Adendo de Tratamento de Dados

Última atualização: 25 de outubro 2023

Este Adendo de Tratamento de Dados (“ATD”) faz parte do contrato (“Contrato”) entre a(s) pessoa(s) jurídica(s) do LexisNexis Risk Solutions (“LNRS”), segundo o qual o LNRS oferece ao Cliente ou ao Licenciado (conforme definido no Contrato e doravante denominado “Cliente”) e, se aplicável, às suas Afiliadas, determinados produtos ou serviços (“Serviços”), nos quais este ATD é referenciado.
I.          Definições
    
 
                    1.    “Leis de Proteção de Dados” refere-se a todos os regulamentos, leis, regras, decretos, portarias e demais determinações governamentais sobre privacidade e proteção de dados.
 
2.    Os termos “dados pessoais”, “violação de dados pessoais”, “tratamento”, “operador” e “titular dos dados” terão os mesmos significados atribuídos a eles nas Leis de proteção de dados e, quando as Leis de proteção de dados empregarem termos equivalentes ou correspondentes, como “informações pessoais” em vez de “dados pessoais”, eles serão interpretados dessa forma.
II.            Escopo
          
 
             Este ATD se aplica ao tratamento de dados pessoais pelo LNRS em nome do Cliente e, se aplicável, das Afiliadas do Cliente nos termos do Contrato.
III.        Escopo do tratamento
         
 
1.            O tratamento de dados pelo LNRS será regido por este ATD. Mais especificamente, o LNRS tratará os dados pessoais apenas mediante instruções documentadas do Cliente, inclusive no que diz respeito a transferências de dados pessoais para outro país ou para uma organização internacional, salvo se exigido pela lei aplicável à qual o LNRS esteja sujeito; nesse caso, o LNRS informará o Cliente sobre essa exigência legal antes do tratamento, a menos que a lei proíba o LNRS que isso seja feito por motivos importantes de interesse público.
 
2.   O objeto do tratamento são os dados pessoais fornecidos associados aos Serviços no âmbito do Contrato. A duração do tratamento é a duração da prestação dos Serviços nos termos do Contrato até o descarte dos dados pessoais de acordo com o Contrato. A natureza e a finalidade do tratamento estão relacionadas à prestação dos Serviços nos termos do Contrato. Os tipos de dados pessoais tratados são os enviados ao LNRS pelo Cliente sob orientação dele como parte dos Serviços. As categorias de titulares de dados são daqueles cujos dados pessoais são enviados ao LNRS pelo Cliente ou sob orientação dele, como parte dos Serviços.
 
3.    O Contrato, inclusive este ATD, com o uso e a configuração dos Serviços pelo Cliente, são as instruções completas e finais documentadas ao LNRS para o tratamento dos dados pessoais. Instruções adicionais ou alternativas devem ser acordadas separadamente pelas partes. O LNRS garantirá que seus colaboradores envolvidos no tratamento dos dados pessoais tratarão os dados somente de acordo com as instruções documentadas disponibilizadas pelo Cliente, salvo se obrigado por lei em sentido contrário.
         
IV.            Confidencialidade  
         
        O LNRS assegurará que as pessoas autorizadas a tratar os dados pessoais estejam sujeitas a obrigaçõesde confidencialidade ou estejam sob o dever legal de sigilo.
         
V.          Segurança do tratamento  
         
    1.    Considerando-se a inovação, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do tratamento, assim como os riscos de probabilidade e de gravidade variáveis dos direitos e liberdades das pessoas físicas, o Cliente e o LNRS implementarão as devidas medidas técnicas e organizacionais para assegurar um nível de segurança adequado ao risco, conforme descrito no Contrato e inclusive, entre outros, conforme o caso:
         
         (a) a pseudonimização e criptografia dos dados pessoais;
         
         (b) a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de tratamento;
         
         (c) a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo oportuno em caso de incidente físico ou técnico; e
         
         (d) um processo para testar, avaliar e mensurar, regularmente, a eficácia das medidas técnicas e organizacionais, para assegurar a segurança do tratamento.
         
    2.    Ao avaliar o nível adequado de segurança, considerar-se-ão, em particular, os riscos apresentados pelo tratamento, mais especificamente pela destruição, perda, alteração acidental ou ilegal, divulgação não autorizada de, ou pelo acesso não autorizado a dados pessoais transmitidos, armazenados ou tratados de outra forma.
         
    3.    O Cliente e o LNRS tomarão medidas para assegurar que qualquer pessoa física agindo em nome do Cliente ou do LNRS que tenha acesso a dados pessoais, não trate dados, exceto mediante instruções do Cliente, salvo se obrigado por lei a fazer isso.
         
    4.    Não obstante qualquer disposição em contrário, o LNRS poderá modificar ou atualizar suas medidas de segurança a seu critério, contanto que essa modificação ou atualização não resulte na degradação significativa da proteção oferecida pelo Contrato.

VI.  

