ANEXO DE TRATAMENTO DE DADOS PESSOAISO LINGOPASS respeita o direito à privacidade de seus clientes e usuários e está empenhado para protegê-lo por meio do cumprimento de uma política de privacidade disponibilizada no seu
website e necessariamente assinada por qualquer novo usuário que acessa a plataforma Lingopass.
A política de privacidade foi definida por um Comitê de Segurança e de Proteção de Dados coordenado por um profissional certificado internacionalmente como Exin Data Protection Officer (Exin DPO). Apoiados pelo departamento interno de Segurança da Informação e pelo nosso DPO dedicado, disseminamos no LINGOPASS e junto com nossos clientes e fornecedores uma cultura de proteção de dados, e criamos normas e procedimentos adequados à LGPD (Lei nº 13.709/2018)
O LINGOPASS compromete-se a proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, relativos ao tratamento de dados pessoais, inclusive nos meios digitais, garantindo que:
O tratamento de dados pessoais dar-se-á de acordo com as bases legais previstas nas hipóteses dos Arts. 7º e/ou 11 da Lei 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) às quais se submeterão os serviços, e para propósitos legítimos, específicos, explícitos e informados ao titular;
O tratamento será limitado às atividades necessárias ao atingimento das finalidades de execução do Contrato e dos Serviços, utilizando-os, quando seja o caso, em cumprimento de obrigação legal ou regulatória, no exercício regular de direito, por determinação judicial ou por requisição da ANPD (Agência Nacional de Proteção de Dados);
Os sistemas que servirão de base para armazenamento dos dados pessoais coletados seguem um conjunto de premissas, políticas e especificações técnicas que regulamentam a utilização da Tecnologia de Informação e Comunicação no EAD;
Os dados obtidos em razão deste Contrato serão armazenados em um banco de dados seguro, com garantia de registro dos acessos realizados na plataforma de estudos (log) e adequado controle de acesso baseado em função (role based access control) e com transparente identificação do perfil dos credenciados, tudo estabelecido como forma de garantir a rastreabilidade de cada acesso e a apuração, a qualquer momento, de desvios e falhas, vedado o compartilhamento desses dados com terceiros;
Encerrada a vigência do Contrato ou não havendo mais necessidade de utilização dos dados pessoais, estes serão excluídos mediante solicitação de seus respectivos titulares, a ser encaminhada ao e-mail
dpo@lingopass.com.br.
PREÂMBULO(i) Considerando que as Partes celebraram o Contrato (“Contrato”), cujo objeto envolve o tratamento de dados pessoais;
(ii) Considerando que a Lei Geral de Proteção de Dados Pessoais (“Lei Federal no 13.709/2018” ou “LGPD”) estabelece diversas obrigações e regulamenta as atividades de tratamento de dados pessoais e, portanto, deve ser considerada no contexto da prestação de serviços objeto do Contrato;
(iii) Considerando que as Partes desejam definir as condições que regerão o tratamento de dados pessoais que será realizado,
Resolvem as Partes, em comum acordo, assumir as obrigações e condições previstas neste Anexo, que se tornam parte integrante do Contrato e devem ser com este considerado para todos os fins.
1. DEFINIÇÕES1.1 Quando utilizados neste Anexo, no singular ou no plural, os seguintes termos terão o significado atribuído a eles abaixo, exceto se expressamente indicado de outra forma:
a) Afiliada(s): Significa quaisquer entidades que controlam, são controladas por, ou estejam sob controle comum de uma parte, incluindo suas controladoras e subsidiárias.
b) Autoridades Fiscalizadoras: Significa qualquer autoridade, de âmbito administrativo ou judicial, competente para investigar, autuar, multar, julgar, fiscalizar e/ou aplicar legislação pertinente, incluindo, mas não se limitando à Autoridade Nacional de Proteção de Dados (“ANPD”). Fica claro que qualquer autoridade judicial ou administrativa, ainda que carente de poderes fiscalizatórios per se, está incluída no conceito de Autoridade Fiscalizadora.
c) Dados Pessoais: Significa qualquer informação relacionada a pessoa natural identificada ou identificável. São exemplos de dados pessoais: nome, CPF, número de Protocolo de Internet (IP), endereço de e-mail, número de telefone, registro profissional, geolocalização, dentre outros. Incluem-se neste conceito os Dados Pessoais Sensíveis, conforme definição abaixo:
d) Dados Pessoais Sensíveis: Significa qualquer informação que revele, em relação a uma pessoa física, a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física, além dos Dados Pessoais cujo tratamento venha a revelar um Dado Pessoal Sensível;
e) Empregado(s): significa qualquer empregado, funcionário, inclusive subcontratado e terceirizado, representante ou preposto, remunerado ou sem remuneração, em regime integral ou parcial, que atue ou tenha atuado em nome das Partes e tenha acesso aos Dados Pessoais.
