Este anexo é parte integrante do Contrato de Parceria e Prestação de Serviços.
Pelo presente Acordo de Tratamento de Dados Pessoais (”Acordo”), as partes acima qualificadas:
I. Considerando que, o presente Acordo se destina a todos os contratantes/parceiros de produtos ou serviços da empresa Asaas Gestão Financeira Instituição de Pagamento S.A.;
II. Considerando a importância de garantir a conformidade da atuação das partes com a Lei Geral de Proteção de Dados (Lei n. 13.709/2018), o presente Acordo objetiva esclarecer os seus direitos e obrigações quanto ao compartilhamento de dados pessoais realizado no âmbito da execução do Contrato originário por elas firmado;
III. Considerando que, o Acordo de Processamento de Dados Pessoais complementa o contrato de prestação de serviço (Termos de Uso) e a Política de Privacidade firmados entre as partes.
1. DEFINIÇÕES
1.1 Para melhor compreensão, apresentam-se os principais termos e conceitos técnicos utilizados no presente Acordo:
a) Autoridade Nacional de Proteção de Dados (ou ANPD): órgão responsável pela fiscalização do cumprimento das disposições da LGPD no território brasileiro;
b) Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento dos seus dados pessoais, para uma finalidade determinada.
c) Controlador: pessoa a quem compete as decisões sobre o tratamento dos dados pessoais. É quem determina o escopo do tratamento dos dados.
d) Co-controlador: agente de tratamento que atuará, simultaneamente, como controlador e operador na mesma operação.
e) Dado pessoal sensível: categoria especial de dados pessoais relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de carácter religioso, filosófico ou político, referentes à saúde ou à vida sexual, dados genéticos ou biométricos, relativos à pessoa natural.
f) Dado pessoal: qualquer informação, em meio digital ou físico, relacionada à pessoa natural, direta ou indiretamente, identificada ou identificável.
g) Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados;
h) Operador: pessoa que realiza o tratamento dos dados pessoais em nome do controlador.
i) Titular do dado: pessoa natural a quem se referem os dados pessoais.
j) Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
k) Tratamento: qualquer operação realizada com os dados pessoais, como, por exemplo: coleta, produção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência ou extração.
l) Violação de dados pessoais: qualquer acesso não autorizado, e/ou situações acidentais, ou ilícitas, de destruição, perda, alteração, aquisição, uso, divulgação, comunicação ou qualquer forma de tratamento inadequado, ou ilícito.
1.2 Outros termos aqui utilizados e não definidos acima possuem o significado atribuído em cláusula específica ou o significado constante da Lei Geral de Proteção de Dados (Lei Federal no 13.709/2018, “LGPD”).
2. OBJETO
2.1 O objetivo do presente Acordo é regular o tratamento de dados pessoais envolvido na relação entre o contratante dos serviços Asaas e a empresa Asaas Gestão Financeira Instituição de Pagamento S.A., daqui em diante denominados controlador e o co-Controlador, respectivamente, de acordo com as disposições da LGPD.
3. TRATAMENTO DOS DADOS
3.1 O tratamento dos dados tem por finalidade a execução dos serviços prestados pelo Asaas, conforme elencados no Contrato de Prestação de Serviços e Termos e Condições de Uso (“Contrato”), sendo realizado conforme disposto na Política de Privacidade.
4. OBRIGAÇÕES DO CONTROLADOR
4.1 O controlador será o único responsável pela exatidão, qualidade e legalidade das informações dos dados pessoais enviados ao Asaas, assim como pelos meios através dos quais o mesmo obteve acesso aos dados.
4.2 O controlador declara e garante que todo o tratamento dos dados pessoais, desde a coleta até o seu compartilhamento com o Asaas, foi realizado de acordo com o disposto na LGPD e que todo e qualquer tratamento possui base legal prevista na referida legislação.
4.3 O controlador declara que adota as melhores práticas de governança de dados, e possui processos internos para proteção dos dados pessoais, dentre os quais estão a Política de Segurança da Informação e o Código de Conduta Ética.
5. OBRIGAÇÕES DO ASAAS
5.1 O Asaas realizará o tratamento dos dados para fins de prestação dos serviços definidos no Contrato originário, observadas as disposições previstas na Legislação de Proteção de Dados, bem como, atendendo aos princípios da finalidade, adequação, necessidade, transparência, livre acesso, segurança, prevenção e não discriminação no tratamento dos dados.
5.2 O Asaas compromete-se a não utilizar os dados fornecidos para qualquer outro propósito que não seja o cumprimento do objeto do Contrato, ou de obrigação legal e/ou regulatória.
