CONTRATO DE PROTEÇÃO DE DADOS – DPA

Este Contrato de Proteção de Dados (“DPA”) torna-se vigente a partir da contratação da plataforma MessengerPeople e aceitação dos termos e condições gerais (“contrato”) a ela atrelados.

O cliente deverá disponibilizar à MessengerPeople e o cliente autoriza a MessengerPeople a tratar informações, incluindo dados pessoais para a utilização da plataforma nos termos do contrato. As partes concordaram em celebrar este DPA para confirmar as regras de proteção de dados relativas ao seu relacionamento, bem como para cumprir os requisitos da Legislação de Proteção de Dados aplicável.

 

1.    Definições

  • Para os fins deste DPA:
  1. Legislação de Proteção de Dados” significa a legislação que protege os direitos e liberdades fundamentais dos indivíduos e, em particular, o seu direito à privacidade no que diz respeito ao tratamento de dados pessoais pelo cliente como controlador de dados, incluindo, sem limitação, todas as leis (inter)nacionais vinculativas e outras diretivas vinculativas de proteção de dados ou segurança de dados, leis, regulamentos e decisões válidas em determinado momento, incluindo quaisquer orientações e códigos de práticas emitidos pela autoridade supervisora aplicável;
  2. Dados Pessoais” significa qualquer informação relativa a uma pessoa física identificada ou identificável (“titular dos dados“). Assim, uma pessoa identificável é aquela que poderá ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, identificador online ou a um ou mais fatores específicos de ordem física, fisiológica, genética, identidade mental, econômica, cultural ou social dessa pessoa;
  3. Tratamento de (Dados)” significa toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, tratamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração
  4. Dados pessoais sensíveis” significa dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
  5. Medidas Técnicas e Organizacionais” ou TOMs significa medidas destinadas a proteger Dados Pessoais contra destruição acidental ou ilícita ou perda acidental, alteração, divulgação ou acesso não autorizado. Isso inclui os requisitos de segurança aplicáveis acordados, as instruções de segurança e suas atualizações aplicáveis a cada momento, descritas no Anexo 1 (Medidas Técnicas e Organizacionais) deste DPA, na Ordem de Serviço e/ou Especificação do Serviço;
  6. Os termos “controlador de dados” e “operador de dados” terão os significados que lhes são atribuídos na RGPD (“Regulamento Geral de Proteção de Dados Europeu”).

 

2.    Responsabilidade Das Partes

As partes entendem que para a utilização da plataforma é feita uma distinção entre dois tipos de tratamento de Dados Pessoais: (i) a prestação dos serviços (ou seja, o banco de dados de registros de dados de chamadas e os logs criados e gerenciados pela MessengerPeople em nome e sob a supervisão do cliente) para o qual a MessengerPeople atuará como um operador de dados e concorda em cumprir com as respectivas obrigações estabelecidas neste DPA, e (ii) a transmissão de mensagens pela MessengerPeople e outras plataformas de mensagens (doravante denominado “Provedores de Serviços”) para os quais a MessengerPeople atuará como controlador de dados.

 

3.    Objeto, Natureza E Finalidade Do Tratamento De Dados Pessoais Da MessengerPeople

  • O objeto, a natureza e a finalidade do tratamento de Dados Pessoais nos termos deste DPA são a execução por parte da MessengerPeople dos termos do Contrato para uso da plataforma MP, conforme instruído posteriormente pelo cliente (“Instruções“), a menos que seja necessário fazê-lo de forma diversa conforme estabelecido e na medida permitida pela Legislação de Proteção de Dados e/ou leis relevantes.
  • As instruções do cliente deverão ser efetuadas por escrito (incluindo, mas não se limitando a, e-mail) ou poderão ser fornecidas por meio de configurações e uso do(s) portal(ais) e/ou software da MessengerPeople.

 

4.    Vigência e Prazo de Retenção

  • A MessengerPeople deverá apenas coletar ou tratar Dados Pessoais durante a vigência do Contrato, na medida e conforme necessário, para a utilização da plataforma e de acordo com o Contrato e a Legislação de Proteção de Dados aplicável à MessengerPeople, conforme sua função no tratamento de Dados Pessoais.
  • O tratamento de Dados Pessoais será realizado pela MessengerPeople após o término do Contrato desde que necessário para cumprir com as obrigações deste DPA ou quando necessário devido à obrigação legal e/ou norma vinculante, salvo acordo expresso das partes de forma diversa.

 

5.    Tipo De Dados Pessoais Tratados

As seguintes categorias de Dados Pessoais poderão ser tratadas no âmbito do contrato, cuja extensão é determinada e controlada pelo cliente a seu exclusivo critério e poderá incluir, mas não está limitada às seguintes categorias de Dados Pessoais:

  • Informações de contato (empresa, e-mail, telefone, endereço físico);
  • Primeiro e último nome;
  • Dados de identificação;
  • Cargo;
  • Função;
  • Empregador;
  • Dados de conexão;
  • Dados de localização; e
  • Outros dados, conforme definido no Contrato, conforme acordado entre as partes.

