Skip to Main

Adendo de tratamento de dados da LexisNexis

1. ESCOPO E DEFINIÇÕES

1.1. Este adendo de tratamento de dados da LexisNexis ("DPA" - Data Processing Addendum) faz parte do contrato ("Contrato") entre o cliente ("você", "seu") e a entidade LexisNexis ("LN", "nós", “nosso”) sob o qual prestamos a você e, se aplicável, às suas afiliadas determinados serviços ("Serviços") e nos quais este DPA é referenciado.

“Leis de Proteção de Dados” significa todas as leis, regras, regulamentos, decretos, ordens e outros requisitos governamentais de proteção de dados e privacidade aplicáveis. Os termos “controlador”, “titular dos dados”, “dados pessoais”, “incidente de dados pessoais”, “tratamento” e “operador” terão os significados atribuídos a eles nas leis de proteção de dados, e onde tais leis usam termos equivalentes ou correspondentes, tais como 'informações pessoais' em vez de 'dados pessoais', serão incorporados a este adendo na forma prevista em lei.

2. TRATAMENTO

2.1. Implementaremos medidas técnicas e organizacionais adequadas de forma que o tratamento cumpra os requisitos das Leis de Proteção de Dados, assegure a proteção dos direitos dos titulares dos dados e ofereça um padrão de proteção que seja, pelo menos, do mesmo nível de proteção conforme exigido pelas Leis de Proteção de Dados.

2.2. O objeto do nosso tratamento são os dados pessoais fornecidos em relação aos Serviços. A duração do tratamento é a duração da prestação dos serviços até a eliminação dos dados pessoais de acordo com o Contrato. A natureza e a finalidade do tratamento estão relacionadas com a prestação dos serviços. Os tipos de dados pessoais tratados são aqueles submetidos aos Serviços. As categorias dos titulares de dados são aquelas cujos dados pessoais são submetidos aos Serviços.

2.3. Na medida em que processamos dados pessoais em seu nome, iremos:

  1. tratar os dados pessoais apenas mediante as suas instruções documentadas, inclusive no que diz respeito a transferências de dados pessoais para um terceiro localizado em outro país ou uma organização internacional, a menos que exigido pela lei aplicável a que estamos sujeitos; em tal caso, iremos informá-lo dessa exigência legal antes do tratamento, a não ser que a lei proíba o fornecimento de tais informações por motivos importantes de interesse público;
  2. garantir que as pessoas autorizadas a tratar os dados pessoais se comprometeram com a confidencialidade ou estão sob uma obrigação legal de confidencialidade apropriada;
  3. tomar todas as medidas de segurança exigidas de acordo com as Leis de Proteção de Dados;
  4. respeitar as condições referidas nos itens 3.1 e 3.2 para contratar outro operador;
  5. considerando a natureza do tratamento, auxiliá-lo na tomada de medidas técnicas e organizacionais adequadas, na medida do possível, para o cumprimento da sua obrigação de responder aos pedidos de exercício dos direitos do titular dos dados previstos nas Leis de Proteção de Dados;
  6. ajudá-lo a garantir o cumprimento das obrigações de acordo com as Leis de Proteção de Dados, levando em consideração a natureza do tratamento e as informações disponíveis para nós;
  7. à sua escolha, excluir ou devolver a você todos os dados pessoais após o término da prestação de serviços relacionados ao tratamento e excluir as cópias existentes, a menos que a lei aplicável exija o armazenamento dos dados pessoais;
  8. Disponibilizar para você todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas nas Leis de Proteção de Dados e permitir e contribuir para auditorias, incluindo inspeções, conduzidas por você ou por outro auditor indicado por você e

imediatamente informá-lo se, em nossa opinião, uma instrução sua infringir as Leis de Proteção de Dados.

2.4. O Contrato, incluindo este DPA, junto com seu uso e configuração nos Serviços, são suas instruções documentadas completas e finais para nós para o tratamento de dados pessoais. Instruções adicionais ou alternativas devem ser acordadas separadamente pelas partes.

3. SUBOPERADORES

3.1. Na medida em que estamos processando dados pessoais em seu nome, temos sua autorização geral para contratar outros operadores para o tratamento desses dados pessoais de acordo com este DPA de nossa lista de tais operadores em https://www.lexisnexis.com/global/privacy/subprocessors.page, que podemos atualizar ocasionalmente. Iremos informá-lo de quaisquer alterações, atualizando a lista em nosso site com pelo menos 14 dias de antecedência. Você pode se opor à mudança, notificando-nos dentro de 14 dias após a lista ser atualizada e descrevendo suas razões para a desaprovação. Sem prejuízo de qualquer reembolso aplicável ou direitos de rescisão que você tenha nos termos do Contrato, envidaremos esforços razoáveis para evitar o tratamento de quaisquer dados pessoais por esse novo operador ao qual você se opõe justificadamente.

