Anexo III – Adendo de Processamento de Dados

1. Limitação de Finalidade e Instruções

• 1.1 Limitação de Finalidade e Instruções. A CONTRATADA atuará como Operadora e se compromete a tratar os Dados Pessoais (DP) do Cliente, decorrentes da telemetria e gestão de frotas, estritamente para a finalidade de Execução do Serviço, conforme detalhado no Objeto e Escopo deste Contrato e de acordo com as instruções documentadas do CONTRATANTE (Controlador).
• 1.2 Vedação de Uso Próprio. A CONTRATADA não tratará os DP sob contrato para qualquer finalidade independente, própria ou alheia às instruções formais do CONTRATANTE.
• 1.3 Transparência. A CONTRATADA fornecerá ao CONTRATANTE as informações e mecanismos necessários, em tempo hábil, para que o CONTRATANTE possa assegurar que não haja tratamento de DP para finalidades adicionais pela CONTRATADA ou seus subcontratados.

2. Proibição de Uso Comercial

• 2.1 Proibição de Uso para Marketing (Dados do Serviço). Os Dados Pessoais tratados no âmbito de toda e qualquer prestação de serviço, incluindo, mas não se limitando a prestação de serviços de gerenciamento de frotas (telemetria, localização, relatórios de motoristas) não serão utilizados pela CONTRATADA para fins de marketing, publicidade ou uso comercial próprio.

3. Exercício de Direitos do Titular de Dados

• 3.1 Cooperação no Exercício de Direitos. A CONTRATADA fornecerá à CONTRATANTE os meios técnicos e organizacionais necessários, por meio de sua plataforma (Site) e sua Central de Suporte, para capacitá-la a cumprir com as obrigações legais de atender às solicitações dos Titulares de Dados, especialmente no que tange aos direitos de acesso, correção, portabilidade e exclusão de seus Dados Pessoais tratados no escopo do Serviço.
• 3.2 Correção e Exclusão. A CONTRATADA se compromete a implementar, em tempo hábil e conforme as instruções do CONTRATANTE, as medidas necessárias para a correção, bloqueio ou exclusão dos Dados Pessoais, sempre que for tecnicamente viável e não implicar custos adicionais de Serviço, devendo tais mecanismos ser especificados em documentação técnica anexa ou na Política de Uso da Plataforma.
• 3.3 Encaminhamento de Solicitações. Caso a CONTRATADA receba diretamente uma solicitação de um Titular de Dados referente aos dados do CONTRATANTE, ela se compromete a notificar o CONTRATANTE imediatamente e encaminhar a solicitação, abstendo-se de responder ao titular, a menos que expressamente instruída e autorizada pelo CONTRATANTE (Controlador).

4. Notificação e Gerenciamento de Solicitações Legais

• 4.1 Notificação de Solicitações de Divulgação. A CONTRATADA se compromete a notificar o CONTRATANTE imediatamente, e em até 48 (quarenta e oito) horas após o recebimento, sobre qualquer solicitação legalmente vinculativa (judicial, ordem policial ou administrativa) para divulgação de Dados Pessoais do CONTRATANTE por uma autoridade competente para cumprimento da lei, a menos que tal notificação seja legalmente proibida (Ex.: ordem de sigilo/proibição sob lei criminal).
• 4.2 Rejeição de Pedidos Informais. A CONTRATADA rejeitará qualquer pedido de divulgação de Dados Pessoais que não seja juridicamente vinculativo (ex: ofícios informais, pedidos não fundamentados em lei).
• 4.3 Consulta e Cooperação. Onde legalmente permitido, a CONTRATADA consultará o CONTRATANTE antes de efetuar qualquer divulgação de Dados Pessoais. A CONTRATADA cooperará com o CONTRATANTE para contestar a legalidade ou o escopo da solicitação de divulgação, e aceitará quaisquer solicitações acordadas contratualmente para divulgações autorizadas pelo CONTRATANTE.
• 4.4 Princípio da Minimidade. Em caso de divulgação obrigatória, a CONTRATADA envidará esforços para garantir que a quantidade de Dados Pessoais divulgados seja a estritamente mínima exigida pela determinação legal.
• 4.5 Registro de Divulgações de Dados Pessoais. A CONTRATADA manterá um registro detalhado de todas as divulgações de Dados Pessoais do CONTRATANTE a terceiros, sejam estas decorrentes do curso normal das operações, investigações legais, auditorias ou outras divulgações adicionais.
• 4.6 Detalhamento do Registro. Os registros deverão incluir, no mínimo, as seguintes informações: (i) qual DP foi divulgado; (ii) a quem a divulgação foi realizada; (iii) o momento da divulgação; (iv) a fonte de autoridade para realizar a divulgação (ex: instrução contratual, consentimento do Cliente, ordem judicial).
• 4.7 Acesso e Transparência. A CONTRATADA disponibilizará ao CONTRATANTE os registros pertinentes, mediante solicitação, para que o CONTRATANTE possa cumprir suas obrigações de prestação de contas (accountability) perante os Titulares de Dados e/ou Autoridades Competentes.

