Apêndice de processamento de dados

Apêndice de processamento de dados

 

Este Apêndice faz parte integrante do Contrato e é celebrado por:

 

  1. (i) O Cliente ("Exportador de Dados")
  2. (ii) IQUALIF ("Importador de Dados")

 

Cada um sendo uma "Parte" e conjuntamente "Partes".

 

Preâmbulo

CONSIDERANDO que o Importador de Dados fornece serviços profissionais de software, serviços de informática e serviços relacionados (como navegadores com funções avançadas de busca);

CONSIDERANDO que, nos termos do Contrato, o Importador de Dados concordou em fornecer ao Exportador de Dados os serviços especificados no Contrato (os "Serviços");

CONSIDERANDO que, ao fornecer os Serviços, o Importador de Dados recebe ou se beneficia do acesso às informações do Exportador de Dados ou às informações de outras pessoas que mantêm uma relação (potencial) com o Exportador de Dados, tais informações podem ser qualificadas como dados pessoais nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados ("GDPR") e outras leis de proteção de dados aplicáveis.

CONSIDERANDO que este Apêndice contém os termos e condições aplicáveis à coleta, processamento e uso desses dados pessoais pelo Importador de Dados na sua qualidade de agente autorizado de processamento de dados do Exportador de Dados, para garantir que as Partes cumpram a legislação de proteção de dados aplicável.

 

PORTANTO, e para permitir que as Partes continuem seu relacionamento de forma legal, as Partes celebraram este Apêndice conforme segue:

Parte 1

 

1. Estrutura do documento e definições

1.1 Estrutura

Este Apêndice compreende diferentes partes conforme segue:

 

Parte 1: 

contém disposições gerais, por exemplo, sobre as definições usadas neste Apêndice, conformidade com leis locais, prazos e rescisão

 
Parte 2:

contém o corpo do documento das Cláusulas Contratuais Padrão não alteradas

 
Apêndice 1.1 da Parte 2:

contém os detalhes das operações de processamento fornecidas pelo Importador de Dados ao Exportador de Dados como agente autorizado de processamento de dados (incluindo o processamento, natureza e finalidade do processamento, o tipo de dados pessoais e as categorias de titulares dos dados) sob este Apêndice

 
Apêndice 2 da Parte 2:

contém uma descrição das medidas técnicas e organizacionais de segurança do Importador de Dados, que são aplicadas em conexão com todas as atividades de processamento descritas no Apêndice 1.1 da Parte 2

 
Parte 3:

contém as assinaturas das Partes vinculadas por este Apêndice e identifica cada Importador de Dados

 

 

1.2 Terminologia e definições

Para os fins deste Apêndice, a terminologia e definições usadas pelo GDPR são aplicáveis (No corpo do documento das Cláusulas Contratuais Padrão na Parte 2, onde termos definidos não são capitalizados). 

 

"Estado-Membro"

significa um país pertencente à União Europeia ou ao Espaço Econômico Europeu

 
"Categorias especiais de dados (pessoais)"

refere-se a dados pessoais que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou filiação sindical, e dados genéticos, dados biométricos, se processados para o propósito de identificar unicamente uma pessoa, dados relativos à saúde, dados relativos à vida sexual ou orientação sexual de uma pessoa

 
"Cláusulas Contratuais Padrão"

significa as Cláusulas Contratuais Padrão para transferência de dados pessoais de agentes de processamento estabelecidos em países terceiros, sob a Decisão da Comissão 2010/87/EU de 5 de fevereiro de 2010, que foi alterada pela Decisão de Execução da Comissão (UE) 2016/2297 de 16 de dezembro de 2016

 
“Processador de dados”

significa qualquer agente de processamento, localizado dentro ou fora da UE/EEE, que concorda em receber do Importador de Dados ou de qualquer outro processador do Importador de Dados, dados pessoais para o exclusivo propósito de atividades de processamento a serem realizadas pelo Exportador de Dados após a transferência, de acordo com as instruções do Exportador de Dados, os termos deste Apêndice e o Contrato com o Importador de Dados

 

 

 

2. Obrigações do Exportador de Dados

2.1 O Exportador de Dados tem a obrigação de garantir o cumprimento de todas as obrigações aplicáveis sob o GDPR e qualquer outra legislação de proteção de dados aplicável que se aplique ao Exportador de Dados e de demonstrar tal conformidade conforme exigido pelo Artigo 5 (2) do GDPR. O Exportador de Dados garante que o Importador de Dados obteve o consentimento prévio dos titulares dos dados de acordo com o Artigo 6 (a) do GDPR e cumpriu sua obrigação de informar os titulares dos dados conforme os Artigos 13 e 14 do GDPR.

2.2 O Exportador de Dados deve fornecer ao Importador de Dados os respectivos arquivos das atividades de processamento de acordo com o Artigo 30 (1) do GDPR relacionadas aos Serviços sob este Apêndice, na medida necessária para que o Importador de Dados cumpra a obrigação sob o Artigo 30 (2) do GDPR.

2.3 O Exportador de Dados deve nomear um encarregado de proteção de dados ou representante na medida exigida pela legislação de proteção de dados aplicável. O Exportador de Dados é obrigado a fornecer os detalhes de contato do agente ou representante de proteção de dados, se houver, ao Importador de Dados.

2.4. O Exportador de Dados confirma, antes da conclusão do processamento, pela aceitação deste Apêndice, que as medidas técnicas e organizacionais de segurança do Importador de Dados, conforme estabelecido no Apêndice 2 da Parte 2, são apropriadas e suficientes para proteger os direitos do titular dos dados e confirma que o Importador de Dados fornece salvaguardas suficientes a esse respeito.

 

3. Conformidade com a legislação local

Para atender aos requisitos da implementação dos agentes de processamento conforme o Artigo 28 do GDPR, as seguintes alterações são aplicáveis:

 

3.1 Instruções

  1. (i) O Exportador de Dados instrui o Importador de Dados a processar dados pessoais somente em nome do Exportador de Dados. As instruções do Exportador de Dados são fornecidas neste Apêndice e no Contrato. O Exportador de Dados tem a obrigação de garantir que todas as instruções dadas ao Importador de Dados estejam em conformidade com as leis de proteção de dados aplicáveis. O Importador de Dados deve processar dados pessoais somente de acordo com as instruções fornecidas pelo Exportador de Dados, salvo se exigido de outra forma pela União Europeia ou pela legislação do Estado-Membro (neste último caso, aplica-se a Cláusula 3.2 (iv) (c) da Parte 1).
  2. (ii) Todas as outras instruções que ultrapassem as instruções deste Apêndice ou do Contrato devem ser incluídas no objeto deste Apêndice e do Contrato. Se a implementação dessa instrução adicional envolver custos para o Importador de Dados, o Importador de Dados deverá informar o Exportador de Dados sobre tais custos e fornecer uma explicação antes de implementar a instrução. Somente após o Exportador de Dados confirmar a aceitação desses custos para implementar a instrução, o Importador de Dados deverá implementar essa instrução adicional. O Exportador de Dados deve dar instruções adicionais por escrito, salvo urgência ou outras circunstâncias específicas que exijam outra forma (por exemplo, oral, eletrônica). Instruções em forma diferente de escrita devem ser confirmadas por escrito e sem demora pelo Exportador de Dados.
  3. 1. Salvo se o Exportador de Dados não puder realizar a retificação, exclusão ou restrição dos dados pessoais por si mesmo, as instruções também podem se referir à retificação, exclusão e/ou restrição dos dados pessoais conforme estabelecido na Cláusula 3.3 da Parte 1.
  4. 2. O Importador de Dados deve informar imediatamente o Exportador de Dados se, em sua opinião, uma Instrução violar o GDPR ou outras disposições de proteção de dados aplicáveis da União Europeia ou de um Estado-Membro ("Instrução Controversa"). Se o Importador de Dados acreditar que uma Instrução infringe o GDPR ou outras disposições aplicáveis de proteção de dados da União Europeia ou de um Estado-Membro, o Importador de Dados não é obrigado a seguir a Instrução Controversa. Se o Exportador de Dados confirmar a Instrução Controversa após receber a informação do Importador de Dados e reconhecer sua responsabilidade pela Instrução Controversa, o Importador de Dados deverá implementar a Instrução Controversa, salvo se a Instrução Controversa se referir a (i) implementação de medidas técnicas e organizacionais, (ii) direitos dos Titulares dos Dados ou (iii) contratação de Processadores de Dados. Nos casos (i) a (iii), o Importador de Dados pode contatar uma autoridade supervisora competente para que a Instrução contestada seja legalmente avaliada por tal autoridade. Se a autoridade supervisora declarar a Instrução contestada legal, o Importador de Dados deverá implementar a Instrução contestada. A Cláusula 3.1 (ii) da Parte 1 permanecerá aplicável.

