TERMO DE COMPARTILHAMENTO DE DADOS PESSOAIS

Considerando que, no exercício de suas atividades, a Víncula – Indústria, Comércio, Importação e Exportação de Implantes S.A., (“Víncula”) trata dados pessoais de clientes, colaboradores, prestadores de serviços, pacientes, dentre outros;  e Considerando que, a Lei 13.709/2018 (Lei Geral de Proteção de Dados), entrou em vigor em 18 de setembro de 2020 e que a Víncula desenvolveu a sua Política de Privacidade, disponível em seu portal na internet www.canaldatransparencia.com.br/lgpdvincula. Fica estabelecido que: 1. O presente Termo substituirá qualquer contrato ou acordo, verbal ou expresso, especificamente em relação ao tema Proteção de Dados Pessoais, firmados com a Víncula, bem como fará parte de todos os contratos ou ajustes existentes e futuros entre as partes;  2. O presente Termo contempla as unidades que atualmente integram da Víncula, conforme tabela abaixo, como ainda, quaisquer empresas e unidades que futuramente vierem a integrar da Víncula após a formalização deste instrumento, oportunidade em que deverão ser observadas, automaticamente, as condições relativas à proteção de dados neste ato pactuadas, sem a necessidade de formalização de aditivo contratual. 3. O presente termo é aplicável à todas as filiais e empresas da Víncula e da Contraparte, mesmo que em CNPJs diferentes considerando Grupo Econômico. Em conjunto a Víncula e a Contraparte denominam-se “Partes”, e estas resolvem firmar o Termo de Compartilhamento de Dados, o qual será regido pelas cláusulas e disposições que seguem:  

Cláusula Primeira – Regras De Privacidade: 1.1. As Partes declaram, por este instrumento, que cumprem toda legislação aplicável sobre privacidade e proteção de dados, inclusive, sempre e quando aplicável, a Constituição Federal, o Código de Defesa do Consumidor, o Código Civil, o Marco Civil da Internet, e demais normas setoriais ou gerais sobre o tema. 1.2. As Partes declaram estar cientes de que a Víncula é a Controladora de Dados Pessoais, podendo a Contraparte ser o Controlador ou Operador de Dados Pessoais. 1.3 A Contraparte se compromete a observar as disposições comuns à caracterização como Operador ou Controlador de Dados Pessoais contidas no título “Disposições comuns a contraparte na condição de controlador ou operador”.  

