ACORDO DE TRATAMENTO DE DADOS PESSOAIS DO BLIP GO!

Última atualização: 19 de junho de 2023.

1. DEFINIÇÕES

1.1. Para os fins do presente Acordo, são consideradas as definições a seguir, em consonância com o art. 5º da Lei nº 13.709/18 (Lei Geral de Proteção de Dados – “LGPD”):

a) Dado(s) Pessoal(is): informação relacionada a pessoa natural identificada ou identificável; e que, quando aplicável, poderá incluir Dado(s) Pessoal(is) Sensível(is), que são Dados Pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente a saúde ou a vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

b) Titular(es): pessoa natural a quem se referem os Dados Pessoais que são objeto de Tratamento, como Usuários Finais e colaboradores do cliente da BLIP (doravante denominado simplesmente “CLIENTE”);

c) Controlador(a): pessoa natural ou jurídica, de direito público ou privado, responsável por tomar as principais decisões referentes ao Tratamento de Dados Pessoais e por definir a finalidade deste Tratamento. Quanto aos Dados Pessoais fornecidos pelo CLIENTE e trafegados na solução conversacional contratada, o CLIENTE é considerado “CONTROLADOR”;

d) Operador(a): pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados em nome do Controlador, conforme a finalidade indicada. Quanto aos Dados Pessoais fornecidos pelo CLIENTE e trafegados na solução conversacional contratada, a BLIP é considerada “OPERADORA”; e

e) Tratamento: toda operação realizada com Dados Pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

1.1.1. Quando outros termos definidos na LGPD forem utilizados neste Acordo, tais termos terão o mesmo significado que os previstos na lei.

2. CONDIÇÕES GERAIS DE TRATAMENTO DE DADOS 

2.1. No desenvolvimento de quaisquer atividades relacionadas ao uso da solução conversacional, as Partes observarão o regime legal da proteção de Dados Pessoais, empenhando-se em proceder ao Tratamento de Dados Pessoais que venha a se mostrar necessário, no estrito e rigoroso cumprimento da LGPD e de normas e procedimentos que venham a ser publicados e/ou requeridos por entidades reguladoras e outras autoridades competentes, inclusive pela Autoridade Nacional de Proteção de Dados (“ANPD”), assegurando que seus colaboradores, prepostos, consultores, subcontratados e/ou prestadores de serviços também cumpram as disposições legais aplicáveis.

2.2. Legitimidade do Tratamento: em razão do uso da solução conversacional, o CONTROLADOR garante que os Dados Pessoais compartilhados com a OPERADORA estarão amparados por uma base legal válida, legítima e adequada para a(s) finalidade(s) do Tratamento em questão, na forma da legislação aplicável, mantendo a OPERADORA indene de qualquer responsabilidade nesse sentido.

2.3. Finalidades do Tratamento: a OPERADORA poderá realizar o Tratamento dos Dados Pessoais necessários ao licenciamento da solução conversacional, bem como para adoção de melhorias e desenvolvimento do produto e das funcionalidades a ele relacionadas, buscando sempre a melhor experiência do CLIENTE. É de responsabilidade do CONTROLADOR a obtenção de todas as autorizações necessárias nesse sentido.

2.4. Duração do Tratamento: a OPERADORA realizará o Tratamento dos Dados Pessoais pelo tempo necessário à consecução das finalidades previstas neste Acordo. O término do Tratamento também ocorrerá em caso de expressa solicitação, por escrito, pelo CONTROLADOR, de devolução e/ou exclusão dos Dados.

2.4.1. É autorizada a conservação dos Dados pela OPERADORA para cumprimento de obrigação legal ou regulatória pelo prazo legal cabível, bem como para uso exclusivo da OPERADORA, em consonância com o item 2.3. acima, e desde que anonimizados os Dados, sem prejuízo das demais hipóteses de guarda e armazenamento legalmente previstas.

