image-lgpd

LGPD – Lei de proteção de dados

1. Objetivo

1.1. Esta política, em função dos processos e procedimentos da C&M SOFTWARE no licenciamento de seus produtos, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

1.2. Considerando que:

  • A C&M Software na qualidade de proprietária, comercializa, através de Licenciamento, os Direitos ao uso das funcionalidades dos seus Softwares para auxiliar os negócios da sua INSTITUIÇÃO;
  • A C&M Software, apenas por motivos operacionais, desenvolvimento e atualização mantém os softwares licenciados em operação nos seus servidores na sua sede e contingência no Brasil;
  • A C&M Software não tem acesso, e sequer qualquer controle, sobre os dados solicitados ou trafegados a pedido da INSTITUIÇÃO;
  • A C&M Software é responsável pela integridade do “bloco de dados” a partir do momento da entrada em seus sistemas até o momento de saída para a INSTITUIÇÃO, e jamais pelo seu conteúdo;
  • A INSTITUIÇÃO é aquela que tem contrato de licenciamento de software firmado e em vigência com a C&M Software, para auxiliar as suas decisões. Quando necessário, o cliente da INSTITUIÇÃO será identificado como CLIENTE.

2. Adoção e Vigência

2.1. Esta política “C&M2021-01-LGPD”, entra em vigor na data de sua publicação com a comunicação às INSTITUIÇÕES e será, imediatamente, incorporada ao Contrato de Licenciamento, gerando todos os seus efeitos a partir da publicação e especifica as condições de licenciamento e as condições gerais.

2.2. Os contratos firmados na vigência da política anterior, se necessário, serão aditados de acordo entre as partes, exceto se flagrantemente contra disposição legal, quando entrará em vigor na data definida, aditando, automaticamente, a política anterior, ou à presente.

3. Definições

3.1. Na presente política, os temos seguintes, todos referentes à exigência da lei, terão seus significados definidos abaixo, sem qualquer exclusão à referência da lei, mas, pela função da C&M Software:

  1. Dado pessoal: é o dado apontado pela INSTITUIÇÃO para uso no software licenciado, sob sua total responsabilidade;
  2. Dado pessoal sensível: assim como o dado pessoal, especifica os cuidados que a INSTITUIÇÃO deve observar nos termos da lei;
  3. Titular: aquele que forneceu os dados para pesquisa, sob seu consentimento ou autorização, se necessário;
  4. Controlador: pessoa indicada pela INSTITUIÇÃO a quem compete as decisões referentes ao tratamento de dados pessoais;
  5. Operador: pessoa indicada pela INSTITUIÇÃO que fornece os dados ao software em nome e sob orientação do controlador;
  6. Encarregado: pessoa indicada pela INSTITUIÇÃO para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
  7. Tratamento: na qualidade de licenciadora, a C&M Software é responsável pela integridade do “bloco de dados” a partir do momento da entrada em seus sistemas até o momento de saída para a INSTITUIÇÃO, e não pelo seu conteúdo;
  8. Uso compartilhado de dados: designação que não se aplica ao licenciamento, em função da indisponibilidade de acesso às informações;
  9. Relatório de impacto à proteção de dados pessoais: documentação exclusiva da INSTITUIÇÃO e de seu conhecimento único, desconhecida pela C&M Software, vez que se libera o acesso aos dados pleiteados pela INSTITUIÇÃO, sem identificá-los;
  10. “bloco de dados” significa o conjunto de dados, devidamente criptografados, trafegados pela INSTITUIÇÃO para consultas próprias dentro do sistema licenciado onde a C&M Software desconhece quantidade e conteúdo.

3.2. Os termos aqui definidos apenas complementam, orientam, definem e/ou explicam os limites de atuação da C&M Software relativa ao licenciamento, sendo que, em qualquer momento, busca modificar o texto legal.

3.3. Nos termos da LGPD, os dados utilizados pela INSTITUIÇÃO e encaminhados à C&M Software devem observar a boa-fé e os seguintes princípios: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.

4. Responsabilidades das partes

4.1. A responsabilidade de obtenção e guarda do consentimento do titular, apenas quando aplicável e se necessário nos termos da LGPD, é da INSTITUIÇÃO até a data do seu expurgo (Art. 14º Res. 4.658).

4.2. Fica sob responsabilidade da INSTITUIÇÃO os conceitos de finalidade, boa-fé e interesse público para os quais o tratamento de dados é necessário, exceto para os casos tornados manifestamente públicos, nos termos da lei. A INSTITUIÇÃO se compromete a não trafegar dados pessoais necessários para a execução do software que não observem estritamente à LGPD.

