Última atualização: 02 de maio de 2024
O presente Acordo de Tratamento de Dados Pessoais ou Data Processing Agreement ("DPA") é parte integrante e indissociável do Acordo de Confidencialidade ou Non Disclosure Agreement ("NDA") celebrado entre as Partes nele descritas e visa prever as obrigações e responsabilidades no que se refere ao tratamento de dados pessoais realizado para fins de execução de análises para Prova de Valor (“PoV”).
1.1. Termos e expressões em maiusculo utilizados neste DPA, aplicáveis no singular e/ou no plural, deverão ser interpretados de acordo com as definições abaixo ou o que previsto na respectiva cláusula.
1.1.1. Análise de PoV: Trata-se das análises gerais e avaliações de risco realizadas com relação aos Dados dos Usuários do Cliente. Essas análises visam demonstrar cenários e suportar a prova de valor da Solução Incognia.
1.1.2. Dados Pessoais: qualquer informação relacionada à pessoa natural identificada (Dados Pessoais de Identificação Direta) ou identificável (Dados Pessoais de Identificação Indireta). Para fins deste DPA, refere-se aos Dados Pessoais dos Titulares. As menções a “Dados” devem ser interpretadas como Dados Pessoais.
1.1.3. Dashboard: Trata-se da funcionalidade da Plataforma Incognia por meio da qual o Cliente pode enviar e receber arquivos relacionados às análises de PoVo, bem como acompanhar métricas de integração de SDK.
1.1.4. Dispositivo: Trata-se do aparelho de comunicação móvel (telefone celular, smartphone etc) ou computador utilizado pelo Usuário do Cliente, conforme aplicável.
1.1.5. Documentação Técnica: Trata-se das instruções, detalhamento e especificações técnicas da tecnologia da Incognia consolidadas na Plataforma Incognia.
1.1.6. Efeito de rede: prática do mercado antifraude consistente na consolidação estratégica de dados em um repositório comum com o objetivo de aprimorar e otimizar Análises de PoV. O conhecimento coletivo extraído do Efeito de Rede visa melhorar a eficácia e a precisão das Análises de PoV sem que qualquer dado seja, de nenhuma forma, compartilhado entre clientes ou terceiros.
1.1.7. Incidente de Segurança: toda e qualquer situação, acidental ou intencional, ilícita, que provoque, em relação aos Dados Pessoais: (i) a destruição; (ii) a perda; (iii) a alteração; (iv) a comunicação ou difusão; ou (v) o acesso a terceiros não autorizados.
1.1.8. Plataforma do Cliente: Trata-se do aplicativo desenvolvido pelo Cliente a ser instalado pelo Usuário do Cliente em um Dispositivo móvel (o “Aplicativo”) ou o website do Cliente pelo qual seus Usuários acessam seus produtos e serviços (“Website”), o que aplicável de acordo com a Solução.
1.1.9. Plataforma Incognia: Trata-se do conjunto de aplicações da Incognia hospedadas na web, por meio do qual é disponibilizado ao Cliente, entre outros, o acesso ao Dashboard da Incognia e Documentação Técnica.
1.1.10. Prova de Valor (PoV): Trata-se de uma demonstração prática da Solução Incognia através da qual Dados reais de Usuários do Cliente são coletados e analisados pela Incognia para apresentação de possíveis resultados que seriam alcançados caso a Solução fosse contratada pelo Cliente. Envolve investigação de cenários e casos de uso aplicáveis à Plataforma do Cliente.
1.1.11. Software Development Kit (SDK): Trata-se do conjunto de ferramentas de desenvolvimento de software, incluindo programas de computador, ad tags e/ou bases de propriedade da Incognia.
1.1.12. Solução: Trata-se do caso de uso aplicável à Plataforma do Cliente. Refere-se à finalidade de uso da tecnologia da Incognia e suas respectivas funcionalidades para que sejam providas análises para identificação de riscos de fraude em contextos específicos identificados durante a PoV.
1.1.13. Titular: pessoa física a quem se referem os Dados Pessoais. Para fins deste DPA, o Titular é o Usuário da Plataforma do Cliente.
1.1.14. Usuário do Cliente: Trata-se da pessoa física que utiliza a Plataforma do Cliente, seja por meio do Aplicativo instalado em seu Dispositivo ou do acesso ao Website do Cliente.
