Acordo de Tratamento de Dados Pessoais

Este Acordo de Tratamento de Dados Pessoais (“DPA” ou “Acordo”) é parte integrante do Contrato entre o Cliente e a RD Station (“Termos de Uso” ou “Contrato”) e disciplina as atividades de tratamento de dados pessoais realizadas pelas Partes no contexto da prestação dos Serviços, observados os papéis e responsabilidades de cada Parte, conforme definido neste DPA e na legislação aplicável. Exceto pelas modificações aqui previstas, o Contrato firmado entre o Cliente e a RD Station permanece inalterado e em pleno vigor. Em caso de conflito entre este DPA, o Contrato ou qualquer outro termo, prevalecerá o disposto neste DPA em matéria de proteção de dados, segurança e privacidade.

 

1. Definições

Os termos a seguir têm os seguintes significados quando utilizados neste DPA. Quaisquer termos em letras maiúsculas que não estejam definidos neste DPA terão o significado previsto nos Termos de Uso e na legislação aplicável.

Cliente: significa a pessoa física ou jurídica que concorda com a contratação e/ou utilização dos serviços oferecidos pela RD Station.

Controlador: significa a pessoa natural ou jurídica, de direito público ou privado, que determina, individualmente, as finalidades e os elementos essenciais do Tratamento de Dados Pessoais, sendo responsável pelas decisões relacionadas à operação de tratamento de dados pessoais, conforme previsto na Lei de Proteção de Dados aplicável.

Dados Pessoais do Cliente: significa os Dados Pessoais compartilhados pelo Cliente na Plataforma RD para utilização das funcionalidades dos serviços oferecidos.

Lei de Proteção de Dados: significa toda a legislação relacionada à proteção de dados e privacidade que se aplica à respectiva parte, considerando seu papel e suas atividades  durante o Tratamento de Dados Pessoais sob o escopo deste Acordo, incluindo, entre outras, as seguintes legislações: a Lei Geral de Proteção de Dados, Lei Federal nº 13.709/2018, “LGPD”; (ii) o Marco Civil da Internet (Lei Federal n° 12.965/2014) e seu decreto regulamentador (Decreto 8.771/2016); (iii) qualquer outra legislação de proteção de dados aplicável à respectiva Parte em sua função no Tratamento de Dados Pessoais.

Plataforma RD Station (“Plataforma RD”): conjunto integrado de soluções oferecidas pela RD Station, incluindo, sem se limitar, a ferramentas como RD Station Marketing, RD Station Vendas, RD Station Atendimento, RD Station para E-commerce e outras funcionalidades que podem ser acessadas pelos Clientes.

RD ou Companhia: a RD Gestão e Sistemas S.A

Suboperador: significa qualquer Operador de dados contratado pela RD para processar Dados Pessoais do Cliente.

 

Os termos “Dados Pessoais”, ‘’Titular de Dados’’, “Operador”, “Tratamento” e “Autoridade” têm os significados definidos na LGPD.

 

2. Do Tratamento

2.1. As Partes declaram que realizam o Tratamento de Dados Pessoais em conformidade com a Lei de Proteção de Dados e demais legislações aplicáveis, comprometendo-se a observar as bases legais pertinentes e a adotar medidas técnicas e organizacionais adequadas para assegurar a regularidade e a segurança do tratamento. Cada Parte será responsável pelos Tratamentos de Dados Pessoais que realizar, na qualidade de Controlador ou Operador de dados pessoais, conforme aplicável.

2.2. No âmbito deste Acordo, as Partes reconhecem e concordam que, com relação aos Dados Pessoais do Cliente, o Cliente atuará como Controlador, enquanto a RD atuará como Operadora, realizando o Tratamento dos Dados Pessoais em nome do Cliente e de acordo com as suas instruções documentadas.

2.3. O Cliente declara e garante que: a) toda e qualquer atividade de Tratamento de Dados Pessoais efetuadas na Plataforma RD são legítimas e autorizadas pela Lei de Proteção de Dados, bem como em conformidade com os Termos de Uso; b) que os Dados Pessoais inseridos na Plataforma RD foram coletados de forma legítima, com base legal adequada e de forma informada ao Titular;  c) possui o direito de transferir ou compartilhar os Dados Pessoais com a RD;  d) não fará qualquer uso indevido dos Dados Pessoais e demais informações obtidas através da Plataforma RD;  e) garantirá a confidencialidade e segurança dos dados de acesso à Plataforma RD; f) será o exclusivo responsável pela gestão de acesso de seus usuários à Plataforma RD, incluindo a concessão, configuração, monitoramento e revogação de credenciais; e  g) os envios de mensagens, comunicações ou e-mails realizados por meio da Plataforma RD observam o consentimento dos destinatários, quando aplicável, e não configuram spam, conteúdo abusivo, fraudulento, discriminatório, ilegal ou ofensivo de qualquer natureza.

