Esta Política de Tratamento de Dados Pessoais (LGPD) – Gerenciamento de Terceiros (“Política”) se aplica ao Tratamento de Dados Pessoais (conforme definido abaixo) realizado em razão de relações contratuais e integra o(s) “Contrato(s)” para todos os fins de direito.
- DEFINIÇÕES
1.1. Neste Termo, os seguintes termos terão os significados definidos abaixo:
1.1.1. “Leis e Regulamentos de Proteção de Dados” significam qualquer lei de regulação, incluindo qualquer decisão publicada por qualquer Autoridade Fiscalizadora competente, aplicável ao Tratamento de Dados Pessoais da BorgWarner;
1.1.2. “LGPD” significa a Lei n° 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados, e suas alterações posteriores);
1.1.3. “Política de Segurança da Informação” significa a Política de Segurança da Informação da Carrantos;
1.1.4. “Dados Pessoais da CARRANTOS” significam qualquer Dado Pessoal Tratado pelo Terceiro ou Operador, nos termos de ou em relação com o Contrato;
1.1.5. “Terceiro” significa parceiro comercial pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais da Carrantos;
1.1.6. “Serviços” significam os serviços e outras atividades ou produtos que serão realizados ou fornecidos pelo, ou em nome do Terceiro para a Carrantos, nos termos do Contrato;
1.1.7. “Operador” significa a pessoa natural ou jurídica integrante que, em nome do Terceiro, irá tratar os Dados Pessoais, nos termos do Contrato;
1.1.8. “Tratamento” (incluindo os termos correlatos tratar, tratados, etc) significa toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
1.1.9. “Colobador(es)” significa qualquer empregado, funcionário, inclusive subcontratados ou terceirizados, representantes ou prepostos, remunerado ou sem remuneração, em regime integral ou parcial, que atue em nome das Partes e que tenha acesso aos Dados Pessoais;
1.1.10. “Autoridades Fiscalizadoras” significa qualquer autoridade, inclusive judicial, competente para fiscalizar, julgar e aplicar a legislação pertinente, incluindo, mas não se limitando, à ANPD;
1.1.11. “ANPD” significa a Autoridade Nacional de Proteção de Dados no Brasil, conforme definido na LGPD.
1.2. Os termos “Controlador”, “Titular”, “Dado Pessoal”, “Incidente de Segurança” e “Relatório de Impacto a Proteção de Dados Pessoais” devem ter o significado previsto na LGPD.
1.3. Quaisquer obrigações deste Termo que façam referência às exigências presentes apenas na LGPD passarão a valer com a entrada em vigor da LGPD.
2 – TRATAMENTO DE DADOS PESSOAIS DA CARRANTOS
2.1. O Terceiro deve:
2.1.1. Cumprir todas as Leis e Regulamentos de Proteção de Dados aplicáveis no Tratamento de Dados Pessoais da Carrantos;
2.1.2. O Terceiro apenas poderá utilizar os Dados Pessoais da Carrantos no que for estritamente necessário para cumprir o Contrato e para a prestação dos Serviços;
2.1.3. Garantir, quando a prestação dos Serviços implicar no Tratamento de Dados Pessoais, o enquadramento do Tratamento em alguma das bases legais previstas na LGPD;
2.1.4. Assegurar o cumprimento da legislação e da regulamentação em vigor, mas não se limitando, à LGPD, bem como quaisquer outras normas aplicáveis que durante sua vigência;
2.1.5. Registrar e reter por um período mínimo de 3 (três) anos após o término ou rescisão do Contrato, o aviso de término e, quando aplicável, o consentimento por escrito, eletrônico ou verbal, obtido de cada indivíduo, a menos que o aviso deva ser retido por mais tempo por motivos específicos como, por exemplo, cumprimento de obrigação legal ou regulatória. O Terceiro fornecerá tais registros à Carrantos mediante solicitação e após o término ou rescisão do Contrato;
2.1.6. Garantir que o tratamento seja limitado às atividades necessárias para o atingimento das finalidades contratuais, sendo vedado o Tratamento posterior ou em excesso, exceto em casos específicos de cumprimento de obrigação regulatória ou determinação legal, hipótese em que o Terceiro passará a ser o único responsável pelo Tratamento de Dados Pessoais para tal finalidade. As Partes acordam que, para efeito desta Política, os dados serão apenas aqueles estritamente necessários para cumprir o Contrato e para a prestação dos Serviços;
2.1.7. Cooperar com a Carrantos no cumprimento das obrigações referentes ao exercício dos direitos dos Titulares previstos na LGPD e também no atendimento a eventuais solicitações de Autoridades Fiscalizadoras; e
2.1.8. Notificar imediatamente a Carrantos em caso de qualquer alteração relacionada à segurança, privacidade e/ou práticas relacionadas aos Dados Pessoais da Carrantos.