 

3.2 Obrigações do Importador de Dados

  1. (i) O Importador de Dados deve garantir que as pessoas autorizadas pelo Importador de Dados a processar dados pessoais em nome do Exportador de Dados, em particular empregados do Importador de Dados e empregados de qualquer Subcontratado, tenham assumido o compromisso de observar a confidencialidade ou estejam sujeitas a um dever legal apropriado de confidencialidade, e que tais pessoas que tenham acesso a dados pessoais os processem de acordo com as instruções do Exportador de Dados.
  2. (ii) O Importador de Dados deve implementar as medidas técnicas e organizacionais de segurança conforme estabelecido no Apêndice 2 da Parte 2 antes de processar os dados pessoais em nome do Exportador de Dados. O Importador de Dados pode alterar as medidas técnicas e organizacionais de segurança de tempos em tempos, desde que não proporcionem menor proteção do que as estabelecidas no Apêndice 2 da Parte 2.
  3. (iii) O Importador de Dados deverá disponibilizar ao Exportador de Dados, mediante solicitação deste, informações para demonstrar o cumprimento das obrigações do Importador de Dados sob este Apêndice. As Partes concordam que essa obrigação de informação é cumprida mediante o fornecimento ao Exportador de Dados de um relatório de auditoria (abrangendo segurança dos princípios, disponibilidade do sistema e confidencialidade) ("Relatório de Auditoria"). Se atividades adicionais de auditoria forem legalmente exigidas, o Exportador de Dados poderá solicitar que inspeções sejam realizadas pelo Exportador de Dados ou por outro auditor nomeado pelo Exportador de Dados, sujeito à execução por tal auditor de um acordo de confidencialidade com o Importador de Dados, a contento razoável do Importador de Dados ("Auditoria"). Esta Auditoria está sujeita às seguintes condições: (i) aceitação formal prévia por escrito do Importador de Dados; e (ii) o Exportador de Dados arcará com todos os custos relacionados à Auditoria Presencial para o Exportador de Dados e o Importador de Dados. O Exportador de Dados deve criar um relatório de auditoria resumindo os resultados e observações da Auditoria Presencial ("Relatório da Auditoria Presencial"). Os Relatórios da Auditoria Presencial e os Relatórios de Auditoria são informações confidenciais do Importador de Dados e não devem ser divulgados a terceiros, salvo exigência da legislação de proteção de dados aplicável ou de acordo com o consentimento do Importador de Dados.
  4. (iv) O Importador de Dados tem a obrigação de notificar o Exportador de Dados sem demora indevida:
    1. a. sobre qualquer solicitação legalmente vinculativa para divulgação de dados pessoais por uma autoridade policial, salvo se proibido, como uma proibição sob a lei penal para proteger a confidencialidade de uma investigação policial
    2. b. sobre qualquer reclamação e solicitação recebida diretamente de um titular dos dados (por exemplo, sobre acesso, retificação, exclusão, restrição do processamento, portabilidade dos dados, objeção ao processamento de dados, tomada de decisão automatizada) sem responder a essa solicitação, salvo se o Importador de Dados estiver autorizado a fazê-lo
    3. c. se o Importador de Dados ou Processador de Dados estiver obrigado, sob a lei da União Europeia ou do Estado-Membro ao qual o Importador de Dados ou Processador de Dados está sujeito, a processar os dados pessoais além das instruções do Exportador de Dados, antes de realizar tal processamento além das instruções, salvo se as leis da União Europeia ou do Estado-Membro proibirem tal processamento por motivos de interesse público vital, caso em que a notificação ao Exportador de Dados deverá especificar o requisito legal sob essa lei da União Europeia ou do Estado-Membro; ou
    4. d. se o Importador de Dados perceber uma violação de dados pessoais, exclusivamente por si mesmo ou seu subcontratado, que afetaria os dados pessoais do Exportador de Dados cobertos pelo presente contrato, caso em que o Importador de Dados auxiliará o Exportador de Dados em sua obrigação, perante a legislação de proteção de dados aplicável, de informar os titulares dos dados e, quando aplicável, as autoridades supervisoras, fornecendo as informações à sua disposição, de acordo com o Artigo 33 (3) do GDPR.
    5. (v) A pedido do Exportador de Dados, o Importador de Dados deverá auxiliar o Exportador de Dados em sua obrigação de realizar uma avaliação de impacto sobre a proteção de dados que possa ser exigida pelo Artigo 35 do GDPR e uma consulta prévia que possa ser exigida pelo Artigo 36 do GDPR em relação aos serviços fornecidos pelo Importador de Dados ao Exportador de Dados sob este Apêndice, fornecendo as informações necessárias ao Exportador de Dados. O Importador de Dados estará obrigado a fornecer tal assistência somente se o Exportador de Dados não puder cumprir sua obrigação por outros meios. O Importador de Dados informará o Exportador de Dados sobre o custo dessa assistência. Assim que o Exportador de Dados confirmar que pode arcar com esse custo, o Importador de Dados fornecerá essa ajuda ao Exportador de Dados.
    6. (vi) Ao final da prestação dos serviços, o Exportador de Dados poderá solicitar a devolução dos dados pessoais processados pelo Importador de Dados sob este Apêndice dentro de um mês após os serviços. Salvo se a legislação do Estado-Membro ou da União Europeia exigir que o Importador de Dados armazene ou retenha tais dados pessoais, o Importador de Dados excluirá todos esses dados pessoais ou não pessoais após o período de um mês, quer tenham sido devolvidos ao Exportador de Dados a seu pedido ou não.

 

