NESTE ANEXO DEFINIREMOS NOSSAS RESPONSABILIDADES QUANTO AO ATENDIMENTO À LEGISLAÇÃO APLICÁVEL A SEGURANÇA DA INFORMAÇÃO, PRIVACIDADE E PROTEÇÃO DOS DADOS PESSOAIS TRATADOS NO ÂMBITO DA CONTRATAÇÃO.

1. PARA APLICAÇÃO DESTE ANEXO, SERÃO ADOTADAS AS SEGUINTES DEFINIÇÕES:

• Evah Saúde: são todas as empresas que estão no mesmo Grupo Econômico da Evah, ou seja, as sociedades listadas “Anexo I – Relação de Afiliadas” da Política de Privacidade da Evah.
• Cliente: Aqueles que contratam algum serviço prestado pela Evah Saúde, incluídas as pessoas naturais que, representando o contratante, operam os serviços.
• Dado Pessoal: informação relacionada, direta ou indiretamente, à pessoa natural identificada ou identificável.
• Tratamento: toda operação realizada com Dados Pessoais, como coleta, armazenamento, acesso, uso, compartilhamento, enriquecimento e/ou sua eliminação.
• Titular: pessoa natural a quem se referem os Dados Pessoais que são objeto de Tratamento.
• Controlador: a quem competem as decisões referentes ao Tratamento de Dados Pessoais, especialmente relativas às finalidades e aos meios de Tratamento de Dados Pessoais.
• Operador: a parte que trata Dados Pessoais de acordo com as instruções do Controlador.
• Suboperador: terceiro e/ou subcontratado pela Evah Saúde para auxiliar no cumprimento de obrigações referentes ao Tratamento de Dados da contratação estabelecida entre as partes.
• Encarregado: pessoa indicada pelas partes para atuar como canal de comunicação com os titulares dos dados e a Autoridade Nacional de Proteção de Dados.
• Autoridades de Proteção de Dados: são os órgãos da administração pública responsáveis por zelar, implementar e fiscalizar o cumprimento das Legislações Aplicáveis.
• Incidente de Segurança envolvendo Dados Pessoais: qualquer acesso, aquisição, uso, modificação, divulgação, perda, destruição ou dano acidental, ilegal ou não autorizado que envolva Dados Pessoais.
• Legislação Aplicável: significa a legislação de privacidade e proteção de dados aplicável ao tratamento de dados pessoais objeto do contrato firmado entre as Partes, inclusive a Lei n. 13.709/18 (“LGPD”) e as demais regulações relacionadas ao tema.

2. CONFORMIDADE COM A LEGISLAÇÃO APLICÁVEL À PRIVACIDADE E PROTEÇÃO DE DADOS.

2.1 As Partes declaram que possuem conhecimento e cumprem todas as Legislações Aplicáveis, inclusive (sempre e quando aplicáveis) a Constituição Federal, o Código de Defesa do Consumidor, o Código Civil, o Marco Civil da Internet (Lei Federal n. 12.965/2014), seu decreto regulamentador (Decreto 8.771/2016), a LGPD e demais normas setoriais ou gerais sobre o tema.

2.2 O CLIENTE declara que conhece as disposições contidas na Política de Privacidade da Evah Saúde, disponível no link https://www.evahsaude.com.br/politica_de_privacidade/.

3. FINALIDADE DO TRATAMENTO DE DADOS PESSOAIS NO ÂMBITO DA CONTRATAÇÃO

3.1 Para os fins do presente Anexo, o CLIENTE será considerado como Controlador de Dados Pessoais, enquanto a Evah Saúde será considerado como Operador dos Dados Pessoais.

3.2 Enquanto Operador, a Evah Saúde garante que os Dados Pessoais recebidos serão tratados apenas para cumprir o disposto em Contrato celebrado com o CLIENTE ou para cumprir as instruções fornecidas pelo CLIENTE, em decorrência da condição de Controlador, sempre observando aos princípios, regras e a Legislação Aplicável.

3.2.1. O CLIENTE está ciente e concorda que a Evah poderá utilizar dados agregados e, na medida do possível, anonimizados para fins de desenvolvimento de seus produtos, serviços ou outras tecnologias, bem como para aprimoramento de soluções baseadas em inteligência artificial.

4. CONFIDENCIALIDADE DOS DADOS PESSOAIS

4.1 Todos os Dados Pessoais disponibilizados pelo CLIENTE no âmbito dos serviços prestados pela Evah Saúde serão considerados confidenciais e serão tratados conforme condições estabelecidas na Cláusula 7ª dos Termos e Condições Gerais de Serviços da Evah Saúde.

5. MEDIDAS E CONTROLES DE SEGURANÇA ADOTADOS PELA EVAH SAÚDE

5.1 A Evah Saúde declara e garante que possui medidas implementadas para proteger os Dados Pessoais Tratados, assim como possui políticas de segurança instituídas, que determinam medidas técnicas e administrativas para garantir a integridade, disponibilidade e confidencialidade das informações.