2.2. É vedado ao Terceiro e ao Operador:
2.2.1. Copiar, transferir, duplicar, ou realizar qualquer ação que vise à criação de um novo banco de dados contendo os Dados Pessoais da Carrantos em desacordo com as finalidades indicadas no Contrato;
2.2.2. Utilizar qualquer tipo de ferramenta, tecnologia, engenharia reversa ou qualquer outro método que vise identificar os Titulares dos Dados Pessoais, nos casos em que a Carrantos tenha compartilhado os Dados Pessoais da Carrantos de forma a não ser possível a identificação direta dos Titulares sem que haja o cruzamento com outras informações ou com o acesso à chave de identificação;
2.2.3. Anonimizar os Dados Pessoais da Carrantos que foram disponibilizados ao Terceiro ou ao Operador no contexto do Contrato e utilizá-los, de forma anonimizada, para outras finalidades que não previstas no Contrato.
3 – DOS COLABORADORES DO TERCEIRO:
3.1. O Terceiro deve garantir a confiabilidade de qualquer Colaborador ou qualquer Operador que possa ter acesso aos Dados Pessoais da Carrantos, incluindo verificação de sua idoneidade, competência e antecedentes.
3.2. O Terceiro deverá assegurar que o acesso e o tratamento dos dados pessoais da Carrantos fiquem restritos aos Colaboradores que precisam efetivamente tratá-los, com o objetivo único de alcançar as finalidades definidas na cláusula 2.1.2 desta Política, bem como que tais Colaboradores:
3.2.1 Tenham recebido treinamentos referentes aos princípios da proteção de dados e às leis que envolvem o tratamento; e
3.2.2 Tenham conhecimento das obrigações do Terceiro, incluindo as obrigações da presente Política.
3.3. O Terceiro deverá assegurar que todos os Colaboradores estejam sujeitos a contratos de sigilo ou obrigações profissionais ou estatutárias de confidencialidade e proteção de dados.
4 – SEGURANÇA
4.1. Segurança de Dados Pessoais:
4.1.1. O Terceiro implementará medidas técnicas, administrativas e organizacionais adequadas, de modo a garantir um nível de segurança aos Dados Pessoais da Carrantos e mitigar possíveis riscos. Ao avaliar o nível apropriado de segurança, o Terceiro deverá levar em conta os riscos que são apresentados pelo Tratamento, em particular aqueles relacionados a Incidentes de Segurança.
4.1.2. O Terceiro deverá realizar testes e avaliações em regularidade suficiente à comprovação da efetividade das medidas técnicas, administrativas e organizacionais para assegurar a segurança dos processos que envolvam o Tratamento dos Dados Pessoais da Carrantos.
5 – OPERADOR
5.1. O Terceiro não poderá: (i) licenciar; (ii) autorizar o Tratamento; (iii) transferir; (iv) compartilhar; (v) ceder; (vi) vender; e/ou (vii) terceirizar o tratamento das informações, incluindo Dados Pessoais da Carrantos, salvo expressa autorização por escrito da finalidade distinta da prevista no Contrato e nesta Política.
5.2. Quando a Carrantos autorizar a contratação de um Operador, o Terceiro deverá:
5.2.1 Preservar a integridade e precisão dos Dados Pessoais da Carrantos, devendo atualizar, corrigir ou deletar tais dados a pedido da Carrantos;
5.2.2 Verificar, por meio de “due dilligence” ou procedimento equivalente, que cada Operador tenha condições de assegurar a capacidade deles em garantir um nível de proteção de dados pessoais igual a esta Política e providenciar evidências dessa verificação para a Carrantos;
5.2.3 Celebrar, por escrito, um contrato com cada Operador, cujo teor deverá incluir disposições com, no mínimo, o mesmo nível de proteção de dados pessoais desta Política;
5.2.4 Ser responsável por todas as ações e omissões do Operador em relação ao tratamento de Dados Pessoais da Carrantos;
5.2.5 Manter e apresentar para a Carrantos, sempre que solicitado, cópia dos contratos firmados entre o Terceiro e Operador, devidamente assinados; e
5.2.6 Assegurar que cada Operador cumpra com as obrigações previstas nesta Política, sobretudo nas Cláusulas 2.1, 3, 4, 7.1, 8, 9, e 10.1, conforme se apliquem ao Tratamento dos Dados Pessoais da Carrantos realizado por esse Operador, como se ele fosse parte desta Política no lugar da Carrantos.
