NESTE ANEXO DEFINIREMOS NOSSAS RESPONSABILIDADES QUANTO AO ATENDIMENTO À LEGISLAÇÃO APLICÁVEL A SEGURANÇA DA INFORMAÇÃO, PRIVACIDADE E PROTEÇÃO DOS DADOS PESSOAIS TRATADOS NO ÂMBITO DA CONTRATAÇÃO.
1. PARA APLICAÇÃO DESTE ANEXO, SERÃO ADOTADAS AS SEGUINTES DEFINIÇÕES:
- • Grupo Zenvia: são todas as empresas que estão no mesmo Grupo Econômico da Zenvia, ou seja, as sociedades listadas “Anexo I – Relação de Afiliadas” da Política de Privacidade da Zenvia.
- • Cliente: Aqueles que contratam algum serviço prestado pelo Grupo Zenvia, incluídas as pessoas naturais que, representando o contratante, operam os serviços.
- • Dado Pessoal: informação relacionada, direta ou indiretamente, à pessoa natural identificada ou identificável.
- • Tratamento: toda operação realizada com Dados Pessoais, como coleta, armazenamento, acesso, uso, compartilhamento, enriquecimento e/ou sua eliminação.
- • Titular: pessoa natural a quem se referem os Dados Pessoais que são objeto de Tratamento.
- • Controlador: a quem competem as decisões referentes ao Tratamento de Dados Pessoais, especialmente relativas às finalidades e aos meios de Tratamento de Dados Pessoais.
- • Operador: a parte que trata Dados Pessoais de acordo com as instruções do Controlador.
- • Suboperador: terceiro e/ou subcontratado pelo Grupo Zenvia para auxiliar no cumprimento de obrigações referentes ao Tratamento de Dados da contratação estabelecida entre as partes.
- • Encarregado: pessoa indicada pelas partes para atuar como canal de comunicação com os titulares dos dados e a Autoridade Nacional de Proteção de Dados.
- • Autoridades de Proteção de Dados: são os órgãos da administração pública responsáveis por zelar, implementar e fiscalizar o cumprimento das Legislações Aplicáveis.
- • Incidente de Segurança envolvendo Dados Pessoais: qualquer acesso, aquisição, uso, modificação, divulgação, perda, destruição ou dano acidental, ilegal ou não autorizado que envolva Dados Pessoais.
- • Legislação Aplicável: significa a legislação de privacidade e proteção de dados aplicável ao tratamento de dados pessoais objeto do contrato firmado entre as Partes, inclusive a Lei n. 13.709/18 (“LGPD”) e as demais regulações relacionadas ao tema.
Os demais termos iniciados ou escritos em letras maiúsculas utilizados neste Anexo terão os mesmos significados que lhes foram atribuídos nos Termos Gerais de Serviço, exceto quando estiver de outra forma expressamente previsto aqui.
2. CONFORMIDADE COM A LEGISLAÇÃO APLICÁVEL À PRIVACIDADE E PROTEÇÃO DE DADOS.
2.1 As Partes declaram que possuem conhecimento e cumprem todas as Legislações Aplicáveis, inclusive (sempre e quando aplicáveis) a Constituição Federal, o Código de Defesa do Consumidor, o Código Civil, o Marco Civil da Internet (Lei Federal n. 12.965/2014), seu decreto regulamentador (Decreto 8.771/2016), a LGPD e demais normas setoriais ou gerais sobre o tema.
2.2 O CLIENTE declara que conhece as disposições contidas na Política de Privacidade do Grupo Zenvia, disponível no link https://www.zenvia.com/politica-de-privacidade/.
3. FINALIDADE DO TRATAMENTO DE DADOS PESSOAIS NO ÂMBITO DA CONTRATAÇÃO
3.1 Para os fins do presente Anexo, o CLIENTE será considerado como Controlador de Dados Pessoais, enquanto o Grupo Zenvia será considerado como Operador dos Dados Pessoais.
3.2 Enquanto Operador, o Grupo Zenvia garante que os Dados Pessoais recebidos serão tratados apenas para cumprir o disposto em Contrato celebrado com o CLIENTE ou para cumprir as instruções fornecidas pelo CLIENTE, em decorrência da condição de Controlador, sempre observando aos princípios, regras e a Legislação Aplicável.
3.2.1. O CLIENTE está ciente e concorda que a ZENVIA poderá utilizar dados agregados e, na medida do possível, anonimizados para fins de desenvolvimento de seus produtos, serviços ou outras tecnologias, bem como para aprimoramento de soluções baseadas em inteligência artificial.
4. CONFIDENCIALIDADE DOS DADOS PESSOAIS
4.1 Todos os Dados Pessoais disponibilizados pelo CLIENTE no âmbito dos serviços prestados pelo Grupo Zenvia serão considerados confidenciais e serão tratados conforme condições estabelecidas na Cláusula 7ª dos Termos e Condições Gerais de Serviços do Grupo Zenvia.