Cláusula Segunda – A Víncula Controladora – Contraparte Controladora: 2.1. As Partes se comprometem a tratar os dados pessoais relacionados ao objeto do Contrato somente nos estritos limites previstos, de acordo com o objetivo contratual, não devendo praticar qualquer outro tipo de tratamento de dado pessoal, exceto se houver a celebração de termo aditivo delimitando a alteração. 2.2. Caso as Partes desejem subcontratar terceiros, no todo ou em parte, para o tratamento de dados pessoais objeto desse instrumento, exceto no caso de serviços auxiliares e indispensáveis para a normal prestação de serviços, a Parte deverá indicar à outra Parte os tipos de tratamento e os dados que serão afetados e se responsabilizará pelo tratamento de Dados realizado pela subcontratada, nesse caso o Subcontratado será considerado Operador de Dados Pessoais para todos os fins de direito. 2.3. A transferência internacional de Dados Pessoais, quando necessária, somente deverá ocorrer para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na Lei nº 13.709/2018. Deverão as Partes comprovar que a empresa localizada no exterior possui grau de proteção de Dados Pessoais compatíveis com a Lei nº 13.709/2018, mantendo registros adequados sobre o país/organização de destino. 2.4. As Partes se comprometem a implementar e manter processos internos de governança e inventario de dados para a proteção dos dados, bem como medidas técnicas e organizacionais adequadas, como controle de acesso e registro de tratamento, e sempre que possível atualizadas para garantir um nível de segurança satisfatório ao tratamento dos dados pessoais no âmbito deste contrato, para tanto devem garantir que todos os seus profissionais autorizados a tratarem tais dados estejam comprometidos e instruídos, bem como capacitados para o tratamento de dados pessoais. As Partes deverão respeitar a legislação aplicável relativa à privacidade dos dados, comprometendo-se a, coletar, transmitir, manter, processar, guardar e utilizar os dados pessoais de acordo com a legislação aplicável, somente compartilhando dados pessoais após o consentimento do titular ou de acordo com a legislação aplicável e informando ao titular dos dados pessoais sobre qualquer modificação substancial com relação ao tratamento dos referidos dados, sempre protegendo os dados pessoais de acordo com os padrões da indústria, adotando técnicas de segurança que garantam a anonimização, pseudonimização e a encriptação de dados pessoais, de modo a eliminar de forma segura os dados pessoais após a conclusão do objeto do serviço e finalidade para o qual foi tratado, garantindo a capacidade de restaurar a disponibilidade e o acesso a dados pessoais, em caso de incidentes físicos ou técnicos. 2.5. As Partes deverão oferecer auxílio mútuo na realização de avaliações de risco e impacto, prestando também auxílio para garantir o exercício dos direitos por parte dos Titulares. Caso algum Titular requisite o exercício de seus direitos, diretamente a uma das Partes, esta deverá comunicar tal fato imediatamente, formalmente, à outra parte, no limite de 2 dias úteis. 2.6. Em caso de rescisão ou encerramento desse Termo, e/ou quando qualquer das Partes solicitar, mediante eventual solicitação do Titular, deverá a outra Parte eliminar, corrigir, anonimizar e/ou bloquear acesso aos dados, em caráter definitivo ou não, a critério da Parte solicitante, que tiverem sido tratados em decorrência dos pactuados, estendendo-se a eventuais cópias, exceto os casos cuja manutenção seja expressamente exigida ou permitida em lei, o que deve ser devidamente justificado a outra Parte contratante e em caso de eliminação esta deverá ser feita de forma segura, com apresentação da respectiva comprovação e caso não seja possível, declaração que ateste o cumprimento de tal obrigação.  

