Contrato Padrão de Operador de Dados

Este Acordo de Tratamento de Dados^[1] (Acordo) é parte do Contrato de Prestação de Serviços (Contrato Principal) firmado entre:

Definem que:

(A) A Empresa Contratante atua como Controladora de Dados.

(B) A Empresa Contratante deseja subcontratar serviços do Operador que implicam no tratamento de dados pessoais.

(C) As Partes desejam implementar um acordo de tratamento de dados que esteja de acordo com a LGPD - Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18).

(D) As Partes desejam firmar seus direitos e obrigações.

É ACORDADO DA SEGUINTE MANEIRA:

1. Definições e Interpretações

1.1 Termos em negrito e expressões utilizadas neste Acordo, além dos definidos acima, devem ter os seguintes significados:

1.1.1 "Acordo" significa este Acordo de Tratamento de Dados com todas as suas disposições;

1.1.2 "Dados Pessoais pertencentes à Empresa Contratante" significa qualquer Dado Pessoal tratado pelo Operador em nome da Empresa Contratante para que possa oferecer os serviços nos termos estipulados no Contrato Principal;

1.1.3 "Transferência de Dados" significa:

1.1.3.1 uma transferência de Dados Pessoais pertencentes à Empresa Contratante para o Operador; ou

1.1.3.2 uma transferência de Dados Pessoais pertencentes à Empresa Contratante do Operador para um Suboperador;

1.1.4 "Serviços" significa os serviços oferecidos pelo Operador e detalhados no Contrato Principal;

1.1.5 "Suboperador" significa qualquer empresa contratada pelo Operador para possibilitar o fornecimento dos serviços nos termos estipulados no Contrato Principal;

1.2 Os termos, "Agência Nacional de Proteção de Dados", "Controlador", "Titular de Dados", "Dado Pessoal", "Incidente de Segurança", "Tratamento" devem ser interpretados conforme o sentido dado a eles pela LGPD.

2. Tratamento de Dados da Empresa Contratante

2.1 O Operador deve:

2.1.1 realizar o tratamento dos Dados Pessoais pertencentes à Empresa Contratante em conformidade com toda a legislação aplicável à Proteção de Dados Pessoais; e

2.1.2 não tratar os Dados Pessoais pertencentes à Empresa Contratante de forma distinta daquelas expressas neste Acordo e no Contrato Principal.

3. Exclusão de Dados da Empresa Contratante

3.1 O Operador manterá os Dados Pessoais pertencentes à Empresa Contratante pelo período de tratamento definido pela Empresa Contratante, nos termos do disposto na legislação aplicável. Findo o período de tratamento, a exclusão dos dados dependerá de solicitação formal da Empresa Contratante.

3.2 A solicitação de exclusão deverá ser realizada por meio de comunicação escrita enviada ao endereço eletrônico suporte@bcompliance.com.br, contendo a identificação específica das comunicações a serem excluídas, por meio da indicação dos respectivos números únicos gerados no sistema. O Operador se compromete a proceder com a exclusão dos dados identificados, no prazo máximo de 15 (quinze) dias úteis contados do recebimento da solicitação, salvo disposição legal ou contratual em contrário que justifique a retenção dos dados por período adicional.

3.3 ESSA ELIMINAÇÃO SERÁ DEFINITIVA, NÃO PODENDO A EMPRESA CONTRATANTE REIVINDICAR ACESSO AOS DADOS APÓS A FORMALIZAÇÃO DA SOLICITAÇÃO PARA A EXCLUSÃO DOS DADOS.

4. Equipe do Operador

4.1 O Operador deve tomar todas as medidas razoáveis e necessárias para garantir que seus funcionários e agentes, que tenham acesso aos Dados Pessoais pertencentes à Empresa Contratante, estejam devidamente treinados e sujeitos a obrigações contratuais de confidencialidade. O Operador deve garantir também que seus funcionários e agentes possuam acesso apenas aos dados que sejam estritamente necessários para as finalidades do Tratamento dispostas no Contrato Principal.

5. Segurança

5.1 O Operador deve adotar medidas de segurança, técnicas e administrativas aptas a proteger os Dados Pessoais pertencentes à Empresa Contratante de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

6. Suboperação

6.1 O Operador não poderá contratar (ou revelar qualquer Dado Pessoal da Empresa Contratante para) qualquer Suboperador a não ser que requerido ou autorizado expressamente pela Empresa Contratante em cláusula destacada deste Acordo.

6.2 Compromete-se o Operador a contratar apenas com empresas que estejam adequadas às exigências trazidas pela LGPD.

6.3 O Operador fica expressamente autorizado por este Acordo a contratar e realizar o compartilhamento de dados da Empresa Contratante com os Suboperadores AWS - Amazon Web Services e MongoDB Atlas, empresas estas que fornecem a infraestrutura computacional em nuvem, localizada em território nacional, necessária para o funcionamento do serviço oferecido pelo Operador.

6.4 O Suboperador responderá por eventuais danos causados da mesma forma que o Operador, equiparando-se a este em todas as possibilidades descritas na legislação de proteção de dados.

7. Direitos dos Titulares de Dados

7.1 Levando em consideração a natureza do Tratamento de Dados, o Operador deve auxiliar a Empresa Contratante, por meio da implementação das medidas técnicas e organizacionais aptas, a cumprir sua obrigação de responder às solicitações dos Titulares dos Dados Pessoais quanto aos seus direitos garantidos pelas Leis de Proteção de Dados.

