NESTE ANEXO DEFINIREMOS NOSSAS RESPONSABILIDADES QUANTO AO ATENDIMENTO À LEGISLAÇÃO APLICÁVEL A SEGURANÇA DA INFORMAÇÃO, PRIVACIDADE E PROTEÇÃO DOS DADOS PESSOAIS TRATADOS NO ÂMBITO DA CONTRATAÇÃO.
- Para aplicação deste Anexo, serão adotadas as seguintes definições:
- Dado Pessoal:informação relacionada, direta ou indiretamente, à pessoa natural identificada ou identificável.
- Tratamento: toda operação realizada com Dados Pessoais, como coleta, armazenamento, acesso, uso, compartilhamento, enriquecimento e/ou sua eliminação.
- Titular: pessoa natural a quem se referem os Dados Pessoais que são objeto de Tratamento.
- Controlador: a quem competem as decisões referentes ao Tratamento de Dados Pessoais, especialmente relativas às finalidades e aos meios de Tratamento de Dados Pessoais.
- Operador: a parte que trata Dados Pessoais de acordo com as instruções do Controlador.
- Suboperador: terceiro e/ou subcontratado pela ZENVIA para auxiliar no cumprimento de obrigações referentes ao Tratamento de Dados da contratação estabelecida entre nós.
- Encarregado: pessoa indicada pelas partes para atuar como canal de comunicação com os titulares dos dados e a Autoridade Nacional de Proteção de Dados.
- Autoridades de Proteção de Dados: é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Legislação Aplicável.
- Incidente de Segurança (envolvendo Dados Pessoais): qualquer acesso, aquisição, uso, modificação, divulgação, perda, destruição ou dano acidental, ilegal ou não autorizado que envolva Dados Pessoais.
- Legislação Aplicável: significa a Lei n. 13.709/18 (“LGPD”) e as demais regulações relacionadas à privacidade e proteção de Dados Pessoais, inclusive as legislações locais.
2. Conformidade com a Legislação Aplicável à Privacidade e Proteção de Dados.
2.1 As Partes declaram que possuem conhecimento e cumprem toda a Legislação Aplicável, inclusive (sempre e quando aplicáveis) a Constituição Federal, o Código de Defesa do Consumidor, o Código Civil, o Marco Civil da Internet (Lei Federal n. 12.965/2014), seu decreto regulamentador (Decreto 8.771/2016), a LGPD e demais normas setoriais ou gerais sobre o tema.
2.2 O CLIENTE declara que conhece as disposições contidas na Política de Privacidade da ZENVIA, disponível no link https://www.zenvia.com/politica-de-privacidade/.
3. Finalidade do Tratamento de Dados Pessoais no âmbito da Contratação
3.1 Para os fins do presente Anexo, o CLIENTE será considerado como Controlador de Dados Pessoais, enquanto a ZENVIA será considerada como Operadores dos Dados Pessoais.
3.2 Enquanto Operadores, a ZENVIA garante que os Dados Pessoais recebidos serão tratados apenas para cumprir o disposto em Contrato celebrado com o CLIENTE ou para cumprir as instruções fornecidas pelo CLIENTE, em decorrência da condição de Controlador, sempre observando aos princípios, regras e a Legislação Aplicável.
4. Confidencialidade dos Dados Pessoais
4.1 Todos os Dados Pessoais disponibilizados pelo CLIENTE no âmbito dos serviços prestados pela ZENVIA serão considerados confidenciais e serão tratados conforme condições estabelecidas na Cláusula 7ª dos Termos e Condições Gerais de Serviços da ZENVIA.
5. Medidas e controles de segurança adotados pela ZENVIA
5.1 A ZENVIA declara e garante que possui medidas implementadas para proteger os Dados Pessoais Tratados, assim como possui políticas de segurança instituídas, que determinam medidas técnicas e administrativas para garantir a integridade, disponibilidade e confidencialidade das informações.
5.2 São medidas de segurança adotadas pela ZENVIA para garantir a maior segurança possível aos Dados Pessoais Tratados:
(a) autenticação dos usuários;
(b) criptografia dos Dados e do conteúdo das transações;
(c) prevenção e detecção de intrusão;
(d) prevenção de vazamento de informações;
(e) proteção contra softwares maliciosos;
(f) mecanismos de rastreabilidade;
(g) controles de acesso e de segmentação da rede de computadores; e
(h) manutenção de cópias de segurança dos Dados Pessoais e das informações.
