ADENDA AO CONTRATO DE PRESTAÇÃO DE SERVIÇOS

Net Real Solutions, S.L.U.(doravante "NRS" ou "Encarregado do Tratamento de Dados") com o número de identificação fiscal ESB12550877, localizado na Av. Arcadi Garcia Sanz, 19, 1ºA, Vila Real, Castellón, Espanha; Registado no Registo Mercantil de Castellón, volume 1058, livro 622, folha 183, seção 8, página CS-17458; legalmente representado pelo Sr. Joaquín Edo, como Diretor Geral, com o número de identificação 29018346M, como administrador único.

As partes concordaram antecipadamente,

a) através de um Contrato de Prestação de Serviços

b) ou através da Aceitação explícita dos Termos de Serviço no momento do registo em qualquer um dos sites NRS (www.nrsgateway.com e/ou www.360nrs.com), que a NRS fornecerá ao Cliente uma plataforma web ou API de Integração para o envio em massa de comunicações por SMS, e-mail, notificações, web, notificações por push ou chamadas automáticas.

Para a prestação dos serviços mencionados no parágrafo anterior, é necessário que a NRS processe determinados dados pessoais em nome do Cliente, que atuará como responsável pelo tratamento de dados pessoais, conforme definido pela Lei aplicável em matéria de Proteção de dados;

As partes concordam em assinar esta Adenda em matéria de Proteção de dados, em conformidade com o artigo 28 do Regulamento Geral de Proteção de Dados da União Europeia, nos seguintes termos:


2.ª (Definições)

a) RGPD: REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016 relativo à proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e pelo qual se revoga a Diretiva 95/46/CE (Regulamento Geral de Proteção de Dados)

b) «dados pessoais», qualquer informação sobre uma pessoa singular identificada ou identificável ("a parte interessada"); considera-se pessoa singular qualquer pessoa cuja identidade possa ser determinada, direta ou indiretamente, em particular por meio de um identificador, como nome, número de identificação, dados de localização, identificador online ou um ou vários elementos próprios de identidade física, fisiológica, genética, psíquica, económica, cultural ou social dessa pessoa;

c) «tratamento»: qualquer operação ou conjunto de operações realizadas sobre dados pessoais ou conjuntos de dados pessoais, seja por procedimentos automatizados ou não automatizados, como recolha, registo, organização, estruturação, conservação, adaptação ou modificação, extração, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de autorização de acesso, intercalação ou interligação, limitação, supressão ou destruição;

d) «responsável pelo tratamento» ou «responsável»: a pessoa singular ou coletiva, autoridade pública, serviço ou outro organismo que, isoladamente ou em conjunto com outros, determine os fins e meios do tratamento; se a legislação da União ou dos Estados-Membros determinar os objetivos e os meios do tratamento, o responsável pelo tratamento ou os critérios específicos para a sua nomeação podem ser estabelecidos pelo direito da União ou dos Estados-Membros;

e) «encarregado do tratamento», a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que trata os dados pessoais por conta do responsável pelo tratamento;

f) «quebra de segurança» significa qualquer violação de segurança resultante da destruição acidental ou ilegal, perda ou alteração de dados pessoais transmitidos, armazenados ou processados ​​de outra forma, ou comunicação não autorizada ou acesso a tais dados;


3ª (Objeto)

1. Através deste contrato e nos termos da sua assinatura, o Responsável Pelo Tratamento capacita a Net Real Solutions como Encarregado pelo Tratamento de dados pessoais para fornecer o serviço especificado abaixo.

O tratamento consistirá única e exclusivamente na prestação de serviços de "envio de mensagens SMS, e-mail, notificações web e app e chamadas automáticas através da plataforma web, propriedade da NRS ou por integração com o servidor NRS".


4ª (Duração)

Este contrato entrará em vigor a partir da data da sua assinatura, por ambas as partes, e será válido durante a prestação do serviço, pelo Encarregado pelo Tratamento, objeto do contrato principal.

