Apêndice sobre o processamento de dados

Esse apêndice constitui parte integral do Contrato e é firmado entre:

(i) O Cliente ("Exportador de Dados")
(ii) IQUALIF ("Importador de Dados")

Cada um sendo uma "Parte" e, coletivamente, "Partes".

Preâmbulo

QUANDO o Importador de Dados prestar serviços de software profissionais e serviços relacionados (como, por exemplo, navegadores com funções de busca avançada);

QUANDO, nos termos do Contrato, o Importador de dados concordar em prestar para o Exportador de Dados os serviços definidos no Contrato (doravante "Serviços");

QUANDO, ao prestar os Serviços, o Importador de Dados receber ou beneficiar-se do acesso às informações do Exportador de Dados de outras pessoas com uma relação (potencial) como Exportador de Dados, tais informações poderão ser qualificadas como dados pessoais no âmbito do Regulamento (UE) 2016/679 do Parlamento e Conselho Europeus de 27 de abril de 2016 sobre a proteção de indivíduos com relação ao processamento de dados pessoais e o livre movimento de tais dados ("RGPD") e outras leis de proteção de dados vigentes.

QUANDO este Apêndice contiver os termos e condições aplicáveis à coleta, processamento e uso de tais dados pessoais pelo Importador de Dados em sua capacidade como o agente de processamento de dados autorizado do Exportador de dados para garantir que as Partes cumpram com a lei de proteção de dados vigente.

Portanto, e afim de permitir que as Partes continuem sua relação lícita, elas firmaram este Apêndice da seguinte forma:

Parte 1

1. Estrutura do documento e definições

1.1 Estrutura

Este Apêndice abrange partes diferentes da seguinte forma:

Parte 1:	Contém disposições gerais, por exemplo, referentes às definições usadas neste Apêndice, conformidade com leis locais, cronograma e rescisão
Parte 2:	Contém o corpo do documento inalterado das Cláusulas Contratuais Padrão
Apêndice 1.1 da Parte 2:	Contém as informações sobre as operações de processamento fornecidas pelo Importador de Dados para o Exportador de Dados como o agente de processamento de dados autorizado (incluindo o processamento, natureza e finalidade do processamento, o tipo de dados pessoais e as categorias dos titulares de dados) nos termos deste Apêndice
Apêndice 2 da Parte 2:	Contém uma descrição das medidas técnicas e de segurança organizacional do Importador de Dados aplicadas em conexão com todas as atividades de processamento descritas no apêndice 1.1 da Parte 2
Parte 3:	Contém as assinaturas das Partes vinculadas por este Apêndice e identifica cada Importador de Dados

1.2 Terminologia e definições

Para as finalidades desse Apêndice, a terminologia e as definições usadas pelo RGPD são aplicáveis (no corpo do documento da Parte 2 da Cláusula Contratual Padrão, em que os termos não são capitalizados).

"Estado-membro"	Significa um país que pertence à União Europeia ou ao Espaço Econômico Europeu
"Categorias Especiais de dados (pessoais)"	Referem-se aos dados pessoais que revelam origem étnica ou racial, opiniões políticas, crenças religiosas ou filosóficas ou associações de sindicatos, dados genéticos, dados biométricos, se processados para a finalidade unicamente identificar uma pessoa, dados referentes à saúde, à vida sexual ou à orientação sexual de uma pessoa.
"Cláusulas Contratuais Padrão"	Significam Cláusulas Contratuais Padrão para a transferência de dados pessoais de agentes de processamento estabelecidos em outros países nos termos da Decisão da Comissão 2010/87/EU de 5 de fevereiro de 2010, que foram alterados pela Decisão de Implementação da Comissão (EU) 2016/2297 em 16 de dezembro de 2016
“Processador de dados”	Significa qualquer agente de processamento, localizado dentro ou fora da UE/EEE, que concorde em receber do Importador de Dados ou de qualquer outro processador do Importador de Dados, dados pessoais para a finalidade exclusiva de atividades de processamento a serem realizadas pelo Exportador de Dados após a transferência em conformidade com as instruções do Exportador de Dados, com os termos deste Apêndice e do Contrato com o Importador de Dados

2. Obrigações do Exportador de Dados

2.1 O Exportador de Dados tem a obrigação de garantir a conformidade com todas as obrigações aplicáveis nos termos do RGPD e com outras leis de proteção de dados vigentes que se aplicam ao Exportador de Dados e de mostrar tal conformidade, conforme exigido pelo Artigo 5 (2) do RGPD. O Exportador de Dados garante que o Importador de Dados obteve o consentimento prévio dos titulares de dados em conformidade com o Artigo 6 (a) do RGPD e cumpriu suas obrigações de informar os titulares de dados em conformidade com o Artigo 13 e 14 do RGPD.

2.2 O Exportador de Dados deve fornecer ao Importador de Dados os respectivos arquivos das atividades de processamento em conformidade com o Artigo 30 (1) do RGPD referente aos Serviços nos termos deste Apêndice na medida do necessário para o Importador de Dados cumprir as obrigações nos termos do Artigo 30 (2) do RGPD.

2.3 O Exportador de Dados deve indicar um agente ou representante de proteção de dados na medida do necessário pela lei de proteção de dados vigente. O Exportador de Dados fica obrigado a fornecer as informações de contato do agente ou representante de proteção de dados, se houver, para o Importador de Dados.

2.4. O Exportador de Dados confirma, antes da realização do processamento, por meio da aceitação desse Apêndice, que as medidas de segurança técnicas e organizacionais do Importador de Dados, conforme estipuladas no Apêndice 2 da Parte 2, são apropriadas e suficientes para proteger os direitos do titular dos dados e confirma que o Importador de Dados fornece salvaguardas suficientes a esse respeito.

3. Conformidade com a lei local

Para atender aos requisitos da implementação dos agentes de processamento, seguindo o Artigo 28 do RGPD, aplicar-se-ão as alterações a seguir:

3.1 Instruções

(i) O Exportador de Dados instrui o Importador de Dados a processar os dados pessoais em nome do Exportador de Dados. As instruções deste são fornecidas neste Apêndice e no Contrato. O Exportador de Dados tem a obrigação de garantir que todas as instruções foram fornecidas para que o Importador de Dados cumpra com as leis de proteção de dados vigentes. O Importador de Dados deve processar os dados pessoais somente em conformidade com as instruções fornecidas pelo Exportador de Dados, salvo se exigido pela União Europeia ou pela lei do Estado-membro (no último caso, aplica-se a Parte 1, cláusula 3.2 (iv) (c)).
(ii) Todas as outras instruções, além das instruções deste Apêndice ou no Contrato, devem ser incluídas no assunto deste Apêndice e no Contrato. Se a implementação dessas instruções adicionais envolver custos para o Importador de Dados, este informará o Exportador de Dados desses custos e fornecerá uma explicação antes de implementar a instrução. Somente após o Exportador de Dados confirmar a aceitação desses custos para implementar a instrução, o Importador de Dados implementará essa instrução adicional. O Exportador de Dados deve dar instruções adicionais por escrito, salvo se urgência ou circunstâncias específicas exigirem outra forma (p. ex., verbal, eletrônica). As instruções em forma diferente da forma escrita devem ser confirmadas por escrito e sem atraso da parte do Exportador de Dados.
1. Salvo se o Exportador de Dados não puder realizar a retificação, exclusão ou restrição dos dados pessoais por conta própria, as instruções também poderão relacionar-se à retificação, exclusão e/ou restrição dos dados pessoais, conforme estipulados na Parte 1 da Cláusula 3.3.
2. O Importador de Dados deve informar imediatamente o Exportador de Dados se, na sua opinião, uma instrução violar o RGPD ou outras disposições de proteção de dados vigentes da União Europeia ou de um Estado-membro ("Instrução Contestada"). Se o Importador de Dados acreditar que uma Instrução viola o RGPD ou outras disposições de proteção de dados vigentes da União Europeia ou de um Estado-membro, o Importador de Dados não será obrigado a seguir a Instrução Contestada. Se o Exportador de Dados confirmar a Instrução Contestada após o recebimento da informação do Importador de dados e reconhecer sua responsabilidade pela Instrução Contestada, o Importador de Dados implementará a Instrução Contestada, salvo se esta relacionar-se: (1) à implementação de medidas técnicas e organizacionais; (ii) aos direitos dos Titulares de Dados ou (iii) ao envolvimento dos processadores de dados. Nos casos (i) a (iii), o Importador de Dados pode entrar em contato com uma autoridade reguladora competente para que esta avalie juridicamente a Instrução contestada. Se a autoridade reguladora declarar a Instrução contestada como legal, o Importador de Dados implementará a instrução contestada. A Parte 1 da Cláusula 3.1 (ii) permanecerá em vigor.

3.2 Obrigações do Importador de Dados

(i) O Importador de Dados deve garantir que as pessoas autorizadas pelo Importador de Dados processem os dados pessoais em nome do Exportador de Dados, especialmente os funcionários do Importador de Dados e de qualquer subcontratado, assumiram a responsabilidade de observar a confidencialidade ou estão sujeitas a uma obrigação estatutária de confidencialidade e que tais pessoas que têm acesso aos dados pessoais os processem em conformidade com as instruções do Exportador de Dados.
(ii) O Importador de Dados deve implementar medidas de segurança técnicas e organizacionais, conforme definido na Parte 2 do Apêndice 2 antes de processar os dados pessoais em nome do Exportador de Dados. O Importador de Dados pode alterar as medidas de segurança técnicas e organizacionais periodicamente se não fornecerem menor proteção do que aquelas definidas na Parte 2 do Apêndice 2.
(iii) O Importador de Dados disponibilizará para o Exportador de Dados, mediante solicitação deste, as informações para mostrar conformidade com as obrigações do Importador de Dados nos termos deste Apêndice. As Partes concordam que essa obrigação de fornecer informações é atendida ao fornecer ao Exportador de Dados um relatório de auditoria (que abrange a segurança dos princípios, disponibilidade do sistema e confidencialidade - "Relatório de Auditoria"). Se forem necessárias juridicamente outras atividades de auditoria, o Exportador de Dados poderá solicitar que sejam realizadas inspeções pelo Exportador de Dados ou outro auditor indicado pelo mesmo, sujeito à execução de tal auditor um contrato de confidencialidade com o Importador de Dados para uma satisfação razoável do Importador de Dados ("Auditoria"). Esta Auditoria está sujeita às condições a seguir: (i) a aceitação formal por escrito e prévia do Importador de Dados; e (ii) O Exportador de Dados arcará com todos os custos referentes à auditoria no local para o Exportador de Dados e para o Importador de Dados. O Exportador de Dados deve criar um relatório de auditoria que resume os resultados e observações da auditoria local ("Relatório de Auditoria Local"). Os Relatórios de Auditoria Local e os Relatórios de Auditoria constituem informações confidenciais do Importador de Dados e não devem ser divulgados para terceiros, salvo se exigido pela lei de proteção de dados vigente ou em conformidade com o consentimento do Importador de Dados.
(iv) O Importador de Dados tem a obrigação de notificar o Exportador de dados, sem atraso indevido:
1. a. da solicitação juridicamente vinculante de divulgação dos dados pessoais por uma instituição por uma autoridade competente, salvo se proibido de outra forma, como, por exemplo, proibição nos termos da legislação criminal para proteger a confidencialidade da investigação da aplicação da lei
2. b. de qualquer reclamação e solicitação recebida diretamente de um titular de dados (p. ex., referente ao acesso, retificação, exclusão, restrição de processamento, portabilidade de dados, objeção ao processamento de dados, tomada de decisão automática) sem responder a essa solicitação, salvo se o Importador de Dados tiver sido autorizado a fazê-lo
3. c. se o Importador de Dados ou o processador de Dados for obrigado, nos termos da legislação da União Europeia ou do Estado-membro ao qual o Importador de Dados ou o processador de dados está sujeito, a processar os dados pessoais além das instruções do Exportador de Dados, antes de realizar tal processamento além das instruções, a menos que a legislação da União Europeia ou do Estado-membro proíba tal processamento com base em interesse público vital, em cujo caso a notificação para o Exportador de Dados especificará o requisito legal nos termos da lei da União Europeia ou do Estado-membro; ou
4. d. se o Importador de Dados perceber uma violação dos dados pessoais, por sua causa ou do seu subcontratado, que poderia afetar os dados pessoais do Exportador de Dados abrangidos pelo presente contrato, em cujo caso o Importador de Dados irá assistir o Exportador de Dados na sua obrigação perante à lei de proteção de dados vigente, para informar os titulares dos dados, quando couber, e as autoridades reguladoras, fornecendo as informações à sua disposição em conformidade com o Artigo 33 (3) do RGPD.
5. (v) mediante solicitação do Exportador de Dados, o Importador de Dados será obrigado a assistir o Exportador de Dados na sua obrigação de realizar uma avaliação de impacto de proteção de dados que pode ser exigida pelo Artigo 35 do RGPD e uma consulta prévia poderá ser exigida pelo Artigo 36 do RGPD referente aos serviços prestados pelo Importador de Dados para o Exportador de Dados nos termos deste Apêndice, fornecendo as informações necessárias para o Exportador de Dados. O Importador de Dados ficará obrigado a fornecer tal assistência se o Exportador de Dados não puder cumprir sua obrigação de outra forma. O Importador de Dados irá orientar o Exportador de Dados do custo de tal assistência. Assim que o Exportador de Dados confirmar que poderá arcar com o custo, o Importador de Dados irá prestar ajuda ao Exportador de Dados.
6. (vi) Ao final da prestação dos serviços, o Exportador de dados poderá solicitar o retorno dos dados pessoais processados pelo Importador de Dados nos termos desse Apêndice dentro de um mês após a prestação dos serviços. Salvo se a legislação do Estado-membro ou da União Europeia solicitar que o Importador armazene ou retenha esses dados pessoais, o Importador de Dados irá apagar tais dados pessoais ou não pessoais após o período de um mês, independentemente de haver retornado tais dados para o Exportador de dados mediante solicitação.

