DPA -
Acordo de Processamento de Dados

Acordo de Processamento de Dados

Este Acordo de Processamento de Dados (APD) estabelece os termos segundo os quais a Magileads, enquanto processadora de dados, processa dados pessoais em nome do Cliente. Neste APD, a Magileads baseia-se nas cláusulas contratuais padrão da Comissão Europeia (disponíveis em: https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32021D0915 ).

Este documento complementa o contrato entre a Magileads e o Cliente e é incorporado ao Contrato formalizado pela aceitação, por parte do Cliente, dos Termos e Condições Gerais de Utilização (acessíveis no seguinte endereço: https://www.magileads.com/cgu-conditions-generales-d-utilisation/ ), incluindo a Política de Privacidade da Magileads (acessível no seguinte endereço: https://www.magileads.com/accord-de-confidentialite/ ).

Em caso de conflito com o Contrato, prevalece o DPA.

a Magileads atua como subcontratada, presume-se que o Cliente atue como Controlador de Dados para todo o processamento, exceto aquele realizado pela Magileads para suas próprias necessidades, conforme detalhado na Política de Privacidade da Magileads.

Caso o Cliente atue como processador de dados sob instruções de um controlador de dados terceiro, o Cliente se compromete a:

  • Obtenha todas as autorizações necessárias para a celebração deste DPA (Acordo de Proteção de Dados) junto ao Controlador de Dados;
  • Declarar a Magileads como subcontratada subsequente do Controlador de Dados;
  • Tendo celebrado um contrato com o Controlador de Dados em conformidade com o Artigo 28 do RGPD e em conformidade com este DPA e o Contrato celebrado entre a Magileads e o Cliente;
  • Para fornecer à Magileads instruções consistentes com as recebidas do Controlador de Dados, sem que a Magileads receba instruções diretamente do Controlador de Dados, exceto nos casos em que o Cliente tenha transferido seus direitos e obrigações para o Controlador de Dados, que deverá fornecer comprovante disso.
  • Disponibilize este DPA ao Controlador de Dados.

O Cliente permanece totalmente responsável perante a Magileads pela implementação deste Acordo de Processamento de Dados (APD) pelo Controlador de Dados. O Cliente exonera a Magileads de toda e qualquer responsabilidade por qualquer violação, por parte do Controlador de Dados, da legislação aplicável, bem como por qualquer ação, reclamação ou queixa do Controlador de Dados relacionada a este APD, ao Contrato entre a Magileads e o Cliente ou às instruções dadas pelo Cliente à Magileads.

SEÇÃO I

Cláusula 1
Objetivo e âmbito de aplicação
  1. O objetivo destas cláusulas contratuais padrão (doravante designadas por "cláusulas") é assegurar o cumprimento do artigo 28.º, n.ºs 3 e 4, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
  2. Os responsáveis ​​pelo tratamento e os processadores aceitaram estas cláusulas para garantir o cumprimento das disposições do artigo 28.º, n.ºs 3 e 4, do Regulamento (UE) 2016/679.
  3. Estas cláusulas aplicam-se ao tratamento de dados pessoais conforme descrito no Anexo I.
  4. Os anexos I a III fazem parte integrante das cláusulas.
  5. Estas cláusulas não prejudicam as obrigações a que o responsável pelo tratamento está sujeito nos termos do Regulamento (UE) 2016/679.
  6. As cláusulas por si só não são suficientes para garantir o cumprimento das obrigações relativas às transferências internacionais, de acordo com o Capítulo V do Regulamento (UE) 2016/679.

 Cláusula 2

Invariabilidade das cláusulas
  1. As partes concordam em não modificar as cláusulas, exceto no que diz respeito à inclusão de informações nos anexos ou à atualização das informações neles contidas.
  2. As partes não estão impedidas de incluir as cláusulas contratuais padrão definidas nestas cláusulas em um contrato mais amplo, nem de adicionar outras cláusulas ou garantias adicionais, desde que estas não contradigam direta ou indiretamente as cláusulas ou infrinjam os direitos e liberdades fundamentais das pessoas envolvidas.

Cláusula 3

Interpretação
  1. Sempre que os termos definidos no Regulamento (UE) 2016/679 aparecerem nas cláusulas, devem ser entendidos como estão no referido Regulamento.
  2. Estas cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
  3. Estas cláusulas não devem ser interpretadas de forma contrária aos direitos e obrigações previstos no Regulamento (UE) 2016/679 ou de forma que viole os direitos e liberdades fundamentais das pessoas em causa.