f) Terceiro(s): significa qualquer pessoa física ou jurídica, que não seja qualquer das Partes.
g) Titular(es): significa qualquer pessoa física identificada ou que possa vir a ser identificada pelo Tratamento de Dados Pessoais.
h) Violação de Dados: significa toda e qualquer situação, fato ou ato acidental ou intencional, ainda que seja apenas suspeita e/ou uma ameaça, que provoque ou possa vir a provocar, em relação a Dados Pessoais ou Sensíveis: (i) destruição; (ii) perda; (iii) alteração; (iv) comunicação, difusão ou divulgação; (v) acesso não autorizado; ou ainda (vi) tratamento inadequado ou ilícito.
1.2.Os termos “Agentes de Tratamento”, “Controlador”, “Operador”, “Tratamento” e “Relatório de Impacto à Proteção de Dados Pessoais”, eventualmente utilizados neste Contrato, terão o mesmo significado a eles atribuído na LGPD e na regulação expedida pelas Autoridades Fiscalizadoras.
2. DAS OBRIGAÇÕES DAS PARTES2.1. Obrigações de conformidade com as Leis de Proteção de Dados Pessoais. As Partes estão cientes que, em virtude do Contrato e de suas próprias atividades, tratam ou poderão tratar Dados Pessoais. Por esse motivo, declaram que cumprem e continuarão cumprindo com a legislação aplicável e as determinações das Autoridades Fiscalizadoras sobre a matéria, além das demais normas e políticas de proteção de Dados Pessoais de cada país onde houver qualquer tipo de tratamento de Dados Pessoais relativos às Partes e à execução do Contrato.
2.1.1. Caberá à Controladora a responsabilidade integral, conforme prevê a LGPD, pelo tratamento com os Dados Pessoais que realizar e por aqueles que a Operadora realizar em seu nome, na forma deste Contrato. A Operadora será responsável, apenas de forma solidária com a Controladora, somente nas hipóteses de violar a LGPD ou, ainda, as instruções da Controladora. Ainda, concordam expressamente em serem transparentes com os Titulares, incluindo todas as informações necessárias, segundo a legislação aplicável, em qualquer documento de transparência sobre suas práticas de tratamento de dados.
2.1.2.Caberá à Controladora atribuir a(s) base(s) legal(is) válida(s), legítima(s) e adequada(s) ao tratamento de Dados Pessoais no contexto do Contrato, devendo a Operadora realizar o tratamento de Dados Pessoais de acordo com as instruções expressamente comunicadas pela Controladora detalhadas na sua
Política de privacidade disponibilizada no seu website e necessariamente assinada por qualquer novo usuário da Plataforma Lingopass.
2.1.3. Caso a Controladora queira alterar as instruções contidas na Política de privacidade, deverá fazê-lo por escrito, facultando à Operadora a oportunidade de concordar com as instruções, seja sob o aspecto legal como pelo ponto de vista operacional, renegociando, inclusive, as condições acordadas no Contrato conforme aplicável. Apenas após a expressa aprovação da Operadora e da formalização por escrito de nova Política de privacidade, em Aditivo ao presente instrumento assinado pelas Partes, que as novas instruções passarão a ser vinculantes à Operadora.
2.1.3.1.A Operadora passará a ser controladora isolada em relação ao tratamento de Dados Pessoais que atenda a qualquer outra finalidade que não relacionada diretamente às instruções da Controladora referidas na Política de privacidade. Não caberá à Controladora alegar qualquer prejuízo, dano ou violação ao Contrato ou a este instrumento na hipótese de a Operadora decidir tratar os Dados Pessoais sob a sua exclusiva responsabilidade, na forma prevista na LGPD.
2.1.4. Caso a Operadora entenda que alguma das instruções da Controladora viola a LGPD ou qualquer outra legislação, ainda que de forma superveniente à existente Política de privacidade, comunicará à Controladora, podendo a Operadora, inclusive, suspender imediatamente o cumprimento de tal instrução e, portanto, de parte e/ou de todo o Contrato, até que seja sanado a dúvida e/ou empecilho para sua execução.