1.2. Os termos “agente de tratamento”, “controlador”, “dados pessoais sensíveis”, “eliminação”, “operador”, “transferência internacional” e “tratamento” deverão ser interpretados conforme definições dos incisos do artigo 5º da LGPD.
2.1. Este DPA é aplicável ao tratamento dos Dados Pessoais realizado pela Incognia enquanto durar a execução da PoV.
2.2. Durante o tratamento dos Dados, o Cliente atuará no papel de controlador e a Incognia atuará como operadora.
2.3. O tratamento dos Dados Pessoais a ser realizado pela Incognia em nome do Cliente tem por finalidade principal implementar testes relacionados à PoV consistentes na análise dos Dados coletados e apresentação de resultados de risco e estatísticas de comportamentos suspeitos identificados de modo a demonstrar o potencial da Solução Incognia quando implementada em produção.
2.4. As Partes cumprirão todas as leis e regulamentos de proteção de dados pessoais aplicáveis e vigentes no Brasil na data de assinatura deste DPA ou que entrem em vigor durante sua vigência, incluindo, mas não se limitando à LGPD, bem como todas as regulamentações, orientações e diretrizes publicadas pela Autoridade Nacional de Proteção de Dados (“ANPD”).
3.1. Os Dados Pessoais objeto deste DPA serão coletados pela Incognia, em nome do Cliente, através da integração de SDK à Plataforma do Cliente, bem como através de interações via Dashboard Incognia.
3.2. Para execução da PoV e consequente realização de testes e demonstrações, a Incognia coletará as seguintes categorias de Dados Pessoais dos Titulares, de acordo com a Plataforma do Cliente aplicável e conforme a Solução objeto da PoV:
|
Plataforma do Cliente - Aplicativo |
|
|
Categoria |
Dados Pessoais coletados através do SDK |
|
Localização |
Informações de localização como GPS, sinais de wi-fi e sinais de bluetooth. |
|
Identificadores |
Informações que visam identificar o Dispositivo de forma única. Refere-se aos IDs. |
|
Dispositivo |
Informações relacionadas ao aparelho telefônico, dados do sistema operacional, aplicações suspeitas instaladas, versão do sistema operacional, modelo e demais informações que visam identificar unicamente o Dispositivo e seus níveis de integridade. |
|
Aplicativo |
Informações relacionadas ao uso do aplicativo, tais como sessão do app, dados sobre a instalação e informações que permitem avaliar fatores de integridade. |
|
Plataforma do Cliente - Website |
|
|
Categoria |
Dados Pessoais coletados através do SDK |
|
Localização |
Informação de localização com base em GPS. |
|
Identificadores |
Informações de ID, tais como account ID e session ID. |
|
Dispositivo |
Informações relacionadas ao Dispositivo utilizado na navegação, tais como dados do sistema operacional, conectividade, hardware e níveis de integridade. |
|
Navegador e rede |
Informações relacionadas a rede e ao navegador em que o site está aberto, tais como configurações do navegador, permissões, plugins, informações de conectividade e idioma. |
3.3. O Cliente poderá compartilhar Dados Pessoais, informações, arquivos e documentos com a Incognia por meio da Dashboard, para fins de análises e testes, bem como para aprimoramentos e personalizações das demonstrações de resultados e Análises de PoV.
3.3.1. Os resultados das Análises de PoV serão apresentados ao Cliente em reuniões previamente agendadas e suportadas por materiais de apresentação com informações sobre os principais resultados e estatísticas.
3.3.2. A Análise de PoV detalhada poderá ser disponibilizada ao Cliente para download via acesso à Dashboard.
3.4. O Cliente não deverá compartilhar com a Incognia, via Dashboard, SDK ou quaisquer outros meios, arquivos ou documentos que contenham Dados Pessoais sensíveis, Dados Pessoais de Identificação Direta de Titulares (como endereço de e-mail e CPF não hasheados) ou Dados que não sejam necessários para a PoV.
3.4.1. Caso haja envio de tais Dados Pessoais por parte do Cliente, este será exclusivamente responsável por quaisquer danos e descumprimentos legais ocasionados em razão do compartilhamento indevido de Dados Pessoais, independentemente das medidas a serem adotadas pela Incognia para eliminação de tais Dados.