3.3 Direitos das pessoas envolvidas

1. (i) O Exportador de Dados gerencia e responde a solicitações feitas pelos titulares de dados. O Importador de Dados não está obrigado a responder diretamente aos titulares de dados.
2. (ii) se o Exportador de Dados solicitar assistência do Importador de Dados para processar e responder às solicitações dos Titulares de Dados, o Exportador de Dados emitirá uma instrução adicional em conformidade com a Parte 1 da Cláusula 3.1 (ii). O Importador de Dados irá assistir o Exportador de Dados com as medidas técnicas e organizacionais adequadas a seguir para responder às solicitações para o exercício dos direitos dos titulares de dados definidos no Capítulo III do RGPD da seguinte forma:
3. a. Com relação às solicitações de informações, o Importador de Dados irá fornecer ao Exportador de Dados as informações exigidas pelo Artigo 13 e 14 do RGPD que pode ter à disposição se o Exportador de Dados não puder encontrar por conta própria.
4. b. Com relação às solicitações de acesso (Artigo 15 do RGPD), o Importador de Dados fornecerá apenas ao Exportador de Dados as informações que deveriam ser fornecidas para um titular de dados para tal solicitação de acesso que pode ter à disposição se o último não conseguir encontrá-las por conta própria.
5. c. Com relação às solicitações de retificação (Artigo 16 do RGPD), as solicitações de exclusão (Artigo 17 do RGPD), restrição de solicitações de processamento (Artigo 18 do RGDP), ou solicitações de portabilidade (Artigo 20 do RGDP), e apenas se o Exportador de Dados não puder retificar, apagar, limitar ou transmitir os dados pessoal para terceiros, o Importador de Dados irá oferecer ao Exportador de dados a possibilidade de retificar, apagar, limitar ou transmitir os dados pessoais em questão para terceiros ou, se não for possível, irá fornecer assistência para retificar, apagar, limitar ou transferir para terceiros os dados pessoais em questão.
6. d. Com relação à notificação referente à retificação, exclusão ou restrição de processamento (Artigo 19 do RGDP), o Importador de Dados irá assistir o Exportador de Dados, notificando todos os recipientes dos dados pessoais contratados pelo Importador de Dados como processadores, se o Exportador de Dados assim solicitar e se o Exportador de Dados não puder remediar a situação por conta própria.
7. e. Com relação ao direito de oposição exercido pelo titular de dados (Artigo 21 w 22 do RGPD), o Exportador de Dados irá determinar se a oposição é legítima e como tratá-la.
8. (iii) A obrigação de assistência do Importador de Dados é limitada aos dados pessoais processados na sua infraestrutura (p. ex., banco de dados, sistemas, aplicações de propriedade ou fornecidas pelo Importador de Dados).
9. (iv) O Exportador de Dados determinará se um Titular de Dados poderá exercer direitos de Titular de Dados definidos na Cláusula 3.1 dessa Parte 1 e orientará o Importador de Dados em que medida a assistência especificada na Cláusulas 3.3 (ii), (iii) da Parte 1 é necessária.
10. (v) Se o Importador de Dados demandar que medidas técnicas e organizacionais adicionais ou modificadas atendam aos direitos dos titulares de dados que vão além da assistência prestada pelo Importador de dados nos termos da subcláusula 3.3 (ii), (iii) da Parte 1, o Importador de Dados informará o Exportador de Dados dos custos da implementação de tais medidas técnicas e organizacionais adicionais ou modificadas. Assim que o Exportador de Dados confirmar que pode arcar com esses custos, o Importador de Dados irá implementar tais medidas técnicas ou organizacionais adicionais ou modificadas para assistir o Exportador de Dados na resposta para as solicitações dos Titulares de Dados.
11. (vi) Sem limitar o escopo da Cláusula 3.3 (v) da Parte 1, o Exportador de Dados será obrigado a restituir as despesas razoáveis do Importador de Dados incorridas ao responder as solicitações dos Titulares de

3.4 Subprocessamento

1. (i) O Exportador de Dados autoriza o uso de subcontratados pelo Importador de Dados para a prestação dos serviços nos termos deste Apêndice. O Importador de Dados selecionará esse(s) Processador(es) de Dados cuidadosamente. O Exportador de Dados aprova o(s) Processador(es) de Dados listados no Apêndice 1.1 no fim da Parte 2.
2. (ii) O Importador de Dados transferirá suas obrigações nos termos desse Apêndice para o(s) Processador(es) de Dados na medida aplicável pelos serviços subcontratados.
3. (iii) O Importador de Dados poderá dispensar, substituir ou designar outro(s) processador(es) de dados apropriado(s) a seu critério. Se for solicitado por escrito pelo Exportador de Dados, o Importador de dados deverá seguir o procedimento definido abaixo:
1. a. O Importador de Dados informará o Exportador de Dados antes de qualquer alteração na lista de Processadores de Dados referenciada na Cláusula 3.4 (i) da Parte 1. Se o Exportador de Dados não contestar, com base na Cláusula 3.4 (b) da Parte 1, dentro de trinta dias após o recebimento da notificação do Importador de Dados, os processadores de Dados adicionais serão considerados como não aceitos.
2. b. Se o Exportador de Dados tiver um motivo legítimo para contestar um Processador de Dados adicional, ele emitirá aviso prévio por escrito para o Importador de Dados dentro de trinta dias do recebimento da notificação do Importador de Dados e antes de o serviço do Importador de Dados ser colocado em operação. Se o Exportador de Dados contestar o uso de um Processador de Dados adicional, o Importador de Dados poderá cancelar a contestação de uma das opções a seguir (escolhidas a seu critério): (A) o Importador de Dados irá cancelar seus planos de usar um processador adicional com relação aos dados pessoais do Exportador; (B) o Importador de dados tomará medidas corretivas solicitadas pelo Exportador de Dados na sua contestação (cancelando a contestação) e fará uso de um processador adicional para os dados pessoais do Exportador de Dados; (C) o Importador de Dados poderá parar de fornecer ou o Exportador de Dados pode não concordar com o uso (temporário ou permanente) de um determinado aspecto do serviço que poderia envolver o uso do processador adicional do Exportador de Dados para os dados pessoais do Exportador de Dados.
1. (iv) se o Processador de Dados estiver fora da UE-EEE, em um país que se considera que não oferece um nível adequado de proteção de dados com base em uma decisão da Comissão Europeia, o Importador de Dados tomará medidas para cumprir um nível adequado de proteção de dados em conformidade com o RGPD (tais medidas incluem, entre outras, o uso de contratos de processamento de dados com base nas cláusulas do modelo da UE, transferência para processadores de dados no âmbito do Escudo de Proteção entre UE e EUA ou programa similar).

3.5 Vencimento

O vencimento deste Apêndice é idêntico à data de vencimento do Contrato correspondente. Salvo se estipulado em contrário neste Apêndice, os direitos e obrigações referentes à rescisão serão os mesmos direitos definidos no Contrato.

4. Limitação de responsabilidade

4.1 Cada parte administra suas obrigações nos termos deste Apêndice e da legislação vigente de proteção de dados.

4.2 Qualquer responsabilidade referente a uma violação de obrigações nos termos deste Apêndice ou de uma legislação de proteção de dados vigente estará sujeita e será regida pelas disposições de responsabilidade definidas ou aplicadas ao Contrato, salvo se disposto em contrário neste Apêndice. Se a responsabilidade for regida por disposições de responsabilidade definidas ou aplicáveis ao Contrato, para calcular os limites da responsabilidade ou determinar a aplicação de outros limites de responsabilidade, qualquer responsabilidade proveniente deste Apêndice será considerada como proveniente do Contrato.

