Contrato de acesso a dados por terceiros

REUNIDOS

De uma parte, Jotelulu, S.L. com domicílio na Praça Pablo Ruiz Picasso, n.º 1, 28020 Madrid (Espanha), devidamente inscrita no registo comercial do seu domicílio e com NIF B65814709, devidamente representada por David Amorín Iglesias (doravante, o <<RESPONSÁVEL PELO TRATAMENTO>> e/ou <<SUB-RESPONSÁVEL PELO TRATAMENTO>>).

EXPÕEM

I. Que ambas as partes reconhecem mutuamente a capacidade jurídica suficiente para subscrever o presente Contrato.

II. Que o RESPONSÁVEL PELO TRATAMENTO contratou os serviços do ENCARREGADO PELO TRATAMENTO.

III. Que em relação ao cliente final do RESPONSÁVEL PELO TRATAMENTO, Jotelulu, S.L. atuará como SUB-RESPONSÁVEL.

IV. Que a prestação dos serviços será realizada: (i) Nas instalações do RESPONSÁVEL PELO TRATAMENTO, (ii) Nas instalações do ENCARREGADO PELO TRATAMENTO, (iii) Fora das instalações de ambas as partes ou por conexão remota.

V. Que de conformidade com o artigo 28 do REGULAMENTO (UE) 2016/679, de 27 de abril de 2016 do Parlamento Europeu e do Conselho relativo à Proteção das pessoas singulares no que respeita ao tratamento dos seus dados pessoais e à livre circulação dos mesmos e a Lei Orgânica 3/2018 de 5 de dezembro de 2018 de Proteção de Dados Pessoais e garantia dos direitos digitais, ambas as partes convêm em subscrever o presente Contrato, o qual aceitam expressamente e de acordo com as seguintes:

CLÁUSULAS

1. Objeto da encomenda

Mediante o presente Contrato, habilita-se o ENCARREGADO PELO TRATAMENTO, para tratar por conta do RESPONSÁVEL PELO TRATAMENTO, os dados de carácter pessoal necessários para prestar os serviços que se contratem na plataforma. O tratamento consistirá, exclusivamente, no alojamento e gestão de serviços informáticos, (doravante, <<o Serviço>>).

2. Identificação da informação afetada

Para a execução das prestações derivadas do cumprimento do objeto desta encomenda, o RESPONSÁVEL PELO TRATAMENTO, põe à disposição do ENCARREGADO PELO TRATAMENTO, a informação que se descreve a seguir:

a. Todos os dados contidos nos sistemas informáticos

3. Duração

O presente Contrato estará em vigor durante toda a duração da prestação dos Serviços. Sem prejuízo do anterior, ambas as Partes acordam que as disposições deste Contrato, expressamente ou implicitamente destinadas a continuar em vigor após a terminação ou expiração deste Contrato ou dos Serviços, permanecerão vigentes e continuarão a vincular ambas as Partes.

O dever de confidencialidade entre as partes continuará para além da expiração deste Contrato.

Se o presente Contrato modificar total ou parcialmente uma cláusula de um contrato anterior entre as partes, prevalecerá este Contrato.

4. Obrigações do encarregado pelo tratamento

O ENCARREGADO PELO TRATAMENTO, e todo o seu pessoal obriga-se a:

A. Utilizar os dados pessoais objeto do tratamento, ou os que recolha para a sua inclusão, apenas para a finalidade objeto do Serviço. Em caso algum poderá utilizar os dados para fins próprios nem poderá levar a cabo tratamentos fora do âmbito do Serviço.

B. Tratar os dados de acordo com as instruções do RESPONSÁVEL PELO TRATAMENTO. Se o ENCARREGADO PELO TRATAMENTO considerar que alguma das instruções infringe o RGPD ou qualquer outra disposição em matéria de proteção de dados da União ou dos Estados membros, informará imediatamente o RESPONSÁVEL PELO TRATAMENTO.

