Pular para o conteúdo

Octaprice

Octaprice | Monitoramento de preços, produtos e canais
Solicite uma demonstração
Login
Menu

Termos de uso

Este Acordo de Tratamento de Dados Pessoais (“Acordo” ou “DPA”) integra os Termos de Uso e/ou o contrato de prestação de serviços celebrado entre a OCTAPRICE DESENVOLVIMENTO DE SOFTWARE LTDA., inscrita no CNPJ sob nº 59.279.442/0001-61 (“Octaprice”), e seus clientes (“Cliente”), regulando as condições aplicáveis ao tratamento de dados pessoais realizado pela Octaprice no contexto da prestação de seus serviços.

A contratação dos serviços da Octaprice, a criação de conta na plataforma ou a utilização de qualquer funcionalidade do sistema implicam na aceitação integral deste Acordo pelo Cliente, o qual passa a integrar automaticamente os Termos de Uso e demais instrumentos contratuais aplicáveis.

CONSIDERANDO que, para os fins deste Acordo, considera-se que o Cliente atua na qualidade de Controlador(a) dos Dados Pessoais e a Octaprice atua exclusivamente na qualidade de Operadora;

CONSIDERANDO que a OCTAPRICE DESENVOLVIMENTO DE SOFTWARE LTDA., pessoa jurídica de direito privado, inscrita no CNPJ sob o nº 59.279.442/0001-61, com sede na Avenida Carlos Gomes, nº 700, sala 606, Bairro Boa Vista, Porto Alegre/RS, CEP 90480-000 (“Octaprice”), fornece plataforma tecnológica e serviços de monitoramento, processamento, organização e análise de dados, conforme descrito no Contrato Principal;

CONSIDERANDO que, no contexto da prestação dos Serviços, a Octaprice poderá realizar o Tratamento de Dados Pessoais em nome, por conta e sob as instruções de seus clientes, os quais atuam na qualidade de controladores de dados pessoais de titulares, nos termos da Lei nº 13.709/2018 (“Lei Geral de Proteção de Dados Pessoais” ou “LGPD”);

CONSIDERANDO que, nessas hipóteses, a Octaprice atuará exclusivamente na qualidade de Operadora, conforme definição constante no art. 5º, inciso VII, da LGPD, realizando o Tratamento de Dados Pessoais exclusivamente conforme as instruções documentadas da Controladora e nos limites da prestação dos Serviços;

CONSIDERANDO que a Controladora é a única responsável por determinar as finalidades e os meios do Tratamento de Dados Pessoais realizados no âmbito da utilização dos Serviços, incluindo a definição da base legal aplicável e a legitimidade do Tratamento;

CONSIDERANDO que as Partes desejam estabelecer, de forma clara, precisa e juridicamente vinculante, os direitos, obrigações e responsabilidades relativos ao Tratamento de Dados Pessoais realizado pela Operadora em nome da Controladora;

Reconhecem as Partes que o presente Acordo, se regerá pelas cláusulas e condições seguintes.

CLÁUSULA PRIMEIRA

DAS DEFINIÇÕES

1.1. Definições. Para os fins deste Acordo, os termos abaixo terão os significados definidos nesta Cláusula, no singular ou plural, conforme o contexto exigir:

1.1.1. “Acordo” ou “DPA” significa o presente Acordo de Tratamento de Dados Pessoais, incluindo seus anexos e eventuais aditivos;

1.1.2. “Contrato Principal” significa o instrumento contratual que regula a prestação dos Serviços pela Operadora à Controladora, conforme referido nos Considerandos;

1.1.3. “Controladora” significa a pessoa natural ou jurídica que determina as finalidades e os meios do Tratamento de Dados Pessoais realizados no âmbito dos Serviços, conforme definido no art. 5º, inciso VI, da LGPD;

1.1.4. “Dados Pessoais” significa qualquer informação relacionada a pessoa natural identificada ou identificável, conforme definido no art. 5º, inciso I, da LGPD;

1.1.5. “Incidente de Segurança” significa qualquer evento que resulte, ou possa resultar, em acesso não autorizado, perda, destruição, alteração, divulgação ou Tratamento indevido de Dados Pessoais;

1.1.6. “Legislação de Proteção de Dados Aplicável” significa a Lei nº 13.709/2018 (LGPD), bem como quaisquer regulamentos, resoluções e normas emitidas pela Autoridade Nacional de Proteção de Dados (ANPD);

1.1.7. “Operadora” significa a Octaprice, que realiza o Tratamento de Dados Pessoais em nome da Controladora, conforme definido no art. 5º, inciso VII, da LGPD;

1.1.8. “Serviços” significa o conjunto de serviços fornecidos pela Operadora à Controladora conforme definidos no Contrato Principal.