5. Disposições gerais

5.1 Se houver inconsistências ou discrepâncias entre as Partes 1 e 2 deste Apêndice, a parte 2 prevalecerá. Especificamente, mesmo nesse caso, a Parte 1, que simplesmente vai além da Parte 2 (p. ex., os termos das cláusulas-padrão) sem contradizê-la continuará válida.

5.2 Se surgir alguma discrepância entre as provisões deste Apêndice e aquelas de outros contratos que vinculam as partes, este Apêndice prevalecerá com relação às obrigações de proteção de dados das partes. Em caso de dúvida se as cláusulas nos outros contratos referem-se às obrigações de proteção de dados das partes, este Apêndice prevalecerá.

5.3 Se alguma disposição deste Apêndice for inválida ou inexequível, o restante do mesmo permanecerá em vigor. A disposição inválida ou inexequível será (i) alterada para garantir sua validade e aplicabilidade ao mesmo tempo em que preserva, na medida do possível, a intenção das partes ou, se não for possível, (ii) interpretada como se a parte inválida ou inexequível nunca tivesse formado parte do contrato. O supracitado também irá aplicar-se em caso de omissão neste Apêndice.

5.5 Na medida do necessário, as Partes podem solicitar alterações na Cláusula 3 da Parte 1 (conformidade com a legislação local) ou em outras partes do Apêndice para cumprir as interpretações, diretivas ou ordens emitidas pelas autoridades cmpetentes da União ou dos Estados-membros, das disposições de aplicação nacional ou outros desenvolvimentos referentes ao RGPD ou condições de delegação para entidades envolvidas no processamento de dados e, especificamente, referente ao uso das Cláusulas Contratuais Padrão no RGPD. Os termos das Cláusulas Contratuais Padrão podem não ser modificados ou substituídos, a menos que a Comissão Europeia os aprove expressamente (p. ex., novas cláusulas adequadas e proteção-padrão de dados).

5.6 Qualquer referência neste Apêndice às "Cláusulas" será entendida como referência a todas as provisões deste Apêndice, salvo se indicado em contrário.

5.7 A escolha da lei na Cláusula 9 da Parte 2 aplica-se a todo o Contrato.

6. Os dados pessoais transmitidos e processados pelas partes para as finalidades pessoais (transferência do controlador de dados para o controlador de dados)

6.1 As Partes têm plena ciência de que determinados dados pessoais serão transferidos do Exportador de Dados para o Importador de dados e vice versa, e que tais dados são processados por cada Parte para suas próprias finalidades. Com relação a esses dados pessoais, eles não afetam as outras disposições deste Apêndice (exceto a Cláusula 6).

6.2 O Exportador de Dados pode transferir os dados pessoais dos funcionários do Importador de Dados para o Importador de Dados, incluindo informações sobre incidentes de segurança ou outros documentos ou arquivos criados ou estabelecidos pelo Exportador de Dados em conexão com os Serviços prestados pelos funcionários do Importador de Dados. O Importador de Dados pode processar tais dados pessoais para as suas finalidades, especialmente nas suas relações profissionais com a equipe do Importador de Dados, para controle de qualidade e treinamento ou para fins de negócios.

6.3. O Importador de Dados pode transferir dados pessoais para o Exportador de Dados, incluindo o nome e informações de contato da equipe do Importador de Dados. O Exportador de Dados pode processar os dados dessa equipe para suas próprias finalidades.

6.4 Ambas as partes cumprirão as leis de proteção de dados vigentes, incluindo o RGPD, ao coletar, processar e usar tais dados pessoais recebidos da outra parte nos termos da cláusula 1 da Parte 1. Em particular, ambas as Partes adotarão medidas de segurança adequadas, fornecendo um nível de proteção similar às medidas de segurança definidas no Apêndice 2 da Parte 2. Qualquer acesso a esses dados pessoais será limitado à necessidade de conhecê-los.

6.5 Ambas as Partes devem apagar esses dados pessoais assim que possível após os objetivos haverem sido concluídos.

Parte 2

DECISÃO DA COMISSÃO

em 5 de fevereiro de 2010

sobre cláusulas contratuais padrão para a transferência de dados pessoais para processadores de dados estabelecidos em países terceiros nos termos da Diretiva 95/46/EC do Parlamento Europeu e do Conselho

Cláusula 1

Definições

No âmbito das cláusulas:

a) "dados pessoais", "categorias especiais de dados", "processamento", "controlador", "processador", "titular de dados" e "autoridade reguladora" terão o mesmo significado definido na Diretiva 95/46/EC do Parlamento Europeu e do Conselho de 24 de outubro de 1995 sobre proteção de indivíduos com relação ao processamento de dados pessoais e livre movimento de tais dados (1);

b) o "Exportador de Dados" é o Controlador de Dados que transfere os dados pessoais;

c) o "Importador de Dados" é o Processador de Dados que concorda em receber dados pessoais do Exportador de Dados para serem processados em nome deste após a transferência em conformidade com as suas instruções e nos termos dessas cláusulas e quem não está sujeito ao mecanismo de um país terceiro e garante proteção adequada no âmbito do Artigo 25(1) da Diretiva 95/46/EC; (d) "Processador de Dados" é o Processador de Dados contratado pelo Importador de Dados ou por outro Processador de Dados do Importador de Dados que concorda em receber dados pessoais do Importador de Dados ou de outro Processador de Dados do Importador de Dados exclusivamente para que as atividades de processamento sejam realizadas em nome do Exportador de Dados após a transferência em conformidade com as instruções do Exportador de Dados, nas condições definidas nessas Cláusulas e nos termos da subcontratação por escrito do contrato de processamento de dados;

e) "lei de proteção de dados vigente" é a legislação que protege os direitos fundamentais e liberdades individuais, incluindo o direito à privacidade referente ao processamento dos dados pessoais e aplicados a um controlador no Estado-membro onde o Exportador de Dados está estabelecido;

f) "medidas técnicas e organizacionais referentes à segurança" são medidas que têm o objetivo de proteger os dados pessoais contra destruição acidental ou ilícita ou perda acidental, alteração, divulgação ou acesso não autorizado, especialmente quando o processamento envolver a transmissão dos dados por redes e contra todas as outras formas ilícitas de processamento.

Cláusula 2

Detalhes da transferência

Os detalhes da transferência incluindo, quando apropriado, as categorias especiais de dados pessoais, são especificados no Apêndice 1 e formam parte integrante dessas cláusulas.

Cláusula 3

Cláusula do terceiro beneficiário

1. O titular dos dados pode fazer cumprir esta Cláusula para o Exportador de Dados, a Cláusula 4(b) a (i), Cláusula 5(a) a (e) e (g) a (j), Cláusula 6 (1) e (2), Cláusula 7, Cláusula 8(2) e Cláusulas 9 a 12 como terceiro beneficiário

2. O titular dos dados pode fazer cumprir esta Cláusula, a Cláusula 5 (a) a (e) e (g), a Cláusula 6, Cláusula 7, Cláusula 8 (2) e as Cláusulas 9 a 12 para Importador de Dados se o Exportador de Dados desapareceu fisicamente ou deixou de existir perante a lei, salvo se todas as suas obrigações jurídicas forem transferidas, por contrato ou operação da lei, para a entidade do sucessor para o qual os direitos e obrigações do Exportador de Dados sejam revertidas e para o qual o titular dos dados possa, portanto, fazer cumprir as ditas cláusulas.

