1. Introdução

1.1. Esta Política estabelece as diretrizes para o tratamento de dados pessoais pelo INPROTRAN, em conformidade com a Lei nº 13.709/2018 (LGPD) e demais legislações aplicáveis. 

1.2. Esta política adotará os formulários em anexo, ou os padronizados pelos compliances dos parceiros quando assim exigirem.   

2. Princípios de Tratamento: 

2.1. O INPROTRAN observa os princípios da: 

2.1.1. Finalidade: 

2.1.1.1. uso dos dados para propósitos legítimos e informados ao titular; 

2.1.2. Necessidade:  

2.1.2.1. coleta apenas dos dados estritamente necessários; 

2.1.3. Transparência:  

2.1.3.1. comunicação clara e acessível sobre o uso dos dados; 

2.1.4. Segurança e Prevenção:  

2.1.4.1. adoção de medidas técnicas e administrativas para proteger os dados; 

2.1.5. Responsabilização e Prestação de Contas:  

2.1.5.1. compromisso com a conformidade e a boa-fé. 

2.2. Tipos de Dados Tratados 

2.2.1. Dados de identificação (nome, CPF, RG, e-mail, telefone, endereço); 

2.2.2. Dados profissionais e acadêmicos; 

2.2.3. Dados de trânsito e mobilidade (quando aplicáveis aos projetos); 

2.2.4. Dados de colaboradores e parceiros institucionais. 

2.3. Finalidades do Tratamento 

2.3.1. Os dados são tratados para: 

2.3.1.1. Execução de projetos técnicos e estudos de mobilidade urbana; 

2.3.1.2. Cumprimento de obrigações legais e contratuais; 

2.3.1.3. Comunicação com órgãos públicos, parceiros e titulares; 

2.3.1.4. Prestação de contas e transparência institucional; 

2.3.1.5. Processos administrativos internos e de gestão de pessoal. 

2.4. Compartilhamento de Dados 

2.4.1. Apenas com órgãos públicos, parceiros técnicos e entidades contratadas, estritamente quando necessário; 

2.4.2. Mediante assinatura de Termos de Confidencialidade e Acordos de Tratamento de Dados; 

2.4.3. Garantindo o cumprimento da LGPD e a segurança das informações. 

2.5. Direitos dos Titulares 

2.5.1. Os titulares podem, a qualquer momento: 

2.5.1.1. Solicitar acesso, correção ou exclusão de seus dados; 

2.5.1.2. Revogar consentimento; 

2.5.1.3. Solicitar portabilidade ou informações sobre compartilhamentos.

2.6. Canal de atendimento: 

2.6.1. E-mail: administracao@inprotran.org.br; 

2.6.2. Endereço: Avenida Augusto de Lima, nº 1376, sala 505 – Barro Preto – Belo Horizonte/MG CEP: 30.190-003; 

2.6.3. Encarregado (DPO): Jamil Megid Júnior – Diretor Presidente. 

2.7. Segurança da Informação 

2.7.1. Adoção de controles de acesso e autenticação; 

2.7.2. Backup e criptografia de dados sensíveis; 

2.7.3. Monitoramento de incidentes e resposta imediata; 

2.8.4. Treinamentos regulares para colaboradores. 

2.8. Retenção e Eliminação de Dados 

2.9.1. Os dados pessoais serão armazenados apenas pelo tempo necessário para atingir suas finalidades ou cumprir obrigações legais. 

2.9.2. Após esse prazo, serão eliminados ou anonimizados de forma segura. 

2.10. Revisão da Política 

2.10.1. Esta política será revisada anualmente ou sempre que houver alterações legislativas, tecnológicas ou organizacionais que exijam atualização. 

2.11. Vigência 

2.11.1Esta Política entra em vigor na data de sua aprovação pela Diretoria do INPROTRAN e permanece válida por tempo indeterminado, enquanto perdurar o tratamento de dados pessoais pela instituição.

ACORDO DE TRATAMENTO DE DADOS PESSOAIS (DPA: DATA PROCESSING AGREEMENT) 

Pelo presente instrumento particular de DPA integrante ao presente contrato as Partes têm entre si certo e ajustado o presente acordo aditivo para tratamento de dados pessoais, para efeitos deste instrumento denominado DPA (Data Processing Agreement), nos termos que seguem: 

1. Definições 

Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. 