5.3 O Asaas se obriga a proporcionar um ambiente seguro para tratar os dados e as informações recebidos do controlador.
5.4 O Asaas manterá registro das operações de tratamento dos dados pessoais que realizar, comprometendo-se a avaliar, periodicamente, o seu próprio registro do tratamento dos dados pessoais, para garantir sua segurança e qualidade.
5.5 O Asaas, incluindo todos os seus colaboradores, manterá os dados recebidos em forma confidencial, inclusive depois do término da relação contratual com o controlador, ressalvadas as hipóteses em que houver a obrigação de compartilhar os dados.
5.6 O Asaas se compromete a fornecer ao controlador todas as informações necessárias para comprovar a conformidade com as obrigações previstas no presente Acordo, bem como, auxiliará o controlador na elaboração de Relatórios de Impacto à Proteção de Dados Pessoais, preservado o segredo comercial e industrial.
5.7 O Asaas garante que qualquer compartilhamento dos dados pessoais com terceiros, será realizado apenas quando necessário, e na menor quantidade possível.
5.8 O Asaas atuará na qualidade de operador em relação ao tratamento de dados pessoais informados e inseridos na plataforma pelo controlador (parceira e seus beneficiários), para fins de execução dos serviços objeto do Contrato de Parceria e Prestação de Serviços ao qual integra este Anexo. Como controlador, o Asaas atuará sempre que necessitar tratar os dados pessoais para fins de cumprimento de obrigações legais e regulatórias relativas à sua atuação enquanto Instituição de Pagamento homologada pelo Banco Central.
6. TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
6.1 Caso os dados pessoais sejam transferidos e tratados fora do Brasil, como na hipótese de serem armazenados em provedores de computação em nuvem localizados em outros países, o Asaas garantirá que tal transferência esteja em conformidade com a LGPD, incluindo a observância de quaisquer regras vinculantes aprovadas pela ANPD, conforme previsto na Política de Privacidade mencionada no item III dos considerandos deste Acordo.
7. COOPERAÇÃO ENTRE AS PARTES PARA ATENDIMENTO DE SOLICITAÇÕES DOS TITULARES OU DE AUTORIDADES
7.1 Caberá ao controlador atender a requisições de exercício de direitos por parte dos titulares ou solicitações da ANPD relacionadas ao tratamento de dados pessoais.
7.2 Caberá ao Asaas, sempre que necessário, auxiliar no atendimento das requisições realizadas por titulares ou pela ANPD.
7.3 O Asaas informará ao controlador sobre eventuais solicitações recebidas de titulares de dados, cabendo ao controlador adotar as medidas necessárias para atendimento e/ou resposta ao titular de dados, constando como obrigação do controlador informar ao Asaas a respeito das medidas adotadas referentes às solicitações recebidas.
7.4 Caso haja obrigação do Asaas, na qualidade de Co-controlador, de responder aos titulares de dados ou às solicitações recebidas da ANPD, o Asaas irá fazê-lo nos limites de sua obrigação.
8. SEGURANÇA DOS DADOS
8.1 As Asaas, na condição de agentes de tratamento, adotarão medidas de segurança, técnicas e administrativas aptas a proteger os dados de acessos não autorizados e/ou de situações acidentais, ou ilícitas, envolvendo a destruição, perda, alteração, comunicação, ou qualquer forma de tratamento inadequado, ou ilícito.
8.2 Os sistemas utilizados para o tratamento de dados devem ser estruturados de forma a atender os requisitos de segurança, aos padrões de boas práticas e de governança, aos princípios gerais previstos na LGPD e às demais normas regulamentares.
9. INCIDENTE DE SEGURANÇA
9.1 Após tomar conhecimento da ocorrência de eventual incidente envolvendo dados pessoais tratados em razão da presente relação contratual, o Asaas comunicará os fatos, em prazo razoável, ao controlador, bem como notificará a Autoridade Nacional de Proteção de Dados (ANPD), caso haja obrigação do ASAAS nesse sentido.
9.2 A notificação sobre a ocorrência de incidente deverá conter:
a) data e hora do incidente e data da ciência pelo Asaas;
b) a descrição da natureza dos dados pessoais afetados;
c) informações sobre os titulares dos dados envolvidos;
d) informações sobre as medidas técnicas e de segurança utilizadas para a proteção dos dados;
e) a descrição das prováveis consequências e riscos relacionados ao incidente de segurança;
f) explicação do motivo de eventual demora na comunicação do incidente, na hipótese de a comunicação não ter sido imediata;
g) a descrição das medidas que foram ou serão tomadas para reverter ou mitigar os efeitos do incidente de segurança; e
h) o nome e o contato do encarregado de proteção de dados ou de outro ponto de contato com quem possam ser obtidas mais informações.