1.1.9. “Suboperador” significa qualquer terceiro contratado pela Operadora para auxiliar no Tratamento de Dados Pessoais, nos termos deste Acordo e da cláusula correspondente;

1.1.10. “Titular” significa a pessoa natural a quem se referem os Dados Pessoais, conforme definido no art. 5º, inciso V, da LGPD; e

1.1.11. “Tratamento” significa toda operação realizada com Dados Pessoais, conforme definido no art. 5º, inciso X, da LGPD, incluindo, mas não se limitando, a coleta, acesso, armazenamento, utilização, transmissão, processamento e eliminação.

CLÁUSULA SEGUNDA

DO OBJETO E ESCOPO DO TRATAMENTO

 

2.1. Objeto. O presente Acordo tem por objeto regular as condições sob as quais a Operadora realizará o Tratamento de Dados Pessoais em nome e por conta da Controladora, exclusivamente para fins de execução dos Serviços e nos limites estabelecidos neste Acordo, no Contrato Principal e na Legislação de Proteção de Dados Aplicável.

2.2. Papel da Operadora. A Operadora realizará o Tratamento de Dados Pessoais exclusivamente na qualidade de Operadora, não assumindo, em nenhuma hipótese, a condição de Controladora em relação aos Dados Pessoais tratados em nome da Controladora, ressalvadas as hipóteses em que atuar como controladora em relação a dados pessoais que ela própria coleta, conforme regulado em sua Política de Privacidade.

2.3. Limitação de finalidade. A Operadora compromete-se a tratar os Dados Pessoais exclusivamente conforme as instruções documentadas da Controladora e na medida estritamente necessária para a prestação dos Serviços, sendo vedada a utilização dos Dados Pessoais para finalidades próprias, distintas ou incompatíveis com aquelas previstas neste Acordo.

2.4. Titularidade e responsabilidade. As Partes reconhecem que o controle da tomada de decisões a respeito dos Dados Pessoais será assegurado à Controladora, não adquirindo a Operadora qualquer direito de propriedade sobre tais dados.

2.5. Escopo operacional. O Tratamento poderá incluir operações como coleta, acesso, armazenamento, organização, processamento, análise, transmissão e eliminação de Dados Pessoais, conforme necessário à prestação dos Serviços.

2.6. Vinculação contratual. Este Acordo constitui parte integrante do Contrato Principal e deverá ser interpretado em conjunto com este, prevalecendo suas disposições no que se refere ao Tratamento de Dados Pessoais.

CLÁUSULA TERCEIRA

DAS INSTRUÇÕES DE TRATAMENTO E LIMITAÇÕES OPERACIONAIS

3.1. Tratamento conforme instruções da Controladora. A Operadora compromete-se a realizar o Tratamento de Dados Pessoais exclusivamente conforme as instruções documentadas da Controladora, conforme previsto na Cláusula 2.2. deste Acordo, e apenas na medida necessária para a prestação dos Serviços definidos no Contrato Principal.

3.2. Limitação de escopo e finalidade. O Tratamento de Dados Pessoais pela Operadora limitar-se-á às operações estritamente necessárias para viabilizar, manter, suportar e aprimorar a prestação dos Serviços, sendo vedado à Operadora tratar os Dados Pessoais para quaisquer finalidades diversas daquelas expressamente previstas neste Acordo, ressalvadas as hipóteses admitidas neste instrumento.

3.3. Ausência de dever de verificação jurídica. Ressalvadas as obrigações expressamente previstas neste Acordo e na Legislação de Proteção de Dados Aplicável, a Operadora não será obrigada a verificar, validar ou auditar a legalidade das instruções fornecidas pela Controladora, cabendo à Controladora assegurar a legitimidade e a fundamentação legal do Tratamento, conforme disposto neste Acordo.

3.4. Tratamento por obrigação legal. Caso a Operadora seja obrigada, por força de lei, regulamento ou ordem válida emitida por autoridade competente, a realizar o Tratamento de Dados Pessoais de forma diversa das instruções recebidas da Controladora, deverá, sempre que legalmente permitido:

  1. a) notificar previamente a Controladora acerca da exigência legal; e
  2. b) limitar o Tratamento ao estritamente necessário para cumprir a obrigação legal aplicável.

3.5. Ausência de uso independente dos dados. A Operadora não utilizará os Dados Pessoais para fins próprios, comerciais ou diversos da prestação dos Serviços, nem os divulgará a terceiros, exceto conforme autorizado pela Controladora, permitido neste Acordo ou exigido por lei, observado o disposto na Cláusula Oitava que dispõe acerca dos Suboperadores e na Cláusula Décima, que trata da Transferência Internacional de Dados.

3.6. Dados tratados como parte da infraestrutura tecnológica. As Partes reconhecem que o Tratamento de Dados Pessoais pela Operadora ocorre exclusivamente no contexto do fornecimento de infraestrutura tecnológica e prestação dos Serviços, não implicando, em nenhuma hipótese, transferência de titularidade ou controle dos Dados Pessoais à Operadora, conforme previsto na Cláusula 2.4.

