Carta de Leis de Privacidade

Data – Lançamento em 01/01/2020

Última modificação em – 12/06/2023

Aplicabilidade:

Este documento (“Requisitos”) constitui parte integrante e juridicamente vinculativa de qualquer Contrato de Serviços Mestre, Declaração de Trabalho ou outro contrato (“Contrato”) entre a Shaip (“Empresa”) e o prestador de serviços (“Fornecedor/freelancer/consultor”).

1. Definições

Para os fins destes Requisitos, os seguintes termos terão os significados estabelecidos abaixo:

  • “Leis de Proteção de Dados Aplicáveis” significa todas as leis, regras e regulamentos internacionais, federais, estaduais e locais aplicáveis ​​ao Processamento de Dados Pessoais, incluindo, mas não se limitando a GDPR, UK GDPR, CCPA/CPRA, HIPAA, PIPEDA e LGPD.
  • “Dados da empresa” significa todos os dados, informações e materiais, em qualquer formato ou meio, fornecidos ao Fornecedor pela Empresa ou em seu nome, ou coletados, gerados, derivados, pseudonimizados, anonimizados (se a reversibilidade for possível) ou processados ​​pelo Fornecedor em nome da Empresa. Isso inclui Dados do Projeto e quaisquer Dados Pessoais.
  • “Violação de dados” significa qualquer violação de segurança real ou suspeita que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados da Empresa.
  • "O PIB é" significa o Regulamento Geral de Proteção de Dados (UE) 2016/679.
  • "Dados pessoais" significa qualquer informação relacionada a uma pessoa física identificada ou identificável (“Titular dos Dados”) contida nos Dados da Empresa.
  • “Dados Pessoais Sensíveis” significa qualquer categoria de dados considerada sensível pelas Leis de Proteção de Dados Aplicáveis, incluindo, mas não se limitando a, origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa física.
  • "Em processamento" significa qualquer operação realizada em Dados da Empresa, como coleta, registro, organização, armazenamento, adaptação, recuperação, uso, divulgação, disseminação ou destruição.
  • “Dados do Projeto” significa os dados específicos (por exemplo, voz, imagem, texto) coletados ou criados pelo Fornecedor como parte dos serviços prestados à Empresa.
  • “Subprocessador” significa qualquer terceiro contratado pelo Fornecedor para Processar Dados da Empresa.

2. Função e obrigações do fornecedor

2.1 Função como Processador/Subprocessador. O Fornecedor reconhece que, ao Processar Dados da Empresa, atua como um “Processador” ou “Subprocessador” em nome da Empresa. O Fornecedor não possui propriedade ou direitos independentes sobre os Dados da Empresa.

2.2 Processamento sob Instrução. O Fornecedor deverá Processar Dados da Empresa somente de acordo com as instruções legais e documentadas da Empresa, incluindo aquelas estabelecidas no Contrato e nas Declarações de Trabalho relevantes. O Fornecedor está expressamente proibido de Processar Dados da Empresa para seus próprios fins ou para qualquer finalidade não explicitamente instruída pela Empresa. As instruções deverão incluir requisitos de retenção e descarte de dados. Se o Fornecedor acreditar que uma instrução viola as Leis de Proteção de Dados Aplicáveis, deverá informar imediatamente a Empresa.

2.3 Conformidade com as Leis. O Fornecedor garante e declara que cumprirá todas as Leis de Proteção de Dados Aplicáveis ​​na execução do Contrato e notificará prontamente a Empresa se qualquer lei impedir a conformidade ou exigir a divulgação de Dados da Empresa (por exemplo, solicitações de acesso do governo).

3. Medidas de Segurança Técnica e Organizacional

3.1 Padrões de segurança. O Fornecedor deverá implementar e manter medidas de segurança técnicas e organizacionais adequadas para proteger os Dados da Empresa contra qualquer Violação de Dados. Essas medidas deverão ser proporcionais ao nível de risco e à natureza dos dados e deverão, no mínimo, incluir:

  1. Criptografia: Criptografia de todos os dados da empresa em repouso e em trânsito.
  2. Controle de acesso: Controles de acesso rigorosos baseados no menor privilégio, garantindo que somente pessoal autorizado tenha acesso aos Dados da Empresa.
  3. Minimização de dados: Coletar e processar apenas a quantidade mínima de Dados Pessoais necessária para o projeto especificado.
  4. Ambientes Seguros: Garantir que todos os sistemas usados ​​para processar dados da empresa estejam configurados, corrigidos, registrados e monitorados com segurança.
  5. Exclusão segura: Implementar processos para a exclusão segura e permanente de Dados da Empresa mediante instrução da Empresa, incluindo exclusão de backups.
  6. Segurança física: Proteger todos os locais físicos e dispositivos onde os Dados da Empresa são armazenados ou acessados.
  7. Testes e monitoramento: Testes de penetração regulares, avaliações de vulnerabilidade e monitoramento contínuo.
  8. Continuidade de Negócios: Manter planos de resposta a incidentes, recuperação de desastres e continuidade de negócios.

4. Subprocessamento

4.1 Consentimento prévio necessário. O Fornecedor não deverá contratar nenhum Subprocessador para Processar Dados da Empresa sem o consentimento prévio e específico por escrito da Empresa.

4.2 Fluxo de Obrigações. Se o consentimento for concedido, o Fornecedor deverá firmar um acordo por escrito com o Subprocessador que imponha ao Subprocessador as mesmas obrigações de proteção de dados ou obrigações mais rigorosas que as impostas ao Fornecedor por estes Requisitos.

