TERMO DE COMPROMISSO DE PRIVACIDADE
(Para fornecedores, prestadores e terceiros contratados)
Em decorrência da relação contratual e comercial existente entre as Partes, onde a FESAP HOLDING, PARTICIPAÇÕES E REPRESENTAÇÕES LTDA. figura como “Contratante” e a empresa contratada como “Contratada”, as Partes decidem firmar o presente Termo de Compromisso de Privacidade (“Termo”) para tratar de questões relativas à privacidade e proteção de dados pessoais, conforme as disposições abaixo:
1.1. Para os fins do presente Termo, “Dados Pessoais” são todos e quaisquer dados relacionados à pessoa natural identificada ou identificável, incluindo, mas não se limitando a, os dados de qualquer forma relacionados a funcionários, clientes, representantes de clientes e fornecedores, prestadores, candidatos, parceiros e contatos da Contratante.
1.2. A Contratada compromete-se a zelar pelos Dados Pessoais que sejam a ela disponibilizados pela Contratante ou que estejam sob a posse ou controle da Contratante e sejam, porventura, de qualquer modo acessados pela Contratada (“Dados Pessoais Compartilhados”), observando rigorosamente, em todas as etapas de tratamento dos Dados Pessoais Compartilhados, a integralidade das leis, normas e regulamentações vigentes e aplicáveis à situação (doravante conjuntamente designadas “Legislação Aplicável”).
1.3. Com o intuito de cumprir o disposto nas Cláusulas 1.1 e 1.2 acima, a Contratada compromete-se a adotar todas as medidas necessárias e/ou exigidas direta ou indiretamente pela Legislação Aplicável, incluindo as seguintes:
a) utilizar os Dados Pessoais Compartilhados de acordo com as orientações da Contratante e em estrita observância da finalidade designada;
b) não compartilhar os Dados Pessoais Compartilhados com terceiros, salvo com a prévia e expressa autorização por escrito da Contratante, ocasião em que a Contratante deverá ser informada sobre a(s) empresa(s), entidade(s) e/ou pessoa(s) com quem os Dados Pessoais Compartilhados serão compartilhados, sobre o tipo e quantidade de Dados Pessoais Compartilhados que serão objeto do referido compartilhamento e sobre as medidas que serão adotadas para que este terceiro também observe todas as obrigações previstas neste Termo no tocante aos Dados Pessoais Compartilhados;
c) adotar tecnologias, técnicas e rotinas de segurança da informação com o intuito de preservar a confidencialidade e a inviolabilidade dos Dados Pessoais Compartilhados e evitar que tais dados sejam acessados, divulgados, excluídos, alterados ou de qualquer modo usados de maneira não autorizada ou ilegal, bem como evitar que os Dados Pessoais Compartilhados sejam danificados, perdidos ou divulgados de forma acidental, atendendo, no mínimo, os padrões estabelecidos na Legislação Aplicável e aqueles comumente verificados em seu segmento;
d) implementar controles de acesso e de registro de atividades dos usuários para assegurar que apenas colaboradores autorizados tenham acesso aos Dados Pessoais Compartilhados e para a finalidade de monitorar e manter um registro de todas as atividades dos colaboradores autorizados em relação aos Dados Pessoais Compartilhados, pelo tempo que Legislação Aplicável assim permitir e/ou exigir;
e) notificar a Contratante por escrito, no prazo máximo de 24 (vinte e quatro) horas corridas, sobre qualquer incidente que ocasione – ou possa ocasionar – um vazamento total ou parcial dos Dados Pessoais Compartilhados. Tal notificação deverá conter, no mínimo: (i) a descrição completa do incidente e a natureza dos Dados Pessoais afetados; (ii) informações detalhadas sobre os titulares envolvidos; (iii) a descrição detalhada das medidas técnicas e de segurança da informação utilizadas para a proteção dos Dados Pessoais envolvidos no incidente; (iv) os riscos, ainda que remotos, relacionados ao incidente, e; (v) as medidas que foram ou que serão adotadas pela Contratada para reverter ou mitigar os efeitos dos danos oriundos do incidente ou potencial incidente;
f) notificar a Contratante por escrito, no prazo máximo de 24 (vinte e quatro) horas corridas, acerca de qualquer notificação, fiscalização, reclamação, consulta ou solicitação realizada por uma autoridade competente no tocante aos Dados Pessoais Compartilhados ou de qualquer modo relativa às operações de tratamento de Dados Pessoais realizadas pela Contratada. Tal notificação deverá conter, no mínimo: (i) a descrição completa das solicitações, informações, apontamentos e/ou comunicações formuladas pela autoridade; (ii) indicação da necessidade da Contratante prestar esclarecimentos; (iii) o prazo fornecido pela autoridade para resposta; (iv) as respostas prévias, se aplicável, que foram ou serão fornecidas para a autoridade; (v) a descrição detalhada de todas as medidas adotadas para atender às solicitações da autoridade; (vi) as eventuais penalidades, apontadas pela autoridade, na hipótese de suas reivindicações não serem atendidas, e; (vii) cópia da intimação, notificação e/ou o solicitação da autoridade;
g) notificar a Contratante por escrito, no prazo máximo de 24 (vinte e quatro) horas corridas, sobre qualquer tratamento indevido dos Dados Pessoais Compartilhados e/ou inadimplemento das obrigações do Termo no tocante a Dados Pessoais. Tal notificação deverá conter, no mínimo: (i) a descrição completa da violação ocorrida; (ii) a descrição da natureza dos Dados Pessoais afetados; (iii) informações sobre os titulares envolvidos; (iv) informação sobre as medidas técnicas e de segurança utilizadas para a proteção dos referidos Dados Pessoais; (iv) os riscos, ainda que remotos, de qualquer modo relacionados à violação, e; (v) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos dos danos oriundos da referida violação;