3.4.2. A responsabilidade imposta na cláusula anterior também se aplica caso o Cliente envie à Incognia Dados Pessoais de Titulares através de plataformas não autorizadas, como e-mail.
3.5. O tratamento dos Dados Pessoais para elaboração dos resultados da PoV considera o Efeito de Rede, bem como fórmulas e heurísticas criadas a partir da expertise da Incognia, as quais estão sujeitas às modelagens e métricas a serem definidas pelo Cliente, quando da contratação dos serviços, respeitados os limites técnicos e jurídicos.
3.6. Os resultados das Análises de PoV a serem apresentados pela Incognia ao Cliente durante o período de PoV visam única e exclusivamente demonstrar o valor dos serviços da Incognia, bem como identificar casos de uso. Esta PoV não visa fornecer ao Cliente subsídios para tomada de decisões que impactem o Titular, sendo certo que quaisquer decisões a serem adotadas pelo Cliente decorrentes dos resultados das Análises de PoV e que impactem o Titular serão de sua única e exclusiva responsabilidade.
3.6.1. A Análise de PoV da Incognia é um modelo estatístico baseado em fórmulas matemáticas e heurísticas criadas pela Incognia sujeita às modelagens e métricas serem definidas pelo Cliente quando da efetiva contratação dos serviços, logo, correspondem apenas a uma probabilidade de risco para demonstração de viabilidade e eficiência da Solução no caso de uso específico do Cliente. A Incognia tomou as medidas comercialmente razoáveis para evitar bugs, falhas ou defeitos em sua tecnologia, incluindo, mas não se limitando ao SDK. No entanto, o Cliente está ciente da impossibilidade de hardwares e/ou sistemas informáticos estarem totalmente livres de erros, bugs ou defeitos, de maneira que a Incognia não garante que a demonstração da Solução será livre de erros.
3.7. Os Dados Pessoais coletados pela Incognia durante a PoV poderão ser utilizados para aprimoramento dos algoritmos da tecnologia Incognia, a fim de gerar Análises de PoV mais seguras e assertivas para o Cliente.
3.8. Os Dados Pessoais coletados pela Incognia não serão compartilhados com o Cliente ou com quaisquer terceiros não autorizados, sendo criptografados e tratados exclusivamente pela Incognia para atingir as finalidades determinadas pelo Cliente, conforme disposições deste DPA.
4.1. A Incognia realizará o tratamento dos Dados Pessoais conforme determinações e finalidades definidas pelo Cliente e dispostas neste DPA, limitando-se a adotar apenas decisões relacionadas à sua expertise e necessárias ao desenvolvimento da PoV.
4.2. A Incognia se compromete a tomar medidas razoáveis para restringir o acesso aos Dados Pessoais a seus profissionais que necessitam realizar o tratamento para fins de execução da PoV, garantindo que esses colaboradores firmaram compromisso e estão sujeitos a obrigações profissionais ou estatutárias de confidencialidade.
4.3. A Incognia assume o compromisso de implementar medidas de segurança, técnicas e administrativas aptas a proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
4.4. Observados os limites técnicos, jurídicos e contratuais aplicáveis, a Incognia prestará auxílio ao Cliente no fornecimento de informações que tiverem exclusiva relação com o tratamento de Dados Pessoais objeto deste DPA e forem necessárias para atendimento das legislações aplicáveis sobre proteção de dados.
5.1. Cabe exclusivamente ao Cliente realizar a integração do SDK de acordo com a Documentação Técnica. O Cliente está ciente e concorda que as referidas integrações e atualizações são necessárias à profícua execução da PoV e correto tratamento dos Dados Pessoais dela decorrentes.
5.2. O Cliente se compromete a agir com transparência perante os Titulares e disponibilizar em suas políticas e/ou avisos de privacidade informações sobre o tratamento de Dados Pessoais por parte de prestadores de serviços para fins de operacionalização de suas atividades de prevenção à fraude.
5.3. O Cliente é responsável pela disponibilização de textos de permissões de localização transparentes e adequados ao perfil do Titular, a serem disponibilizados em momentos propícios de sua jornada no Aplicativo do Cliente.
