ANEXO – ACORDO DE TRATAMENTO DE DADOS PESSOAIS (DPA)

Este Acordo de Tratamento de Dados Pessoais ("DPA") integra o Contrato de Prestação de Serviços do sistema Inovgest, celebrado entre:
(a) a clínica/cliente, na qualidade de Controladora dos dados pessoais; e
(b) Inovgest Desenvolvimento de Software LTDA, na qualidade de Operadora dos dados pessoais tratados em nome da Controladora.

1. OBJETO
1.1. O presente DPA tem por objeto estabelecer as condições sob as quais a Operadora realizará o tratamento de dados pessoais em nome da Controladora, exclusivamente para fins de execução dos serviços contratados por meio da plataforma Inovgest, em conformidade com a LGPD.

2. PAPÉIS E RESPONSABILIDADES
2.1. A Controladora é a clínica ou profissional responsável pelas decisões relativas às finalidades e meios de tratamento dos dados pessoais de seus pacientes, clientes e demais titulares inseridos na plataforma.
2.2. A Operadora é a Inovgest, que realiza o tratamento de dados pessoais em nome da Controladora, de acordo com as suas instruções e com a legislação aplicável.

3. OBRIGAÇÕES DA OPERADORA (Inovgest)
3.1. A Operadora compromete-se a:
(a) tratar os dados pessoais exclusivamente para a prestação dos serviços previstos no contrato principal e conforme as instruções documentadas da Controladora;
(b) adotar medidas técnicas e administrativas adequadas para proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração ou qualquer forma de tratamento inadequado ou ilícito;
(c) assegurar que seus colaboradores, prepostos e suboperadores envolvidos no tratamento de dados estejam sujeitos a compromisso de confidencialidade;
(d) notificar a Controladora, em prazo razoável, sobre incidentes de segurança que possam acarretar risco ou dano relevante aos titulares;
(e) auxiliar a Controladora, na medida do razoável, no atendimento de solicitações dos titulares de dados, quando estas estiverem relacionadas à plataforma Inovgest;
(f) manter registros e logs de acesso ao sistema, nos limites técnicos e legais, para fins de auditoria e segurança;
(g) cumprir a legislação vigente aplicável à proteção de dados pessoais.

4. OBRIGAÇÕES DA CONTROLADORA (CLÍNICA)
4.1. A Controladora declara e reconhece que é responsável por:
(a) definir as finalidades e as bases legais apropriadas para o tratamento dos dados pessoais de seus pacientes, usuários e demais titulares;
(b) informar adequadamente os titulares sobre o tratamento de seus dados, inclusive quanto ao uso da plataforma Inovgest;
(c) obter consentimento dos titulares sempre que exigido pela LGPD, especialmente em relação ao tratamento de dados pessoais sensíveis;
(d) inserir na plataforma apenas dados pessoais estritamente necessários, lícitos e compatíveis com as finalidades declaradas;
(e) atender, em tempo razoável, as solicitações dos titulares relativas a seus direitos previstos na LGPD (acesso, correção, exclusão, portabilidade, etc.);
(f) garantir que suas instruções à Operadora estejam em conformidade com a LGPD e demais normas aplicáveis;
(g) avaliar e aceitar os riscos relacionados a integrações ou exportações de dados para sistemas de terceiros fora do ambiente Inovgest.

5. SUBOPERADORES
5.1. A Operadora poderá contratar terceiros ("Suboperadores") para desempenhar parte das atividades de tratamento de dados pessoais, tais como:
(a) provedores de hospedagem e infraestrutura em nuvem;
(b) serviços de envio de e-mails transacionais;
(c) ferramentas de monitoramento, registro de logs e segurança;
(d) serviços de processamento de pagamentos.
5.2. A Operadora compromete-se a exigir de seus Suboperadores níveis adequados de proteção de dados pessoais, por meio de cláusulas contratuais e medidas de segurança compatíveis com este DPA.
5.3. A lista de Suboperadores poderá ser disponibilizada à Controladora quando solicitado, resguardados segredos comerciais e informações confidenciais.

6. TRANSFERÊNCIA INTERNACIONAL DE DADOS
6.1. Caso o tratamento envolva transferência internacional de dados, a Operadora observará os requisitos da LGPD referentes à transferência de dados para outros países, particularmente quando utilizar serviços de nuvem ou infraestrutura em data centers localizados fora do Brasil.
6.2. A Controladora declara ciência de que eventuais transferências internacionais poderão ocorrer em função da infraestrutura utilizada para a prestação dos serviços.

7. INCIDENTES DE SEGURANÇA
7.1. A Operadora notificará a Controladora sobre incidente de segurança que envolva dados pessoais tratados em seu nome e que possa acarretar risco ou dano relevante aos titulares, fornecendo informações razoavelmente disponíveis sobre:
(a) a natureza dos dados afetados;
(b) as possíveis consequências do incidente;
(c) as medidas técnicas e organizacionais adotadas ou a serem adotadas para mitigar os efeitos do incidente.
7.2. Caberá à Controladora, quando aplicável, comunicar o incidente aos titulares e às autoridades competentes, nos termos da LGPD.

8. DIREITOS DOS TITULARES
8.1. Quando qualquer titular de dados pessoais exercer seus direitos junto à Operadora, e a solicitação estiver relacionada a dados tratados em nome da Controladora, a Operadora encaminhará a demanda à Controladora, que será responsável pelo atendimento do pedido.
8.2. A Operadora prestará à Controladora o apoio razoável necessário para que esta cumpra suas obrigações em relação aos direitos dos titulares, na medida em que o atendimento dependa de recursos da plataforma Inovgest.

9. TÉRMINO DO TRATAMENTO E DESTINAÇÃO DOS DADOS
9.1. Com o término do contrato de prestação de serviços entre a Controladora e a Operadora, os dados pessoais tratados em nome da Controladora serão:
(a) excluídos; ou
(b) anonimizados; ou
(c) disponibilizados para exportação à Controladora, por meio das funcionalidades da plataforma,
observadas as obrigações legais e regulatórias de guarda de dados.
9.2. A Operadora poderá manter determinados dados pessoais, logs e backups por até 5 (cinco) anos após o término do contrato, para cumprimento de obrigações legais, fiscais e regulatórias, ou pelo prazo de prescrição aplicável para exercício regular de direitos em processos judiciais, administrativos ou arbitrais.

10. VIGÊNCIA
10.1. Este DPA entra em vigor na data da aceitação do Contrato de Prestação de Serviços pela Controladora e permanecerá vigente enquanto houver tratamento de dados pessoais pela Operadora em nome da Controladora.
10.2. Em caso de conflito entre as disposições deste DPA e o contrato principal, prevalecerão as disposições deste DPA no que se refere à proteção de dados pessoais.

11. DISPOSIÇÕES FINAIS
11.1. As partes envidarão seus melhores esforços para cooperar entre si na implementação de medidas necessárias ao cumprimento da LGPD e das demais normas de proteção de dados pessoais.
11.2. Este DPA poderá ser atualizado para refletir alterações legislativas, regulatórias ou mudanças relevantes no tratamento de dados pessoais. A Controladora será informada sobre alterações relevantes, e a continuidade do uso da plataforma implicará aceitação das novas condições.