5.3. Caso a Carrantos autorize, de acordo com esta Política, o Terceiro poderá contratar o(s) Operador(es) para as atividades de Tratamento relacionadas ao Contrato, devendo o Operador comprovar os requisitos exigidos pela cláusula 5.2 acima.
6 – TRANFERÊNCIA INTERNACIONAL DE DADOS
6.1. As transferências de Dados Pessoais da Carrantos pelo Terceiro para outro país, ou seja, um país diferente daquele em que os Dados Pessoais são disponibilizados ao Terceiro, será permitida mediante prévia e expressa autorização da Carrantos.
6.2. Caso a Carrantos autorize a transferência internacional dos Dados Pessoais da Carrantos, e caso o país que receberá os Dados Pessoais da Carrantos não possua nível adequado de proteção de Dados Pessoais conforme determinações da ANPD, o Terceiro deverá, previamente à transferência, estabelecer, por escrito, em conjunto com a Carrantos qual mecanismo será utilizado para garantir a legalidade da transferência Internacional de Dados Pessoais da Carrantos, segundo as regras constantes na LGPD e normativos emitidos pela ANPD.
7 – DIREITOS DO TITULAR
7.1. Levando em consideração a natureza do Tratamento, o Terceiro deve auxiliar a Carrantos implementando medidas técnicas, administrativas e organizacionais apropriadas, para o cumprimento das obrigações da Carrantos de responder às solicitações de exercício dos direitos dos Titulares dos Dados sob as Leis e Regulamentos de Proteção de Dados.
7.2. A Contratada deve:
7.2.1. Notificar imediatamente a Carrantos se ela receber uma solicitação de um Titular de Dados, sob as Leis e Regulamentos de Proteção de Dados, a respeito dos Dados Pessoais da Carrantos; e
7.2.2. Não responder nenhuma solicitação em relação aos Dados Pessoais da Carrantos, exceto nas instruções documentadas da Carrantos ou conforme exigido pelas Leis e Regulamentos de Proteção de Dados aos quais o Terceiro esteja sujeito. O Terceiro deverá notificar os Titulares afetados e a ANPD tão somente mediante a solicitação por escrito da Carrantos, conforme procedimento disposto nesta cláusula.
8 – INCIDENTE DE SEGURAÇA
8.1. Quando o Terceiro identificar ou suspeitar da ocorrência de um Incidente de Segurança deverá notificar a Carrantos imediatamente e por escrito, com informações suficientes (descrição do ocorrido, data, motivo, possíveis impactos dos titulares de Dados Pessoais da Contratante, mitigação dos riscos, entre outros) para a Carrantos cumprir com as exigências impostas pelas Leis e Regulamentos de Proteção de Dados.
8.2. O Terceiro, além de enviar a notificação, deverá apresentar em até 48 (quarenta e oito) horas um plano de resposta ao Incidente de Segurança para aprovação da Carrantos.
8.3. O Terceiro, com suas próprias despesas, investigará as causas e as consequências do Incidente de Segurança e tomará as medidas necessárias para remediar suas consequências, informando prontamente a Carrantos de todas as ações tomadas.
8.4. O Terceiro deverá manter um registro dos Incidentes de Segurança, contendo pelo menos (a) descrição da natureza do Incidente de Segurança, (b) descrição das consequências do Incidente de Segurança e (c) descrição das medidas tomadas ou propostas pelo Terceiro para tratar do Incidente de Segurança.
8.5. O Terceiro e/ou Operador não divulgará qualquer informação sobre o Incidente de Segurança, a menos que seja expressamente autorizado a fazê-lo pela Carrantos.
9 – RELATÓRIOS DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS E SOLICITAÇÃO DE INFORMAÇÕES
9.1. O Terceiro deve auxiliar a Carrantos com a elaboração de quaisquer relatórios de impacto à proteção de dados pessoais e respostas a consultas ou outras demandas oriundas das Autoridades Fiscalizadoras ou outras autoridades competentes, exclusivamente em relação ao Tratamento de Dados Pessoais da Carrantos e levando em conta a natureza do Tratamento e informações disponíveis para o Terceiro e/ou Operador.