5.4. O Cliente garante que possui todos os direitos, permissões e bases legais exigidos pela lei aplicável para compartilhar com a Incognia os Dados Pessoais a serem tratados nos termos previstos neste DPA.
5.5. O Cliente deverá se limitar a fornecer à Incognia apenas instruções lícitas sobre o tratamento dos Dados Pessoais e verificará a observância de suas próprias instruções e das normas sobre a matéria.
6.1. O Cliente é exclusivamente responsável pelo atendimento de solicitações de Titulares, incluindo requisições de direitos, e de terceiros, inclusive autoridades competentes, envolvendo Dados Pessoais objeto da presente relação ou questionamentos acerca da aplicação da tecnologia da Incognia em suas atividades.
6.1.1. A Incognia se compromete a auxiliar o Cliente na realização de atos que se mostrem necessários para o atendimento de solicitações, observados os limites técnicos, jurídicos e contratuais aplicáveis. Para tanto, o Cliente deve notificar a Incognia para informar quais diretrizes e procedimentos deverão ser por ela adotados para auxílio no atendimento às solicitações. A Incognia se compromete a endereçar esforços que visam atender as diretrizes e procedimentos indicados pelo Cliente em até 15 (quinze) dias.
6.1.2. A Incognia deverá agir conforme orientações lícitas recebidas do Cliente e de acordo com as disposições da LGPD, resguardados os segredos de negócio e observados os limites técnicos, jurídicos e contratuais aplicáveis.
6.2. Caso a Incognia receba solicitações de Titulares e ou terceiros expressamente direcionadas ao Cliente que envolvam Dados Pessoais dos Titulares, se compromete a notificar o Cliente no prazo de 48 (quarenta e oito) horas para adoção das medidas necessárias, bem como auxiliá-lo, nos termos da cláusula 6.1.1 deste DPA.
7.1. Na hipótese de ocorrência de Incidentes de Segurança envolvendo Dados Pessoais dos Titulares, a Incognia notificará o Cliente, sem demora injustificada, para que este possa adotar as medidas necessárias para cumprimento das legislações aplicáveis, em especial, a Resolução CD/ANPD nº 15, fornecendo-lhe ao menos as informações descritas no artigo 48, §1º da LGPD e artigo 6º de referida Resolução, bem como eventuais outras informações aquelasa serem solicitadas pela ANPD.
7.2. Observados os limites técnicos, jurídicos e contratuais aplicáveis, a Incognia cooperará com o Cliente e tomará medidas razoáveis para auxiliar na investigação, mitigação e correção do incidente.
8.1. Os Dados Pessoais tratados pela Incognia serão armazenados em cloud computing através do servidor em nuvem contratado exclusivamente para esse fim, Amazon Web Services, o qual firmou compromisso com a Incognia estabelecendo a proteção dos Dados Pessoais e a adoção de medidas para garantia do tratamento adequado dos Dados Pessoais com disposições não menos rigorosas que as constantes neste DPA.
8.2. Com exceção do item anterior, a Incognia não compartilhará quaisquer Dados Pessoais com outros suboperadores, fornecedores ou terceiros sem prévia e expressa autorização do Cliente.
9.1. Os Dados coletados pela Incognia, descritos na cláusula 3.2, serão automaticamente eliminados dentro do período máximo de até 6 (seis) meses, contados da coleta.
9.2. Quando do término da PoV, caso o Cliente decida não prosseguir com a contratação da Incognia dentro do período posterior previamente ajustado entre as Partes, o Cliente deverá remover o SDK da Plataforma do Cliente e comprometer-se por seus Usuários usarem versões atualizadas da Plataforma do Cliente - sem o SDK da Incognia - sob pena de arcar com a responsabilidade decorrente da manutenção da coleta residual de Dados.
9.3. A eliminação de Dados deverá ser realizada de forma segura e observar eventuais limites jurídicos, contratuais e técnicos aplicáveis.
9.4. Os Dados Pessoais necessários para fins de exercício regular de direitos, cumprimento de obrigações contratuais, legais e/ou regulatórias e atendimento de auditorias somente poderão ser mantidos pela Incognia no limite do estritamente necessário para atingir tais finalidades e de acordo com as disposições legais aplicáveis.
