CLÁUSULA VIGÉSIMA SÉTIMA – DA PROTEÇÃO DE DADOS

27.1 Serão consideradas para a interpretação da presente cláusula as seguintes definições:

· “DADOS PESSOAIS”: qualquer informação obtida em razão do presente contrato, relacionada a pessoa natural identificada ou identificável, como por exemplo: nome, CPF, RG, endereço residencial ou comercial, número de telefone fixo ou móvel, endereço de e-mail, informações de geolocalização, entre outros.

· “DADOS PESSOAIS SENSÍVEIS”: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

· “DADO ANONIMIZADO”: dado relativo à/ titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

· “TITULAR DOS DADOS”: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

· “TRATAMENTO”: qualquer operação ou conjunto de operações efetuadas com dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a coleta, o registro, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, a eliminação ou a destruição.

· “CONTROLADOR”: a quem competem as decisões referentes ao tratamento de dados pessoais, especialmente relativas às finalidades e os meios de tratamento de dados pessoais. Tanto a Franqueadora, responsável por prestar todas as diretrizes e orientações aos franqueados, quanto a Empresa Franqueada, cada qual na medida de suas responsabilidades e área de competência, atuarão como controladoras para os fins deste Contrato.

· “OPERADOR”: parte que trata dados pessoais de acordo com as instruções do Controlador.

· “AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS”: órgão responsável pela fiscalização do cumprimento das disposições da Lei Geral de Proteção de Dados, Lei Federal nº 13.709/2018 no território nacional.

· “INCIDENTES”: qualquer acesso, aquisição, uso, modificação, divulgação, perda, destruição ou dano acidental, ilegal ou não autorizado que envolva dados pessoais.

27.2 A Empresa Franqueada está devidamente ciente de que deverá cumprir com a legislação relativa à proteção de dados pessoais, qual seja a Lei 13.709/2018 (Lei Geral de Proteção de Dados Pessoais (LGPD), no que concerne a obrigação de promover o adequado Tratamento de Dados Pessoais, sendo vedado fazer uso destes dados para qualquer atividade estranha ao objeto da franquia, bem como transferir ou compartilhar tais dados a terceiros, devendo ainda, garantir que qualquer pessoa envolvida no Tratamento de Dados Pessoais em seu nome, em razão deste Contrato, cumprirá com as disposições abaixo apresentadas:

27.2.1 Processamento: A Empresa Franqueada será a responsável por tratar os dados pessoais coletados em decorrência do presente contrato somente para viabilizar as suas atividades enquanto franqueada pertencente ao Sistema de Franquias LOPES. Nesse sentido, se compromete a Empresa Franqueada a tratar os Dados Pessoais em observância à todas as leis que tratem sobre o tema de proteção de dados pessoais, em especial a Lei Federal n. 13.709/2018, bem como eventuais políticas e normas internas impostas pela Franqueadora.

27.2.2 Dados pessoais sensíveis: A Empresa Fraqueada reconhece que os Dados Pessoais Sensíveis estão sujeitos à um maior rigor legal e, portanto, exigem maior proteção técnica e organizacional. Assim, as operações de Tratamento de Dados Pessoais Sensíveis deverão envolver garantias técnicas apropriadas, aptas a manter a integridade, confidencialidade e segurança destas informações. Assim sendo, a Empresa Franqueada concorda em realizar o Tratamento de Dados Pessoais Sensíveis apenas quando estritamente necessário para cumprir com as disposições contratuais.

27.2.3 Compartilhamento de informações pessoais: A Empresa Franqueada não compartilhará os Dados Pessoais que tratar em nome da Franqueadora com terceiros, sem o consentimento prévio e por escrito desta. Na eventual hipotese da Franqueadora autorizar o referido compartilhamento, cuja finalidade deverá ser única e exclusivamente para fins de consecução da atividade fim da franquia, a Empresa Franqueada deverá garantir que tais terceiros se obriguem, por escrito, a garantir a mesma proteção aos dados pessoais estabelecida neste Contrato. A Empresa Franqueada, portando, será responsável por todas as ações e omissões realizadas por tais terceiros, relativas ao tratamento dos Dados Pessoais, como se as tivesse realizado.

27.2.4 Registro de informações: Deverá a Empresa Franqueada manter devidamente atualizado os registros das operações de Tratamento de Dados Pessoais, que conterá a categoria dos dados tratados, os sujeitos envolvidos na atividade, qual a finalidade das diversas atividades de tratamento realizadas e por quanto tempo os dados pessoais serão processados e armazenados após o cumprimento de sua finalidade originária.

27.2.5 Atualização dos dados: A Empresa Franqueada deverá assegurar, ainda, que as informações pessoais tratadas em razão da finalidade celebrada neste instrumento permaneçam corretas e devidamente atualizadas, devendo as informações desatualizadas serem imediatamente corrigidas ou excluídas.

