para clientes
Contrato de Processamento de Dados
15 de março de 2024
Contratante e Contratada, doravante em conjunto denominados simplesmente como “Partes”, ou isoladamente, “Parte”.
Este Termo de Tratamento e Proteção de Dados Pessoais (“Termo”) se aplica às atividades de Tratamento de Dados Pessoais (conforme definido abaixo) realizadas em razão do Contrato e integra o Contrato para todos os fins de direito.
Quaisquer termos iniciados em letras maiúsculas e não definidos de outra forma neste Termo terão o significado atribuído a eles no Contrato. Exceto conforme modificado abaixo, os termos do Contrato permanecerão em pleno vigor e efeito.
As disposições presentes nas cláusulas 2 a 9 são aplicáveis na contratação das Soluções de Pagamento do EBANX. Serviços nos quais o EBANX atua como Operador, enquanto o Contratante atua como Controlador.
As disposições presentes nas cláusulas 10 a 18 são aplicáveis na contratação dos Serviços Antifraude do EBANX, que são opcionais. Serviços nos quais o EBANX e o Contratante atuam como controladores singulares (ou seja, independentes).
As disposições presentes nas cláusulas 1 e 19 a 21 são aplicáveis independentemente do serviço contratado.
1. DEFINIÇÕES
Neste Termo, os seguintes termos terão os significados definidos abaixo:
1.1. “Leis e Regulamentos de Proteção de Dados” significam qualquer lei e regulação, incluindo qualquer decisão publicada por qualquer Autoridade Fiscalizadora competente, aplicável ao Tratamento dos Dados Pessoais que ocorra no contexto do Contrato;
1.2. “Dados Pessoais do Controlador” significam qualquer Dado Pessoal compartilhado pelo Controlador para Tratamento pela Contratada ou qualquer um de seus Operadores, incluindo Dados Pessoais Sensíveis, no contexto do Contrato;
1.3. “Tratamento de Dados Pessoais” significa qualquer operação realizada com Dados Pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
1.4. “Serviços” significam os serviços e outras atividades que serão fornecidas ou realizadas pelo, ou em nome da Contratada para a Contratante, nos termos do Contrato;
1.5. “Suboperador” significa qualquer pessoa natural ou jurídica que, em nome do Operador, irá tratar os Dados Pessoais em nome do Controlador, nos termos do Contrato;
1.6. “Colaborador(es)” significa qualquer empregado, funcionário, inclusive subcontratados ou terceirizados, representantes ou prepostos, remunerado ou sem remuneração, em regime integral ou parcial, que atue em nome das Partes e que tenha acesso a Dados Pessoais;
1.7. “Autoridades Fiscalizadoras” significa qualquer autoridade, inclusive judicial, competente para fiscalizar, julgar e aplicar a legislação pertinente;
1.8. “Incidente de Segurança” significa qualquer evento adverso de segurança ou um conjunto deles, confirmado ou sob suspeita que impacte a disponibilidade, integridade, confidencialidade ou a autenticidade de um ativo de informação. No caso do presente Termo, a expressão referir-se-á a incidentes envolvendo Dados Pessoais;
1.9. "Data de vigência" tem o significado descrito neste Contrato/Termo, quando aplicável.
SOLUÇÕES DE PAGAMENTO – RELAÇÃO OPERADOR (EBANX) X CONTROLADOR (CONTRATANTE)
As cláusulas dispostas a seguir só serão, e serão exclusivamente, aplicáveis no caso da contratação dos Serviços de Pagamento do EBANX.