3.3 Direitos das pessoas interessadas

  1.  
    1. (i) O Exportador de Dados gerencia e responde às solicitações feitas pelos titulares dos dados. O Importador de Dados não é obrigado a responder diretamente aos titulares dos dados.
    2. (ii) Se o Exportador de Dados necessitar da assistência do Importador de Dados no processamento e resposta às solicitações do Titular dos Dados, o Exportador de Dados emitirá uma instrução adicional conforme a Cláusula 3.1 (ii) da Parte 1. O Importador de Dados auxiliará o Exportador de Dados com as seguintes medidas técnicas e organizacionais apropriadas para responder às solicitações de exercício dos direitos dos titulares dos dados estabelecidos no Capítulo III do GDPR conforme segue:
    3. a. Em relação a solicitações de informação, o Importador de Dados fornecerá ao Exportador de Dados apenas as informações exigidas pelos Artigos 13 e 14 do GDPR que possa ter à sua disposição, caso o Exportador de Dados não as encontre por conta própria.
    4. b. Em relação a solicitações de acesso (Artigo 15 do GDPR), o Importador de Dados fornecerá ao Exportador de Dados apenas as informações que devem ser fornecidas a um titular dos dados para a referida solicitação de acesso, que possa ter à sua disposição, caso este não as encontre sozinho.
    5. c. Em relação a solicitações de retificação (Artigo 16 do GDPR), solicitações de exclusão (Artigo 17 do GDPR), restrição de solicitações de processamento (Artigo 18 do GDPR) ou solicitações de portabilidade (Artigo 20 do GDPR), e somente se o Exportador de Dados não puder retificar, excluir, limitar ou transmitir os dados pessoais a outro terceiro, o Importador de Dados oferecerá ao Exportador de Dados a possibilidade de retificar, excluir, limitar ou transmitir os dados pessoais em questão ao outro terceiro, ou, se isso não for possível, fornecerá assistência para retificar, excluir, limitar ou transmitir os dados pessoais em questão ao outro terceiro.
    6. d. Em relação à notificação relativa à retificação, exclusão ou restrição do processamento (Artigo 19 do GDPR), o Importador de Dados auxiliará o Exportador de Dados notificando todos os destinatários de dados pessoais contratados pelo Importador de Dados como processadores, se o Exportador de Dados assim solicitar e se o Exportador de Dados não puder resolver a situação por conta própria.
    7. e. Em relação ao direito de oposição exercido por um titular dos dados (Artigos 21 e 22 do GDPR), o Exportador de Dados determinará se a oposição é legítima e como lidar com ela.
    8. (iii) As obrigações de assistência do Importador de Dados são limitadas aos dados pessoais processados dentro de sua infraestrutura (por exemplo, bancos de dados, sistemas, aplicações de propriedade ou fornecidos pelo Importador de Dados).
    9. (iv) O Exportador de Dados determinará se um Titular dos Dados pode exercer os direitos dos Titulares dos Dados estabelecidos na Cláusula 3.1 desta Parte 1 e informará o Importador de Dados sobre a extensão da assistência especificada nas Cláusulas 3.3 (ii), (iii) da Parte 1 que é necessária.
    10. (v) Se o Exportador de Dados solicitar medidas técnicas e organizacionais adicionais ou modificadas para atender aos direitos dos titulares dos dados que ultrapassem a assistência fornecida pelo Importador de Dados sob a Subcláusula 3.3 (ii), (iii) da Parte 1, o Importador de Dados informará o Exportador de Dados sobre os custos da implementação dessas medidas técnicas e organizacionais adicionais ou modificadas. Assim que o Exportador de Dados confirmar que pode arcar com esses custos, o Importador de Dados implementará tais medidas técnicas e organizacionais adicionais ou modificadas para auxiliar o Exportador de Dados a responder às solicitações dos Titulares dos Dados.
    11. (vi) Sem limitar o escopo da Cláusula 3.3 (v) da Parte 1, o Exportador de Dados será obrigado a reembolsar o Importador de Dados por suas despesas razoáveis incorridas ao responder às solicitações dos Titulares dos Dados.

 

3.4 Subprocessamento

  1.  
    1. (i) O Exportador de Dados autoriza o uso pelo Importador de Dados de subcontratados para a prestação de serviços sob este Apêndice. O Importador de Dados selecionará tais Processadores de Dados com cuidado. O Exportador de Dados aprova os Processadores de Dados listados no Apêndice 1.1 ao final da Parte 2.
    2. (ii) O Importador de Dados transferirá suas obrigações sob este Apêndice para o(s) Processador(es) de Dados na medida aplicável aos serviços subcontratados.
    3. (iii) O Importador de Dados pode dispensar, substituir ou nomear outro(s) Processador(es) de Dados apropriado(s) e confiável(is) a seu critério. Se solicitado por escrito pelo Exportador de Dados, o Importador de Dados deverá seguir o procedimento abaixo:
  2.  
    1. a. O Importador de Dados informará o Exportador de Dados antes de quaisquer alterações na lista de Processadores de Dados referenciada na Cláusula 3.4 (i) da Parte 1. Se o Exportador de Dados não se opuser conforme a Cláusula 3.4. (b) da Parte 1 trinta dias após receber a notificação do Importador de Dados, os Processadores de Dados adicionais serão considerados aceitos.
    2. b. Se o Exportador de Dados tiver um motivo legítimo para se opor a um Processador de Dados adicional, deverá notificar por escrito o Importador de Dados dentro de trinta dias após o recebimento da notificação do Importador de Dados e antes da entrada em operação do serviço do Importador de Dados. Se o Exportador de Dados se opuser ao uso de um Processador de Dados adicional, o Importador de Dados poderá eliminar a objeção por uma das seguintes opções (escolhida a seu critério): (A) o Importador de Dados cancelará seus planos de usar um processador adicional em relação aos dados pessoais do Exportador de Dados; (B) o Importador de Dados tomará as medidas corretivas solicitadas pelo Exportador de Dados em sua objeção (cancelando a objeção) e usará o processador adicional em relação aos dados pessoais do Exportador de Dados; (C) o Importador de Dados poderá cessar a prestação ou o Exportador de Dados poderá concordar em não usar (temporária ou permanentemente) um aspecto particular do serviço que envolveria o uso do processador adicional dos dados pessoais do Exportador de Dados.
  3.  
    1. (iv) se o Processador de Dados estiver baseado fora da UE-EEE em um país que não seja reconhecido como oferecendo um nível adequado de proteção de dados conforme decisão da Comissão Europeia, o Importador de Dados tomará as medidas para cumprir um nível adequado de proteção de dados de acordo com o GDPR (tais medidas podem incluir - entre outras - o uso de contratos de processamento de dados baseados nas cláusulas do Modelo da UE, transferência para Processadores de Dados auto-certificados no âmbito do Escudo de Proteção UE-EUA, ou programa similar).

 

3.5 Expiração

A expiração deste Apêndice é idêntica à data de expiração do Contrato correspondente. Exceto conforme previsto de outra forma neste Apêndice, os direitos e deveres relativos à rescisão serão os mesmos contidos no Contrato.

 

4. Limitação de Responsabilidade

4.1 Cada parte cumpre suas obrigações sob este Apêndice e a legislação de proteção de dados aplicável.

4.2 Qualquer responsabilidade relacionada a uma violação das obrigações sob este Apêndice ou legislação de proteção de dados aplicável estará sujeita e será regida pelas disposições de responsabilidade estabelecidas ou aplicáveis ao Contrato, salvo disposição em contrário neste Apêndice. Se a responsabilidade for regida pelas disposições de responsabilidade estabelecidas ou aplicáveis ao Contrato, para cálculo dos limites de responsabilidade ou determinação da aplicação de outras limitações de responsabilidade, qualquer responsabilidade decorrente deste Apêndice será considerada como decorrente do Contrato.

 

5. Disposições gerais

5.1 Se houver quaisquer inconsistências ou discrepâncias entre as Partes 1 e 2 deste Apêndice, prevalecerá a Parte 2. Especificamente, mesmo nesse caso, a Parte 1 que simplesmente vai além da Parte 2 (ou seja, os termos das cláusulas padrão) sem contradizê-la permanecerá válida.

5.2 Se surgir qualquer discrepância entre as disposições deste Apêndice e as de outros contratos vinculativos das partes, este Apêndice prevalecerá quanto às obrigações de proteção de dados das partes. Em caso de dúvida sobre se cláusulas em outros contratos dizem respeito às obrigações de proteção de dados das partes, este Apêndice prevalecerá.

5.3 Se qualquer disposição deste Apêndice for inválida ou inexequível, o restante deste Apêndice permanecerá em pleno vigor e efeito. A disposição inválida ou inexequível será (i) alterada para garantir sua validade e exequibilidade, preservando tanto quanto possível a intenção das partes, ou - se isso não for possível - (ii) interpretada como se a parte inválida ou inexequível nunca tivesse feito parte do contrato. O disposto acima também se aplicará se houver uma omissão neste Apêndice.