4.3. Em caso de manifestação do titular dos dados requerendo revogação pela C&M Software, a INSTITUIÇÃO será notificada, de imediato, a determinar a ação, nos termos da lei.

4.4. A INSTITUIÇÃO concorda que alterações nas exigências da LGPD podem gerar custos e despesas não previstas no contrato original e que deverão ser negociadas de comum acordo pelas Partes mediante assinatura de termo aditivo ao Contrato, exceto se por imposição legal.

4.5. A C&M Software garante a integridade e proteção do “bloco de dados” do momento da entrada em seus servidores até o momento da devolução às solicitações da INSTITUIÇÃO.

4.6. As Partes asseguram cumprir a legislação aplicável sobre privacidade e proteção de dados, inclusive (sempre e quando aplicáveis) a Constituição Federal, o Código de Defesa do Consumidor, o Código Civil, o Marco Civil da Internet (Lei Federal nº 12.965/2014), seu decreto regulamentador (Decreto nº 8.771/2016), a Lei Geral de Proteção de Dados Pessoais (Lei Federal nº 13.709/2018), e demais normas setoriais ou gerais sobre o tema que não confrontem as exigências do BACEN.

4.7. As informações relativas ao “bloco de dados”, armazenados nos servidores da C&M Software foram enviados pela INSTITUIÇÃO, e lá permanecerão armazenados de forma isolada e segura seguindo a política de expurgo das informações da própria INSTITUIÇÃO.

4.8. A C&M Software se compromete a cooperar com a INSTITUIÇÃO nas suas necessidades de atender a lei ou os titulares do Direito, assim como as Autoridades Federais, Estaduais ou Municipais sobre os termos da atual política da LGPD.

4.9. A C&M Software está obrigada a obter as autorizações necessárias relativas aos acessos àqueles indicadores de dados públicos, assim como os privados que atende contratualmente, exceto aqueles que a INSTITUIÇÃO mantém por sua própria contratação, apenas quando aplicável e se necessário.

4.10. A C&M Software deverá: (i) tomar medidas razoáveis para informar sua equipe de trabalho sobre as responsabilidades e confiabilidade resultantes da Lei Geral de Proteção de Dados; (ii) comunicar imediatamente a INSTITUIÇÃO, por escrito, bem como os titulares dos dados, quando cabível, sempre que souber ou suspeitar que ocorreu um incidente de segurança e/ou vazamento de dados ou uma violação à Lei Geral de Proteção de Dados; (iii) investigar o incidente de segurança e/ou o vazamento de dados, tomando todas as medidas necessárias para eliminar ou conter eventual exposição, bem como quaisquer danos que possam recair sobre a INSTITUIÇÃO, inclusive cooperando com os esforços de investigação e remediação da INSTITUIÇÃO, se comprometendo, ainda, a fornecer qualquer tipo de documento e informação solicitada pela INSTITUIÇÃO com o intuito de mitigar os referidos danos; (iv) envidar esforços razoáveis para garantir a integridade, disponibilidade e confidencialidade das informações tratadas em todas as circunstâncias, na medida em que tenha capacidade de fazê-lo; (v) cooperar razoavelmente com a INSTITUIÇÃO na definição de uma solução para implementar os novos requisitos de proteção e segurança aos dados pessoais, caso assim a legislação vier a exigir; e (vi) permitir que a INSTITUIÇÃO, ou seus representantes devidamente autorizados, desde que com aviso prévio razoável, inspecionem e/ou auditem suas dependências, para verificar se suas atividades estão em conformidade com o disposto no Contrato e seus anexos.

4.11. Nos termos do art. 4.9, será informado à INSTITUIÇÃO, se ocorrer, os seguintes dados: (i) data e hora do incidente; (ii) data e hora da ciência pela C&M Software; (iii) dados referentes ao “bloco de dados” afetados pelo incidente; (iv) identificação do operador encarregado no momento do fato ou outra pessoa junto à qual seja possível obter maiores informações sobre o ocorrido; (v) descrição das possíveis consequências do acidente; e (vi) indicação de medidas que estiverem sendo tomadas para reparar o dano e evitar novos incidentes.

5. Direitos na internet

5.1. Ambos devem respeitar, em todos os seus termos, a LEI Nº 12.965, DE 23 DE ABRIL DE 2014, em especial, os direitos humanos, o desenvolvimento da personalidade e o exercício da cidadania em meios digitais; a pluralidade e a diversidade; a abertura e a colaboração e a livre iniciativa e livre concorrência e a defesa do consumidor.