A obrigação de confidencialidade do encarregado será válida por dois anos após o término do serviço descrito no contrato principal.

Após o termo do presente contrato, o encarregado pelo tratamento deverá devolver os dados pessoais ao responsável e eliminar qualquer cópia que mantenha em sua posse. No entanto, poderá manter os dados bloqueados para cumprir com possíveis responsabilidades administrativas ou jurídicas.


5.ª (Obrigações do encarregado pelo tratamento)

O encarregado pelo tratamento e o todo o seu pessoal estão obrigados a:

a) Usar os dados pessoais aos quais têm acesso apenas para a finalidade objeto deste encargo. Em caso algum poderão utilizar os dados para fins próprios.

b) Tratar os dados de acordo com as instruções do responsável pelo tratamento.

Se o responsável pelo tratamento considerar que alguma das instruções viola o RGPD ou qualquer outra disposição sobre proteção de dados, o encarregado informará imediatamente o responsável.

c) Manter, por escrito, um registo de todas as categorias de atividades de tratamento realizadas em nome do responsável, que contenha:

    - O nome e as informações de contato do(s) encarregado(s) ​​e de cada responsável pelo qual o encarregado atua e, quando apropriado, o representante do responsável ou do encarregado e do delegado de proteção de dados.

    - As categorias de tratamentos realizadas em nome de cada parte responsável.

    - Se for caso disso, a transferência de dados pessoais para um país terceiro ou organização internacional, incluindo a identificação desse país terceiro ou organização internacional e, no caso das transferências indicadas no parágrafo 1 do artigo 49.º do RGPD, a documentação de garantias adequadas.

    - Uma descrição geral das medidas de segurança técnica e organizacional relacionadas com:

        i. A pseudonimização e a encriptação de dados pessoais.

        ii. A capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência permanente dos sistemas e serviços de tratamento.

        iii. A capacidade de restaurar a disponibilidade e o acesso a dados pessoais rapidamente, no caso de um incidente físico ou técnico.

        iv. O processo de verificação regular, avaliação e valoração da eficácia das medidas técnicas e organizacionais para garantir a segurança do tratamento.

d) Não comunicar os dados a terceiros, a menos que tenha a autorização expressa do responsável pelo tratamento, nos casos legalmente admissíveis.

O encarregado pode comunicar os dados a outras pessoas designadas pelo responsável, de acordo com as instruções do responsável. Nesse caso, o responsável identificará, com antecedência e por escrito, a entidade à qual os dados devem ser comunicados, os dados a serem comunicados e as medidas de segurança a serem aplicadas para prosseguir com a comunicação.

Se o responsável tiver de transferir os dados pessoais para um país terceiro ou para uma organização internacional, em virtude da legislação aplicável da União ou do Estado-Membro, informará previamente o responsável relativamente a essa exigência legal, a menos que tal Direito a proíba, por razões importantes de interesse público.

e) Não subcontratar nenhum dos serviços que fazem parte do objeto deste contrato que envolva o processamento de dados pessoais, exceto os serviços auxiliares necessários para o funcionamento normal dos serviços do responsável.

Se for necessário subcontratar qualquer tratamento, este fato deve ser previamente comunicado por escrito ao responsável, com um mês de antecedência, indicando os tratamentos a serem subcontratados e identificando clara e inequivocamente a empresa subcontratada e as suas informações de contato. A subcontratação pode ser realizada se o responsável não manifestar a sua oposição dentro do prazo estabelecido (um mês).

