Este Adendo de Proteção de Dados (“APD”) faz parte do Contrato Particular de Prestação de Serviços
e/ou qualquer outro contrato firmado (“Contrato”) entre Avant Serviços em tecnologia da Informação
Eireli (“Avant”) como prestadora de serviços e a parte contratante (“Cliente”), para refletir o
acordo das partes com relação ao processamento de dados pessoais.
Ao assinar o Contrato, o Cliente celebra este Adendo de Proteção de Dados em seu nome e, na medida
exigida pelos dados pessoais aplicáveis, leis e regulamentação de proteção de dados, se qualificam
como Controlador dos respectivos dados, bem como reconhecem a Avant como única e exclusivamente a
Operadora dos dados pessoais tratados no presente Contrato. Todos os termos em maiúsculas não
definidos aqui terão o significado estabelecido no Contrato.
No decurso da prestação dos Serviços ao Cliente nos termos do Contrato, a Avant pode processar os
dados pessoais em nome do Cliente e as Partes concordam e reconhecem que deverão seguir todos os
termos do presente APD, para adotar as melhores práticas de mercado e condutas de acordo com a
legislação aplicável para a proteção e privacidade dos dados pessoais tratados no âmbito da relação
estabelecida entre as Partes.
Este APD fará parte integrante e indissociável do Contrato, desde que a Avant esteja configurada
como prestadora de serviços e o presente Adendo de Proteção de Dados estejam estabelecidos e
mencionados no Contrato.
Este APD não deve substituir quaisquer direitos comparáveis ou adicionais relativos ao processamento
de dados do Cliente contidos nos Contratos (incluindo qualquer adendo de proteção de dados existente
ao Contrato).
Definições:
“Dados Pessoais”: dados e informações obtidas através de meio online ou offline, capazes de
identificar ou tornar identificáveis pessoas físicas, incluindo dados que possam ser combinados com
outras informações para identificar um indivíduo, e/ou que se relacionem com a identidade,
características ou comportamento de um indivíduo ou influenciem na maneira como esse indivíduo é
tratado ou avaliado, incluindo números identificativos, dados locacionais ou identificadores
eletrônicos, tais como cookies, beacons e tecnologias correlatas e Dados Sensíveis.
“Dados Sensíveis”: Dados Pessoais referentes à origem social, racial e étnica, saúde,
informação genética ou biométrica, orientação sexual ou vida sexual, e convicções políticas,
religiosas e filosóficas ou filiação a sindicato ou a organização relacionadas a tais convicções, ou
qualquer dado que, quando combinado com outras informações, possa influenciar na forma como o
titular do dado é tratado, ou seja, possa eventualmente ensejar algum tipo de prática
discriminatória vedada pela legislação.
“Anonimização” (bem como termos relacionados como “Anonimizar”, “Anonimizados”): todo e
qualquer meio e processo técnico razoável, disponíveis na ocasião do Tratamento de Dados Pessoais
que resulte na não identificação do titular do referido Dado Pessoal. Os dados anonimizados não
serão considerados Dados Pessoais para os fins da legislação aplicável, salvo quando o processo de
anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou
quando, com esforços razoáveis, puder ser revertido.
“Tratamento” (bem como os termos relacionados “Tratar”, “Tratados”): toda e qualquer
operação realizada com Dados Pessoais, incluindo a coleta, produção, recepção, classificação,
utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação,
transferência, difusão ou extração.
Uso dos Dados Pessoais:
2.1. Tratamento. As Partes concordam e reconhecem que o Tratamento de Dados Pessoais no âmbito do
Contrato se dará de acordo com a legislação aplicável e com o disposto neste APD,
responsabilizando-se cada Parte pelo uso indevido que fizer de tais Dados Pessoais em desacordo com
a legislação aplicável.
2.2. Finalidade. Cada uma das Partes somente poderá tratar os Dados Pessoais recebidos da outra
Parte, nos termos deste APD, exclusivamente para cumprir as finalidades relacionadas à execução do
objeto do Contrato. Cada uma das Partes garante que todo e qualquer Tratamento de Dados Pessoais
realizado no âmbito do Contrato será feito sempre utilizando uma base legal válida, legítima e
adequada ao Tratamento, na forma autorizada pela legislação aplicável, podendo ser, por exemplo,
através (i) do consentimento inequívoco, livre e informado do titular (no caso de Dados Pessoais) e
do consentimento expresso, livre e informado, de forma específica e destacada (no caso Dados
Pessoais Sensíveis), exclusivamente para as finalidades determinadas no Contrato; (ii) do legítimo
interesse do controlador da hipótese de Tratamento; (iii) para o cumprimento de obrigação
regulatória; e/ou (iv) para cumprimento do contrato firmado com o titular do Dado Pessoal (os “Usos
Permitidos”).
2.2.1. Sempre que necessário, ambas as Partes concordam expressamente em incluir, em suas políticas
de privacidade ou outros instrumentos firmados com os titulares dos Dados Pessoais, referências
claras, destacadas das demais cláusulas contratuais, quanto aos Usos Permitidos, especialmente de
Dados Sensíveis, bem como (i) Periodicidade, (ii) Lista de dados requeridos, (iii) Finalidade de uso
dos dados, (iv) Base Legal para uso dos dados e (v) Responsabilização das Partes quanto ao uso dos
dados, sua segurança e privacidade.
