São Paulo, Julho de 2021.  

Como deve ser de seu conhecimento, uma nova lei brasileira de proteção de dados, a Lei Geral de Proteção de Dados Pessoais (doravante denominada “LGPD”) entrou em vigor em 16 de agosto de 2020. Considerando que, enquanto prestador de serviços ou fornecedor de produtos ou serviços (“Prestador”) para a MCM ( MCM LIGHT PRODUÇÕES E EVENTOS EIRELI devidamente inscrita no CNPJ 05.969.413 /0001-00 ) ou subcontratados nos termos de um ou mais pedidos de compra, contratos e/ou acordo firmados conosco (“Contrato(s)”), você pode tratar dados em nome da MCM, escrevemos para lembrá-lo de suas obrigações nos termos da LGPD e fornecer nossas instruções referentes ao Tratamento de Dados Pessoais que você recebe da MCM (ao atuar enquanto “Operador”). Nos termos da LGPD, a MCM, enquanto Controladora de Dados Pessoais que você recebe, é obrigada a garantir a segurança e o tratamento adequado de Dados Pessoais de todos os nossos Operadores. Além disso, de acordo com a LGPD, os Operadores devem tratar dados pessoais somente em conformidade com as instruções do Controlador e com a lei. As instruções da MCM para tratamento de dados pessoais em nome da MCM estão anexadas à presente comunicação (coletivamente referidas como “Instruções de Tratamento de Dados”). Observamos que nossas Instruções de Tratamento de Dados complementam ou têm precedência sobre quaisquer termos de proteção de dados, privacidade ou segurança existentes em nosso Contrato, a menos que os termos existentes sejam mais restritivos. Na qualidade de valioso Fornecedor da MCM, esperamos que você cumpra com a LGPD e estas Instruções de Tratamento de Dados, estando sujeito a todas as consequências aplicáveis nos termos do(s) Contrato(s) e da LGPD. Ao continuar a fornecer serviços nos termos do(s) nosso(s) Contrato(s), você atesta que você compreende e cumprirá com as Instruções de Tratamento de Dados abaixo. Caso tenha dúvidas com relação a esta comunicação ou às Instruções de Tratamento de Dados, entre em contato com o seu representante na MCM. Atenciosamente, MCM.  

Instruções de Tratamento de Dados da MCM  

1. Definições  

(a) O termo “Dados Pessoais” possui o significado especificado no Artigo 5 (I) da LGPD, mas somente na medida em que esses dados pessoais (i) pertençam a indivíduos que estejam no território brasileiro ou (ii) estejam sujeitos à LGPD.  

(b) O termo “Violação de Dados” significa uma violação de segurança que leva a destruições, perdas, alterações, divulgações ou acessos não autorizados, acidentais ou ilegais de Dados Pessoais, sejam eles transmitidos, armazenados ou tratados pelo Operador ou suboperador autorizado.  

(c) O termo “Tratamento” possui o significado especificado no Artigo 5(X) da LGPD.  

(d) O termo “Suboperador” significa qualquer operador conforme definido no Artigo 5(VII) da LGPD: “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais” em nome do Prestador (incluindo qualquer afiliada do Prestador).  

(e) O termo “Soluções” significa hardware, software, software como serviço, serviços ou serviços de hospedagem fornecidos à MCM (ou a um cliente da MCM) pelo Prestador nos termos do(s) Contrato(s).  

(f) O termo “Transferência” significa divulgar ou disponibilizar Dados Pessoais para terceiros (incluindo qualquer afiliada ou Suboperador), seja pelo movimento físico dos Dados Pessoais para tais terceiros ou permitindo o acesso aos Dados Pessoais por outros meios.  

(g) O termo “Avaliação de Impacto na Proteção de Dados” significa a documentação do Controlador que contém uma descrição da atividade de Tratamento de Dados Pessoais que pode gerar riscos para as liberdades civis e direitos fundamentais, além de medidas, salvaguardas e mecanismos para mitigar riscos.  

(h) O termo “Pseudonimização” significa o processo pelo qual um determinado dado perde a possibilidade de ser associado, seja direta ou indiretamente, a uma pessoa específica, exceto pelo uso ou combinação de dados adicionais mantidos separadamente pelo controlador em ambiente controlado e seguro, conforme disposto no artigo 13(§4) da LGPD.  

(i) O termo “Leis de Privacidade” significa qualquer lei, estatuto, diretiva ou regulamento, incluindo toda e qualquer alteração legislativa e/ou regulatória ou versão sucessora das mesmas, com relação a privacidade, proteção de dados, obrigações de segurança da informação e/ou tratamento de Dados Pessoais (incluindo a LGPD) e qualquer lei local e/ou federal secundária adotada nos termos da LGPD, juntamente com quaisquer orientações, regulamentações, diretrizes, políticas, recomendações, instruções ou códigos de prática emitidos periodicamente por qualquer autoridade fiscalizadora (conforme alterações, atualizações, substituições e novas aprovações periódicas) a que a MCM ou o Prestador esteja sujeito e que sejam aplicáveis às Soluções fornecidas.  