27.2.6 Direitos dos titulares: A Empresa Franqueada deverá, em conjunto com a Franqueadora, cada qual no no limite de suas atividades, cooperar para o cumprimento das obrigações relacionadas ao exercício dos direitos dos Titulares dos Dados Pessoais, observando as normas de Proteção de Dados aplicáveis.

27.2.6.1 Na eventual hipótese da Empresa Franqueada não ser capaz de atender às solicitações dos titulares, relativas aos seus direitos, deverá comunicar à Franqueadora em prazo não superior a 3 dias, contados da data da solicitação do titular, hipótese em que a Franqueadora buscará prestar todo o auxílio e diretriz para viabilizar o Atendimento, mas sem que disso resulte qualquer responsabilidade desta última em razão dos titulares.

27.2.7 Incidentes (e.g. Vazamento de dados): Na eventual hipótese de incidentes envolvendo Dados Pessoais tratados em razão do presente contrato, (perda, deleção, ou exposição indevida ou acidental das informações pessoais), ocorridos isoladamente sob responsabilidade da Empresa Franqueada, esta deverá:

i. Notificar a Franqueadora em até 24 horas da ciência do incidente, devendo apresentar, no mínimo, as seguintes informações: (a) data e hora do incidente; (b) data e hora da ciência do incidente pela Empresa Franqueada; (c) relação dos tipos de dados afetados pelo incidente; (d) número de titulares afetados (volumetria do incidente); (e) identidade específica de cada um desses indivíduos; (f) dados de contato do Orientador responsável pela UNIDADE ou de outro representante junto ao qual seja possível obter maiores informações sobre o ocorrido; (g) descrição das possíveis consequências do evento; e (h) medidas a serem adotadas para a interrupção/mitigação dos danos causados.

ii. Nesse caso, caberá única e exclusivamente à Empresa Franqueada, às suas próprias expensas, investigar as causas e as consequências do Incidente de Segurança e tomar as medidas necessárias para remediar suas consequências, informando prontamente à Franqueadora acerca de todas as ações tomadas visando sanar o referido incidente e evitar a reincidência de tais atos.

iii. Caberá à Franqueadora, nesse caso, avaliar o incidente e notificar a Autoridade Nacional de Proteção de Dados e os titulares, quando este puder acarretar risco ou dano relevante aos titulares, hipótese em que a Franqueadora figurará tão somente na qualidade de intermediadora e titular do Sistema de Franquias, cabendo única e exclusivamente à Empresa Franqueada toda e qualquer responsabilidade decorrente do referido incidente;

27.2.8 Destruição ou devolução dos dados pessoais: No caso de extinção da relação contratual, deverá a Empresa Franqueada devolver à Franqueadora todos e quaisquer dados pessoais que tenham sido compartilhados em razão das finalidades previamente pactuadas ou realizar a exclusão definitiva e permanente dos mesmos, mediante prévia determinação ou autorização da Franqueadora.

27.2.9 Cumprimento de obrigação legal: As Partes deverão cooperar mutuamente, no limite de suas atividades, com o cumprimento de obrigações ou solicitações impostas por qualquer Autoridade Fiscalizadora competente. Caso uma das Partes seja destinatária de qualquer ordem judicial ou comunicação oficial que determine o fornecimento ou divulgação de informações pessoais, deverá notificar a outra, no prazo máximo de 24 (vinte e quatro) horas a partir do recebimento da ordem judicial ou comunicação oficial, sobre o ocorrido, oportunizando a adoção, em tempo hábil de medidas legais para impedir ou mitigar os efeitos decorrentes da divulgação dos dados pessoais relacionados a esta requisição ou objetos desta.

27.2.10 Indenizações A Empresa Franqueada será responsável por quaisquer reclamações, perdas e danos, despesas processuais judiciais, administrativas e arbitrais, em qualquer instância ou tribunal, que venham a ser ajuizadas, multas, inclusive, mas não se limitando àquelas aplicadas pela Autoridade Nacional de Proteção de Dados, além de qualquer outra situação que exija o pagamento de valores pecuniários, quando os eventos que levarem a tais consequências decorrerem de: (i) descumprimento, por si, ou por terceiros por contratados; e (ii) qualquer exposição acidental ou proposital de dados pessoais, ocasionado pela ação ou omissão;

27.2.11 Sobrevivência: Não obstante qualquer disposição em contrário, as obrigações definidas neste Contrato, perdurarão enquanto as Partes continuarem a ter acesso, estiverem na posse, adquirirem ou realizarem qualquer operação de Tratamento aos Dados Pessoais obtidos em razão da relação contratual, mesmo que todos os contratos entre as Partes tiverem expirado ou sido rescindidos.