CLÁUSULA QUARTA

DAS OBRIGAÇÕES DA CONTROLADORA

4.1. Responsabilidade primária pelo Tratamento. A Controladora, na qualidade de agente responsável pela definição das finalidades e dos meios do Tratamento de Dados Pessoais, conforme Cláusula 2.4., obriga-se a assegurar que todo Tratamento realizado no âmbito deste Acordo esteja em conformidade com a Legislação de Proteção de Dados Aplicável.

4.2. Garantias e Responsabilidade pela Licitude do Tratamento. A Controladora declara, garante e será exclusivamente responsável por:

  1. a) possuir base legal válida, adequada e suficiente, nos termos da Legislação de Proteção de Dados Aplicável, para realizar o Tratamento dos Dados Pessoais e para instruir a Operadora a tratá-los no âmbito dos Serviços;
  2. b) possuir o direito de compartilhar os Dados Pessoais com a Operadora e de autorizar o seu Tratamento, conforme previsto neste Acordo e no Contrato Principal;
  3. c) garantir que os Dados Pessoais tenham sido coletados e estejam sendo tratados de forma lícita, legítima e transparente;
  4. d) assegurar que os Titulares tenham sido devidamente informados sobre o Tratamento de seus Dados Pessoais, obtendo e mantendo, quando aplicável, o consentimento válido e adequado dos Titulares, nos termos exigidos pela Legislação de Proteção de Dados Aplicável; e
  5. e) não instruir a Operadora a realizar qualquer Tratamento que viole a Legislação de Proteção de Dados Aplicável ou quaisquer direitos dos Titulares.

4.3. Instruções de Tratamento. A Controladora compromete-se a fornecer instruções claras, lícitas e compatíveis com a Legislação de Proteção de Dados Aplicável, sendo vedado instruir a Operadora a realizar qualquer Tratamento ilícito ou em desconformidade com este Acordo, conforme previsto na Cláusula 3.3.4.

4.4. Qualidade e integridade dos dados. A Controladora se responsabiliza pela qualidade, exatidão, integridade, atualização e adequação dos Dados Pessoais fornecidos à Operadora, bem como pelas consequências decorrentes de eventuais falhas, inconsistências ou ilegalidades na origem desses dados.

4.5. Atendimento aos direitos dos Titulares. A Controladora será a principal responsável por atender às solicitações dos Titulares relacionadas ao exercício de seus direitos previstos na Legislação de Proteção de Dados Aplicável, incluindo, mas não se limitando, aos direitos de acesso, correção, eliminação, portabilidade e oposição, podendo solicitar assistência da Operadora nos termos da Cláusula Nona deste Acordo.

4.6. Conformidade com o Contrato Principal e Política de Privacidade. A Controladora compromete-se a cumprir integralmente as obrigações estabelecidas no Contrato Principal e em sua própria política de privacidade, quando aplicável, bem como a garantir que suas instruções e operações sejam compatíveis com as disposições deste Acordo.

4.7. Responsabilidade por compartilhamento indevido. A Controladora será responsável por qualquer compartilhamento indevido, ilícito ou não autorizado de Dados Pessoais com terceiros ou com a Operadora, isentando a Operadora de eventual responsabilidade decorrente de falhas relacionadas à origem, legitimidade ou base legal do Tratamento, ressalvadas as hipóteses em que a Operadora atuar em desconformidade com este Acordo ou com a Legislação de Proteção de Dados Aplicável.  

4.8. Responsabilidade por terceiros autorizados pela Controladora. A Controladora será responsável por garantir que quaisquer terceiros por ela autorizados a utilizar os Serviços ou a fornecer Dados Pessoais o façam em conformidade com este Acordo e com a Legislação de Proteção de Dados Aplicável.

CLÁUSULA QUINTA

DAS OBRIGAÇÕES DA OPERADORA

5.1. Tratamento conforme instruções. A Operadora compromete-se a tratar os Dados Pessoais exclusivamente de acordo com as instruções documentadas da Controladora, conforme previsto na Cláusula 3.1., e apenas na medida necessária para a execução do Contrato Principal e deste Acordo.

5.2. Conformidade legal. A Operadora compromete-se a realizar o Tratamento de Dados Pessoais em conformidade com a Legislação de Proteção de Dados Aplicável, adotando medidas técnicas, administrativas e organizacionais adequadas para assegurar a proteção dos Dados Pessoais tratados.

5.3. Limitação de acesso. A Operadora assegurará que o acesso aos Dados Pessoais seja restrito exclusivamente a seus empregados, representantes, colaboradores e Suboperadores que necessitem de acesso para a execução das atividades previstas neste Acordo, observadas as obrigações de confidencialidade previstas na Cláusula Sexta.

5.4. Uso limitado dos Dados Pessoais. A Operadora compromete-se a não:

  1. a) utilizar os Dados Pessoais para finalidades próprias ou não autorizadas;
  2. b) divulgar, transferir ou disponibilizar os Dados Pessoais a terceiros, exceto conforme permitido neste Acordo, autorizado pela Controladora ou exigido por lei; e
  3. c) modificar, alterar ou utilizar os Dados Pessoais fora do escopo necessário para a prestação dos Serviços.

