Acordo de Tratamento de Dados Pessoais
Este Acordo de Tratamento de Dados Pessoais (“DPA” ou “Acordo”) é parte integrante do contrato entre o Cliente e a RD Station (“Termos de Uso”), aplicando-se ao tratamento de dados pessoais regulado pela legislação aplicável de proteção de dados. Exceto pelas modificações aqui previstas, o contrato principal permanece inalterado e em pleno vigor. Em caso de conflito entre este DPA e o contrato principal, prevalecerá o disposto neste DPA em matéria de proteção de dados, segurança e privacidade.
1. Definições
Os termos a seguir têm os seguintes significados quando utilizados neste DPA. Quaisquer termos em letras maiúsculas que não estejam definidos neste DPA terão o significado previsto nos Termos de Uso e/ou na legislação aplicável.
Cliente: significa a organização que concorda com a contratação e/ou utilização dos serviços oferecidos pela RD Station.
Dados Pessoais do Cliente: significa quaisquer dados pessoais que o Cliente insere na Plataforma RD e que são processados pela RD Station.
Lei de Proteção de Dados: significa toda a legislação relacionada à proteção de dados e privacidade que se aplica à respectiva parte durante o tratamento de Dados Pessoais sob o escopo deste acordo, incluindo, sem limitação, a Lei Geral de Proteção de Dados, Lei Federal nº 13.709/2018, “LGPD”; (ii) o Marco Civil da Internet (Lei Federal n° 12.965/2014) e seu decreto regulamentador (Decreto 8.771/2016); (iii) o Regulamento 2016/679 do Parlamento Europeu e do Conselho, Regulamento Geral sobre a Proteção de Dados, “GDPR”; (iv) a Lei Federal Mexicana de Proteção de Dados Pessoais em Posse dos Particulares, Ley Federal de Protección de Datos Personales en Posesión de los Particulares, “LFPDPPP”; (v) a Lei Colombiana de Proteção de Dados, Ley Estatutaria 1581 de 2012; e (iv) qualquer outra legislação de proteção de dados aplicável à respectiva parte em sua função no tratamento de Dados Pessoais.
Plataforma RD Station (“Plataforma RD”): conjunto integrado de soluções oferecidas pela RD Station, incluindo, sem se limitar, ferramentas como RD Station Marketing, RD Station CRM, RD Station Conversas, RD Station Mentor IA, RD Station para Ecommerce e outras funcionalidades que podem ser acessadas pelos Clientes.
RD ou Companhia: a RD Gestão e Sistemas S.A
Suboperador: significa qualquer operador de dados contratado pela RD para processar Dados Pessoais do Cliente.
Os termos “controlador”, “titular dos dados”, “dados pessoais”, “violação de dados pessoais”, “operador”, “tratamento” e “autoridade supervisora” têm os significados definidos na LGPD.
2. Do Tratamento
2.1. As Partes declaram que conduzem suas atividades em conformidade com a Lei de Proteção de Dados aplicável, comprometendo-se a realizar o tratamento de Dados Pessoais com base nas hipóteses legais previstas na referida legislação, bem como adotar todas as medidas necessárias para garantir que o tratamento de Dados Pessoais ocorram em estrita conformidade com a LGPD e/ou demais legislações de proteção de dados pessoais aplicáveis. Cada Parte será responsável pelos tratamentos de Dados Pessoais que realizar, seja na qualidade de Controladora ou de Operadora.
2.2. No âmbito deste Acordo, as Partes reconhecem e concordam que, com relação aos Dados Pessoais do Cliente, o Cliente atuará como Controlador, enquanto a RD atuará como Operadora, realizando o tratamento dos dados pessoais em nome do Cliente e de acordo com as suas instruções documentadas.