5. MEDIDAS E CONTROLES DE SEGURANÇA ADOTADOS PELO GRUPO ZENVIA
5.1 O Grupo Zenvia declara e garante que possui medidas implementadas para proteger os Dados Pessoais Tratados, assim como possui políticas de segurança instituídas, que determinam medidas técnicas e administrativas para garantir a integridade, disponibilidade e confidencialidade das informações.
5.2 São medidas de segurança adotadas pelo Grupo Zenvia para garantir a maior segurança possível aos Dados Pessoais Tratados:
- a. autenticação dos usuários;
- b. criptografia dos Dados e do conteúdo das transações;
- c. prevenção e detecção de intrusão;
- d. prevenção de vazamento de informações;
- e. proteção contra softwares maliciosos;
- f. mecanismos de rastreabilidade;
- g. controles de acesso e de segmentação da rede de computadores; e
- h. manutenção de cópias de segurança dos Dados Pessoais e das informações.
5.3 Caso o CLIENTE tenha dúvidas referentes às medidas de segurança adotadas pelo Grupo Zenvia, poderá entrar em contato através da opção “Bate Papo com a Zoe“, disponível no botão de dúvida do ambiente https://app.zenvia.com/.
6. COMPARTILHAMENTO DOS DADOS PESSOAIS
6.1 Em determinados casos, o Grupo Zenvia poderá compartilhar Dados Pessoais com eventuais Suboperadores que sejam contratados para cumprir com algumas obrigações contratuais e prestar os serviços ou parte deles.
6.2 Quando solicitado pelo CLIENTE, o Grupo Zenvia dará visibilidade sobre quais são estes terceiros Suboperadores e atividades específicas desempenhadas, desde que estejam diretamente ligados à execução dos serviços contratados pelo CLIENTE, observados os segredos comerciais e industriais do Grupo Zenvia.
6.3 Quando houver o compartilhamento de Dados Pessoais, o Grupo Zenvia buscará garantir que tais terceiros se obriguem a adotar níveis e padrões equivalentes de proteção aos Dados Pessoais e de medidas de segurança da informação como as estabelecidas neste Anexo, bem como deverá o Grupo Zenvia ser responsabilizada por todas as perdas e danos decorrentes do uso indevido dos Dados Pessoais, desde que tais perdas e danos estejam ligados a condutas culposas ou dolosas do Grupo Zenvia ou dos Suboperadores.
7. REALIZAÇÃO DE AUDITORIAS
7.1 O Grupo Zenvia reconhece o direito do CLIENTE em conduzir auditorias relacionadas às atividades de Tratamento existentes por força deste Anexo e dos serviços prestados pelo Grupo Zenvia. Assim, as Partes disponibilizarão, quando solicitado, desde que haja comunicação prévia de 5 (cinco) dias úteis e que as atividades regulares não sejam prejudicadas, toda a documentação necessária para demonstrar o cumprimento às obrigações previstas neste Anexo e na Legislações Aplicáveis sobre privacidade e proteção de Dados Pessoais.
7.2 Em nenhuma hipótese será admitido o acesso a quaisquer informações e/ou Dados Pessoais (i) relativos a outros clientes além daqueles diretamente relacionados aos serviços prestados pelo Grupo Zenvia ao CLIENTE; e/ou (ii) que estejam sujeitos a obrigações de confidencialidade com terceiros ou protegidos por segredos comerciais e/ou industriais.
8. TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
8.1 O CLIENTE concorda que, caso necessário para a execução do Contrato e atendimento a qualquer das condições nele previstas, o Grupo Zenvia poderá realizar transferência internacional dos Dados Pessoais Tratados durante a execução dos serviços prestados.
8.2 Caso haja a transferência internacional dos Dados Pessoais, o Grupo Zenvia se compromete a tomar todas as medidas necessárias e possíveis para assegurar, de boa-fé, que tal transferência de Dados Pessoais esteja em conformidade com as Legislações Aplicáveis.
9. ATENDIMENTO DE SOLICITAÇÕES DOS TITULARES DOS DADOS PESSOAIS
9.1 O CLIENTE, na condição de Controlador dos Dados Pessoais, deverá atender as requisições de exercício de direitos por parte dos Titulares ou solicitações das Autoridades de Proteção de Dados ou qualquer outra autoridade que venha a fiscalizar o Tratamento de Dados Pessoais.
9.2 O Grupo Zenvia, sempre que necessário e solicitado pelo CLIENTE, deverá oferecer todo o suporte para o cumprimento de requisições realizadas pelos Titulares ou por qualquer autoridade, tais como:
- a. pedidos de acesso aos Dados Pessoais;
- b. correção de Dados Pessoais incompletos, inexatos ou desatualizados;
- c. anonimização, bloqueio ou eliminação de Dados Pessoais desnecessários ou excessivos;
- d. portabilidade; e
- e. outros direitos previstos nas Legislações Aplicáveis.
10. COMUNICAÇÃO DE INCIDENTES DE SEGURANÇA
10.1 Caso ocorra um Incidente de Segurança que possa acarretar risco ou dano relevante aos Titulares, as Partes deverão comunicar, conforme o caso, à outra parte sobre o Incidente de Segurança em até 48 (quarenta e oito) horas úteis, contadas da ciência de sua ocorrência.
