Skip to Main

Adendo de processamento de dados LexisNexis

Última atualização: 27 de setembro de 2021

1. ESCOPO E DEFINIÇÕES

1.1. Este adendo de processamento de dados LexisNexis ("DPA" - Data Processing Addendum) faz parte do contrato ("Contrato") entre o cliente ("você", "seu") e a entidade LexisNexis ("LN", "nós", “nosso”) sob o qual prestamos a você e, se aplicável, às suas afiliadas determinados serviços ("Serviços") e nos quais este DPA é referenciado. Este DPA se aplica ao nosso processamento de dados pessoais em seu nome e, se aplicável, de suas afiliadas.

“Leis de Proteção de Dados” significa todas as leis, regras, regulamentos, decretos, ordens e outros requisitos governamentais de proteção de dados e privacidade aplicáveis. Os termos “titular dos dados”, “dados pessoais”, “violação de dados pessoais”, “processamento” e “processador” terão os significados atribuídos a eles nas leis de proteção de dados, e onde tais leis usam termos equivalentes ou correspondentes, tais como 'informações pessoais' em vez de 'dados pessoais', serão incorporados a este adendo na forma prevista em lei.

2. PROCESSAMENTO

2.1. Implementaremos medidas técnicas e organizacionais adequadas de forma que o processamento cumpra os requisitos das Leis de Proteção de Dados, assegure a proteção dos direitos dos titulares dos dados e ofereça um padrão de proteção que seja, pelo menos, do mesmo nível de proteção conforme exigido pelas Leis de Proteção de Dados.

2.2. Não contrataremos outro processador sem sua autorização prévia específica ou mediante autorização geral por escrito. No caso de autorização geral por escrito, iremos informá-lo de quaisquer alterações pretendidas em relação à adição ou substituição de outros processadores, dando-lhe assim a oportunidade de se opor a tais alterações da maneira mais especificamente estabelecida neste documento.

2.3. Nosso processamento será regido por este DPA. Em particular, iremos:

  1. processar os dados pessoais apenas mediante as suas instruções documentadas, inclusive no que diz respeito a transferências de dados pessoais para um terceiro país ou uma organização internacional, a menos que exigido pela lei aplicável a que estamos sujeitos; em tal caso, iremos informá-lo dessa exigência legal antes do processamento, a não ser que a lei proíba o fornecimento de tais informações por motivos importantes de interesse público;
  2. garantir que as pessoas autorizadas a processar os dados pessoais se comprometeram com a confidencialidade ou estão sob uma obrigação legal de confidencialidade apropriada;
  3. tomar todas as medidas de segurança exigidas de acordo com as Leis de Proteção de Dados;
  4. respeitar as condições referidas nos itens 2.2 e 2.4 para contratar outro processador;
  5. considerando a natureza do tratamento, auxiliá-lo na tomada de medidas técnicas e organizacionais adequadas, na medida do possível, para o cumprimento da sua obrigação de responder aos pedidos de exercício dos direitos do titular dos dados previstos nas Leis de Proteção de Dados;
  6. ajudá-lo a garantir o cumprimento das obrigações de acordo com as Leis de Proteção de Dados, levando em consideração a natureza do processamento e as informações disponíveis para nós;
  7. à sua escolha, excluir ou devolver a você todos os dados pessoais após o término da prestação de serviços relacionados ao processamento e excluir as cópias existentes, a menos que a lei aplicável exija o armazenamento dos dados pessoais;
  8. Disponibilizar para você todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas nas Leis de Proteção de Dados e permitir e contribuir para auditorias, incluindo inspeções, conduzidas por você ou por outro auditor indicado por você.

Iremos informá-lo imediatamente se, em nossa opinião, uma instrução sua infringir as Leis de Proteção de Dados.

2.4. Quando envolvemos outro processador para realizar atividades de processamento específicas em seu nome, as mesmas obrigações de proteção de dados estabelecidas neste DPA, substantivamente, serão impostas a esse outro processador por meio de um contrato ou outro ato legal sob a lei aplicável, em especial, proporcionando garantias suficientes para implementar medidas técnicas e organizacionais adequadas de tal forma que o processamento cumpra os requisitos das Leis de Proteção de Dados. Quando esse outro processador não cumprir essas obrigações de proteção de dados, permaneceremos (sujeito aos termos deste Contrato) totalmente responsáveis perante você pelo desempenho das obrigações desse outro processador.

2.5 O objeto do nosso processamento são os dados pessoais fornecidos em relação aos Serviços nos termos deste Contrato. A duração do processamento é a duração da prestação dos serviços nos termos do Contrato até à eliminação dos dados pessoais de acordo com o Contrato. A natureza e a finalidade do processamento estão relacionadas com a prestação dos serviços nos termos do Contrato. Os tipos de dados pessoais processados são aqueles submetidos aos Serviços. As categorias dos titulares de dados são aquelas cujos dados pessoais são submetidos aos Serviços.