2.3. O Cliente declara e garante que: a) toda e qualquer atividade de tratamento de dados pessoais efetuadas na Plataforma RD são legítimas e autorizadas pela Lei de Proteção de Dados, bem como em conformidade com os Termos de Uso; b) que os dados inseridos na Plataforma RD foram coletados de forma lícita, legítima, com base legal adequada e de forma informada ao titular; c) possui o direito de transferir ou compartilhar os Dados Pessoais com a RD; d) não divulgará, cederá, transferirá, compartilhará ou fará qualquer uso indevido dos dados pessoais e demais informações obtidas através da Plataforma RD; e) garantirá a confidencialidade e segurança dos dados de acesso à Plataforma RD; e f) os envios de mensagens, comunicações ou e-mails realizados por meio da Plataforma RD observam o consentimento dos destinatários, quando aplicável, e não configuram spam, conteúdo abusivo, fraudulento, discriminatório, ilegal ou ofensivo de qualquer natureza.
2.4. Os serviços previstos na Plataforma RD não incluem o tratamento de Dados Pessoais Sensíveis. É vedado ao Cliente inserir ou utilizar Dados Pessoais Sensíveis na Plataforma RD, sendo o Cliente exclusivamente e integralmente responsável perante a RD, os titulares dos dados e terceiros pelo eventual tratamento indevido desses dados.
2.5. A RD se compromete a prestar assistência razoável ao Cliente nos casos de (a) solicitação de titular de dados; (b) realização de avaliações de impacto à proteção de dados pelo Cliente, quando exigido pela Lei de Proteção de Dados; e (c) quando exigido, auxiliar o Cliente em consultas com autoridades reguladoras em relação ao tratamento de Dados Pessoais do Cliente.
2.6. A RD, desde já, informa que tratará os dados pessoais e outros dados que estejam armazenados em seus sistemas, dentro das finalidades definidas nos Termos de Uso e em conformidade com a legislação aplicável, incluindo para: a) fornecer os Serviços ao Cliente e conforme suas instruções; b) criação de backup de segurança; c) análise e investigação de possíveis incidentes de segurança envolvendo dados pessoais, fraudes e/ou trilhas de auditorias; d) melhoria, personalização e/ou desenvolvimento de funcionalidades e produtos; e e) realização de análises e estudos estatísticos relacionados ao desempenho e uso da Plataforma RD, prezando pela minimização, anonimização e/ou pseudonimização dos dados sempre que possível e em conformidade com a legislação aplicável. Nas hipóteses em que a RD realizar o tratamento de dados pessoais para finalidades próprias, atuará como Controladora independente, sendo integralmente responsável pelos tratamentos realizados sob sua gestão, isentando o Cliente de qualquer responsabilidade nesse sentido. O Cliente reconhece e concorda que tais tratamentos são compatíveis, razoáveis e proporcionais à prestação dos serviços.
2.7. A RD tratará os Dados Pessoais do Cliente conforme suas instruções, em conformidade com a Lei de Proteção de Dados e não venderá ou compartilhará essas informações a terceiros alheios à prestação de serviço ou com outro propósito que não especificados neste Acordo, nos Termos de Uso e/ou no Aviso de Privacidade, salvo quando exigido ou permitido por lei.
2.8. Caso, por qualquer motivo, o Cliente solicite que a RD compartilhe dados da sua conta, este declara que utilizará tais informações de forma responsável e em conformidade com a legislação aplicável. O Cliente será o único e integralmente responsável por todo e qualquer tratamento realizado com os Dados Pessoais compartilhados pela RD.
3. Incidente de Segurança
3.1. A RD declara que adota e mantém medidas técnicas e organizacionais aptas e adequadas para proteger os Dados Pessoais contra acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito, que comprometa a segurança, integridade, confidencialidade ou disponibilidade dos Dados Pessoais tratados no âmbito deste Acordo (“Incidente de Segurança”).