2.4. Os serviços disponibilizados na Plataforma RD não são destinados, como regra, ao tratamento de Dados Pessoais Sensíveis. Recomenda-se que o Cliente não insira ou utilize esse tipo de dado na Plataforma. Caso o Cliente opte por realizar o tratamento de Dados Pessoais Sensíveis, deverá fazê-lo em conformidade com a legislação aplicável, sob sua responsabilidade, adotando as medidas necessárias para garantir a adequação desse tratamento, incluindo, quando disponíveis, utilizar a marcação de identificação dessa categoria de dados na Plataforma RD.

2.5. O Tratamento de Dados Pessoais de crianças e adolescentes deverá ser realizado em conformidade com toda a legislação aplicável sobre o tema. Quando aplicável, o Cliente deverá adotar as medidas necessárias para obtenção de consentimento de pais ou responsáveis legais, observar restrições legais para uso desses dados, implementar medidas de proteção compatíveis com o melhor interesse da criança e do adolescente.

2.6. A RD se compromete a prestar assistência razoável ao Cliente nos casos de (a) solicitação de Titular de dados; (b) realização de avaliações de impacto à proteção de dados pelo Cliente, quando exigido pegala Lei de Proteção de Dados; e (c) requisições  de autoridades em relação ao Tratamento de Dados Pessoais do Cliente.

2.7. A RD, desde já, informa que tratará os Dados Pessoais e outros dados que estejam armazenados em seus sistemas, dentro das finalidades definidas nos Termos de Uso e em conformidade com a legislação aplicável, incluindo para: (a) fornecer os  serviços ao Cliente; (b) criar backups de segurança; (c) analisar, investigar e remediar possíveis incidentes de segurança envolvendo dados pessoais, fraudes e/ou trilhas de auditorias; (d) melhorar, personalizar e/ou desenvolver funcionalidades e produtos; e (e) realizar  análises e estudos estatísticos relacionados ao desempenho e uso da Plataforma RD, prezando pela minimização, anonimização e/ou pseudonimização dos dados sempre que possível e em conformidade com a legislação aplicável. Nas hipóteses em que a RD realizar o Tratamento de Dados Pessoais para finalidades próprias, atuará como Controladora independente, sendo integralmente responsável pelos Tratamentos realizados sob sua gestão, isentando o Cliente de qualquer responsabilidade nesse sentido. O Cliente reconhece e concorda que tais Tratamentos são compatíveis, razoáveis e proporcionais à prestação dos serviços.

2.8. A RD tratará os Dados Pessoais do Cliente conforme suas instruções, em conformidade com a Lei de Proteção de Dados, e não venderá ou compartilhará essas informações a terceiros alheios à prestação de serviço ou com outro propósito que não especificados neste Acordo, nos Termos de Uso e no Aviso de Privacidade.

2.9. Caso, por qualquer motivo, o Cliente solicite à RD dados adicionais da sua conta, este declara que utilizará tais informações de forma responsável e em conformidade com a legislação aplicável. O Cliente será o único responsável por todo e qualquer Tratamento realizado com os Dados Pessoais compartilhados pela RD.

 

3. Incidente de Segurança

3.1. A RD declara que adota e mantém medidas técnicas e organizacionais aptas e adequadas para proteger os Dados Pessoais contra acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer outra forma de Tratamento inadequado ou ilícito, que comprometa a segurança, integridade, confidencialidade ou disponibilidade dos Dados Pessoais tratados no âmbito deste Acordo (“Incidente de Segurança”).

3.1.1. A RD notificará o Cliente, sem demora indevida, no prazo de até 72 (setenta e duas) horas, ao tomar conhecimento de um Incidente de Segurança relacionado aos Dados Pessoais do Cliente e, em conformidade com a Resolução CD/ANPD nº 15/24, prestará toda a assistência necessária, incluindo: (a) a adoção de medidas para mitigar os efeitos do Incidente; e (b) fornecendo todas as informações exigidas por lei ao Cliente, à medida que for tendo conhecimento. Tal notificação não constitui admissão de culpa ou responsabilidade por parte da RD. O Cliente será responsável por avaliar e decidir sobre a notificação aos Titulares ou autoridades competentes, comprometendo-se a alinhar previamente com a RD a redação das comunicações públicas ou notificações oficiais que façam referência direta à Plataforma RD ou que possam atribuir-lhe responsabilidade.

