Acordo de Tratamento de Dados (DPA)

de acordo com o Art. 28 do Regulamento Geral de Proteção de Dados (GDPR) entre vocês, como usuário do serviço iubenda

• o Controlador –

e iubenda s.r.l. Via San Raffaele, 1 20121 Milão Itália representante legal, Andrea Giannangelo

• o Processador -

---

1. Objeto, contrato principal e prazo

O objeto do DPA decorre do contrato principal celebrado entre as partes para a prestação do serviço da iubenda (o “Contrato”). O Processador deve realizar as atividades de tratamento ali descritas

• a respeito das seguintes categorias de dados pessoais:
  • dados pessoais principais, dados de contato e comunicação
  • dados relacionados a pagamentos para fins de faturamento
  • dados fornecidos pelo usuário ao usar o gerador, incluindo detalhes da empresa, dados pessoais dos principais diretores e funcionários
  • dados fornecidos para fins de serviços de Internal Privacy Management
  • dados referentes ao uso do website da iubenda, como dados relativos a suporte, estatísticas, etc.
  • dados referentes aos usuários do cliente, incluindo informações sobre sua interação com as ferramentas da iubenda no website do cliente e informações de rastreamento de consentimentos, coletadas através da Consent Database da iubenda
• referentes às seguintes categorias de titulares de dados:
  • clientes
  • principais diretores e funcionários de clientes
  • terceiros atuando em nome de clientes (como agências online)
  • clientes dos clientes

O prazo deste DPA corresponde ao prazo do contrato principal.

2. Tratamento mediante instruções

As atividades de tratamento devem ocorrer apenas mediante instruções documentadas do Controlador. Essas instruções estão incluídas no Contrato e neste Acordo. As atividades de tratamento de dados previstas neste DPA devem ser realizadas dentro da União Europeia (UE) ou do Espaço Econômico Europeu (EEE). Se qualquer transferência de dados para fora da UE ou EEE tiver que ser executada, ela deve ser realizada de acordo com as condições estabelecidas no art. 44 e subsequentes do GDPR.

3. Medidas técnicas e organizacionais

O Processador adotou medidas técnicas e organizacionais, a fim de garantir que as atividades de tratamento previstas neste DPA sejam realizadas em conformidade com as disposições de proteção de dados aplicáveis. O Processador, especificamente, adotou medidas de segurança para garantir padrões de proteção adequados aos riscos de confidencialidade, integridade, disponibilidade e resiliência dos sistemas, levando em consideração a probabilidade de violação de dados e a gravidade do risco possivelmente decorrentes para os direitos e liberdades das pessoas físicas. Medidas técnicas e organizacionais devem ser sempre monitoradas e atualizadas de acordo com o progresso e desenvolvimento técnico, a fim de manter ou aumentar os padrões de proteção de dados.

4. Retificação, restrição e eliminação de dados

O Processador não deve retificar ou eliminar dados ou restringir o tratamento de dados abrangidos por este contrato, a menos que seja instruído a fazê-lo pelo Controlador. Se um titular dos dados entrar em contato com o Processador a respeito de uma atividade de tratamento de dados na forma deste contrato, o Processador deverá encaminhar tal consulta diretamente ao Controlador.

5. Garantia da qualidade e outras funções do Processador

O Processador deverá cumprir com as disposições deste DPA e com todos os requisitos legais aplicáveis, principalmente aqueles decorrentes do art. 28-33 do GDPR. Principalmente, o Processador garante que

• pessoas autorizadas a processar os dados pessoais se comprometeram com a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade apropriada;
• medidas de segurança segundo o Art. 32 do GDPR foram adotadas;
• levando em conta a natureza do tratamento, ele auxiliará o Controlador com as medidas técnicas e organizacionais apropriadas, na medida do possível, para o cumprimento da obrigação do controlador de responder às solicitações de exercício dos direitos dos titulares dos dados;
• ele ajudará o Controlador a garantir o cumprimento das obrigações nos termos dos Artigos 32 a 36 do GDPR, levando em conta a natureza do tratamento e as informações disponíveis para o Processador;
• ele disponibilizará à Controladora todas as informações necessárias para comprovar o cumprimento das obrigações previstas no Art. 28 do GDPR e permitir e contribuir com auditorias, inclusive inspeções, conforme previsto no Art. 7 deste acordo.

6. Subcontratação

O Processador subcontratou parte de seus serviços a terceiros, que – no que for exigido pela lei – estão sujeitos às mesmas obrigações e garantias previstas neste DPA e pela lei de proteção de dados aplicável. O Controlador pode solicitar a lista dos subprocessadores atuais contratados pelo Processador. Qualquer alteração em tal lista deverá ser notificada ao Controlador sem demora injustificada, dando ao Controlador a opção de contestar. Em caso de contestação, o Processador reserva-se o direito de rescindir o Contrato com o Controlador sem aviso prévio.

7. Auditorias

Se houver um motivo forte, o Controlador poderá solicitar que seja realizada uma inspeção ou auditoria das atividades de tratamento de dados executadas pelo Processador na forma deste contrato, por um terceiro independente e reconhecido. As inspeções e auditorias devem ser acordadas previamente com o Processador e ocorrer sem prejudicar as operações comerciais normais do Processador. O Processador poderá cobrar os custos de tais auditorias ou inspeções ao Controlador. O cumprimento das obrigações previstas nos Arts. 32-36 do GDPR também pode ser comprovado por meio de evidências de

• conformidade com os Códigos de Conduta aprovados, na forma do Art. 40 do GDPR;
• uma certificação de acordo com um procedimento de certificação aprovado conforme o Art. 42 do GDPR;
• certificados atuais do auditor do Processador, relatórios ou trechos de relatórios fornecidos por órgãos independentes;
• uma certificação adequada através de uma auditoria de segurança de TI ou proteção de dados.

8. Violações de dados

O Processador deverá auxiliar o Controlador no cumprimento das obrigações relativas à segurança de dados pessoais, na comunicação de violações de dados, nas avaliações de impacto na proteção de dados e consultas prévias, previstas nos artigos 32 a 36 do GDPR, incluindo:

• garantir padrões de proteção adequados por meio de medidas técnicas e organizacionais, levando em conta o tipo, as circunstâncias e as finalidades do tratamento, a probabilidade de violações de dados e a gravidade do risco possivelmente decorrentes para as pessoas físicas
• assegurar a detecção imediata de infrações
• comunicar violações de dados sem demora injustificada ao Controlador
• auxiliar o Controlador na resposta às solicitações dos titulares dos dados ou no exercício de seus direitos

9. Conformidade rigorosa

Caso o Controlador venha a exigir alguma alteração no tratamento dos dados pessoais previsto nas instruções documentadas mencionadas no item nº. 2, o Processador deverá informar imediatamente o Controlador se considerar que tais alterações gerem infrações nas disposições de proteção de dados. O Processador poderá se abster de realizar qualquer atividade que possa resultar em tal infração.

10. Rescisão, exclusão e devolução de dados pessoais

Após o final da prestação de serviços, o Processador deverá, a critério do controlador, excluir ou devolver ao Controlador todos os dados pessoais coletados e processados na forma deste contrato, a menos que qualquer disposição legal aplicável, a que o Processador esteja sujeito, exija o armazenamento dos dados pessoais. Em qualquer caso, o Processador poderá reter todas as informações necessárias, a fim de demonstrar que as atividades de tratamento estão em ordem e conformidade, após a rescisão do Contrato, de acordo com os períodos de retenção legais.