5.5. Assistência à Controladora. A Operadora compromete-se a prestar assistência à Controladora, sempre que solicitado, para que este possa cumprir suas obrigações perante a Legislação de Proteção de Dados Aplicável, bem como aquelas assumidas por força deste Acordo, incluindo, quando aplicável:

  1. a) suporte técnico para atendimento aos direitos dos Titulares, conforme previsto na Cláusula Nona;
  2. b) suporte razoável em relação à segurança e proteção dos Dados Pessoais, conforme previsto na Cláusula Sétima; e
  3. c) fornecimento de informações razoavelmente necessárias para demonstrar conformidade com este Acordo, conforme previsto na Cláusula Décima Primeira.

5.6. Registro e rastreabilidade. A Operadora poderá manter registros técnicos e operacionais relacionados ao Tratamento de Dados Pessoais, na medida necessária para:

  1. a) cumprir obrigações legais e regulatórias;
  2. b) garantir a segurança, integridade e disponibilidade dos Serviços;
  3. c) demonstrar conformidade com este Acordo e com a Legislação de Proteção de Dados Aplicável.

5.7. Atuação dentro dos limites técnicos dos Serviços. A Operadora não será obrigada a realizar qualquer atividade ou implementar qualquer medida que esteja fora do escopo técnico, operacional ou contratual dos Serviços definidos no Contrato Principal, exceto quando exigido pela Legislação de Proteção de Dados Aplicável.

5.8. Boa-fé e melhores práticas. A Operadora compromete-se a atuar de boa-fé e em conformidade com as melhores práticas de mercado aplicáveis à proteção de dados pessoais e à segurança da informação, considerando o estado da técnica, a natureza dos Serviços e os riscos associados ao Tratamento, conforme previsto na Cláusula Sétima.

CLÁUSULA SEXTA

DA CONFIDENCIALIDADE E SIGILO DOS DADOS PESSOAIS

6.1. Obrigação geral de confidencialidade. A Operadora obriga-se a manter o mais absoluto sigilo e confidencialidade sobre todos os Dados Pessoais tratados em nome da Controladora, comprometendo-se a não divulgar, compartilhar, transferir ou disponibilizar tais Dados Pessoais a terceiros, exceto conforme expressamente autorizado neste Acordo, no Contrato Principal ou exigido pela Legislação de Proteção de Dados Aplicável.

6.2. Extensão da obrigação. A obrigação de confidencialidade prevista nesta Cláusula aplica-se a todos os Dados Pessoais tratados no âmbito deste Acordo, bem como a quaisquer informações relacionadas ao Tratamento, incluindo, mas não se limitando a:

  1. a) os próprios Dados Pessoais;
  2. b) informações técnicas, operacionais ou estruturais relacionadas ao Tratamento; e
  3. c) quaisquer informações derivadas ou associadas aos Dados Pessoais.

6.3. Pessoas autorizadas. A Operadora garantirá que o acesso aos Dados Pessoais seja restrito exclusivamente às pessoas autorizadas nos termos da Cláusula 5.3., assegurando que tais pessoas estejam sujeitas a obrigações de confidencialidade adequadas.

6.4. Medidas organizacionais. A Operadora compromete-se a adotar medidas técnicas, administrativas e organizacionais apropriadas para garantir a confidencialidade dos Dados Pessoais, incluindo, quando aplicável:

  1. a) controle de acesso baseado em necessidade operacional;
  2. b) autenticação segura de usuários;
  3. c) políticas internas de segurança e confidencialidade;
  4. d) treinamento e conscientização de colaboradores.

6.5. Exceções legais. A obrigação de confidencialidade não se aplicará quando a divulgação dos Dados Pessoais for exigida por lei, regulamento ou ordem válida de autoridade competente, hipótese em que a Operadora deverá, sempre que legalmente permitido, observar o disposto na Cláusula 3.4.

6.6. Manutenção da obrigação. As obrigações de confidencialidade previstas nesta Cláusula permanecerão em vigor durante toda a vigência do Contrato Principal e deste Acordo, bem como após seu término, pelo prazo de 5 (cinco) anos, observado o disposto na Cláusula Décima Segunda.

6.7. Uso interno restrito. A Operadora compromete-se a utilizar os Dados Pessoais exclusivamente conforme previsto neste Acordo e no Contrato Principal, sendo vedado qualquer uso fora do escopo contratual.

CLÁUSULA SÉTIMA

DAS MEDIDAS DE SEGURANÇA DA INFORMAÇÃO

7.1. Obrigação geral de segurança. A Operadora compromete-se a implementar e manter medidas técnicas, administrativas e organizacionais adequadas para proteger os Dados Pessoais contra acessos não autorizados, destruição, perda, alteração, comunicação ou qualquer forma de Tratamento inadequado ou ilícito, conforme exigido pela Legislação de Proteção de Dados Aplicável.