10 – EXCLUSÃO E DEVOLUÇÃO DOS DADOS PESSOAIS DA CONTRATANTE
10.1. O Terceiro deverá, quando do término de quaisquer Serviços (“Data do Término”) envolvendo o Tratamento de Dados Pessoais da Carrantos, prontamente interromper o tratamento dos Dados Pessoais do Terceiro e, em no mínimo 15 (quinze) e no máximo 30 (trinta) dias e, sob instruções da Carrantos e na medida do determinado pela Carrantos, eliminar completamente os Dados Pessoais e todas as cópias porventura existentes (seja em formato digital ou físico) a não ser que o Terceiro tenha que manter os dados para cumprimento de obrigação legal.
10.2. A Carrantos poderá, a seu exclusivo critério, mediante notificação por escrito ao Terceiro, dentro de 10 (dez) dias corridos da Data do Término, exigir que o Terceiro: (a) devolva à Carrantos uma cópia completa de todos os Dados Pessoais da Carrantos, mediante transferência segura e em formato interoperável ou proprietário da Carrantos e; e (b) excluir e assegurar a exclusão de todas as outras cópias dos Dados Pessoais da Carrantos Tratados por qualquer Operador.
10.3. O Terceiro e cada Operador somente podem reter Dados Pessoais da Carrantos na estrita medida e pelo período exigidos pelas Leis e Regulamentos de Proteção de Dados, assegurando em todos os casos a confidencialidade de todos os Dados Pessoais da Carrantos e que essa retenção ocorra exclusivamente conforme necessário para atingir o(s) objetivo(s) especificado(s) nas Leis e Regulamentos de Proteção de Dados e para nenhuma outra finalidade.
10.4. O Terceiro e cada Operador deverão fornecer certificação por escrito para a Carrantos de que cumpriram integralmente esta seção, dentro de 10 (dez) dias corridos da Data do Término.
11 – DIREITO DE AUDITORIA
11.1. O Terceiro concorda que a Carrantos terá o direito, a qualquer momento, durante a vigência do Contrato e/ou durante todo o período em que o Terceiro e/ou o Operador retiver os Dados Pessoais da Carrantos, de realizar uma avaliação interna ou auditoria para confirmar que o Terceiro e/ou Operador está agindo em conformidade com esta Política, mediante notificação do Terceiro com 15 (quinze) dias úteis de antecedência.
11.2. O Terceiro deve notificar imediatamente a Carrantos, assim que tomar conhecimento, de: (a) qualquer investigação ou apreensão de Dados Pessoais da Carrantos por oficiais do governo ou qualquer indicação específica de que tal investigação ou apreensão seja iminente; (b) quaisquer outros pedidos provenientes desses funcionários públicos e (c) qualquer informação que seja relevante em relação ao tratamento de Dados Pessoais da Carrantos.
11.3. O Terceiro deverá disponibilizar, a qualquer momento, todas as informações necessárias para demonstrar conformidade com esta Política e com o Contrato, e deverá permitir e contribuir com auditorias, incluindo verificações e inspeções periódicas, pela Carrantos ou por auditor enviado pela Carrantos, em relação ao Tratamento dos Dados Pessoais da Carrantos pelo Terceiro. No caso de quaisquer problemas de segurança encontrados durante tais auditorias, o Terceiro deverá tomar, às suas próprias custas, todas as ações necessárias para resolver os problemas mencionados.
11.4. O Terceiro deverá providenciar, às suas custas, informações necessárias para demonstrar a conformidade do Operador com esta Política.
11.5. A Carrantos terá o direito de notificar o Terceiro e/ou Operador sobre qualquer possível risco de eventual ocorrência de Incidente de Segurança ou descumprimento com quaisquer Leis e Regulamentos de Proteção de Dados que constatar em sua auditoria, devendo o Terceiro e/ou o Operador, em até 30 (trinta) dias corridos, tomar as medidas necessárias, informando a Carrantos que poderá, a seu critério, realizar nova auditoria. Caso o resultado não seja satisfatório, a Carrantos terá o direito de rescindir o Contrato e receber indenização, conforme previsto na Cláusula 12.
