Contrato de Processamento de Dados (“Data Processing Agreement – DPA”)

1.1 Escopo. Este Contrato de Processamento de Dados (“DPA”) rege o processamento pela dss⁺, quanto à função de processador de dados, dos dados pessoais do Cliente, encaminhados à dss⁺ no que se refere à prestação dos Serviços dss⁺, pelo do Cliente, por terceiros, ou em nome do Cliente (incluindo qualquer usuário final dos Serviços) (“Dados Pessoais do Cliente”), nos termos do Contrato de Serviço. Este DPA é válido durante a vigência do Contrato de Serviço.

1.2 Definições. Os Termos em letras maiúsculas, não definidos neste instrumento têm o significado dado a eles no Contrato. Ademais, conforme utilizados neste instrumento, os termos a seguir terão o seguinte significado:

• “Lei de Proteção de Dados aplicável” significa qualquer legislação de proteção de dados aplicável ao processamento dos Dados Pessoais do Cliente, incluindo (dependendo das circunstâncias, tudo o que possa ser periodicamente alterado): (i) a Lei Federal Suíça de Proteção de Dados e suas normas de implementação ( “legislação suíça de proteção de dados”); (ii) o Regulamento Geral de Proteção de Dados da UE (“EU General Data Protection Regulation - GDPR”) e seu equivalente no Reino Unido (o "UK GDPR"); e/ou (iii) outra legislação de proteção de dados aplicável.
• "controlador" significa a entidade que determina sozinha ou em conjunto com outras as finalidades e meios de processamento de Dados Pessoais.
• "Titular dos dados" significa a pessoa identificada ou identificável com aquela cujos dados pessoais pertença.
• "Dados pessoais" significa qualquer informação relativa a uma pessoa; pessoa física identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um fator identificador como nome, número de identificação, dados de localização, identificador on-line ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa física.
• "processador" significa a entidade que processa dados pessoais em nome do controlador.
• "processo" ou "processamento" significa qualquer operação ou conjunto de operações realizadas com dados pessoais ou conjuntos de dados pessoais, seja ou não por meios automáticos, tais como coleta, registro, organização, armazenamento, adaptação ou alteração, recuperação, consulta, divulgação por transmissão, disseminação ou disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.

1.3 Legislações de proteção de dados. Salvo disposição em contrário, este DPA será aplicável independentemente da legislação nesse sentido, no que se refere ao processamento dos Dados Pessoais do Cliente. Se leis de proteção de dados diferentes da legislação suíça de proteção de dados e do GDPR se aplicarem ao processamento dos Dados Pessoais do Cliente, o Cliente se compromete com a dss⁺ em cumprir as obrigações aplicáveis a ele com relação ao processamento dos Dados Pessoais do Cliente e a informar a dss⁺ por escrito sobre quaisquer disposições contidas em tal legislação que possam ter impacto no processamento dos Dados Pessoais do Cliente pela dss⁺ como um processador para o Cliente.

2.1 Papel (das Partes) e Compliance. As partes reconhecem e concordam que: (i) o objeto deste contrato e detalhes do processamento estão especificados no Anexo 1 deste documento; (ii) cada Parte deverá cumprir com suas obrigações nos termos das leis de proteção de dados aplicáveis, no que tange ao processamento dos Dados Pessoais do Cliente; (iii) o Cliente será um controlador, ou um processador para um terceiro, conforme o caso, dos Dados Pessoais do Cliente; e (iv) a dss⁺ será um processador dos Dados Pessoais do Cliente, exceto quando processar tais dados pessoais em nome das operações comerciais legítimas da dss⁺, inerentes à prestação dos Serviços, conforme maiores detalhes na Política de Privacidade da dss⁺.

2.2 Escopo do processamento. A dss⁺ processará os Dados Pessoais do Cliente de acordo com este DPA. Quando a dss⁺ atua como processador ou sub-processador dos Dados Pessoais do Cliente, a dss⁺ se compromete a processar os Dados Pessoais somente sob instruções documentadas do Cliente, a menos que uma legislação aplicável à dss⁺ exija de outro modo. Ao celebrar o Contrato de Serviço, o Cliente instrui a dss⁺ a processar os Dados Pessoais do Cliente, na qualidade de processador, somente em estrita conformidade com qualquer Legislação Aplicável de Proteção de Dados e, além disso, somente para fornecer e melhorar os Serviços, conforme documentado em Contrato, incluindo este DPA. O Cliente concorda que essas são as instruções documentadas completas, do Cliente para a dss⁺, para o processamento dos Dados Pessoais do Cliente e que quaisquer instruções adicionais ou alternativas deverão ser acordadas por escrito.

2.3 Obrigações do Cliente. O Cliente será responsável, isto é, pela qualidade, legalidade e relevância dos Dados Pessoais do Cliente, processados no contexto dos Serviços, e será responsável perante terceiros afetados pelo processamento e perante as autoridades competentes de proteção de dados. Em particular, o Cliente se compromete a: (i) ter, e manter sempre, bases válidas para o processamento de tais dados pessoais, inclusive obtendo consentimento se e conforme necessário; e (ii) fornecer informações suficientes aos emissores/receptores dos dados, sobre a coleta e o processamento dos dados pessoais do Cliente.