2. Tratamento de Dados Pessoais do Controlador
2.1. A execução do Contrato pressupõe o compartilhamento de Dados Pessoais pelo Controlador para o Operador. O Operador se compromete, em relação às atividades de Tratamento de Dados Pessoais realizadas no contexto do Contrato, a:
i. Assegurar a confidencialidade dos Dados Pessoais do Controlador, por si e por seus Colaboradores, que venham a ter acesso a eles; e
ii. Tratar os Dados Pessoais de acordo com todas as Leis e Regulamentos de Proteção de Dados aplicáveis, inclusive as que entrarem em vigor após a assinatura deste Termo, e de acordo com as instruções do Controlador, exceto nos casos em que o Tratamento seja necessário para cumprimento de obrigações legais ou regulatórias a que se sujeite o Operador, ou para realização das atividades comerciais do Operador, desde que de acordo com as Leis e Regulamentos de Proteção de Dados.
iii. O Operador disponibilizará ao Controlador, quando solicitado, todas as informações necessárias para demonstrar o cumprimento de suas obrigações nas Leis e Regulamentos de Proteção de Dados, permitindo que o Controlador realize auditorias nos processos do Operador.
iv. O Operador se compromete a informar ao Controlador caso, em sua opinião, uma instrução de tratamento viole as Leis e Regulamentos de Proteção de Dados.
2.2. Caso o Operador realize qualquer atividade de Tratamento para finalidades alheias ao Contrato, esta atividade de Tratamento ocorrerá fora do contexto deste Termo. O Operador será considerado único Controlador em relação a esta atividade de Tratamento e o Controlador estará isento de qualquer obrigação ou responsabilidade dela derivada.
2.3. O Operador notificará o Controlador sobre quaisquer solicitações de divulgação de Dados Pessoais, mesmo que legalmente obrigatórias, bem como informará quais Dados Pessoais foram divulgados, para quem e quando.
2.4. O Controlador deverá:
2.4.1. Disponibilizar os Dados Pessoais para que o Operador possa realizar os serviços contratados, garantindo que os Dados Pessoais tenham sido coletados de acordo com as disposições e os princípios das Leis e Regulamentos de Proteção de Dados, e, especialmente, que o tratamento pretendido pelo Controlador esteja devidamente subsidiado por uma das bases legais previstas na Leis e Regulamentos de Proteção de Dados;
2.4.2. Disponibilizar ao Operador todas as instruções necessárias para realização das atividades de Tratamento de Dados Pessoais que deverão ser realizadas no contexto do Contrato;
2.4.3. Informar prontamente ao Operador em todos os casos de alteração ou inexatidão dos Dados Pessoais; e
2.4.4. Cooperar com o Operador, quando aplicável, no cumprimento das obrigações referentes ao exercício dos direitos dos Titulares previstos nas Leis e Regulamentos de Proteção de Dados, e também no atendimento a eventuais solicitações de Autoridades Fiscalizadoras
3. Segurança
3.1. O Operador implementará medidas técnicas, administrativas e organizacionais adequadas e compatíveis com as atividades de Tratamento de Dados Pessoais realizadas. Para avaliar o nível apropriado de segurança, o Operador deverá levar em conta os riscos que são apresentados pelo Tratamento, em particular aqueles relacionados a Incidentes de Segurança.
3.2. As novas instâncias e snapshots do RDS são criptografados em repouso por padrão. As instâncias de banco de dados criptografadas usam o algoritmo de criptografia AES-256.
3.3. Os domínios de produção são gerenciados pela Cloudflare, que possui recursos para proteger os endpoints e garantir o uso de HTTPS.
3.4. Para o ambiente CDE, é realizada por conexão HTTPS com provedores de serviços externos, imposta por meio de código.
4. Suboperador
4.1. O Operador poderá, quando necessário para realização das atividades de Tratamento de Dados Pessoais, contratar Suboperadores para auxiliá-lo na execução do Contrato.
4.2. O Operador deverá garantir, quando realizar qualquer atividade de Tratamento por meio de Suboperador, por contrato específico firmado com o Suboperador, nível de segurança equivalente ao deste Termo.
4.3. O Controlador poderá solicitar informações sobre Suboperadores por meio do email privacy@ebanx.com.
5. Transferência Internacional de Dados
5.1. Caso seja necessário, única e exclusivamente para a execução do Contrato, a realização de Transferência Internacional de Dados Pessoais por parte do Operador, e caso o país de destino não possua nível adequado de proteção de Dados Pessoais conforme determinações da Autoridade Fiscalizadora, o Operador deverá garantir que a Transferência Internacional seja realizada de acordo com um dos mecanismos previstos na legislação aplicável e demais Leis e Regulamentos de Proteção de Dados.