ANPD: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional. 

Compliance: conformidade a legislações, normas e regras. 

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. 

Dados Pessoais: informação relacionada a pessoa natural identificada ou identificável. 

DPIA ou relatório de impacto à proteção de dados pessoais: documentação, produzida pelo Controlador, que conterá a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. 

DPO: Data Protection Officer. Denominado pela LGPD de Encarregado, é a pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). 

Incidente: qualquer evento de violação à LGPD no tratamento dos dados pessoais, como, por exemplo: vazamentos, ataques de hacker, ações de malwares, uso (acesso, compartilhamento, transferência) indevido, perda ou adulteração. Qualquer evento por parte de órgãos reguladores ou judiciais/judiciários em relação ao tratamento de dados pessoais como notificações, solicitações, intimações ou atos processuais. Qualquer notificação extrajudicial em relação ao tratamento de dados pessoais. 

LGPD: refere-se à lei nº 13.709, de 14 de agosto de 2018, denominada Lei Geral de Proteção de Dados Pessoais. 

Minimização: coleta de dado pessoal restrita ao mínimo necessário alinhado à finalidade pretendida. 

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador. 

Privacidade: condição do que é privado, pessoal ou íntimo, vida privada. 

Privacy by Design: é um recurso do programa de privacidade que tem como objetivo identificar, avaliar e reagir proativamente aos riscos de privacidade no início de novas iniciativas de tecnologia e negócios – e depois continuamente ao longo do seu ciclo de vida. 

Pseudonimização: tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo Controlador em ambiente controlado e seguro. 

ROPA: Registro das Operações de Tratamento de Dados Pessoais realizadas por agente de tratamento, contendo informações como, mas não se limitando a: nome da operação de tratamento de dados pessoais, dados pessoais nela envolvidos, nomes dos produtos para seus sistemas e bases de dados, período de retenção dos dados, número de pessoas com acesso aos dados pessoais e terceiros participantes. 

Subtratamento: tratamento de dados pessoais terceirizado do Operador a um suboperador. 

Suboperador: pessoa física ou jurídica coligada ou distinta à _______________, pertencente ou não ao mesmo grupo econômico ou conglomerado da CONTRATADA, designada por ela e a quem ela, ______________, terceiriza, mesmo que parcial ou minimamente, tratamento de dados pessoais da __________________ Controladora. 

Titular de dados pessoais: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. 

Tratamento de dados pessoais: toda e qualquer operação realizada com dados pessoais tais como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência e difusão ou extração. 

2. Dos papéis 

2.1. As Partes reconhecem que a CONTRATADA realizará o tratamento de Dados Pessoais no contexto do objeto do contrato e das relações comerciais e operacionais necessárias entre ______________ e CONTRATADA. Nestas atividades de tratamento, as Partes reconhecem e acordam que a __________________ é a Controladora dos Dados Pessoais, enquanto a CONTRATADA é a Operadora dos Dados Pessoais. 

2.2. A CONTRATADA, no papel de Operadora, concorda em fornecer as proteções adequadas em relação à privacidade para resguardar os dados pessoais dos titulares. 

2.3. A CONTRATADA, no papel de Operadora, concorda estar conforme aos termos desse DPA e garante, às suas próprias custas, a manutenção dessa conformidade durante a vigência do contrato; 

2.4. A _____________ identifica o seu DPO (Encarregado) como sendo: 

Nome: ____________________________ 

Contato: 

E-mail: _________________________________ 

Telefone: (___) _____________ 

Endereço: ___________________________ 

CEP:  _______________ 

2.5. A CONTRATADA identifica o seu DPO (Encarregado) como sendo: 

Nome: ____________________________ 

Contato: 

E-mail: _________________________________ 

Telefone: (___) _____________ 

Endereço: ___________________________ 

CEP:  _______________ 

3. As partes manterão sempre atualizadas e comunicadas, entre si, as informações de identificação em 2.4 e 2.5, seja através de seus websites ou entre seus DPOs. 

