Contrato Modelo de Transferência Internacional de Dados Pessoais
Contrato Modelo de Transferência Internacional de Dados Pessoais para Transferência de Datos Pessoais no âmbito do Brand Protection Program oferecido pelo Mercado Livre no site www.mercadolivre.com (“Mercado Livre” ou “Site”)
Entre, de um lado Mercado Livre (doravante referido como “Transmissor dos Dados”) e, de outro lado, Membro do Brand Protection Program (“Receptor dos Dados”), coletivamente referidos como “partes”, as quais celebram este Contrato de Transferência Internacional de Dados Pessoais de acordo com os termos e as condições aqui estabelecidos.
Cláusula 1) Definições
Para efeitos deste contrato, os termos listados abaixo deverão ser interpretados da seguinte maneira:
a) “Dados Pessoais”, “Dados Sensíveis”, “Processamento dos Dados”, “Pessoa Responsável” e “Titular dos Dados” terão os mesmos significados atribuídos a eles nas Leis de Proteção de Dados.
b) “Autoridade” ou “Autoridade Supervisora” significa:
- Argentina: Agencia de Acceso a la Información Pública
- Brasil: Autoridade Nacional de Proteção de Dados
- Colombia: Superintendencia de Industria y Comercio
- Costa Rica: Agencia para la Protección de Datos de la Persona
- México:Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos
- Nicarágua: Dirección de Protección de Datos Personales
- Panamá: Autoridad Nacional de Transparencia y Acceso a la Información
- Peru: Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales
- Uruguai: Unidad Reguladora y de Control de Datos Personales
C) “Transmissor dos Dados” significa a pessoa responsável pelo Processamento dos Dados transferindo os Dados Pessoais.
D) “Receptor dos Dados” ou “Pessoa Responsável pelo Processamento dos Dados” significa o prestador de serviços, conforme previsto nas Leis de Proteção de Dados, domiciliado fora do país de constituição do Transmissor dos Dados, recebendo os Dados Pessoais do Transmissor dos Dados a serem tratados de acordo com os termos deste instrumento.
E) “Leis de Proteção de Dados” significam a Lei Geral de Proteção de Dados do Brasil (LGPD), a Lei Federal nº 13.709/2018, a Lei Federal Mexicana sobre Proteção de Dados Pessoais em Posse de Particulares, a Lei nº 25.326 da Argentina, a Lei nº 1.581 da Colômbia, a Lei nº 18.331 do Uruguai, a Lei nº 29.722 do Peru, a Lei nº 172 da República Dominicana, a Lei nº 19.628 do Chile e quaisquer regulamentos ou documentos associados e quaisquer outras Leis de Proteção de Dados, regulamentos ou requisitos regulatórios aplicáveis.
Cláusula 2) Características e Termos Específicos e Finalidade do Processamento dos Dados
Os detalhes e outros termos específicos da transferência dos dados serão detalhados no Anexo A, que é parte integrante do presente acordo.
Cláusula 3) Obrigações do Transmissor dos Dados
O Transmissor dos Dados concorda e garante que:
a) Os Dados Pessoais foram e continuarão sendo coletados, processados e transferidos de acordo com as Leis de Proteção de Dados e garante ter notificado o Titular dos Dados que seus Dados Pessoais poderão ser transferidos para um outro país no qual o grau de proteção de dados é inferior ao do país de constituição do Transmissor dos Dados.
b) Se o Titular dos Dados exercer os direitos conferidos pelas Leis de Proteção de Dados em relação ao processamento dos Dados Pessoais conforme previsto neste contrato, em particular seus direitos de acessar, retificar e excluir dados, o Transmissor dos Dados deverá responder a tal ato cumprindo o prazo legal e disponibilizando os meios para tal fim. Ele responderá, dentro do período estabelecido nas Leis de Proteção de Dados, a questões dos Titulares dos Dados e da autoridade referentes ao processamento dos Dados Pessoais pelo Receptor dos Dados.
c) Ele empenhou esforços razoáveis para determinar que o Receptor dos Dados é capaz de cumprir com suas obrigações legais deste instrumento. Para tanto, o Transmissor dos Dados poderá solicitar que o Receptor dos Dados contrate um seguro de responsabilidade civil para possíveis indenizações relacionadas ao Processamento dos Dados pretendido.