 

 

6.    Tipos de Titulares de Dados

O cliente poderá enviar Dados Pessoais através da utilização da plataforma, sendo certo que a extensão da utilização será determinada e controlada pelo cliente, a seu exclusivo critério, que poderão incluir, mas não limitando, Dados Pessoais relacionados às seguintes categorias de titulares de dados:

 

  • Clientes, parceiros de negócios e fornecedores do cliente (que sejam pessoas físicas);
    • Pessoas de contato e/ou funcionários do Cliente, dos parceiros de negócio ou dos fornecedores, parceiros de negócios e fornecedores do cliente;
    • Funcionários, agentes, consultores e profissionais autônomos prestadores de serviços vinculados ao Cliente (que sejam pessoas físicas); e
    • Usuários da plataforma que o cliente – a seu exclusivo critério – autorize e/ou permita utilizá-la.

 

 

7.    Suboperadores

  • O cliente concorda que a MessengerPeople poderá envolver uma afiliada do Grupo Sinch ou terceiros para tratar dados pessoais a fim de ajudar a MessengerPeople a fornecer a plataforma em nome do cliente (“Suboperadores“). A MessengerPeople tem ou irá celebrar um acordo por escrito com cada Suboperador contendo obrigações de proteção de dados, que não sejam menos estritas do que aquelas que constam deste DPA, na medida aplicável à natureza dos serviços fornecidos por tal Suboperador.
  • Para evitar dúvidas, quando qualquer Suboperador deixar de cumprir suas obrigações, sob qualquer contrato de subtratamento ou sob a lei aplicável, a MessengerPeople permanecerá totalmente responsável perante o cliente pelo cumprimento de suas obrigações nos termos deste DPA.

 

8.    Transferência Internacional

  • Sempre que a MessengerPeople (ou seus Suboperadores) tratar Dados Pessoais em outros países que não o país em que a MessengerPeople está estabelecida, a MessengerPeople garantirá um nível adequado de proteção de Dados Pessoais por meio de medidas organizacionais, técnicas e contratuais conforme exigido pela Legislação de Proteção de Dados aplicável e este DPA.
  • A MessengerPeople realizará a transferência internacional de dados nos termos das Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia para a transferência de Dados Pessoais quando (i) os Dados Pessoais de um Controlador de Dados baseado na EEE ou na Suíça são processados em um país fora do EEE, Suíça e qualquer país, organização ou território reconhecido pela União Europeia como país seguro com um nível adequado de proteção de dados nos termos do art. 45, da RGPD, e nenhum outro mecanismo de transferência legal, como Regras Societárias Vinculantes (art. 47, RGPD) ou Código de Conduta (art. 40, RGPD) está disponível, ou quando (ii) Dados Pessoais de outro Controlador de Dados é processado internacionalmente e esse processamento internacional requer um meio de adequação de acordo com as leis do país do Controlador de Dados e os meios de adequação necessários podem ser cumpridos ao entrar em Cláusulas Contratuais Padrão. O cliente fornece uma procuração para que a MessengerPeople possa celebrar, em nome do cliente, quaisquer Cláusulas Contratuais Padrão Europeias aprovadas pela Comissão Europeia com um Suboperador aprovado, conforme estabelecido na cláusula 7 acima,
  • No caso da Comissão Europeia aprovar Cláusulas Contratuais Padrão Europeias celebradas entre a MessengerPeople e o cliente, as respectivas cláusulas se aplicarão até que uma autoridade supervisora competente de um Estado-Membro, de um tribunal da União Europeia e/ou de um Estado-Membro competente aprove um novo mecanismo de transferência legal aplicável às transferências de dados cobertas pelas Cláusulas Contratuais Padrão Europeias. No caso de tal mecanismo se aplicar apenas a algumas das transferências de dados, as Cláusulas Contratuais Padrão Europeias permanecerão aplicáveis para as transferências que não poderão ser cobertas pelo novo mecanismo de transferência legal.
    • Os direitos concedidos aos titulares dos dados ao abrigo deste DPA e das Cláusulas Contratuais Padrão Europeias poderão ser aplicados pelo titular dos dados contra a MessengerPeople, independentemente de qualquer restrição nas Cláusulas 3 ou 6 das Cláusulas Contratuais Padrão Europeias. Respectivos direitos são pessoais e não poderão ser atribuídos a terceiros. O titular dos dados só poderá apresentar uma reclamação ao abrigo deste DPA e das Cláusulas Contratuais Padrão Europeias individualmente, e não como parte de uma ação coletiva, de grupo ou representativa.
    • Além da Cláusula 5 (b) das Cláusulas Contratuais Padrão Europeias, a MessengerPeople concorda que, no momento da celebração do Contrato, não tem motivos para acreditar que a legislação aplicável a MessengerPeople ou a seus Suboperadores, incluindo em qualquer país em que os Dados Pessoais são transferidos pela MessengerPeople ou por meio de um Suboperador, a impede de cumprir as instruções recebidas do cliente e suas obrigações nos termos das Cláusulas Contratuais Padrão Europeias. No caso de uma alteração nesta legislação, que provavelmente terá um efeito adverso nas garantias e obrigações previstas nas Cláusulas Contratuais Padrão Europeias, a MessengerPeople notificará a alteração ao cliente assim que tiver conhecimento, caso em que o cliente tem o direito de suspender a transferência de dados e/ou rescindir o Contrato.
    • Para os fins desta seção, os esforços legais não incluem ações que resultariam em penalidades civis ou criminais, como desacato ao tribunal sob as leis da jurisdição relevante:
  1. a) Caso a MessengerPeople receba um pedido de terceiros para divulgação forçada de quaisquer Dados Pessoais que tenham sido transferidos de acordo com as Cláusulas Contratuais Padrão Europeias, a MessengerPeople deverá, sempre que possível, redirecionar o terceiro para solicitar dados diretamente do cliente.
  2. b) Caso a MessengerPeople receba um pedido de qualquer terceiro para a divulgação forçada de quaisquer Dados Pessoais que tenham sido transferidos de acordo com as Cláusulas Contratuais Padrão Europeias, a MessengerPeople envidará todos os esforços legais para contestar o pedido de divulgação com base em quaisquer deficiências legais sob as leis da parte requerente ou quaisquer conflitos relevantes com a legislação da União Europeia ou com a legislação aplicável dos Estados-Membros.

