Termos de Proteção de Dados Pessoais para Fornecedores

Estes Termos de Proteção de Dados Pessoais para Fornecedores (os “TERMOS”), aplicam-se aos forecedores (o “CONTRATADO”) que firmaram um Contrato de Prestação de Serviços (o “CONTRATO”) com a TW CAPITAL S.A., com sede na Calçadas das Margaridas, 163, sala 2, bairro Alphaville, CEP: 06.453-038, na cidade de Barueri/SP, inscrita no CNPJ sob nº 29.063.190/0001-78 (a “CONTRATANTE”).

 

1. Os termos deste Capítulo iniciados em letras maiúsculas terão o significado conforme definição da Lei nº 13.709/2018 (“Lei Geral de Proteção de Dados Pessoais”), doravante denominada “LGPD”. 

 

2. Na execução do objeto do Contrato, a CONTRATADA declara e concorda que figurará como Operadora de Dados Pessoais, sendo a CONTRATANTE Controladora de Dados Pessoais. 

 

2.1. O tratamento dos Dados Pessoais deverá ser realizado pela CONTRATADA estritamente para a execução dos serviços contratados, sendo terminantemente vedado o compartilhamento com terceiros, a não ser mediante expressa autorização da CONTRATANTE. 

 

3. As PARTES garantem que adotam medidas técnicas e organizacionais adequadas à proteção dos Dados Pessoais, em estrita observância à LGPD e às demais normas regulamentares aplicáveis. 

 

3.1. As PARTES deverão adotar medidas técnicas que garantam a transferência segura de Dados Pessoais uma à outra. A Parte que descumprir o disposto neste Cláusula restará integralmente responsável em caso de incidente de segurança ocorrido em razão da falta de adoção das referidas medidas.

 

4. A subcontratação pela CONTRATADA está autorizada tão somente no caso de serviços auxiliares e indispensáveis à normal prestação de serviços da CONTRATADA, devendo esta garantir, mediante instrumento jurídico, que o subcontratado observará as mesmas obrigações e limites impostos neste Instrumento, responsabilizando-se perante a CONTRATANTE por qualquer infração cometida por seus subcontratados.

 

5. A CONTRATADA deverá, quando aplicável, auxiliar a CONTRATANTE prontamente: (i) no atendimento às solicitações dos Titulares dos Dados Pessoais tratados no âmbito do Contrato; (ii) no cumprimento de uma ordem judicial; notificação ou requisição de quaisquer órgãos públicos que esteja relacionada aos Dados Pessoais cujo Tratamento derive da execução do Contrato.

 

6. Caso a CONTRATADA seja destinatária de uma ordem ou requisição judicial ou extrajudicial de quaisquer órgãos públicos, relacionada aos Dados Pessoais tratados no âmbito do Contrato, deverá notificar a CONTRATANTE no prazo máximo de 24 (vinte e quatro) horas, enviando cópia integral do documento recebido e do protocolo de recebimento. 

 

7. Na hipótese de ocorrência ou suspeita de um Incidente de Segurança envolvendo os Dados Pessoais tratados no âmbito do Contrato, a CONTRATADA deverá notificar formalmente a CONTRATANTE no prazo máximo de 24 (vinte e quatro) horas, informando, no mínimo, o seguinte: 

 

I.   data e hora da ciência; 

II.   relação dos tipos de dados afetados pelo incidente; 

III.   quantidade e relação de Titulares afetados pelo incidente; 

IV.   dados e informações de contato do Encarregado de Proteção de Dados (DPO); 

V.   descrição das possíveis consequência do incidente; 

VI.   indicação das medidas adotadas para reparar o dano e plano de ação para evitar novos incidentes. 

 

8. Na hipótese de transferência internacional de Dados, a CONTRATADA deverá informar à CONTRATANTE o país destinatário e a razão da transferência, bem como garantirá que o nível de proteção de Dados Pessoais conferido pelo país destinatário é semelhante ao previsto na LGPD e no Contrato. 