Cláusula Terceira –Víncula Controladora – Contraparte Operadora: 3.1. Das Obrigações da Contraparte Operadora: a) A Contraparte deverá garantir que todos os seus profissionais autorizados a tratarem tais dados estejam comprometidos de forma expressa, com o dever de sigilo e confidencialidade, bem como devidamente instruídos e capacitados para o tratamento de dados pessoais. b) A Contraparte deverá manter controle escrito sobre o acesso de dados, inventario detalhado de registros, todos com a definição de responsabilidades e mecanismos de controle de acesso, conforme o grau de responsabilidade., através de soluções de gestão dos registros por meio de técnicas aptas a garantir a inviolabilidade de dados; 3.1.1. Em decorrência do presente contrato, a Contraparte, quando aplicável, efetuará o tratamento de Dados Pessoais de acordo com legislação, bem como manterá o registro formal de todas as atividades inerentes ao tratamento. 3.2. Caso a Contraparte entenda que quaisquer dos dados transmitidos pela Víncula viola a legislação de proteção de dados pessoais aplicável, deverá comunicá-la imediatamente, apresentando as respectivas justificativas. 3.3. A Contraparte somente poderá subcontratar terceiros, no todo ou em parte, para o tratamento de dados pessoais objeto desse instrumento, caso de trate-se de serviços auxiliares e indispensáveis para a normal prestação de serviços pelo CONTRATADO/PACTO entre as partes, neste caso deverá ser indicado os tipos de tratamento e os dados que serão afetados, garantindo que a subcontratação observará as mesmas obrigações e limites impostos neste Instrumento, nas formas da Legislação e regras aqui contidas. 3.3.2. A transferência internacional de dados pessoais, quando necessária, somente deverá ocorrer para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na Lei nº 13.709/2018. Deverá a Contraparte comprovar que a empresa localizada no exterior possui grau de proteção de dados pessoais compatíveis com a Lei nº 13.709/2018, mantendo registros adequados sobre o país/organização de destino. 3.4. A Contraparte deverá respeitar a legislação aplicável relativa à privacidade dos dados, comprometendo-se a, coletar, transmitir, manter, processar, guardar e utilizar os dados pessoais de acordo com a legislação aplicável somente compartilhando dados pessoais após o consentimento do titular ou de acordo com as orientações da Víncula, sempre protegendo os dados pessoais de acordo com os padrões da indústria, adotando técnicas de segurança que garantam a anonimização, a pseudonimização e a encriptação de dados pessoais, bem como eliminando de forma segura os dados pessoais após a conclusão do objeto do serviço e finalidade para o qual foi tratado garantindo a capacidade de restaurar a disponibilidade e o acesso a dados pessoais, em caso de incidentes físicos ou técnicos. 3.5. A Contraparte deverá auxiliar a Víncula a realizar avaliações de risco e impacto, prestando também auxílio para garantir o exercício dos direitos por parte dos Titulares, nos termos da Lei nº 13.709/2018 e caso algum Titular requisite o exercício de seus direitos descritos no item anterior, diretamente à Contraparte, esta deverá comunicar tal fato imediatamente, formalmente, à Víncula, no limite de 2 dias úteis. 3.6. Ao término da relação entre as Partes e/ou quando a Víncula solicitar, mediante eventual solicitação do Titular, deverá a Contraparte eliminar, corrigir, anonimizar e/ou bloquear acesso aos dados pessoais, em caráter definitivo ou não, a critério da Víncula, que tiverem sido tratados em decorrência do Contrato, exceto os casos cuja manutenção seja expressamente exigida ou permitida em lei, o que deve ser devidamente justificado à Víncula e em caso de eliminação, esta deverá ser feita de forma segura, com apresentação da respectiva comprovação e caso não seja possível, declaração que ateste o cumprimento de tal obrigação.  

Cláusula Quarta – Disposições Comuns a Contraparte na Condição de Controlador ou Operador: 4.1. Sempre que solicitado pela Víncula, a Contraparte deverá permitir ou disponibilizar meios para que auditores realizem auditoria nos processos que envolvam dados relacionados à execução deste instrumento, com o objetivo de verificar medidas e controles de segurança da informação e adequação do tratamento de dados pessoais ao objeto e às obrigações do presente Contrato. 4.2. Existindo a necessidade de tratamento de Dados Pessoais Sensíveis, a Contraparte deverá adotar as medidas adequadas e legais para sua proteção. 4.3. Em caso de acesso indevido, não autorizado ou suspeita/vazamento/perda de Dados Pessoais a Contraparte deverá imediatamente comunicar à Víncula, através de notificação formal, certificando-se do recebimento, contendo no mínimo data e hora da ciência, relação dos tipos de dados afetados pelo incidente, quantidade e relação de Titulares afetados pelo incidente, dados e informações de contato do Encarregado de Proteção de Dados (DPO) para fornecer outras informações sobre o incidente, descrição das possíveis consequência do incidente e indicação das medidas adotadas, em andamento, e futuras para reparar o dano e evitar novos incidentes. O envio pode ocorrer completa ou parcialmente desde que de todas as informações não tenha envio que exceda o prazo de 48 (quarenta e oito) horas a partir da ciência do incidente.  

1. O signatário reconhece que este instrumento tem plena validade em formato eletrônico, sendo equiparado a documento físico para todos os efeitos legais, reconhecendo e declarando à vista do disposto no § 1º do artigo 10, da Medida Provisória nº 2.200-2, de 24 de agosto de 2001, que a assinatura deste documento em meio eletrônico é o meio escolhido de mútuo acordo por todas as Partes como apto a comprovar autoria e integridade do instrumento, e conferir-lhe pleno efeito legal, como se documento físico fosse.