1. DAS PREMISSAS PARA A LGPD:
   1. As operações de tratamento de dados pessoais sujeitam-se à Lei Geral de Proteção de Dados (Lei nº 13.709/18), a saber: (a) quando a operação de tratamento for realizada no Brasil; (b) quando a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil, ou (c) quando os dados pessoais, objeto do tratamento, tenham sido coletados no Brasil.
   2. Nos termos da Lei 13.709/2018 (LGPD) a KEYCONSULTAS SISTEMAS como CONTRATADA para prestar serviços tem o papel de OPERADORA, e a empresa CONTRATANTE o papel de CONTROLADORA, ambas referenciadas também como AS PARTES de um CONTRATO DE SERVIÇOS previamente estabelecido, sendo que cada uma é responsável por obrigações definidas pela LGPD de forma individual e compartilhada no contexto da prestação dos serviços de uma a outra.
   3. A OPERADORA garante para os devidos fins que não faz tratamento de dados considerados “dados pessoais sensíveis” de usuários e/ou Titulares parceiros da CONTRATANTE, e que todos os dados processados e transitados em seus Sistemas são devidamente protegidos do acesso externo não autorizado por meio de melhores práticas aplicadas na segurança da informação, como uso de senhas complexas para acesso autorizado de usuários, com registro de acessos realizados, criptografia de bancos de dados, e, adicionalmente, armazenamento de evidências de consultas cadastrais públicas em banco de dados não estrutural.
   4. A OPERADORA quando responsável pelo tratamento eventual de “dados pessoais” de usuários e parceiros de negócio da CONTROLADORA tem responsabilidade limitada em relação à Lei 13.709/2018 (LGPD), na medida em que ela não processa nem armazena “dados pessoais sensíveis” de qualquer Titular, uma vez que o serviço decorrente do CONTRATO é de automação de consultas cadastrais realizadas sobre sítios públicos mantidos por órgãos governamentais oficiais, responsáveis pelo cadastro fiscal de pessoas físicas e jurídicas, cujo acesso é público pela internet a partir do fornecimento de chaves de consulta informadas pela CONTRATANTE, por ela obtidas de forma legítima e autorizada.
   5. No contexto dos serviços prestados e pelo perfil das empresas contratantes, os dados processados pelos sistemas KEYCONSULTAS são prioritariamente de pessoas jurídicas, todos disponíveis publicamente na web em sítios mantidos por órgãos governamentais. Quando ocorre o processamento de dados de pessoas físicas, tais dados limitam-se a buscar informações fornecidas publicamente à partir da identificação do número do Cadastro da Pessoa Fisica – CPF, este concedido pelo Titular à contratante espontaneamente, justificado pelo seu interesse pessoal em determinada relação comercial ou de serviços.
2. DAS RESPONSABILIDADES GERAIS DERIVADAS DA LGPD
   1. A partir da relação contratual de prestação de serviços a OPERADORA e a CONTROLADORA se comprometem mutuamente ao cumprimento de suas obrigações perante a LGPD, devendo adequar suas práticas às premissas da referida Lei, a fim de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
   2. Considerar-se-ão como “Dados Pessoais” quaisquer dados que possam ser classificados como dados de caráter pessoal segundo o art. 5º da Lei Geral de Proteção de Dados, ou seja, todos àqueles que sejam relacionados a pessoa natural identificada ou identificável, os quais incluem: registros de documentos pessoais, nome completo, data de nascimento, endereços, contatos telefônicos, endereços eletrônicos, gênero, filiação, estado civil, naturalidade, nacionalidade, passaporte, currículo profissional, profissão, formação profissional, renda, carteira e contas bancárias. São considerados “Dados Pessoais Sensíveis”, nos termos da LGPD: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
   3. A CONTROLADORA utilizará os eventuais dados pessoais tratados a partir dos serviços prestados pela OPERADORA para propósitos legítimos, específicos, explícitos e informados ao Titular com quem manterá relação de negócios, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, e garantirá a compatibilidade do tratamento destes dados com as finalidades informadas ao Titular, de acordo com o contexto da relação comercial com cada parte, respeitando os casos de manifestada objeção pelo Titular.