 

9.    Medidas Técnicas E Organizacionais

A MessengerPeople implementou e mantém medidas técnicas e organizacionais adequadas para proteger Dados Pessoais tratados contra tratamentos não autorizado ou ilegal e contra perda acidental, destruição, dano, alteração ou divulgação. Estas medidas são descritas no Anexo 1 (Medidas Técnicas e Organizacionais).

 

10.  Garantias De Qualidade E Outras Funções Da MessengerPeople

  • A MessengerPeople deverá cumprir os seguintes requisitos:
  • não realizar nenhum tratamento de Dados Pessoais, exceto por instruções do controlador de dados e/ou quando exigido por uma autoridade nos termos da lei;
  • implementar um registro de tratamento de dados;
  • implementar medidas técnicas e organizacionais para garantir um nível de segurança de dados adequado ao nível de risco apresentado pelo tratamento de Dados Pessoais;
  • cooperar com a autoridade supervisora de proteção de dados no desempenho de suas funções;
  • notificar a violação de Dados Pessoais à autoridade supervisora e ao titular dos dados; e
  • realizar uma avaliação de impacto à proteção de dados quando necessário de acordo com a lei e consultar a autoridade supervisora antes do tratamento de dados, quando a avaliação de impacto à proteção de dados indicar que o tratamento resultaria em um alto risco na ausência de medidas tomadas pelo controlador de dados para mitigar o risco;

 

E garante, em particular, o cumprimento dos seguintes requisitos:

 

  1. Nomear um encarregado pelo tratamento de dados pessoais, que desempenhará suas funções em conformidade com a Legislação de Proteção de Dados. Os detalhes de contato do encarregado de proteção de dados (DPO) estão disponíveis na página oficial da MessengerPeople na web. Caso a parte contratante da MessengerPeople não estiver estabelecida na União Europeia, a MessengerPeople nomeará uma pessoa de contato responsável na União Europeia e/ou um encarregado oficial de proteção de dados de acordo com a Legislação de Proteção de Dados.
  2. Confidencialidade de acordo com a Legislação de Proteção de Dados. A MessengerPeople confia o tratamento de dados descrito neste DPA apenas aos funcionários que estão sujeitos à confidencialidade e que foram previamente familiarizados com as disposições de proteção de dados relevantes para seu trabalho. A MessengerPeople e qualquer pessoa agindo sob sua autoridade que tenha acesso aos Dados Pessoais, não deverá tratar esses dados, a menos que sob instruções do cliente (o que inclui os poderes concedidos neste DPA), e/ou, a menos que exigido pela Legislação de Proteção de Dados.
  3. Às custas e despesas do cliente, e levando em consideração a natureza do tratamento e as informações disponíveis, a MessengerPeople fornecerá as informações e assistência que o cliente possa razoavelmente exigir, dentro dos prazos razoavelmente especificados pelo cliente, para auxiliá-lo a cumprir suas obrigações sob a Legislação de Proteção de Dados aplicável, que poderá incluir:
    • notificar o cliente de qualquer solicitação que a MessengerPeople receba para um titular de dados relativos a dados pessoais tratados e notificar o titular dos dados para entrar em contato com o cliente se quiser usar seus direitos;
    • cumprir suas obrigações de segurança;
    • cumprir suas obrigações de responder às solicitações relacionadas ao exercício dos direitos do titular dos dados, incluindo direito de acesso, direito de retificação, direito de apagamento (“direito de ser esquecido”) direito de restrição de tratamento (na medida em que os dados pessoais não estejam acessíveis ao cliente por meio da plataforma); realizar a Avaliação do Impacto à Proteção de Dados, auditar a conformidade da Avaliação do Impacto à Proteção de Dados e consultar a autoridade supervisora; e
    • seguir a Avaliação de Impacto à Proteção de Dados.
  4. Para os fins desta seção, os esforços legais não incluem ações que resultariam em penalidades civis ou criminais, como desacato ao tribunal sob as leis da jurisdição relevante:
    • A menos que proibido pela lei aplicável, norma regulamentar vinculante ou por um pedido legalmente vinculativo de aplicação da lei, a MessengerPeople notificará imediatamente o cliente de qualquer pedido realizado por qualquer funcionário do governo, autoridade supervisora de proteção de dados e/ou autoridade policial em relação a quaisquer dados pessoais e, se proibido de notificar o cliente, a MessengerPeople envidará todos os esforços legais para obter o direito de renunciar à proibição a fim de comunicar o máximo de informações ao cliente o mais rápido possível
  5. A MessengerPeople deverá monitorar periodicamente os processos internos e os TOMs para garantir que o tratamento dentro da área de responsabilidade da MessengerPeople esteja de acordo com os requisitos da Legislação de Proteção de Dados e a proteção dos direitos do titular dos dados.