5.2. O Controlador poderá solicitar informações sobre como o Operador realiza transferência internacional, por meio do email privacy@ebanx.com
6. Direitos do Titular
6.1. O Operador se compromete a notificar e auxiliar o Controlador em caso de recebimento de solicitação de Titular de Dados Pessoais, quando relacionada a qualquer atividade de Tratamento realizada em nome do Controlador, no contexto do Contrato, para que o Controlador tome as devidas providências.
7. Incidente de Segurança
7.1. O Operador notificará o Controlador, sem justificada demora, quando identificar a ocorrência de um Incidente de Segurança que possa acarretar risco ou dano relevante aos titulares e, caso necessário, fornecerá informações suficientes para que o Controlador possa cumprir com eventuais exigências previstas em Leis e Regulamentos de Proteção de Dados.
7.2. O Operador não divulgará qualquer informação sobre o Incidente de Segurança, a menos que seja expressamente autorizado a fazê-lo pelo Controlador, ou esteja obrigado por determinação de Autoridades Fiscalizadoras ou pelas Leis e Regulamentos de Proteção de Dados.
7.3. A Parte responsável pelo Incidente de Segurança deverá indenizar a outra Parte por todos os custos incorridos durante a investigação do Incidente e em relação a todas as ações tomadas para responder ou minimizar seus impactos.
8. Autoridades Fiscalizadoras
8.1. O Operador deverá informar ao Controlador acerca do recebimento de solicitações de informações ou determinações por Autoridades Fiscalizadoras relacionadas a qualquer atividade de Tratamento realizada no contexto do Contrato, para que o Controlador tome as devidas providências.
8.2. O Operador rejeitará, após avaliação, solicitações para a divulgação de Dados Pessoais que não sejam legalmente obrigatórias.
9. Exclusão e devolução dos Dados Pessoais
9.1. Com o término do Contrato, o Operador deverá, quando solicitado por escrito pelo Controlador, devolver ou excluir os Dados Pessoais tratados em nome do Controlador, podendo manter os Dados Pessoais que sejam necessários para cumprimento de obrigações legais ou regulatórias a que se sujeite o Operador, ou para realização das atividades comerciais do Operador, desde que de acordo com as Leis e Regulamentos de Proteção de Dados.
SERVIÇOS ANTIFRAUDE – RELAÇÃO CONTROLADOR (EBANX) X CONTROLADOR (CONTRATANTE)
As cláusulas dispostas a seguir serão, e serão exclusivamente, aplicáveis no caso da contratação dos Serviços Antifraude do EBANX.
10. Tratamento de Dados Pessoais
10.1. A execução do Contrato pressupõe o compartilhamento mútuo de Dados Pessoais entre as Partes. As Partes se comprometem, em relação às atividades de Tratamento de Dados Pessoais realizadas no contexto do Contrato, a:
10.1.1. Tratar os Dados Pessoais de acordo com todas as Leis e Regulamentos de Proteção de Dados aplicáveis, inclusive as que entrarem em vigor após a assinatura deste Termo, garantindo, especialmente, que todo Tratamento esteja devidamente justificado em uma das bases legais estabelecidas na Leis e Regulamentos de Proteção de Dados;
10.1.2. Tratar apenas os Dados Pessoais necessários para execução do Contrato, de acordo com o Anexo 1 (quando preenchido), e tão somente para a finalidade de execução do Contrato, exceto nos casos em que o Tratamento seja necessário para o cumprimento de obrigações legais ou regulatórias a que se sujeitem as Partes.
10.1.3. Caso uma das Partes tenha acesso, no contexto do Contrato, a Dados Pessoais que considere como excessivos ou não necessários à execução do Contrato, deverá comunicar imediatamente à outra Parte, devendo inutilizar tais Dados Pessoais.
10.1.4. Caso uma das Partes realize qualquer atividade de Tratamento que não esteja relacionada à execução do Contrato, esta atividade de Tratamento ocorrerá fora do contexto deste Termo. A Parte que realizar este Tratamento será considerada única Controladora em relação à atividade, ficando a outra Parte livre de qualquer obrigação ou responsabilidade que dela derive.
