APÊNDICE I: Acordo de Processamento de Dados
Este Contrato de Processamento de Dados determina como a ILOVEPDF processa os dados pessoais em nome do Controlador, de acordo com o Regulamento (EU) 2016/679 (GDPR).
Este acordo de tratamento de dados (o "Acordo de Tratamento de Dados") constitui o acordo de tratamento aplicável ao tratamento de dados pessoais que a ILOVEPDF ("ILOVEPDF"), com CIF B66921552 e sede social em Calle Sabino de Arana, 60, 08028 Barcelona, realiza em seu nome em relação aos dados pessoais que trata, nos termos das disposições abaixo.
Nesse sentido, a ILOVEPDF fornecerá determinados serviços prestados por meio do software ou programas de computador de propriedade da ILOVEPDF. A utilização desses serviços exigirá o acesso e o tratamento, pela ILOVEPDF, na qualidade de operador (doravante denominado "operador"), de determinados dados pessoais para os quais você atua como controlador (doravante denominado "controlador").
Este Acordo de Tratamento faz parte dos Termos e Condições da ILOVEPDF e será aplicável mediante a aceitação dos Termos e Condições. Em caso de qualquer conflito, oposição ou contradição entre os Termos e Condições e o Contrato de Tratamento, o Contrato de Tratamento prevalecerá sobre os Termos e Condições.
Considerando que, a fim de cumprir o disposto no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas naturais no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados ("RGPD"), o controlador e o operador celebram o presente Contrato de Tratamento em conformidade com o seguinte:
CLÁUSULAS
Cláusula 1
Finalidade e escopo
- A finalidade do Contrato de Tratamento é assegurar o cumprimento do Artigo 28(3) e (4) do RGPD.
- O controlador e o operador consentiram em estar vinculados a este Acordo, a fim de assegurar o cumprimento do Artigo 28(3) e (4) do RGPD.
- Este Acordo de Tratamento aplica-se ao tratamento de dados pessoais especificados no Anexo I.
- Os Anexos I e II fazem parte do Acordo de Processamento.
- Estes termos e condições não prejudicam as obrigações às quais o controlador está sujeito nos termos do RGPD.
- Estes termos e condições, por si só, não asseguram o cumprimento das obrigações relacionadas às transferências internacionais de dados, em conformidade com o Capítulo V do RGPD.
Cláusula 2
Interpretação
- Quando os termos definidos no RGPD forem utilizados neste Acordo de Tratamento de Dados, entende-se que possuem o mesmo significado atribuído no RGPD.
- Este Acordo de Tratamento de Dados deverá ser lido e interpretado à luz das disposições do RGPD.
- Este Acordo de Tratamento de Dados não deverá ser interpretado de forma contrária aos direitos e obrigações previstos no RGPD e/ou de modo a prejudicar os direitos ou liberdades fundamentais dos titulares dos dados.
Cláusula 3
Hierarquia
Em caso de contradição entre este Acordo de Tratamento de Dados e as disposições de acordos relacionados entre as Partes existentes no momento em que estes termos e condições forem aceitos ou celebrados posteriormente, este Acordo de Tratamento de Dados prevalecerá.
Cláusula 4
Descrição do(s) tratamento(s)
O Anexo I especifica os detalhes das operações de tratamento, em particular as categorias de dados pessoais e as finalidades do tratamento para as quais os dados pessoais são tratados em nome do controlador.
Cláusula 5
Obrigações das Partes
5.1. Instruções
- O operador deverá tratar os dados pessoais apenas mediante instruções documentadas do controlador, salvo se for obrigado a fazê-lo pela legislação da União ou do Estado-Membro ao qual o operador esteja sujeito. Nesse caso, o operador deverá informar o controlador sobre tal exigência legal antes do tratamento, salvo se a lei proibir essa comunicação por motivos importantes de interesse público. Instruções subsequentes também poderão ser fornecidas pelo controlador ao longo de toda a duração do tratamento dos dados pessoais. Essas instruções deverão sempre ser documentadas.
- O operador deverá informar imediatamente o controlador caso, na sua opinião, as instruções fornecidas pelo controlador violem o RGPD ou a legislação aplicável da União ou de um Estado-Membro relativa às disposições de proteção de dados.