O titular dos dados pode fazer cumprir esta Cláusula, a Cláusula 5 (a) a (e) e (g), a Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12 para o Processador de Dados, mas somente nos casos em que o Exportador de dados e o Importador de Dados tiverem desaparecido fisicamente ou deixarem de existir perante a lei ou se tornarem insolventes, salvo se todas as obrigações jurídicas do Exportador de Dados foram transferidas por contrato ou operação da lei, para o sucessor legal ao qual os direitos e obrigações do Exportador de Dados são conferidos e para quem o titular dos dados pode, portanto, fazer cumprir tais cláusulas. Essa responsabilidade do Processador de Dados deve ser limitada para as suas próprias atividades de processamento nos termos dessas cláusulas.

4. As partes não se opõem ao fato de que o titular dos dados seja representado por uma associação ou outro órgão se assim o desejar e se a lei nacional assim o permitir.

Cláusula 4

Obrigações do Exportador de Dados

O Exportador de Dados aceita e garante o disposto a seguir:

a) o processamento, incluindo a transferência atual dos dados pessoais, foi e continuará sendo realizado em conformidade com as disposições relevantes da lei de proteção de dados vigente (e, quando cabível, será notificado às autoridades competentes do Estado-membro no qual o Exportador de Dados se encontra) e não viola as disposições relevantes desse Estado;

b) ele instruiu e instruirá, durante os serviços de processamento de dados pessoais, o Importador de Dados a processar os dados pessoais transferidos em nome exclusivo do Exportador de Dados e em conformidade com a lei de proteção de dados vigente e com essas cláusulas;

c) o Importador de Dados fornecerá salvaguardas suficientes com relação às medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 do presente contrato;

d) após a avaliação dos requisitos da lei de proteção de dados aplicável, as medidas de segurança são adequadas para proteger os dados pessoais contra destruição acidental ou ilícita ou perda acidental, alteração ou divulgação ou acesso não autorizado, especialmente quando o processamento envolver a transmissão de dados por uma rede e contra todas as formas ilícitas de processamento e garantem um nível de segurança adequado para os riscos representados pelo processamento e natureza dos dados a serem protegidos com relação ao nível de tecnologia e ao custo de implementação;

e) ele garantirá a conformidade com as medidas de segurança;

f) se a transferência relacionar-se com categorias especiais de dados, o titular dos dados foi informado ou será informado da transferência ou, assim que possível, após a transferência, de que seus dados podem ser transferidos para um país terceiro que não oferece um nível de proteção adequado no âmbito da Diretiva 95/46/EC;

g) ele encaminhará qualquer notificação recebida do Importador de Dados ou do Processador de Dados nos termos da Cláusula 5 (b) e 8 (3) para a autoridade reguladora de proteção de dados se decidir continuar realizando a transferência ou se se fizer a suspensão;

h) ele disponibilizará para os titulares de dados, se solicitado, uma cópia dessas Cláusulas, exceto o Apêndice 2, uma descrição resumida das medidas de segurança e uma cópia de qualquer outro contrato de subcontratação firmado nos termos dessas Cláusulas, salvo se estas ou o contrato contiverem informações comerciais, em cujo caso essas informações poderão ser removidas;

i) no caso de subcontratação do processo de processamento de dados, a atividade de processamento é realizada em conformidade com a Cláusula 11 por um Processador de Dados que fornece o mesmo nível dos dados pessoais e dos direitos do titular dos dados que o Importador de Dados nos termos dessas Cláusulas; e

j) garantirá a conformidade com a Cláusula 4 (a) a (i).

Cláusula 5

Obrigações do Importador de Dados

O Importador de Dados aceita e garante o seguinte:

a) ele processará os dados pessoais somente em nome do Exportador de Dados e nos termos das instruções do Exportador de Dados e dessas cláusulas. Se não for capaz de fazê-lo, por qualquer motivo, ele concorda em informar ao Exportador de Dados da sua incapacidade assim que possível, em cujo caso o Exportador de Dados poderá suspender a transferência dos dados e/ou rescindir o contrato;

b) ele não tem motivo para acreditar que a lei aplicável o impede de cumprir as instruções fornecidas pelo Exportador de Dados e as obrigações estabelecida para ele nos termos do contrato, e, se tal lei estiver sujeita a uma alteração que poderia ter um efeito material adverso sobre as garantias e obrigações nas Cláusulas, ele notificará o Exportador de Dados da alteração sem atraso e após tomar conhecimento, em cujo caso o Exportador de Dados poderá suspender a transferência de dados e/ou o contrato; (c) ele implementou as medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 antes de processar os dados pessoais transferidos;

d) ele notificará o Exportador de Dados sem atraso;

i) qualquer solicitação de vinculação para divulgação de dados pessoais de uma autoridade executória, salvo se disposto em contrário, como proibição criminal com o objetivo de preservar o sigilo de uma investigação policial;

ii) qualquer acesso incidental ou não autorizado; e

iii) qualquer solicitação recebida diretamente das pessoas envolvidas sem responder a ela, a menos que tenha sido autorizado a fazê-lo; administradores

e) ele irá tratar, de forma imediata e adequada, todas as consultas do Exportador de Dados referentes ao seu processamento dos dados pessoais que estão sendo transferidos e agirá com base na opinião da autoridade reguladora com relação ao processamento dos dados transferidos;

f) mediante solicitação do Exportador de Dados, ele estará sujeito às instalações do processamento de dados para uma auditoria das atividades de processamento cobertas por essas cláusulas a ser realizadas pelo Exportador de Dados ou por um órgão regulador constituído de membros independentes com as qualificações profissionais necessárias, sujeito a uma obrigação de sigilo e escolhido pelo Exportador de Dados, quando apropriado e com o aval da autoridade reguladora;

g) ele disponibilizará para o titular dos dados, se solicitado, uma cópia dessas cláusulas ou qualquer subcontratação existente do contrato de processamento de dados, salvo se as Cláusulas ou o contrato contiverem informações confidenciais, em cujo caso essas informações poderão ser removidas, exceto o Apêndice 2, que será substituído por uma descrição resumida das medidas de segurança, quando o titular dos dados não puder obter uma cópia do Exportador de Dados;

h) no caso de uma subcontratação confidencial do processamento de dados, ele irá garantir que informará o Exportador de Dados antecipadamente e obterá o consentimento por escrito do Exportador de Dados;

i) os serviços de processamento prestados pelo Processador de Dados cumprirão a Cláusula 11;

j) ele enviará prontamente uma cópia de qualquer subcontratação dos acordos de processamento de dados firmada nos termos dessas Cláusulas com o Exportador de Dados.

Cláusula 6

Responsabilidade

1. As Partes concordam que qualquer titular de dados que sofreu dano em razão de violação das obrigações referidas na Cláusula 3 ou Cláusula 11 por uma parte ou por um Processador de Dados poderá obter compensação do Exportador de Dados pelo dano sofrido.