Cláusula 4) Obrigações do Receptor dos Dados
O Receptor dos Dados concorda e garante que:
a) Tomará as medidas de segurança e confidencialidade que possam ser necessárias e eficazes para evitar qualquer falsificação, perda de dados ou acesso ou processamento não autorizado de dados e que possam permitir a identificação de qualquer desvio (voluntário ou não), sejam eles riscos causados por ação humana ou meios técnicos utilizados, certificando-se de que tais medidas não sejam menos eficientes do que as exigidas pela legislação vigente, a fim de garantir um nível de segurança adequado ao risco representado pelo processamento e pela natureza dos dados a serem protegidos.
b) O Receptor dos Dados deverá estabelecer procedimentos para garantir que os dados transferidos serão acessados apenas por pessoas especificamente autorizadas para tanto (mediante definição de níveis e senhas de acesso), as quais deverão cumprir com o dever de manter tais informações em sigilo e seguras e assinar os acordos para esse efeito.
c) Não tem motivos para crer que a legislação local o impeça de cumprir com suas obrigações, garantias e princípios nos termos do contrato referente ao Processamento dos Dados e aos Titulares dos Dados a ele relacionados, e que notificará imediatamente o Transmissor dos Dados sobre qualquer mudança em tal disposição;
d) Processará os Dados Pessoais seguindo as instruções expressas estabelecidas pelo Transmissor dos Dados para efeitos e na maneira descrita no Anexo A.
e) Indicará para o Transmissor dos Dados uma pessoa para contato dentro de sua organização para responder às questões relacionadas ao processamento dos Dados Pessoais e irá cooperar em boa-fé com o Transmissor dos Dados, o Titular dos Dados e a autoridade com relação a tais questões dentro do prazo legal. Em caso de dissolução legal do Transmissor dos Dados, ou caso acordado entre as partes, o Receptor dos Dados assumirá a responsabilidade de cumprir com as disposições do parágrafo d) da cláusula 3.
f) Mediante pedido do Transmissor dos Dados ou da autoridade, disponibilizará suas instalações de Processamento dos Dados, arquivos de dados e documentação necessária para processamento para revisão, auditoria ou certificação. Esses trabalhos deverão ser realizados por agentes de inspeção ou auditores independentes e imparciais escolhidos pelo Transmissor dos Dados ou pela autoridade a fim de garantir a conformidade com as garantias e os compromissos assumidos neste contrato
g) Processará os Dados Pessoais de acordo com as Leis de Proteção de Dados.
h) Notificará imediatamente o Transmissor dos Dados sobre: (i) qualquer exigência legal para divulgação dos Dados Pessoais por autoridade policial, salvo proibida pela legislação aplicável (na medida em que tal exigência não ultrapasse os limites estabelecidos em uma sociedade democrática de acordo com as instruções na subseção abaixo, parágrafo 2); (ii) qualquer acesso acidental ou não autorizado; e (iii) qualquer solicitação recebida diretamente dos Titulares dos Dados sem responder a tal solicitação, salvo tenha sido autorizado a fazê-lo.
i) Não divulgará nem enviará os Dados Pessoais a terceiros, salvo se a divulgação for exigida por força da lei ou qualquer autoridade competente, na medida que tal exigência não ultrapasse os limites estabelecidos em uma sociedade democrática (ou seja, quando a exigência representar uma medida necessária para proteger a segurança e defesa nacional, a segurança pública e prevenir, investigar, identificar e evitar crimes administrativos ou outros ou proteger os Titulares dos Dados ou os direitos e as liberdades de terceiros).
Após receber a exigência mencionada no item i) acima, o Receptor dos Dados deverá imediatamente: a) certificar-se de que a autoridade requerente fornece garantias suficientes em relação ao cumprimento das disposições previstas nas Leis de Proteção de Dados e ao exercício dos direitos dos Titulares dos Dados em relação a acesso, retificação, exclusão e outros direitos contidos nas Leis de Proteção de Dados, salvo nos seguintes casos e sob as seguintes condições (conforme as Leis de Proteção de Dados): i) conforme previsto em lei ou por meio de decisão fundamentada com base na defesa nacional, ordem pública e por motivos de segurança ou proteção dos direitos e interesses de terceiros; ii) por meio de decisão justificada (notificada para a parte afetada) quando tais informações forem capazes de impedir processos judiciais ou administrativos em trâmite relacionados ao cumprimento de obrigações sujeitas ao controle do estado e relacionadas à ordem pública, incluindo: obrigações fiscais ou previdenciárias, desempenho das funções de controle de saúde e meio ambiente, investigação de crimes e verificação de infrações administrativas — não obstante os precedentes, o acesso aos registros cabíveis deverá ser autorizado no momento em que a parte afetada exercer seus direitos de defesa; e b) caso a autoridade não forneça as garantias indicadas no item a) acima, a legislação do país de constituição do Transmissor dos Dados prevalecerá e, portanto, o Receptor dos Dados suspenderá o Processamento dos Dados no referido país e retornará os dados para o Transmissor dos Dados conforme instruções fornecidas pelo Transmissor dos Dados, o qual deverá notificar a Autoridade Supervisora.