5.2. Limitação da finalidade
O operador deverá tratar os dados pessoais apenas para a(s) finalidade(s) específica(s) do tratamento, conforme indicado no Anexo I, salvo se receber instruções adicionais do controlador.
5.3. Duração do tratamento dos dados pessoais
O tratamento realizado pelo operador deverá ocorrer apenas durante o período especificado no Anexo I.
5.4. Segurança do tratamento
- O operador deverá, no mínimo, implementar as medidas técnicas e organizacionais especificadas no Anexo II para garantir a segurança dos dados pessoais. Isso inclui a proteção dos dados contra uma violação de segurança que resulte em destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso não autorizado aos dados (violação de dados pessoais). Ao avaliar o nível adequado de segurança, as Partes deverão levar devidamente em consideração o estado da técnica, os custos de implementação, a natureza, o escopo, o contexto e as finalidades do tratamento, bem como os riscos envolvidos para os titulares dos dados.
- O operador deverá conceder acesso aos dados pessoais em tratamento apenas aos membros do seu pessoal na estrita medida do necessário para a execução, gestão e monitoramento do contrato. O operador deverá assegurar que as pessoas autorizadas a tratar os dados pessoais recebidos tenham assumido um compromisso de confidencialidade ou estejam sujeitas a uma obrigação legal adequada de confidencialidade.
5.5. Dados sensíveis
Se o tratamento envolver dados pessoais que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou filiação sindical, dados genéticos ou dados biométricos com a finalidade de identificar de forma única uma pessoa natural, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações e infrações penais ("dados sensíveis"), o operador deverá aplicar restrições específicas e/ou salvaguardas adicionais.
5.6. Documentação e conformidade
- As Partes deverão ser capazes de demonstrar o cumprimento deste Acordo de Tratamento de Dados.
- O operador deverá tratar de forma pronta e adequada as solicitações do controlador relacionadas ao tratamento de dados, em conformidade com este Acordo de Tratamento de Dados.
- O operador deverá disponibilizar ao controlador ou a um terceiro independente todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas neste Acordo de Tratamento de Dados e que decorram diretamente do RGPD. Mediante solicitação do controlador, o operador também deverá permitir e contribuir para auditorias das atividades de tratamento abrangidas por este Acordo de Tratamento de Dados. As auditorias serão limitadas, material e temporalmente, ao estritamente necessário para que o controlador possa realizar as verificações necessárias, em caso de suspeita, devidamente justificada previamente por escrito, de descumprimento, pelo operador de dados, de qualquer dos termos deste Acordo de Tratamento de Dados. Em qualquer caso, as auditorias terão como finalidade exclusiva verificar as circunstâncias do descumprimento, serão limitadas a, no máximo, uma (1) auditoria por ano e deverão ser notificadas com antecedência mínima de um (1) mês. Em qualquer caso, as auditorias serão realizadas às expensas do controlador de dados.
- As partes deverão disponibilizar às autoridades de controle competentes, mediante solicitação, as informações referidas nesta cláusula e, em particular, os resultados das auditorias.
5.7. Uso de suboperadores
- O operador possui autorização geral do controlador para a contratação de suboperadores. O operador deverá fornecer ao controlador as informações necessárias para permitir que este exerça o direito de objeção.
- Quando o operador contratar um suboperador para realizar atividades específicas de tratamento (em nome do controlador), deverá fazê-lo por meio de contrato que imponha ao suboperador, em substância, as mesmas obrigações de proteção de dados impostas ao operador nos termos destas cláusulas. O operador deverá assegurar que o suboperador cumpra as obrigações às quais o operador está sujeito nos termos deste Acordo de Tratamento de Dados e do RGPD.
- O operador permanecerá totalmente responsável perante o controlador pelo cumprimento das obrigações do suboperador, de acordo com o contrato celebrado com o operador. O operador deverá notificar o controlador sobre qualquer descumprimento, por parte do suboperador, das obrigações contratuais.
5.8. Transferências internacionais
- As transferências de dados para um país terceiro ou para uma organização internacional realizadas pelo operador serão efetuadas em conformidade com o Capítulo V do RGPD.