O subcontratado, que também terá o estatuto de encarregado pelo tratamento, também é obrigado a cumprir com as obrigações estabelecidas neste documento para o encarregado pelo tratamento e as instruções ditadas pelo responsável. O encarregado inicial é responsável por regular o novo relacionamento para que o novo encarregado esteja sujeito às mesmas condições (instruções, obrigações, medidas de segurança...) e com os mesmos requisitos formais que, em relação ao tratamento adequado de dados pessoais e a garantia dos direitos das pessoas afetadas. Em caso de incumprimento por parte do sub-encarregado, o encarregado inicial permanecerá totalmente responsável perante o responsável pelo cumprimento das obrigações.

f) Manter o dever de sigilo sobre os dados pessoais aos quais teve acesso em virtude do presente encargo, mesmo após o termo do contrato.

g) Garantir que as pessoas autorizadas a tratar dados pessoais se comprometam, expressamente e por escrito, a respeitar a confidencialidade e a cumprir com as medidas de segurança correspondentes, das quais devem ser informadas em conformidade.

h) Manter à disposição do responsável a documentação comprovando o cumprimento da obrigação estabelecida na seção anterior.

i) Garantir a formação necessária em termos de proteção de dados pessoais das pessoas autorizadas a processar dados pessoais.

j) Auxiliar o responsável pelo tratamento na resposta ao exercício dos direitos de:

    - Acesso, retificação, eliminação e oposição

    - Limitação de tratamento

    - Portabilidade dos dados

    - Não deve ser objeto de decisões individualizadas automatizadas (incluindo criação de perfis)

O encarregado pelo tratamento deve resolver, em nome do responsável, e dentro do prazo estabelecido, os pedidos de exercício dos direitos de acesso, retificação, supressão e oposição, limitação do tratamento, portabilidade dos dados e não estar sujeito a decisões individualizadas automatizadas, relativamente aos dados objeto do encarregado

k) É da responsabilidade do responsável fornecer o direito à informação no momento da recolha de dados.

l) Notificação de violações de segurança dos dados

O encarregado pelo tratamento notificará o responsável pelo tratamento, sem demora indevida, e em qualquer caso antes do prazo máximo de 72 horas, sobre as violações da segurança dos dados pessoais sob sua responsabilidade, juntamente com todas as informações relevantes para a documentação e comunicação do incidente.

A notificação não será necessária quando for improvável que tal quebra de segurança constitua um risco para os direitos e liberdades das pessoas singulares.

Serão fornecidas, no mínimo, as informações seguintes:

    - Descrição da natureza da violação da segurança dos dados pessoais, incluindo, quando possível, as categorias e o número aproximado de partes interessadas afetadas, as categorias e o número aproximado de registos de dados pessoais afetados.

    - O nome e as informações do delegado de proteção de dados ou de outro ponto de contato onde se poderão obter mais informações.

    - Descrição das possíveis consequências da violação da segurança dos dados pessoais.

    - Descrição das medidas adotadas ou propostas para remediar a violação da segurança dos dados pessoais, incluindo, se for caso disso, as medidas adotadas para mitigar os possíveis efeitos negativos.

Se não for possível fornecer as informações simultaneamente, e na medida em que tal não seja possível, as informações serão fornecidas gradualmente, sem atrasos indevidos.

m) Colocar à disposição do responsável todas as informações necessárias para demonstrar o cumprimento de suas obrigações, bem como para a realização de auditorias ou inspeções realizadas pelo responsável ou por outro auditor autorizado por este.

n) Implementar as medidas de segurança incluídas no ANEXO MEDIDAS DE SEGURANÇA.

o) Em qualquer caso, deverá implementar as medidas de segurança necessárias para:

    - Garantir a confidencialidade, integridade, disponibilidade e resiliência permanente dos sistemas e serviços de tratamento.

    - Restaurar a disponibilidade e o acesso a dados pessoais rapidamente, no caso de um incidente físico ou técnico.

    - Verificar, avaliar e valorar com regularidade, a eficácia das medidas técnicas e organizacionais implementadas para garantir a segurança do tratamento.

    - Pseudonomizar e encriptar dados pessoais, se aplicável.

p) Destino dos dados

Destruir os dados, assim que o serviço tenha sido concluído. Uma vez eliminados, o encarregado deve certificar a sua eliminação por escrito e entregar o certificado ao responsável pelo tratamento.

