Contrato de Tratamento de Dados
Última atualização: 27 de janeiro de 2024
Identificação das Partes
| Na qualidade de CONTRATADA: | |
|---|---|
| RAZÃO SOCIAL | LEARNWARE CLOUD LTDA |
| CNPJ | 52.986.349/0001-48 |
| ENDEREÇO | Rua Altidório da Silva n° 170, Santana do Livramento - RS - CEP 97576-390 |
| TELEFONE | (55) 3245-0894 |
| Na qualidade de CONTRATANTE: | |
|---|---|
| RAZÃO SOCIAL | |
| CNPJ | |
| ENDEREÇO | |
| INSCRIÇÃO ESTADUAL | |
| INSCRIÇÃO MUNICIPAL | |
| TELEFONE | |
| REPRESENTANTE LEGAL |
NOME: RG: CPF: |
| E-MAIL DE CONTATO | |
A CONTRATADA é empresa que atua no ramo de tecnologia, informática e processamento de dados.
A CONTRATADA, no contexto do contrato principal, possui determinadas atribuições e funções que implicam no tratamento de dados pessoais.
1. Do tratamento de dados pessoais
1.1. As Partes reconhecem que a CONTRATADA realizará o tratamento de dados pessoais apenas no contexto da prestação dos serviços enquanto fornecedor de Infrastructure as a Service (IaaS), ou seja, infraestrutura como serviço, caso a CONTRATANTE realize o tratamento de dados pessoais no serviço contratado. Nestas atividades de tratamento, as partes reconhecem e acordam que a CONTRATANTE é o controlador dos dados pessoais, enquanto a CONTRATADA é o operador dos dados pessoais, nos termos da Lei nº 13.709/18 e conforme detalhado ao longo do presente contrato.
1.2. A CONTRATADA tratará os dados pessoais exclusivamente em nome e sob as instruções lícitas da CONTRATANTE nos termos deste contrato ou para cumprir com a legislação aplicável.
1.3. A CONTRATANTE garante que o tratamento dos dados pessoais pela CONTRATADA de acordo com as instruções da CONTRATANTE, não fará com que a CONTRATADA viole qualquer lei ou regulamento, incluindo, sem limitação, a LGPD.
1.4. A CONTRATADA irá cessar o tratamento dos dados pessoais e notificará imediatamente a CONTRATANTE por escrito, a menos que seja proibido de fazê-lo, se tomar conhecimento ou acreditar que qualquer instrução ou dado pessoal tratado viola a LGPD ou qualquer outra lei ou regulamento aplicável.
1.5. Cada uma das partes concorda e garante que será individualmente responsável pelo cumprimento de suas obrigações decorrentes da LGPD e de eventuais regulamentações emitidas posteriormente pela ANPD.
1.6. A CONTRATANTE concorda e garante que todos os dados pessoais armazenados no serviço contratado, são tratados de acordo com as leis de privacidade e proteção de dados aplicáveis, cumprindo com todos os princípios para tratamento de dados pessoais estabelecidos pela LGPD.
1.7. A CONTRATADA concorda e garante que realizará o tratamento dos dados pessoais nos limites e para as finalidades permitidas por este contrato, ou outras definidas pela CONTRATANTE, por meio de aditivos a este contrato. Igualmente, a CONTRATADA não coletará, usará, acessará, manterá, modificará, divulgará, transferirá ou, de outra forma, tratará dados pessoais, sem a ciência e autorização da CONTRATANTE.
1.8. A CONTRATADA assegurará que os dados pessoais não sejam acessados, compartilhados ou transferidos para terceiros, exceto para infraestruturas de Data Center utilizadas no contexto da prestação de serviços, sem o consentimento prévio por escrito da CONTRATANTE. Caso a CONTRATANTE autorize estas operações de tratamento, a CONTRATADA deverá garantir que tais terceiros se obriguem, por escrito, a garantir a mesma proteção aos dados pessoais estabelecida neste contrato. A CONTRATADA será responsável por todas as ações e omissões realizadas por tais terceiros, relativas ao tratamento dos dados pessoais, como se as tivesse realizado.