Cláusula 4

Hierarquia

Em caso de conflito entre estas cláusulas e as disposições de acordos relacionados existentes entre as partes no momento em que estas cláusulas forem acordadas ou posteriormente celebradas, estas cláusulas prevalecerão.

Cláusula 5

Cláusula de amarração
  1. Qualquer entidade que não seja parte destas cláusulas poderá, com o acordo de todas as partes, aderir a elas a qualquer momento, seja como controlador ou como processador, preenchendo os anexos.
  2. Uma vez que os anexos mencionados no ponto a) estejam preenchidos e assinados, a entidade aderente é considerada parte destas cláusulas e goza dos direitos e está sujeita às obrigações de um controlador ou processador.
  3. Essas cláusulas não criam quaisquer direitos ou obrigações para a parte aderente durante o período anterior à adesão.

SEÇÃO II – OBRIGAÇÕES DAS PARTES

Cláusula 6

Descrição do(s) tratamento(s)

Os detalhes das operações de processamento, e em particular as categorias de dados pessoais e as finalidades do processamento para as quais os dados pessoais são processados ​​em nome do controlador, estão especificados no Anexo I.

Cláusula 7

Obrigações das partes
7.1. Instruções
  1. O responsável pelo tratamento só poderá tratar os dados pessoais mediante instruções documentadas do responsável pelo tratamento, salvo se tal for exigido pelo direito da União ou de um Estado-Membro. Nesses casos, o responsável pelo tratamento deverá informar o responsável pelo tratamento dessa obrigação legal antes do tratamento, a menos que tal seja proibido por lei por motivos substanciais de interesse público. O responsável pelo tratamento poderá também emitir novas instruções a qualquer momento durante o tratamento dos dados pessoais. Essas instruções deverão sempre ser documentadas.
  2. O subcontratado deverá informar imediatamente o responsável pelo tratamento se, em sua opinião, uma instrução dada pelo responsável pelo tratamento constituir uma violação do Regulamento (UE) 2016/679 ou de outras disposições do direito da União ou dos Estados-Membros relativas à proteção de dados.
7.2. Limitação da finalidade

O subcontratado processa dados pessoais apenas para a(s) finalidade(s) específica(s) do processamento, conforme definido no Anexo I, a menos que o controlador instrua de outra forma.

7.3. Duração do processamento de dados pessoais

O processamento realizado pelo subcontratado ocorre apenas durante o período especificado no Anexo I.

7.4. Segurança de Processamento
  1. O responsável pelo tratamento deverá implementar, no mínimo, as medidas técnicas e organizacionais especificadas no Anexo II para garantir a segurança dos dados pessoais. Essas medidas incluem a proteção dos dados contra qualquer violação de segurança que leve à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito a dados pessoais (violação de dados pessoais). Ao avaliar o nível de segurança adequado, as partes deverão considerar devidamente o estado da técnica, os custos de implementação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos para os titulares dos dados.
  2. O subcontratado concede aos seus funcionários acesso aos dados pessoais tratados apenas na medida estritamente necessária para a execução, gestão e monitorização do contrato. O subcontratado assegura que as pessoas autorizadas a tratar dados pessoais estão sujeitas a obrigações de confidencialidade ou a uma obrigação legal de confidencialidade adequada.
7.5. Dados Sensíveis

Caso o tratamento envolva dados pessoais que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas ou filiação sindical, bem como dados genéticos ou biométricos para efeitos de identificação inequívoca de uma pessoa singular, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa singular, ou dados relativos a condenações e infrações penais (“dados sensíveis”), o subcontratado aplica limitações específicas e/ou salvaguardas adicionais.