3. OBRIGAÇÕES DO CONTROLADOR

3.1. Sem prejuízo das demais obrigações previstas neste Acordo e em instrumento próprio, o CONTROLADOR compromete-se a:

a) Garantir a plena conformidade, legitimidade, legalidade e observância aos preceitos da lei no tocante aos Dados Pessoais transferidos para Tratamento pela OPERADORA;

b) Garantir a existência de uma base legal válida para compartilhar os Dados Pessoais com a OPERADORA, bem como para o Tratamento pela OPERADORA em nome do CONTROLADOR;

c) Fornecer instruções e estabelecer regras para o Tratamento de Dados Pessoais pela OPERADORA, respeitando tanto os limites técnicos da solução conversacional, quanto aqueles dispostos na LGPD;

d) Comunicar a OPERADORA, quando necessário a atuação desta, com a maior brevidade possível e em tempo hábil, sobre qualquer pedido de acesso, retificação, portabilidade ou de exclusão feito pelos Titulares dos Dados Pessoais, bem como em caso de requerimento, notificação ou questionamento de autoridade competente;

e) Realizar a gestão e o controle de acessos de seus colaboradores no ambiente da solução conversacional, observando as regras de segurança adequadas, responsabilizando-se por todos os atos destes, bem como por solicitações por estes realizadas perante à OPERADORA; e

f) Auxiliar a OPERADORA na elaboração de quaisquer relatórios de impacto à proteção dos Dados Pessoais, bem como no fornecimento de informações eventualmente exigidas pelas autoridades competentes.

3.2. O CONTROLADOR poderá estar sujeito ao cumprimento de normas previstas em legislação específica de sua área de atuação, as quais não necessariamente serão obrigatórias à OPERADORA, tais como regras diferenciadas de armazenamento de dados.

4. OBRIGAÇÕES DA OPERADORA

4.1. Sem prejuízo das demais obrigações previstas neste Acordo e em instrumento próprio, a OPERADORA compromete-se a:

a) Tratar os Dados Pessoais para as finalidades previstas neste Acordo ou para aquelas indicadas pelo CONTROLADOR, não os utilizando para propósitos distintos;

b) Realizar o Tratamento dos Dados Pessoais de acordo com as instruções do CONTROLADOR, levando sempre em consideração a capacidade técnica da solução conversacional contratada;

c) Informar o CONTROLADOR, com a maior brevidade possível e em tempo hábil, sobre o recebimento de qualquer solicitação dos Titulares dos Dados Pessoais ou de autoridade competente, e auxiliá-lo na resposta às referidas solicitações, garantindo que o CONTROLADOR tenha todas as informações necessárias para cumprir com os seus deveres previstos na LGPD;

d) Informar o CONTROLADOR caso não possa e/ou esteja impedida de atender qualquer das orientações por ele repassadas ou quaisquer especificações estabelecidas na legislação aplicável;

e) Não comunicar ou compartilhar os Dados Pessoais a terceiros sem a prévia autorização por escrito do CONTROLADOR, ressalvadas as hipóteses expressamente previstas neste Acordo ou em instrumento próprio;

f) Realizar, em prazo mínimo razoável, e sob o comando expresso do CONTROLADOR, a exclusão inequívoca dos Dados Pessoais compartilhados em razão do uso da solução conversacional, respeitadas as hipóteses de guarda e armazenamento de dados legalmente previstas; e

g) Auxiliar o CONTROLADOR na elaboração de quaisquer relatórios de impacto à proteção dos Dados Pessoais, bem como no fornecimento de informações eventualmente exigidas pelas autoridades competentes.

4.2. A OPERADORA não será obrigada a cumprir ou observar as instruções do CONTROLADOR se estas estiverem em desacordo com a LGPD.

5. SEGURANÇA DA INFORMAÇÃO 

5.1. As Partes deverão adotar medidas de segurança, técnicas e administrativas necessárias e adequadas para proteger os Dados Pessoais em sua confidencialidade, disponibilidade e integridade, incluindo, mas não se limitando à proteção contra acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de Tratamento inadequado, ilícito ou em desacordo com as diretrizes técnico-normativas de agências reguladoras, tais como a ANPD.

5.1.1. Na avaliação do nível adequado de segurança, as Partes deverão levar em consideração o estado da arte, os custos de implementação, a natureza, o escopo, o contexto, as finalidades de Tratamento e os riscos envolvidos no Tratamento para os Titulares dos Dados.

5.2. O CONTROLADOR declara ciência e concordância de que para a realização de testes e avaliações de segurança, de forma automatizada ou manual, tais como análise de vulnerabilidade e/ou de intrusão (ou Pentest), nos produtos, serviços ou na infraestrutura da OPERADORA, ele deverá solicitar, de forma fundamentada e por escrito, autorização expressa à OPERADORA, sendo facultado à OPERADORA negar a autorização requerida havendo critérios técnicos para tanto.

