Última atualização: 10 de julho de 2025
1.1 Âmbito de aplicação. Este documento estabelece as condições gerais de uso (doravante, as "Condições") da plataforma online denominada "Tuduu" (doravante, a "Plataforma"), desenvolvida e fornecida pela Drilldown S.r.l., com sede legal em Viale Isonzo 8, 20135 Milão (MI), Itália, P. IVA/C.F. 12392590969 (doravante "Drilldown"). Estas Condições aplicam-se a todos os Usuários Profissionais que se registram na Plataforma e utilizam seus serviços. Por Usuários Profissionais entende-se, a título exemplificativo: profissionais da nutrição (ex. nutricionistas, dietologistas, dietistas) que utilizam as seções "Receitas" e "Nutrition"; criadores de conteúdo e provedores de conteúdo (que utilizam principalmente a seção "Receitas"); e operadores de comércio eletrônico (que utilizam as seções "Shop" e "Receitas").
1.2 Aceitação. O acesso, o registro e qualquer uso da Plataforma pelo Usuário pressupõem a leitura integral e a aceitação expressa destas Condições, bem como de eventuais documentos a elas vinculados (como a Política de Privacidade e o Acordo de Tratamento de Dados, quando aplicável). Na falta de aceitação, o uso da Plataforma não é permitido. O Usuário declara ter tomado conhecimento das Condições e compromete-se a respeitá-las em todos os momentos.
1.3 Requisitos do Usuário. A Plataforma destina-se a Usuários Profissionais maiores de idade e com capacidade jurídica. Ao se registrar, o Usuário garante ter pelo menos 18 anos (ou a maioridade legal em seu país) e, se agir em nome de uma empresa ou entidade, possuir os poderes necessários de representação. A Drilldown reserva-se o direito de solicitar informações ou documentação adicional para verificar o status profissional do Usuário (por exemplo, inscrição em um Conselho profissional para nutricionistas, quando exigido pela legislação vigente).
2.1 Procedimento de registro. O registro na Plataforma pode ocorrer (i) através do formulário de inscrição online disponível no site da Plataforma, no qual o Usuário fornecerá os dados solicitados, ou (ii) mediante convite direto enviado pela Drilldown (por exemplo, no âmbito de colaborações, programas piloto ou afiliações). Em ambos os casos, ao concluir o registro, será criada uma conta pessoal para o Usuário (doravante, "Conta").
2.2 Dados fornecidos e credenciais. O Usuário compromete-se a fornecer durante o registro informações precisas, completas e verdadeiras (por exemplo: nome, sobrenome, endereço de e-mail, dados profissionais, etc.) e a mantê-las atualizadas. As credenciais de acesso à Conta (nome de usuário e senha) são pessoais e intransferíveis. O Usuário deve guardar suas credenciais com a máxima confidencialidade e não compartilhá-las com terceiros. Em caso de perda, roubo ou suspeita de uso não autorizado da Conta, o Usuário deverá informar imediatamente a Drilldown, que poderá adotar as medidas necessárias (ex. suspensão temporária da Conta).
2.3 Exclusividade da Conta. Cada Usuário pode criar apenas uma Conta, salvo autorização escrita diferente da Drilldown para necessidades específicas (por exemplo, contas separadas para diferentes colaboradores de uma mesma organização). A Drilldown reserva-se o direito de eliminar ou unificar contas duplicadas relativas ao mesmo Usuário.
2.4 Gestão e suspensão da Conta. O Usuário é responsável por todas as atividades realizadas através de sua Conta. A Drilldown reserva-se o direito de recusar, suspender ou cancelar um registro ou Conta, a qualquer momento e sem aviso prévio, caso considere que há violações destas Condições, uso indevido da Plataforma ou por motivos de segurança. Em caso de cancelamento da Conta pela Drilldown por violação das Condições, o Usuário não terá direito a reembolso de quaisquer valores pagos por períodos de serviço não utilizados, salvo disposição em contrário prevista na legislação aplicável.
3.1 Seção "Receitas". A Plataforma disponibiliza uma seção "Receitas" onde os Usuários podem criar, carregar e gerenciar receitas culinárias. Esta seção é acessível a todos os Usuários Profissionais registrados, em particular: (i) profissionais da nutrição, que podem criar receitas para incluir em planos alimentares para seus clientes ou para compartilhá-las com outros usuários; (ii) criadores e provedores de conteúdo, que podem publicar receitas originais, com textos, ingredientes, instruções e imagens, tornando-as disponíveis na Plataforma; (iii) operadores de comércio eletrônico, que podem associar os produtos de sua loja online como ingredientes das receitas, tornando tais receitas uma ferramenta de promoção e venda dos produtos alimentares. A seção Receitas permite aplicar filtros nutricionais e de preferência alimentar (ex. receitas vegetarianas, veganas, sem glúten, etc.) para facilitar a busca de pratos adequados a necessidades específicas. As receitas carregadas são processadas pela Plataforma por meio de algoritmos que analisam os ingredientes e calculam automaticamente os valores nutricionais (por exemplo, calorias, macronutrientes, etc.) por porção, bem como a compatibilidade com determinados regimes dietéticos com base nos ingredientes indicados.