         Suboperadores
 
1.            Pelo presente, o Cliente oferece ao LNRS autorização geral para contratar outros operadores para o tratamento de dados pessoais nos termos deste ATD. O LNRS manterá uma lista desses operadores em https://risk.lexisnexis.com/corporate/dpa/sub-processorss, a qual o LNRS poderá atualizar ao longo do tempo. Pelo menos 14 dias antes de autorizar qualquer novo operador a tratar os dados pessoais, o LNRS atualizará essa lista em seu site. O Cliente poderá se opor à alteração sem penalidade, observado o processo de resolução de litígios do Contrato ou o reembolso aplicável ou os direitos de rescisão que o Cliente possa ter nos termos do Contrato.
         
    2.    Quando o LNRScontratar outro operador para realizar atividades de tratamento específicas em nome do Cliente, as mesmas obrigações de proteção de dados estabelecidas neste ATD serão impostas ao outro operador, por meio de um contrato ou nos termos das Leis de Proteção de Dados. Quando o outro operador não cumprir essas obrigações de proteção de dados, o LNRS (observados os termos do Contrato) permanecerá totalmente responsável perante o Cliente pelo cumprimento das obrigações do outro operador.

 VII. 
     Direitos do titular dos dados
    
 
 
1.          Considerando-se a natureza do tratamento, o LNRS auxiliará o Cliente por meio de medidas técnicas e organizacionais adequadas, na medida do possível, no cumprimento da obrigação do Cliente de atender a solicitações para exercício dos direitos do titular dos dados.
         
    2.    O LNRS, na medida permitida por lei, notificará o Cliente, prontamente, sobre as solicitações de titulares dos dados recebidas pelo LNRS, e cooperará com o Cliente, na medida do possível, para cumprir suas obrigações nos termos das Leis de Proteção de Dados no que diz respeito a essas solicitações. O Cliente será responsável por eventuais custos cabíveis decorrentes da prestação de assistência do LNRS ao Cliente para o cumprimento dessas obrigações.

VIII.              Suporte ao Cliente
         
 
         O LNRS ajudará o Cliente a assegurar a conformidade com a segurança dos dados, notificação de violação de dados pessoais e outras obrigações, conforme exigido pelas Leis de Proteção de Dados, em vista da natureza do tratamento e as informações disponíveis para o LNRS.

IX.          Término do tratamento
    
 
                          Após a expiração ou a término do uso dos Serviços pelo Cliente, salvo se o armazenamento dos dados pessoais for exigido por lei, o Cliente desde já instrui o LNRS a excluir ou devolver os dados pessoais de acordo com os termos e prazos, se houver, para os Serviços estabelecidos no Contrato. Quando o Contrato oferecer ao Cliente a opção de excluir ou devolver os dados pessoais, e o Cliente não optar por essa escolha no prazo de 30 dias após o término do Contrato, pelo presente, o Cliente instrui o LNRS a excluir os dados pessoais, salvo se o armazenamento dos dados pessoais for exigido por lei. Nesses casos, o LNRS excluirá os dados pessoais assim que possível.
X.                      Auditorias
                          
                  Os direitos de realização de auditorias estão estabelecidos no Contrato. Na ausência dessas disposições no Contrato, quando as Leis de Proteção de Dados assim exigirem, as auditorias serão: (i) sujeitas à assinatura dos devidos termos de confidencialidade ou não divulgação; (ii) conduzidas apenas uma vez por ano, salvo diante da evidente e razoável observação de violação do Contrato, mediante notificação, por escrito, com 30 dias de antecedência e mediante apresentação de um plano para a auditoria; e (iii) conduzidas em um momento, local e maneira mutuamente acordados.

XI.           Transferência internacional
         
                 O LNRS assegurará que, na medida em que os dados pessoais originários do país do Cliente sejam transferidos pelo LNRS para outro país, essa transferência estará sujeita a proteções adequadas que ofereçam um nível adequado de proteção de acordo com as Leis de Proteção de Dados.

XII.              Violação de dados pessoais
                O LNRS notificará o Cliente, sem atraso injustificado, após tomar conhecimento de uma violação de dados pessoais envolvendo dados pessoais tratados nos termos deste ATD, e atenderá à solicitação razoável do Cliente para envio de informações adicionais, para que o Cliente possa cumprir suas obrigações nos termos das Leis de Proteção de Dados.

XIII.        Registros de atividades de tratamento
       
             O LNRS manterá todos os registros exigidos pelas Leis de Proteção de Dados e, na medida aplicável ao tratamento dos dados pessoais em nome do Cliente, os disponibilizará conforme necessário.