11.  Auditorias E Inspeções

  • No caso de o cliente, um regulador ou autoridade de proteção de dados exigir informações adicionais ou uma auditoria relacionada a plataforma, a MessengerPeople concorda em conceder acesso às suas instalações de tratamento de dados, arquivos de dados e documentação necessária para o tratamento de Dados Pessoais. A MessengerPeople concorda em fornecer cooperação razoável durante tais operações, incluindo o fornecimento de todas as informações relevantes e acesso a todos os equipamentos, software, dados, arquivos, sistemas de informação etc., usados para a execução da plataforma, incluindo o tratamento de Dados Pessoais.
  • O direito de auditoria, conforme descrito na cláusula 11.1, será aplicável para o cliente, caso a MessengerPeople não tenha fornecido evidências suficientes de seu cumprimento das medidas técnicas e organizacionais. Evidências suficientes incluem o fornecimento de: (i) uma certificação quanto à conformidade com a ISO 27001 ou outras normas implementadas pela MessengerPeople (escopo conforme definido no certificado); ou (ii) um relatório de auditoria ou certificação de um terceiro independente. Uma auditoria, conforme descrito na cláusula 11.1, deverá ser realizada por conta e custo do cliente. Uma auditoria poderá ser feita pelo cliente ou qualquer terceiro razoavelmente aceitável para a MessengerPeople (que não deverá incluir quaisquer auditores terceiros que sejam concorrentes da MessengerPeople ou não devidamente qualificados ou independentes) para verificar a conformidade com este DPA, bem como o cumprimento das medidas técnicas e organizacionais da MessengerPeople, desde que mediante aviso prévio razoável de, no mínimo, trinta (30) dias e celebração de um acordo de não divulgação diretamente entre MessengerPeople e o auditor.

 

12.  Notificação De Violação De Dados

  • Caso a MessengerPeople fique ciente de qualquer violação de segurança que resulte na destruição acidental, não autorizada ou ilícita, na divulgação não autorizada ou ainda no acesso a Dados Pessoais, a MessengerPeople deverá, entre outras coisas:
  1. Notificar o cliente por escrito imediatamente, mas não depois de 72 (setenta e duas) horas após tomar conhecimento da violação de Dados Pessoais;
  2. Auxiliar o cliente no que diz respeito à obrigação do cliente de fornecer informações ao titular dos dados e de fornecer ao cliente informações relevantes a esse respeito;
  3. Apoiar o cliente em consultas com autoridade de proteção de dados.
  • Na medida do legalmente possível, a MessengerPeople poderá reclamar uma compensação pelos serviços de apoio nos termos desta cláusula 12 que não sejam atribuíveis a violações de Dados Pessoais causadas pela MessengerPeople.

 

13.  Eliminação De Dados Pessoais

  • A MessengerPeople é obrigada a eliminar os Dados Pessoais conforme estipulado no Contrato e de acordo com a Legislação de Proteção de Dados, leis relevantes e/ou normas vinculantes.
  • O cliente tem o direito de solicitar a execução dos direitos e obrigações descritos na cláusula 13.1 durante a duração de todo o DPA.
  • As obrigações legais de retenção ou obrigações contratuais para com os Provedores de Serviços da MessengerPeople (por exemplo, mas não limitado aos operadores) permanecem inalteradas pelas disposições acima. A documentação que serve como evidência para um tratamento de dados ordenado, de acordo com as disposições do DPA, deverá ser retida pela MessengerPeople após o encerramento do DPA, conforme a Legislação de Proteção de Dados, leis relevantes e/ou normas vinculantes.