7.6 Documentação e conformidade
  1. As partes devem ser capazes de demonstrar o cumprimento dessas cláusulas.
  2. O subcontratado deverá processar os pedidos do responsável pelo tratamento de dados relativos ao processamento de dados de forma atempada e adequada, em conformidade com estas cláusulas.
  3. O processador deverá fornecer ao controlador todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas nestas cláusulas e decorrentes diretamente do Regulamento (UE) 2016/679. A pedido do controlador, o processador deverá também permitir e contribuir para auditorias das atividades de processamento abrangidas por estas cláusulas, em intervalos razoáveis ​​ou sempre que existam indícios de incumprimento. Ao decidir sobre uma revisão ou auditoria, o controlador poderá ter em conta quaisquer certificações relevantes detidas pelo processador.
  4. O responsável pelo tratamento de dados pode optar por realizar a auditoria por conta própria ou nomear um auditor independente. As auditorias também podem incluir inspeções das instalações ou infraestruturas físicas do processador e, quando apropriado, são realizadas com aviso prévio razoável.
  5. As partes deverão disponibilizar à(s) autoridade(s) supervisora(s) competente(s), mediante solicitação, as informações estabelecidas nesta cláusula, incluindo os resultados de qualquer auditoria.
7.7. Utilização de subcontratados subsequentes
  1. O processador tem autorização geral do controlador de dados para contratar subprocessadores subsequentes com base em uma lista acordada. O processador deve informar especificamente o controlador de dados por escrito sobre quaisquer alterações propostas a essa lista, como a adição ou substituição de subprocessadores subsequentes, com pelo menos 30 (trinta) dias de antecedência, concedendo assim ao controlador de dados tempo suficiente para se opor a essas alterações antes da contratação do(s) subprocessador(es) subsequente(s) em questão. O processador deve fornecer ao controlador de dados as informações necessárias para o exercício do seu direito de oposição.
  2. Quando o processador contrata um subprocessador para realizar atividades específicas de processamento (em nome do controlador), ele o faz por meio de um contrato que impõe ao subprocessador, em essência, as mesmas obrigações de proteção de dados que são impostas ao processador nos termos destas cláusulas. O processador deve garantir que o subprocessador cumpra as obrigações às quais está sujeito nos termos destas cláusulas e do Regulamento (UE) 2016/679.
  3. A pedido do controlador de dados, o processador deverá fornecer ao controlador uma cópia do contrato celebrado com o processador subsequente e quaisquer alterações subsequentes ao mesmo. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o processador poderá redigir o texto do contrato antes de distribuir uma cópia.
  4. O processador permanece totalmente responsável perante o controlador pelo cumprimento das obrigações do processador subsequente, nos termos do contrato celebrado com este. O processador deverá informar o controlador sobre qualquer violação, por parte do processador subsequente, das suas obrigações contratuais.
  5. O subcontratado concorda com o subcontratado subsequente em uma cláusula de beneficiário terceiro, segundo a qual — caso o subcontratado tenha desaparecido materialmente, deixado de existir legalmente ou se tornado insolvente — o controlador tem o direito de rescindir o contrato celebrado com o subcontratado subsequente e instruir este último a apagar ou devolver os dados pessoais.
 7.8. Transferências Internacionais
  1. Qualquer transferência de dados para um país terceiro ou organização internacional pelo processador é realizada apenas com base em instruções documentadas do controlador ou para cumprir uma exigência específica do direito da União ou de um Estado-Membro a que o processador está sujeito e é realizada de acordo com o Capítulo V do Regulamento (UE) 2016/679.
  2. O controlador concorda que, quando o processador contratar um processador subsequente de acordo com a cláusula 7.7 para realizar atividades de processamento específicas (em nome do controlador) e quando essas atividades de processamento envolverem uma transferência de dados pessoais na acepção do Capítulo V do Regulamento (UE) 2016/679, o processador e o processador subsequente podem garantir a conformidade com o Capítulo V do Regulamento (UE) 2016/679 através da utilização das cláusulas contratuais padrão adotadas pela Comissão com base no artigo 46.º, n.º 2, do Regulamento (UE) 2016/679, desde que as condições para a utilização dessas cláusulas contratuais padrão sejam cumpridas.

Cláusula 8

Assistência ao responsável pelo tratamento de dados
  1. O responsável pelo tratamento de dados deverá informar o responsável pelo tratamento de dados, sem demora, sobre qualquer solicitação recebida do titular dos dados. O responsável pelo tratamento de dados não deverá atender à solicitação por iniciativa própria, a menos que seja autorizado a fazê-lo pelo responsável pelo tratamento de dados.
  2. O processador auxilia o controlador no cumprimento de sua obrigação de responder às solicitações dos titulares dos dados para exercerem seus direitos, levando em consideração a natureza do processamento. Ao cumprir suas obrigações nos termos das alíneas (a) e (b), o processador segue as instruções do controlador.
  3. Além da obrigação do processador de auxiliar o controlador nos termos da cláusula 8(b), o processador também deverá auxiliar o controlador a garantir o cumprimento das seguintes obrigações, levando em consideração a natureza do processamento e as informações disponíveis para o processador:
  4. A obrigação de realizar uma avaliação do impacto das operações de tratamento previstas sobre a proteção de dados pessoais (“avaliação de impacto sobre a proteção de dados”) quando um tipo de tratamento for suscetível de apresentar um elevado risco para os direitos e liberdades das pessoas singulares;
  5. A obrigação de consultar a(s) autoridade(s) de supervisão competente(s) antes do tratamento de dados, quando uma avaliação de impacto sobre a proteção de dados indicar que o tratamento apresentaria um risco elevado caso o responsável pelo tratamento não tomasse medidas para mitigar o risco;
  6. A obrigação de garantir que os dados pessoais sejam exatos e estejam atualizados, informando o controlador sem demora caso o processador tome conhecimento de que os dados pessoais que processa são inexatos ou estão desatualizados;
  7. As obrigações estabelecidas no artigo 32.º do Regulamento (UE) 2016/679. 
  8. As partes definirão no Anexo II as medidas técnicas e organizacionais adequadas pelas quais o subcontratado deverá auxiliar o controlador na aplicação desta cláusula, bem como o âmbito e a extensão da assistência necessária.