4. Das instruções gerais da Controladora: 

4.1. A CONTRATADA, inclusos seus empregados, próprios e terceiros, tratará os dados pessoais em nome e benefício da _________________ de acordo com os termos deste DPA e com quaisquer instruções relacionadas fornecidas pela _________________por escrito. A _________________ tem a prerrogativa e autoridade exclusiva para determinar as finalidades, meios e temporalidade do tratamento dos dados pessoais de seus titulares junto à CONTRATADA; 

4.2. A ________________ cumprirá o disposto nas legislações e textos normativos aplicáveis no que tange ao tratamento de dados pessoais. Entretanto, na eventualidade da CONTRATADA julgar que qualquer instrução da ________________ como Controladora ofender ou violar as legislações que versam sobre proteção de dados pessoais, ela informará, imediata e previamente à execução da instrução, o DPO da ________________ sobre esta eventual violação; 

4.3. A CONTRATADA obriga-se a tratar como confidenciais todos os dados pessoais recebidos da _________________ ou que venha a ter conhecimento, obrigando-se a não repassá-los, comercializá-los, revelá-los a terceiros, pessoas jurídicas do mesmo grupo econômico ou conglomerado, parceiros e/ou coligados, devendo utilizar tais informações única e exclusivamente para o fim específico a que forem destinadas, exercitando a devida diligência e adotando todas as cautelas e precauções necessárias no sentido de impedir o uso indevido dos dados pessoais por qualquer pessoa que, por qualquer razão, tenha acesso a eles; 

4.4. A CONTRATADA se compromete a não compartilhar com a ___________ quaisquer dados pessoais de titulares seus que não forem absolutamente necessários para a execução do contrato do qual faz parte esse DPA e para a manutenção das relações comerciais e operacionais entre ___________ e CONTRATADA; 

4.5. A CONTRATADA cumprirá o disposto nas legislações e textos normativos aplicáveis no que tange ao tratamento de dados pessoais, como, por exemplo, mas não se limitando a: Lei Geral de Proteção de Dados Pessoais, Constituição Federal Brasileira, Consolidação das Leis do Trabalho, Código de Defesa do Consumidor, Marco Regulatório da Internet, Lei de Sigilo Bancário, Legislações de Prevenção à Lavagem de Dinheiro, Lei de Liberdade de Informação, Legislação Tributária/Fiscal; 

4.6. Sempre que houver uma mudança regulatória que afete o tratamento de dados pessoais e termos desse DPA, sobretudo na região, estado ou circunscrição onde opera a CONTRATADA, esta obriga-se a comunicar o DPO da ___________ das mudanças, o que pode motivar revisão dos termos do presente DPA; 

4.7. A CONTRATADA obriga-se a demonstrar conformidade a normas ou procedimentos de privacidade e proteção de dados pessoais quando declarar privada ou publicamente em, por exemplo, material institucional, propostas técnico-comerciais ou website, certificação ou cumprimento a essas normas ou procedimentos. A ___________ poderá, a seu exclusivo critério, solicitar respectiva certificação também durante a vigência do contrato, em função de negociação prévia entre as Partes nesse sentido, solicitação esta a que a CONTRATADA se obriga a atender; 

4.8. A CONTRATADA aplicará obrigação de proteção de dados pessoais a todos os seus empregados, próprios e terceiros, envolvidos em qualquer tratamento de dados pessoais para a USINA DA PEDRA como sua Controladora através de termos formais de confidencialidade nesse sentido;

4.9. A CONTRATADA deverá colaborar, às suas próprias custas, com a ___________ e com as autoridades competentes, na diligência e investigações acerca dos incidentes ocorridos, tenham eles sido identificados por qualquer uma das Partes, na garantia dos direitos dos titulares, na elaboração de DPIAs e ROPAs e no suporte a auditorias.

5. Da segurança e prevenção: 

5.1. A CONTRATADA adotará as medidas técnicas e administrativas necessárias e minimamente listadas abaixo para a segurança em termos de integridade, confidencialidade e disponibilidade dos dados pessoais tratados em nome da ___________, prevenindo seu uso indevido e vazamento dessas informações: 

5.1.1. Segurança nas estações de trabalho (computadores, dispositivos móveis etc.) e servidores (de dados, de aplicação, de arquivos etc.) com a utilização de antivírus sempre atualizado e firewall do sistema operacional ativado; 

5.1.2. Aplicação das últimas ou mais recentes atualizações de segurança (patching) em todos os softwares que rodem nas estações de trabalho, servidores e equipamentos de rede, sejam esses softwares sistemas operacionais e seus componentes (drivers etc.), aplicações ou firmwares de componentes de hardware; 