5.5 Na medida do necessário, as Partes podem solicitar alterações à Parte 1, Cláusula 3 (Conformidade com a legislação local) ou outras partes do Apêndice para cumprir interpretações, diretivas ou ordens emitidas pelas autoridades competentes da União ou dos Estados-Membros, disposições nacionais de execução ou qualquer outro desenvolvimento legal relativo ao GDPR ou outras condições de delegação a quaisquer entidades envolvidas no processamento de dados e especificamente quanto ao uso das Cláusulas Contratuais Padrão no GDPR. Os termos das Cláusulas Contratuais Padrão não podem ser modificados ou substituídos, a menos que a Comissão Europeia o aprove expressamente (por exemplo, por novas cláusulas adequadas e padrões de proteção de dados).

5.6 Qualquer referência neste Apêndice às "Cláusulas" deve ser entendida como referindo-se a todas as disposições deste Apêndice, salvo indicação em contrário.

5.7 A escolha da lei na Parte 2, Cláusula 9 aplica-se a todo o Contrato.

 

6. Dados pessoais transmitidos e processados pelas partes para fins pessoais (transferência do controlador de dados para o controlador de dados)

6.1 As Partes sabem plenamente que certos dados pessoais serão transferidos do Exportador de Dados para o Importador de Dados e vice-versa, e que tais dados são processados por cada Parte para seus próprios fins. Em relação a tais dados pessoais, isso não afeta as outras disposições deste Apêndice (exceto esta cláusula 6).

6.2 O Exportador de Dados pode transferir dados pessoais relativos ao pessoal do Importador de Dados para o Importador de Dados, incluindo informações sobre incidentes de segurança, ou quaisquer outros documentos ou arquivos criados ou estabelecidos pelo Exportador de Dados em conexão com os Serviços prestados pelo pessoal do Importador de Dados. O Importador de Dados pode processar tais dados pessoais para seus próprios fins, em particular em suas relações profissionais com o pessoal do Importador de Dados, para controle de qualidade e treinamento, ou para fins comerciais.

6.3. O Importador de Dados pode transferir dados pessoais ao Exportador de Dados, incluindo o nome e detalhes de contato do pessoal do Importador de Dados. O Exportador de Dados pode processar tais dados pessoais para seus próprios fins.

6.4 Ambas as partes devem cumprir quaisquer leis de proteção de dados aplicáveis, incluindo o GDPR, na coleta, processamento e uso de tais dados pessoais recebidos da outra parte sob a cláusula 1 da Parte 1. Em particular, ambas as Partes devem tomar medidas de segurança adequadas, proporcionando um nível de proteção semelhante às medidas de segurança estabelecidas no Apêndice 2 da Parte 2. Qualquer acesso a tais dados pessoais deve ser limitado à necessidade de conhecê-los.

6.5 Ambas as Partes devem excluir tais dados pessoais o mais rápido possível após os objetivos terem sido alcançados.

Parte 2

 

DECISÃO DA COMISSÃO

de 5 de fevereiro de 2010

sobre cláusulas contratuais padrão para a transferência de dados pessoais para processadores de dados estabelecidos em países terceiros nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho

 

 

 

Cláusula 1

Definições

Nos termos das cláusulas:

a) 'dados pessoais', 'categorias especiais de dados', 'processamento/tratamento', 'controlador', 'processador', 'titular dos dados' e 'autoridade supervisora' terão o mesmo significado que na Diretiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de outubro de 1995 sobre a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (1);

b) o 'Exportador de Dados' é o Controlador de Dados que transfere os dados pessoais;

c) o 'Importador de Dados' é o Processador de Dados que concorda em receber do Exportador de Dados dados pessoais destinados a serem processados em nome do Exportador de Dados após a transferência de acordo com suas instruções e sob os termos destas cláusulas e que não está sujeito ao mecanismo de um país terceiro que assegure proteção adequada nos termos do Artigo 25(1) da Diretiva 95/46/CE; (d) 'Processador de Dados' significa o Processador de Dados contratado pelo Importador de Dados ou por qualquer outro Processador de Dados do Importador de Dados que concorda em receber do Importador de Dados ou de qualquer outro Processador de Dados do Importador de Dados dados pessoais exclusivamente para atividades de processamento a serem realizadas em nome do Exportador de Dados após a transferência de acordo com as instruções do Exportador de Dados, sob as condições estabelecidas nestas Cláusulas e sob os termos do contrato escrito de subcontratação do processamento de dados;

e) "legislação aplicável de proteção de dados" significa a legislação que protege os direitos e liberdades fundamentais dos indivíduos, incluindo o direito à privacidade no que diz respeito ao processamento de dados pessoais, e que se aplica a um controlador no Estado-Membro onde o Exportador de Dados está estabelecido;

f) “medidas técnicas e organizacionais relativas à segurança” significa medidas destinadas a proteger dados pessoais contra destruição acidental ou ilícita, perda acidental, alteração, divulgação ou acesso não autorizado, em particular quando o processamento envolve a transmissão de dados por redes, e contra todas as outras formas ilícitas de processamento.

Cláusula 2

Detalhes da transferência

Os detalhes da transferência, incluindo, quando apropriado, categorias especiais de dados pessoais, são especificados no Apêndice 1, que faz parte integrante destas cláusulas.

Cláusula 3

Cláusula beneficiária de terceiros

1. O titular dos dados pode fazer valer contra o Exportador de Dados esta Cláusula, Cláusula 4(b) a (i), Cláusula 5(a) a (e) e (g) a (j), Cláusula 6 (1) e (2), Cláusula 7, Cláusula 8(2) e Cláusulas 9 a 12 como terceiro beneficiário

2. O titular dos dados pode fazer valer esta Cláusula, Cláusula 5 (a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12 contra o Importador de Dados quando o Exportador de Dados tiver desaparecido fisicamente ou deixado de existir legalmente, salvo se todas as suas obrigações legais tiverem sido transferidas, por contrato ou por força de lei, para a entidade sucessora, à qual os direitos e obrigações do Exportador de Dados, portanto, reverterão, e contra a qual o titular dos dados poderá, portanto, fazer valer as referidas cláusulas.

O titular dos dados pode fazer valer esta Cláusula, Cláusula 5 (a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12 contra o Processador de Dados, mas apenas nos casos em que o Exportador de Dados e o Importador de Dados tenham desaparecido fisicamente, deixado de existir legalmente ou se tornado insolventes, salvo se todas as obrigações legais do Exportador de Dados tiverem sido transferidas, por contrato ou por força de lei, para o sucessor legal, a quem os direitos e obrigações do Exportador de Dados, portanto, pertencem, e contra quem o titular dos dados poderá, portanto, fazer valer tais cláusulas. Tal responsabilidade do Processador de Dados deve ser limitada às suas próprias atividades de processamento sob estas cláusulas.

4. As partes não se opõem a que o titular dos dados seja representado por uma associação ou outro órgão, se assim desejar e se a lei nacional permitir.