Cláusula 9

Notificação de violações de dados pessoais

Em caso de violação de dados pessoais, o responsável pelo tratamento deverá cooperar com o responsável pelo tratamento e auxiliá-lo no cumprimento das obrigações que lhe incumbem nos termos dos artigos 33.º e 34.º do Regulamento (UE) 2016/679, tendo em conta a natureza do tratamento e as informações de que o responsável pelo tratamento tem acesso.

9.1 Violação de dados relacionada a dados processados ​​pelo controlador de dados

Em caso de violação de dados pessoais relacionados a dados processados ​​pelo controlador de dados, o processador de dados deverá prestar assistência ao controlador de dados:

  1. com a finalidade de notificar a(s) autoridade(s) de supervisão competente(s) da violação de dados pessoais o mais rapidamente possível após o responsável pelo tratamento ter tomado conhecimento da mesma, quando apropriado (a menos que seja improvável que a violação de dados pessoais resulte num risco para os direitos e liberdades das pessoas singulares); 
  2. com o objetivo de obter as seguintes informações que, de acordo com o artigo 33.º, n.º 3, do Regulamento (UE) 2016/679, devem constar da notificação do responsável pelo tratamento, e devem incluir, pelo menos:
  3. a natureza dos dados pessoais, incluindo, sempre que possível, as categorias e o número aproximado de pessoas afetadas pela violação e as categorias e o número aproximado de registos de dados pessoais em causa; 
  4. as prováveis ​​consequências da violação de dados pessoais;  
  5. As medidas tomadas ou propostas pelo controlador para lidar com a violação de dados pessoais, incluindo, quando apropriado, medidas para mitigar suas possíveis consequências adversas. 

Quando, e na medida em que, não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial conterá as informações disponíveis naquele momento e, à medida que estas se tornarem disponíveis, informações adicionais serão comunicadas o mais brevemente possível;

  1. para efeitos de cumprimento, nos termos do artigo 34.º do Regulamento (UE) 2016/679, da obrigação de comunicar a violação de dados pessoais ao titular dos dados sem demora injustificada, sempre que a violação de dados pessoais seja suscetível de resultar num elevado risco para os direitos e liberdades das pessoas singulares.

9.2 Violação de dados relacionada a dados processados ​​pelo subcontratado

Em caso de violação de dados pessoais relacionados a dados processados ​​pelo subcontratado, este deverá informar o controlador de dados o mais brevemente possível após tomar conhecimento da mesma. Esta notificação deverá conter, no mínimo:

  1. uma descrição da natureza da violação encontrada (incluindo, quando possível, as categorias e o número aproximado de pessoas afetadas pela violação e dos registros de dados pessoais envolvidos);
  2. os dados de contacto de um ponto de contacto a partir do qual se possam obter mais informações relativamente à violação de dados pessoais;
  3. suas prováveis ​​consequências e as medidas tomadas ou propostas para remediar a violação, incluindo a mitigação de quaisquer potenciais consequências negativas.

Quando, e na medida em que, não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial conterá as informações disponíveis naquele momento e, à medida que novas informações forem obtidas, as informações adicionais serão comunicadas o mais brevemente possível.

As partes definem no Anexo III todos os outros elementos que o subcontratado deve comunicar ao auxiliar o controlador no cumprimento das obrigações deste nos termos dos artigos 33.º e 34.º do Regulamento (UE) 2016/679.