2.4 Eliminação de dados. A dss⁺ excluirá ou tornará permanentemente anônimos todos os Dados Pessoais do Cliente (incluindo quaisquer cópias existentes) nos sistemas da dss⁺, no final da vigência ou na rescisão do Contrato de Serviço, nos termos das leis de proteção de dados aplicáveis. A dss⁺ deverá cumprir esta instrução o mais rápido possível, a menos que a dss⁺ seja obrigada a reter todos ou parte dos Dados Pessoais do Cliente por razões técnicas ou legais. O Cliente reconhece e aceita que é responsabilidade exclusiva do Cliente transferir e/ou salvaguardar os Dados Pessoais do Cliente que deseje manter.

2.5 Assistência dss⁺. A dss⁺ deverá, se assim solicitado pelo Cliente, e sempre sujeito ao pagamento dos honorários e custos relacionados, fornecer ao Cliente a assistência razoavelmente necessária para que este cumpra suas obrigações, nos termos das respectivas leis de proteção de dados e, se for o caso, o regulamento sobre proteção de dados (GDPR) da Suíça, inclusive no que se refira aos pedidos das pessoas interessadas, avaliação de impacto e obrigações de consulta prévia conforme os Artigos 35 e 36 do GDPR, na medida compatível com a funcionalidade dos Serviços. Quando a dss⁺ atuar como processador, a dss⁺ encaminhará ao Cliente qualquer solicitação de dados pessoais de Cliente, o qual será responsável por responder a tais solicitações.

3.1 Medidas de segurança. A dss⁺ implementará e manterá medidas técnicas e organizacionais apropriadas para proteger os Dados Pessoais do Cliente contra a ocorrência de falha de segurança, que resulte na destruição acidental ou ilegal, perda, alteração ou acesso aos Dados Pessoais do Cliente (“Incidentes de Segurança”). A dss⁺ tomará as medidas apropriadas para assegurar o cumprimento das medidas de segurança acima mencionadas, por seus funcionários e subcontratados, em especial, garantindo que todas as pessoas autorizadas a tratar os Dados Pessoais do Cliente se comprometam a processar tais dados, estando contratualmente vinculadas a manter a confidencialidade ou a observar a obrigação legal de confidencialidade adequada.

3.1.1 Adequação às medidas de segurança. O cliente garante que verificou e se compromete a verificar continuamente se as medidas técnicas e organizacionais especificadas nesta Cláusula 3 são suficientes para proteger adequadamente os Dados Pessoais do Cliente, de acordo com os requisitos estabelecidos em qualquer lei de proteção de dados aplicável.

3.2 Incidentes de Segurança. Se exigido pelas leis de proteção de dados aplicáveis, caso a dss⁺ tomar conhecimento de um Incidente de Segurança, a dss⁺ se compromete a informar o Cliente o mais rápido possível por qualquer meio útil (em particular através da pessoa de contato designada pelo Cliente). As ações da dss⁺ relacionadas a esta Cláusula 3.2 não constituirão, e não devem ser interpretadas como admissão de qualquer falha ou responsabilidade pela dss⁺. O Cliente será responsável pela realização de qualquer análise dos Dados Pessoais do Cliente e pelo cumprimento das disposições legais a ele aplicáveis (tais como obrigações de notificação). Neste contexto, a dss⁺ prestará ao Cliente, as custas do mesmo, qualquer assistência razoavelmente exigida pelo Cliente para o cumprimento das suas obrigações.

3.3 Informações e auditorias sobre as medidas de segurança. Informações. Se exigido pelas leis de proteção de dados aplicáveis, a dss⁺ deverá disponibilizar ao Cliente todos os documentos e informações razoavelmente necessárias para demonstrar o cumprimento das obrigações da dss⁺ aqui estabelecidas e permitir ao Cliente ou a um auditor independente nomeado pelo Cliente (e razoavelmente aceitável pela dss⁺) auditar o cumprimento das obrigações da dss⁺ nos termos deste DPA. Qualquer informação ou solicitação de auditoria deve ser comunicada à dss⁺ por escrito e indicar os documentos específicos a serem analisados, inerentes às obrigações específicas da dss⁺ a serem auditadas. A dss⁺ informará ao Cliente as datas em que poderá consultar os documentos nos escritórios da dss⁺, ou em que a auditoria poderá ser realizada, e as modalidades dessa auditoria. Os custos do Cliente (inclusive para qualquer auditor independente por ele indicado) serão assumidos inteiramente pelo Cliente. A dss⁺ poderá faturar ao Cliente seus próprios custos, incorridos por força dessa Cláusula. Ao concluir a auditoria, o Cliente deverá encaminhar o relatório de auditoria completo à dss⁺, sem custos. O Cliente compromete-se expressamente a utilizar as informações coletadas somente para assegurar que a dss⁺ esteja em conformidade com suas obrigações no que se refira aos Dados Pessoais do Cliente e, em particular, que as informações coletadas não serão utilizadas para os fins de qualquer processo legal ou administrativo contra a dss⁺. As disposições contidas nesta Cláusula 3.3 não devem ser interpretadas como exigindo que a dss⁺ forneça ao Cliente (i) qualquer informação relativa a segredos comerciais da dss⁺ ou qualquer informação de natureza confidencial ou (ii) qualquer informação relativa a clientes da dss⁺ (exceto o Cliente). A dss⁺ pode submeter a revisão de documentos ou a realização de uma auditoria à conclusão de um acordo de confidencialidade específico.