2. Instruções da MCM  

2.1. O Prestador deverá tratar os Dados Pessoas somente (i) conforme necessário para fornecer as Soluções, (ii) em conformidade com as instruções específicas recebidas da MCM, incluindo com relação a quaisquer Transferências, e (iii) conforme necessário a fim de cumprir com a lei (neste caso, o Prestador deverá notificar previamente a MCM sobre tal exigência legal, a menos que a lei em questão proíba essa divulgação). A MCM deverá garantir que (i) quaisquer instruções fornecidas ao Prestador com relação ao Tratamento de Dados Pessoais e (ii) quaisquer divulgações de Dados Pessoais feitas ao Prestador deverão estar em conformidade com as leis de proteção de dados aplicáveis.  

2.2. O objeto, duração do tratamento, natureza e finalidade do tratamento, tipo de Dados Pessoais e categorias de titulares de dados deverão ser especificados no(s) Contrato(s) (conforme o caso).  

2.3. O Prestador deverá garantir que as pessoas autorizadas a tratar os Dados Pessoais (i) tenham firmado compromisso de confidencialidade ou estejam sob obrigação estatutária adequada com relação a confidencialidade (ii) tratem os Dados Pessoais somente com base na documentação de instrução da MCM, a não ser que exigido pela legislação aplicável.  

2.4. O Prestador deverá implementar medidas organizacionais e técnicas adequadas a fim de garantir a segurança apropriada de Dados Pessoais (o que inclui proteção contra destruições, perdas, alterações, divulgações ou acessos não autorizados, acidentais ou ilegais de Dados Pessoais transmitidos, armazenados ou tratados), o que inclui, conforme o caso: (i) a pseudonimização e codificação de Dados Pessoais; (ii) a capacidade de garantir a constante confidencialidade, integridade, disponibilidade e resiliência de sistemas e serviços de processamento; (iii) a capacidade de restaurar disponibilidade e acesso a Dados Pessoais de modo tempestivo em caso de incidente físico ou técnico; e (iv) processo para teste, verificação e avaliação regulares da eficiência de medidas organizacionais e técnicas para garantir a segurança do tratamento.  

2.5. O Prestador não deverá acionar um Suboperador para tratar Dados Pessoais em nome da MCM a menos que (i) a MCM tenha concedido autorização prévia ou (ii) caso seja permitido fazê-lo nos termos do(s) Contrato(s). Ao acionar um Suboperador, o Prestador deverá estabelecer um contrato por escrito, impondo ao Suboperador pelo menos os mesmos termos de proteção de dados especificados nestas Instruções de Tratamento de Dados. O Prestador deverá permanecer responsável pelos atos e omissões do Suboperador.  

2.6. O Prestador deverá, de maneira razoável, auxiliar a MCM no cumprimento das obrigações da MCM em responder a solicitações em que direitos individuais de titulares de dados sejam exercidos. Caso o Prestador receba tal solicitação, ele deverá (a) notificar a MCM prontamente e (b) fornecer à MCM assistência, informação e acesso razoável aos Dados Pessoais em sua posse ou sob seu controle, conforme necessário para que a MCM responda a tal solicitação prontamente e dentro de qualquer prazo que venha a ser exigido pela LGPD. O Prestador não deverá responder a tais solicitações a menos que seja orientado a fazê-lo por escrito pela MCM ou seja obrigado a fazê-lo pelas leis aplicáveis.  

2.7. A critério da MCM, o Prestador deverá apagar ou devolver todos os Dados Pessoais à MCM após o término da prestação das Soluções relacionadas ao Tratamento, além de apagar cópias existentes, a menos que leis aplicáveis exijam o armazenamento de Dados Pessoais (neste caso, o Prestador deverá notificar previamente a MCM sobre tais exigências legais (a menos que a lei em questão proíba a notificação) e as disposições destas Instruções de Tratamento de Dados continuarão a ser aplicadas a tais Dados Pessoais enquanto o Prestador Tratar os Dados Pessoais de acordo com tais leis aplicáveis).  

2.8. O Prestador deverá fornecer à MCM todas as informações necessárias a fim de demonstrar conformidade com as obrigações especificadas na LGPD, permitindo e contribuindo com auditorias, além de fiscalizações, conduzidas pela MCM ou outro auditor sob ordens da MCM.  

2.9. O Prestador deverá imediatamente informar a MCM caso, em sua opinião, alguma instrução viole a LGPD ou outras Leis de Privacidade.  

2.10. Nos casos em que a LGPD exigir que a MCM avalie suas atividades de tratamento envolvendo Dados Pessoais, o Prestador deverá prestar assistência razoável à MCM, incluindo a realização de uma avaliação de impacto na proteção de dados e prestação de auxílio à MCM em qualquer consulta prévia com autoridades de fiscalização de proteção de dados que possam vir a ser necessárias nos termos da LGPD.  