 

14.  Obrigações Da MessengerPeople Como Controlador De Dados

Em situações em que a MessengerPeople atuará como controlador de dados, ela se compromete a cumprir com suas obrigações nos termos da Legislação de Proteção de Dados aplicável em relação a quaisquer dados pessoais tratados em relação ao Contrato e a plataforma. A MessengerPeople deverá tratar esses dados pessoais em conexão com a transmissão de mensagens e para cumprir suas obrigações associadas nos termos do Contrato ou conforme exigido por lei, ordem judicial ou qualquer autoridade governamental ou reguladora e de acordo com sua política de privacidade, que está disponível em conforme alterado de tempos em tempos, se necessário.

 

15.  Obrigações Do Cliente

O cliente deverá cumprir em todos os momentos a Legislação de Proteção de Dados em relação ao tratamento de dados pessoais em conexão com o Contrato e a plataforma. O cliente deverá informar a MessengerPeople por escrito caso seja aplicável legislação adicional ao Tratamento de Dados Pessoais que não a legislação do país onde o cliente está estabelecido.

 

16.  Limitação De Responsabilidade

  • A responsabilidade de cada parte e de todas as suas afiliadas do Grupo Sinch, em conjunto no agregado, decorrente de ou relacionada a este DPA seja em contrato, ato ilícito ou sob qualquer outra teoria de responsabilidade, está sujeita à seção de Limitação de Responsabilidade do Contrato, e qualquer referência em tal seção à responsabilidade de uma parte significa a responsabilidade agregada dessa parte e de todas as suas afiliadas nos termos do Contrato e deste DPA.
  • A cláusula 16.1 não se aplica se o dano tiver sido causado pela implementação incorreta do serviço encomendado realizada pelo cliente ou por uma instrução dada pelo cliente. Nesse caso, o cliente será responsável por tais danos.

 

17. Disposições Diversas

  • O DPA é parte integrante do Contrato entre o cliente e a MessengerPeople. Em caso de conflito entre as disposições obrigatórias nas Cláusulas Contratuais Padrão Europeias e este DPA, as Cláusulas Contratuais Padrão Europeias prevalecem. Em caso de outros conflitos entre outros documentos (inclusive em caso de conflito entre o Contrato e este DPA), o DPA prevalecerá.
  • Caso qualquer disposição deste DPA seja ou se torne inválida ou contenha uma lacuna, as disposições restantes não serão afetadas. O cliente e a MessengerPeople comprometem-se a substituir a disposição inválida por disposições legalmente válidas que mais se aproximam do interesse da disposição inválida, respectivamente, que preenche a lacuna.

 

 

 

ANEXO 1 ao Contrato de Proteção de Dados – Medidas Técnicas e Organizacionais

 

A MessengerPeople implementará as medidas descritas neste Anexo 1, desde que as medidas contribuam, direta ou indiretamente, ou possam contribuir para a proteção de Dados Pessoais no âmbito do Contrato celebrado entre as partes para o tratamento de dados.

As medidas técnicas e organizacionais implementadas pela MessengerPeople são baseadas no estado atual da tecnologia, os custos de implementação e a natureza, âmbito, circunstâncias e finalidades do tratamento e a probabilidade e gravidade do risco aos direitos e liberdades dos indivíduos são verdadeiras. As Medidas Técnicas e Organizacionais estão sujeitas ao progresso e desenvolvimento técnico. A este respeito, a MessengerPeople está autorizada a implementar medidas alternativas adequadas. O nível de segurança deverá estar alinhado com as melhores práticas de segurança do setor, e não menos do que as medidas aqui estabelecidas. Todas as principais alterações deverão ser acordadas com o cliente e documentadas.

As Medidas Técnicas e Organizacionais incluídas neste Anexo 1 são medidas aplicáveis à plataforma.

 

1.    Gestão De Riscos E Procedimentos Para Validação, Revisão E Avaliação

  1. A MessengerPeople deverá identificar e avaliar os riscos de segurança relacionados à confidencialidade, integridade e disponibilidade e, com base nessa avaliação, implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco;
  2. A MessengerPeople deverá ter processos e rotinas documentados para lidar com os riscos em suas operações e ao tratar dados pessoais em nome do cliente;
  • A MessengerPeople deverá avaliar periodicamente os riscos relacionados aos sistemas de informação e tratamento, armazenamento e transmissão de informações;
  1. A MessengerPeople deverá identificar e avaliar os riscos de segurança relacionados à confidencialidade, integridade e disponibilidade e, com base em tal avaliação, implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco dos tipos e finalidades de Dados Pessoais específicos sendo tratados pela MessengerPeople, incluindo, entre outros, conforme o caso:
  2. A pseudonimização e criptografia de dados pessoais;
  3. A capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de tratamento;
  4. A capacidade de restaurar a disponibilidade e o acesso aos dados do cliente em tempo hábil no caso de um incidente físico ou técnico;
  5. A MessengerPeople deverá estabelecer um processo para testar regularmente, diagnosticar e avaliar a eficácia das medidas técnicas e organizacionais para garantir a segurança do tratamento;
  6. A MessengerPeople deverá avaliar periodicamente os riscos relacionados aos sistemas de informação e tratamento de dados pessoais (por exemplo, ao armazenar e transmitir dados pessoais);
  • A MessengerPeople deverá monitorar, revisar e auditar regularmente a conformidade do Suboperador com as Medidas Técnicas e Organizacionais. Do mesmo modo, a MessengerPeople deverá, a pedido do cliente, fornecer evidências sobre a conformidade do Suboperador com as Medidas Técnicas e Organizacionais.
  • A MessengerPeople atuará de acordo com os princípios de proteção de dados, desde o projeto (privacy by design) e por padrão (privacy by default), bem como fornecerá documentação suficiente da implementação da proteção de dados desde o projeto e por padrão.