Cláusula 4

Obrigações do Exportador de Dados

O Exportador de Dados aceita e garante o seguinte:

a) o processamento, incluindo a transferência efetiva de dados pessoais, foi e continuará a ser realizado de acordo com as disposições relevantes da legislação aplicável de proteção de dados (e, quando aplicável, foi notificado às autoridades competentes do Estado-Membro em que o Exportador de Dados está estabelecido) e não infringe as disposições relevantes desse Estado;

b) instruiu, e instruirá durante a duração dos serviços de processamento de dados pessoais, o Importador de Dados a processar os dados pessoais transferidos exclusivamente em nome do Exportador de Dados e de acordo com a legislação aplicável de proteção de dados e estas cláusulas;

c) o Importador de Dados fornecerá salvaguardas suficientes quanto às medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 ao presente contrato;

d) após avaliação dos requisitos da legislação aplicável de proteção de dados, as medidas de segurança são adequadas para proteger os dados pessoais contra destruição acidental ou ilícita, perda acidental, alteração, divulgação ou acesso não autorizado, em particular quando o processamento envolve a transmissão de dados por uma rede, e contra todas as outras formas ilícitas de processamento e garantem um nível de segurança apropriado aos riscos representados pelo processamento e à natureza dos dados a serem protegidos, tendo em conta o nível da tecnologia e o custo de implementação;

e) garantirá o cumprimento das medidas de segurança;

f) se a transferência se referir a categorias especiais de dados, o titular dos dados foi informado ou será informado antes da transferência, ou o mais rápido possível após a transferência, de que seus dados podem ser transferidos para um país terceiro que não oferece um nível adequado de proteção nos termos da Diretiva 95/46/CE;

g) encaminhará qualquer notificação recebida do Importador de Dados ou de qualquer Processador de Dados sob as Cláusulas 5 (b) e 8 (3) à autoridade supervisora de proteção de dados se decidir continuar a transferência ou levantar sua suspensão;

h) disponibilizará aos titulares dos dados, se assim solicitarem, uma cópia destas Cláusulas, exceto o Apêndice 2, e uma descrição resumida das medidas de segurança, e uma cópia de qualquer outro contrato de subcontratação celebrado sob estas Cláusulas, salvo se as Cláusulas ou o contrato contiverem informações comerciais, caso em que poderá retirar tais informações;

i) em caso de subcontratação do processo de dados, a atividade de processamento será realizada de acordo com a Cláusula 11 por um Processador de Dados que forneça pelo menos o mesmo nível de proteção dos dados pessoais e dos direitos do titular dos dados que o Importador de Dados sob estas Cláusulas; e

j) garantirá o cumprimento da Cláusula 4 (a) a (i).

Cláusula 5

Obrigações do Importador de Dados

O Importador de Dados aceita e garante o seguinte:

a) processará os dados pessoais somente em nome do Exportador de Dados e sob as instruções do Exportador de Dados e estas cláusulas; se não puder cumprir por qualquer motivo, concorda em informar o Exportador de Dados de sua incapacidade o mais rápido possível, caso em que o Exportador de Dados poderá suspender a transferência de dados e/ou encerrar o contrato;

b) não tem motivos para acreditar que a legislação aplicável a ele o impede de cumprir as instruções dadas pelo Exportador de Dados e as obrigações que lhe incumbem sob o contrato, e se tal legislação sofrer uma alteração que possa ter um efeito adverso material sobre as garantias e obrigações sob as Cláusulas, notificará o Exportador de Dados da alteração sem demora após tomar conhecimento dela, caso em que o Exportador de Dados poderá suspender a transferência de dados e/ou encerrar o contrato; (c) implementou as medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 antes de processar os dados pessoais transferidos;

d) notificará o Exportador de Dados sem demora:

i) qualquer solicitação vinculativa para divulgação de dados pessoais por uma autoridade policial, salvo disposição em contrário, como uma proibição criminal destinada a preservar o sigilo de uma investigação policial;

ii) qualquer acesso incidental ou não autorizado; e

iii) qualquer solicitação recebida diretamente das pessoas interessadas sem responder a ela, salvo se tiver sido autorizado a fazê-lo; administradores

e) lidará rápida e adequadamente com todas as consultas do Exportador de Dados relativas ao seu processamento dos dados pessoais transferidos e atuará sob a opinião da autoridade supervisora quanto ao processamento dos dados transferidos;

f) a pedido do Exportador de Dados, submeterá suas instalações de processamento de dados a uma auditoria das atividades de processamento abrangidas por estas cláusulas a ser realizada pelo Exportador de Dados ou por um órgão supervisor composto por membros independentes com as qualificações profissionais necessárias, sujeito a uma obrigação de sigilo e escolhido pelo Exportador de Dados, quando apropriado com o acordo da autoridade supervisora;

g) disponibilizará ao titular dos dados, se este assim solicitar, uma cópia destas Cláusulas, ou de qualquer contrato de subcontratação existente, salvo se as Cláusulas ou o contrato contiverem informações comerciais, caso em que poderá remover tais informações, exceto o Apêndice 2, que será substituído por uma descrição resumida das medidas de segurança, quando o titular dos dados não puder obter uma cópia do Exportador de Dados;

h) no caso de subcontratação confidencial adicional do processamento de dados, garantirá que informe o Exportador de Dados com antecedência e obtenha o consentimento por escrito do Exportador de Dados;

i) os serviços de processamento fornecidos pelo Processador de Dados cumprirão a Cláusula 11;

j) enviará prontamente uma cópia de qualquer contrato de subcontratação do processamento de dados celebrado por ele sob estas Cláusulas ao Exportador de Dados.

Cláusula 6

Responsabilidade

1. As partes concordam que qualquer titular dos dados que tenha sofrido dano devido a uma violação das obrigações referidas na Cláusula 3 ou Cláusula 11 por uma parte ou por um Processador de Dados pode obter compensação do Exportador de Dados pelo dano sofrido.

2. Se um titular dos dados for impedido de ajuizar ação por danos conforme referido no parágrafo 1 contra o Exportador de Dados por falha do Importador de Dados ou seu Processador de Dados em cumprir qualquer de suas obrigações sob a Cláusula 3 ou Cláusula 11 porque o Exportador de Dados desapareceu fisicamente, deixou de existir legalmente ou tornou-se insolvente, o Importador de Dados concorda que o titular dos dados pode apresentar reclamação contra ele como se fosse o Exportador de Dados, salvo se todas as obrigações legais do Exportador de Dados tiverem sido transferidas, por contrato ou por força de lei, para sua entidade sucessora, contra a qual o titular dos dados poderá então fazer valer seus direitos. O Importador de Dados não poderá se basear em uma violação de suas obrigações por um Processador de Dados para evitar sua própria responsabilidade.

3. Se um titular dos dados for impedido de ajuizar a ação referida nos parágrafos 1 e 2 contra o Exportador de Dados ou o Importador de Dados por violação pelo Processador de Dados de suas obrigações sob a Cláusula 3 ou Cláusula 11 porque o Exportador de Dados e o Importador de Dados desapareceram fisicamente, deixaram de existir legalmente ou tornaram-se insolventes, o Processador de Dados concorda que o titular dos dados pode apresentar reclamação contra ele em relação às suas próprias atividades de processamento de acordo com estas cláusulas como se fosse o Exportador de Dados ou Importador de Dados, salvo se todas as obrigações legais do Exportador de Dados ou Importador de Dados tiverem sido transferidas, por contrato ou por força de lei, para o sucessor legal, contra o qual o titular dos dados poderá então fazer valer seus direitos. A responsabilidade do Processador de Dados deve ser limitada às suas próprias atividades de processamento de acordo com estas cláusulas.

 

Cláusula 7

Mediação e jurisdição

1. O Importador de Dados concorda que, se sob as cláusulas, o titular dos dados invocar contra ele o direito do terceiro beneficiário e/ou reclamar compensação pelo prejuízo sofrido, aceitará a decisão do titular dos dados:

a) de submeter a disputa à mediação por uma pessoa independente ou, quando apropriado, à autoridade supervisora;

b) de levar a disputa aos tribunais do Estado-Membro onde o Exportador de Dados está estabelecido.

2. As partes concordam que a escolha feita pelo titular dos dados não afetará o direito processual ou material do titular dos dados de obter reparação de acordo com outras disposições da legislação nacional ou internacional.

