Termo de Conformidade e Tratamento de Dados — LGPD

Este Termo apresenta o compromisso institucional da B2BICLOUD com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), suas regulamentações pela Autoridade Nacional de Proteção de Dados (ANPD) e demais normas correlatas do ordenamento jurídico brasileiro, abrangendo tanto os dados pessoais tratados como controladora quanto aqueles processados em nome de seus clientes na qualidade de operadora.

01 Marco legal aplicável

A atuação da B2BICLOUD em matéria de proteção de dados pessoais observa, no mínimo, o seguinte arcabouço normativo:

• Constituição Federal de 1988 — art. 5º, X (inviolabilidade da intimidade e vida privada), XII (sigilo das comunicações) e LXXIX (direito à proteção de dados pessoais);
• Lei nº 13.709/2018 (LGPD) — Lei Geral de Proteção de Dados Pessoais;
• Lei nº 12.965/2014 (Marco Civil da Internet) e seu Decreto regulamentador nº 8.771/2016;
• Lei nº 8.078/1990 (Código de Defesa do Consumidor), no que couber;
• Lei Complementar nº 105/2001 (sigilo bancário), nas hipóteses aplicáveis;
• Resoluções e regulamentos da ANPD, especialmente:
  • Resolução CD/ANPD nº 2/2022 — Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte;
  • Resolução CD/ANPD nº 4/2023 — Dosimetria e aplicação de sanções administrativas;
  • Resolução CD/ANPD nº 15/2024 — Comunicação de incidentes de segurança;
  • Demais resoluções, guias orientativos e enunciados em vigor.
• Normas internacionais aplicáveis — ISO/IEC 27001, ISO/IEC 27701, ISO/IEC 27018, na infraestrutura técnica.

02 Compromisso institucional

A B2BICLOUD assume publicamente o compromisso de:

1. Reconhecer a proteção de dados pessoais como direito fundamental do titular (CF/88, art. 5º, LXXIX);
2. Adotar a privacidade desde a concepção (privacy by design) e por padrão (privacy by default) em todos os seus produtos e serviços;
3. Manter governança de privacidade ativa, com programa documentado de gestão, revisões periódicas e melhoria contínua;
4. Implementar medidas técnicas e organizacionais proporcionais ao risco do tratamento, conforme art. 46 da LGPD;
5. Apoiar seus clientes na adequação à LGPD por meio de infraestrutura certificada e contratos com cláusulas específicas de proteção de dados.

03 Princípios observados

O tratamento de dados pessoais pela B2BICLOUD observa, sem exceção, os princípios elencados no art. 6º da LGPD:

Princípio	Aplicação prática
Finalidade	Tratamento para propósitos legítimos, específicos e informados ao titular.
Adequação	Compatibilidade do tratamento com as finalidades informadas.
Necessidade	Limitação do tratamento ao mínimo necessário (princípio da minimização).
Livre acesso	Garantia ao titular de consulta facilitada e gratuita.
Qualidade dos dados	Exatidão, clareza, relevância e atualização dos dados.
Transparência	Informações claras, precisas e facilmente acessíveis ao titular.
Segurança	Medidas técnicas e administrativas para proteger os dados.
Prevenção	Adoção de medidas para prevenir danos em razão do tratamento.
Não discriminação	Vedação ao tratamento para fins discriminatórios, ilícitos ou abusivos.
Responsabilização e prestação de contas	Demonstração da adoção de medidas eficazes e capazes de comprovar o cumprimento das normas (accountability).

04 Papéis no tratamento

A B2BICLOUD atua, conforme o caso, em duas posições jurídicas distintas perante a LGPD:

4.1. Na qualidade de Controladora

Quando trata dados pessoais de visitantes deste site, prospects, parceiros comerciais, colaboradores e fornecedores, decidindo sobre as finalidades e os meios do tratamento. Detalhes na Política de Privacidade.