 

9. A CONTRATADA deverá eliminar de forma segura os Dados Pessoais no prazo máximo de 30 (trinta) dias contados do recebimento de solicitação da CONTRATANTE ou da data de término do Contrato, independentemente do motivo, devendo, ainda, comprovar tal providência à CONTRATANTE. Caso não seja possível a comprovação, a CONTRATADA deverá apresentar declaração que ateste a eliminação segura dos Dados.

 

10. Caso o objeto do Contrato seja o fornecimento de um sistema informático (o “SISTEMA”), quando de seu término, independentemente do motivo, a CONTRATADA deverá fornecer à CONTRATANTE, no prazo de até 10 (dez) dias, em formato adequado e acessível, todos os dados e registros relacionados ao referido Sistema, incluindo: 

 

I) Arquivos de banco de dados contendo Dados Pessoais, transações, registros de atividades e quaisquer outros dados relevantes ao funcionamento do Sistema; 

​

II) Arquivos de configuração e personalização do Sistema, quando aplicável, incluindo arquivos de configuração de servidores, preferências do usuário e quaisquer outros arquivos que tenham sido modificados para atender às necessidades da CONTRATANTE; 

​

III) Códigos-fonte do Sistema, quando aplicável, juntamente com quaisquer componentes, bibliotecas ou módulos personalizados desenvolvidos especificamente para atender às necessidades da CONTRATANTE; 

​

IV) Documentação técnica detalhada, manuais de usuário, guias de instalação e quaisquer outros materiais que auxiliem na compreensão e utilização do Sistema. 

 

10.1. A CONTRATANTE analisará a integridade e a qualidade dos Dados Pessoais e registros fornecidos, devendo comunicar a CONTRATADA, no prazo de 10 (dez) dias, que a obrigação prevista nesta cláusula foi satisfatoriamente cumprida.

 

10.2. Ainda na hipótese de o objeto do Contrato seja o fornecimento de um Sistema, aplicar-se-á a Cláusula 9 acima somente após o recebimento da comunicação mencionada na Cláusula 10.1 destes Termos.

 

11. Caso a CONTRATADA deva reter Dados Pessoais para assegurar o exercício regular de seus direitos em processos ou para o cumprimento de uma obrigação legal ou regulatória, as Cláusulas 9 e 10.2 só serão aplicáveis após superados os prazos legais correlatos, porém exclusivamente com relação aos Dados Pessoais estritamente necessários ao atingimento das mencionadas finalidades.

 

12. Mediante prévia notificação com antecedência mínima de 10 (dez) dias, a CONTRATANTE, ou terceiro por ela indicado, poderá auditar a conformidade da CONTRATADA com relação as obrigações constantes destes Termos e aquelas impostas pela LPGD. 

 

12.1. Identificadas inconsistências ou irregularidades quando da condução das auditorias, deverá a CONTRATADA providenciar sua remediação, comprovando à CONTRATANTE, em prazo não superior a 30 (trinta) dias, as medidas corretivas adotadas, podendo este prazo ser reduzido à critério da CONTRATANTE em função da gravidade da irregularidade, mediante notificação da CONTRATADA.  

 

13. A CONTRATADA será responsável por quaisquer indenizações, multas ou despesas processuais que recaiam sobre a CONTRATANTE, quando os eventos que levarem a tais consequências decorrerem, comprovadamente, de: (i) descumprimento, pela CONTRATADA, ou por subcontratados, das disposições expostas neste Contrato; (ii) qualquer ato da CONTRATADA ou de seus subcontratados em discordância com a legislação aplicável à privacidade e proteção de dados e especificamente em desconformidade com a LGPD. 

 

14. O descumprimento comprovado de qualquer obrigação prevista nas Cláusulas anteriores referentes à proteção de Dados Pessoais poderá, à critério da CONTRATANTE, configurar justa causa para rescisão deste Contrato, devendo a CONTRATADA pagar à CONTRATANTE a multa estabelecida na Cláusula 7.2 do Contrato.