 

2.    Medidas Organizacionais

A organização interna do operador de dados deverá atender aos requisitos específicos de proteção de dados.

 

A.     Políticas e Gerenciamento de Políticas

  1. A MessengerPeople deverá ter um sistema de gestão de segurança da informação (ISMS) definido e documentado, incluindo uma política e procedimentos de segurança da informação em vigor, que deverão ser aprovados pela administração da MessengerPeople. Tais documentos deverão ser publicados dentro da organização da MessengerPeople e comunicados às pessoas relevantes da MessengerPeople.
  2. A MessengerPeople deverá rever periodicamente suas políticas e procedimentos relativos à proteção de dados e segurança da informação, atualizando-os, se necessário, para garantir a sua conformidade com as Medidas Técnicas e Organizacionais e o DPA.

 

B.     Organização de Proteção de Dados e Segurança da Informação

  1. A MessengerPeople deverá indicar pelo menos um encarregado pelo tratamento de dados pessoais com as competências adequadas e atuante como o principal contato para a proteção de dados. Se exigido por lei ou norma vinculante, a MessengerPeople nomeará um encarregado de proteção de dados.
  2. A MessengerPeople deverá ter funções e responsabilidades de segurança definidas e documentadas em sua organização.

 

C.     Requisitos Organizacionais

  1. A MessengerPeople deverá garantir que o pessoal da MessengerPeople trate as informações de acordo com o nível de confidencialidade exigido pelo DPA e que tenha o compromisso por escrito dos funcionários em manter a confidencialidade.
  2. A MessengerPeople deverá garantir que as pessoas relevantes da MessengerPeople estejam cientes do uso aprovado (incluindo restrições de uso, conforme o caso) de informações, instalações e sistemas nos termos do DPA.
  • A MessengerPeople deverá garantir que qualquer colaborador(a) da MessengerPeople que desempenhe atribuições nos termos do DPA seja confiável, atenda aos critérios de segurança estabelecidos e tenha sido, durante o prazo da atribuição, sujeito a uma triagem adequada e verificação de antecedentes (se permitido pela lei aplicável).
  1. A MessengerPeople deverá garantir que os(as) colaboradores(as) da MessengerPeople com responsabilidades de segurança seja adequadamente treinado para realizar as tarefas relacionadas à segurança.
  2. A MessengerPeople deverá fornecer ou garantir treinamento periódico de conscientização para os(as) colaboradores(as) da MessengerPeople. Esse treinamento MessengerPeople deverá incluir, sem limitação:
  3. Como lidar com a segurança da informação do cliente (ou seja, a proteção da confidencialidade, integridade e disponibilidade da informação);
  4. Porque a segurança da informação é necessária para proteger as informações e sistemas dos clientes;
  5. Os tipos comuns de ameaças à segurança (como roubo de identidade, malware, hacking, vazamento de informações e ameaça interna);
  6. A importância de cumprir as políticas de segurança da informação e aplicar os padrões/procedimentos associados; e
  7. Responsabilidade pessoal pela segurança da informação (como proteger as informações relacionadas à privacidade do cliente e relatar violações de dados reais e suspeitas).

 

3.    Confidencialidade

A.     Controle de Acesso (Segurança física e ambiental)

  1. A MessengerPeople deverá proteger as instalações de tratamento de informações contra ameaças e riscos externos e ambientais, incluindo falhas de energia/cabeamento e outras interrupções causadas por falhas no suporte aos serviços públicos. Isso inclui perímetro físico e proteção de acesso.
  2. A MessengerPeople deverá proteger os bens contra roubo, furto, manipulação e destruição.
  • A MessengerPeople deverá especificar os indivíduos autorizados permitidos em suas instalações de tratamento e ter um processo de controle de acesso.
  1. Medidas adicionais para data centers:
  2. Todos os data centers aderem a procedimentos de segurança rígidos apoiados por guardas, câmeras de vigilância, detectores de movimento, mecanismos de controle de acesso e outras medidas para evitar que os equipamentos e as instalações do data center sejam comprometidos.
  3. Apenas representantes autorizados têm acesso aos sistemas e infraestrutura dentro das instalações do data center.
  4. Para proteger a funcionalidade adequada, os equipamentos de segurança física (por exemplo, sensores de movimento, câmeras etc.) passam por manutenção regularmente.
  5. A MessengerPeople e todos os provedores de data centers terceirizados registram os nomes e horários do pessoal autorizado que entra nas áreas privadas da MessengerPeople dentro dos data centers.