7.2 O Operador deve:

7.2.1 prontamente notificar a Empresa Contratante caso receba uma solicitação de um Titular de Dados quanto aos seus direitos garantidos pelas Leis de Proteção de Dados; e

7.2.2 garantir que não responderá a tal solicitação a não ser após instruções documentadas da Empresa Contratante ou se requerido por Lei aplicável à qual o Operador esteja sujeito.

8. Incidente de Segurança de Dados Pessoais

8.1 O Operador deve notificar sem demora indevida (em até 24hs) à Empresa Contratante assim que tenha conhecimento de algum Incidente de Segurança que afete os Dados Pessoais pertencentes à Empresa Contratante, fornecendo a esta a informação suficiente que lhe permita cumprir suas obrigações de comunicar aos Titulares de Dados e à Agência Nacional de Proteção de Dados conforme disposto pelas Leis de Proteção de Dados.

8.2 O Operador deve cooperar com a Empresa Contratante e tomar as medidas comerciais razoáveis e aptas para auxiliá-la na investigação, mitigação e a remediação de um eventual Incidente de Segurança.

9. Relatório de Impacto à Proteção de Dados e Consultas Prévias

9.1 O Operador deve fornecer a assistência à Empresa Contratante para a elaboração dos seus Relatórios de Impacto à Proteção de Dados Pessoais e consultas prévias sobre a adequação do Tratamento de Dados ao disposto nos arts. 46 e 49 da LGPD. Tal dever se restringe à assistência em relação ao fornecimento de informações sobre as medidas técnicas e administrativas tomadas pelo Operador para garantir a segurança e o sigilo dos dados.

10. Download e Remoção dos Dados Pessoais pertencentes à Empresa Contratante após o fim da vigência do Contrato Principal

10.1 O Operador deve, prontamente, após a data de encerramento do Contrato Principal envolvendo os Dados Pessoais pertencentes à Empresa Contratante (o Dia de Encerramento), contatar a Empresa Contratante e fornecer acesso temporário, pelo prazo de 15 dias úteis, ao Painel do Cliente e orientações para que a Empresa Contratante possa fazer o download de todos os seus dados presentes na plataforma.

10.2 Após o referido período de 15 dias, o Operador deverá remover completamente dos seus sistemas qualquer cópia existente dos Dados Pessoais pertencentes à Empresa Contratante que tenham sido gerados em razão do contrato mantido entre as partes.

10.3 ESSA ELIMINAÇÃO SERÁ DEFINITIVA, NÃO PODENDO A EMPRESA CONTRATANTE REIVINDICAR ACESSO AOS DADOS APÓS O REFERIDO PERÍODO DE 15 DIAS SOB NENHUM PRETEXTO.

10.4 O Operador deve fornecer à Empresa Contratante uma confirmação por escrito atestando que cumpriu totalmente com o disposto no item 9.2 no prazo de 15 dias úteis contados a partir do fim do prazo estabelecido no item 9.2.

10.5 O contato referido no item 9.1 deverá ser feito pelo Operador à Empresa Contratante pelo e-mail indicado pela Empresa Contratante como contato financeiro. O não recebimento de uma resposta a este e-mail no prazo de 15 dias úteis autoriza o Operador a proceder a REMOÇÃO COMPLETA dos Dados Pessoais pertencentes à Empresa Contratante nos termos dos itens 9.2, 9.3 e 9.4 acima.

11. Direitos de Auditoria

11.1 O Operador deve fornecer, mediante requisição da Empresa Contratante toda a informação necessária para demonstrar sua adequação aos termos deste Acordo, devendo também colaborar com auditorias, inclusive inspeções pela Empresa Contratante ou um auditor nomeado por esta em assunto relacionado ao Tratamento dos Dados Pessoais pertencentes à Empresa Contratante.

12. Transferência de Dados

12.1 O Operador não poderá transferir ou autorizar a transferência de Dados Pessoais pertencentes à Empresa Contratante para outros países sem a prévia autorização desta em cláusula destacada do Contrato Principal. As Partes devem garantir que os Dados Pessoais estarão em segurança e que a Transferência será feita apenas para empresas que ofereçam comprovação da adoção de um padrão de segurança e proteção de dados pessoais compatíveis àqueles exigidos pela LGPD.

13. Disposições Gerais

13.1 Confidencialidade. Cada Parte deve manter este Acordo e as informações que receber sobre a outra Parte e seu negócio como confidencial (Informação Confidencial) e que não deverá ser revelada ou utilizada para fins distintos daqueles descritos neste Acordo sem o consentimento prévio por escrito da outra Parte. Excetuando-se desta exigência as situações nas quais a revelação de informações for exigida por Lei ou por decisão judicial;

13.2 Informes e Solicitações. Todos os informes e solicitações, no que se refere aos termos deste Acordo, devem ser feitos por escrito e enviados por correio ou por e-mail disponíveis no cabeçalho deste Acordo.

14. Lei Aplicável e Jurisdição

14.1 O presente Acordo será regido e interpretado segundo a legislação brasileira, no idioma português, sendo eleito o Foro da Comarca de Sorocaba - SP para dirimir qualquer litígio ou controvérsia envolvendo o presente documento que não possam ser resolvidos amigavelmente.

14.2 Assim, por estarem justas e contratadas, as partes aceitam cumprir este contrato para que produza todos os seus efeitos, que será assinado digitalmente, na forma do §2o do art. 10 da MP n. 2.200-2/01 e do art. 225 da Lei n. 10.406/02, através da plataforma privada adotada, sendo admitida como válida e aceita pelas partes, dispensadas as testemunhas (§4º do art. 784 da Lei n. 13.105/15), obrigando-se as partes e os seus sucessores, a qualquer título, ao seu fiel cumprimento.

Atualização: 10 de junho de 2025

^[1] v2.2025