2.11. O Prestador não deverá Transferir quaisquer Dados Pessoais a Terceiros (não devendo permitir que seus Suboperadores Transfiram quaisquer Dados Pessoais) a menos que a Transferência seja estritamente necessária para o fornecimento das Soluções e que (a) a MCM tenha concedido autorização prévia por escrito para tal Transferência, ou que (b) o Contrato expressamente autorize tal Transferência a Terceiros. Caso alguma Lei de Privacidade exija que medidas adicionais sejam tomadas com relação a quaisquer restrições de exportação de dados a fim de permitir a Transferência de Dados Pessoais nos termos do Contrato com o Prestador (incluindo seus Suboperadores), o Prestador deverá cumprir com tais exigências de proteção de dados, incluindo a assinatura de quaisquer contratos aplicáveis de transferência de dados (cláusulas contratuais padrão, por exemplo) ou uma solução alternativa para garantir que salvaguardas adequadas sejam implementadas para tal Transferência. O Prestador deverá notificar a MCM sobre quaisquer Transferências de Dados Pessoais fora do território brasileiro que estejam sujeitas a exigências de exportação de dados sem atrasos indevidos, mas nunca após a transferência.  

2.12. O Prestador deverá pronta e minuciosamente investigar todas as alegações de acesso, divulgação ou uso não autorizado dos Dados Pessoais. O Prestador deverá prontamente, em até 24 horas, notificar a MCM ao tomar conhecimento de qualquer Violação de Dados real ou suspeita com relação ao fornecimento das Soluções. Tal notificação deverá ser fornecida, no mínimo, por e-mail com recibo de leitura para privacy@MCM.com com uma cópia do contato comercial principal do Prestador com a MCM, devendo incluir os seguintes detalhes da Violação de Dados em questão: (i) a natureza da Violação de Dados, (ii) o número e o tipo de pessoas afetadas, (iii) o número de registros de Dados Pessoais envolvidos, (iv) ponto de contato, (v) descrição das prováveis consequências da Violação de Dados e (vi) descrição das medidas adotadas ou a serem adotadas para lidar com a Violação de Dados e mitigar seus possíveis efeitos adversos. Caso não seja possível para o Prestador fornecer as informações constantes dos itens (i) a (iv) ao mesmo tempo, as informações podem ser fornecidas em etapas, sem atrasos adicionais indevidos. O conteúdo e fornecimento de qualquer notificação referente a Violação de Dados ficarão exclusivamente a critério da MCM, exceto quando exigido pelas leis aplicáveis. Ao facilitar a investigação e solução de uma Violação de Dados, o Prestador deverá cooperar integralmente com a MCM. O Prestador não deverá informar terceiros sobre nenhuma Violação de Dados sem primeiro obter o consentimento por escrito da MCM, exceto conforme estritamente exigido pelas Leis de Privacidade; nesse caso, o Prestador deverá, a menos que seja proibido por lei, notificar a MCM antes de informar qualquer terceiro e cooperar com a MCM para limitar o escopo das informações divulgadas ao que for exigido pelas Leis de Privacidade. O Prestador deverá reembolsar a MCM por quaisquer despesas incorridas na resposta, remediação e/ou mitigação de danos causados por uma Violação de Dados ou no acompanhamento de uma reclamação de um titular de dados individual ou de uma autoridade regulatória. O Prestador deverá tomar todas as ações corretivas necessárias e adequadas, inclusive conforme instruído pela MCM ou pelas Leis de Privacidade, para solucionar ou atenuar qualquer Violação de Dados.  

2.13. O Prestador deverá manter registros de Tratamento de Dados Pessoais (doravante denominados “Registros”), em conformidade com o Artigo 37 da LGPD. O Prestador deverá disponibilizar os Registros para a MCM mediante solicitação e deverá fornecer auxílio razoável à MCM, inclusive na execução de Avaliações de Impacto na Proteção de Dados, conforme o caso, e no auxílio à MCM em quaisquer consultas prévias com autoridades de fiscalização de proteção de dados que possam vir a ser exigidas por quaisquer Leis de Privacidade aplicáveis.  

 

 

3. Geral  

3.1. Estas Instruções de Tratamento de Dados permanecerão válidas enquanto o Operador ou seu Suboperador tratar Dados Pessoais para a MCM.  

3.2. Estas Instruções de Tratamento de Dados não poderão ser alteradas, exceto por meio de um instrumento escrito subsequente assinado por ambas as partes ou aceito por outra medida física ou digital.  

3.3. Caso alguma parte destas Instruções de Tratamento de Dados seja considerada inexigível, a validade das demais partes não será afetada.  

Declaro, desta forma, que:  

1. li e estou de acordo com estas Instruções de Tratamento de Dados; 

1. que me comprometo a envidar todos os esforços para cumpri-las e garantir que meus respectivos funcionários, colaboradores, sócios e suboperadores também as cumpram e que; 

1. tenho poderes de representar o Prestador e assinar/aceitar o presente documento. 

 

São Paulo, 02 de Julho de 2021 

 

Nome completo       RG ou CPF ou CNPJ                                                    Assinatura 

 

XXXXXXXXXXXXXXXXX____ XXXXXXXXXXXX-XX_______________________________________________