1.9. A CONTRATADA se compromete a instituir e manter um programa de gestão de privacidade. Esse programa deverá estabelecer controles técnicos e administrativos apropriados para garantir a confidencialidade e disponibilidade das informações, nos limites do serviço contratado (IaaS), além de garantir a conformidade com a Lei Geral de Proteção de Dados e demais normas que versem sobre privacidade e proteção de dados pessoais. Isso inclui a implementação de “políticas internas” que estabeleçam, dentre outras regras: (i) quais são as medidas de segurança aplicadas (técnicas e procedimentais) que garantam a confidencialidade e disponibilidade das informações; (ii) como é realizada a gestão de incidentes, em caso de ocorrência envolvendo dados pessoais; (iii) qual o procedimento instituído que garante a constante atualização destas medidas; (iv) a limitação e controle de acesso ao serviço contratado; (v) a revisão periódica das medidas implementadas; (vi) condução de constantes treinamentos com os funcionários da companhia.
1.10. A CONTRATADA concorda e declara possuir medidas implementadas para proteger as informações pessoais que possam ser tratadas no serviço contratado, possuir uma política de segurança da informação instituída, a qual deverá determinar medidas técnicas e administrativas capazes de garantir a, disponibilidade e confidencialidade das informações tratadas no serviço contratado. Tal política deverá instituir, mas não limitar a:
a) condução de constantes treinamentos com os funcionários da companhia. e
b) possuir medidas técnicas de controle, que deverá possuir, no mínimo:
Controle de acesso físico às instalações do Data Center, garantindo que apenas pessoal autorizado tenha acesso aos locais onde os dados estão alocados.
Controles de proteção da rede da infraestrutura do Data Center.
Controle de sanitização de mídias físicas de armazenamento e decorrentes de cancelamento dos serviços, upgrades, downgrades ou falha do equipamento.
1.11. Nas situações que a CONTRATANTE necessite auxílio da CONTRATADA, para atender requisições realizadas por titulares de dados, como o serviço contratado trata-se de um IaaS (infraestrutura como serviço), a CONTRATADA poderá auxiliar a CONTRATANTE apenas em solicitações que envolvam os controles de segurança e privacidade enquanto provedor de infraestrutura de Data Center, uma vez que os sistemas, aplicações, ferramentas em que os dados são armazenados, processados e tratados, são de responsabilidade da CONTRATANTE.
1.12. A CONTRATADA cooperará com a CONTRATANTE em caso de qualquer Incidente, devendo:
1.13. Adotar todas medidas necessárias e razoáveis para remediar qualquer incidente envolvendo os dados pessoais e minimizar possíveis efeitos negativos aos titulares.
1.14. Prover a CONTRATANTE com todas as informações necessárias à apuração do ocorrido.
1.15. Abster-se de realizar qualquer comunicação a ANPD, autoridades públicas brasileiras, aos titulares ou terceiros, sem a prévia e expressa concordância da CONTRATANTE, que deverá controlar a redação final dessas comunicações e quem deverá realizá-las, observadas as disposições da LGPD.
1.16. A CONTRATANTE poderá a qualquer momento acessar, modificar, eliminar, armazenar, transferir, compartilhar, coletar, entre outras formas de tratamento previstas na LGPD, dados pessoais no serviço contratado, observando os limites e responsabilidades previstas nos termos da Lei nº 13.709/18O. A CONTRATADA poderá, mediante solicitação por escrito da CONTRATANTE, ou quando da extinção do vínculo contratual e obrigacional existente, eliminar os dados pessoais armazenados no serviço contratado e realizar a exclusão definitiva e permanente dos mesmos.
1.17. Caso a CONTRATADA seja destinatária de qualquer ordem judicial ou comunicação oficial que determine o fornecimento ou divulgação de informações pessoais, deverá notificar a CONTRATANTE, salvo quando a autoridade judicial requerer sigilo na investigação.
1.18. Caso os serviços contratados pela CONTRATANTE estejam alocados em Data Centers internacionais, o CONTRATANTE está ciente de que os dados armazenados em seu serviço contratado são mantidos através de um subcontratado, parceiro da Leanware Cloud, que implementa e mantém medidas apropriadas de segurança e disponibilidade da infraestrutura do Data Center em que os dados pessoais armazenados no serviço contratado estão alocados.