j) Administrará as solicitações feitas pelos Titulares dos Dados — na qualidade de terceiros beneficiários — no exercício de seus direitos de acesso, retificação e exclusão de dados e outros direitos previstos nas Leis de Proteção de Dados, e o Transmissor dos Dados deverá responder a tal exercício cumprindo o prazo legal e disponibilizando os meios para tal efeito. Ele responderá, dentro do prazo estabelecido pelas Leis de Proteção de Dados, a questões dos Titulares dos Dados e da autoridade referentes ao processamento dos Dados Pessoais pelo Receptor dos Dados.
k) Devolverá para o Transmissor dos Dados e/ou destruirá (e certificar-se-á de que destruiu) os Dados Pessoais transferidos de acordo com as condições do Anexo A, nas seguintes circunstâncias: 1) após a rescisão deste contrato, por qualquer motivo que seja; 2) Impossibilidade do cumprimento das disposições estabelecidas nas Leis de Proteção de Dados Pessoais; 3) Extinção da finalidade que justificou a transferência. Na hipótese de a legislação nacional e/ ou regulamentação local aplicável ao Receptor de Dados não permitir a devolução ou destruição total ou parcial dos referido dados, o Receptor de Dados se compromete a informar o prazo legal previsto, manter a confidencialidade dos Dados Pessoais e não submetê-los a nenhuma atividade de tratamento. Caso o prazo de conservação seja contrário aos princípios de proteção de dados pessoais aplicáveis ao caso, não será realizada nenhuma outra transferência posterior e o contrato será rescindido em virtude de seu descumprimento. Em se verificando tal condição durante a execução do contrato, este deverá ser rescindido e os dados deverão ser reintegrados ao Transmissor dos Dados, conforme suas respectivas instruções.
l) Manterá um registro do cumprimento das obrigações assumidas nesta cláusula, cujo relatório será disponibilizado mediante pedido do Transmissor dos Dados ou da autoridade.
Cláusula 5) Responsabilidade e Terceiros Beneficiários
a) As partes concordam que deverão se responsabilizar perante o Titular dos Dados que tenha sofrido danos em decorrência de qualquer violação das obrigações previstas neste contrato, nos termos das Leis de Proteção de Dados e suas respectivas do país onde o Transmissor dos Dados está estabelecido.
b) Titulares de dados podem solicitar que o Transmissor dos Dados, na qualidade de terceiros beneficiários, cumpra com as disposições das Leis de Proteção de Dados em relação ao processamento de seus Dados Pessoais, conforme as obrigações e responsabilidades assumidas pelas partes deste instrumento, principalmente aquelas que podem acessar, retificar e excluir dados e com outros direitos previstos nas Leis de Proteção de Dados. Para tanto, as partes se submetem à jurisdição do Transmissor dos Dados, tanto em relação a processos judiciais quanto administrativos. Em caso de descumprimento do Receptor dos Dados, o Titular dos Dados poderá solicitar ao Transmissor dos Dados a buscar medidas legais para resolver tal descumprimento.
c) O Receptor dos Dados concorda que a Autoridade Supervisora exerça seus poderes em relação ao Processamento dos Dados realizado, com as restrições e os poderes previstos nas Leis de Proteção de Dados, aceitando seus poderes para controlar e impor penalidades e cedendo, para tal efeito e conforme adequado, a capacidade de terceiro beneficiário. As tarefas de auditoria poderão ser realizadas tanto pela Autoridade Supervisora como por terceiros idôneos que forem designados por ela para exercer esta função, ou ainda por autoridades locais com competências análogas em colaboração com a Autoridade Supervisora.
O Receptor de Dados informará imediatamente ao Transmissor de Dados no caso de a legislação existente aplicável ao Receptor de Dados ou aos seus subcontratados não permitir que sejam auditados.
d) Se o Receptor dos Dados revogar ou deixar de cumprir com os direitos e poderes reconhecidos em favor de terceiros beneficiários nesta cláusula (apesar da demanda do transmissor de dados conceder um prazo peremptório de 5 (CINCO) dias úteis), este Contrato será automaticamente rescindido.
e) As partes não são contrárias a um Titular dos Dados ser representado por um associado ou outro órgão autorizado pela lei do país de constituição do Transmissor dos Dados.