2. Se um titular de dados for impedido de interpor uma ação por dano, conforme referido no parágrafo 1, contra o Exportador de Dados por falha de o Importador de Dados ou do seu Processador de Dados de cumprir qualquer de suas obrigações nos termos da Cláusula 3 ou Cláusula 11 porque o Exportador de Dados desapareceu fisicamente, deixou de existir perante a lei ou tornou-se insolvente, o Importador de Dados concorda que o titular dos dados poderá apresentar uma reivindicação como se fosse o Exportador de Dados, salvo se todas as obrigações jurídicas do Exportador de Dados tiverem sido transferidas, por contrato ou aplicação da lei, para a sua entidade sucessora, perante a qual o titular dos dados poderá fazer cumprir seus direitos. O Importador de Dados não poderá apoiar-se em uma violação das suas obrigações de um Processador de Dados para evitar a sua própria responsabilidade.

3. Se um titular de dados for impedido de interpor a ação referida nos parágrafos 1 e 2 contra o Exportador de Dados ou contra o Importador de Dados em razão de violação do Processador de Dados das suas obrigações nos termos da Cláusula 3 ou Cláusula 11 porque o Exportador de Dados e o Importador de Dados desapareceram fisicamente, deixaram de existir perante a lei ou tornaram-se insolventes, o Processador de Dados concorda que o titular dos dados poderá apresentar uma reclamação com relação às suas próprias atividades de processamento em conformidade com essas cláusulas como se fosse o Exportador de Dados ou o Importador de Dados, a menos que todas as obrigações jurídicas do Exportador de Dados ou do Importador de Dados tenham sido transferidas, por contrato ou aplicação da lei, para o sucessor legal, contra quem o titular dos dados poderá fazer cumprir seus direitos. Esta responsabilidade do Processador de Dados pode ser limitada às suas próprias atividades de processamento em conformidade com essas cláusulas.

Cláusula 7

Mediação e jurisdição

1. O Importador de Dados concorda que, se nos termos dessas cláusulas, o titular dos dados invocar contra ele o direito de terceiro beneficiário e/ou reivindicar compensação pelo prejuízo sofrido, ele aceitará a decisão do titular dos dados;

a) para apresentar a disputa à mediação por uma pessoa independente ou, quando apropriado, a uma autoridade reguladora;

b) para apresentar a disputa aos tribunais do Estado-membro onde o Exportador de Dados se encontra.

2. As partes concordam que a escolha feita pelo titular dos dados não afetará o procedimento ou o direito substantivo do titular dos dados para obter reparação em conformidade com outras provisões da lei nacional ou internacional.

Clpausula 8

Cooperação com autoridades reguladoras

1. O Exportador de Dados concorda em depositar uma cópia do presente contrato junto com a autoridade reguladora se esta assim o solicitar ou se tal depósito for fornecido pela lei de proteção de dados vigente.

2. As partes concordam que a autoridade reguladora pode realizar auditorias no Importador de Dados e em qualquer Processador de Dados na mesma medida e condições das auditorias realizadas pelo Exportador de Dados e em conformidade com a lei de proteção de dados vigente.

3. O Importador de Dados informará o Exportador de Dados assim que possível da existência da legislação referente ao Importador de Dados ou qualquer Processador de Dados que impedir a verificação do Importador de Dados ou de qualquer Processador de Dados em conformidade com o parágrafo 2. Nesse caso, o Exportador de Dados poderá tomar as medidas fornecidas na Cláusula 5 (b).

Cláusula 9

Lei aplicável

As cláusulas aplicam-se e são regidas pela lei do Estado-membro onde o Exportador de Dados se encontra.

Cláusula 10

Modificação do contrato

As partes comprometem-se a não modificar as presentes cláusulas. As partes permanecem livres para incluir outras cláusulas comerciais que julguem necessárias, desde que não contradigam as cláusulas presentes.

Cláusula 11

Contratação subsequente

1. O Importador de Dados não subcontratará nenhuma das suas atividades de processamento realizadas em nome do Exportador de Dados nos termos dessas cláusulas sem o consentimento prévio e por escrito do Exportador de Dados. O Importador de Dados subcontratará apenas as suas obrigações nos termos dessas Cláusulas com o consentimento do Exportador de Dados por meio de um acordo por escrito com o Processador de Dados e irá impor sobre este as mesmas obrigações impostas sobre o Importador de Dados nos termos dessas Cláusulas. Se o Processador de Dados não puder cumprir as suas obrigações de proteção de dados nos termos do acordo escrito, o Importador de Dados permanecerá integralmente responsável pelo cumprimento dessas obrigações por parte do Exportador de Dados.

2. O acordo prévio por escrito entre o Importador de Dados e o Processador de Dados incluirá uma cláusula do terceiro beneficiário, conforme definido na Cláusula 3 para os casos em que o titular dos dados for impedido de apresentar reclamações por danos referidos na Cláusula 6 (1) contra o Exportador de Dados ou contra o Importador de Dados porque o Exportador de Dados ou o Importador de Dados desapareceu fisicamente, deixou de existir perante a lei ou tornou-se insolvente e todas as obrigações do Exportador de Dados ou do Importador de Dados não foram transferidas, por contrato ou operação da lei, para outra entidade sucessória. A responsabilidade do Processador dos Dados deve ser limitada às suas próprias atividades de processamento em conformidade com essas cláusulas.

3. As disposições referentes aos aspectos da proteção de dados da subcontratação do processamento de dados do contrato referidos no parágrafo 1 serão regidas pela lei do Estado-membro no qual o Exportador de Dados está estabelecido.

4. O Exportador de Dados manterá uma lista da subcontratação dos contratos de processamento de dados firmados nos termos dessas Cláusulas e notificados pelo Importador de Dados em conformidade com a Cláusula 5 (j), que será atualizada pelo menos uma vez por ano. Esta lista será disponibilizada para a autoridade reguladora de proteção de dados do Exportador de Dados.

Cláusula 12

Obrigação após a rescisão dos serviços de processamento dos dados pessoais

1. As partes concordam que, após a conclusão dos serviços de processamento de dados, o Importador de Dados e o Processador de Dados devolverão, como convier ao Exportador de Dados, todos os dados pessoais transferidos e as cópias dos mesmos para o Exportador de Dados ou destruirão tais dados e apresentarão uma prova da destruição para o Exportador de Dados, salvo se a legislação imposta sobre o Importador de Dados impedi-lo de devolver ou destruir todo ou parte dos dados pessoais transferidos. Nesse caso, o Importador de Dados garantirá a confidencialidade dos dados pessoais transferidos e que irá mais processar os dados de forma ativa.

2. O Importador de Dados e o Processador de Dados garantirão que, se solicitado pelo Exportador de Dados e/ou pela autoridade reguladora, eles submeterão suas formas de processamento de dados a verificação das medidas referidas no parágrafo 1.

Apêndice 1.1 da Parte 2

Detalhes da transferência

Exportador de Dados

O Exportador de Dados é o Cliente definido no acordo contratual.

Importador de Dados

O Importador de Dados é a IQUALIF e tem a responsabilidade de processar os dados, prestando serviços para o Exportador de Dados.