3.2 Seção "Shop". A seção "Shop" é dedicada aos Usuários Profissionais que são operadores de comércio eletrônico e/ou varejo, bem como do setor alimentar ou nutricional. Nesta seção, o Usuário pode integrar seu catálogo de produtos alimentares ou ingredientes com a Plataforma Tuduu. Em particular, o operador de comércio eletrônico pode vincular os produtos de sua loja online às receitas presentes no Tuduu: isso permite, por exemplo, que um ingrediente listado em uma receita corresponda a um produto adquirível na loja do operador. Os usuários finais da Plataforma (ex. visitantes ou clientes do operador) poderão assim adicionar tais ingredientes/produtos diretamente ao carrinho de compras com um clique, criando uma experiência de "receita comprável". A Plataforma oferece ainda funcionalidades automáticas de SEO (Search Engine Optimization) para as receitas integradas com a loja, a fim de aumentar sua visibilidade online. Também para os produtos associados à Loja, a Plataforma pode aplicar algoritmos de análise nutricional e categorização: por exemplo, identificando características nutricionais ou a presença/ausência de alérgenos e gerando automaticamente filtros (ex. "sem lactose", "orgânico", etc.) que ajudam os usuários a encontrar produtos alinhados às suas necessidades dietéticas.
3.3 Seção "Nutrition". A seção "Nutrition" é direcionada principalmente aos profissionais da nutrição (nutricionistas, dietologistas, dietistas ou outras figuras habilitadas). Nesta área da Plataforma, o profissional pode gerenciar informações e planos nutricionais para seus clientes/pacientes. As funcionalidades da seção Nutrition incluem ferramentas para criar e personalizar planos alimentares, dietas ou relatórios nutricionais. O profissional pode utilizar as receitas (próprias ou disponíveis na Plataforma) dentro dos planos nutricionais, com a possibilidade de modificar as porções e ver os impactos nutricionais em tempo real graças aos algoritmos de cálculo nutricional integrados. Além disso, a seção Nutrition oferece a possibilidade de gerar documentos PDF (por exemplo, fichas de dieta ou relatórios para entregar ao cliente) e de utilizar um aplicativo móvel dedicado: este aplicativo móvel permite ao cliente final visualizar seu plano nutricional, as receitas recomendadas e outras informações compartilhadas pelo profissional, diretamente em seu smartphone. Isso favorece um monitoramento contínuo e uma interação mais direta entre o profissional e o cliente através da Plataforma.
3.4 Algoritmos de análise nutricional. Em todas as seções acima descritas, a Plataforma Tuduu utiliza algoritmos avançados para a análise nutricional de receitas e produtos. Tais algoritmos processam os dados fornecidos pelos Usuários (ingredientes das receitas, informações nutricionais dos produtos, porções, etc.) e produzem automaticamente resultados como: o cálculo dos valores nutricionais (ex. energia, macronutrientes, micronutrientes), indicações sobre alérgenos ou substâncias específicas presentes, e sugestões sobre a compatibilidade de receitas/produtos com dietas particulares (por exemplo, se uma receita é adequada para uma dieta vegana ou sem glúten). Os algoritmos visam fornecer informações úteis e precisas; no entanto, operam com base nos dados disponíveis e em regras gerais, sem intervenção humana direta. Portanto, os resultados gerados podem não ser sempre perfeitamente precisos ou adequados a todas as circunstâncias. É responsabilidade do Usuário (especialmente do profissional da nutrição) examinar e verificar a exatidão das informações nutricionais e das sugestões fornecidas algoritmicamente antes de usá-las ou comunicá-las a seus clientes. As formas pelas quais os Usuários devem gerenciar eventuais erros ou incongruências são descritas nas seções seguintes destas Condições.
4.1 Uso conforme e lícito. O Usuário compromete-se a utilizar a Plataforma e os serviços relacionados de forma conforme a estas Condições, às eventuais instruções fornecidas pela Drilldown, e em respeito às leis e regulamentos aplicáveis. É proibido ao Usuário utilizar a Plataforma para fins ilegais ou não autorizados. Em particular, o Usuário não deverá: (i) usar a Plataforma de modo a violar direitos de terceiros ou normas legais (por exemplo, normas relativas à propriedade intelectual, proteção de dados pessoais, concorrência leal, etc.); (ii) introduzir conteúdos ou materiais prejudiciais, ofensivos, difamatórios, obscenos ou de outra forma inadequados; (iii) tentar acessar sem autorização as funcionalidades da Plataforma, contas alheias ou sistemas informáticos da Drilldown, nem comprometer a segurança ou integridade da Plataforma (por exemplo, através da introdução de vírus, malware ou outras atividades perturbadoras).