Cláusula 8

Cooperação com autoridades supervisoras

1. O Exportador de Dados concorda em depositar uma cópia do presente contrato junto à autoridade supervisora se esta assim exigir ou se tal depósito for previsto pela legislação aplicável de proteção de dados.

2. As partes concordam que a autoridade supervisora pode realizar verificações no Importador de Dados e em qualquer Processador de Dados na mesma extensão e sob as mesmas condições que as verificações realizadas no Exportador de Dados de acordo com a legislação aplicável de proteção de dados.

3. O Importador de Dados informará o Exportador de Dados o mais rápido possível sobre a existência de legislação relativa ao Importador de Dados ou a qualquer Processador de Dados que impeça a verificação no Importador de Dados ou em qualquer Processador de Dados conforme o parágrafo 2. Nesse caso, o Exportador de Dados poderá tomar as medidas previstas na Cláusula 5 (b).

Cláusula 9

Legislação aplicável

As cláusulas aplicam-se e são regidas pela legislação do Estado-Membro onde o Exportador de Dados está estabelecido.

Cláusula 10

Modificação do contrato

As partes comprometem-se a não modificar as presentes cláusulas. As partes permanecem livres para incluir outras cláusulas comerciais que considerem necessárias, desde que não contrariem as presentes cláusulas.

Cláusula 11

Subcontratação subsequente

1. O Importador de Dados não subcontratará nenhuma de suas atividades de processamento realizadas em nome do Exportador de Dados sob estas cláusulas sem o consentimento prévio por escrito do Exportador de Dados. O Importador de Dados subcontratará suas obrigações sob estas Cláusulas, com o consentimento do Exportador de Dados, por meio de um acordo escrito com o Processador de Dados impondo ao Processador de Dados as mesmas obrigações que as impostas ao Importador de Dados sob estas Cláusulas. Se o Processador de Dados não puder cumprir suas obrigações de proteção de dados sob esse acordo escrito, o Importador de Dados permanecerá totalmente responsável perante o Exportador de Dados pelo cumprimento dessas obrigações.

2. O acordo prévio por escrito entre o Importador de Dados e o Processador de Dados incluirá também uma cláusula beneficiária de terceiros conforme estabelecido na Cláusula 3 para os casos em que o titular dos dados seja impedido de apresentar a reclamação por danos referida na Cláusula 6 (1), contra o Exportador de Dados ou Importador de Dados porque o Exportador de Dados ou Importador de Dados desapareceu fisicamente, deixou de existir legalmente ou tornou-se insolvente e todas as obrigações legais do Exportador de Dados ou Importador de Dados não tenham sido transferidas, por contrato ou por força de lei, para outra entidade sucessora. A responsabilidade do Processador de Dados deve ser limitada às suas próprias atividades de processamento de acordo com estas cláusulas.

3. As disposições relativas aos aspectos de proteção de dados da subcontratação do processamento de dados do contrato referido no parágrafo 1 serão regidas pela legislação do Estado-Membro em que o Exportador de Dados está estabelecido.

4. O Exportador de Dados manterá uma lista dos contratos de subcontratação do processamento de dados celebrados sob estas Cláusulas e notificados pelo Importador de Dados de acordo com a Cláusula 5 (j), que será atualizada pelo menos uma vez por ano. Esta lista será disponibilizada à autoridade supervisora de proteção de dados do Exportador de Dados.

Cláusula 12

Obrigação após a rescisão dos serviços de processamento de dados pessoais

1. As partes concordam que, após a conclusão dos serviços de processamento de dados, o Importador de Dados e o Processador de Dados, a critério do Exportador de Dados, devolverão todos os dados pessoais transferidos e suas cópias ao Exportador de Dados, ou destruirão todos esses dados e fornecerão prova da destruição ao Exportador de Dados, salvo se a legislação imposta ao Importador de Dados o impedir de devolver ou destruir todos ou parte dos dados pessoais transferidos. Nesse caso, o Importador de Dados garante que assegurará a confidencialidade dos dados pessoais transferidos e que não processará mais ativamente os dados.

2. O Importador de Dados e o Processador de Dados garantirão que, se solicitado pelo Exportador de Dados e/ou pela autoridade supervisora, submeterão seus meios de processamento de dados à verificação das medidas referidas no parágrafo 1.

 

 

 

 

Apêndice 1.1 à Parte 2

Detalhes da transferência

 

 

Exportador de Dados

O Exportador de Dados é o Cliente definido no acordo contratual.

 

Importador de Dados

O Importador de Dados é a IQUALIF e está designado para processar os dados, fornecendo serviços ao Exportador de Dados.

 

Titulares dos dados

Os dados pessoais transferidos dizem respeito às seguintes categorias de titulares dos dados:

☒ assinantes telefônicos listados no diretório universal

☐ Outros, incluindo:

 

Categorias de dados

Os dados pessoais transferidos dizem respeito às seguintes categorias de dados:

 

Categorias de dados pessoais dos titulares dos dados do Exportador de Dados em particular,

☒ Nome completo

☒ Endereço postal

☒ Detalhes de contato (e-mail, telefone, endereço IP, etc.)

☒ Detalhes das atividades de marketing relativas ao assinante telefônico

☒ Outros, incluindo tipo de habitação, renda e idades médias por cidade feitas anonimamente

 

Categorias especiais de dados (se aplicável)

Os dados pessoais transferidos dizem respeito às seguintes categorias especiais de dados:

☒ A transferência de categorias especiais de dados não está prevista

☐ Raça ou origem étnica

☐ Crenças religiosas ou filosóficas

☐ Filiação sindical

☐ Opiniões políticas

☐ Informações genéticas

☐ Informações biométricas

☐ Informações sobre orientação sexual ou vida sexual

☐ Dados de saúde

 

Atividades de processamento

Os dados pessoais transferidos estarão sujeitos às seguintes atividades básicas de processamento:

 

  •  
    •  Finalidade do processamento

O processamento realizado em nome do Exportador de Dados baseia-se nos seguintes assuntos, em particular:

☒ Assumir os produtos ou serviços oferecidos pelo Exportador de Dados

☒ A oferta de um produto ou serviço que a pessoa chamada possa solicitar

☒ Pedidos recebidos das pessoas chamadas e processamento posterior desses pedidos

☒ Questionários e análises de estudo

☒ Telemarketing

☐ Outros, incluindo:

 

  •  
    •  Natureza e finalidade do processamento

O Importador de Dados processa os dados pessoais dos titulares dos dados em nome do Exportador de Dados, a fim de fornecer os seguintes serviços, e principalmente:

☒ Vendas e Marketing

☒ Outros, incluindo atualização de bancos de dados de prefeituras e partidos políticos

 

  •  
    •  Prestação de serviços e contratação de prestadores de serviços

 

A IQUALIF combina, centraliza e fornece principalmente serviços ao Exportador de Dados. Os serviços prestados pelo prestador de serviços nomeado podem ser estruturados (entre outros, conforme apropriado) em torno dos seguintes serviços auxiliares: (i) fornecimento de aplicações, ferramentas, sistemas e infraestrutura de TI em relação aos centros de processamento de dados usados, a fim de fornecer e apoiar os serviços, incluindo o processamento dos dados pessoais dos titulares dos dados conforme descrito acima, por meio dessas aplicações, ferramentas e sistemas, (ii) fornecimento de suporte de TI, manutenção e outros serviços relacionados a tais aplicações, ferramentas, sistemas e infraestrutura de TI, incluindo potencial acesso a dados pessoais armazenados em tais aplicações, ferramentas e sistemas, e (iii) fornecimento de serviços de proteção de dados, monitoramento de proteção e serviços de resposta a incidentes, incluindo potencial acesso a dados pessoais ao fornecer tais serviços de proteção. A IQUALIF pode contratar Processadores de Dados conforme estabelecido abaixo para fornecer os serviços, incluindo serviços auxiliares.