h) atender às solicitações de informação, retificação, complementação, exclusão, portabilidade e/ou qualquer outra reivindicação prevista na Legislação Aplicável no tocante aos Dados Pessoais Compartilhados, no prazo de até 5 (cinco) dias, contados da solicitação por escrito da Contratante. Caso alguma das medidas não possa ser cumprida pela Contratada, esta deverá informar o Contratante, de forma devidamente justificada, no mesmo prazo mencionado acima;
i) informar imediatamente à Contratante, caso um titular de Dados Pessoais Compartilhados solicite, diretamente para a Contratada, a retificação, complementação, exclusão, portabilidade e/ou qualquer outra medida prevista na Legislação Aplicável no tocante a Dados Pessoais;
j) não transferir os Dados Pessoais Compartilhados para o exterior, salvo com prévia e expressa anuência por escrito de um representante legal da Contratante, ocasião em que a Contratante deverá ser informada para qual finalidade e país os Dados Pessoais Compartilhados serão transferidos;
k) exaurida a finalidade do tratamento dos Dados Pessoais Compartilhados, tais dados deverão ser imediatamente eliminados e/ou anonimizados, de forma segura e definitiva, salvo se a manutenção dos Dados Pessoais Compartilhados estiver fundamentada no cumprimento de obrigação legal ou regulatória;
l) fazer com que os seus colaboradores, funcionários e terceiros contratados, que tenham de qualquer modo acesso aos Dados Pessoais Compartilhados, observem as obrigações deste Termo no tocante a Dados Pessoais, bem como respeitem os termos da Legislação Aplicável, fornecendo inclusive treinamento e capacitação recorrente para tais colaboradores, funcionários e terceiros;
m) a se submeter e cooperar com eventuais auditorias, nas áreas de proteção de dados e segurança da informação, realizadas pela Contratante e/ou por terceiro indicado pela Contratante, as quais serão custeadas pela Contratante, realizadas em horário comercial e informadas à Contratada com pelo menos 7 (sete) dias úteis de antecedência, e;
n) a cumprir – e fazer com que todos os seus funcionários também cumpram -, em toda a extensão que lhe for aplicável, o Aviso de Privacidade da Contratante, disponível no endereço eletrônico [https://fesagroup.com/politica-de-privacidade/], comprometendo-se a acessar regularmente o referido endereço eletrônico, para se atualizar de eventuais alterações no referido Aviso e/ou tomar conhecimento de novas políticas porventura instituídas pela Contratante após a celebração deste Termo.
1.4. Sem prejuízo da eventual aplicação das penalidades previstas neste Termo, a Contratada se responsabiliza integralmente por quaisquer prejuízos que a Contratante venha a sofrer em razão do uso indevido ou inadequado dos Dados Pessoais Compartilhados e por qualquer inadimplemento à Legislação Aplicável que prejudique direta e/ou indiretamente à Contratante ou os titulares dos Dados Pessoais Compartilhados, bem como assume a obrigação de defender e manter indene a Contratante por todo e qualquer prejuízo por ela sofrido em razão do tratamento de Dados Pessoais de qualquer modo realizado pela Contratada.
Parágrafo Primeiro: Os prejuízos citados no caput incluem, mas não se limitam a, indenizações em favor dos titulares dos Dados Pessoais Compartilhados, multa(s) arbitrada(s) pela autoridade e/ou qualquer outro órgão competente, custas processuais, valores provenientes de condenações judiciais, danos reputacionais etc.
Parágrafo Segundo: Na hipótese da Contratante ser demandada, a qualquer tempo, em razão de condutas da Contratada no tocante a Dados Pessoais, a Contratada deverá: (i) intervir voluntariamente no feito, pleiteando a imediata exclusão da Contratante da lide, (ii) assumir a responsabilidade integral e exclusiva pelo pagamento e/ou providências reclamadas, e (iii) ressarcir integralmente a Contratante pelos custos e despesas porventura incorridos em consequência da demanda, incluindo honorários de advogados. Caso não se opere a referida exclusão, a Contratada responderá pelo pagamento e pelo cumprimento integral da decisão, ou, se aplicável, deverá ressarcir imediatamente a Contratante.
1.5. Sem prejuízo do cumprimento cumulativo das disposições gerais do Termo sobre comunicações e notificações, para toda e qualquer questão relativa a Dados Pessoais Compartilhados ou Dados Pessoais, a Contratada deverá também contatar, quando das comunicações e notificações previstas neste Termo ou na Legislação Aplicável, o Encarregado da Contratante, cujos dados seguem descritos abaixo:
Nome: Hugo Lopes Montinho
E-mail: [email protected]
Telefone: +55 (11) 3365-3800
1.6. A Contratante, por sua vez, declara que é responsável pelos referidos Dados Pessoais Compartilhados, obrigando-se pela obtenção, quando aplicável, de consentimentos válidos dos titulares – e, se necessário, dos correspondentes responsáveis legais – para que tais Dados Pessoais Compartilhados possam ser tratados, acessados e/ou compartilhados com a Contratada em consonância com este Termo. Adicionalmente, a Contratante declara que trata os Dados Pessoais Compartilhados de acordo com a Legislação Aplicável.
1.7. As Partes declaram que cumprem a Legislação Aplicável no tocante à proteção de Dados Pessoais, incluindo, mas não se limitando a, às disposições previstas na Lei Geral de Proteção de Dados Pessoais (Lei no. 13.709/2018), bem como que o tratamento de Dados Pessoais que realizam não viola, restringe ou impacta negativamente os direitos assegurados pela Legislação Aplicável aos titulares dos Dados Pessoais Compartilhados.