3.1.1. A RD notificará o Cliente, sem demora indevida, ao tomar conhecimento de um Incidente de Segurança relacionado aos Dados Pessoais do Cliente, e prestará toda a assistência necessária, incluindo: (a) a adoção de medidas razoáveis para mitigar os efeitos do Incidente; e (b) fornecendo as informações exigidas por lei ao Cliente. Tal notificação não constitui admissão de culpa ou responsabilidade por parte da RD. O Cliente é o único responsável por decidir sobre a notificação aos Titulares ou autoridades, mas se compromete a coordenar previamente com a RD a redação das comunicações públicas ou notificações oficiais referentes ao Incidente notificado pela RD.
3.1.2. O Cliente deverá notificar a RD, de forma célere e por escrito, sempre que identificar ou suspeitar da ocorrência de um Incidente de Segurança relacionado à Plataforma RD ou aos serviços sob o escopo deste Acordo. A notificação deverá ser enviada para privacidade@rdstation.com e dpo@rdstation.com.
4. Compartilhamento
4.1. A RD poderá compartilhar Dados Pessoais do Cliente com fornecedores, parceiros, empresas afiliadas à RD, unidades de negócios e a empresa matriz TOTVS, sempre que tal compartilhamento for essencial para a prestação dos Serviços contratados e/ou para a viabilidade operacional da RD. Esse compartilhamento será realizado em observância aos princípios da legislação aplicável, de forma transparente e limitada ao mínimo necessário para o cumprimento das finalidades previstas nos Termos de Uso e neste Acordo.
4.1.1. Suboperadores. O Cliente reconhece e concorda que a RD poderá recorrer a suboperadores para o tratamento de Dados Pessoais, conforme necessário para a execução deste Acordo e dos serviços. A lista de suboperadores utilizados pela RD está disponível na página: https://www.rdstation.com/legal-e-privacidade/. O Cliente concorda em consultar a lista periodicamente para se manter informado sobre eventuais atualizações. A RD envidará esforços comercialmente razoáveis para ajustar os Serviços, caso o Cliente apresente objeção fundamentada em relação a um novo suboperador.
5. Direitos dos Titulares
5.1. O Cliente, na qualidade de controlador, é responsável por tomar decisões referentes ao tratamento de Dados Pessoais do Cliente. Cabendo a ele, o dever de atender e/ou tomar as decisões acerca das solicitações dos Titulares de Dados.
5.2. A RD compromete-se a notificar o Cliente sempre que receber qualquer solicitação de um Titular de Dados ou de uma autoridade competente relacionada ao tratamento de Dados Pessoais do Cliente abrangidos por este Acordo.
6. Transferência Internacional
6.1. Para execução dos serviços da Plataforma RD, a RD poderá realizar transferência de dados para terceiros localizados fora do território nacional, especialmente relacionados aos serviços de armazenamento em nuvem, com data centers localizados predominantemente nos Estados Unidos.
6.1.1. Nestas hipóteses, as Partes concordam em cumprir integralmente as cláusulas padrões estabelecidas na Resolução CD/ANPD nº 19/2024, disponíveis em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-19-de-23-de-agosto-de-2024-580095396, sem quaisquer modificações ou adaptações, conforme determinado pela autoridade.
6.1.2. As cláusulas padrão acima mencionadas, deverão considerar que: (i) na cláusula 1.1. o Cliente será Controlador-Exportador e a RD Importador-Operador; (ii) na cláusula 2.1, a finalidade será a prestação de serviços ao Cliente, a categoria será de dados pessoais comuns, sem envolver dados pessoais sensíveis, e o período de armazenamento será durante a vigência do contrato, podendo manter por período adicional em caso de obrigação legal, exercício regular de direitos e/ou legítimo interesse; (iii) na cláusula 3 será aplicável a opção B, desde que seguindo as finalidades e demais disposições do item 2.1.; (iv) na cláusula 4 será aplicável a opção A, sendo de responsabilidade do Cliente o cumprimento das alíneas “a” à “c”; e (v) na seção III, será aplicável a seguinte cláusula: As Partes comprometem-se a implementar um programa de governança em proteção de dados, incluindo a adoção de medidas técnicas adequadas para garantir a segurança dos dados pessoais, incluindo, sempre que possível e aplicável, mas não se limitando a: (a) Criptografia dos dados; (b) Implementação de controles de acesso; e (c) Monitoramento contínuo de ameaças.