Titulares dos Dados

Os dados pessoais transferidos referem-se às categorias de titulares de dados a seguir:

☒ assinante de telefone, listados no diretório universal

☐ Outros, incluindo:

Categoria dos dados

Os dados pessoais transferidos referem-se às categorias de dados a seguir:

Categorias dos dados pessoais dos titulares dos dados do Exportador de Dados, em particular,

☒ Nome completo

☒ Endereço postal

☒ Informações de contato (e-mail, telefone, endereço IP, etc.)

☒ Informações das atividades de marketing referentes ao assinante de telefone

☒ Outros, incluindo o tipo de residência, renda, idade média por cidade, feitos de modo anônimo

Categorias especiais de dados (se aplicável)

Os dados pessoais transferidos referem-se às categorias especiais de dados a seguir:

☒ A transferência de categorias especiais de dados não é prevista

☐ Raça ou origem étnica

☐ Crenças religiosas ou filosóficas

☐ Associação a sindicatos

☐ Opiniões políticas

☐ Informações genéticas

☐ Informações biométricas

☐ Informação sobre a orientação sexual ou vida sexual

☐ Informações sobre saúde

Atividades de processamento

Os dados pessoais transferidos estarão sujeitos às atividades básicas de processamento a seguir:

- • Finalidade do processamento

O processamento realizado em nome do Exportador de Dados tem por base os temas a seguir, em particular:

☒ Assumir o controle dos produtos ou serviços oferecidos pelo Exportador de Dados

☒ A oferta de um produto ou serviço que a pessoa chamada pode solicitar

☒ Pedidos feitos pelas pessoas chamadas e processamento posterior desses pedidos

☒ Questionários e análises de estudo

☒ Telemarketing

☐ Outros, incluindo:

- • Natureza e finalidade do processamento

O Importador de Dados processa os dados pessoais dos titulares de dados em nome do Exportador de Dados a fim de prestar os serviços a seguir, principalmente:

☒ Vendas e marketing

☒ Outros, incluindo atualizar bancos de dados da prefeitura e partidos políticos

- • Prestação dos serviços e emprego dos prestadores de serviço

A IQUALIF combina, centraliza e presta serviços para o Exportador de Dados. Os serviços prestados pelo prestador de serviços nomeado podem ser estruturados (entre outros, conforme apropriado) ao redor dos seguintes serviços auxiliares: (i) fornecimento de aplicativos, ferramentas, sistemas e infraestrutura de TI com relação aos centros de processamento de dados usados para fornecer e dar suporte aos serviços, incluindo o processamento dos dados pessoais dos titulares de dados, conforme descrito acima, por meio desses aplicativos, ferramentas e sistemas, (ii) o fornecimento de suporte de TI, manutenção e outros serviços relacionados a esses aplicativos, ferramentas, sistemas e infraestrutura de TI, incluindo acesso potencial aos dados pessoais armazenados em tais aplicativos, ferramentas e sistemas, e (iii) a prestação dos serviços de proteção de dados, monitoramento de proteção e serviços de resposta a incidente, incluindo acesso potencial aos dados pessoais ao prestar tais serviços de proteção. a IQUALIF pode contratar processadores de dados, conforme definido abaixo para prestar os serviços, incluindo os serviços auxiliares.

- • Prestadores de serviços externos são subentidades atribuídas ao processamento dos dados

A IQUALIF contrata prestadores de serviço externos e terceiros, que não são subsidiários da IQUALIF, para dar suporte à prestação de serviços para o Exportador de Dados. O Exportador de Dados aprova cada um desses prestadores de serviço externo e terceiros como subentidades atribuídas ao processamento de dados.

Se uma subentidade envolvida no processamento de dados estiver localizada fora da UE/EEE, em um país em que se considera não ter um nível adequado de proteção de dados em uma decisão local da Comissão Europeia, o Importador de Dados tomará as medidas para obter um nível adequado de proteção de dados em conformidade com o RGPD e com a seção 3.4 (iv) da Parte 1.

Apêndice 2, Parte 2

Medidas de proteção técnicas e organizacionais

O Importador de Dados adotará as medidas de proteção técnicas e organizacionais a seguir confirmadas pelo Exportador de Dados para garantir um nível apropriado de segurança para os direitos e liberdades dos indivíduos, dependendo dos riscos. Ao avaliar o nível de proteção em questão, o Exportador de Dados considerou, em particular, os riscos envolvidos no processamento, incluindo a destruição acidental ou ilícita, alteração, divulgação não autorizada ou acesso aos dados pessoais transmitidos, armazenados ou, de outra forma, processados. Para fins de esclarecimento: essas medidas de proteção técnicas e organizacionais não se aplicam aos aplicativos, ferramentas, sistemas e/ou infraestrutura de TI fornecida pelo Exportador de Dados.

1 Medidas de proteção técnicas e organizacionais

1.1 Informações gerais e estratégias de proteção de dados

Devem-se adotar as medidas a seguir para seguir as estratégias de proteção geral de dados e de informações:

a) adote medidas para avaliar aquelas tomadas com relação à proteção técnica e organizacional;

b) forneça treinamento para conscientizar os funcionários;

c) tenha uma descrição dos sistemas em questão e conceda acesso aos funcionários;

d) estabeleça um processo de documentação formal sempre que os sistemas forem implementados ou modificados;

e) documente a estrutura, processos, responsabilidades da organização e as respectivas avaliações;

1.2 Organização da proteção de informações

As medidas a seguir devem ser adotadas para coordenar as atividades de proteção de dados e informações:

a) responsabilidades definidas para a proteção de informações e dados (p. ex., por meio de uma política de gestão de proteção de dados);

b) o conhecimento necessário disponível sobre proteção de dados e informações;

c) todos os funcionários estão comprometidos a garantir que os dados pessoais sejam mantidos confidenciais e foram informados das possíveis consequências de violar este compromisso.

1.3 Controle de acesso às áreas de processamento

Devem-se adotar as medidas a seguir para evitar pessoas não autorizadas de obter acesso aos sistemas de processamento de dados (especialmente software e hardware) quando os dados pessoais são processados, armazenados ou transmitidos:

a) estabelecer áreas de segurança;

b) proteger e restringir o acesso aos sistemas de processamento;

c) estabelecer autorizações de acesso para funcionários e terceiros, incluindo para os respectivos documentos;

d) todos os acessos aos centros de processamento de dados nos quais os dados pessoais são armazenados devem ser registrados

1.4 Controle de acesso aos sistemas de processamento de dados

As medidas a seguir devem ser adotadas para evitar o acesso não autorizado aos sistemas de processamento de dados:

a) políticas e procedimento de autenticação de usuário;

b) uso de senhas em todos os sistemas dos computadores;

c) o acesso remoto à rede exige uma autenticação de multifator e é concedido à pessoa referida de acordo com a sua responsabilidade e mediante autorização;

d) o acesso a funções específicas tem por base as funções de trabalho e/ou atributos individualmente atribuídos à conta de um usuário;

e) os direitos de acesso referentes aos dados pessoais são revisados regularmente;

f) os registros das alterações aos direitos de acesso são mantidos atualizados.