4.2 Verificação dos resultados algorítmicos. Conforme descrito no parágrafo 3.4, a Plataforma gera automaticamente informações nutricionais e sugestões por meio de algoritmos. O Usuário reconhece que tais informações são de natureza indicativa e devem sempre ser avaliadas criticamente. É obrigação do Usuário, especialmente se profissional da nutrição, verificar a exatidão e a coerência dos resultados algorítmicos (por exemplo, valores nutricionais calculados para uma receita, etiquetas nutricionais ou dietéticas atribuídas a um produto) antes de usá-los para fins profissionais ou compartilhá-los com seus clientes ou com o público. Caso o Usuário detecte erros, incongruências ou anomalias nos dados gerados pela Plataforma, compromete-se a reportá-los prontamente à Drilldown por meio das ferramentas de assistência ou contato disponibilizadas. O Usuário está ciente de que o não cumprimento dessa obrigação de verificação pode resultar na divulgação de informações incorretas, pelas quais ele será considerado responsável.
4.3 Conteúdos do Usuário – Licenças e garantias. Todos os conteúdos carregados, publicados ou inseridos pelo Usuário na Plataforma (incluindo, a título exemplificativo: textos, receitas, ingredientes, fotos, vídeos, marcas, logotipos, descrições de produtos) devem estar na legítima disponibilidade do Usuário. O Usuário garante possuir os direitos necessários (de propriedade intelectual e/ou de uso) sobre tais conteúdos, ou ter obtido as autorizações apropriadas dos titulares dos direitos, de modo que o uso dos conteúdos na Plataforma e pela Drilldown nos termos destas Condições não viole direitos de terceiros. Além disso, ao carregar conteúdos na Plataforma, o Usuário concede à Drilldown o direito e a licença não exclusivos, sublicenciáveis e gratuitos de usar, reproduzir, modificar, publicar, traduzir, distribuir, exibir e executar tais conteúdos exclusivamente em relação à prestação dos serviços da Plataforma e às atividades promocionais da mesma. Essa licença cessará no momento em que o Usuário remover os conteúdos da Conta ou da Plataforma, salvo nos casos em que a conservação seja exigida por obrigações legais ou para proteção de direitos. O Usuário também garante que os conteúdos fornecidos são precisos, verdadeiros (por exemplo, as informações nutricionais ou os ingredientes de uma receita correspondem à realidade) e não contrariam normas legais ou regulamentos (por exemplo, não contêm afirmações enganosas ou não permitidas no âmbito alimentar). O Usuário assume plena responsabilidade pelos conteúdos que insere na Plataforma, isentando e mantendo indene a Drilldown de quaisquer reivindicações de terceiros decorrentes dos referidos conteúdos (ver também a Cláusula de Indenização no parágrafo 9.4). A Drilldown reserva-se o direito de remover ou ocultar qualquer conteúdo do Usuário que considere, a seu exclusivo critério, violar estas Condições ou direitos de terceiros, ou ser inadequado.
4.4 Obrigações específicas para Operadores de comércio eletrônico. O Usuário que utiliza a seção Shop na qualidade de operador de comércio eletrônico é o único responsável pelos produtos que disponibiliza e pelas transações comerciais eventualmente concluídas através da Plataforma. Isso inclui, a título exemplificativo mas não exaustivo: a conformidade dos produtos alimentares com as normas vigentes (por exemplo, em matéria de segurança alimentar, rotulagem, indicações nutricionais e de saúde autorizadas); a veracidade e completude das descrições dos produtos (ingredientes, alérgenos, características nutricionais, preço, etc.); a gestão dos pedidos efetuados pelos usuários finais, o respectivo envio, entrega, faturamento, bem como o atendimento pós-venda, devoluções e reembolsos conforme previsto pela legislação aplicável (por exemplo, o Código do Consumidor, se aplicável ao cliente final). A Drilldown fornece exclusivamente a infraestrutura tecnológica da Plataforma para facilitar o encontro entre o operador de comércio eletrônico e os usuários finais compradores: a Drilldown, salvo intervenção de parceiros terceiros, não é parte contratual das compras e vendas de produtos entre o Usuário operador de comércio eletrônico e os clientes finais, nem assume obrigações de garantia sobre os produtos vendidos por tais Usuários. O operador de comércio eletrônico manterá a Drilldown completamente isenta de qualquer responsabilidade ou custo decorrente de reclamações, contestações, danos ou violações relacionadas aos produtos por ele oferecidos ou às transações comerciais realizadas através da Plataforma.