3.2. Quando envolvemos outro operador para realizar atividades de tratamento específicas em seu nome, as mesmas obrigações de proteção de dados estabelecidas neste DPA, substantivamente, serão impostas a esse outro operador por meio de um contrato ou outro ato legal sob lei aplicável, em especial, proporcionando garantias suficientes para implementar medidas técnicas e organizacionais adequadas de tal forma que o tratamento cumpra os requisitos das Leis de Proteção de Dados. Quando esse outro operador não cumprir essas obrigações de proteção de dados, permaneceremos (sujeito aos termos deste Contrato) totalmente responsáveis perante você pelo desempenho das obrigações desse outro operador.

4. DIREITOS REFERENTES A DADOS

4.1. Na medida em que estamos processando dados pessoais em seu nome, iremos, até a extensão legalmente permitida, notificá-lo prontamente sobre quaisquer solicitações de direitos de titulares referentes a dados que recebermos.

4.2. Cada parte cooperará razoavelmente com a outra para cumprir suas obrigações sob as Leis de Proteção de Dados em relação a tais solicitações de direitos de dados.

5. TRANSFERÊNCIA

5.1. Garantiremos que, na medida em que quaisquer dados pessoais originados de seu país sejam transferidos pela LN para outro país, essa transferência estará sujeita a salvaguardas apropriadas de acordo com as Leis de Proteção de Dados.

6. SEGURANÇA DE TRATAMENTO

6.1. Tendo em conta o estado da técnica, os custos de implementação e a natureza, escopo, contexto e fins de tratamento, bem como o risco de variação de probabilidade e gravidade para os direitos e liberdades de pessoas, as partes implementarão medidas técnicas e organizacionais para garantir um nível de segurança adequado ao risco, incluindo, entre outras medidas, conforme apropriado:

  1. a pseudonimização e criptografia de dados pessoais;
  2. a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínua de sistemas e serviços de processamento;
  3. a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico; e
  4. um processo para testar regularmente, verificar e avaliar a eficácia das medidas técnicas e organizacionais para assegurar a segurança do tratamento.

6.2. Ao avaliar o nível apropriado de segurança, levaremos em conta os riscos que são apresentados pelo tratamento, em particular, desde destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou tratados de outra forma.

6.3. As partes tomarão medidas razoáveis para garantir que qualquer pessoa física agindo sob a autoridade de qualquer uma das partes e que tenha acesso aos dados pessoais não trate os dados, exceto por instruções suas, a menos que ele/ela seja obrigado a fazê-lo por lei aplicável.

7. INCIDENTE DE DADOS PESSOAIS

7.1. Na medida em que estamos processando dados pessoais em seu nome, iremos notificá-lo sem atrasos indevidos após tomarmos conhecimento de um incidente de dados pessoais e responderemos razoavelmente às suas solicitações de informações adicionais para ajudá-lo a cumprir suas obrigações de acordo com as Leis de Proteção de Dados.

8. REGISTROS DE ATIVIDADES DE TRATAMENTO

8.1. Manteremos todos os registros exigidos pelas Leis de Proteção de Dados e, na medida do aplicável ao tratamento de dados pessoais em seu nome, os disponibilizaremos a você conforme necessário.

9. AUDITORIA

9.1. As auditorias serão:

  1. sujeitas à celebração de contratos de confidencialidade ou não divulgação apropriados;
  2. conduzidas no máximo uma vez por ano, a menos que uma crença razoável demonstrada de não conformidade com o Contrato venha a ser estabelecida, mediante notificação prévia por escrito de trinta (30) dias e tendo fornecido um plano para tal revisão; e
  3. conduzidas em horário, local e forma mutuamente acordados.

10. CONFLITO

10.1. Se houver algum conflito entre os termos deste DPA e o Contrato, os termos deste DPA irão prevalecer, na extensão exigida por lei.

11. TERMOS ESPECÍFICOS DE JURISDIÇÃO

11.1. Na medida em que estejamos tratando quaisquer dados pessoais originados ou de outra forma sujeitos às Leis de Proteção de Dados de qualquer uma das jurisdições listadas no anexo do presente, os termos especificados no anexo para a respectiva jurisdição(ões) se aplicam além dos termos acima citados.

ANEXO
Termos Específicos por Jurisdição

1. Espaço Econômico Europeu, Reino Unido e Suíça

Na medida em que você transfere dados pessoais do Espaço Econômico Europeu ("EEE"), do Reino Unido ("UK") ou da Suíça para a entidade da LN localizado fora da EEA, Reino Unido ou Suíça, a menos que as partes possam confiar em um mecanismo ou base alternativa de transferência de acordo com as leis de proteção de dados, as partes serão consideradas como tendo entrado nas cláusulas contratuais padrão aprovadas pela Decisão de Implementação (EU) 2021/914 da Comissão Européia, de 4 de junho de 2021, disponível em http://data.europa.eu/eli/dec_impl/2021/914/oj ("Cláusulas") com relação a tal transferência, pela qual:

  1. as notas de rodapé e Cláusula 11(a) Opção são omitidas e os anexos aplicáveis são preenchidos, respectivamente, com as informações estabelecidas na DPA e no Acordo;
  2. Na medida em que cada parte atua como controlador, o Módulo um se aplica e os módulos Dois, Três e Quatro e Cláusula 17 Opção 2 são omitidos;
  3. na medida em que você atua como um controlador e LN atua como um operador, o Módulo Dois se aplica, Módulos Um, Três e Quatro e Cláusula 17 Opção 1 são omitidos, a opção 1 da cláusula 9(a) é omitida e o período de tempo na opção 2 é de 14 dias;
  4. na medida em que cada parte atua como um operador, o Módulo Três se aplica, Módulos Um, Dois e Quatro e Cláusula 17 Opção 1 são omitidos, a opção 1 da cláusula 9(a) é omitida e o período de tempo na opção 2 é de 14 dias;
  5. a "autoridade supervisora competente" é aquela do país onde o exportador de dados está estabelecido;
  6. as cláusulas são regidas pela lei do país em que o exportador de dados está estabelecido;
  7. qualquer disputa decorrente das Cláusulas será resolvida pelos tribunais do país onde o exportador de dados está estabelecido; e
  8. se houver qualquer conflito entre os termos do Acordo e as Cláusulas, as Cláusulas prevalecerão.

1.2. Em relação às transferências de dados pessoais do Reino Unido, as Cláusulas, conforme implementadas sob a seção 1.1 acima, serão aplicadas sujeitas às seguintes modificações:

  1. as Cláusulas são emendadas conforme especificado na Parte 2 do Adendo sobre transferência de dados internacionais às cláusulas contratuais padrão da Comissão Européia emitidas sob a Seção 119A da Lei de Proteção de Dados do Reino Unido de 2018, conforme podem ser emendadas ou substituídas de tempos em tempos ("Adendo do Reino Unido");
  2. as tabelas 1 a 3 da Parte 1 do Adendo do Reino Unido são preenchidas respectivamente com as informações estabelecidas na DPA e no Acordo (conforme aplicável); e
  3. A tabela 4 na Parte 1 do Adendo do Reino Unido é completada selecionando "nenhuma das partes".

1.3. Em relação às transferências de dados pessoais da Suíça, as Cláusulas como implementadas sob a seção 1.1 acima serão aplicadas sujeitas às seguintes modificações:

  1. as referências ao "Regulamento (UE) 2016/679" serão interpretadas como referências à Lei Federal Suíça sobre Proteção de Dados (Swiss Federal Act on Data Protection -“FADP”);
  2. as referências a artigos específicos do "Regulamento (UE) 2016/679" serão substituídas pelo artigo equivalente ou seção do FADP;
  3. as referências a "UE", "União", "um Estado Membro" e "legislação de um Estado Membro" serão substituídas por referências a "Suíça" ou "legislação suíça", conforme aplicável;
  4. o termo "Estado membro" não deve ser interpretado de forma a excluir os titulares dos dados na Suíça da possibilidade de acessar seus direitos;
  5. A cláusula 13(a) e a Parte C do Anexo I não são utilizadas e a "autoridade de supervisão competente" é o Comissário Federal Suíço de Informações sobre Proteção de Dados;
  6. as Cláusulas são regidas pela lei suíça; e
  7. qualquer disputa decorrente das cláusulas será resolvida pelos tribunais da Suíça.

2. Brasil

2.1 Cada parte deverá:

  1. cumprir suas obrigações sob a Lei Geral de proteção de dados do Brasil, nº 13.709 de 2018 (Lei Geral de Proteção de Dados pessoais) (LGPD);
  2. manter um registro das operações de tratamento de dados pessoais que ele executa;
  3. nomear um diretor de proteção de dados; e.
  4. adotar medidas de segurança, técnicas e administrativas capazes de proteger os dados pessoais contra o acesso não autorizado e contra a destruição acidental ou ilícita, perda, alteração, comunicação ou qualquer forma de tratamento impróprio ou ilegal, incluindo normas técnicas mínimas aplicáveis, conforme estabelecido pela autoridade nacional.

2.2 Na medida em que você transferir informações pessoais do Brasil para a LN localizada fora do Brasil, a LN cumprirá os princípios e os direitos do sujeito dos dados e o regime de proteção de dados fornecido pelo LGPD,a menos que as partes possam contar com um mecanismo de transferência alternativo ou com base nas leis de proteção de dados.

3. África do Sul

3.1 Na medida em que a LN esteja tratando qualquer informação pessoal no âmbito da Lei Sul-africana de Proteção de Informações Pessoais, nº 4 de 2013 (POPIA - Protection of Personal Information Act) para o Cliente, a LN estabelecerá e manterá adicionalmente as medidas de segurança referidas na Seção 19 da POPIA e notificará o você imediatamente quando houver motivos razoáveis para acreditar que as informações pessoais de um titular dos dados foram acessadas ou adquiridas por qualquer pessoa não autorizada.

4. Estados Unidos

U.S. State Privacy Laws Addendum to LexisNexis Data Processing Addendum

Última atualização: 24 Janeiro de 2023