SEÇÃO III – DISPOSIÇÕES FINAIS

Cláusula 10 

O não cumprimento dos termos e a rescisão do contrato
  1. Sem prejuízo do disposto no Regulamento (UE) 2016/679, caso o responsável pelo tratamento não cumpra as suas obrigações nos termos deste contrato, o responsável pelo tratamento poderá instruí-lo a suspender o tratamento dos dados pessoais até que cumpra o presente contrato ou até que o contrato seja rescindido. O responsável pelo tratamento deverá informar imediatamente o responsável pelo tratamento caso, por qualquer motivo, não consiga cumprir o presente contrato.
  2. O responsável pelo tratamento dos dados tem o direito de rescindir o contrato na medida em que este se relacione com o tratamento de dados pessoais de acordo com estas cláusulas, se:
  3. o processamento de dados pessoais pelo subcontratado foi suspenso pelo controlador de acordo com o ponto a) e o cumprimento dessas cláusulas não é restaurado dentro de um prazo razoável e, em qualquer caso, dentro de um mês da suspensão;
  4. o subcontratado está em violação grave ou persistente destas cláusulas ou das obrigações que lhe incumbem ao abrigo do Regulamento (UE) 2016/679; 
  5. o subcontratado não cumpre uma decisão vinculativa de um tribunal competente ou da(s) autoridade(s) de supervisão competente(s) relativa às obrigações que lhe incumbem ao abrigo destas cláusulas ou do Regulamento (UE) 2016/679.
  6. O subcontratado tem o direito de rescindir o contrato na medida em que este se relaciona com o tratamento de dados pessoais ao abrigo destas cláusulas, quando, após ter informado o responsável pelo tratamento de que as suas instruções infringem os requisitos legais aplicáveis ​​de acordo com a cláusula 7.1(b), o responsável pelo tratamento insistir que as suas instruções sejam cumpridas.
  7. Após a rescisão do contrato, o processador deverá, a critério do controlador, apagar todos os dados pessoais tratados em nome do controlador e certificar a este que tal apagamento foi efetuado, ou devolver todos os dados pessoais ao controlador e destruir quaisquer cópias existentes, a menos que a legislação da União ou nacional exija a sua conservação por um período mais longo. O processador deverá continuar a assegurar o cumprimento destes termos até que os dados sejam apagados ou devolvidos. 

ANEXO I

Descrição dos tratamentos

Categorias de dados pessoais processados ​​e titulares dos dados

O tipo de Dados Pessoais e as categorias de pessoas envolvidas são determinados e controlados pelo Cliente, a seu exclusivo critério, através da utilização da Plataforma Magileads.

Para garantir a segurança da Plataforma, o gerenciamento de erros e o registro de acessos, a Magileads processará os seguintes dados pessoais em nome do Cliente: endereço IP e User Agent das conexões com a Plataforma (incluindo o acesso a aplicativos hospedados na Plataforma pelo Cliente), os endereços dos recursos acessados ​​(URLs).

Natureza dos tratamentos

As operações de tratamento de dados pessoais realizadas pela Magileads podem incluir o cálculo, a classificação, a organização, o armazenamento, a segurança e/ou qualquer outro tratamento realizado pelo Cliente no contexto da utilização da Plataforma Magileads.

Duração dos tratamentos

O processamento abrangido por este DPA é realizado durante a vigência do contrato ou por um período mais curto, sob o controle exclusivo do Cliente.

ANEXO II

Medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais para garantir a segurança dos dados

A Magileads implementa medidas organizacionais e técnicas para garantir a segurança e a confidencialidade dos dados processados ​​em nome do Cliente. Essas medidas incluem, em particular, a utilização de:

  1. Medidas de criptografia de dados em trânsito e durante o armazenamento;
  2. Medidas de segurança física (incluindo verificação de identidade) e controle lógico dos direitos de acesso aos servidores da Magilead e às salas do centro de dados que abrigam esses servidores;
  3. Processos de autenticação aprimorados para todo o acesso a dados pertencentes à Magileads e seus clientes;
  4. Isolamento físico e/ou lógico dos dados pessoais e não pessoais dos diversos clientes da Magileads;
  5. Procedimentos para a aplicação sistemática, o mais rapidamente possível, das correções de segurança documentadas pelo CERT-FR;
  6. É exigido um acordo de confidencialidade de todos os funcionários e prestadores de serviços que atuam em nome da Magileads;
  7. Um registro das ações realizadas nos sistemas de informação da Magilead.
  8.  

O responsável pelo tratamento dos dados é:
François Kolli,
Encarregado da Proteção ue.sdaeligam@opd , KA-Groupe – MAGILEADS,
40 Rue de Plaisance, 75014 Paris

Número RC/SIRET: 848746632
Código APE: 7022Z

Procurar

Nicolas, cofundador da Magileads

Entendi, enviaremos para você
imediatamente!

gratuitamente
nosso manual de 2025 sobre
prospecção multicanal

  • Métodos comprovados (da segmentação ao desenvolvimento).
  • Erros que sabotam suas campanhas (e como evitá-los)
  • Listas de verificação para estruturar suas sequências de A a Z.
  • Um acúmulo de experimentos que são fáceis de iniciar hoje.