   4. A CONTROLADORA é a responsável principal pela composição de dados que definem o registro cadastral em seus sistemas, e quando se tratar de pessoas físicas garantirá aos Titulares a consulta facilitada e gratuita sobre a forma e a duração do tratamento que fará sobre os dados pessoais fornecidos por eles, bem como sobre a qualidade e integralidade destes dados;
   5. A CONTROLADORA garantirá aos Titulares informações claras, precisas e acessíveis sobre a realização do tratamento de seus dados, incluindo-se, quando solicitado, os respectivos agentes no fluxo deste tratamento, observados os segredos comercial e industrial exigido em seus contratos;
   6. A OPERADORA e a CONTROLADORA utilizarão medidas técnicas e administrativas aptas a proteger os dados pessoais que forem eventualmente processados em suas plataformas de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão indevida e não autorizada.
   7. A OPERADORA adotará todas as medidas aplicáveis para prevenir a ocorrência de danos em virtude do tratamento de eventuais dados pessoais, quando houver, considerados os limites de sua responsabilidade no fluxo de tratamento dos dados, e em hipótese alguma realizará o tratamento para fins discriminatórios, ilícitos ou abusivos.
   8. A OPERADORA se compromete com a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas, assim como a CONTROLADORA.
   9. As PARTES declaram e garantem ter ciência de que o tratamento de dados pessoais não poderá acarretar prejuízos à imagem, à segurança ou à integridade do Titular e declaram ter ciência de que a defesa dos interesses e direitos do Titular poderá ser exercida em juízo, individualmente ou coletivamente, conforme disposto nos artigos 21 e 22 da LGPD.
   10. As PARTES devem garantir que os seus profissionais envolvidos com o tratamento de dados pessoais no âmbito do presente CONTRATO se comprometam com a devida confidencialidade dos dados, considerando-se ainda o alcance de cada PARTE sobre o conjunto de dados que cada uma processará em seus sistemas, conforme segue:
       1. A CONTROLADORA é quem determina qual a categoria de dados a serem coletados do Titular, quais destes dados serão tratados e qual OPERADORA fará tal tratamento, qual a finalidade deste tratamento, e qual o período de retenção destes dados, dentre outras questões relacionadas diretamente com o tratamento dos dados para atender a finalidade de sua relação de negócios com o Titular.
       2. A CONTROLADORA é a parte responsável pela composição de dados que definem o registro cadastral completo do Titular em seus sistemas, o que poderá incluir, conforme a finalidade do cadastro, tanto dados considerados sensíveis como dados considerados não sensíveis nos termos da Lei 13.709/2018 (LGPD), incluindo-se dados que podem ser obtidos de outro OPERADOR.
       3. A OPERADORA, só processará parte dos dados pessoais conforme solicitado pela CONTRATANTE em suas requisições aos serviços, o quê, pelo escopo do CONTRATO PROCESSAMENTO DE DADOS entre as PARTES, não serão dados pessoais sensíveis. Na eventual hipótese de ser informado o endereço completo do Titular como necessário ao tratamento solicitado, tal dado será processado pela OPERADORA com observância exigida pela Lei 13.709/2018, sendo descartado ao final da entrega do serviço logo após o prazo estimado para sua retenção.
       4. É vedado à CONTROLADORA, nos termos do CONTRATO DE SERVIÇOS, fornecer à OPERADORA dados considerados sensíveis nos termos da Lei 13.709/2018 quando o processamento destes dados não fizer parte do escopo do CONTRATO, o que, uma vez identificado pela OPERADORA, esta providenciará o seu imediato descarte, apagando-os de seus sistemas em definitivo.
       5. Nos casos em que o serviço prestado levar a OPERADORA a ter acesso a dados pessoais considerados sensíveis, esta garantirá que estes dados serão usados exclusivamente para atender ao escopo legítimo e restrito do serviço em tempo de processamento, e que não fará uso de tais dados fora deste contexto.