XIV.
       Base legal para o tratamento

       

           
O Cliente garante que, conforme exigido pelas Leis de Proteção de Dados, informou todos os titulares dos dados, bem como recebeu, quando aplicável, o consentimento necessário do titular dos dados ou de seu representante ou responsável legalmente autorizado.
XV.              Termos específicos da jurisdição
               
              Na medida em que o LNRS estiver tratando dados pessoais sujeitos às Leis de Proteção de Dados, ou de outra forma, originários de qualquer uma das jurisdições indicadas abaixo, os termos especificados neste documento no que diz respeito à(s) jurisdição(ões) em questão se aplicam além dos termos anteriores.
               
              Espaço Econômico Europeu, Reino Unido e Suíça
               
   
    1.   Na medida em que o Cliente transferir dados pessoais do Espaço Econômico Europeu (“EEE”), Reino Unido ou Suíça para o LNRS localizado fora do EEE, Reino Unido ou Suíça, a menos que as partes tenham um mecanismo de transferência alternativo ou estejam de acordo com as Leis de Proteção de Dados, as partes serão consideradas como tendo celebrado as cláusulas contratuais padrão aprovadas pela Decisão de implementação da Comissão Europeia (UE) 2021/914 de 4 de junho de 2021 disponível em http://dados.europa.eu/eli/dec_impl/2021/914/oj (“Cláusulas”) em relação a essa transferência, em que:
  1.  o Cliente é o “exportador dos dados” e o LNRS é o “importador dos dados”;
  2.  as notas de rodapé, cláusula 9(a) opção 1, cláusula 11(a) opção e cláusula 17 opção 1 são omitidas, o período da cláusula 9(a) opção 2 é de 14 dias, e os anexos aplicáveis são preenchidos respectivamente com as informações estabelecidas no ATD e no Contrato;
  3.  na medida em que o Cliente atuar como controlador e o LNRS como operador, o Módulo Dois se aplica e os Módulos Um, Três e Quatro são omitidos, e na medida em que cada parte atuar como operador, o Módulo Três se aplica e os Módulos Um, Dois e Quatro ficam omitidos;
  4.  a “autoridade de controle competente” é a autoridade de controle na Irlanda;
  5.  as Cláusulas são regidas pela lei da Irlanda;
  6.  qualquer disputa decorrente das Cláusulas será resolvida pelos tribunais da Irlanda; e
  7.  em caso de conflito entre os termos do Contrato e as Cláusulas, as Cláusulas prevalecerão.
             
   
    2.   Em relação às transferências de dados pessoais do Reino Unido, as Cláusulas, conforme implementadas na seção 1, acima, serão aplicadas, observadas as seguintes modificações:
  1.  as Cláusulas são alteradas conforme especificado pela parte 2 do adendo internacional de transferência de dados às cláusulas contratuais padrão da Comissão Europeia, emitidas nos termos da seção 119A da Lei de Proteção de Dados do Reino Unido de 2018, conforme venha a ser alterada ou substituída ao longo do tempo (“Adendo do Reino Unido”);
  2.  as tabelas 1 a 3, na parte 1 do Adendo do Reino Unido, são preenchidas, respectivamente, com as informações estabelecidas no ATD e no Contrato (conforme aplicável); e
  3.  a tabela 4, na parte 1 do Adendo do Reino Unido, é preenchida selecionando “nenhuma das partes”.
               
   
    3.    Em relação às transferências de dados pessoais da Suíça, as Cláusulas, conforme implementadas na seção 1, acima, serão aplicadas, observadas as seguintes modificações:
  1.  todas as referências à “Regulamentação (UE) 2016/679” serão interpretadas como referências à Lei Federal Suíça sobre Proteção de Dados (“LPD Suíça”);
  2.  todas as referências a artigos específicos do “Regulamento (UE) 2016/679” serão substituídas pelo artigo ou pela seção equivalente da LPD Suíça;
  3.  todas as referências a “UE”, “Sindicato”, “Estado-Membro” e “Lei do Estado-Membro” serão substituídas por referências à “Suíça” ou “Lei da Suíça”, conforme aplicável;
  4.  o termo “estado-membro” não será interpretado de forma a excluir titulares de dados na Suíça da possibilidade de acesso aos seus direitos;
  5.  a Cláusula 13(a) e Parte C do Anexo I não são usadas, e a “autoridade de controle competente” é o Comissário Federal de Informações e Proteção de Dados da Suíça;
  6.  as Cláusulas são regidas pela lei da Suíça; e
  7.  qualquer litígio decorrente das Cláusulas será resolvido pelos tribunais da Suíça.
               
              Estados Unidos
               
              U.S. Privacy Laws Addendum
               
              África do Sul  
               
          1.    Na medida em que o LNRS tratar informações pessoais no escopo da Lei de proteção de informações pessoais (Protection of Personal Information Act, “POPIA”) da África do Sul, nr. 4, de 2013, para o Cliente, o LNRS estabelecerá e manterá, ainda, as medidas de segurança referidas na seção 19 da POPIA.
          2. 
O LNRS notificará o Cliente, imediatamente, quando houver motivos para acreditar que as informações pessoais de um titular dos dados foram acessadas ou adquiridas por pessoa não autorizada.