5.2. Garantem, ainda, a proteção da privacidade, proteção dos dados pessoais e responsabilização dos agentes de acordo com suas atividades, nos termos da lei e, ainda, o acesso à informação, ao conhecimento e à participação na vida cultural e na condução dos assuntos públicos, da inovação e do fomento à ampla difusão de novas tecnologias e modelos de uso e acesso e a adesão a padrões tecnológicos abertos que permitam a comunicação, a acessibilidade e a interoperabilidade entre aplicações e bases de dados.

6. Outras responsabilidades da C&M Software

6.1. A C&M Software não poderá: (i) licenciar; (ii) autorizar o tratamento; (iii) transferir; (iv) compartilhar; (v) ceder; (vi) vender; e/ou (vii) contratar qualquer terceiro para tratar a informação, incluindo Dados Pessoais da INSTITUIÇÃO, salvo com sua expressa autorização. A C&M Software não poderá tratar os Dados Pessoais da INSTITUIÇÃO para finalidade distinta àquela prevista no licenciamento.

6.2. Quando autorizado expressamente a C&M Software deverá preservar a integridade e precisão do “bloco de dados” da INSTITUIÇÃO, devendo atualizar, corrigir ou deletar tais dados a seu pedido.

6.3. A C&M Software deverá tratar o “bloco de dados” única e exclusivamente para cumprir com a finalidade a que se destinam este Contrato, em estrita observância à LGPD, já que formam um bloco de informação criptografada para processamento e encaminhamento dos itens requisitados.

6.4. A C&M Software assegura que os “blocos de dados” não serão tratados por terceiros (incluindo subcontratados, agentes autorizados, filiadas, coligadas, subsidiárias, controladora e controladas), salvo se já previsto expressamente neste Contrato e/ou autorizado por escrito pela INSTITUIÇÃO. Neste caso, a C&M Software garante que seus terceiros estão obrigados a ter o mesmo nível de proteção aos dados pessoais estabelecida neste Contrato requeridos para a C&M Software. De qualquer forma, a C&M Software será responsável, no limite disposto pela legislação aplicável, pelas ações e omissões realizadas por tais terceiros relativas ao tratamento dos dados pessoais.

6.5. A C&M Software se compromete, ainda, em relação à INSTITUIÇÃO, a: (i) não reter quaisquer dados pessoais fornecidos ou de titularidade da INSTITUIÇÃO por um período superior ao necessário para o cumprimento de sua finalidade nos termos do presente Contrato e/ou para o cumprimento das suas obrigações legais, conforme permitido pela lei aplicável; (ii) após finalizado o Contrato por qualquer causa, apagar/destruir com segurança (mediante confirmação por escrito), ou devolver à INSTITUIÇÃO (quando solicitado) todos os documentos que contenham dados pessoais, a que tenha tido acesso em decorrência do presente Contrato, bem como qualquer cópia destes, seja de forma documental ou magnética, a menos que a sua manutenção seja exigida ou assegurada pela legislação vigente; (iii) não tratar dados pessoais em local diferente do estabelecido pelas Partes; e (iv) colaborar com a INSTITUIÇÃO para que este garanta o integral cumprimento das disposições previstas na Lei Geral de Proteção de Dados.

7. Direitos do titular dos dados

7.1. O titular deve ter as suas solicitações de exercício dos direitos dos Titulares dos Dados sob as Leis e Regulamentos de Proteção de Dados.

7.2. É vedado copiar, transferir, duplicar, ou realizar qualquer ação que vise à criação de um novo banco de dados contendo os dados pessoais.

7.3. Apenas dados da INSTITUIÇÃO são armazenados na C&M Software para uso legal e fiscal.

8. Segurança dos dados e da informação

8.1. É obrigação das partes, dentro dos limites de atuação de cada uma delas em relação ao tratamento de dados que realiza, implementar as medidas necessárias para garantir um nível de segurança dos dados e mitigar possíveis riscos e manter atualizados os relacionados a incidentes de segurança.

8.2. As medidas de segurança descritas na Política de Segurança da Informação, Política de Continuidade de Negócios e outras necessárias à INSTITUIÇÃO estarão disponíveis nos respectivos Anexos ao Contrato, assim como, estará disponível no endereço eletrônico https://br.cmsw.com/politicas/.

8.3. A C&M Software realizará regularmente testes, avaliações e verificações da efetividade das medidas técnicas, administrativas e organizacionais para assegurar a segurança dos processos que envolvam o Tratamento dos Dados Pessoais da INSTITUIÇÃO.