12 – INDENIZAÇÃO
12.1. O Terceiro deverá indenizar, defender e isentar a Carrantos contra toda e qualquer responsabilidade, perda, reivindicação, dano, multa, penalidade, despesa (incluindo, sem limitação, multas, indenização por danos, custos dos esforços de reparação, além de honorários advocatícios e custos decorrentes de/ou relacionados a qualquer ação, reivindicação ou alegação de terceiros – incluindo, sem limitação, qualquer autoridade reguladora ou governamental) que decorrer do não cumprimento desta Política e/ou não cumprimento das Leis e Regulamentos de Proteção de Dados.
12.2. Caso a ANPD impute sanções para a Carrantos, relacionada a este Termo, e for constatada culpa, dolo ou outro elemento de responsabilidade do Terceiro e/ou Operador, estes deverão arcar com a penalidade financeira – quando for o caso – e/ou indenizar a Carrantos, inclusive pelos danos reputacionais experimentados. O dever de indenizar do Terceiro será medido à extensão de sua responsabilidade, devidamente comprovada.
13 – RESPONSABILIDADE
13.1. As obrigações de indenização do Terceiro de acordo com a Cláusula 12 serão adicionais a qualquer indenização ou obrigações similares que o Terceiro possa ter no Contrato, incluindo, sem limitação, a obrigação de pagar pelos esforços de reparação, conforme disposto nas hipóteses da Cláusula 12. Os direitos da Carrantos previstos nesta Política não estarão sujeitos a nenhuma limitação de ações, disposições de arbitragem ou quaisquer outras cláusulas limitativas similares estabelecidas no Contrato.
13.2. Fica ainda estabelecido que: (i) não deverá haver nenhuma limitação de responsabilidade do Terceiro decorrente desta Política ou de outra forma relacionada à privacidade, segurança, integridade ou confidencialidade dos Dados Pessoais da Carrantos; (ii) a Carrantos não deve ser impedida de exercer imediatamente quaisquer direitos que possa ter em relação a esta Política; e (iii) o Terceiro será responsável por todas as obrigações de indenização nos termos da Cláusula 12, além do reembolso de custos e despesas que a Carrantos tiver em relação a essas obrigações.
14 – TERMOS GERAIS
14.1. Sem prejuízo de eventuais disposições sobre mediação e jurisdição:
14.1.1. As Partes se submetem à escolha da jurisdição estipulada no Contrato com relação a quaisquer disputas ou reivindicações, de qualquer forma, decorrentes desta Política, incluindo disputas relativas à sua existência, validade ou rescisão ou as consequências de sua nulidade;
14.1.2. Esta Política e todas as obrigações extracontratuais ou outras decorrentes ou relacionadas a ele são regidas pelas leis do país ou território estipulado para este fim no Contrato.
14.2. Nada nesta Política reduz as obrigações do Terceiro nos termos do Contrato em relação à proteção de Dados Pessoais ou permite que o Terceiro trate (ou permita o tratamento de) Dados Pessoais de uma forma que seja proibida pelo Contrato.
14.3. As disposições desta Política prevalecerão sobre quaisquer inconsistências entre ela e quaisquer outros acordos entre as Partes, incluindo o Contrato, salvo quando o documento, expressamente assinado pelas Partes, declare a subsidiariedade da Política.
14.4. A Carrantos reserva o direito de alterar ou modificar esta política a qualquer momento para garantir a conformidade com a Lei Geral de Proteção de Dados nº 13.709, de 14 de agosto de 2018.
14.5. As Partes deverão discutir prontamente as variações propostas e negociar de boa fé, de modo a implementar alterações que atendam às mudanças nas Leis e Regulamentos de Proteção de Dados, tão logo seja razoavelmente factível.
14.6. Esta Política continuará obrigando as partes, mesmo após a rescisão do Contrato, com relação ao tratamento dos Dados Pessoais da Carrantos, enquanto houver atividades de tratamento sendo realizadas.
14.7. A Carrantos reserva o direito de alterar ou modificar esta política a qualquer momento para garantir a conformidade com a Lei Geral de Proteção de Dados nº 13.709, de 14 de agosto de 2018.
14.8. Se você tiver dúvidas, preocupações em relação a esta política ou questões de proteção de dados em geral, entre em contato:
I)Enviando um e-mail para protecaodedados@carrantos.com.br ;
II) Entrando em contato conosco por correspondência remetida à Carrantos, localizada na Rua Piza e Almeida, nº 751, Centro na cidade de Itatiba, estado de São Paulo, CEP: 13.250-17