Adendo ao Processamento de Dados
Última atualização: 1º de junho de 2023
Este Adendo ao Processamento de Dados (“DPA”) faz parte do contrato (“Contrato”) entre a entidade RX e o expositor, patrocinador ou outra parte (cada um deles, uma “Parte”) especificada no Contrato no qual este DPA é mencionado.
1. Definições
1.1 “Leis de Proteção de Dados” significa todas as leis, regras, regulamentos, decretos, ordens e outras exigências governamentais aplicáveis à privacidade e à proteção de dados.
1.2 Os termos “controlador”, “titular dos dados”, “dados pessoais” e “processamento” terão os mesmos significados atribuídos a eles nas Leis de Proteção de Dados e, quando estas leis fizerem uso de termos equivalentes ou correspondentes, como “informações pessoais” em vez de “dados pessoais”, eles terão, neste documento, os mesmos significados.
2. Âmbito
2.1 Este DPA se aplica ao processamento de dados pessoais que cada Parte recebe da outra e, se for o caso, de suas afiliadas nos termos do Contrato.
2.2 O objeto do processamento são os dados pessoais fornecidos no que se refere à exposição e aos serviços relacionados no âmbito do Contrato. A duração do processamento é a duração da prestação dos serviços sob o Contrato até o descarte dos dados pessoais definidos no Contrato. A natureza e a finalidade do processamento estão relacionadas à prestação dos serviços previstos no Contrato. Os tipos de dados pessoais processados são aqueles processados nos termos do Contrato. As categorias de titulares de dados são aquelas cujos dados pessoais são processados nos termos do Contrato.
3. Direitos e Restrições
3.1 Cada Parte determina de modo independente as finalidades e os meios de seu processamento de dados pessoais e, portanto, cada Parte é um controlador independente dos dados pessoais. As Partes não processam e não processarão os dados pessoais como controladores conjuntos.
3.2 Cada Parte cumprirá suas obrigações de acordo com as Leis de Proteção de Dados e será individual e separadamente responsável pelo seu cumprimento. Nada neste DPA modificará quaisquer restrições aplicáveis aos direitos de cada Parte de usar ou processar os dados pessoais previstos no Contrato.
4. Assistência
4.1 Cada Parte cooperará e auxiliará a outra conforme razoavelmente necessário para permitir que a outra Parte cumpra suas obrigações de acordo com as Leis de Proteção de Dados, levando em consideração a natureza do processamento e as informações disponíveis para a Parte.
5. Transferência internacional
5.1 Cada Parte garantirá que, uma vez que quaisquer dados pessoais sejam transferidos por ela para outro país, essa transferência estará sujeita a salvaguardas apropriadas que proporcionem um nível adequado de proteção em respeito às Leis de Proteção de Dados.
6. Termos específicos da jurisdição
6.1 Na medida em que qualquer uma das Partes estiver processando dados pessoais originários ou sujeitos às Leis de Proteção de Dados de qualquer uma das jurisdições listadas abaixo, os termos especificados com relação à(s) jurisdição(ões) aplicável(is) se aplicam em adição aos termos anteriores.
Espaço Econômico Europeu, Reino Unido e Suíça
1. Uma vez que qualquer uma das Partes transfere dados pessoais do Espaço Econômico Europeu (“EEE”), do Reino Unido (“RU”) ou da Suíça para a outra Parte localizada fora do EEE, do Reino Unido ou da Suíça, salvo se as Partes puderem contar com um mecanismo ou base de transferência alternativo previsto nas Leis de Proteção de Dados, as Partes serão consideradas como tendo celebrado as cláusulas contratuais padrão aprovadas pela Decisão de Implementação da Comissão Europeia (UE) 2021/914 de 4 de junho de 2021, disponível em http://data.europa.eu/eli/dec_impl/2021/914/oj (“Cláusulas”) em relação a essa transferência, por meio das quais:
a. a Parte receptora é o “importador de dados” e a outra Parte é o “exportador de dados”;
b. O Módulo Um se aplica, os Módulos Dois, Três e Quatro, as notas de rodapé, a Opção da Cláusula 11(a) e a Opção 2 da Cláusula 17 são omitidos e os anexos aplicáveis são preenchidos, respectivamente, com as informações estabelecidas no DPA e no Contrato;
c. a “autoridade supervisora competente” é a autoridade supervisora do país onde o exportador de dados está estabelecido;
d. as Cláusulas são regidas pela lei do país onde o exportador de dados está estabelecido;
e. qualquer litígio decorrente das Cláusulas será resolvido pelos tribunais do país onde o exportador de dados está estabelecido; e
f. se houver qualquer conflito entre os termos do Contrato e as Cláusulas, esta última prevalecerá.
