisão do Contrato, de acordo com os períodos de retenção legais.