5.2 São medidas de segurança adotadas pela Evah Saúde para garantir a maior segurança possível aos Dados Pessoais Tratados:

1. autenticação dos usuários;
2. criptografia dos Dados e do conteúdo das transações;
3. prevenção e detecção de intrusão;
4. prevenção de vazamento de informações;
5. proteção contra softwares maliciosos;
6. mecanismos de rastreabilidade;
7. controles de acesso e de segmentação da rede de computadores; e
8. manutenção de cópias de segurança dos Dados Pessoais e das informações.

5.3 Caso o CLIENTE tenha dúvidas referentes às medidas de segurança adotadas pela Evah Saúde, poderá entrar em contato através do você pode entrar em contato diretamente com nosso Encarregado de Proteção de Dados (DPO), Ana Claudia Cabral, através do e-mail suporte@evahsaude.com.br.

6. COMPARTILHAMENTO DOS DADOS PESSOAIS

6.1 Em determinados casos, a Evah Saúde poderá compartilhar Dados Pessoais com eventuais Suboperadores que sejam contratados para cumprir com algumas obrigações contratuais e prestar os serviços ou parte deles.

6.2 Quando solicitado pelo CLIENTE, a Evah Saúde dará visibilidade sobre quais são estes terceiros Suboperadores e atividades específicas desempenhadas, desde que estejam diretamente ligados à execução dos serviços contratados pelo CLIENTE, observados os segredos comerciais e industriais da Evah Saúde.

6.3 Quando houver o compartilhamento de Dados Pessoais, a Evah Saúde buscará garantir que tais terceiros se obriguem a adotar níveis e padrões equivalentes de proteção aos Dados Pessoais e de medidas de segurança da informação como as estabelecidas neste Anexo, bem como deverá a Evah Saúde ser responsabilizada por todas as perdas e danos decorrentes do uso indevido dos Dados Pessoais, desde que tais perdas e danos estejam ligados a condutas culposas ou dolosas da Evah Saúde ou dos Suboperadores.

7. REALIZAÇÃO DE AUDITORIAS

7.1 A Evah Saúde reconhece o direito do CLIENTE em conduzir auditorias relacionadas às atividades de Tratamento existentes por força deste Anexo e dos serviços prestados pela Evah Saúde. Assim, as Partes disponibilizarão, quando solicitado, desde que haja comunicação prévia de 5 (cinco) dias úteis e que as atividades regulares não sejam prejudicadas, toda a documentação necessária para demonstrar o cumprimento às obrigações previstas neste Anexo e na Legislações Aplicáveis sobre privacidade e proteção de Dados Pessoais.

7.2 Em nenhuma hipótese será admitido o acesso a quaisquer informações e/ou Dados Pessoais (i) relativos a outros clientes além daqueles diretamente relacionados aos serviços prestados pela Evah Saúde ao CLIENTE; e/ou (ii) que estejam sujeitos a obrigações de confidencialidade com terceiros ou protegidos por segredos comerciais e/ou industriais.

8. TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS

8.1 O CLIENTE concorda que, caso necessário para a execução do Contrato e atendimento a qualquer das condições nele previstas, a Evah Saúde poderá realizar transferência internacional dos Dados Pessoais Tratados durante a execução dos serviços prestados.

8.2 Caso haja a transferência internacional dos Dados Pessoais, a Evah Saúde se compromete a tomar todas as medidas necessárias e possíveis para assegurar, de boa-fé, que tal transferência de Dados Pessoais esteja em conformidade com as Legislações Aplicáveis.

9. ATENDIMENTO DE SOLICITAÇÕES DOS TITULARES DOS DADOS PESSOAIS

9.1 O CLIENTE, na condição de Controlador dos Dados Pessoais, deverá atender as requisições de exercício de direitos por parte dos Titulares ou solicitações das Autoridades de Proteção de Dados ou qualquer outra autoridade que venha a fiscalizar o Tratamento de Dados Pessoais.

9.2 A Evah Saúde, sempre que necessário e solicitado pelo CLIENTE, deverá oferecer todo o suporte para o cumprimento de requisições realizadas pelos Titulares ou por qualquer autoridade, tais como:

1. pedidos de acesso aos Dados Pessoais;
2. correção de Dados Pessoais incompletos, inexatos ou desatualizados;
3. anonimização, bloqueio ou eliminação de Dados Pessoais desnecessários ou excessivos;
4. portabilidade; e
5. outros direitos previstos nas Legislações Aplicáveis.

10. COMUNICAÇÃO DE INCIDENTES DE SEGURANÇA

10.1 Caso ocorra um Incidente de Segurança que possa acarretar risco ou dano relevante aos Titulares, as Partes deverão comunicar, conforme o caso, à outra parte sobre o Incidente de Segurança em até 48 (quarenta e oito) horas úteis, contadas da ciência de sua ocorrência.