2.1.4.1.Caso a suspensão venha a impedir a integral execução do Contrato ou venha a afetá-lo significativamente, a critério de qualquer das Partes, fica acordado que, na hipótese da dúvida e/ou empecilho não puder ser sanado em até 60 (sessenta) dias corridos contados da data em que o Contrato for suspenso, o Contrato poderá ser extinto por qualquer das Partes, antecipada, unilateral e motivadamente, sem qualquer ônus para qualquer delas.
2.1.4.2.Caso a suspensão seja parcial, o Contrato continuará válido e eficaz na parte que não tiver sido afetada pela dúvida e/ou empecilho.
2.1.4.3.A Controladora não poderá alegar qualquer prejuízo, dano ou violação do Contrato ou deste instrumento caso a Operadora decida proceder com a suspensão mencionada acima.
2.1.5.As atividades realizadas pela Operadora não configurarão qualquer ratificação das práticas adotadas pela Controladora ou endosso ou confirmação sobre a licitude dos seus negócios e atividades.
2.2. Direitos dos Titulares. As Partes se comprometem a adotar as medidas técnicas e organizacionais disponíveis para cooperar entre si visando ao atendimento de requisições de exercício de direitos de proteção de dados enviadas por Titulares.
2.2.1.A Controladora é responsável por garantir o exercício e cumprimento dos direitos dos titulares no âmbito dos tratamentos de Dados Pessoais realizados no contexto do Contrato, em estrita observância à legislação de proteção de dados.
2.2.2.A Operadora se compromete, desde já, a informar, em até 72 horas úteis, a Controladora acerca do recebimento de qualquer solicitação, de qualquer tipo, realizada por Titulares e/ou por Autoridades Fiscalizadoras em nome dos Titulares e endereçadas à Operadora, bem como a orientar que tais Titulares procurem a Controladora para o exercício de seus direitos.
2.2.3. Caso o Titular requeira diretamente à Operadora o ressarcimento de eventuais prejuízos sofridos, por qualquer meio, administrativo ou judicial, e que sejam causados por descumprimento da Controladora no atendimento dos direitos de proteção de dados deste Titular na forma prevista na LGPD, a Controladora se compromete a assumir o polo passivo da ação e a arcar com todos os custos relacionados à defesa da Operadora, sendo que, se for o caso, a Operadora terá direito de regresso contra a Controladora.
2.3. Obrigações de Segurança. Cada Parte deverá implementar, dentro das possibilidades técnicas disponíveis, as medidas tecnológicas e organizacionaisapropriadas e necessárias a manter a integridade, a confidencialidade e a segurança dos Dados e Informações Confidenciais. Para tanto, as Partes declaram que dispõem de medidas, processos, controles e políticas de segurança e governança apropriadas à proteção dos Dados tratados em razão deste Contrato e compatíveis com a legislação aplicável, bem como comprometem-se a evidenciar as medidas técnicas de controle de segurança para viabilizar a realização de auditoria previamente comunicada, anuída e assistida pela outra Parte.
2.4. Obrigações entre Agentes de Tratamento. As Partes, sem prejuízo das demais obrigações previstas neste Contrato, se obrigam a, em prazo razoável, contadas a partir do seu conhecimento, ainda que mera suspeita, a (i) informar o recebimento de qualquer solicitação, ordem, comunicação e/ou demanda, incluindo citação ou notificação feita por pessoas naturais e/ou jurídicas, seja de direito público ou privado, incluindo as Autoridades Fiscalizadoras, que porventura envolvam, de qualquer forma ou extensão, os Dados Pessoais ou Sensíveis no contexto do Contrato e (ii) informar a outra Parte de eventuais ocorrências de Violações de Dados.
2.4.1.As Partes se comprometem, desde já, a prover informações uma à outra sobre os tratamentos que realizar, bem como informações necessárias à elaboração de eventual Relatório de Impacto à Proteção de Dados Pessoais, do registro de operações dos Dados Pessoais, entre outros documentos e informações que se façam necessários de acordo com a regulação e a legislação aplicáveis.
2.4.1.1.Se necessário e urgente, a Operadora poderá responder a qualquer solicitação, ordem, comunicação e/ou demanda, inclusive diante de uma Violação de Dados, sem previamente acordar com a Controladora a medida a ser tomada e/ou a resposta a ser dada, observando-se a distribuição de responsabilidade prevista na Cláusula 2.1.1 acima.
2.4.1.2.Fica vedado às Partes, fazer qualquer declaração pública, ainda que à imprensa oficial, acerca de qualquer ato ou fato relacionado ao Contrato e que envolva os Dados Pessoais a serem tratados, sem que haja o prévio alinhamento entre elas.