- O controlador concorda que, quando o operador contratar um suboperador nos termos da cláusula 5.7 para realizar atividades específicas de tratamento (em nome do controlador) e tais atividades envolvam uma transferência de dados pessoais na acepção do Capítulo V do RGPD, o operador e o suboperador poderão assegurar a conformidade com o Capítulo V do RGPD por meio de: (i) transferência de dados pessoais para países para os quais a Comissão Europeia tenha adotado uma decisão de adequação nos termos do Artigo 45 do RGPD; ou (ii) utilização de cláusulas contratuais padrão adotadas pela Comissão nos termos do Artigo 46(2) do RGPD, desde que sejam atendidas as condições para a sua utilização. Como regra geral, e salvo se o controlador tiver selecionado de outra forma, o operador tratará os seus dados pessoais no Espaço Econômico Europeu. Não obstante o disposto acima e, no caso de controladores localizados fora do Espaço Econômico Europeu, a fim de otimizar o desempenho e a eficiência dos nossos serviços, o operador poderá tratar os seus dados pessoais em áreas geográficas mais próximas da sua localização, desde que sejam implementadas as salvaguardas acima referidas.
- Além disso, caso haja comunicação de dados pessoais do operador ao controlador que implique uma transferência de dados pessoais na acepção do Capítulo V do GDPR, o operador e o controlador deverão celebrar as cláusulas contratuais padrão (módulo 4) anexas como Apêndice II.
Cláusula 6
Assistência ao controlador
- O operador deverá notificar prontamente o controlador sobre qualquer solicitação recebida do titular dos dados. Não deverá responder à solicitação por conta própria, salvo se autorizado a fazê-lo pelo controlador.
- O operador encaminhará ao controlador quaisquer solicitações de exercício de direitos dos titulares dos dados que receber e cuja resposta caiba ao controlador, por se referirem a dados pessoais pelos quais o controlador atua como responsável pelo tratamento.
- Além da obrigação do operador de prestar assistência ao controlador nos termos da Cláusula 6(b), o operador deverá ainda auxiliar o controlador a assegurar o cumprimento das seguintes obrigações, tendo em conta a natureza do tratamento de dados e as informações disponíveis ao operador:
- a obrigação de realizar uma avaliação do impacto das operações de processamento previstas na proteção de dados pessoais ("avaliação de impacto sobre a proteção de dados"), quando um tipo de processamento puder resultar em alto risco para os direitos e liberdades das pessoas naturais;
- a obrigação de consultar a(s) autoridade(s) de controle competente(s) antes do tratamento, quando uma avaliação de impacto sobre a proteção de dados indicar que o tratamento resultaria em alto risco na ausência de medidas adotadas pelo controlador para mitigar o risco;
- a obrigação de garantir que os dados pessoais sejam precisos e atualizados, informando o controlador sem demora caso o operador tome conhecimento de que os dados pessoais que está processando sejam inexatos ou se tornem desatualizados;
- as obrigações previstas no Artigo 32 do RGDP.
- As Partes deverão estabelecer no Anexo II as medidas técnicas e organizacionais apropriadas pelas quais o processador deverá auxiliar o controlador na aplicação desta cláusula, bem como o escopo e a extensão da assistência exigida.
Cláusula 7
Notificação de violação de dados pessoais
- Em caso de violação de dados pessoais, o operador deverá cooperar com o controlador e auxiliá-lo para que este cumpra as suas obrigações nos termos dos Artigos 33 e 34 do RGPD, levando em consideração a natureza do tratamento e as informações disponíveis ao operador.
- Em caso de violação da segurança dos dados pessoais tratados pelo operador em nome do controlador, o operador deverá notificar o controlador sem demora injustificada assim que tiver conhecimento do ocorrido. Essa notificação deverá incluir, no mínimo:
- uma descrição da natureza da violação (incluindo, quando possível, as categorias e o número aproximado de titulares de dados e de registros de dados envolvidos);
- os dados de contato de um ponto de contato onde possam ser obtidas mais informações sobre a violação de dados pessoais;
- suas prováveis consequências e as medidas tomadas ou propostas para tratar a violação, incluindo as medidas para mitigar os seus possíveis efeitos adversos.