5.3 Caso o CLIENTE tenha dúvidas referentes às medidas de segurança adotadas pela ZENVIA, poderá entrar em contato através da opção “Bate Papo com a Zoe“, disponível no botão de dúvida do ambiente https://app.zenvia.com/.
6. Compartilhamento dos Dados Pessoais
6.1 Em determinados casos, a ZENVIA poderá compartilhar Dados Pessoais com eventuais Suboperadores que sejam contratados para cumprir com algumas obrigações contratuais e prestar os serviços ou parte deles.
6.2 Quando solicitado pelo CLIENTE, a ZENVIA dará visibilidade sobre quais são estes terceiros Suboperadores e atividades específicas desempenhadas, desde que estejam diretamente ligados à execução dos serviços contratados pelo CLIENTE.
6.3 Quando houver o compartilhamento de Dados Pessoais, a ZENVIA buscará garantir que tais terceiros se obriguem a adotar níveis e padrões equivalentes de proteção aos Dados Pessoais e de medidas de segurança da informação como as estabelecidas neste Anexo, bem como deverá a ZENVIA ser responsabilizada por todas as perdas e danos decorrentes do uso indevido dos Dados Pessoais, desde que tais perdas e danos estejam ligados a condutas culposas ou dolosas da ZENVIA ou dos Suboperadores.
7. Realização de Auditorias
7.1 A ZENVIA reconhece o direito do CLIENTE em conduzir auditorias relacionadas às atividades de Tratamento existentes por força deste Anexo e dos serviços prestados pela ZENVIA. Assim, As Partes disponibilizarão, quando solicitado, desde que haja comunicação prévia de 5 (cinco) dias úteis e que as atividades regulares não sejam prejudicadas, toda a documentação necessária para demonstrar o cumprimento às obrigações previstas neste Anexo e na Legislação Aplicável sobre privacidade e proteção de Dados Pessoais.
7.2 Em nenhuma hipótese será admitido o acesso a quaisquer informações e/ou Dados Pessoais (i) relativos a outros clientes além daqueles diretamente relacionados aos serviços prestados pela ZENVIA ao CLIENTE; e/ou (ii) que estejam sujeitos a obrigações de confidencialidade com terceiros ou protegidos por segredos comerciais e/ou industriais.
8. Transferência Internacional de Dados Pessoais
8.1 O CLIENTE concorda que, caso necessário para a execução do Contrato e atendimento a qualquer das condições nele previstas, a ZENVIA poderá realizar
transferência internacional dos Dados Pessoais Tratados durante a execução dos serviços prestados..
8.2 Caso haja a transferência internacional dos Dados Pessoais, a ZENVIA se compromete a tomar todas as medidas necessárias e possíveis para assegurar, de boa-fé, que tal transferência de Dados Pessoais esteja em conformidade com a Legislação Aplicável.
9. Atendimento de solicitações dos Titulares dos Dados Pessoais
9.1 O CLIENTE, na condição de Controlador dos Dados Pessoais, deverá atender as requisições de exercício de direitos por parte dos Titulares ou solicitações das Autoridades de Proteção de Dados ou qualquer outra autoridade que venha a fiscalizar o Tratamento de Dados Pessoais.
9.2 A ZENVIA, sempre que necessário e solicitado pelo CLIENTE, deverá oferecer todo o suporte para o cumprimento de requisições realizadas pelos Titulares ou por qualquer autoridade, tais como:
(a) pedidos de acesso aos Dados Pessoais;
(b) correção de Dados Pessoais incompletos, inexatos ou desatualizados;
(c) anonimização, bloqueio ou eliminação de Dados Pessoais desnecessários ou excessivos;
(d) portabilidade; e
(e) outros direitos previstos na Legislação Aplicável.
10. Comunicação de Incidentes de Segurança
10.1 Caso ocorra um Incidente de Segurança que possa acarretar risco ou dano relevante aos Titulares, as Partes deverão comunicar, conforme o caso, à outra parte sobre o Incidente de Segurança em até 48 (quarenta e oito) horas úteis, contadas da ciência de sua ocorrência.
10.2 A comunicação deverá conter, no mínimo, as seguintes informações:
(a) Data e hora do Incidente de Segurança;
(b) Data e hora da ciência pelo notificante;
(c) Relação dos tipos de Dados Pessoais afetados pelo Incidente de Segurança;
(d) Número de titulares afetados (volumetria do Incidente de Segurança) e, se possível, a relação destes indivíduos;
(e) Dados de contato do Encarregado ou outra pessoa junto à qual seja possível obter maiores informações sobre o ocorrido; e
(f) Descrição das possíveis consequências do evento.