4.1 Sub-Processadores. O cliente autoriza especificamente a dss⁺ a utilizar sub-processadores. A dss⁺ se compromete a garantir por escrito que: (i) o sub-processador somente acessará e processará os Dados Pessoais do Cliente na medida necessária para cumprir suas obrigações; (ii) o sub-processador tem obrigações contratuais para com a dss⁺ que sejam pelo menos equivalentes àquelas da dss⁺ para com o Cliente decorrentes deste DPA e do Contrato de Serviço; e (iii) se o GDPR se aplicar, as obrigações estabelecidas no Artigo 28(3) do GDPR tenham sido impostas ao sub-processador. Caso o GDPR se aplicar, a dss⁺ se compromete a informar ao Cliente com antecedência e por escrito sobre quaisquer mudanças planejadas referentes à adição ou substituição de outros sub-processadores; o Cliente terá então 14 dias após ser informado para apresentar suas objeções. Se a dss⁺ confirmar a nomeação do sub-processador, não obstante as objeções do Cliente, o Cliente terá o direito de encerrar os respectivos Serviços afetados, com efeito imediato através de notificação por escrito enviada dentro de 14 dias após o recebimento da confirmação da dss⁺, acima mencionada. Esse direito de rescisão será o único e exclusivo recurso do Cliente, qual seja, em caso de objeção a um novo sub-processador. A falha do Cliente em se opor e/ou terminar dentro dos prazos especificados nesta Cláusula 4.1 será considerada uma aceitação do novo sub-processador.

4.2 Transferências de dados. Os Dados Pessoais do Cliente que a dss⁺ processar, em nome do Cliente, não podem ser transferidos, ou armazenados e processados fora da localização geográfica do Cliente, exceto de acordo com o DPA e as medidas de segurança fornecidas nesta Cláusula. O Cliente concorda que a dss⁺ pode processar ou transferir Dados Pessoais do Cliente na Suíça, na União Europeia, ou em qualquer outro país, desde que tal país tenha sido reconhecido pela Comissão Europeia e pela Suíça como assegurando um nível adequado de proteção de dados pessoais ou que a transferência esteja sujeita às medidas de segurança apropriadas, tais como confiando nas Cláusulas Contratuais Padrão da Comissão Europeia, ou em outro mecanismo legal.

5.1 Pessoa de contato para proteção de dados. Todas os comunicados a serem feitos à dss⁺, relativas a este DPA e/ou à proteção de dados, deverão ser dirigidas a privacy@consultdss.com. A dss⁺ deverá fornecer os dados de contato do seu RPD ou, caso a nomeação de um RPD não for legalmente exigida, de uma pessoa de contato encarregada das questões de proteção de dados.

5.2 Registro de Atividades de Processamento. O cliente reconhece que a dss⁺ pode ser obrigada, em particular pelo GDPR, a: (i) coletar e armazenar certas informações, incluindo o nome e detalhes de contato de cada processador e/ou controlador com quem a dss⁺ atue e, quando aplicável, o representante local do controlador e/ou do responsável pela proteção de dados, bem como as categorias de processamento realizadas; e (ii) disponibilizar tais informações a qualquer autoridade competente.

5.3 Hierarquia. Em caso de conflito ou contradição entre os termos deste DPA e os termos de qualquer Contrato de Serviço aplicável, os termos deste DPA prevalecerão. Os termos do Contrato de Serviço deverão se aplicar a todos os aspectos que não sejam cobertos por este DPA.

5.4 Independência das Cláusulas. Se qualquer disposição deste DPA for considerada inválida ou inaplicável por qualquer razão, as Partes deverão substitui-la por uma nova disposição que alcance, na medida do possível, os mesmos propósitos legais e econômicos que os da disposição nula ou inexequível.

Em qualquer hipótese, o restante deste DPA permanecerá em pleno vigor e efeito entre as Partes. Sem limitar o que antecede, se houver a possibilidade de os dispositivos do Contrato sobre “lei aplicável” não forem adotados no que se refira a totalidade ou parte deste DPA, devido a dispositivo legal obrigatório de proteção de dados, as Partes concordam em aplicar a lei do Estado que impuser tal restrição (e onde a lei de diversos países for aplicável, naqueles com os quais a dss⁺ tiver maior conexão).