C. Levar, por escrito, um registo de todas as categorias de atividades de tratamento efetuadas por conta do RESPONSÁVEL PELO TRATAMENTO, que contenha:

a. O nome e os dados de contacto do encarregado ou encarregados e de cada responsável por conta do qual atue o encarregado e, em caso disso, do representante do responsável ou do encarregado e do delegado de proteção de dados.

b. As categorias de tratamentos efetuados por conta de cada responsável.

c. Em caso disso, as transferências de dados pessoais para um terceiro país ou organização internacional, incluindo a identificação desse terceiro país ou organização internacional e, em caso disso, das transferências indicadas no artigo 49, segundo parágrafo do RGPD, a documentação das garantias adequadas.

d. Uma descrição geral das medidas técnicas e organizativas de segurança relativas a:

i. A pseudonimização e o cifrado de dados pessoais.

ii. A capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de tratamento.

iii. A capacidade de restaurar a disponibilidade e o acesso aos dados pessoais de forma rápida, em caso de incidente físico ou técnico.

iv. O processo de verificação, avaliação e valorização regulares da eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.

D. Não comunicar dados a terceiras pessoas, salvo que conte com a autorização expressa do RESPONSÁVEL PELO TRATAMENTO, nos supostos legalmente admissíveis. O ENCARREGADO PELO TRATAMENTO pode comunicar dados a outros encarregados pelo tratamento do RESPONSÁVEL PELO TRATAMENTO, de acordo com as instruções do RESPONSÁVEL PELO TRATAMENTO. Neste caso, o RESPONSÁVEL PELO TRATAMENTO identificará, de forma prévia e por escrito, a entidade a quem se devem comunicar os dados, os dados a comunicar e as medidas de segurança a aplicar para proceder à comunicação. Se o ENCARREGADO PELO TRATAMENTO tiver de transferir dados pessoais para um terceiro país ou para uma organização internacional, em virtude do Direito da União ou dos Estados membros que lhe seja aplicável, informará o RESPONSÁVEL PELO TRATAMENTO dessa exigência legal de forma prévia, salvo que o Direito o proíba por razões importantes de interesse público.

E. O RESPONSÁVEL PELO TRATAMENTO autoriza o ENCARREGADO PELO TRATAMENTO a subcontratar terceiros que lhe prestam serviços (doravante, subcontratistas). Estes subcontratistas podem ou não ser fornecedores externos dentro da UE/EEE.

No caso de um subcontratista estar dentro de uma jurisdição fora da UE/EEE e que não está na lista aprovada pela Comissão Europeia de níveis de proteção de dados satisfatórios sob o RGPD, o ENCARREGADO PELO TRATAMENTO e esse subcontratista subscreverão um acordo expresso para assegurar que manterá todos os dados pessoais com exigente cumprimento dos padrões de diligência exigidos pelas leis vigentes de proteção de dados da UE.

Em virtude do presente acordo, o RESPONSÁVEL PELO TRATAMENTO consente de forma prévia específica e explícita o uso por parte do ENCARREGADO PELO TRATAMENTO de subcontratista em virtude da presente encomenda, mesmo após o término do seu objeto.

F. Garantir que as pessoas autorizadas para tratar dados pessoais se comprometem de forma expressa e por escrito, a respeitar a confidencialidade e a cumprir as medidas de segurança correspondentes, das quais devem ser convenientemente informadas.

G. Manter à disposição do RESPONSÁVEL PELO TRATAMENTO a documentação acreditativa do cumprimento da obrigação estabelecida no ponto anterior.

H. Garantir a formação necessária em matéria de proteção de dados pessoais das pessoas autorizadas para tratar dados pessoais.

I. Assistir o RESPONSÁVEL PELO TRATAMENTO na resposta ao exercício dos direitos de:

a. Acesso, retificação, supressão e oposição.

b. Limitação do tratamento.

c. Portabilidade dos dados.

d. A não ser objeto de decisões individualizadas automatizadas (incluindo a elaboração de perfis).

Quando as pessoas afetadas exercerem os direitos de acesso, retificação, supressão, oposição, limitação do tratamento e portabilidade dos dados e a não ser objeto de decisões individualizadas automatizadas junto do ENCARREGADO PELO TRATAMENTO, este deve comunicá-lo por correio eletrónico para o endereço dpd@jotelulu.com. A comunicação deve ser feita de forma imediata e em caso algum além do dia útil seguinte ao da receção do pedido, juntamente, em caso disso, com outras informações que possam ser relevantes para resolver o pedido. O ENCARREGADO PELO TRATAMENTO não deve responder em circunstância alguma, em nome e por conta do RESPONSÁVEL PELO TRATAMENTO, aos pedidos que receba, exceto com o consentimento prévio do RESPONSÁVEL PELO TRATAMENTO.