10.2 A comunicação deverá conter, no mínimo, as seguintes informações:

1. data e hora do Incidente de Segurança;
2. data e hora da ciência pelo notificante;
3. relação dos tipos de Dados Pessoais afetados pelo Incidente de Segurança;
4. número de titulares afetados (volumetria do Incidente de Segurança) e, se possível, a relação destes indivíduos;
5. dados de contato do Encarregado ou outra pessoa junto à qual seja possível obter maiores informações sobre o ocorrido; e
6. descrição das possíveis consequências do evento.

10.3 O CLIENTE, na condição de Controlador dos Dados Pessoais relacionados ao Incidente de Segurança, será responsável por realizar as comunicações necessárias aos órgãos reguladores e aos Titulares de Dados Pessoais, quando necessário, nos termos das Legislações Aplicáveis.

10.4 Se o Incidente de Segurança ou os efeitos do Incidente de Segurança envolverem a Evah Saúde, as comunicações em questão devem ser previamente alinhadas entre o CLIENTE e a Evah Saúde.

10.5 Quando o CLIENTE, atuando como Controlador, não comprovar o cumprimento da notificação do Incidente de Segurança à Autoridade Nacional de Proteção de Dados, em até 72 (setenta e duas) horas contadas da ciência do fato, a Evah Saúde terá o direito de realizar as comunicações necessárias, sem necessidade de anuência prévia, exceto se o atraso se der por motivo justificado.

10.6 As Partes acordam que atuarão em colaboração para evitar e cessar eventual Incidente de Segurança, investigando, ainda, as possíveis causas e considerando, inclusive, a realização de auditorias, para conclusão da investigação.

11. ELIMINAÇÃO DOS DADOS PESSOAIS

11.1 A Evah Saúde excluirá definitivamente ou devolverá os Dados Pessoais quando:

1. solicitado pelo CLIENTE;
2. quando a relação contratual das Partes e as obrigações dela decorrentes, forem encerradas; ou
3. quando cumprida a finalidade do Tratamento.

11.1.1 A Evah Saúde poderá manter eventuais Dados Pessoais, quando a permanência de Tratamento seja permitida por lei ou quando for necessária para cumprir alguma obrigação legal ou regulatória ou, ainda, resguardar um direito legítimo.

11.2 Mesmo após o encerramento do contrato ou de outros acordos celebrados entre as Partes, as obrigações previstas neste Anexo perdurarão enquanto as Partes tiverem acesso, estiverem em posse ou conseguirem realizar qualquer operação de Tratamento dos Dados Pessoais envolvendo informações fornecidas durante a relação contratual.

12. RESPONSABILIDADES DO CLIENTE NA UTILIZAÇÃO DA PLATAFORMA

12.1 Além das demais responsabilidades previstas nestes Termos e Condições Gerais de Serviços, neste Anexo, em eventual Contrato e na Legislação Aplicável, o CLIENTE declara e garante que:

1. todos os Dados Pessoais que, de qualquer forma, tenham sido ou sejam transferidos para a Evah Saúde, foram e serão obtidos de forma lícita, com uma base legal apropriada nos termos da Legislação Aplicável, com a devida transparência aos Titulares de Dados em relação a como serão tratados os Dados Pessoais, nos termos da Legislação Aplicável, inclusive em relação à proteção e sigilo dos Dados Pessoais;
2. obteve, de forma prévia e através de manifestação livre, inequívoca e informada, o consentimento dos Destinatários para envio de mensagens, quando esta autorização for exigível para a legalidade da comunicação, nos termos da Legislação Aplicável e/ou por conta de responsabilidades assumidas contratualmente com terceiros;
3. se, durante a utilização dos serviços, existir a possibilidade de Tratamento de Dados Pessoais de menores de idade ou de Dados Pessoais sensíveis, obteve o consentimento necessário, conforme requisitos legais determinados pela Legislação Aplicável, e comunicará previamente a Evah Saúde sobre a possibilidade deste Tratamento;
4. é integralmente responsável pelo formato, precisão, qualidade, conteúdo e licitude dos Dados Pessoais carregados, armazenados e processados nas Plataformas utilizadas nos serviços, nos termos da Legislação Aplicável;
5. é integralmente responsável pelo Tratamento de Dados Pessoais realizado por si, ou conforme solicitação do CLIENTE, no contexto da execução da relação contratual, e manterá a Evah Saúde indene de quaisquer perdas e danos, direto ou indiretos, decorrentes de qualquer operação de Tratamento de Dados Pessoais realizada em desacordo com este Anexo e com a Legislação Aplicável.

12.1.1 Manter indene significará, exemplificativamente, conforme o caso: (1) indenizar e reembolsar a Evah Saúde, (2) prestar garantias em processos, (3) assumir a responsabilidade sobre atos e fatos ligados a utilização do App Evah Saúde pelo CLIENTE, (4) habilitar-se em processos judiciais e administrativos que tenham por objeto atos ou fatos ligados.