5. Consentimento Geral e Transparência Inicial

• 5.1 Divulgação e Consentimento Geral de Subcontratados. A CONTRATANTE confere à CONTRATADA o consentimento geral para o comissionamento dos subcontratados (AWS, GCP e AZURE) do presente DPA, que são essenciais para a execução do serviço, sendo esta divulgação realizada antes da sua utilização.
• 5.2 Detalhamento da Divulgação. A CONTRATADA garante que a Lista de Subcontratados inclua, para cada subcontratado: (i) o nome da entidade; (ii) o país onde o DP será tratado; e (iii) a função exercida no tratamento (ex: Provedor de Data Center, Serviço de Mapas).
• 5.3 Obrigações de Nível de Proteção. A CONTRATADA exigirá, por meio de contrato formal, que seus subcontratados atendam ou excedam as obrigações de proteção de DP estabelecidas neste DPA e nas Leis de Proteção de Dados aplicáveis, responsabilizando-se o subcontratado por falhas na proteção dos dados.
• 5.4 Notificação de Alterações. A CONTRATADA notificará o CONTRATANTE, por escrito e em tempo hábil (em conformidade com o A.8.1 da ISO/IEC 27018), sobre qualquer alteração pretendida na lista de subcontratados. Este prazo de notificação será estabelecido de forma a garantir que o CONTRATANTE tenha capacidade efetiva de contestar ou encerrar o Contrato, considerando a relevância da alteração para a proteção de DP.
• 5.5 Direito de Contestar. Caso o CONTRATANTE conteste razoavelmente a alteração notificada, por motivos de proteção de dados ou violação das obrigações da CONTRATADA, as Partes deverão envidar esforços para resolver a objeção. Se a objeção não puder ser resolvida e o CONTRATANTE não concordar com o novo subcontratado, o CONTRATANTE terá o direito de encerrar este Contrato, sem multa, mediante aviso prévio por escrito.

6. Notificação e Gestão de Violação de Dados

• 6.1 Notificação de Violação de Dados. A CONTRATADA notificará o CONTRATANTE sobre qualquer Violação de Dados Pessoais de que tome conhecimento (acesso, perda, divulgação ou alteração não autorizada de DP, ou acesso não autorizado aos equipamentos/instalações de tratamento) sem demora injustificada e, em qualquer caso, em um prazo máximo de 72 (setenta e dois) horas após a sua constatação.
• 6.2 Cooperação e Informações. A CONTRATADA fornecerá ao CONTRATANTE todas as informações necessárias para que este cumpra suas obrigações de notificação às Autoridades Competentes e/ou aos Titulares de Dados, incluindo (se e quando conhecidas): (i) a natureza da Violação; (ii) as categorias e o número aproximado de Titulares de Dados afetados; (iii) as consequências prováveis da Violação; e (iv) as medidas tomadas ou propostas para mitigar os seus efeitos.
• 6.3 Exclusão. A obrigação de notificação e o suporte da CONTRATADA não se estendem a violações de dados causadas exclusivamente pelo CONTRATANTE ou Titulares de Dados, ou dentro de componentes do sistema pelos quais o CONTRATANTE é integralmente responsável.
• 6.4 Registro de Incidentes. A CONTRATADA manterá um registro detalhado de todas as Violações de Dados, incluindo: a descrição do incidente, o período, as consequências, as medidas corretivas tomadas, a pessoa responsável e os dados recuperados. Este registro será disponibilizado ao CONTRATANTE mediante solicitação.