2.4.2.Fica a Operadora autorizada, desde já, a subcontratar Terceiros para executar em parte ou no todo, serviços relacionados à execução do Contrato, inclusive para fins de tratar Dados Pessoais, responsabilizando-se integralmente pela execução de suas obrigações neste Contrato perante à Controladora. Fica autorizado à Operadora, ainda, transferir os Dados Pessoais para país(es) diverso(s) daquele(s) em que o Dado Pessoal foi obtido, desde que respeitada a LGPD e eventual regulação sobre o tema.
2.4.3.A Controladora se compromete a (i) disponibilizar expressamente todas as instruções para que a Operadora realize o tratamento de Dados Pessoais no contexto do Contrato, (ii) auxiliar a Operadora, no que couber, no cumprimento das obrigações inerentes à qualidade de Operadora, previstas na LGPD e demais obrigações aplicáveis, (iii) manter registro adequado das atividades de tratamento de Dados Pessoais, (iv) notificar a ANPD, quando exigido pela LGPD, nos prazos indicados pela legislação e regulação, acerca de Violações de Dados Pessoais e (v) informar a Operadora caso deixe de estar em conformidade com a LGPD e com as demais condições pactuadas entre as Partes no contexto do tratamento de Dados Pessoais, sendo garantido à Operadora o direito de rescisão, sem qualquer penalidade ou pagamento, ou, suspender a execução do Contrato até que tais descumprimentos sejam devidamente tratados e sanados.
2.4.4.A Controladora garante neste ato que as instruções e os tratamentos a serem realizados pela Operadora estão de acordo com a LGPD e que estão adequados às bases legais aplicáveis previstas na LGPD, de forma legítima e lícita. A Controladora garante, ainda, que, na hipótese de vi r a compartilhar Dados Pessoais com a Operadora para fins de execução do Contrato, o compartilhamento é lícito e legítimo, respeitando a LGPD. A Controladora se compromete, ainda, a manter todos os documentos que comprovem a sua adequação à LGPD e as garantias ora descritas, incluindo, mas não se limitando a, consentimentos dos titulares, políticas de privacidade e registro de operações de tratamento de dados pessoais.
2.4.4.1.A Operadora pode, a qualquer momento, solicitar que a Controladora apresente toda a documentação que comprove sua adequação à LGPD e que suas instruções são lícitas e legítimas, mediante comunicação com antecedência de 10 (dez) dias corridos ou em prazo menor se a Operadora estiver sendo investigada, autuada, processada, demandada ou de qualquer forma requerida, inclusive via solicitação feita diretamente por Titular.
2.5.Cada Parte é integralmente responsável por quaisquer danos, diretos ou indiretos, incluindo lucros cessantes, danos morais, custos e despesas decorrentes de, ou relacionadas ao tratamento de Dados Pessoais e Sensíveis causados por sua culpa e/ou dolo ou qualquer de seus Empregados e/ou Terceiros subcontratados em desacordo com este Contrato, e demais legislações aplicáveis, incluindo mas não se limitando a qualquer (i) violação de quaisquer direitos de Titulares ou Terceiros; (ii) violação de qualquer obrigação, declaração ou garantia contida neste documento ou Contrato ou (iii) Violação de Dados causada pela outra Parte ou qualquer de seus Empregados e/ou Terceiros subcontratados.
2.6. Sem prejuízo da obrigação de cooperação entre as Partes prevista no Contrato, caso qualquer das Partes, venha a ser demandada, reclamada, acionada, questionada, autuada e/ou investigada, em razão de Violação de Dados cometida pela outra Parte, infração a qualquer das garantias e responsabilidades previstas no Contrato e neste Anexo ou, ainda, para efetivar/cumprir obrigação/responsabilidade exclusiva da outra Parte, deverá a Parte infratora/responsável isentar e eximir integralmente a outra Parte da demanda correspondente, devendo excluir a Parte inocente do polo passivo ou, se necessário, aceitar a intervenção de terceiro aplicável, bem como se antecipar perante a Autoridade Fiscalizadora e cumprir a responsabilidade que lhe cabe na forma da legislação e regulação aplicáveis, e, por fim, indenizar a Parte inocente na forma prevista na Cláusula 2.5 acima, em especial a título de regresso. Fica claro que a Operadora não deterá qualquer poder de representação da Controladora.
2.7.As Partes reconhecem que as Autoridades Fiscalizadoras poderão fiscalizar e aplicar sanções administrativas, incluindo multas, no caso de violação à LGPD ou às demais regulações pertinentes, sendo que, caso uma Parte sofra sanção administrativa decorrente de culpa ou dolo da outra Parte, a Parte que causar o dano será integralmente responsável pelo ressarcimento à Parte prejudicada.