No entanto, o encarregado pode manter uma cópia, com os dados devidamente registados, desde que se possam derivar responsabilidades da execução da prestação


6.ª (Obrigações do Responsável pelo Tratamento)

É da responsabilidade do Responsável pelo Tratamento:

a) Enviar comunicações digitais através da plataforma web, propriedade da NRS, ou através da integração com servidores NRS, apenas para destinatários que prévia e explicitamente concederam a sua autorização para receber tais comunicações.

b) Entregar ao encarregado os dados referido na cláusula 3 deste documento, a fim de facilitar a prestação dos serviços a que se refere o contrato principal.

c) Efetuar uma avaliação do impacto, se necessário, sobre a proteção de dados pessoais das operações de tratamento a realizar pelo encarregado.

d) Realizar as consultas prévias correspondentes.

e) Garantir, antes e durante todo o tratamento, a conformidade com o RGPD por parte do encarregado.

f) Supervisionar o tratamento, incluindo a realização de inspeções e auditorias.


7.ª MEDIDAS DE SEGURANÇA)

MEDIDAS ORGANIZACIONAIS

INFORMAÇÕES QUE SERÃO CONHECIDAS POR TODO O PESSOAL COM ACESSO AOS DADOS PESSOAIS

Todo o pessoal com acesso a dados pessoais deverá estar ciente das suas obrigações relativamente ao processamento de dados pessoais e será informado sobre essas obrigações. A informação mínima que será conhecida por todos os funcionários será a seguinte:

    - DEVER DE CONFIDENCIALIDADE E SEGREDO

        - O acesso de pessoas não autorizadas a dados pessoais deverá ser evitado, pelo que deverá evitar: deixar os dados pessoais expostos a terceiros (ecrãs eletrónicos não monitorizados, documentos em papel em áreas de acesso público, suportes com dados pessoais, etc.), esta consideração inclui os ecrãs que são utilizados para a visualização de imagens do sistema de videovigilância. Quando está ausente do local de trabalho, o ecrã será bloqueado ou a sessão será encerrada.

        - Os documentos em papel e suportes eletrónicos serão armazenados em local seguro (armários ou salas de acesso restrito), 24 horas por dia.

        - Documentos ou suportes eletrónicos (cd, pen drives, discos rígidos, etc.) não serão descartados com dados pessoais sem garantir a sua destruição.

        - Não serão comunicados dados pessoais ou qualquer informação pessoal a terceiros e será dada atenção especial em não divulgar dados pessoais protegidos durante consultas telefónicas, e-mails, etc.

        - O dever de sigilo e confidencialidade persiste mesmo quando termina a relação de trabalho do trabalhador com a empresa.

    - DIREITOS DOS TITULARES DE DADOS

Todos os trabalhadores serão informados sobre o procedimento para abordar os direitos das partes interessadas, definindo claramente os mecanismos pelos quais os direitos podem ser exercidos (meios eletrónicos, referência ao Delegado de Proteção de Dados, se houver um, endereço postal, etc.) tendo em conta o seguinte:

    - Após a apresentação do seu documento nacional de identidade ou passaporte, os titulares de dados pessoais (interessados) podem exercer os seus direitos de acesso, retificação, supressão, oposição e portabilidade. O responsável pelo tratamento deve responder às partes interessadas sem demora indevida.

Para o direito de acesso, as partes interessadas receberão uma lista dos dados pessoais disponíveis, juntamente com a finalidade para a qual foram recolhidos, a identidade dos destinatários dos dados, os períodos de conservação e a identidade do responsável, que pode solicitar a eliminação, retificação e oposição ao processamento dos dados.

Para o direito de retificação, os dados das partes interessadas imprecisos ou incompletos deverão ser modificados de acordo com a finalidade do tratamento.

Para o direito de supressão, os dados das partes interessadas serão eliminados quando os interessados ​​expressarem a sua recusa ou oposição ao consentimento para o tratamento dos seus dados e não houver dever legal que os impeça.

Para o direito de portabilidade, as partes interessadas devem comunicar a sua decisão e informar o responsável, conforme o caso, sobre a identidade do novo responsável a quem fornecem os seus dados pessoais.