       6. As PARTES limitarão o tratamento dos dados ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento destes dados;
   11. Os dados pessoais eventualmente tratados na prestação de serviços, se e quando processados pela OPERADORA, serão guardados estritamente pelo tempo necessário para o cumprimento do objeto do CONTRATO, e, logo após o término deste CONTRATO por qualquer motivo, os tais dados pessoais serão destruídos, salvo aqueles dados que for necessário manter para cumprimento de eventual obrigação legal, na forma do art. 16, inc. I da Lei Geral de Proteção de Dados.
3. DO CONTRATO DE SERVIÇOS
   1. A partir do CONTRATO DE SERVIÇOS, AS PARTES se comprometem com os ajustes de flexibilização da Resolução ANPD N° 2 de 27 de janeiro de 2022 que regulamenta a aplicação da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte, e concordam que os ajustes de flexibilização de obrigações decorrentes desta resolução, assim como de futuras resoluções da ANPD para o mesmo fim prevalecerão sobre as condições de qualquer CONTRATO DE SERVIÇOS no ato de cada publicação da ANPD.
   2. A CONTRATANTE se obriga ao devido cuidado com a utilização do “Token” alfanumérico de acesso aos serviços, criado exclusivamente para atender ao CONTRATO, tratando-o como informação sigilosa, assim como para uma credencial de acesso de usuário e sua senha exclusiva, garantindo que o acesso à informação deste “Token” seja restrito e limitado aos agentes responsáveis pela integração de Sistemas da CONTRATANTE, pessoal de sua exclusiva responsabilidade e confiança, devendo solicitar a troca do valor do “Token” à CONTRATADA caso haja qualquer indício de vazamento da informação, risco, ou evidência de uso não autorizado por terceiros. O mesmo cuidado deve ser mantido com relação à credenciais de acesso exclusivo de usuários aos Sistemas da CONTRATADA, e suas senhas.
   3. A CONTRATANTE se obriga ainda, nas requisições aos serviços da CONTRATADA via webservice, assim como no acesso autorizado aos seus Sistemas, a utilizar o protocolo “https” que utiliza certificado de segurança SSL (Secure Socket Layer) para criptografar a comunicação entre sistemas na internet, protegendo assim os dados que trafegam na rede pública.
   4. Quando o serviço da CONTRATADA for integrado ao sistema de autenticação unificado de usuário pela rede da CONTRATANTE via método conhecido como SSO (single sign ON), é responsabilidade exclusiva da CONTRATANTE a gestão do credenciamento de usuários e suas permissões, assim como seu descredenciamento e registro de acessos, como processo necessário à proteção de dados, entre outras ações necessárias.
   5. A CONTRATADA garante que os dados processados por seus Sistemas não sofrerão alteração em relação ao valor textual do conteúdo obtido junto às fontes oficiais de consultas públicas cadastrais, exceto pelo tratamento de padronização de formato dos dados em alguns campos essenciais para fim de carga na base de dados dos sistemas da CONTRATANTE, o que inclui a eliminação de espaços em branco à esquerda e à direita do texto útil, eliminação de espaços duplos, substituição ou eliminação de caracteres especiais, uso de letras maiúsculas e sem acentuação, e substituição do “cedilha” (Ç) pela letra “C”, tratamento este que é dado exclusivamente aos dados de endereço e razão social/nome da ficha obtida para o registro cadastral consultado em determinada fonte oficial da informação pretendida.
   6. Ao contratar os serviços de processamento de dados e informações cadastrais por meio de automação de consultas públicas em sites disponíveis na internet, e mantidos por órgãos governamentais oficiais, a CONTRATANTE declara que concorda com os termos e condições previamente estabelecidos neste documento que visa esclarecer o papel de cada PARTE e sua responsabilidade perante as obrigações definidas na LGPD.

REVISÃO DE OUT/2024.