4.2. Na qualidade de Operadora

Quando processa dados pessoais em nome de seus clientes contratantes, no contexto da prestação de serviços de nuvem privada, nuvem pública gerenciada, backup, monitoramento e suporte técnico. Nesse papel:

• Trata os dados estritamente conforme instruções documentadas do controlador (cliente);
• Garante confidencialidade das pessoas autorizadas ao tratamento;
• Adota as medidas de segurança aplicáveis (art. 39, IV da LGPD);
• Não subcontrata operadores sem autorização específica ou geral do controlador;
• Apoia o controlador no atendimento aos direitos dos titulares;
• Comunica, sem demora injustificada, qualquer incidente de segurança ao controlador.

05 Hipóteses autorizativas de tratamento

Todo tratamento de dados pessoais pela B2BICLOUD está fundamentado em ao menos uma das hipóteses autorizativas previstas no art. 7º da LGPD (dados pessoais comuns) ou no art. 11 (dados sensíveis, quando aplicável):

• I — fornecimento de consentimento pelo titular;
• II — cumprimento de obrigação legal ou regulatória;
• V — execução de contrato ou de procedimentos preliminares;
• VI — exercício regular de direitos em processo judicial, administrativo ou arbitral;
• IX — atendimento aos interesses legítimos do controlador ou de terceiro, observados os direitos fundamentais e liberdades do titular;
• X — proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

A análise da base legal aplicável a cada finalidade é registrada internamente como parte do programa de governança.

06 Direitos do titular

Em conformidade com o art. 18 da LGPD, o titular pode requerer, gratuitamente, à B2BICLOUD:

1. Confirmação da existência de tratamento de dados;
2. Acesso aos dados;
3. Correção de dados incompletos, inexatos ou desatualizados;
4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
5. Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa;
6. Eliminação dos dados tratados com o consentimento do titular;
7. Informação sobre as entidades públicas e privadas com as quais a B2BICLOUD realizou uso compartilhado de dados;
8. Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
9. Revogação do consentimento;
10. Revisão de decisões automatizadas que afetem seus interesses (art. 20).

O exercício destes direitos é gratuito e a resposta será prestada em até 15 (quinze) dias a contar do recebimento, ressalvadas hipóteses de prorrogação justificada.

07 Canal do Encarregado (DPO)

Nos termos do art. 41 da LGPD, a B2BICLOUD indica seu Encarregado pelo Tratamento de Dados Pessoais, responsável por:

• Aceitar reclamações e comunicações dos titulares;
• Prestar esclarecimentos e adotar providências;
• Receber comunicações da ANPD;
• Orientar funcionários e contratados sobre práticas de proteção de dados;
• Executar demais atribuições determinadas pelo controlador.

08 Medidas técnicas e administrativas de segurança

Conforme art. 46 da LGPD, a B2BICLOUD adota medidas de segurança adequadas ao risco do tratamento, incluindo, sem limitação:

8.1. Medidas técnicas

• Criptografia em trânsito (TLS 1.2 ou superior) e em repouso, quando aplicável;
• Segregação de ambientes (produção, homologação, desenvolvimento);
• Controle de acesso baseado em função (RBAC), princípio do menor privilégio e MFA;
• Backups segregados e geograficamente distribuídos, com testes periódicos de restauração;
• Monitoramento contínuo (SOC/SIEM), com retenção e selagem de logs;
• Detecção de intrusão (IDS/IPS), proteção contra DDoS e WAF;
• Hardening de sistemas operacionais e aplicações conforme benchmarks reconhecidos (CIS, NIST);
• Gestão de vulnerabilidades com varreduras e correção dentro de SLA;
• Datacenter Tier III com certificações ISO 27001, ISO 27701, ISO 22301, SOC e ANSI/TIA-942.