O responsável pelo tratamento deve informar todas as pessoas com acesso aos dados pessoais sobre os termos de conformidade cumprir com os direitos das partes interessadas, a forma e procedimento em que se cumprem esses direitos.

    - VIOLAÇÕES DE SEGURANÇA DE DADOS PESSOAIS

        - No caso de violações de segurança de DADOS PESSOAIS, como, por exemplo, roubo ou acesso indevido a dados pessoais, a Agência Espanhola de Proteção de Dados será notificada dentro de 72 horas das violações de segurança, incluindo as informações necessárias para o esclarecimento dos fatos que teriam dado origem ao acesso indevido a dados pessoais. A notificação será feita por meio eletrónico, através da sede eletrónica da Agência Espanhola de Proteção de Dados, no endereço: https://sedeagpd.gob.es


MEDIDAS TÉCNICAS

IDENTIFICAÇÃO

    - Quando o mesmo computador ou dispositivo é usado para o processamento de dados pessoais e fins pessoais, recomenda-se ter vários perfis ou utilizadores diferentes para cada um dos propósitos. Os usos profissionais e pessoais do computador devem ser mantidos separados.

    - É recomendável ter perfis com direitos de administração para a instalação e configuração do sistema e utilizadores sem privilégios ou direitos administrativos para acesso a dados pessoais. Essa medida impedirá privilégios de acesso ou modificará o sistema operativo em caso de ataque de segurança cibernética.

    - A existência de palavras-passe para o acesso a dados pessoais armazenados em sistemas eletrónicos será garantida. A palavra-passe terá, pelo menos, 8 caracteres, uma mistura de números e letras.

    - Quando os dados pessoais são acedidos ​​por pessoas diferentes, para cada pessoa com acesso a dados pessoais, estarão disponíveis um nome de utilizador e palavra-passe específicos (identificação inequívoca).

    - A confidencialidade das palavras-passe deve ser garantida, evitando que sejam expostas a terceiros. As palavras-passe não serão partilhadas, em caso algum, anotadas em lugar comum e acedidas por pessoas que não sejam o utilizador.

DEVER DE SALVAGUARDA

Em seguida, expõem-se as medidas técnicas mínimas para garantir a salvaguarda dos dados pessoais:

    - ATUALIZAÇÃO DE COMPUTADORES E DISPOSITIVOS: Os dispositivos e computadores utilizados para o armazenamento e processamento dos dados pessoais devem manter-se atualizados na medida do possível.

    - MALWARE: Em computadores e dispositivos onde o processamento de dados pessoais é automatizado, estará disponível um sistema antivírus para garantir o roubo e a destruição de informações pessoais e dados, tanto quanto possível. O sistema antivírus deve ser atualizado periodicamente.

    - FIREWALL: Para evitar o acesso remoto indevido a dados pessoais, serão tomadas as devidas medidas para assegurar a existência de um firewall ativado nos computadores e dispositivos em que o armazenamento e/ou processamento de dados pessoais seja efetuado.

    - ENCRIPTAÇÃO DE DADOS: Quando for necessário realizar a extração de dados pessoais fora do local onde estes são processados, seja por meios físicos ou por meios eletrónicos, deve avaliar-se a possibilidade de utilizar um método de encriptação para garantir a confidencialidade dos dados pessoais, em caso de acesso indevido à informação.

    - CÓPIA DE SEGURANÇA: Periodicamente, será efetuada uma cópia de segurança num segundo suporte distinto do utilizado para o trabalho diário. A cópia será armazenada em local seguro, diferente daquele em que o computador está localizado com os ficheiros originais, a fim de permitir a recuperação dos dados pessoais, em caso de perda de informação.

As medidas de segurança serão revistas periodicamente, sendo esta revisão efetuada por mecanismos automáticos (software ou programas de computador) ou manualmente. Considere que qualquer incidente de segurança de computador que tenha acontecido com algum conhecido possa ocorrer consigo e previna-se contra o mesmo.