 

B.     Controle de acesso (Lógico)

  1. A MessengerPeople deverá ter uma política de controle de acesso definida e documentada para instalações, sites, redes, sistemas, aplicativos e acesso a informações/dados (incluindo controles de acesso físico, lógico e remoto), um processo de autorização para acessos de usuários e privilégios, bem como procedimentos para revogar acesso direitos e um uso aceitável de privilégios de acesso para os(as) colaboradores(as) da MessengerPeople no local.
  2. A MessengerPeople deverá ter um registro de usuário formal e documentado e um processo de cancelamento de registro implementado para permitir a atribuição de direitos de acesso.
  • A MessengerPeople deverá ter um processo de joiner-mover-leaver para seus colaboradores.
  1. A MessengerPeople deverá atribuir todos os privilégios de acesso com base no princípio da necessidade de tomar conhecimento e no princípio do menor privilégio.
  2. A MessengerPeople deverá usar autenticação forte (multifatorial) para usuários de acesso remoto e usuários que se conectam a partir de uma rede não confiável.
  3. A MessengerPeople deverá garantir que os(as) colaboradores(as)da MessengerPeople tenham um identificador pessoal e único (ID do usuário) e usem uma técnica de autenticação adequada, que confirme e garanta a identidade dos usuários.

 

C.     Criptografia/Pseudonimização/Anonimização

  1. A MessengerPeople deverá garantir o uso adequado e eficaz de criptografia nas informações classificadas como confidenciais e secretas (como dados pessoais).
  2. A MessengerPeople deverá proteger as chaves criptográficas e armazená-las de acordo com a legislação aplicável.
  • A MessengerPeople implementará medidas adequadas para pseudonimização (substituição de identificadores pessoais por informações não pessoais), quando necessário e/ou adequado.
  1. A MessengerPeople implementará medidas adequadas para anonimato (desidentificar identificadores pessoais com informações não pessoais), quando necessário e/ou adequado.

 

D.     Diretrizes sobre a admissão nas instalações do cliente e/ou instalações MessengerPeople

A autorização de acesso às instalações e propriedades (como edifícios de datacenter, edifícios de escritórios e locais técnicos) está sujeita ao seguinte:

  1. A MessengerPeople deverá seguir os regulamentos locais (como regulamentos para “áreas restritas”) para as instalações do cliente, nos termos do Contrato.
  2. Os(as) colaboradores(as) da MessengerPeople deverão portar carteira de identidade ou, no caso de visitantes, um crachá de visitante, visível o tempo todo durante o trabalho.
  • Após o emprego ou conclusão da tarefa, ou quando o(a) coladorador(a) da MessengerPeople é transferido para outras tarefas, o(a) colaborador(a) deverá, sem demora, informar à equipe responsável e devolver quaisquer chaves, cartões-chave, certificados, crachás de visitante e itens semelhantes.
  1. Chaves ou cartões-chave deverão ser assinados pessoalmente pelos(as) colaboradores(as) da MessengerPeople e deverão ser manuseados de acordo com as regras escritas dadas no recebimento.
  2. A perda da chave ou do cartão-chave deverá ser comunicada sem demora à equipe responsável.
  3. Fotografar dentro ou nas instalações sem permissão é proibido.
  • Bens não deverão ser removidos das instalações sem permissão.
  • A MessengerPeople não deverá permitir o acesso de pessoas não autorizadas às instalações.

 

4.    Segurança Das Operações

  1. A MessengerPeople deverá ter um sistema de gerenciamento de mudanças estabelecido para fazer mudanças nos processos de negócios, instalações e sistemas de tratamento de informações. O sistema de gerenciamento de mudanças deverá incluir testes e revisões antes que as mudanças sejam implementadas, tais como procedimentos para lidar com mudanças urgentes, procedimentos de reversão para se recuperar de mudanças que falharam, logs que mostram o que foi alterado, quando e por quem.
  2. A MessengerPeople implementará proteção contra malware para garantir que qualquer software usado para o fornecimento plataforma ao cliente seja protegido contra malware.
  • A rede da MessengerPeople é protegida da rede pública por firewalls.
  1. A MessengerPeople deverá fazer cópias de backup de informações críticas e testar cópias de backup para garantir que as informações possam ser restauradas conforme acordado com o cliente.
  2. A MessengerPeople deverá registrar e monitorar as atividades, tais como criar, ler, copiar, alterar e excluir os dados tratados, bem como exceções, falhas e eventos de segurança da informação e revisá-los regularmente. Além disso, a MessengerPeople deverá proteger e armazenar (por pelo menos 6 (seis) meses ou durante o(s) período(s) definido(s) pela Legislação de Proteção de Dados e/ou outras normas aplicáveis) informações de registro e, mediante solicitação, fornecer dados de monitoramento ao cliente. Anomalias/incidentes/indicadores de comprometimento deverão ser reportados de acordo com os requisitos de gestão de violação de dados, conforme estabelecido abaixo.
  3. A MessengerPeople gerenciará vulnerabilidades de todas as tecnologias relevantes, tais como sistemas operacionais, bancos de dados e aplicativos, de forma proativa e em tempo hábil.
  • A MessengerPeople deverá estabelecer linhas de base de segurança (reforço) para todas as tecnologias relevantes, tais como sistemas operacionais, bancos de dados e aplicativos.
  • A MessengerPeople deverá garantir que o desenvolvimento seja segregado do ambiente de teste e produção.