10.1.5. Cooperar mutuamente para garantir o devido cumprimento das obrigações referentes ao exercício dos direitos dos Titulares previstos nas Leis e Regulamentos de Proteção de Dados e o atendimento a eventuais solicitações de Autoridades Fiscalizadoras, no limite de suas atividades.
10.1.6. É vedado às Partes utilizar qualquer tipo de ferramenta, tecnologia, engenharia reversa ou qualquer outro método que vise identificar os Titulares dos Dados Pessoais, nos casos em que os Dados Pessoais tenham sido compartilhados de forma a não ser possível a identificação direta dos Titulares sem que haja o cruzamento com outras informações ou com o acesso à chave de identificação.
11. Dos Colaboradores
11.1. As Partes deverão assegurar que o Tratamento dos Dados Pessoais realizados no contexto do Contrato fique restrito aos Colaboradores responsáveis pelo Tratamento, de acordo com a cláusula 10.1.2 deste Termo, bem como que tais Colaboradores:
11.1.1. Tenham recebido treinamentos referentes aos princípios de proteção de dados e às leis que envolvem o Tratamento; e
11.1.2. Tenham recebido treinamentos referentes aos princípios de proteção de dados e às leis que envolvem o Tratamento; e
11.1.3. As Partes deverão assegurar que todos os Colaboradores estejam sujeitos a contratos de sigilo ou obrigações profissionais ou estatutárias de confidencialidade e proteção de dados.
12. Segurança
12.1. As Partes implementarão medidas técnicas, administrativas e organizacionais adequadas e compatíveis com as atividades de Tratamento que realizarem. Para avaliar o nível apropriado de segurança, as Partes deverão levar em conta os riscos que derivam do Tratamento, em especial aqueles relacionados a Incidentes de Segurança.
12.2. As Partes poderão estabelecer, em conjunto e por escrito, critérios mínimos de segurança que considerem necessários para a execução do Contrato, que deverão ser adotadas por ambas as Partes.
12.3. As Partes se comprometem a realizar regularmente testes, avaliações e verificações da efetividade das medidas técnicas, administrativas e organizacionais para assegurar a segurança dos processos que envolvem o Tratamento dos Dados Pessoais.
13. Suboperadores
13.1. Quando qualquer atividade de Tratamento for realizada por meio de um Subcontratado, seja ele Controlador ou Operador, as Partes deverão, em relação ao Subcontratado:
13.1.1. Preservar a integridade e precisão dos Dados Pessoais, devendo atualizar, corrigir ou deletar tais dados a pedido da outra Parte;
13.1.2. Verificar, por meio de “due diligence” ou procedimento equivalente, que cada Subcontratado tenha condições de garantir um nível de proteção de Dados Pessoais, no mínimo, equivalente a este Termo e providenciar evidências dessa verificação;
13.1.3. Celebrar, por escrito, contrato com cada Subcontratado, cujo teor deverá incluir disposições, no mínimo, equivalentes a este Termo; e
13.1.4. Ser responsável por todas as ações e omissões do Subcontratado em relação ao tratamento de Dados Pessoais.
13.1.5. Qualquer informação sobre os suboperadores deverá ser formalizada e respondidos pelas Partes.
14. Transferência Internacional de Dados
14.1. Caso seja necessária, para a execução do Contrato, a realização de Transferência Internacional de Dados Pessoais por qualquer uma das Partes, e caso o país de destino não possua nível adequado de proteção de Dados Pessoais conforme determinações da Autoridade responsável, a Parte que compartilhar o dado deverá garantir que a Transferência Internacional seja realizada de acordo com um dos mecanismos previstos nas Leis e Regulamentos de Proteção de Dados.
15. Direitos do Titular
15.1. As Partes deverão cooperar mutuamente, no limite de suas atividades, com o cumprimento das obrigações relacionadas ao exercício dos direitos dos Titulares dos Dados Pessoais, de acordo com as Leis e Regulamentos de Proteção de Dados.