2.3. Propriedade. Cada uma das Partes declara estar ciente e de acordo que os Dados Pessoais de cada
uma das Partes tratados em decorrência da execução do objeto Contrato serão considerados de
propriedade, respectivamente, de cada uma das Partes.
2.4. Segurança. Cada uma das Partes garante que cumprirá com todas as políticas, regras e
orientações de segurança da informação, em especial no que concerne aos Dados Pessoais, incluindo
questões relativas a armazenamento, criptografia, controles de acesso (dupla autenticação,
manutenção de inventário detalhado) e serviços de firewalls, a fim de protegê-los contra perdas,
destruições, alterações, divulgações e acessos não autorizados, sejam esses acidentais ou não (o
“Incidente”), devendo adotar medidas para garantir adequada segurança contra os riscos apresentados
em decorrência da natureza dos Dados Pessoais. Cada Parte compromete-se a informar a outra Parte sem
demora injustificada, em até 72 (setenta e duas) horas, após conhecimento ou mera suspeita de um
Incidente ou Tratamento não autorizado de Dados Pessoais.
2.5. Auditoria. Cada Parte disponibilizará a outra Parte toda documentação necessária para
demonstrar cumprimento às obrigações estabelecidas neste APD ou na legislação de proteção de dados
aplicável, sendo facultado ao Cliente a realização de auditorias, por si ou mediante terceiros por
ela indicado, nos
documentos ou sistemas da Avant, desde que haja comunicação prévia com pelo menos 30 (trinta) dias
de antecedência e as atividades normais da Avant não sejam prejudicadas.
2.5.1. Caso a auditoria revele alguma inadequação, como por exemplo, mas não se limitando, ao uso e
compartilhamento não autorizados de Dados Pessoais, a Avant compromete-se a desenvolver e a fornecer
ao Cliente um plano de ação corretivo e um cronograma de execução, sob pena de imediata rescisão do
Contrato, sem prejuízo do pagamento de indenização pelos danos efetivamente sofridos pela Cliente e
terceiros, desde que devidamente comprovados.
2.6. Exercício de Direitos. Caso algum titular dos Dados Pessoais Tratados por alguma das Partes no
âmbito de sua relação com a outra Parte faça alguma requisição a quaisquer das Partes no exercício
de seus direitos previstos nas legislações pertinentes de proteção de dados, como por exemplo, mas
sem limitação, solicite a alteração, atualização, correção, acesso, portabilidade ou exclusão de
seus Dados Pessoais, as Partes deverão comunicar tal fato imediatamente entre si e proceder ao
atendimento da requisição feita pelo titular dos Dados Pessoais de forma gratuita.
2.7. Exclusão dos Dados. Cada Parte reconhece que após atingida a finalidade do Tratamento quanto
aos Usos Permitidos e/ou terminada a relação entre as Partes, tal Parte deverá destruir os Dados
Pessoais ou garantir sua efetiva Anonimização. Ainda, os Dados Pessoais serão excluídos dos sistemas
da de tal Parte. Todos os dados enviados para a Avant serão permaneceram disponíveis somente até
90(noventa) dias, após este período serão excluídos e destruídos.
Caso o Cliente desejar continuar tendo acesso ao conteúdo das comunicações por mais de 90 dias, o
mesmo deverá salvar estas informação na sua estrutura interna de armazenamento, sendo que a partir
do período de 90 (noventa) dias o Cliente/Contratante será o único responsável pelo tratamento e
anonimização dos dados e informações trafegadas junto a Avant.
2.7.1. Em conformidade com as melhores práticas de mercado, cada Parte concorda em cumprir com a
legislação aplicável, informando aos titulares dos Dados Pessoais, sempre que necessário, sobre o
procedimento detalhado para se oporem ao Tratamento de seus Dados Pessoais, assim como para
solicitar sua exclusão, disponibilizando, por exemplo e se cabível, links que ofereçam tais
possibilidades.
2.8. Subcontratação e Transferência Internacional. A Avant poderá armazenar e tratar os dados
coletados durante a prestação de serviços em servidores de empresas localizados em outros países,
incluindo países membros dos Continentes da América, África, Ásia, Europa, Oceania e Antártida
(“Subcontratado”). A relação contratual estabelecida com o Subcontratado deverá: (i) seguir, no
mínimo, os mesmos parâmetros de segurança da informação e de proteção de dados pessoais
estabelecidos no Contrato; (ii) impor ao Subcontratado a obrigação de cumprimento de todas as Leis
aplicáveis às atividades desempenhadas no âmbito da prestação dos serviços e execução das demais
atividades previstas no Contrato, incluindo as normas sobre proteção de dados pessoais, privacidade
e sigilo; e (iii) estabelecer obrigações de transferência de dados, de modo a manter os mesmos
padrões de segurança e privacidade de dados estabelecidos no Contrato.
2.9. Compartilhamento. Cada uma das Partes declara e reconhece que, em razão da natureza dos Dados
Pessoais, somente será autorizada a comunicação e/ou o uso compartilhado de Dados Pessoais com a
prévia e expressa autorização da outra Parte, principalmente se houver objetivo de obter vantagem
econômica.
2.9.1. Sempre que possível, os Dados Pessoais serão Tratados e compartilhados de forma Anonimizada,
preservando a identidade das Partes e dos titulares dos Dados Pessoais.