2.6. O Contrato incluindo este DPA, junto com seu uso e configuração nos Serviços, são suas instruções documentadas completas e finais para nós para o processamento de dados pessoais. Instruções adicionais ou alternativas devem ser acordadas separadamente pelas partes. Garantiremos que nosso pessoal envolvido no processamento de dados pessoais processará esses dados apenas mediante as suas instruções documentadas, salvo com relação a processamento que seja exigido pela legislação aplicável.

2.7. Após a expiração ou rescisão de seu uso dos Serviços, excluiremos ou devolveremos os dados pessoais de acordo com os termos e prazos estabelecidos no Contrato, a menos que a lei aplicável exija o armazenamento contínuo dos dados pessoais.

3. SUBPROCESSADORES

3.1. Temos sua autorização geral para contratar outros processadores para o processamento de dados pessoais de acordo com este DPA de nossa lista de tais processadores em https://www.lexisnexis.com/global/privacy/subprocessors.page, que podemos atualizar ocasionalmente. Iremos informá-lo de quaisquer alterações, atualizando a lista em nosso site com pelo menos 14 dias de antecedência. Você pode se opor à mudança, notificando-nos dentro de 14 dias após a lista ser atualizada e descrevendo suas razões para a desaprovação. Sem prejuízo de qualquer reembolso aplicável ou direitos de rescisão que você tenha nos termos do Contrato, envidaremos esforços razoáveis para evitar o processamento de quaisquer dados pessoais por esse novo processador ao qual você se opõe justificadamente.

4. DIREITOS REFERENTES A DADOS

4.1. Vamos, até a extensão legalmente permitida, notificá-lo prontamente sobre quaisquer solicitações de titulares referentes a dados que recebemos e iremos cooperar razoavelmente com você para cumprir suas obrigações sob as Leis de Proteção de Dados em relação a tais solicitações.

5. TRANSFERÊNCIA

5.1. Garantiremos que, na medida em que quaisquer dados pessoais originados de seu país sejam transferidos pela LN para outro país, essa transferência estará sujeita a salvaguardas apropriadas de acordo com as Leis de Proteção de Dados.

6. SEGURANÇA DE PROCESSAMENTO

6.1. Tendo em conta o estado da técnica, os custos de implementação e a natureza, escopo, contexto e fins de processamento, bem como o risco de variação de probabilidade e gravidade para os direitos e liberdades de pessoas, as partes implementarão medidas técnicas e organizacionais para garantir um nível de segurança adequado ao risco, incluindo, entre outras medidas, conforme apropriado:

  1. a pseudonimização e criptografia de dados pessoais;
  2. a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínua de sistemas e serviços de processamento;
  3. a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico; e
  4. um processo para testar regularmente, verificar e avaliar a eficácia das medidas técnicas e organizacionais para assegurar a segurança do processamento.

6.2. Ao avaliar o nível apropriado de segurança, levaremos em conta os riscos que são apresentados pelo processamento, em particular, desde destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados de outra forma.

6.3. As partes tomarão medidas razoáveis para garantir que qualquer pessoa física agindo sob a autoridade de qualquer uma das partes e que tenha acesso aos dados pessoais não processe os dados, exceto por instruções suas, a menos que ele/ela seja obrigado a fazê-lo por lei aplicável.

7. VIOLAÇÃO DE DADOS PESSOAIS

7.1. Iremos notificá-lo sem atrasos indevidos após tomarmos conhecimento de uma violação de dados pessoais e responderemos razoavelmente às suas solicitações de informações adicionais para ajudá-lo a cumprir suas obrigações de acordo com as Leis de Proteção de Dados.

8. REGISTROS DE ATIVIDADES DE PROCESSAMENTO

8.1. Manteremos todos os registros exigidos pelas Leis de Proteção de Dados e, na medida do aplicável ao processamento de dados pessoais em seu nome, os disponibilizaremos a você conforme necessário.

9. AUDITORIA

9.1. As auditorias serão:

  1. sujeitas à celebração de contratos de confidencialidade ou não divulgação apropriados;
  2. conduzidas no máximo uma vez por ano, a menos que uma crença razoável demonstrada de não conformidade com o Contrato venha a ser estabelecida, mediante notificação prévia por escrito de trinta (30) dias e tendo fornecido um plano para tal revisão; e
  3. conduzidas em horário, local e forma mutuamente acordados.

10. CONFLITO

10.1. Se houver algum conflito entre os termos deste DPA e o Contrato, os termos deste DPA irão prevalecer, na extensão exigida por lei.