1.5 Controle de acesso a áreas particulares de uso dos sistemas de processamento de dados

As medidas a seguir devem ser adotadas para garantir que as pessoas autorizadas com o direito de usar o sistema de processamento de dados possam acessar os dados apenas dentro das suas responsabilidades e autorizações de acesso e que os dados pessoais não podem ser lidos, copiados, modificados ou apagados sem autorização:

1. a) políticas, instruções e treinamento de funcionários referentes às obrigações de cada um sobre confidencialidade, direitos de acesso aos dados pessoais e escopo do processamento dos dados pessoais;

b) medidas disciplinares contra pessoas que acessam os dados pessoais sem autorização;

c) o acesso aos dados pessoais será concedido somente a pessoas autorizadas, com base na necessidade;

d) manter uma lista de administradores e tomar as medidas apropriadas para monitorar os administradores do sistema;

e) não copiar ou reproduzir os dados pessoais em qualquer sistema de armazenamento para permitir que pessoas não autorizadas removam as informações do originador;

f) exclusão controlada e documentada ou destruição dos dados;

g) para armazenar, de modo seguro, todos os dados pessoais que devem ser retidos para fins legais (p. ex., obrigações de retenção de dados) e somente pelo período exigido em lei.

1.6 Controle de transmissão

As medidas a seguir devem ser adotadas para evitar que os dados pessoais sejam lidos, copiados, modificados ou apagados por terceiros não autorizados durante a transmissão ou transporte dos dispositivos de armazenamento de dados (dependendo do processamento dos dados pessoais realizado):

1. a) uso de firewalls;

b) evitar o armazenamento de dados pessoais em dispositivos de armazenamento móveis para fins de transporte ou criptografar os dispositivos;
c) uso em laptops e outros dispositivos móveis somente após a proteção de criptografia ter sido ativada;

d) registro das transmissões dos dados pessoais.

1.7 Controle de registro de dados

As medidas a seguir devem ser adotadas para garantir que é possível verificar e determinar se os dados pessoais foram inseridos ou apagados dos sistemas de processamento de dados e por quem:

1. a) uma política que autoriza a leitura, alteração e exclusão dos dados armazenados;

b) medidas de proteção referentes à leitura, alteração e exclusão dos dados armazenados.

1.8 Controle de trabalho

Na hipótese de processamento delegado dos dados pessoais, as medidas a seguir deverão ser adotadas para garantir que tais dados sejam processados em conformidade com as instruções do Supervisor:

1. a) entidades ou subentidades atribuídas ao processamento de dados, escolhidas com cuidado (prestadores de serviços que processam dados pessoais em nome do controlador);

b) instruções referentes ao escopo de qualquer processamento dos dados pessoais para funcionários, entidades ou subentidades atribuídas ao processamento dos dados;

c) direitos de autoridade acordados com as entidades ou subentidades atribuídas ao processamento dos dados;

d) acordos em vigor com as entidades ou subentidades atribuídas ao processamento dos dados

1.9 Separação do processamento para outras finalidades

As medidas a seguir devem ser adotadas para garantir que os dados coletados para outras finalidades possam ser processados separadamente:

1. a) acesso separado aos dados pessoais em conformidade com os direitos existentes dos usuários;

b) interfaces, processamento de lotes e comunicação para outras finalidades e funções para que os dados coletados para outras finalidades possam ser processados separadamente.

1.10 Pseudonimização

As medidas a seguir devem ser adotadas com relação à pseudonimização dos dados pessoais:

1. a) Se o Exportador de Dados solicitar uma operação específica de processamento ou se for considerado apropriado pelo Importador de Dados em conformidade com as leis de proteção de dados em vigor referentes a certas atividades de processamento, o processamento dos dados pessoais será realizado de forma que os dados não possam ser atribuídos a uma pessoa específica sem o uso das informações adicionais. Essas informações adicionais serão mantidas separadamente;

b) uso de técnicas de pseudonimização, incluindo aleatorização de lista de alocação; criação de valores na forma de símbolos.

1.11 Criptografia

Devem-se seguir os passos abaixo para criptografar os dados pessoais nos aplicativos e transmissões que dão suporte à criptografia:

1. a) uso de técnicas de encriptação;

b) estabelecimento de gestão de encriptação para dar suporte às técnicas de criptografia autorizadas a serem usadas;

c) suporte para o uso de criptografia por meio de procedimentos e protocolos para gerar, modificar, revogar, destruir, distribuir, certificar, armazenar, capturar, usar e arquivar chaves de criptografia para proteger contra modificação e divulgação não autorizadas.

1.12 Integralidade dos sistemas e serviços de processamento de dados

Devem-se adotar as medidas a seguir para garantir a integralidade dos sistemas e serviços de processamento de dados:

a) proteção dos sistemas de processamento de dados contra manipulação ou destruição por meios apropriados (p. ex., antivírus, software de prevenção contra perda de dados e software contra malware, patches de software, firewalls e proteção gerenciada para desktop);

b) proibir a instalação de qualquer serviço ou software malicioso para processamento de dados, sistemas, serviços ou manipulação dos dados pessoais;

c) uso de uma rede de detecção de intrusão e sistema de prevenção na estrutura da própria rede.

1.13 Disponibilidade dos sistemas e serviços de processamento de dados e possibilidade de restaurar o acesso e uso dos dados pessoais na hipótese de um incidente material ou técnico

Devem-se adotar as medidas a seguir para garantir a disponibilidade dos sistemas de processamento de ados, bem como para poder restaurar, de forma rápida, a disponibilidade e o acesso aos dados pessoais na hipótese de um incidente material ou técnico (em particular, garantindo que os dados pessoais sejam protegidos contra destruição ou perda acidental):

a) ter formas de controle para manter cópias de segurança e restaurar dados perdidos ou apagados;

b) redundância de infraestrutura e teste de desempenho;

c) proteção física dos recursos de computação;

d) uso de ferramentas para monitorar o status e a disponibilidade da rede interna;

e) política de comunicação de incidente e resposta que regem o procedimento da gestão de incidente e reiteração de observância dessas políticas como parte do treinamento regular;

f) back-ups (às vezes fora do local) para restaurar o sistema e permitir que execute as suas funções novamente;

g) plano de continuidade dos negócios/recuperação em caso de desastre

1.14 Resiliência dos sistemas e serviços de processamento de dados

Devem-se adotar as medidas a seguir para garantir a resiliência dos sistemas e serviços de processamento de dados:

a) sistemas configurados harmonicamente e que usam parâmetros de segurança;

b) redundância de rede;

c) proteção de contenção de sistemas críticos.

1.15 Procedimento para teste, análise e avaliação da efetividade das medidas técnicas e organizacionais para garantir a segurança do processamento dos dados

Procedimento para testar, analisar e avaliar, de forma regular, a efetividade das medidas técnicas e organizacionais para proteger o processamento dos dados.

a) tomar as medidas necessárias para avaliar riscos e estratégias de mitigação;

b) reuniões de análise de serviço do departamento de TI para resolver os problemas atuais;

c) os planos de continuidade dos negócios e recuperação em caso de desastre são atualizados regularmente.

Parte 3

Assinaturas das partes e lista dos Importadores de Dados

Ao preencher o formulário de solicitação on-line e validá-lo, marcando a caixa e aceitando os termos gerais e as condições de uso, o contrato que rege a relação entre o Cliente e a IQUALIF será estabeleicdo.

Enviar o pagamento para a IQUALIF implica que o contrato foi aceito e estabele.

Observação: Este texto foi traduzido do francês. A versão original em francês, que é válida e juridicamente restritiva, também está disponível aqui.