J. Compete ao RESPONSÁVEL PELO TRATAMENTO facilitar o direito de informação no momento da recolha dos dados.

K. Notificação de violações da segurança dos dados: o ENCARREGADO PELO TRATAMENTO notificará o responsável pelo tratamento, sem demora indevida, e, em qualquer caso, antes do prazo máximo de 24 horas as violações da segurança dos dados pessoais a seu cargo de que tenha conhecimento, juntamente com toda a informação relevante para a documentação e comunicação da ocorrência. Esta comunicação será realizada da seguinte forma: Enviando um correio eletrónico ao RESPONSÁVEL PELO TRATAMENTO.

A comunicação conterá, no mínimo, a seguinte informação:

a. Descrição da natureza da violação da segurança dos dados pessoais, incluindo, quando possível, as categorias e o número aproximado de interessados afetados, e as categorias e o número aproximado de registos de dados pessoais afetados.

b. Nome e dados de contacto do delegado de proteção de dados ou de outro ponto de contacto onde possa obter-se mais informação.

c. Descrição das possíveis consequências da violação da segurança dos dados pessoais.

d. Descrição das medidas adotadas ou propostas para remediar a violação da segurança dos dados pessoais, incluindo, se for caso disso, as medidas adotadas para mitigar os possíveis efeitos negativos.

Se não for possível fornecer a informação simultaneamente, e na medida em que não o seja, a informação será fornecida de forma gradual sem demora indevida. Compete ao encarregado pelo tratamento comunicar no menor tempo possível as violações da segurança dos dados aos interessados, quando for provável que a violação suponha um risco elevado para os direitos e liberdades das pessoas singulares.

A comunicação deve ser realizada numa linguagem clara e simples e deverá, no mínimo:

a. Explicar a natureza da violação de dados.

b. Indicar o nome e os dados de contacto do delegado de proteção de dados ou de outro ponto de contacto onde possa obter-se mais informação.

c. Descrever as possíveis consequências da violação da segurança dos dados pessoais.

d. Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para remediar a violação da segurança dos dados pessoais, incluindo, se for caso disso, as medidas adotadas para mitigar os possíveis efeitos negativos.

L. Dar apoio ao RESPONSÁVEL PELO TRATAMENTO na realização das avaliações de impacto relativas à proteção de dados quando for caso disso.

M. Dar apoio ao RESPONSÁVEL PELO TRATAMENTO na realização das consultas prévias à autoridade de controlo, quando for caso disso.

N. Pôr à disposição do RESPONSÁVEL PELO TRATAMENTO toda a informação necessária para demonstrar o cumprimento das suas obrigações, bem como para a realização das auditorias ou das inspeções que realizem o RESPONSÁVEL PELO TRATAMENTO ou outro auditor autorizado por ele.

O. Em qualquer caso, deverá implementar mecanismos para:

a. Garantir a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de tratamento.

b. Restaurar a disponibilidade e o acesso aos dados pessoais de forma rápida, em caso de incidente físico ou técnico.

c. Verificar, avaliar e valorizar, de forma regular, a eficácia das medidas técnicas e organizativas implementadas para garantir a segurança do tratamento.

d. Pseudonimizar e cifrar os dados pessoais, em caso disso.

P. Destino dos dados uma vez finalizada a prestação dos serviços: O ENCARREGADO PELO TRATAMENTO deverá devolver ao RESPONSÁVEL PELO TRATAMENTO os dados de carácter pessoal e, se for caso disso, os suportes onde constem, uma vez cumprida a prestação. A devolução deve comportar o apagamento total dos dados existentes nos equipamentos informáticos utilizados pelo encarregado. Contudo, o ENCARREGADO PELO TRATAMENTO pode conservar uma cópia, com os dados devidamente bloqueados, enquanto possam derivar responsabilidades relativas à execução da prestação.