9.2.1 Caso estas informações não estejam integralmente disponíveis, o Asaas prestará as informações preliminares ao controlador, e completará sua notificação posteriormente, à medida que tais informações sejam disponibilizadas.
10.SUBCONTRATAÇÃO
10.1 O controlador concorda que, na medida do necessário para cumprimento das obrigações acordadas no contrato principal e/ou de obrigação legal, ou regulatória, o Asaas poderá realizar subcontratação.
10.2 O subcontratado terá acesso aos dados pessoais apenas quando estritamente necessário para cumprimento das finalidades descritas na cláusula 9.1, sendo-lhe vedado utilizar os dados para qualquer outra finalidade.
10.3 Na hipótese de subcontratação, o Asaas deverá garantir que tais subcontratados atuem em conformidade com a LGPD e utilizem dos mesmos níveis e padrões de proteção aos Dados Pessoais e de medidas de segurança da informação estabelecidos neste Acordo.
11. ELIMINAÇÃO DOS DADOS
11.1 Após a rescisão do Contrato, o Asaas se compromete a eliminar os dados pessoais aos quais teve acesso em razão do contrato firmado com o controlador, assim que:
a) a finalidade do tratamento for alcançada;
b) os dados deixarem de ser necessários ou pertinentes ao alcance da finalidade; e/ou
c) for encerrada a prestação de serviços que foi objeto do Contrato originário firmado entre as partes.
11.2 Nas hipóteses de conservação autorizada dos dados, bem como de obrigação legal ou regulatória a que esteja vinculado, o Asaas manterá armazenados os dados pessoais recebidos do controlador.
12. RESPONSABILIDADES
12.1 As partes deverão implementar normas que garantam medidas de segurança técnicas e administrativas eficazes, destinadas a proteger os Dados Pessoais contra acessos não autorizados, bem como contra eventos acidentais ou ilícitos, incluindo destruição, perda, alteração, comunicação ou difusão indevida, ou qualquer outro tratamento inadequado, ou ilícito. Além disso, deverão adotar programas de governança em privacidade, elaborar planos de resposta a incidentes e medidas de remediação, e manter procedimentos contínuos para identificar, resolver e mitigar incidentes envolvendo Dados Pessoais tratados no âmbito do Contrato.
12.2 Cada parte será responsável, na medida que lhe couber e em razão das atividades exercidas por cada parte no Tratamento de Dados Pessoais, por eventuais práticas irregulares, em desacordo com a LGPD e demais normas e orientações aplicáveis, ou, ainda, em descumprimento às previsões do Contrato e deste Anexo, inclusive com relação aos Incidentes.
12.3 Se qualquer das partes for responsabilizada judicial ou administrativamente, por Titulares de Dados Pessoais ou órgãos públicos devido ao uso indevido de Dados Pessoais, ou a qualquer incidente decorrente de falha exclusiva da outra parte, ou de terceiros sob a responsabilidade desta, caberá à parte responsável assumir integralmente a responsabilidade, incluindo a exclusão da parte inocente de eventual processo ou procedimento. Em caso de condenação ou aplicação de penalidades, a parte responsável deverá indenizar a parte inocente por todos os valores pagos, incluindo o montante principal, eventuais danos e despesas relacionadas à demanda, resguardado o direito de regresso em caso de inadimplemento da obrigação ora avençada.
13. DISPOSIÇÕES GERAIS
13.1 As disposições deste Acordo de Tratamento de Dados Pessoais obrigarão as partes a partir da data de sua assinatura.
13.2 Todo tratamento de dados pessoais, objeto do presente acordo, será considerado confidencial.
13.3 No caso de qualquer cláusula deste acordo se tornar nula, inválida ou inexequível, a validade e exequibilidade das demais cláusulas não serão afetadas.
13.4 Em caso de quaisquer dúvidas sobre o presente Acordo ou sobre os deveres relacionados ao tratamento de dados, o controlador poderá ser contatado o Encarregado de Dados do Asaas, por meio do endereço de e-mail protecaodedados@asaas.com.br.
13.5 Permanecem em vigor, e integralmente ratificadas, as demais cláusulas e condições previstas nos outros contratos firmados entre as partes.
14. PRAZO
14.1 O presente Acordo terá validade enquanto durar a finalidade do tratamento de dados pessoais no âmbito do contrato principal, sendo que as obrigações se manterão válidas e exigíveis, enquanto os dados permanecerem armazenados, para fins de cumprimento de obrigação legal ou regulatória.