10.3 O CLIENTE, na condição de Controlador dos Dados Pessoais relacionados ao Incidente de Segurança, será responsável por realizar as comunicações necessárias aos órgãos reguladores e aos Titulares de Dados Pessoais, quando necessário, nos termos da Legislação Aplicável.
10.4 Se o Incidente de Segurança ou os efeitos do Incidente de Segurança envolverem a ZENVIA, as comunicações em questão devem ser previamente alinhadas entre o CLIENTE e a ZENVIA.
10.5 Quando o CLIENTE, atuando como Controlador, não comprovar o cumprimento da notificação do Incidente de Segurança à Autoridade Nacional de Proteção de Dados, em até 72 (setenta e duas) horas contadas da ciência do fato, a ZENVIA terá o direito de realizar as comunicações necessárias, sem necessidade de anuência prévia, exceto se o atraso se der por motivo justificado.
10.6 As Partes acordam que atuarão em colaboração para evitar e cessar eventual Incidente de Segurança, investigando, ainda, as possíveis causas e considerando, inclusive, a realização de auditorias, para conclusão da investigação.
11. Eliminação dos Dados Pessoais
11.1 A ZENVIA excluirá definitivamente ou devolverá os Dados Pessoais quando:
(a) solicitado pelo CLIENTE;
(b) quando a relação contratual das Partes e as obrigações dela decorrentes, forem encerradas; ou
(c) quando cumprida a finalidade do Tratamento.
11.1.1 A ZENVIA poderá manter eventuais Dados Pessoais, quando a permanência de Tratamento seja permitida por lei ou quando for necessária para cumprir alguma obrigação legal ou regulatória ou, ainda, resguardar um direito legítimo.
11.2 Mesmo após o encerramento do contrato ou de outros acordos celebrados entre as Partes, as obrigações previstas neste Anexo perdurarão enquanto as Partes tiverem acesso, estiverem em posse ou conseguirem realizar qualquer operação de Tratamento dos Dados Pessoais envolvendo informações fornecidas durante a relação contratual.
12. Responsabilidades do CLIENTE na utilização da Plataforma
12.1 Além das demais responsabilidades previstas nestes Termos e Condições Gerais de Serviços, neste Anexo, no Contrato e na Legislação Aplicável, o CLIENTE declara e garante que:
(a) todos os Dados Pessoais que, de qualquer forma, tenham sido ou sejam transferidos para a ZENVIA, foram e serão obtidos de forma lícita, com uma base legal apropriada nos termos da Legislação Aplicável, com a devida transparência aos Titulares de Dados em relação a como serão tratados os Dados Pessoais, nos termos da Legislação Aplicável, inclusive em relação à proteção e sigilo dos Dados Pessoais;
(b) obteve, de forma prévia e através de manifestação livre, inequívoca e informada, o consentimento dos Destinatários para envio de mensagens, quando esta autorização for exigível para a legalidade da comunicação, nos termos da Legislação Aplicável e/ou por conta de responsabilidades assumidas contratualmente com terceiros;
(c) se, durante a utilização dos serviços, existir a possibilidade de Tratamento de Dados Pessoais de menores de idade ou de Dados Pessoais sensíveis, obteve o consentimento necessário, conforme requisitos legais determinados pela Legislação Aplicável, e comunicará previamente a ZENVIA sobre a possibilidade deste Tratamento;
(d) é integralmente responsável pelo formato, precisão, qualidade, conteúdo e licitude dos Dados Pessoais carregados, armazenados e processados nas Plataformas utilizadas nos serviços, nos termos da Legislação Aplicável;
(e) é integralmente responsável pelo Tratamento de Dados Pessoais realizado por si, ou conforme solicitação do CLIENTE, no contexto da execução da relação contratual, e manterá a ZENVIA indene de quaisquer perdas e danos, direto ou indiretos, decorrentes de qualquer operação de Tratamento de Dados Pessoais realizada em desacordo com este Anexo e com a Legislação Aplicável.
12.1.1 Manter indene significará, exemplificativamente, conforme o caso: (1) indenizar e reembolsar a ZENVIA, (2) prestar garantias em processos, (3) assumir a responsabilidade sobre atos e fatos ligados a utilização do canal pelo CLIENTE, (4) habilitar-se em processos judiciais e administrativos que tenham por objeto atos ou fatos ligados a utilização do canal pelo CLIENTE, solicitando, quando cabível, a exclusão da ZENVIA do processo.