5.1.3. Utilização de equipamentos e recursos de segurança interna e de perímetro, dentre os quais, firewalls de rede, IDS/IPS (Intrusion Detection and Prevention Systems) e SIEM (Security Information and Event Management); 

5.1.4. Cópias de segurança (backup) dos dados pessoais dos titulares, em estratégia 3-2-1, na frequência adequada para atingir os requisitos de negócio e conforme respectiva política da área de TI (Tecnologia da Informação) da ___________, armazenadas em mídia confiável, desconectada dos servidores de dados e mantida em local controlado e que permitam restauro íntegro e seguro das informações. Aplicação de medidas de segurança equivalentes quando os dados pessoais estiverem em meio físico; 

5.1.5. Armazenamento de senhas com recurso de salted hashing, utilizando algoritmos seguros, em bancos de dados onde houver dados pessoais; 

5.1.6. Aplicação de políticas de senhas fortes para acesso a sistemas, com concomitante controle de histórico. Não utilização de senhas padrão. Garantia de rastreabilidade de acessos por meio da atribuição de contas individuais aos sistemas. Utilização de processos de autenticação e autorização no acesso a todos os sistemas. Fornecimento dos acessos estritamente necessários ao desempenho das funções de cada colaborador. Bloqueio do usuário por sucessivas tentativas inválidas de acesso; 

5.1.7. Controle de acesso físico com concessão de acesso apenas às pessoas com as credenciais apropriadas para tal e monitoramento através de, por exemplo, câmeras de segurança, crachás- wifi etc. Pessoas não autorizadas não terão acesso físico às instalações, prédios ou salas onde estiverem localizados os sistemas e seus bancos de dados ou arquivos de documentos impressos que contenham dados pessoais; 

5.1.8. Manter, para fácil consulta, registro dos acessos e ações realizados nos sistemas, contendo minimamente horário, origem e a identificação do utilizador; 

5.1.9. Utilização de canais seguros e criptografados para compartilhamento e transferência de dados pessoais, sejam em integração de sistemas, e-mail, portais de acesso a dados, armazenamento em nuvem (cloud drives) etc. De modo análogo, aplicar meios de transporte e troca segura quando de dados pessoais em formato físico (não eletrônico); 

5.1.10. Quando da exclusão de dados pessoais, fazê-lo de forma segura, ou seja, sem possibilidade de reversão. A exclusão segura aplica-se também ao descarte de mídias e dispositivos de armazenamento de dados como DVD, pen/flash-drives, HDD, fitas magnéticas etc., além de meio impresso; 

5.1.11. Adoção de políticas abrangentes e controles de segurança da informação compatíveis com normas ISO/IEC família 27.000. Demonstração de aplicação dessas políticas por meio de registro recente de auditoria interna ou externa. A CONTRATADA deixará disponível e fornecerá suas políticas de segurança e relatórios de auditoria de segurança sempre que solicitados pela ___________; 

5.1.12. Realização de simulações e treinamentos periódicos aos colaboradores nas políticas de segurança da informação e proteção de dados pessoais da CONTRATADA e respectivas boas práticas de mercado; 

5.1.13. Aplicação de técnicas de criptografia e/ou anonimização no armazenamento de dados pessoais sensíveis; 

5.1.14. Quando da necessidade de acesso remoto dos empregados e terceiros da CONTRATADA aos seus sistemas e recursos de tecnologia de informação, este deve ocorrer por meio de VPN (Virtual Private Network) para a rede lógica da CONTRATADA. No caso de uso de computação em nuvem (cloud computing) para acessos aos dados pessoais tratados pela CONTRATADA, as estações de trabalho dos seus empregados, sejam próprias (BYOD Bring Your Own Device) ou da CONTRATADA, devem seguir o disposto em 4.1.1 e 4.1.2, além de autenticação do usuário por múltiplos fatores; 

5.1.15. Para segurança da informação, manter área dedicada própria e/ou junto a subcontratados de quem utiliza sistemas para os seus negócios principais, com pessoal qualificado e certificado na área como, por exemplo, mas não se limitando a: CISO (Chief Information Security Officer), CSO (Chief Security Officer), especialista em cyber segurança, analista de privacidade e proteção de dados, arquitetos, analistas, desenvolvedores de sistemas etc; 