 

  •  
    • • Prestadores de serviços externos terceirizados como subentidades designadas para processamento de dados

 

A IQUALIF contrata prestadores de serviços externos e terceiros, que não são subsidiárias da IQUALIF, para apoiar a prestação de serviços ao Exportador de Dados. O Exportador de Dados aprova tais prestadores de serviços externos terceiros como subentidades designadas para processamento de dados.

 

Se uma subentidade envolvida no processamento de dados estiver localizada fora da UE/EEE, em um país considerado não possuir um nível adequado de proteção de dados conforme decisão da Comissão Europeia, o Importador de Dados tomará medidas para obter um nível adequado de proteção de dados de acordo com o GDPR e a seção 3.4 (iv) da Parte 1.

 

 

Apêndice 2, Parte 2

Medidas técnicas e organizacionais de proteção

 

O Importador de Dados tomará as seguintes medidas técnicas e organizacionais de proteção confirmadas pelo Exportador de Dados, a fim de garantir um nível apropriado de segurança para os direitos e liberdades dos indivíduos, dependendo dos riscos. Na avaliação do nível de proteção em questão, o Exportador de Dados considerou, em particular, os riscos envolvidos no processamento, incluindo destruição acidental ou ilícita, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou de outra forma processados. Para esclarecimento: Essas medidas técnicas e organizacionais de proteção não se aplicam às aplicações, ferramentas, sistemas e/ou infraestrutura de TI fornecidos pelo Exportador de Dados.

1 Medidas gerais técnicas e organizacionais de proteção
1.1 Informações gerais e estratégias de proteção de dados
Devem ser tomadas as seguintes medidas para seguir estratégias gerais de proteção de dados e informações:
  • a) tomar medidas para avaliar as tomadas em relação à proteção técnica e organizacional;
  • b) fornecer treinamento para aumentar a conscientização entre os funcionários;
  • c) ter uma descrição dos sistemas envolvidos e conceder acesso aos funcionários;
  • d) estabelecer um processo formal de documentação sempre que sistemas forem implementados ou modificados;
  • e) documentar a estrutura organizacional, processos, responsabilidades e respectivas avaliações;
 
1.2 Organização da proteção da informação
Devem ser tomadas as seguintes medidas para coordenar as atividades de proteção de dados e informações:
  • a) responsabilidades definidas para a proteção da informação e dados (por exemplo, por meio da política de gestão de proteção de dados);
  • b) a expertise necessária para proteger informações e dados permanecendo disponível;
  • c) todos os funcionários estão comprometidos em garantir que os dados pessoais sejam mantidos confidenciais e foram informados das possíveis consequências de violar esse compromisso.
 
1.3 Controle de acesso às áreas de processamento
Devem ser tomadas as seguintes medidas para impedir que pessoas não autorizadas tenham acesso a sistemas de processamento de dados (em particular software e hardware) quando dados pessoais são processados, armazenados ou transmitidos:
  • a) estabelecer áreas seguras;
  • b) proteger e restringir o acesso a sistemas de processamento de dados;
  • c) estabelecer autorizações de acesso para funcionários e terceiros, incluindo os respectivos documentos;
  • d) qualquer acesso a centros de processamento de dados nos quais dados pessoais são armazenados deve ser registrado.
 
1.4 Controle de acesso aos sistemas de processamento de dados
Devem ser tomadas as seguintes medidas para impedir o acesso não autorizado a sistemas de processamento de dados:
  • a) políticas e procedimentos de autenticação de usuários;
  • b) uso de senhas em todos os sistemas de computador;
  • c) acesso remoto à rede requer autenticação multifator e é concedido à pessoa interessada de acordo com suas responsabilidades e mediante autorização;
  • d) acesso a funções específicas é baseado em funções de trabalho e/ou atributos atribuídos individualmente à conta do usuário;
  • e) direitos de acesso relacionados a dados pessoais são revisados regularmente;
  • f) registros de alterações nos direitos de acesso são mantidos atualizados.
 
1.5 Controle de acesso a áreas específicas de uso dos sistemas de processamento de dados
Devem ser tomadas as seguintes medidas para garantir que pessoas autorizadas com direito de usar o sistema de processamento de dados possam acessar apenas dados dentro de suas respectivas responsabilidades e autorizações de acesso e que dados pessoais não possam ser lidos, copiados, modificados ou excluídos sem autorização:
  1.  
    1. a) políticas, instruções e treinamento dos funcionários, concernentes às obrigações de cada um sobre confidencialidade, direitos de acesso a dados pessoais e o escopo do processamento de dados pessoais;
  • b) medidas disciplinares contra pessoas que acessam dados pessoais sem autorização;
  • c) acesso a dados pessoais será concedido apenas a pessoas autorizadas, na base do conhecimento necessário;
  • d) manter uma lista de administradores do sistema e tomar medidas apropriadas para monitorar administradores do sistema;
  • e) não copiar ou reproduzir dados pessoais em qualquer sistema de armazenamento para permitir que pessoas não autorizadas removam as informações do originador;
  • f) exclusão ou destruição controlada e documentada de dados;
  • g) armazenar com segurança todos os dados pessoais que devem ser retidos por razões legais ou regulatórias (por exemplo, obrigações de retenção de dados), e apenas pelo tempo exigido por lei.
 
1.6 Controle de transmissões
Devem ser tomadas as seguintes medidas para impedir que dados pessoais sejam lidos, copiados, modificados ou excluídos por terceiros não autorizados durante a transmissão ou transporte de dispositivos de armazenamento de dados (dependendo do processamento de dados pessoais realizado):
  1.  
    1. a) uso de firewalls;
  • b) evitar o armazenamento de dados pessoais em dispositivos móveis para fins de transporte, ou criptografar os dispositivos;
  • c) uso em laptops e outros dispositivos móveis somente após a ativação da proteção por criptografia;
  • d) registro das transmissões de dados pessoais.
 
1.7 Controle de entrada de dados
Devem ser tomadas as seguintes medidas para garantir que seja possível verificar e determinar se dados pessoais foram inseridos ou excluídos dos sistemas de processamento de dados e por quem:
  1.  
    1. a) uma política para autorizar a leitura, alteração e exclusão de dados armazenados;
  • b) medidas de proteção relativas à leitura, alteração e exclusão de dados armazenados.
 
1.8 Controle do trabalho
No caso de processamento delegado de dados pessoais, devem ser tomadas as seguintes medidas para garantir que tais dados sejam processados de acordo com as instruções do Supervisor:
  1.  
    1. a) entidades ou subentidades designadas para processamento de dados, escolhidas com cuidado (prestadores de serviços que processam dados pessoais em nome do controlador);
  • b) instruções sobre o escopo de qualquer processamento de dados pessoais aos funcionários, entidades ou subentidades designadas para o processamento de dados;
  • c) direitos de auditoria acordados com as entidades ou subentidades designadas para o processamento de dados;
  • d) acordos em vigor com as entidades ou subentidades designadas para processar os dados.
 
1.9 Separação do processamento para outros fins
Devem ser tomadas as seguintes medidas para garantir que dados coletados para outros fins possam ser processados separadamente:
  1.  
    1. a) acesso separado a dados pessoais de acordo com os direitos existentes dos usuários;
  • b) interfaces, processamento em lote e relatórios são para outros fins e funções, para que dados coletados para outros fins possam ser processados separadamente.
 
1.10 Pseudonimização
Devem ser tomadas as seguintes medidas relativas à pseudonimização de dados pessoais:
  1.  
    1. a) Se o Exportador de Dados ordenar uma operação de processamento específica ou se isso for considerado apropriado pelo Importador de Dados de acordo com as leis de proteção de dados em vigor relativas a certas atividades de processamento, o processamento de dados pessoais será realizado de forma que os dados não possam mais ser atribuídos a uma pessoa específica sem o uso de informações adicionais. Essas informações adicionais serão mantidas separadamente;
  • b) uso de técnicas de pseudonimização, incluindo randomização da lista de alocação; criação de valores na forma de hashes.
 