15.2. As Partes deverão:
15.2.1. Notificar imediatamente a outra Parte em caso de recebimento de solicitação de Titular de Dados, quando relacionada a qualquer atividade de Tratamento realizada no contexto do Contrato; e
15.2.2. Abster-se de responder qualquer solicitação de Titular de Dados relacionada aos Dados Pessoais compartilhados pela outra Parte, sem que esta outra Parte tenha manifestado, por escrito, concordância com o teor da resposta a ser apresentada ao Titular, exceto nos casos em que o prazo para resposta seja inferior a 48 horas, de acordo com as Leis e Regulamentos de Proteção de Dados.
16. Incidente de Segurança
16.1. Quando as Partes identificarem a ocorrência de um Incidente de Segurança, de acordo com as Leis e Regulamentos de Proteção de Dados e eventuais regulamentações que venham a ser emitidas pelas Autoridades Fiscalizadoras competentes, deverão notificar a outra Parte por escrito imediatamente. A notificação deverá conter informações suficientes (no mínimo, descrição do ocorrido, data, causa, possíveis impactos aos Titulares de Dados Pessoais, ações de mitigação adotadas, e próximos passos) para que a outra Parte possa cumprir com eventuais exigências impostas pelas Leis e Regulamentos de Proteção de Dados.
16.2. As Partes, com suas próprias despesas, investigarão as causas e as consequências do Incidente de Segurança e tomarão as medidas necessárias para remediar suas consequências, informando prontamente à outra Parte acerca de todas as ações tomadas.
16.3. As Partes deverão manter registro dos Incidentes de Segurança, contendo pelo menos (a) descrição da natureza do Incidente de Segurança, (b) descrição das consequências do Incidente de Segurança e (c) descrição das medidas tomadas ou propostas pelas Partes para tratar do Incidente de Segurança.
16.4. As Partes não divulgarão qualquer informação sobre o Incidente de Segurança, a menos que acordado pelas Partes, ou caso elas estejam obrigadas por determinação de Autoridades Fiscalizadoras, nos termos da lei aplicável.
17. Autoridades Fiscalizadoras
17.1. As Partes deverão cooperar mutuamente, no limite de suas atividades, com o cumprimento de obrigações ou solicitações impostas por qualquer Autoridade Fiscalizadora competente.
17.2. As Partes deverão informar imediatamente à outra Parte o recebimento de solicitações de informações ou determinações por Autoridades Competentes relacionadas a qualquer atividade de Tratamento realizada no contexto do Contrato. Quando essas solicitações ou determinações estiverem relacionadas aos Dados Pessoais compartilhados pela outra Parte, a Parte receptora/intimada submeterá sugestão de resposta para validação da outra Parte dentro do prazo legal ou determinado pelas Autoridades Competentes.
18. Exclusão e devolução dos Dados Pessoais
18.1. As Partes deverão, quando do término de quaisquer atividades de Tratamento de Dados Pessoais no contexto do Contrato (“Data do Término”), interromper o tratamento dos Dados Pessoais e, mediante solicitação por escrito da outra Parte e quando aplicável, eliminar os Dados Pessoais relacionados às atividades finalizadas, bem como todas as cópias porventura existentes (seja em formato digital ou físico), exceto quando a manutenção dos Dados Pessoais for necessária para o cumprimento de obrigação legal ou regulatória.
18.2. As Partes poderão, a seu exclusivo critério, mediante notificação por escrito à outra Parte, dentro de 30 dias corridos da Data do Término, exigir que a outra Parte devolva uma cópia completa de todos os Dados Pessoais tratados no contexto do Contrato, mediante transferência segura e em formato interoperável ou proprietário da outra Parte.
18.3. As Partes deverão fornecer certificação por escrito para a outra Parte de que cumpriram integralmente esta seção, dentro de 30 dias corridos do Data do Término.
CLÁUSULAS GERAIS APLICÁVEIS PARA QUAISQUER SERVIÇOS PRESTADOS PELA EBANX
As cláusulas dispostas a seguir são aplicáveis independentemente do produto contratado.