5. Obrigações do responsável pelo tratamento

Compete ao RESPONSÁVEL PELO TRATAMENTO:

A. Entregar ao encarregado os dados a que se refere a cláusula II deste documento.

B. Realizar uma avaliação do impacto na proteção de dados pessoais das operações de tratamento a realizar pelo encarregado.

C. Realizar as consultas prévias que sejam aplicáveis.

D. Velar, de forma prévia e durante o tratamento, pelo cumprimento do RGPD por parte do encarregado.

E. Supervisionar o tratamento, incluindo a realização de inspeções e auditorias.

6. Responsabilidades e garantias

Se o ENCARREGADO PELO TRATAMENTO incumprir este Contrato ou qualquer Lei ou regulamento de Proteção de Dados ao determinar os propósitos e meios de tratamento, será considerado responsável por esse tratamento, assumindo assim todas as responsabilidades, reclamações e sanções diretas e indiretas que possam surgir para o RESPONSÁVEL PELO TRATAMENTO desse incumprimento por parte do ENCARREGADO PELO TRATAMENTO.

Além disso, ambas as partes acordam que o incumprimento destas obrigações será motivo de rescisão do presente Contrato. Portanto, qualquer incumprimento por parte do ENCARREGADO PELO TRATAMENTO, do seu pessoal, fornecedores ou pessoas envolvidas na prestação do Contrato e receber uma compensação por qualquer dano que resulte do incumprimento das obrigações contratuais.

7. Auditoria e controlos

O RESPONSÁVEL PELO TRATAMENTO reserva-se o direito de levar a cabo, a seu exclusivo critério, qualquer verificação que considere útil para estabelecer o cumprimento por parte do ENCARREGADO PELO TRATAMENTO e, em caso disso, dos seus subencarregados pelo tratamento, das suas obrigações relacionadas com os Dados Pessoais tratados em nome do RESPONSÁVEL PELO TRATAMENTO. O ENCARREGADO PELO TRATAMENTO compromete-se a responder e, em caso disso, a assegurar que os seus subencarregados respondam a qualquer pedido de auditoria por parte do RESPONSÁVEL PELO TRATAMENTO e operação de auditoria realizada pelo ENCARREGADO PELO TRATAMENTO ou por um terceiro escolhido pelo ENCARREGADO PELO TRATAMENTO. O ENCARREGADO PELO TRATAMENTO compromete-se a cooperar e, quando aplicável, a garantir que os seus subencarregados pelo tratamento cooperem com o RESPONSÁVEL PELO TRATAMENTO nessas operações, em particular fornecendo toda a informação relevante e acesso a todos os equipamentos, software, dados, ficheiros, sistemas de informação, etc., utilizados para tratar os Dados Pessoais dos Responsáveis, e não cobrar qualquer custo ao RESPONSÁVEL PELO TRATAMENTO por tais operações. Se a auditoria realizada revelar um incumprimento das garantias e compromissos do ENCARREGADO PELO TRATAMENTO e, em caso disso, dos seus subencarregados, o ENCARREGADO PELO TRATAMENTO deverá tomar medidas imediatas para remediá-los por sua conta. Estas operações de auditoria e os seus resultados não eximem de forma alguma os subencarregados pelo tratamento das suas outras obrigações contratuais.

8. Lei aplicável e jurisdição

O presente Contrato de Tratamento de Dados será regido pelas Leis de Proteção de Dados, bem como pelas resoluções e diretrizes da Agência Espanhola de Proteção de Dados e demais órgãos competentes nesta matéria. Para resolver qualquer discrepância que possa surgir em relação à interpretação e/ou execução do disposto neste Contrato de Tratamento de Dados, ambas as Partes submetem-se à jurisdição dos Tribunais da cidade de Madrid, com renúncia expressa a qualquer outra legislação ou foro que possa ser aplicável a elas.

O UTILIZADOR/PARCEIRO aceita as condições e cláusulas do presente Contrato, declarando tê-lo lido na sua totalidade, e aceitando mediante a caixa habilitada expressamente a totalidade dos termos e condições contidos no presente Contrato.