8.4. Os referidos testes serão internos e disponibilizados à INSTITUIÇÃO mediante solicitação e justificação da necessidade.

9. Auditoria do sistema

9.1. A INSTITUIÇÃO poderá a qualquer momento solicitar à C&M Software a auditoria aos sistemas que compõe da operação do software licenciado.

9.2. Serão indicados à INSTITUIÇÃO três auditores licenciados e autorizados pela C&M Software.

9.3. A INSTITUIÇÃO deve indicar, detalhadamente, ao auditor os itens que deverão ser verificados, assim como, seu objetivo e destinação.

9.4. Os custos referentes à auditoria serão suportados pela INSTITUIÇÃO com prévia autorização.

10. Obrigação de indenizar

10.1. A parte que der causa deverá indenizar, defender e/ou isentar a outra parte contra todas e quaisquer perdas e qualquer responsabilidade, perda, reivindicação, dano, multa, penalidade, despesa (incluindo, sem limitação, multas, indenização por danos diretos comprovadamente causados, custos dos esforços de reparação e honorários advocatícios e custos decorrentes de ou relacionados a qualquer ação, reivindicação ou alegação de terceiros – incluindo, sem limitação, qualquer autoridade reguladora ou governamental) que decorrer do não cumprimento do Contrato de Licenciamento entre as partes e/ou não cumprimento das Leis e Regulamentos de Proteção de Dados, inclusive, sem limitação, na hipótese de incidente de segurança e/ou vazamento de dados a que der causa.

10.2. Caso a ANPD impute sanções para a parte que der causa, relacionada ao licenciamento, e for constatada culpa, dolo ou outro elemento de responsabilidade da outra parte, esta deverá arcar com a respectiva penalidade financeira – quando for o caso – e/ou indenizar, inclusive pelos danos à imagem experimentados.

10.3. As obrigações de indenização entre as partes não estarão sujeitas a nenhuma limitação de ações, disposições de arbitragem ou quaisquer outras cláusulas limitativas similares.

10.4. As Partes responderão individualmente pelo tratamento de dados pessoais que executar e não serão consideradas responsáveis entre si por tal tratamento.

11. Disposições Finais

11.1. Ao término da relação entre as partes e/ou quando uma delas solicitar, mediante eventual solicitação do titular, deverá, a outra, eliminar, corrigir, anonimizar e/ou bloquear o acesso aos dados, em caráter definitivo ou não, a critério da INSTITUIÇÃO, que tiverem sido transmitidos durante a vigência do licenciamento, estendendo-se a eventuais cópias, salvo mediante instrução diversa.

11.2. A C&M Software é responsável pela segurança e controle de acesso físico aos servidores, que processam os dados objeto do licenciamento, todos localizados no Brasil.

11.3. Quaisquer alterações do Contrato de Licenciamento e/ou seus Anexos quando relacionadas aos “blocos de dados” da INSTITUIÇÃO realizados entre as partes, somente serão válidas quando celebradas por escrito, assinadas por representantes autorizados de ambas e não se tratar de questão eminentemente técnica.

11.4. O presente aditamento e todas as obrigações extracontratuais ou outras decorrentes ou relacionadas a ele são regidas pelas leis brasileiras.

11.5. As disposições deste Termo prevalecerão sobre quaisquer inconsistências entre ele e quaisquer outros acordos entre as Partes, incluindo o Contrato de Licenciamento, salvo quando o documento, expressamente assinado pelas Partes, diferentemente, o declare.

11.6. Qualquer das partes pode propor variações ao presente aditamento quando necessário para atender os requisitos de quaisquer mudanças nas Leis e Regulamentos de Proteção de Dados.

11.7. Caso qualquer disposição da presente seja inválida ou inexequível, nos termos da lei civil vigente, o restante permanecerá válido e em vigor. A disposição inválida ou inexequível deve ser: (i) alterada conforme necessário para garantir a sua validade e aplicabilidade, preservando as intenções das partes o máximo possível ou, se isso não for possível; (ii) interpretadas de maneira como se a disposição inválida ou inexequível nunca estivesse contida; (iii) sempre em conformidade com a Lei.

12. Contato LGPD

12.1. O contato com a C&M SOFTWARE para tratamento dos itens acima descritos poderá ser feito
preferencialmente através do e-mail segurancati@cmsw.com

Termo de Nomeação do DPO

Assine nossa newsletter

Cadastre-se e receba mensalmente informações do mercado, produtos, eventos e regulamentações. Junte-se a nós e fique por dentro de tudo!