Acordo de Processamento de Dados (DPA)

Este Acordo de Processamento de Dados ("DPA") complementa os Termos de Serviço e regula o tratamento de dados pessoais que ACORD.AR S.A.S. ("Operador") realiza por conta do Usuário ("Controlador") no âmbito da prestação do serviço de assinatura eletrônica, conforme o Art. 28 do GDPR (Regulamento (UE) 2016/679), a LGPD (Lei 13.709/2018) e a Lei 25.326 da Argentina.

O Usuário (Controlador): determina as finalidades e meios do tratamento dos dados pessoais contidos nos documentos.

ACORD.AR S.A.S. (Operador): trata os dados pessoais unicamente conforme as instruções do Controlador e para o fim exclusivo de fornecer o serviço de assinatura eletrônica.

O Operador compromete-se a, conforme o Art. 28(3) do GDPR:

a) Instruções documentadas (Art. 28(3)(a)): tratar os dados pessoais exclusivamente conforme as instruções documentadas do Controlador, inclusive no que diz respeito a transferências internacionais.

b) Confidencialidade (Art. 28(3)(b)): garantir que todas as pessoas autorizadas a tratar dados pessoais tenham assumido compromisso de confidencialidade ou estejam sujeitas a obrigação legal de sigilo.

c) Medidas de segurança (Art. 28(3)(c) e Art. 32): implementar todas as medidas técnicas e organizacionais adequadas para garantir um nível de segurança compatível com o risco, incluindo criptografia AES-256, TLS 1.3 e controles de acesso.

d) Sub-operadores (Art. 28(3)(d)): não contratar sub-operadores sem autorização prévia e por escrito do Controlador, conforme detalhado na seção 4.

e) Assistência ao Controlador (Art. 28(3)(e) e (f)): auxiliar o Controlador no cumprimento de suas obrigações relativas aos direitos dos titulares (Arts. 15 a 22) e às obrigações de segurança, notificação de violações e avaliação de impacto (Arts. 32 a 36).

f) Eliminação ou devolução (Art. 28(3)(g)): ao finalizar a prestação do serviço, eliminar ou devolver todos os dados pessoais ao Controlador, conforme sua escolha, e eliminar as cópias existentes, salvo obrigação legal de conservação.

g) Auditoria (Art. 28(3)(h)): disponibilizar ao Controlador todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no Art. 28, e permitir e contribuir com auditorias e inspeções.

Os sub-operadores atuais incluem provedores de infraestrutura na nuvem (SOC 2 Type II, ISO 27001), provedores de serviços de e-mail e provedores de serviços de pagamento (PCI DSS). O Controlador será notificado com trinta (30) dias de antecedência sobre qualquer alteração.

Conforme o Art. 33 do GDPR, em caso de violação de dados pessoais, o Operador compromete-se a:

a) Notificação ao Controlador: notificar o Controlador sem demora injustificada e, sempre que possível, no prazo máximo de 72 (setenta e duas) horas após tomar conhecimento da violação.

b) Conteúdo da notificação: a notificação incluirá, no mínimo:

A natureza da violação de dados pessoais, incluindo, quando possível, as categorias e o número aproximado de titulares afetados e de registros de dados pessoais afetados.

O nome e os dados de contato do encarregado de proteção de dados ou outro ponto de contato.

A descrição das consequências prováveis da violação.

A descrição das medidas adotadas ou propostas para remediar a violação, incluindo medidas para mitigar seus possíveis efeitos adversos.

c) Documentação: o Operador documentará todas as violações de dados pessoais, incluindo os fatos relacionados, seus efeitos e as medidas corretivas adotadas.

d) Cooperação: o Operador cooperará integralmente com o Controlador para cumprir as obrigações de notificação às autoridades supervisoras e aos titulares afetados, conforme os Arts. 33 e 34 do GDPR e os arts. 48 e 49 da LGPD.

As transferências internacionais de dados pessoais realizadas pelo Operador estão sujeitas às disposições do Capítulo V do GDPR. O Operador utilizará Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia (Art. 46(2)(c)) e implementará medidas técnicas complementares quando necessário para garantir um nível adequado de proteção.

Este DPA permanecerá em vigor durante todo o período de prestação do serviço e enquanto o Operador mantiver dados pessoais do Controlador. As obrigações de confidencialidade e proteção de dados sobrevivem à rescisão deste acordo.