Cláusula 6) Lei Aplicável e Jurisdição
Este contrato será regido pelas Leis de Proteção de Dados, suas normas regulatórias e outras regras estabelecidas pela Autoridade Supervisora, e qualquer conflito relacionado à proteção dos Dados Pessoais será decidido nos juízos e na jurisdição administrativa do país de constituição do Transmissor dos Dados.
Cláusula 7) Resolução de Conflito com Titulares dos Dados
a) Caso o Titular dos Dados e/ ou a Autoridade Supervisora apresentem reclamações em face de um ou ambas às Partes com relação ao tratamento de Dados Pessoais, uma Parte deverá informar a outra sobre esta circunstância e ambas deverão cooperar mutuamente com o objetivo de alcançar uma solução o mais rápido possível e dentro dos prazos dispostos pelas Leis de Proteção de Dados Pessoais, participando ativamente de qualquer procedimento obrigatório.
b) As partes concordam em atender qualquer procedimento de mediação que possa vir a ser iniciado pelo Titular dos Dados ou pela Autoridade Supervisora. Caso decidam participar do procedimento não vinculantes, poderão realizá-lo à distância (ex.: telefone ou outros meios eletrônicos).
c) Cada uma das Partes se compromete a acatar às decisões dos Tribunais competentes ou da Autoridade Supervisora que sejam definitivas e irrecorríveis.
Cláusula 8) Rescisão do Contrato
a) Caso o Receptor dos Dados descumpra suas obrigações nos termos destas cláusulas, o Transmissor dos Dados deverá suspender temporariamente a transferência de dados pessoais para o Receptor dos Dados até que o descumprimento seja sanado (dentro do prazo definitivo estabelecido dependendo da gravidade do descumprimento) ou o contrato será rescindido, informando o caso para a Autoridade Supervisora.
b) O contrato será considerado rescindido, e o Transmissor dos Dados deverá declarar tal rescisão, com intervenção prévia da Autoridade Supervisora, caso: i) a transferência dos Dados Pessoais para o Receptor dos Dados tenha sido temporariamente suspensa pelo Transmissor dos Dados por período superior a 30 (TRINTA) dias corridos de acordo com o parágrafo (a); ii) o cumprimento destas cláusulas pelo Receptor dos Dados o faria descumprir suas obrigações legais ou regulamentares no país de transmissão; iii) o Receptor dos Dados viole quaisquer garantias ou compromissos assumidos por ele nos termos destas cláusulas; iv) uma decisão definitiva de um tribunal do país de constituição do Transmissor dos Dados ou das normas da Autoridade Supervisora de que houve uma violação das cláusulas pelo Receptor dos Dados ou Transmissor dos Dados, contra a qual nenhum outro recurso é possível ; ou v) o Transmissor dos Dados, sem prejuízo de quaisquer outros direitos que possa ter em relação ao Receptor dos Dados, terá direito de rescindir estas cláusulas quando: uma petição for apresentada para a administração ou liquidação do Receptor dos Dados cuja petição não seja rejeitada dentro do prazo aplicável para tal recusa nos termos da lei aplicável; um pedido de liquidação for feito ou a falência for decretada; um administrador judicial for nomeado para qualquer um de seus ativos; um acordo voluntário da empresa for iniciado pelo Receptor dos Dados; ou ocorra qualquer evento equivalente em qualquer jurisdição. Nos casos abordados nos itens (i), (ii) ou (iv) acima, o Receptor dos Dados também poderá rescindir estas cláusulas sem a intervenção da Autoridade Supervisora.
c) As partes concordam que a rescisão destas cláusulas por qualquer motivo não as isenta das obrigações e condições previstas nas cláusulas em relação ao processamento dos Dados Pessoais transferidos.
ANEXO A
1- Categorias de titulares de dados cuja informação será transferida:
Usuários do Mercado Livre que forem denunciados pelo Exportador de Dados no âmbito do Programa Brand Protection Program.
2- Natureza e categorias de dados que podem ser transferidos: Dados identificatórios e de contato, tais como:
- nome,
- sobrenome,
- e-mail,
- telefone,
- país,
- endereço,
- CPF/ RG.
2- Finalidade do tratamento dos dados: colaborar com o Exportador dos dados, para que possa exercer seus direitos e propriedade intelectual fora da plataforma do Mercado Livre, facilitando a resolução de disputas.