6. INCIDENTES DE SEGURANÇA

6.1. Caso venha a ocorrer um Incidente de Segurança (acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão) (“Incidente”) com os Dados Pessoais tratados no escopo do uso da solução conversacional, a Parte infratora deverá comunicar a outra no menor prazo possível a contar do momento de ciência inequívoca do Incidente.

6.1.1. A referida comunicação deverá, sempre que possível, conter as seguintes descrições: (i) data e hora da ciência pela Parte infratora; (ii) relação dos tipos de dados afetados pelo Incidente; (iii) número de usuários afetados (volumetria do Incidente); (iv) dados de contato do encarregado pelo Tratamento de Dados da Parte infratora, ou outra pessoa junto à qual seja possível obter maiores informações sobre o ocorrido; (v) descrição das possíveis consequências do evento; bem como (vi) medidas tomadas para contenção do Incidente.

6.1.2. A notificação deverá ser enviada, se para o CONTROLADOR, para o seu e-mail de cadastro na solução conversacional contratada; e, se para a OPERADORA, para os e-mails [email protected] e [email protected].

6.2. As Partes acordam em não divulgar qualquer informação sobre o Incidente a terceiro, exceto nas seguintes hipóteses: (i) se ambas as Partes autorizarem prévia e expressamente; (ii) se houver obrigação legal que exija tal divulgação; ou, ainda, (iii) se ocorrer determinação de autoridades fiscalizadoras.

6.2.1. Na hipótese de ocorrência de Incidente, seja ele qual for, as Partes ainda se comprometem a analisar todas as circunstâncias envolvidas e decidir, de forma conjunta, se este se enquadra na exigência legal de comunicação à ANPD.

6.3. Caso o CONTROLADOR identifique no seu ambiente ou na sua interação com a solução conversacional contratada qualquer Incidente que coloque em risco a segurança, a integridade e a estabilidade do produto, de qualquer dos serviços prestados pela OPERADORA ou de sua infraestrutura, tais como, mas não se limitando a ataques envolvendo ransomware, comprometimento ou negação de serviço, o CONTROLADOR deverá, imediatamente, notificar a OPERADORA, com descrição detalhada do ocorrido, bem como as ações adotadas para reverter ou mitigar os efeitos do Incidente, para que a OPERADORA possa avaliar a adoção de eventuais medidas de segurança, sem que isso transfira a responsabilidade do Incidente à OPERADORA.

7. COMPARTILHAMENTO

7.1. A OPERADORA deverá conceder acesso aos Dados Pessoais para os membros de seu pessoal apenas na medida estritamente necessária para a implementação, gestão e monitoramento do licenciamento da solução conversacional contratada pelo CLIENTE. Deverá garantir também que as pessoas autorizadas a processar os Dados Pessoais tenham se comprometido com a respectiva confidencialidade ou estejam sob uma obrigação legal de confidencialidade apropriada.

7.2. O CONTROLADOR reconhece e autoriza que para a execução do licenciamento da solução conversacional, a OPERADORA realiza a contratação de terceiros processadores de dados com os quais poderá compartilhar os Dados Pessoais recebidos do CONTROLADOR, tais como provedores de nuvem e ferramentas de atendimento.

7.3. Em todos os casos, a OPERADORA responsabilizar-se-á por todos os seus suboperadores, bem como exigirá destes o cumprimento de obrigações e níveis de segurança da informação em conformidade com o disposto no presente Acordo.

8. RESPONSABILIDADE

8.1. A responsabilidade por descumprimento/inobservância de qualquer das obrigações aqui estabelecidas será apurada no formato descrito na LGPD, sem prejuízo das limitações de responsabilidade da BLIP previstas em instrumento próprio.

8.2. O CONTROLADOR reconhece que o Tratamento dos Dados Pessoais nas condições por ele estabelecidas, conforme apontado neste Acordo e em suas orientações, exime a OPERADORA da responsabilidade por eventual ilicitude do Tratamento feito pelo CONTROLADOR, devendo este último assumir integralmente a responsabilidade pelas eventuais perdas e danos suportados pela OPERADORA e/ou por terceiros.

9. DISPOSIÇÕES GERAIS

9.1. As presentes cláusulas devem ser lidas e interpretadas à luz das disposições da LGPD, de forma a não conflitar com as obrigações previstas na lei e em instrumento próprio firmado pelas Partes.

9.2. No caso de qualquer contradição entre as presentes cláusulas e as disposições de outros termos mantidos entre as Partes e existentes no momento em que as referidas cláusulas forem acordadas ou aceitas, estas deverão prevalecer no que diz respeito ao objeto tratado neste Acordo.