10.1. A Incognia se compromete a, quando solicitada e desde que respeitados o segredo de negócio, a propriedade intelectual e obrigações de confidencialidade da Incognia perante terceiros, disponibilizar ao Cliente todas as informações necessárias para demonstrar conformidade com este DPA e com as legislações aplicáveis.
10.1.1. A Incognia, mediante notificação prévia de 30 (trinta) dias úteis, deve permitir e contribuir com eventuais avaliações a serem realizadas pelo Cliente para confirmar que a Incognia está agindo em conformidade com este DPA.
11.1. Para fins de execução da PoV, a Incognia realizará transferência internacional dos Dados Pessoais aos Estados Unidos da América para fins de armazenamento e processamento em servidor de nuvem (cloud computing) local, conforme descrito na cláusula 8.1 deste DPA. A transferência será realizada de acordo com os mecanismos de transferência previstos na LGPD e/ou de acordo com orientações/regulamentações da ANPD, quando existentes.
12.1. A Incognia responderá solidariamente com o Cliente por eventuais danos causados pelo tratamento de Dados Pessoais quando descumprir as obrigações da legislação de proteção de dados pessoais aplicável ou quando não seguir as instruções lícitas do Cliente, hipótese em que a Incognia equiparar-se-á à figura do controlador.
12.1.1. A Incognia obriga-se a assumir de imediato a responsabilidade pelas obrigações exigidas em eventuais processos judiciais ou administrativos, isentando e indenizando o Cliente por qualquer responsabilidade e/ou Perdas determinadas em referidos processos, inclusos honorários sucumbenciais.
12.2. Caso o Cliente forneça à Incognia instruções ilícitas de tratamento ou compartilhe Dados Pessoais ou autorize sua coleta pela Incognia em desacordo com a Lei aplicável ou às disposições deste DPA, o Cliente assume a responsabilidade por quaisquer danos decorrentes e obriga-se a assumir de imediato a responsabilidade pelas obrigações exigidas em eventuais processos judiciais ou administrativos, isentando e indenizando a Incognia por qualquer responsabilidade e/ou perdas determinadas em referidos processos, inclusos honorários sucumbenciais.
12.3. Caso qualquer das Partes seja demandada por qualquer pessoa física ou jurídica, incluindo autoridades públicas ou entidades privadas, em razão de tratamento de Dados Pessoais exclusivamente atribuível à outra Parte, a Parte inocente poderá exercer direito de denunciação da lide, nos termos do artigo 125, II do Código de Processo Civil, sem prejuízo do ressarcimento de quaisquer despesas judiciais ou extrajudiciais, incluindo multas administrativas.
13.1. Todos os avisos, notificações, solicitações e comunicações em geral relacionadas a este DPA deverão ser realizados por escrito e entregues preferencialmente por e-mail ou por carta registrada, ambos com aviso de recebimento e direcionados aos Encarregados de Proteção de Dados das Partes.
13.2. As comunicações serão consideradas entregues na data do envio do e-mail ou na data do protocolo do aviso de recebimento, quando via carta registrada.
13.3. As Partes se comprometem a informar e manter a outra Parte atualizada quanto ao nome e dados de contato de seus Encarregados (as) de Proteção de Dados.
14.1. Este DPA terá validade enquanto ocorrer o tratamento dos Dados objeto deste DPA.
14.2. Quaisquer alterações a este DPA deverão ser realizadas por escrito e aprovadas pelas Partes, observadas as disposições da cláusula 13.
14.3. Caso a ANPD publique qualquer orientação, regulamentação ou interpretação que seja contrária às disposições deste DPA ou de qualquer forma tornem inviável ou ilícito o tratamento dos Dados Pessoais da forma como disciplinado neste DPA, deverão as Partes entrarem em consenso para ajustarem os processos e se adequarem às novas diretrizes.
14.4. Havendo divergência entre este DPA e quaisquer outros documentos firmados entre as Partes, devem permanecer as disposições do presente DPA.
15.1. Este DPA será regido pelas Leis da República Federativa do Brasil.
15.2. As Partes elegem o foro da Comarca de São Paulo, localizada no Estado São Paulo, como o único competente para dirimir eventuais controvérsias oriundas deste DPA, sem prejuízo de qualquer outro, por mais privilegiado que seja ou venha a ser, caso não consigam solucionar a questão amigavelmente.