2.8. Alcançada a finalidade do tratamento dos Dados Pessoais ou diante da extinção do prazo do Contrato, o que ocorrer primeiro, os Dados Pessoais eventualmente compartilhados pela Controladora com a Operadora serão devolvidos à Controladora ou apagados/destruídos ou anonimizados pela Operadora, a exclusivo critério da Operadora, na forma e no prazo de suas próprias políticas internas, não sendo exigível, por parte da Controladora, declaração de descarte/apagamento. Fica certo, desde já, que a Operadora somente poderá devolver os dados que efetivamente ainda tenha armazenado, na medida em que proceder a atualizações permanentes em seus sistemas e arquivos que podem resultar no descarte de determinados Dados Pessoais. Na hipótese de a Operadora optar por reter os dados pessoais, figurará como controladora isolada na forma da LGPD.
2.9. A Controladora poderá realizar, por si ou por terceiros por ela contratados, durante a vigência do Contrato, mediante notificação prévia de, pelo menos, 30 (trinta) dias corridos, auditoria na Operadora exclusivamente, para verificar o cumprimento deste Anexo, especialmente, mas não apenas, diante de incidentes de segurança, devendo a Operadora facultar à Controladora o acesso às suas dependências, sistemas e arquivos, desde que especificamente relacionados aos tratamentos de Dados Pessoais objeto do Contrato, assegurando, ainda, o pleno apoio de seus colaboradores, a fim de que a Controladora possa se certificar, inclusive por meio de testagens técnicas, de que a Operadora cumpre efetivamente o disposto neste Contrato, assim como na LGPD.
2.9.1. A realização das auditorias descritas acima está condicionada, de forma cumulativa, à (i) assinatura de termo de confidencialidade específico para esta finalidade cujo objeto descreverá as informações e tecnologias que serão testadas e/ou analisadas, (ii) os procedimentos realizados devem ser de acesso e uso restrito das estruturas de segurança da informação da Operadora, e (iii) a execução de testes é restrita ao ambiente de homologação de infraestrutura e aplicações e pode ser realizada somente entre as 18h e 08h00, horário de Brasília. Em hipótese alguma será permitido o acesso à base de dados da Operadora.
2.10. Caso a Controladora verifique eventuais riscos na auditoria acima descrita, as Partes deverão acordar, de boa-fé, as medidas necessárias à remediação dos riscos, devendo a Operadora, posteriormente ao acordo, comprovar documentalmente à Controladora o saneamento das irregularidades ou inconsistências encontradas.
3. DAS DISPOSIÇÕES GERAIS3.1. As Partes acordam que o Adendo I será preenchido nesta data, e poderá ser atualizado, eventualmente, pelas Partes, por meio de e-mail formalizado pelos representantes legais das Partes devidamente constituídos e com poderes para celebrar eventuais aditamentos aos Contratos.
3.2. As Partes concordam que as condições previstas neste Anexo serão automaticamente consideradas parte integrante e indissociável do Contrato, para todos os fins.
3.3. Na hipótese de conflito ou ambiguidade entre este Anexo e o Contrato e outros anexos, especificamente no que se refere às atividades de tratamento de Dados Pessoais, prevalecerão os termos e condições deste Anexo.
3.4. Caso qualquer disposição deste Anexo seja considerada nula, ou em caso de alterações da LGPD ou publicação de normativos da ANPD, após a celebração deste Anexo em que se faça qualquer alteração no ora pactuado, as outras disposições permanecerão válidas e em vigor, devendo as Partes proceder à alteração da cláusula em questão, mantendo sua intenção original.
3.5. Todas as notificações e comunicações relacionadas ao tratamento de Dados Pessoais deverão ser realizadas por escrito, e enviadas para o seguinte contato do lado da operadora:
dpo@lingopass.com.br, e, do lado da controladora para o contato do representante legal designado no caput do contrato.
3.6. A Parte que tiver alterado os dados de contato deverá comunicar as alterações à outra Parte. Até que seja feita a referida comunicação, serão válidos e eficazes os avisos, as comunicações e notificações e interpelações enviadas para o contato constante acima.
3.7. As Partes reconhecem que todas as mensagens enviadas por meio eletrônico constituem evidência e prova legal em âmbito judicial.
3.8. As Partes obrigam-se a preservar quaisquer mensagens enviadas por meio eletrônico em seu formato original.