6.1.3. Nos casos em que o GDPR for a legislação aplicável, aplicam-se as as Cláusulas Contratuais Padrão da UE (“EU SCCs”), disponíveis em: https://eur-lex.europa.eu/eli/dec_impl/2021/914, que farão parte do Acordo da seguinte forma: (i) O Módulo 2 será aplicável em decorrência da transferência de Dados do Cliente para a RD; (ii) na Cláusula 7, a cláusula de encaixe opcional não se aplica; (iii) na Cláusula 9, a Opção 2 se aplica e as alterações nos subprocessadores serão informadas de acordo com a seção 2.9.1. deste DPA; (iv) na Cláusula 10, será aplicável o módulo 2; (v) na Cláusula 11, o texto opcional não será aplicável; (v) nas Cláusulas 17 e 18, as partes concordam que a lei aplicável e o foro para disputas para as Cláusulas Contratuais Padrão serão a determina em contrato; e (vi); a autoridade supervisora que atuará como autoridade supervisora competente será determinada de acordo com o GDPR;
7. Auditoria
7.1. Conforme exigido pela Lei de Proteção de Dados, a RD se compromete a, sempre que solicitado pelo Cliente e desde que razoável e viável, no máximo uma vez ao ano, fornecer informações, relatórios, documentos, certificações ou outras evidências que demonstrem seu nível de maturidade em segurança e proteção de dados em conformidade com este Acordo. Tal disponibilização poderá estar sujeita a termos de confidencialidade e deverá respeitar limites legais e contratuais aplicáveis.
8. Exclusão e Devolução de Dados
8.1. Mediante solicitação expressa do Cliente, a qualquer tempo ou após a rescisão contratual, a RD eliminará os Dados Pessoais do Cliente da Plataforma RD, salvo as hipóteses de conservação previstas em lei. O Cliente, também, tem o direito de solicitar à RD, a devolução dos Dados Pessoais do Cliente após a rescisão do contrato no prazo de até 60 dias do término da relação contratual.
8.1.1. O Cliente declara estar ciente de que a exclusão dos Dados Pessoais do Cliente antes da rescisão contratual ou do encerramento dos serviços poderá impactar negativamente o funcionamento da Plataforma RD, incluindo a perda de funcionalidades e a remoção definitiva do histórico de dados associado à conta.
9. Inteligência Artificial
9.1. A RD poderá disponibilizar funcionalidades e soluções em seus sistemas que utilizam Inteligência Artificial, com o objetivo de oferecer ao Cliente a possibilidade de utilizar ferramentas inovadores e eficazes na execução de suas estratégias. Em todos os casos, a RD se compromete a adotar uma abordagem responsável e ética na implementação da Inteligência Artificial (“IA”), em estrita conformidade com as normas de segurança da informação, bem como aquelas relacionadas à privacidade e proteção de dados.
10. Disposições Gerais
10.1. Não obstante qualquer disposição em contrário nos Termos de Uso, a RD reserva-se o direito de realizar quaisquer modificações neste Acordo que sejam necessárias para cumprir com as Leis de Proteção de Dados.
10.2. As comunicações, notificações e solicitações referentes à proteção de dados e privacidade sob o escopo deste Acordo, deverão ser encaminhadas para a RD exclusivamente para os e-mails: privacidade@rdstation.com e dpo@rdstation.com.
10.3. Quaisquer reivindicações feitas com base neste Acordo estarão sujeitas aos termos e condições previstos nos Termos de Uso, incluindo, mas não se limitando, às exclusões e limitações de responsabilidade ali estabelecidas.
10.4. Este Acordo permanecerá em vigor durante a vigência dos Termos ou enquanto a RD estiver tratando dados pessoais sujeitos a este Acordo, o que for mais longo.