1.11 Criptografia

Devem ser tomadas as seguintes medidas para criptografar dados pessoais em aplicações e transmissões que suportem criptografia:

  1.  
    1. a) uso de técnicas de criptografia;
  • b) estabelecimento de gestão de criptografia para suportar as técnicas de criptografia autorizadas a serem usadas;
  • c) suporte ao uso de criptografia por meio de procedimentos e protocolos para gerar, modificar, revogar, destruir, distribuir, certificar, armazenar, capturar, usar e arquivar chaves criptográficas para proteger contra modificação e divulgação não autorizadas.
 
1.12 Integridade dos sistemas e serviços de processamento de dados
Devem ser tomadas as seguintes medidas para garantir a integridade dos sistemas e serviços de processamento de dados:
  1. a) proteção dos sistemas de processamento de dados contra manipulação ou destruição por meios apropriados (por exemplo, software antivírus, software de prevenção de perda de dados e software contra malware, patches de software, firewalls e proteção gerenciada de desktop);
  • b) proibir a instalação de qualquer serviço ou software prejudicial aos sistemas de processamento de dados, serviços ou à manipulação de dados pessoais;
  • c) uso de sistema de detecção e prevenção de intrusão na estrutura da própria rede.
 
1.13 Disponibilidade dos sistemas e serviços de processamento de dados e possibilidade de restaurar o acesso e uso de dados pessoais em caso de incidente material ou técnico
Devem ser tomadas as seguintes medidas para garantir a disponibilidade dos sistemas de processamento de dados, bem como para poder restaurar rapidamente a disponibilidade e o acesso a dados pessoais, em caso de incidente material ou técnico (em particular garantindo que os dados pessoais estejam protegidos contra destruição ou perda acidental):
  • a) ter meios de controle para manter cópias de backup e restaurar dados perdidos ou excluídos;
  • b) redundância infraestrutural e testes de desempenho;
  • c) proteção física dos recursos de computador;
  • d) uso de ferramentas para monitorar o status e a disponibilidade da rede interna;
  • e) políticas de relato e resposta a incidentes que regem o procedimento de gestão de incidentes, e reiterar a adesão a essas políticas como parte do treinamento regular;
  • f) backups (às vezes fora do local) para restaurar o sistema para permitir que ele desempenhe suas funções novamente;
  • g) planos de continuidade de negócios/recuperação de desastres
 
1.14 Resiliência dos sistemas e serviços de processamento de dados
Devem ser tomadas as seguintes medidas para garantir a resiliência dos sistemas e serviços de processamento de dados:
  • a) sistemas configurados harmoniosamente, usando parâmetros de segurança aprovados;
  • b) redundância de rede;
  • c) proteção de contenção de sistemas críticos.
 
1.15 Procedimento para testar, avaliar e analisar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento de dados
Procedimento para testar, avaliar e analisar regularmente a eficácia das medidas técnicas e organizacionais para proteger o processamento de dados.
  • a) tomar as medidas necessárias para avaliar riscos e estratégias de mitigação;
  • b) reuniões de análise de serviço do departamento de TI para tratar de questões atuais;
  • c) planos de continuidade de negócios/recuperação de desastres são atualizados regularmente.

 

Parte 3

Assinaturas das partes e lista de Importadores de Dados

 

Ao preencher o formulário de pedido online e validá-lo marcando a caixa aceitando os termos e condições gerais de uso, o contrato que rege a relação entre o Cliente e a IQUALIF é estabelecido.

O envio do pagamento para a IQUALIF será considerado como o contrato acordado e estabelecido.

Observe: Este texto foi traduzido do francês. A versão original em francês, que é válida e legalmente vinculativa, está disponível aqui.

Perguntas Frequentes

Como instalar o software

Instalação do software

Para instalar IQUALIF, basta clicar neste link de download e instalar a versão de avaliação.

📥 Etapa 1: Download

Após o download, seu navegador ou Chrome pode exibir uma mensagem de aviso.

Isso pode acontecer com softwares recentes ou pouco difundidos.

Nesse caso:

  • Clique com o botão direito no arquivo baixado
  • Clique em "Manter" ou "Executar mesmo assim"

⚙️ Etapa 2: Instalação

Ao iniciar o programa (duplo clique), o Windows pode exibir um alerta de segurança (Windows Defender).

Isto ocorre simplesmente porque o software ainda é pouco baixado e ainda não possui um grande volume de histórico nos servidores da Microsoft.

Se essa mensagem aparecer:

  • Clique em "Mais informações" ou nos três pontinhos "..."
  • Depois selecione "Executar mesmo assim" ou "Abrir mesmo assim"

✅ Por que você pode instalar com total confiança?

IQUALIF é um software profissional desenvolvido desde 2013.

Desenvolvemos soluções utilizadas diariamente por profissionais.

Essas mensagens de segurança são automáticas e relacionadas apenas ao número de downloads, e não ao conteúdo do software.

Qual é a diferença entre a versão de avaliação e a versão paga

A versão de avaliação e a versão paga oferecem exatamente as mesmas funcionalidades.

A diferença é simples:

  • A versão de avaliação é limitada a 3 dias.
  • A versão paga funciona duas vezes mais rápido, garantindo um ganho de tempo ideal no dia a dia.

Assim, você pode testar livremente todas as funcionalidades e, depois, aproveitar ao máximo o desempenho completo com a versão completa.

O que está incluído no Plano

Os Planos oferecem acesso completo a todos os softwares IQUALIF durante toda a sua validade.

Assim que sua compra for confirmada, você receberá sua chave de ativação por email em apenas 5 minutos.

Se não a encontrar, lembre-se de verificar sua pasta de SPAM ou lixo eletrônico.

O renovamento automático é sem compromisso: você pode cancelá-lo a qualquer momento pelo seu espaço do cliente.

Seus dados de acesso serão enviados por email após sua compra.

E, claro, estamos disponíveis por chat, email ou telefone para qualquer dúvida.

O que é a velocidade

Uma velocidade adequada às suas necessidades

A IQUALIF permite que você recupere os dados no seu ritmo, de acordo com o volume que você precisa.

Versão de teste

Até 400 contatos por hora

(ideal para descobrir e testar todas as funcionalidades)

Versão paga

  • Velocidade padrão : até 800 contatos por hora
  • Velocidade 5x : até 4.000 contatos por hora
  • Velocidade 10x : até 8.000 contatos por hora

Você escolhe a velocidade adequada à sua atividade e pode evoluir a qualquer momento.

A velocidade pode variar de acordo com a fonte selecionada.

Existem descontos?

Promoções pontuais são oferecidas ao longo do ano, sem um calendário fixo.

Descontos também são concedidos aos nossos clientes fiéis, com tarifas decrescentes de acordo com a antiguidade.

Para saber mais, não hesite em nos contactar por email ou telefone

Preciso de assistência ou de uma demonstração remota

Você pode nos contatar por chat, e-mail ou telefone: nossa equipe ficará feliz em ajudá-lo.

Se necessário, também podemos intervir diretamente no seu computador por meio de uma ferramenta segura de assistência remota, para ajudá-lo de forma rápida e eficiente.

Acabei de fazer meu pedido, como ativar meu produto

  1. Abra o IQUALIF.
  2. Clique no canto superior esquerdo no menu ?, depois em Licença.
  3. Na janela que se abrir, copie a chave recebida por email e clique em OK.

Uma mensagem de confirmação aparecerá para indicar que seu produto foi ativado com sucesso.