7. Retorno, Transferência e Descarte de Dados Pessoais

• 7.1 Política de Retorno e Descarte. A CONTRATADA mantém uma Política de Retorno, Transferência e Descarte de Dados Pessoais, que detalha o ciclo de vida dos DP sob sua guarda e os métodos utilizados para a destruição ou anonimização segura. Esta política está disponível para a CONTRATANTE no link.
• 7.2 Instruções Pós-Término. Após o término ou rescisão deste Contrato, e mediante instrução formal da CONTRATANTE, a CONTRATADA deverá, à escolha do CONTRATANTE: (i) retornar todos os Dados Pessoais; (ii) transferir os DP para um novo Operador de DP em Nuvem Pública indicado pelo CONTRATANTE; ou (iii) descartar de forma segura todos os DP.
• 7.3 Mecanismos de Descarte. O descarte dos DP pela CONTRATADA e seus subcontratados será realizado utilizando métodos seguros (ex: desvinculação, sobregravação, destruição física ou lógica) que garantam a irreversibilidade e a não-recuperação dos dados. A CONTRATADA fornecerá ao CONTRATANTE a prova ou declaração de exclusão após a conclusão do descarte.
• 7.4 Período de Retenção de Segurança. Na ausência de instrução imediata do CONTRATANTE após o término, a CONTRATADA reterá os DP do CONTRATANTE por um período de segurança (90 dias) para proteger o CONTRATANTE contra perda acidental de dados (grace period). Após este período, a CONTRATADA iniciará o descarte seguro, a menos que haja requisito legal para retenção.
• 7.5 Exclusão de Cópias de Segurança. A CONTRATADA assegurará que os DP sejam excluídos de todas as cópias de segurança (backups) e sistemas de continuidade de negócio, assim que não sejam mais necessários para as finalidades do CONTRATANTE ou para o cumprimento do período de retenção de segurança estabelecido.

8. Cláusulas Complementares

• 8.1 Medidas Técnicas e Organizacionais Mínimas. A CONTRATADA declara que implementa as Medidas Técnicas e Organizacionais (MTOs) descritas no link, as quais refletem os controles das normas ISO/IEC 27018 e 27002. Fica estabelecido que, para os serviços hospedados em nuvem, tais medidas são complementadas e integradas à Matriz de Responsabilidade Compartilhada dos provedores de infraestrutura cabendo à CONTRATADA a configuração segura e a proteção dos dados na camada de aplicação.
• 8.2 Imutabilidade e Adequação. As MTOs estabelecidas são o padrão mínimo de segurança e não serão sujeitas à redução unilateral pela CONTRATADA sem o consentimento formal e prévio por escrito do CONTRATANTE. A CONTRATADA se compromete a manter ou aumentar o nível de segurança da informação ao longo da vigência contratual.
• 8.3 Limitação de Finalidade. A implementação destas MTOs também visa assegurar que os Dados Pessoais não sejam tratados para qualquer finalidade independente das instruções documentadas fornecidas pelo CONTRATANTE.
• 8.4 Obrigações de Segurança e Proteção de DP. O SUBCONTRATADO compromete-se a manter medidas de segurança compatíveis com as Matrizes de Responsabilidade Compartilhada e certificações de conformidade (ISO 27001/27018) mantidas por tais provedores.
• 8.5 Nível de Segurança Contratado. O SUBCONTRATADO reconhece que as MTOs estabelecidas representam o padrão mínimo e não poderão ser sujeitas à redução unilateral sem a prévia autorização por escrito da CONTRATADA.

9. Localização Geográfica e Transferência Internacional de Dados

• 9.1 Localização Geográfica dos Dados Pessoais. A CONTRATADA específica e documenta que os Dados Pessoais do CONTRATANTE serão armazenados e tratados exclusivamente nos países listados no link (conforme já mencionado no item 5.2)
• 9.2 Abrangência da Localização. A lista de países divulgada inclui todas as localizações onde os DP podem ser armazenados ou acessados pela CONTRATADA e por todos os seus Subcontratados (incluindo backups e ambientes de recuperação de desastres).
• 9.3 Alteração da Localização Geográfica. A CONTRATADA se compromete a informar o CONTRATANTE sobre quaisquer alterações pretendidas na lista de países de armazenamento, em tempo hábil (conforme estabelecido na Cláusula 5.4 – Notificação de Alterações de Subcontratados), garantindo que o CONTRATANTE tenha a capacidade de contestar estas alterações ou encerrar o Contrato, caso a nova jurisdição não atenda aos seus requisitos de compliance.