10.2 A comunicação deverá conter, no mínimo, as seguintes informações:
- a. Data e hora do Incidente de Segurança;
- b. Data e hora da ciência pelo notificante;
- c. Relação dos tipos de Dados Pessoais afetados pelo Incidente de Segurança;
- d. Número de titulares afetados (volumetria do Incidente de Segurança) e, se possível, a relação destes indivíduos;
- e. Dados de contato do Encarregado ou outra pessoa junto à qual seja possível obter maiores informações sobre o ocorrido; e
- f. Descrição das possíveis consequências do evento.
10.3 O CLIENTE, na condição de Controlador dos Dados Pessoais relacionados ao Incidente de Segurança, será responsável por realizar as comunicações necessárias aos órgãos reguladores e aos Titulares de Dados Pessoais, quando necessário, nos termos das Legislações Aplicáveis.
10.4 Se o Incidente de Segurança ou os efeitos do Incidente de Segurança envolverem o Grupo Zenvia, as comunicações em questão devem ser previamente alinhadas entre o CLIENTE e o Grupo Zenvia.
10.5 Quando o CLIENTE, atuando como Controlador, não comprovar o cumprimento da notificação do Incidente de Segurança à Autoridade Nacional de Proteção de Dados, em até 72 (setenta e duas) horas contadas da ciência do fato, o Grupo Zenvia terá o direito de realizar as comunicações necessárias, sem necessidade de anuência prévia, exceto se o atraso se der por motivo justificado.
10.6 As Partes acordam que atuarão em colaboração para evitar e cessar eventual Incidente de Segurança, investigando, ainda, as possíveis causas e considerando, inclusive, a realização de auditorias, para conclusão da investigação.
11. ELIMINAÇÃO DOS DADOS PESSOAIS
11.1 O Grupo Zenviaexcluirá definitivamente ou devolverá os Dados Pessoais quando:
- a. solicitado pelo CLIENTE;
- b. quando a relação contratual das Partes e as obrigações dela decorrentes, forem encerradas; ou
- c. quando cumprida a finalidade do Tratamento.
11.1.1 O Grupo Zenvia poderá manter eventuais Dados Pessoais, quando a permanência de Tratamento seja permitida por lei ou quando for necessária para cumprir alguma obrigação legal ou regulatória ou, ainda, resguardar um direito legítimo.
11.2 Mesmo após o encerramento do contrato ou de outros acordos celebrados entre as Partes, as obrigações previstas neste Anexo perdurarão enquanto as Partes tiverem acesso, estiverem em posse ou conseguirem realizar qualquer operação de Tratamento dos Dados Pessoais envolvendo informações fornecidas durante a relação contratual.
12. RESPONSABILIDADES DO CLIENTE NA UTILIZAÇÃO DA PLATAFORMA
12.1 Além das demais responsabilidades previstas nestes Termos e Condições Gerais de Serviços, neste Anexo, em eventualContrato e na Legislação Aplicável, o CLIENTE declara e garante que:
- a. todos os Dados Pessoais que, de qualquer forma, tenham sido ou sejam transferidos para o Grupo Zenvia, foram e serão obtidos de forma lícita, com uma base legal apropriada nos termos da Legislação Aplicável, com a devida transparência aos Titulares de Dados em relação a como serão tratados os Dados Pessoais, nos termos da Legislação Aplicável, inclusive em relação à proteção e sigilo dos Dados Pessoais;
- b. obteve, de forma prévia e através de manifestação livre, inequívoca e informada, o consentimento dos Destinatários para envio de mensagens, quando esta autorização for exigível para a legalidade da comunicação, nos termos da Legislação Aplicável e/ou por conta de responsabilidades assumidas contratualmente com terceiros;
- c. se, durante a utilização dos serviços, existir a possibilidade de Tratamento de Dados Pessoais de menores de idade ou de Dados Pessoais sensíveis, obteve o consentimento necessário, conforme requisitos legais determinados pela Legislação Aplicável, e comunicará previamente o Grupo Zenvia sobre a possibilidade deste Tratamento;
- d. é integralmente responsável pelo formato, precisão, qualidade, conteúdo e licitude dos Dados Pessoais carregados, armazenados e processados nas Plataformas utilizadas nos serviços, nos termos da Legislação Aplicável;
- e. é integralmente responsável pelo Tratamento de Dados Pessoais realizado por si, ou conforme solicitação do CLIENTE, no contexto da execução da relação contratual, e manterá o Grupo Zenvia indene de quaisquer perdas e danos, direto ou indiretos, decorrentes de qualquer operação de Tratamento de Dados Pessoais realizada em desacordo com este Anexo e com a Legislação Aplicável.
12.1.1 Manter indene significará, exemplificativamente, conforme o caso: (1) indenizar e reembolsar o Grupo Zenvia, (2) prestar garantias em processos, (3) assumir a responsabilidade sobre atos e fatos ligados a utilização do Zenvia Customer Cloud pelo CLIENTE, (4) habilitar-se em processos judiciais e administrativos que tenham por objeto atos ou fatos ligados