7.2. Adequação das medidas. As medidas de segurança adotadas pela Operadora deverão ser compatíveis com:

  1. a) o estado da técnica e as melhores práticas de mercado;
  2. b) a natureza dos Dados Pessoais tratados;
  3. c) os riscos associados ao Tratamento; e
  4. d) a natureza, o escopo e a finalidade do Tratamento, conforme previsto na Cláusula Segunda.

7.3. Medidas técnicas e organizacionais. Sem prejuízo de outras medidas aplicáveis, a Operadora adotará, conforme aplicável e tecnicamente viável:

  1. a) mecanismos de controle de acesso lógico e autenticação segura;
  2. b) utilização de protocolos seguros de comunicação e criptografia, quando aplicável;
  3. c) segregação de ambientes e controle de privilégios de acesso;
  4. d) monitoramento de sistemas e registro de eventos relevantes;
  5. e) medidas destinadas à proteção contra acesso não autorizado e ataques cibernéticos; e
  6. f) políticas internas de segurança da informação e proteção de dados.

7.4. Atualização das medidas. A Operadora poderá atualizar, modificar ou aprimorar suas medidas de segurança periodicamente, desde que mantido nível de proteção igual ou superior ao anteriormente adotado.

7.5. Limitação de garantia absoluta. Considerando a natureza dos sistemas informáticos e da infraestrutura tecnológica, a Controladora reconhece que nenhuma medida de segurança é absolutamente infalível, não podendo a Operadora garantir segurança absoluta contra todos os riscos possíveis, comprometendo-se, entretanto, a empregar medidas compatíveis com as melhores práticas de mercado, conforme previsto nesta Cláusula.

CLÁUSULA OITAVA

DOS SUBOPERADORES (SUBPROCESSADORES)

8.1. Autorização geral. A Controladora autoriza expressamente a Operadora a contratar Suboperadores para realizar operações de Tratamento de Dados Pessoais em seu nome, conforme necessário para a prestação dos Serviços, nos termos deste Acordo e do Contrato Principal.

8.2. Responsabilidade pelos Suboperadores. A Operadora compromete-se a selecionar Suboperadores que apresentem nível adequado de segurança e conformidade com a Legislação de Proteção de Dados Aplicável, bem como a estabelecer obrigações contratuais que assegurem proteção equivalente à prevista neste Acordo.

8.3. Escopo do Subprocessamento. Os Suboperadores poderão realizar o Tratamento de Dados Pessoais exclusivamente na medida necessária para auxiliar a Operadora na prestação dos Serviços, incluindo, mas não se limitando, a:

  1. a) serviços de hospedagem em nuvem;
  2. b) infraestrutura tecnológica;
  3. c) armazenamento de dados;
  4. d) suporte técnico e operacional; e
  5. e) serviços de segurança e monitoramento.

8.4. Responsabilidade da Operadora. A Operadora permanecerá responsável perante a Controladora pelo cumprimento das obrigações assumidas neste Acordo pelos Suboperadores, na medida de sua responsabilidade legal e contratual.

8.5. Lista exemplificativa de Suboperadores. Os Suboperadores poderão incluir provedores de infraestrutura tecnológica amplamente reconhecidos no mercado, tais como provedores de serviços de computação em nuvem, conforme descrito na Política de Privacidade e na Cláusula Décima deste Acordo.

8.6. Transferência internacional por Suboperadores. A Controladora reconhece e concorda que os Suboperadores poderão estar localizados fora do território nacional, observado o disposto na Cláusula Décima (Transferência Internacional de Dados).

CLÁUSULA NONA

DOS INCIDENTES DE SEGURANÇA E VIOLAÇÕES DE DADOS PESSOAIS

9.1. Notificação de Incidente de Segurança. A Operadora compromete-se a notificar a Controladora, sem demora indevida e dentro de prazo razoável, após tomar ciência de Incidente de Segurança que possa resultar em risco relevante aos direitos e liberdades dos Titulares.

9.2. Conteúdo da notificação. Sempre que possível, a notificação prevista na Cláusula 9.1. deverá conter informações razoavelmente disponíveis à Operadora, incluindo:

  1. a) a natureza do incidente e, quando possível, as categorias e o volume aproximado de Dados Pessoais afetados;
  2. b) as medidas técnicas e organizacionais adotadas ou propostas para mitigar os efeitos do incidente;
  3. c) as ações adotadas para prevenir a recorrência do incidente;
  4. d) outras informações relevantes para permitir que a Controladora cumpra suas obrigações legais, notadamente a cientificação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e os Titulares cujos dados foram impactados pela ocorrência.

9.3. Mitigação e remediação. A Operadora compromete-se a adotar medidas razoáveis, técnicas e organizacionais, destinadas a conter, mitigar e remediar os efeitos do Incidente de Segurança, conforme aplicável.

9.4. Cooperação. A Operadora prestará assistência razoável à Controladora, mediante solicitação, para que este possa cumprir suas obrigações legais perante autoridades competentes e Titulares, conforme exigido pela Legislação de Proteção de Dados Aplicável.