 

4. Compartilhamento de Dados Pessoais

4.1. Os Dados Pessoais não poderão ser revelados a terceiros, exceto quando o compartilhamento for necessário para o cumprimento das obrigações decorrentes deste Acordo e do Contrato, incluindo, mas não se limitando, à utilização de serviços de armazenamento em nuvem, provedores de tecnologia, plataformas de suporte técnico, outros subcontratados essenciais para a execução do objeto contratual, bem como com empresas pertencentes ao mesmo grupo econômico, suas controladas, controladoras, subsidiárias, coligadas ou sociedades em que mantinha participação, inclusive em regime de joint venture ou parceria societária. Nesses casos, o compartilhamento será realizado em conformidade com a legislação aplicável de proteção de Dados Pessoais, mediante a adoção de medidas técnicas e organizacionais adequadas para salvaguardar a confidencialidade, integridade e segurança das informações.

4.1.1. Suboperadores. O Cliente reconhece e concorda que a RD poderá recorrer a suboperadores para o Tratamento de Dados Pessoais, conforme necessário para a execução deste Acordo e do Contrato. A lista de suboperadores utilizados pela RD está disponível na página:https://www.rdstation.com/legal-e-privacidade/lista-de-suboperadores/ . O Cliente concorda em consultar a lista periodicamente para se manter informado sobre eventuais atualizações. A RD envidará esforços comercialmente razoáveis para ajustar os serviços, caso o Cliente apresente objeção fundamentada em relação a um novo suboperador.

4.1.2. Em relação à interoperabilidade entre a Plataforma RD e os produtos e sistemas TOTVS S.A., o Tratamento de Dados Pessoais dela decorrente será realizado com base em finalidades específicas e limitadas ao necessário para a execução das integrações contratadas pelo Cliente, em observância às disposições previstas neste Acordo, nas instruções do Cliente e na Lei de Proteção de Dados. As partes envolvidas no Tratamento decorrente dessas integrações terão seus papéis definidos e mantidos conforme instrumentos contratuais aplicáveis a cada solução.

 

5. Direitos dos Titulares

5.1. A RD compromete-se a notificar o Cliente, por escrito, sempre que receber qualquer solicitação de um Titular de Dados relacionada ao Tratamento de Dados Pessoais do Cliente, no âmbito deste Acordo, podendo, quando apropriado, orientar o Titular a direcionar sua solicitação aos canais de atendimento oficiais  do Cliente.

5.2. O Cliente, na qualidade de Controlador, é responsável por avaliar, decidir e atender às solicitações dos Titulares de Dados. A RD prestará assistência razoável ao Cliente no atendimento dessas solicitações, incluindo a execução de ações como acesso, correção ou exclusão de Dados Pessoais, quando tecnicamente aplicável e mediante instrução do Cliente.

 

6. Transferência Internacional


6.1. Para execução dos serviços da Plataforma RD, a RD poderá realizar transferência de dados para terceiros localizados fora do território nacional, especialmente relacionados aos serviços de armazenamento em nuvem, com data centers localizados predominantemente nos Estados Unidos.

6.1.1. Nestas hipóteses, a RD se compromete em utilizar um dos mecanismos previstos no art. 33 da LGPD, incluindo, quando aplicável, o uso das  cláusulas padrão estabelecidas pela Resolução CD/ANPD nº 19/2024.

6.2. Para transferências internacionais de dados entre o Brasil e União Europeia, aplica-se a decisão de adequação mútua adotada pela Agência Nacional de Proteção de Dados (“ANPD”) e pela Comissão Europeia, nos termos da legislação aplicável, dispensando-se a adoção de mecanismos adicionais de transferência internacional para tais  fluxos.

 

7. Auditoria


7.1. A RD declara estar ciente e autoriza, mediante prévia notificação por escrito, a condução de due diligence relativa ao programa interno de privacidade e governança de Dados Pessoais, limitada aos dados relacionados a este Acordo. O procedimento será conduzido exclusivamente de forma documental, mediante solicitação de evidências e informações específicas, observados os segredos de negócio e a confidencialidade, sem acesso físico às instalações da RD.

 

8. Exclusão e Devolução de Dados

8.1. Mediante solicitação expressa do Cliente, a qualquer tempo, ou após a rescisão contratual, a RD eliminará os Dados Pessoais do Cliente da Plataforma RD, salvo as hipóteses de conservação previstas em lei.

8.2. A devolução dos Dados Pessoais do Cliente será realizada por meio de extração diretamente na Plataforma RD, sendo o Cliente o exclusivo responsável por realizar essa extração durante a vigência contratual ou em até 60 (sessenta) dias após a rescisão do Contrato, observando-se que a exclusão automática ocorre ao final desse prazo para determinados produtos.