5.1.16. Quando for escopo das entregas da CONTRATADA para a ___________ o desenvolvimento de sistemas e software, mesmo que parcial ou graciosamente, a CONTRATADA deve adotar técnicas de desenvolvimento seguro. As técnicas de desenvolvimento seguro devem envolver proteções em termos de, mas não se limitando a, autenticação, gerenciamento de sessão, controle de acesso e autorização, validação de entrada de dados, verificação de consistência em campos, uso de algoritmos modernos e seguros de criptografia, tratamento de erros, registro dos acessos e ações realizados nos sistemas (logging), transferência segura de dados e parametrização segura; 

5.1.17. Realização periódica, com frequência mínima anual, de avaliações externas de segurança de rede e sistemas e correspondente mitigação ou eliminação das vulnerabilidades identificadas. A CONTRATADA compartilhará com a ___________, sempre que solicitados, estes relatórios de avaliações externas de segurança; 

5.1.18. Capacidade, em sua rede e sistemas, de poder se recuperar satisfatoriamente, e dentro dos acordos de nível de serviço (SLA), de incidentes de alta criticidade e urgência como, por exemplo, desastres por força maior ou ação criminosa por casos fortuitos. Essa capacidade pode se dar por meio de planos de continuidade de negócio, restauro massivo de dados, redundância e co- localização ou co-hospedagem de servidores (bases de dados e sistemas).

6. Do subtratamento e suboperação 

6.1. A CONTRATADA, responsável pelo tratamento de dados pessoais em nome da __________, conforme disposto em 3.1, não recorrerá o subtratamento, ainda que parcialmente, sem a anuência expressa e por escrito da ______________, seja para suboperadores existentes no momento da celebração do contrato ou nos seus procedimentos preliminares, ou para suboperadores novos durante a vigência deste instrumento; 

6.2. A ________________ poderá fazer objeção a qualquer suboperador, expressando seus motivos à CONTRATADA nesse sentido, momento em que as Partes devem cooperar para resolver a objeção de modo razoável. A adoção de suboperador pela CONTRATADA que não seja autorizado pela USINA DA PEDRA, conforme 5.1, facultará à USINA DA PEDRA o encerramento deste contrato sem prejuízo das penalidades de rescisão às quais a CONTRATADA estiver sujeita; 

6.3. A _____________ não contratará diretamente suboperadores da CONTRATADA ou fornecedores designados por ela a quem ela terceirize, mesmo que parcial ou minimamente, tratamento de dados pessoais da USINA DA PEDRA como sua Controladora; 

6.4. Sob pena de nulidade deste acordo ou penalidades conforme 11, a CONTRATADA declara ter entregue ao DPO da USINA DA PEDRA, anteriormente à celebração desse contrato, uma lista atualizada contendo todos os seus suboperadores e declara também que a manterá atualizada durante a vigência deste instrumento. Esta lista deverá conter as informações de contato dos suboperadores, incluindo as dos seus respectivos DPOs, os dados pessoais compartilhados pela CONTRATADA com eles e a localização do subtratamento; 

6.5. A CONTRATADA, ao contratar um suboperador, deverá assegurar que ele esteja sujeito contratualmente a todas as cláusulas, obrigações e penalidades dispostas neste DPA da ________________ com a CONTRATADA. A CONTRATADA será totalmente responsabilizada por atos e omissões do suboperador em relação a violações aos termos deste DPA, mesmo em caso de desaparecimento, falência ou extinção do suboperador. 

7. Da transferência internacional 

7.1. A menos de regulamentação pela ANPD sobre transferência internacional de dados pessoais no que tange a países com transferência autorizada, homologação de Regras Corporativas Vinculantes (Binding Corporate Rules) entre unidades da CONTRATADA em países diferentes e redação específica de cláusulas contratuais, a CONTRATADA não transferirá dados pessoais que tratar em nome da ____________________ como Controladora a outros países sem legislação específica de proteção de dados pessoais análoga à LGPD e onde não haja registros consistentes de fiscalização de agentes reguladores competentes ou de órgãos judiciais/judiciários e de multas e sanções pecuniárias e administrativas em função dessa legislação ou suas jurisprudências; 

7.2. A CONTRATADA informará ao DPO da ____________________ por escrito os países para os quais transfere dados pessoais, quais são esses dados pessoais e com que frequência há essa transferência internacional. 