9.5. Responsabilidade pela notificação às autoridades e Titulares. Salvo quando exigido diretamente pela Legislação de Proteção de Dados Aplicável, caberá exclusivamente à Controladora a responsabilidade por avaliar a necessidade e realizar a notificação de Incidentes de Segurança às autoridades competentes e aos Titulares afetados.

9.6. Ausência de reconhecimento automático de responsabilidade. A notificação de Incidente de Segurança pela Operadora não implicará, por si só, reconhecimento de culpa, responsabilidade ou violação contratual, visto que a efetiva responsabilização dependerá da apuração da origem do problema ensejador do incidente.

CLÁUSULA DÉCIMA

DA TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS

10.1. Autorização para transferência internacional. A Controladora reconhece e autoriza expressamente que a Operadora e seus Suboperadores realizem a Transferência Internacional de Dados Pessoais, sempre que tal transferência for relevante para a prestação dos Serviços.

10.2. Finalidade da transferência. A Transferência Internacional de Dados poderá ocorrer, incluindo, mas não se limitando, às seguintes hipóteses:

  1. a) armazenamento de dados em infraestrutura de computação em nuvem;
  2. b) processamento de dados por Suboperadores;
  3. c) manutenção, suporte técnico e operação da infraestrutura tecnológica; e
  4. d) implementação de medidas de segurança e redundância.

10.3. Garantias de proteção. A Operadora compromete-se a adotar medidas razoáveis para assegurar que quaisquer Transferências Internacionais de Dados sejam realizadas em conformidade com a Legislação de Proteção de Dados Aplicável, incluindo, quando aplicável:

  1. a) celebração de instrumentos contratuais adequados com Suboperadores;
  2. b) utilização de provedores de serviços que adotem padrões reconhecidos de segurança e proteção de dados; e
  3. c) adoção de salvaguardas técnicas e organizacionais apropriadas.

10.4. Localização da infraestrutura. A Controladora reconhece que os Dados Pessoais poderão ser armazenados e processados em infraestrutura localizada fora do território nacional, incluindo, mas não se limitando, aos Estados Unidos, a país integrante da União Europeia e outras jurisdições onde a Operadora ou seus Suboperadores mantenham operações.

10.5. Compatibilidade com a Política de Privacidade. As Transferências Internacionais de Dados realizadas nos termos desta Cláusula observarão, adicionalmente, as disposições previstas na Política de Privacidade da Operadora, quando aplicável, bem como os princípios e requisitos estabelecidos na Legislação de Proteção de Dados Aplicável.

CLÁUSULA DÉCIMA PRIMEIRA

DOS DIREITOS DOS TITULARES E COOPERAÇÃO ENTRE AS PARTES

11.1. Responsabilidade primária da Controladora. A Controladora será a principal responsável por atender e responder às solicitações dos Titulares relacionadas ao exercício de seus direitos previstos na Legislação de Proteção de Dados Aplicável, incluindo, mas não se limitando, aos direitos previstos no art. 18 da LGPD, conforme reconhecido na Cláusula 4.5.

11.2. Assistência pela Operadora. A Operadora prestará assistência à Controladora, mediante solicitação formal, para permitir que este cumpra suas obrigações legais relacionadas aos direitos dos Titulares, desde que tal assistência:

  1. a) esteja relacionada ao Tratamento realizado pela Operadora nos termos deste Acordo;
  2. b) seja tecnicamente possível e compatível com a natureza dos Serviços;
  3. c) não viole obrigações legais ou contratuais da Operadora.

11.3. Solicitações recebidas diretamente pela Operadora. Caso a Operadora receba diretamente qualquer solicitação de Titular relacionada aos Dados Pessoais tratados em nome da Controladora, a Operadora deverá, sempre que legalmente permitido:

  1. a) informar ao Titular que atua na qualidade de Operadora e que a Controladora é a responsável pela solicitação; e
  2. b) encaminhar a solicitação à Controladora, sempre que possível e tecnicamente viável.

11.4. Limitação de resposta direta. A Operadora não responderá diretamente às solicitações dos Titulares, exceto quando:

  1. a) expressamente autorizada pela Controladora; ou
  2. b) exigido pela Legislação de Proteção de Dados Aplicável e/ou por autoridades competentes.

11.5. Limitação técnica e operacional. A Controladora reconhece que o atendimento de determinadas solicitações poderá depender de limitações técnicas inerentes à arquitetura e operação dos Serviços, comprometendo-se as Partes a atuar de boa-fé para viabilizar soluções razoáveis, quando aplicável.

CLÁUSULA DÉCIMA SEGUNDA

DA RETENÇÃO, DEVOLUÇÃO E ELIMINAÇÃO DOS DADOS PESSOAIS

12.1. Retenção durante a vigência contratual. A Operadora poderá reter os Dados Pessoais durante toda a vigência do Contrato Principal e deste Acordo, exclusivamente para fins de prestação dos Serviços e cumprimento de suas obrigações contratuais e legais.