8.3. O Cliente declara estar ciente de que a exclusão dos Dados Pessoais do Cliente antes da rescisão contratual ou do encerramento dos serviços poderá impactar negativamente o funcionamento da Plataforma RD, incluindo a perda de funcionalidades e a remoção definitiva do histórico de dados associado à conta.

 

9. Inteligência Artificial

9.1. A RD poderá disponibilizar funcionalidades e soluções que utilizam Inteligência Artificial (“IA”) na Plataforma RD, com o objetivo de aprimorar os serviços oferecidos e melhor apoiar as estratégias do Cliente. O Cliente reconhece que os resultados gerados pelas funcionalidades de IA possuem caráter probabilístico e poderão conter imprecisões, inconsistências ou informações incompletas, cabendo ao Cliente avaliar sua adequação antes de utilizá-los em processos decisórios, operacionais ou comerciais.

9.2. A RD se compromete a adotar uma abordagem ética e responsável, com medidas técnicas destinadas à implementação das funcionalidades de IA, em conformidade com as normas de segurança da informação e proteção de dados aplicáveis e demais legislações vigentes. O Cliente reconhece que tais funcionalidades podem envolver processos de aprendizado para geração de resultados e que seu uso será feito em conformidade com as disposições legais e regulatórias aplicáveis.

9.3. O Cliente reconhece que o uso das funcionalidades de IA pode envolver o Tratamento de Dados Pessoais de sua base, sendo o Cliente responsável por: (a) avaliar a adequação do uso dessas funcionalidades à sua operação e ao perfil dos Titulares de dados envolvidos;  (b) informar os Titulares sobre o uso dessas ferramentas no Tratamento de seus dados, quando exigido pela legislação aplicável; e (c) assegurar que o Tratamento de Dados Pessoais realizado por meio das funcionalidades de IA esteja amparado por base legal adequada e válida, conforme exigido pela legislação aplicável.

9.4. O Cliente poderá optar por não utilizar as funcionalidades de IA disponibilizadas na Plataforma RD, sem prejuízo da continuidade dos demais serviços contratados.

 

10. Confidencialidade

10.1. As Partes se comprometem a manter sigilo e confidencialidade sobre todas as informações, documentos, dados e segredos de negócio eventualmente compartilhados no âmbito deste Acordo, incluindo, mas não se limitando, às informações sobre infraestrutura tecnológica, processos internos, estratégias de negócio, suboperadores e medidas de segurança adotadas. As Partes deverão: (a) utilizar tais informações exclusivamente para os fins previstos neste Acordo; (b) restringir o acesso às informações confidenciais a colaboradores e prestadores de serviço que delas necessitem para o cumprimento das obrigações aqui estabelecidas; e (c) adotar as mesmas medidas de proteção que adota para suas próprias informações confidenciais, nunca inferiores a um padrão razoável de diligência.

 

11. Responsabilização

11.1. A RD responderá apenas por episódios de violação de Dados Pessoais e/ou descumprimento da Lei de Proteção de Dados que sejam comprovadamente decorrentes de sua ação ou omissão dolosa ou culposa durante a execução deste Acordo, devendo, nessas hipóteses, indenizar o Cliente nos limites estabelecidos nos Termos de Uso da RD, desde que haja comprovação do nexo causal e do dano sofrido.

11.2. Na eventualidade de reconhecimento de responsabilidade solidária entre as Partes, cada uma responderá exclusivamente na medida de sua participação efetiva e devidamente comprovada no evento.

 

12. Disposições Gerais

12.1. Não obstante qualquer disposição em contrário nos Termos de Uso, a RD reserva-se o direito de realizar quaisquer modificações neste Acordo que sejam necessárias para cumprir com as Leis de Proteção de Dados.

12.2. A invalidade ou ineficácia de qualquer disposição deste Acordo, seja em decorrência de alteração legislativa, decisão judicial ou administrativa ou qualquer outra razão, não afetará a validade e eficácia das demais cláusulas, que permanecerão em pleno vigor.

12.3. As comunicações, notificações e solicitações referentes à proteção de dados e privacidade sob o escopo deste Acordo, deverão ser encaminhadas para a RD exclusivamente para os e-mails: privacidade@rdstation.com e dpo@rdstation.com.

12.4. Quaisquer reivindicações feitas com base neste Acordo estarão sujeitas aos termos e condições previstos nos Termos de Uso, incluindo, mas não se limitando, às exclusões e limitações de responsabilidade ali estabelecidas.

12.5. Este Acordo permanecerá em vigor durante a vigência dos Termos ou enquanto a RD estiver tratando Dados Pessoais sujeitos a este Acordo, o que for mais longo.