 

5.    Integridade

  1. A MessengerPeople deverá implementar controles de segurança de rede, como nível de serviço, firewall e segregação para proteger os sistemas de informação.
  2. A MessengerPeople opera um sistema de detecção de phishing e SPAM com o objetivo de proteger seus clientes e a MessengerPeople (e os Dados Pessoais dos quais as partes são o controlador) contra conteúdo indesejado e a propagação de SPAM/phishing, bem como para cumprir os requisitos do operador e a legislação aplicável. O sistema recupera a(s) URL(s) do corpo da mensagem de solicitação encerrada por dispositivo móvel e, em seguida, habilita a validação da URL emitindo uma solicitação de método GET para a URL e expandindo para a URL completa como se estivesse na barra de endereço do navegador. Se necessário, devido a informações insuficientes ou suspeita de conteúdo não conforme, toda a página poderá ser carregada e analisada, incluindo o conteúdo dessa página. Este é um algoritmo de machine learning (com validação humana) projetado para aprender com a detecção de phishing e SPAM confirmados, cujos dados serão usados para essa finalidade dentro do Grupo Sinch. A MessengerPeople não fornecerá nem enviará dados pessoais dos quais o cliente é o controlador para terceiros fora do Grupo Sinch, exceto para os Suboperadores necessários para fornecer esta funcionalidade.
  • Os Dados Pessoais tratados em nome do cliente deverão ser tratados exclusivamente de acordo com o Contrato e as instruções do controlador para o operador.
  1. A MessengerPeople trabalhará de acordo com instruções escritas ou acordos e documentos pertencentes a esse DPA.

 

6.    Gerenciamento De Violação De Dados

  1. A MessengerPeople estabelecerá procedimentos para gerenciamento de violação de dados.
  2. A MessengerPeople informará o cliente sobre qualquer violação de dados (incluindo, mas não se limitando a incidentes relacionados ao tratamento de dados pessoais) o mais rápido possível, não excedendo o prazo de 72 (setenta e duas) horas após a violação de dados ter sido identificada.
  • Todos os relatórios de incidentes relacionados à segurança deverão ser tratados como informações confidenciais e criptografados, usando métodos de criptografia padrão da indústria.
  1. O relatório de violação de dados deverá conter pelo menos as seguintes informações:
  2. A natureza da violação de dados;
  3. A natureza dos dados pessoais afetados;
  4. As categorias e o número de titulares de dados em questão;
  5. O número de registros de dados pessoais em questão;
  6. As medidas tomadas para lidar com a violação de dados;
  7. As possíveis consequências e efeitos adversos da violação de dados; e
  8. Qualquer outra informação que o cliente seja obrigado a relatar ao regulador relevante ou titular dos dados.

Na medida do legalmente possível, a MessengerPeople reivindicará compensação por serviços de suporte nos termos desta cláusula que não sejam atribuíveis a falhas por parte da MessengerPeople.

 

7.    Gestão De Continuidade Dos Negócios

  1. A MessengerPeople identificará os riscos de continuidade dos negócios e tomará as medidas necessárias para controlar e mitigar esses riscos.
  2. A MessengerPeople deverá ter processos e rotinas documentados para lidar com a continuidade dos negócios.
  • A MessengerPeople deverá garantir que a segurança da informação seja incorporada aos planos de continuidade de negócios.
  1. A MessengerPeople avaliará periodicamente a eficiência de sua gestão de continuidade de negócios e a conformidade com os requisitos de disponibilidade (se houver).

 

8.    Desenvolvimento E Manutenção De Sistema/Software (Quando O Desenvolvimento De Software Ou Desenvolvimento De Sistema É Fornecido Ao Cliente Pela MessengerPeople)

  1. A MessengerPeople deverá implementar regras para o ciclo de vida de desenvolvimento de software e sistemas, incluindo procedimentos de mudança e revisão.
  2. A MessengerPeople deverá testar a funcionalidade de segurança durante o desenvolvimento em um ambiente controlado.
  • A gestão de patch de segurança é implementada para fornecer implantação regular e periódica de atualizações de segurança relevantes.
  1. A MessengerPeople trabalhará de acordo com os princípios de proteção de dados “by design & by default” e deverá fornecer documentação suficiente da implementação da proteção de dados “by design & by default”.