- Quando não for possível fornecer todas as informações ao mesmo tempo, as informações disponíveis deverão ser fornecidas na notificação inicial e, à medida que forem sendo obtidas, informações adicionais deverão ser fornecidas sem demora injustificada.
ANEXO I: DESCRIÇÃO DO TRATAMENTO
Categorias de titulares de dados cujos dados pessoais são tratados
As categorias de titulares de dados cujos dados estão contidos nos arquivos que o controlador carrega ao utilizar os serviços prestados pela ILOVEPDF (por exemplo, funcionários, clientes, fornecedores etc.).
Categorias de dados pessoais tratados
As categorias de dados pessoais que estão incluídas nos arquivos que o controlador carrega ao utilizar os serviços prestados pela ILOVEPDF.
Dados sensíveis tratados (se aplicável) e restrições ou salvaguardas aplicadas que levem plenamente em consideração a natureza dos dados e os riscos envolvidos, tais como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas por pessoal que tenha recebido treinamento especializado), manutenção de registro de acesso aos dados, restrições a transferências subsequentes ou medidas adicionais de segurança.
As categorias especiais de dados pessoais serão tratadas na medida em que os arquivos que o controlador carrega ao utilizar os serviços prestados pela ILOVEPDF contenham tais categorias especiais de dados pessoais.
Natureza do tratamento
O operador realizará todas as ações necessárias para prestar os serviços (por exemplo, conversão, edição e compressão do documento que contém os dados pessoais).
Finalidade(s) para a(s) qual(is) os dados pessoais são tratados em nome do controlador
Prestar os serviços em nome da ILOVEPDF.
Duração do tratamento
Na medida estritamente necessária para a prestação dos serviços.
Suboperadores e tipo de serviços prestados
No contexto da prestação dos seus serviços, a ILOVEPDF utiliza prestadores de serviços terceiros que atuam como suboperadores de dados pessoais. Entre eles, a ILOVEPDF conta com a Cloudscale, DigitalOcean, Hetzner, OVHcloud e Vultr como prestadores de serviços de hospedagem web e soluções de computação em nuvem, os quais prestam serviços de infraestrutura tecnológica para garantir o tratamento seguro, o armazenamento temporário de dados e a continuidade operacional da plataforma.
Os suboperadores atuam de acordo com as instruções da ILOVEPDF, aplicando medidas técnicas e organizacionais adequadas para garantir a proteção de dados pessoais em conformidade com o Regulamento (UE) 2016/679 (RGPD) e outros regulamentos de proteção de dados aplicáveis.
Para mais informações sobre os sub-processadores do ILOVEPDF, você pode acessar clicando aqui.
ANEXO II: MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS
O operador deverá aplicar as seguintes medidas técnicas e organizacionais de segurança às atividades de tratamento realizadas ao abrigo deste Acordo de Tratamento:
- Medidas técnicas para proteger contra interceptação, cópia, modificação, erros de roteamento e destruição das informações transferidas.
- Procedimentos técnicos e políticas internas para detectar, proteger e mitigar aplicações maliciosas (malware) que possam ser transmitidas por meio de comunicações eletrônicas.
- Proteção técnica de informações sensíveis quando transmitidas como anexos.
- Política interna sobre o uso aceitável de recursos de comunicação.
- Medidas organizacionais para garantir a responsabilidade de todos os usuários (pessoal e terceiros) com acesso autorizado aos recursos do operador no que diz respeito às suas próprias informações.
- Uso de técnicas criptográficas para proteger a confidencialidade, integridade e autenticidade das informações.
- Diretrizes organizacionais para a retenção e o descarte de toda a correspondência comercial, incluindo mensagens, em conformidade com as leis e regulamentos nacionais e locais aplicáveis.
- Informações recorrentes e estabelecimento de políticas internas para o pessoal quanto à não divulgação de informações confidenciais, para fins como: não deixar mensagens contendo informações sensíveis em caixas de correio de voz, não realizar conversas confidenciais em locais públicos, não utilizar canais de comunicação inseguros, não manter conversas confidenciais em escritórios abertos etc.
Controle de versão: quinta-feira, 19 de fevereiro de 2026