11. TERMOS ESPECÍFICOS DE JURISDIÇÃO

11.1. Na medida em que estejamos processando quaisquer dados pessoais originados ou de outra forma sujeitos às Leis de Proteção de Dados de qualquer uma das jurisdições listadas no anexo do presente, os termos especificados no anexo para a respectiva jurisdição(ões) se aplicam além dos termos acima citados.

ANEXO
Termos Específicos por Jurisdição

Última atualização: 27 de setembro de 2021

1. Área Econômica Europeia e Suíça

1.1 Na medida em que você transfere dados pessoais do Espaço Econômico Europeu ("EEE") ou da Suíça para a LN localizada fora do EEE ou da Suíça, a menos que as partes possam confiar em uma base ou mecanismo alternativo de transferência, segundo as leis de proteção de dados, as partes serão consideradas como tendo executado as cláusulas contratuais padrão aprovadas pela Decisão de Implementação da Comissão Europeia (UE) 2021/914 de 4 de junho 2021 disponível emhttp://data.europa.eu/eli/dec_impl/2021/914/oj (“2021 SCCs da UE”) em relação a tal transferência, onde você é o “exportador de dados”, a LN é a “importadora de dados”, a “autoridade de supervisão competente” é a do no país onde o exportador de dados é estabelecido, as notas de rodapé, Cláusula 9(a) Opção 1, Cláusula 11(a) Opção e Cláusula 17 Opção 1 são omitidas, o período de tempo na Cláusula 9(a) Opção 2 é 14 dias, o conteúdo dos anexos aplicáveis corresponde ao respectivo conteúdo do DPA e ao Contrato, e (i) na medida em que você atua como controlador e a LN age como processadora, o módulo dois se aplica e os módulos um, três e quatro são omitidos e (ii) na medida em que cada parte atua como processador, o módulo três se aplica e módulos um, dois e quatro são omitidos.

1.2. As 2021 EU SCCs são regidas pela lei do país onde o exportador de dados está estabelecido.

1.3. Qualquer litígio decorrente das 2021 EU SCCs deve ser resolvido pelos tribunais do país onde o exportador de dados está estabelecido.

1.4. Se houver qualquer conflito entre os termos do Contrato e os 2021 EU SCCs, as 2021 EU SCCs prevalecerão.

2. Reino Unido

2.1 Na medida em que você transfere dados pessoais do Reino Unido (“UK”) para a LN localizada fora do Reino Unido, a menos que as partes possam confiar em uma base ou mecanismo alternativo de transferência, sob as leis de proteção de dados, as partes serão consideradas como tendo executado as cláusulas contratuais padrão aprovadas pela Decisão 2010/87/CE da Comissão Europeia, de 5 de fevereiro de 2010, disponível em http://data.europa.eu/eli/dec/2010/87/oj (“Cláusulas”) em relação a tal transferência, pela qual você é o "exportador de dados", LN é a “importadora de dados”, quaisquer cláusulas opcionais são omitidas, e o conteúdo dos apêndices corresponde ao respectivo conteúdo do contrato.

2.2 As cláusulas são regidas pelas leis da Inglaterra e do País de Gales. Todas as referências nas cláusulas a “União”, “UE”, “Estado-Membro” e suas leis são substituídas por “Reino Unido” e as leis equivalentes do Reino Unido.

2.3. Qualquer litígio decorrente das Cláusulas será resolvido pelos tribunais da Inglaterra e País de Gales.

2.4. Se houver qualquer conflito entre os termos do contrato e as Cláusulas, as Cláusulas prevalecerão.

3. Califórnia, EUA

3.1 Na medida em que a LN está processando qualquer informação pessoal no âmbito do Ato de Privacidade do Consumidor da Califórnia de 2018 (CCPA - California Consumer Privacy Act) em seu nome, a LN é proibida de reter, usar ou divulgar as informações pessoais para qualquer finalidade que não seja para o propósito específico de prestar os serviços especificados no Contrato para você (ou de outra forma permitida pela CCPA), incluindo a retenção, uso ou divulgação das informações pessoais para um propósito comercial (como esse termo é definido na CCPA) que não seja a prestação dos serviços especificados no Contrato.

4. África do Sul

4.1. Na medida em que a LN está processando qualquer informação pessoal no âmbito da Lei Sul-africana de Proteção de Informações Pessoais, nº 4 de 2013 (POPIA - Protection of Personal Information Act) para o Cliente, a LN estabelecerá e manterá adicionalmente as medidas de segurança referidas na Seção 19 da POPIA.

4.2. A LN notificará o Cliente imediatamente quando houver motivos razoáveis para acreditar que as informações pessoais de um titular dos dados foram acessadas ou adquiridas por qualquer pessoa não autorizada.