8. Dos direitos dos titulares 

8.1. A CONTRATADA cumprirá, em até 5 dias, qualquer solicitação da ____________________ em função de exercício dos direitos dos titulares previstos na LGPD e a ela interpostos; 

8.2. As operações e sistemas envolvidos no tratamento de dados pessoais da CONTRATADA para a ____________________ devem permitir o exercício pleno dos direitos dos titulares previstos na LGPD (e.g.: correção, exclusão, acesso, bloqueio etc.); 

8.3. Sempre que um titular exercer seus direitos previstos na LGPD diretamente perante a CONTRATADA e seus dados pessoais forem tratados pela CONTRATADA por orientação da ____________________ como Controladora, a CONTRATADA informará o titular para direcionar sua solicitação à ____________________ ao mesmo tempo que notificará o DPO da ____________________ por escrito do teor do requerimento desse titular; 

8.4. A CONTRATADA deverá reparar o titular por danos que ela a ele causar em função de violação da LGPD no tratamento dos seus dados pessoais que realiza em nome da ____________________ como sua Controladora. 

9. Dos direitos dos titulares 

9.1. A CONTRATADA cumprirá, em até 5 dias, qualquer solicitação da ____________________ em função de exercício dos direitos dos titulares previstos na LGPD e a ela interpostos; 

9.2. As operações e sistemas envolvidos no tratamento de dados pessoais da CONTRATADA para a ____________________ devem permitir o exercício pleno dos direitos dos titulares previstos na LGPD (e.g.: correção, exclusão, acesso, bloqueio etc.); 

9.3. Sempre que um titular exercer seus direitos previstos na LGPD diretamente perante a CONTRATADA e seus dados pessoais forem tratados pela CONTRATADA por orientação da ____________________ como Controladora, a CONTRATADA informará o titular para direcionar sua solicitação à ____________________ ao mesmo tempo que notificará o DPO da ____________________ por escrito do teor do requerimento desse titular; 

9.4. A CONTRATADA deverá reparar o titular por danos que ela a ele causar em função de violação da LGPD no tratamento dos seus dados pessoais que realiza em nome da ____________________ como sua Controladora. 

10. Dos incidentes de segurança e privacidade 

10.1. A CONTRATADA comunicará primeira e imediatamente o DPO da ____________________ por escrito sobre quaisquer incidentes envolvendo dados pessoais que trata dos titulares da ____________________ como sua Controladora, qualquer evento por parte de órgãos reguladores ou judiciais/judiciários em relação ao tratamento de dados pessoais como notificações, solicitações, intimações ou decorrente de atos processuais, além de qualquer evento extrajudicial da mesma natureza; 

10.2. O comunicado de incidente deverá conter, no mínimo, as seguintes informações: natureza do incidente (vazamento, uso indevido etc.), a quantidade de titulares afetados ou potencialmente afetados, a natureza dos dados pessoais envolvidos (quais dados pessoais), data sabida ou provável ocorrência do incidente, sugestões de ações de contenção ou contingência para interromper ou minimizar os efeitos do incidente ou, quando aplicável, teor do evento administrativo (órgãos reguladores), judicial/judiciário ou extrajudicial; 

10.3. A provisão e entrega da notificação de incidente ou sua publicização têm apenas natureza informativa e não podem ser consideradas e usadas como reconhecimento de imprudência, imperícia ou negligência com relação ao incidente por nenhuma das Partes em relação à outra; 

10.4. A CONTRATADA não poderá tomar ações de publicização ou comunicação do incidente com terceiros sem anuência do DPO da ____________________; 

10.5. A CONTRATADA empregará todos os esforços necessários para apurar as causas de incidentes e respectivas responsabilidades, além de colocar em prática ações sobre estas causas de modo a minimizar ou mesmo evitar futuros incidentes. 