4.3 Lista de Subprocessadores. O Fornecedor deverá manter uma lista atualizada de Subprocessadores e fornecê-la à Empresa mediante solicitação. A Empresa reserva-se o direito de se opor a qualquer Subprocessador a qualquer momento.

4.4 Responsabilidade Total. O Fornecedor permanecerá totalmente responsável perante a Empresa pelo cumprimento das obrigações do Subprocessador e por qualquer ato ou omissão do Subprocessador.

5. Notificação e gerenciamento de violação de dados

5.1 Notificação imediata. O Fornecedor deverá notificar a Empresa por escrito, sem demora injustificada e, em nenhum caso, mais tarde do que vinte e quatro (24) horas após tomar conhecimento de qualquer Violação de Dados.

5.2 Detalhes da violação. A notificação deve, no mínimo:

  1. Descreva a natureza da violação de dados, incluindo categorias e número aproximado de titulares de dados e registros de dados envolvidos.
  2. Forneça o nome e os detalhes de contato do responsável pela proteção de dados do Fornecedor ou outro ponto de contato relevante.
  3. Descreva as prováveis ​​consequências da violação de dados.
  4. Descreva as medidas tomadas ou propostas pelo Fornecedor para lidar com a Violação de Dados e mitigar seus efeitos.

5.3 Atualizações contínuas. O Fornecedor deverá fornecer atualizações regulares até que o incidente seja totalmente resolvido.

5.4 Cooperação. O Fornecedor deverá cooperar integralmente com a Empresa na investigação, remediação e notificação de qualquer Violação de Dados. O Fornecedor deverá arcar com todos os custos associados a uma Violação de Dados, na medida em que forem causados ​​pela violação destes Requisitos.

6. Transferências Internacionais de Dados

6.1 O Fornecedor não transferirá Dados da Empresa através de fronteiras internacionais sem o consentimento prévio por escrito da Empresa. O Fornecedor deverá especificar todos os países nos quais processará Dados da Empresa.

6.2 Quando necessário, o Fornecedor concorda em celebrar Cláusulas Contratuais Padrão (SCCs), Regras Corporativas Vinculativas (BCRs), o Adendo do Reino Unido ou qualquer outro mecanismo determinado pela Empresa para garantir transferências legais de dados.

6.3 O fornecedor deverá cumprir os requisitos locais de residência de dados, quando aplicável.

7. Auditorias e Inspeções

A Empresa, ou seu auditor terceirizado designado, terá o direito de realizar auditorias, às suas próprias custas, para verificar a conformidade do Fornecedor com estes Requisitos. O Fornecedor deverá fornecer todas as informações, documentação e acesso necessários às instalações e ao pessoal.

O Fornecedor deverá passar por certificações regulares de terceiros (por exemplo, ISO 27001, SOC 2) e/ou autoavaliações e corrigir prontamente quaisquer deficiências identificadas em auditorias ou avaliações dentro de um prazo mutuamente acordado.

8. Assistência aos direitos do titular dos dados

O Fornecedor deverá notificar a Empresa prontamente, e em nenhum caso após quarenta e oito (48) horas, sobre qualquer solicitação recebida de um Titular dos Dados para exercer seus direitos (por exemplo, acesso, retificação, exclusão, portabilidade). O Fornecedor não responderá diretamente a tais solicitações, a menos que instruído pela Empresa, e fornecerá toda a assistência necessária para permitir a resposta da Empresa.

9. Retorno e Exclusão de Dados

Após a rescisão do Contrato ou a pedido da Empresa, o Fornecedor deverá, a critério da Empresa, excluir ou devolver com segurança todos os Dados da Empresa no prazo de trinta (30) dias. O Fornecedor deverá garantir a exclusão dos backups e fornecer uma certificação por escrito dessa exclusão.

10. Categorias Especiais de Dados

10.1 Dados de saúde (HIPAA): Se o Fornecedor Processar quaisquer Informações de Saúde Protegidas (PHI), o Fornecedor reconhece que é um "Parceiro Comercial" (ou subcontratado de um Parceiro Comercial) de acordo com a HIPAA. O Fornecedor deve cumprir os requisitos da HIPAA e assinar o Contrato de Parceiro Comercial (BAA) da Empresa.

10.2 Outros Dados Sensíveis: Para projetos que envolvam Dados Pessoais Sensíveis (incluindo dados biométricos ou dados de crianças), o Fornecedor deve obter a aprovação da Empresa e aderir a protocolos de segurança e manuseio reforçados, conforme especificado pela Empresa.

11. Indenização e Responsabilidade

O Fornecedor concorda em defender, indenizar e isentar de responsabilidade a Empresa, suas afiliadas, executivos e clientes de e contra todas e quaisquer reivindicações, responsabilidades, danos, perdas, multas, penalidades e despesas (incluindo honorários advocatícios razoáveis) decorrentes ou relacionadas a qualquer violação destes Requisitos pelo Fornecedor, seus funcionários ou seus Subprocessadores.

A responsabilidade não será limitada por violações envolvendo violações de dados, multas regulatórias, má conduta intencional ou fraude.

12. Disposições gerais

12.1 Primazia. Em caso de conflito entre os termos do Contrato e estes Requisitos, estes Requisitos prevalecerão com relação à proteção de dados.

12.2 Modificação. Estes Requisitos só podem ser modificados por meio de uma alteração por escrito assinada por representantes autorizados de ambas as partes.

12.3 Sobrevivência. As obrigações relativas à confidencialidade, exclusão de dados, responsabilidade e direitos de auditoria permanecerão válidas após a rescisão do Contrato.

12.4 Lei Aplicável. Estes Requisitos serão regidos e interpretados de acordo com a lei aplicável estabelecida no Contrato.