12.2. Retenção após o término contratual. Após o término do Contrato Principal, a Operadora deverá, conforme aplicável e observado o disposto na Cláusula 12.3., eliminar ou tornar inacessíveis os Dados Pessoais tratados em nome da Controladora, dentro de prazo razoável e de acordo com seus procedimentos técnicos e operacionais internos.

12.3. Exceções legais e operacionais. A Operadora poderá reter Dados Pessoais após o término do Contrato Principal quando tal retenção for necessária para:

  1. a) cumprimento de obrigação legal ou regulatória;
  2. b) exercício regular de direitos em processos judiciais, administrativos ou arbitrais;
  3. c) cumprimento de obrigações contratuais remanescentes;
  4. d) manutenção de registros técnicos, logs e backups, observadas as políticas internas de retenção e segurança da informação; e
  5. e) cumprimento de prazos legais de retenção obrigatória.

12.4. Anonimização. A Operadora poderá, alternativamente à eliminação, anonimizar os Dados Pessoais de forma irreversível, de modo que tais dados deixem de ser considerados Dados Pessoais nos termos da Legislação de Proteção de Dados Aplicável.

12.5. Backups e cópias de segurança. A Controladora reconhece que cópias residuais de Dados Pessoais poderão permanecer temporariamente em sistemas de backup ou contingência da Operadora, sendo tais dados mantidos protegidos e eliminados de acordo com os ciclos normais de retenção e substituição desses sistemas.

12.6. Responsabilidade pela extração dos dados. A Controladora será responsável por extrair, antes do término do Contrato Principal, quaisquer Dados Pessoais ou informações que deseje preservar, não sendo a Operadora obrigada a manter os Dados Pessoais após a cessação das hipóteses legitimadoras, constantes desta Cláusula.

CLÁUSULA DÉCIMA TERCEIRA

DA AUDITORIA E DEMONSTRAÇÃO DE CONFORMIDADE

13.1. Direito de solicitação de informações. A Controladora poderá solicitar à Operadora informações razoavelmente necessárias para demonstrar a conformidade desta com as obrigações previstas neste Acordo, exclusivamente no que se refere ao Tratamento de Dados Pessoais realizado em nome da Controladora.

13.2. Forma de atendimento. A Operadora poderá, a seu exclusivo critério, atender às solicitações previstas na Cláusula 13.1. por meio de:

  1. a) fornecimento de documentação técnica e organizacional;
  2. b) relatórios de conformidade, certificações ou políticas internas;
  3. c) respostas formais por escrito;
  4. d) quaisquer outros meios razoáveis que demonstrem sua conformidade com este Acordo.

13.3. Limitações ao direito de auditoria. Qualquer solicitação da Controladora deverá, cumulativamente:

  1. a) limitar-se às informações estritamente necessárias para demonstrar conformidade com este Acordo;
  2. b) não comprometer a segurança, confidencialidade ou integridade dos sistemas da Operadora ou de seus demais clientes;
  3. c) não violar obrigações de confidencialidade assumidas pela Operadora perante terceiros; e
  4. d) respeitar os limites técnicos, operacionais e de segurança da Operadora.

13.4. Ausência de acesso direto a sistemas. A Controladora não terá direito de acesso direto aos sistemas, infraestrutura, código-fonte, bancos de dados ou ambiente operacional da Operadora, salvo quando expressamente exigido por autoridade competente ou por disposição legal obrigatória.

13.5. Confidencialidade das informações. Quaisquer informações fornecidas pela Operadora nos termos desta Cláusula serão consideradas Informações Confidenciais, sujeitas às obrigações previstas na Cláusula Sexta e no Contrato Principal.

13.6. Frequência. As solicitações previstas nesta Cláusula deverão ocorrer com frequência razoável e não poderão interferir de forma desproporcional nas operações da Operadora.

CLÁUSULA DÉCIMA QUARTA

DA RESPONSABILIDADE DAS PARTES E SUA LIMITAÇÃO

14.1. Responsabilidade individual das Partes. Cada Parte será responsável por seus próprios atos e omissões relacionados ao Tratamento de Dados Pessoais, nos termos da Legislação de Proteção de Dados Aplicável e deste Acordo.

14.2. Responsabilidade da Controladora. A Controladora será exclusivamente responsável por:

  1. a) determinar a base legal e a finalidade do Tratamento de Dados Pessoais, conforme previsto na Cláusula 4.2.;
  2. b) garantir a legalidade da coleta e do compartilhamento dos Dados Pessoais com a Operadora;
  3. c) garantir que suas instruções estejam em conformidade com a Legislação de Proteção de Dados Aplicável; e
  4. d) atender às solicitações dos Titulares, conforme previsto na Cláusula Décima Primeira.