12. Do Término do Contrato 

12.1. Quando do encerramento deste contrato, a CONTRATADA obriga-se a devolver, a critério da área contratante na ____________________, os dados pessoais de titulares que tratar em nome da ____________________ como sua Controladora, no prazo de até 14 dias; 

12.2. Após a confirmação pela área contratante da ____________________, por escrito, do recebimento dos dados pessoais de que trata 10.1, a CONTRATADA deverá excluí-los definitivamente, em até 14 dias, de seus arquivos, bancos de dados e sistemas, tanto em meio físico quanto digital, certificando a execução deste procedimento por escrito à ____________________; 

12.3. As obrigações previstas em 10.1 e 10.2 estendem-se também aos suboperadores da CONTRATADA, a qual se responsabiliza integralmente pelo seu cumprimento junto a eles; 

12.4. A CONTRATADA informará antecipadamente a ____________________ sobre fusões ou aquisições que possam resultar no encerramento do contrato ou revisão dos termos desse DPA. Se fusões ou aquisições envolvendo a CONTRATADA não ensejarem o término do contrato com a ____________________, este DPA deve automaticamente sobreviver aos referidos processos de fusão ou aquisição, aplicando-se aos arranjos organizacionais e entidades legais que resultarem como Partes no contrato com a ____________________. 

13. Das Penalidades e Responsabilizações 

13.1. A CONTRATADA concorda estar conforme aos termos desse DPA, cujas violações facultam à ____________________ a aplicação das penalidades abaixo à CONTRATADA, além das legalmente impostas; 

13.2. O Percentual de 2% da receita anual mais recente da CONTRATADA referente a este contrato, sabida ou estimada, sem prejuízo das outras penalidades por violação aos outros termos do contrato, para cada infração, por ocorrência, que se enquadrar, sobretudo, em qualquer dos itens abaixo: 

13.2.1. Desvio das instruções de tratamento da ____________________ como Controladora. (vide 3.1); 

13.2.2. Violação de outras legislações. (vide 3.5); 

13.2.3. Não demonstração de conformidade a normas e procedimentos que a CONTRATADA declarar publicamente ou ainda de modo privado à ____________________. (vide 3.7); 

13.2.4. Ausência de aplicação a seus empregados e terceiros de termos de confidencialidade ou de proteção de dados pessoais. (vide 3.8); 

13.2.5. Recusa, retardo, obstrução, embaraço ou decurso de prazo à colaboração com a ____________________ ou com autoridades competentes ou em virtude de solicitações delas nesse contexto, como, por exemplo, investigações de incidentes ou solicitações da ____________________ decorrentes do exercício dos direitos de titulares. (vide 3.9, 7.1, 7.2, 8.2, 8.5 e 9.6); 

13.2.6. Violação dos requisitos de segurança e prevenção. (vide 4); 

13.2.7. Recorrer a suboperador sem a anuência da ____________________ ou sem aplicação dos termos desse DPA a ele. (vide 5.1, 5.4 e 5.5); 

13.2.8. Não comunicação, atraso, desinformação ou obstrução na comunicação de incidentes. (vide 8.1 e 8.2); 

13.2.9. Publicização de incidentes à revelia da ____________________. (vide 8.4); 

13.2.10. Atraso ou não entrega de plano de adequação para não conformidades identificadas em auditorias. (vide 9.8); 

13.3. O percentual de 10% da receita anual mais recente da CONTRATADA referente a este contrato, sabida ou estimada, sem prejuízo das outras penalidades por violação aos outros termos do contrato, para cada infração que se enquadrar em qualquer dos itens abaixo: 

13.3.1. Cessão, troca ou comercialização de qualquer natureza acerca dos dados pessoais de titulares da ____________________. (vide 3.3); 

13.3.2. Recusa, retardo, obstrução ou embaraço a auditorias com a finalidade de verificar o cumprimento dos termos desse DPA. (vide 9.1); 

13.4. Previamente à aplicação das penalidades descritas em 11.1.1 e 11.1.2, a ____________________ notificará a CONTRATADA sobre as violações entendidas, momento em que oportunizará à CONTRATADA arrazoado sobre elas; 

13.5. As Partes ficarão sujeitas à responsabilização e prestação de contas entre si e junto aos agentes reguladores/fiscalizadores competentes ou a órgãos judiciais/judiciários pelos danos e prejuízos comprovadamente decorrentes de sua ação ou omissão, observados os termos do contrato, disposições legais e normativas aplicáveis, inclusive quando da falta da adoção de medidas de segurança satisfatórias e adequadas ao atendimento deles, com relação ao tratamento dos dados pessoais a elas confiado no âmbito do contrato; 

13.6. A CONTRATADA responsabiliza-se, sem prejuízo da aplicação das respectivas penalidades, pelo ajuste e correção necessários para sanar as violações identificadas, conforme plano de adequação acordado entre as Partes a ser apresentado pela CONTRATADA em até 14 dias da notificação pela ____________________.