2. Em relação às transferências de dados pessoais do Reino Unido, as Cláusulas, conforme implementadas na seção 1 acima, serão aplicadas sujeitas às seguintes modificações:
a. as Cláusulas são alteradas conforme especificado pela Parte 2 do adendo de transferência internacional de dados para as cláusulas contratuais padrão da Comissão Europeia emitidas de acordo com a Seção 119A da Lei de Proteção de Dados do Reino Unido de 2018, conforme possa ser alterada ou substituída de tempos em tempos (“Adendo do Reino Unido”);
b. as tabelas 1 a 3 da Parte 1 do Adendo do Reino Unido são preenchidas, respectivamente, com as informações estabelecidas no DPA e no Contrato; e
c. A tabela 4 na Parte 1 do Adendo do Reino Unido é preenchida selecionando “nenhuma das partes”.
3. Em relação às transferências de dados pessoais da Suíça, as Cláusulas, conforme implementadas na seção 1 acima, serão aplicadas sujeitas às seguintes modificações:
a. as referências ao “Regulamento (UE) 2016/679” deverão ser interpretadas como referências à Lei Federal Suíça sobre Proteção de Dados (“FADP”);
b. as referências a artigos específicos do “Regulamento (UE) 2016/679” deverão ser substituídas pelo artigo ou seção equivalente da FADP;
c. as referências a “UE”, “União”, “Estado-Membro” e “lei do Estado-Membro” deverão ser substituídas por referências à “Suíça” ou “lei da Suíça”, conforme aplicável;
d. o termo “estado membro” não deverá ser interpretado de modo a excluir os titulares de dados na Suíça da possibilidade de acessar seus direitos;
e. a Cláusula 13(a) e a Parte C do Anexo I não são usadas e a “autoridade de supervisão competente” é a Coordenadoria Federal Suíça de Informações de Proteção de Dados;
f. as Cláusulas são regidas pela lei da Suíça; e
g. qualquer litígio decorrente das Cláusulas será resolvido pelos tribunais da Suíça.
Estados Unidos
1. Na medida em que uma das Partes vender ou compartilhar com a outra Parte quaisquer informações pessoais no âmbito da Lei de Privacidade do Consumidor da Califórnia e suas regulamentações de implementação (“CCPA”):
a. As finalidades para as quais as informações pessoais são disponibilizadas para a Parte receptora são as estabelecidas no Contrato e estão sujeitas à sua política de privacidade;
b. As informações pessoais são disponibilizadas à Parte receptora somente para os fins limitados e especificados previstos no Contrato e devem ser usadas somente para esses fins;
c. A Parte receptora é obrigada a cumprir as seções aplicáveis da CCPA, inclusive – com relação às informações pessoais disponibilizadas à Parte receptora – fornecendo o mesmo nível de proteção de privacidade exigido das empresas pela CCPA;
d. A Parte divulgadora tem o direito, com relação às informações pessoais disponibilizadas, de tomar medidas razoáveis e apropriadas para garantir que a Parte receptora use as informações pessoais de maneira condizente com as obrigações da Parte divulgadora nos termos da CCPA;
e. A Parte divulgadora tem o direito, mediante notificação, de tomar medidas razoáveis e apropriadas para interromper e remediar o uso não autorizado de informações pessoais disponibilizadas à Parte receptora; e
f. A Parte receptora deverá notificar a outra Parte ao determinar que não pode mais cumprir suas obrigações nos termos da CCPA.
Brasil
1. Cada Parte deverá:
a. cumprir suas obrigações nos termos da Lei Geral de Proteção de Dados Pessoais (LGPD), nº 13.709 de 2018;
b. manter um registro das operações de processamento de dados pessoais que realizar;
c. nomear um responsável pela proteção de dados; e
d. adotar medidas de segurança, técnicas e administrativas capazes de proteger os dados pessoais contra acesso não autorizado e contra destruição acidental ou ilegal, perda, alteração, comunicação ou qualquer forma de tratamento indevido ou ilegal, incluindo padrões técnicos mínimos aplicáveis, conforme estabelecido pela autoridade nacional.
2. Na medida em que uma das Partes transferir informações pessoais do Brasil para a outra Parte localizada fora do Brasil, a Parte receptora cumprirá os princípios e os direitos do titular dos dados e o regime de proteção de dados previstos na LGPD.