14.3. Limitação de responsabilidade da Operadora. A Operadora não será responsável por quaisquer danos decorrentes de:

  1. a) falhas, ilegalidades ou irregularidades na coleta ou fornecimento dos Dados Pessoais pela Controladora;
  2. b) instruções ilícitas, inadequadas ou incompatíveis com a legislação aplicável fornecidas pela Controladora;
  3. c) uso dos Serviços em desconformidade com o Contrato Principal ou este Acordo; e
  4. d) falhas, atos ou omissões imputáveis exclusivamente à Controladora ou a terceiros sob sua responsabilidade.

14.4. Limitação contratual de responsabilidade. Na máxima extensão permitida pela legislação aplicável, a responsabilidade total da Operadora decorrente ou relacionada a este Acordo estará sujeita às limitações de responsabilidade estabelecidas no Contrato Principal, aplicando-se tais limitações como se integralmente reproduzidas neste Acordo.

14.5. Ausência de responsabilidade indireta. Na máxima extensão permitida pela legislação aplicável, nenhuma das Partes será responsável por danos indiretos, lucros cessantes, perda de receitas, perda de oportunidade ou danos consequenciais relacionados a este Acordo.

14.6. Responsabilidade proporcional. Caso qualquer autoridade determine responsabilidade solidária entre as Partes, cada Parte terá direito de regresso contra a outra na proporção de sua respectiva responsabilidade pelo evento que deu causa ao dano.

CLÁUSULA DÉCIMA QUINTA

DA VIGÊNCIA E TÉRMINO

15.1. Vigência. Este DPA entra em vigor a partir do momento em que o Cliente contratar os Serviços da Octaprice e permanecerá aplicável enquanto o Cliente utilizar os Serviços da plataforma ou mantiver relação contratual com a Octaprice.

15.2. Vinculação ao Contrato Principal. Este Acordo permanecerá em vigor enquanto estiver vigente o Contrato Principal, constituindo parte integrante e indissociável deste.

15.3. Término do Tratamento. O término do Contrato Principal implicará, automaticamente, o término do Tratamento de Dados Pessoais pela Operadora, observado o disposto na Cláusula Décima Segunda.

15.4. Sobrevivência de cláusulas. Permanecerão em pleno vigor após o término deste Acordo, pelo prazo necessário ao cumprimento de suas finalidades e obrigações legais, as disposições relacionadas a:

  1. a) confidencialidade, conforme Cláusula Sexta;
  2. b) retenção e eliminação de dados, conforme Cláusula Décima Segunda;
  3. c) responsabilidade, conforme Cláusula Décima Quarta; e
  4. d) e quaisquer outras disposições que, por sua natureza, devam sobreviver ao término deste Acordo.

15.5. Continuidade para fins legais. O término deste Acordo não afetará quaisquer direitos ou obrigações das Partes que tenham surgido antes da data de término, nem prejudicará o cumprimento de obrigações legais ou regulatórias aplicáveis.

CLÁUSULA DÉCIMA SEXTA

DAS DISPOSIÇÕES GERAIS

16.1. Vinculação ao Contrato Principal. Este Acordo integra e complementa o Contrato Principal, devendo ambos ser interpretados de forma conjunta e sistemática, prevalecendo este Acordo em relação às matérias específicas de proteção e Tratamento de Dados Pessoais.

16.2. Ordem de prevalência. Em caso de conflito entre este Acordo e o Contrato Principal, prevalecerão as disposições deste Acordo exclusivamente no que se refere à proteção e ao Tratamento de Dados Pessoais.

16.3. Alterações. A Octaprice poderá atualizar este DPA periodicamente para refletir alterações legais, regulatórias ou operacionais. A versão atualizada será publicada no site da empresa e passará a vigorar na data de sua publicação.

16.4. Independência das cláusulas. Caso qualquer disposição deste Acordo seja considerada inválida, ilegal ou inexequível por autoridade competente, as demais disposições permanecerão válidas e plenamente eficazes.

16.5. Ausência de cessão não autorizada. Nenhuma das Partes poderá ceder ou transferir este Acordo, no todo ou em parte, sem o consentimento prévio e por escrito da outra Parte, exceto conforme permitido no Contrato Principal.

16.6. Legislação aplicável. Este Acordo será regido e interpretado de acordo com as leis da República Federativa do Brasil, especialmente a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), conforme previsto no Contrato Principal.

16.7. Foro competente. Fica eleito o foro previsto no Contrato Principal para dirimir quaisquer controvérsias decorrentes deste Acordo, com exclusão de qualquer outro, por mais privilegiado que seja.

16.8. Natureza vinculante. Este Acordo obriga as Partes e seus respectivos sucessores e cessionários autorizados, produzindo efeitos jurídicos plenos a partir da aceitação dos Termos de Uso ou da utilização dos serviços da Octaprice pelo Cliente.

16.9. Boa-fé e interpretação. As Partes concordam que este Acordo será interpretado de acordo com os princípios da boa-fé objetiva, da função social do contrato e da autonomia privada, conforme previsto na legislação aplicável.

Última atualização: 31/03/2026