19. Indenização
19.1. As Partes deverão indenizar, defender e isentar a outra Parte e/ou suas filiais contra toda e qualquer responsabilidade, perda, reivindicação, dano, multa, penalidade, despesa (incluindo, sem limitação, multas, indenização por danos, custos dos esforços de reparação e honorários advocatícios e custos decorrentes de ou relacionados a qualquer ação, reivindicação ou alegação de terceiros - incluindo, sem limitação, qualquer Autoridade Fiscalizadora ou governamental) que decorrer do não cumprimento deste Termo e/ou não cumprimento das Leis e Regulamentos de Proteção de Dados.
19.2. Caso a Autoridade Fiscalizadora imponha sanções para as Partes relacionadas a este Termo, e for constatada culpa, dolo ou outro elemento de responsabilidade de uma das Partes, a Parte que tiver dado causa à sanção deverá arcar com a penalidade financeira – quando for o caso – e/ou indenizar a outra Parte, inclusive pelos danos reputacionais experimentados, além de quaisquer custos e despesas experimentados pela Parte prejudicada ao longo do processo administrativo.
19.3. Este Termo não gera responsabilidade solidária entre as Partes, por quaisquer penalidades relacionadas às atividades de Tratamento realizadas no contexto do Contrato, devendo cada Parte ser responsabilizada individualmente no limite de suas atividades.
20. Responsabilidade
20.1. As obrigações de indenização previstas neste Termo serão adicionais, e não excluem qualquer obrigação de indenização que conste do Contrato.
20.2. Fica ainda estabelecido que o presente Termo: (i) não gera qualquer limitação de responsabilidade ou obrigação de indenização das Partes decorrente das atividades de Tratamento de Dados Pessoais realizadas no contexto do Contrato; e (ii) não impede as Partes de exercerem quaisquer direitos que possam ter em relação à outra Parte.
21. Disposições Gerais
21.1. Sem prejuízo das disposições sobre Mediação e Jurisdição:
21.1.1. As partes deste Termo se submetem à escolha da jurisdição estipulada no Contrato com relação a quaisquer disputas ou reivindicações, de qualquer forma, decorrentes deste Termo, incluindo disputas relativas à sua existência, validade ou rescisão ou as consequências de sua nulidade; e
21.1.2. Este Termo e todas as obrigações extracontratuais ou outras decorrentes ou relacionadas a ela são regidas pelas leis do país ou território estipulado para este fim no Contrato.
21.1.3. Em caso de conflito entre as disposições deste Termo e o Contrato ou qualquer outro documento firmado entre as partes, especificamente em relação às atividades de Tratamento de Dados Pessoais, prevalecerão as disposições deste Termo, exceto nos casos em que documento superveniente seja firmado entre as partes, declarando expressamente a subsidiariedade deste Termo.
21.1.4. Este Termo poderá ser alterado pela vontade das partes ou caso sobrevenha nova lei, regulação ou direcionamentos por parte da ç ou qualquer Autoridade Fiscalizadora que demandem a alteração de suas disposições. As novas disposições deverão ser acordadas pelas Partes de boa-fé e sempre por escrito como termo aditivo a este Termo.
21.1.5. Caso qualquer disposição deste Termo seja considerada nula, inválida ou inexequível, as disposições remanescentes permanecerão válidas e em vigor. A disposição nula, inválida ou inexequível deve ser alterada para garantir a sua validade e eficácia, preservando as intenções das partes.
21.1.6. Este Termo permanecerá em vigor até que o Contrato seja rescindido por qualquer motivo.
21.1.7. Este Termo sobreviverá ao término do Contrato e continuará obrigando as Partes com relação às atividades de Tratamento de Dados Pessoais originadas pelo Contrato que continuem ocorrendo, ainda que apenas para fins de cumprimento de obrigação legal ou regulatória.
Este Termo é celebrado e torna-se parte integrante e obrigatória do Contrato, com efeitos a partir desta data, aplicando-se, porém a todas as atividades de tratamento de Dados Pessoais realizadas desde a data da celebração do Contrato.