8.2. Medidas administrativas

• Programa de governança em privacidade documentado;
• Relatório de Impacto à Proteção de Dados (RIPD) quando exigido;
• Política de classificação e tratamento da informação;
• Acordos de confidencialidade (NDAs) com colaboradores, fornecedores e parceiros;
• Treinamento e conscientização periódicos das equipes;
• Auditorias internas e externas regulares;
• Plano de continuidade de negócios (ISO 22301) e plano de resposta a incidentes.

09 Gestão de incidentes

Em estrita observância ao art. 48 da LGPD e à Resolução CD/ANPD nº 15/2024, na hipótese de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a B2BICLOUD:

1. Aciona o plano de resposta a incidentes em até 1 (uma) hora a contar da detecção;
2. Contém o incidente, preserva evidências forenses e mitiga impactos imediatos;
3. Avalia o risco aos titulares e a criticidade do incidente;
4. Comunica à ANPD em prazo razoável, observando o regulamento vigente, contendo:
   • natureza dos dados afetados;
   • informações sobre os titulares envolvidos;
   • medidas técnicas e de segurança utilizadas;
   • riscos relacionados;
   • motivos da demora, se aplicável;
   • medidas adotadas ou planejadas para reverter ou mitigar os efeitos.
5. Comunica os titulares afetados, quando configurado risco ou dano relevante;
6. Quando atuando como operadora, comunica imediatamente o cliente-controlador.

10 Transferência internacional de dados

Como regra, os dados tratados pela B2BICLOUD permanecem em território nacional. Eventuais transferências internacionais observam o disposto nos arts. 33 a 36 da LGPD, ocorrendo apenas:

• Para países que proporcionem grau de proteção adequado, reconhecido pela ANPD;
• Mediante garantias específicas (cláusulas contratuais padrão, normas corporativas globais, certificações específicas ou selos);
• Com consentimento específico e em destaque do titular, quando aplicável;
• Para cumprimento de obrigação legal ou regulatória;
• Nas demais hipóteses do art. 33 da LGPD.

11 Soberania de dados

12 Responsabilidade e prestação de contas

A B2BICLOUD mantém estrutura formal de governança em privacidade, conforme art. 50 da LGPD, capaz de demonstrar a aplicação efetiva das normas de proteção de dados, incluindo:

• Política Interna de Proteção de Dados;
• Inventário de dados pessoais e mapeamento de operações (Record of Processing Activities);
• Plano anual de auditoria;
• Indicadores e métricas de privacidade;
• Avaliação contínua de operadores subcontratados;
• Canal interno e externo para denúncias e dúvidas em privacidade.

13 Sanções aplicáveis

A B2BICLOUD reconhece que o descumprimento da LGPD pode ensejar a aplicação das sanções previstas no art. 52 da Lei, incluindo:

• Advertência, com prazo para adoção de medidas corretivas;
• Multa simples de até 2% do faturamento, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• Multa diária, observado o limite total acima;
• Publicização da infração;
• Bloqueio ou eliminação dos dados pessoais a que se refere a infração;
• Suspensão parcial ou proibição do exercício de atividades relacionadas a tratamento de dados.

Tais sanções são aplicadas exclusivamente pela ANPD, com observância de devido processo administrativo e da Resolução CD/ANPD nº 4/2023.

14 Disposições finais

Este Termo é complementar à Política de Privacidade e aos contratos comerciais firmados com a B2BICLOUD. Em caso de divergência, prevalecem as cláusulas contratuais específicas firmadas com cada cliente.

O presente documento poderá ser atualizado em razão de mudanças legislativas, regulatórias ou operacionais. A versão vigente está sempre publicada nesta página, com a data da última revisão indicada no topo.

Este Termo é regido pela legislação brasileira. Fica eleito o foro da Comarca de Barueri/SP para dirimir quaisquer controvérsias dele decorrentes, com renúncia expressa a qualquer outro, ressalvada a competência dos Juizados Especiais Cíveis e a fixação legal de outro foro de natureza inderrogável.

Documento complementar à Política de Privacidade.