4.5 Respeito às normas profissionais. Se o Usuário for um profissional sujeito a normas deontológicas ou requisitos legais específicos (por exemplo, um nutricionista inscrito em um Conselho profissional), ele deve utilizar a Plataforma de forma coerente com as obrigações decorrentes de seu status profissional. Por exemplo, o profissional da nutrição deverá assegurar que o uso das ferramentas da Plataforma (como a elaboração de dietas ou conselhos nutricionais) ocorra em conformidade com as diretrizes e normas aplicáveis à sua profissão. Nada nestas Condições exime o Usuário do cumprimento dessas obrigações profissionais.
5.1 Serviços pagos e planos SaaS. O acesso a algumas funcionalidades ou seções da Plataforma (por exemplo, o uso avançado da seção Receitas para comércio eletrônico, ou ferramentas avançadas da seção Nutrition) pode estar condicionado à assinatura de um plano de assinatura SaaS (Software como Serviço) pago. A Drilldown pode oferecer diferentes planos com níveis variados de serviço (por exemplo: planos com número máximo de receitas gerenciáveis, funcionalidades adicionais como receitas "compráveis", remoção de marca d'água Tuduu, suporte prioritário, etc.), conforme descrito na Plataforma ou na documentação comercial da Drilldown. Alguns planos podem prever um período de teste gratuito inicial, ao término do qual a assinatura se tornará paga salvo cancelamento tempestivo por parte do Usuário.
5.2 Valores e formas de pagamento. Os preços dos diversos pacotes de assinatura (doravante "Valores") são indicados na Plataforma ou comunicados pela Drilldown ao Usuário no momento da assinatura. Os Valores são normalmente expressos sem IVA e eventuais impostos aplicáveis, que serão adicionados se devidos conforme a legislação fiscal vigente. O pagamento dos Valores ocorre por meio de sistemas de pagamento eletrônico externos, como, a título exemplificativo, Stripe. No momento da assinatura, poderá ser solicitado ao Usuário inserir os dados de um cartão de crédito ou outro método de pagamento suportado, e o Usuário autoriza a Drilldown (ou o fornecedor terceiro Stripe) a debitar automaticamente o Valor devido com a periodicidade prevista pelo plano escolhido (ex. mensal ou anual). Todas as transações estão sujeitas aos termos e condições do fornecedor de pagamento Stripe; a Drilldown não armazena os detalhes completos dos cartões de crédito do Usuário, que são gerenciados com segurança pela Stripe.
5.3 Variações de preço. A Drilldown reserva-se o direito de modificar o preço dos planos de assinatura a qualquer momento. Eventuais variações de preço entrarão em vigor somente a partir do período de faturamento seguinte à comunicação ao Usuário. A Drilldown informará o Usuário de forma adequada (por exemplo, por e-mail ou notificação dentro da Plataforma) sobre alterações de preço com antecedência razoável. Caso o Usuário não deseje aceitar o novo preço, poderá cancelar a assinatura antes que a alteração entre em vigor; a continuidade no uso do serviço após a entrada em vigor da alteração constituirá aceitação do novo preço.
5.4 Duração da assinatura e cancelamento. Salvo indicação em contrário, as assinaturas são consideradas com renovação automática: ao término de cada período (mensal, anual, etc.), a assinatura renova-se automaticamente por um novo período de igual duração, salvo cancelamento por parte do Usuário ou rescisão pela Drilldown dentro dos prazos indicados a seguir. O Usuário pode rescindir a assinatura a qualquer momento por meio da funcionalidade apropriada na Plataforma (por exemplo, nas configurações da Conta) ou contatando o suporte da Drilldown para solicitar o cancelamento. O cancelamento terá efeito ao final do período de assinatura já pago: até essa data, o Usuário manterá o acesso às funcionalidades pagas, e não são previstos reembolsos por eventuais períodos não utilizados. Em caso de não pagamento do Valor (por exemplo, por cartão de crédito inválido ou insuficiência de fundos) ou violação destas Condições pelo Usuário, a Drilldown poderá suspender ou rescindir a assinatura; nesse caso, o Usuário permanece obrigado ao pagamento dos valores devidos até a data de cessação, sem prejuízo do direito da Drilldown a indenização por danos adicionais se a rescisão ocorreu por inadimplemento do Usuário.
Caso a Drilldown e o Usuário tenham celebrado um acordo escrito específico que preveja termos e condições particulares para o uso da Plataforma (por exemplo, um contrato personalizado de serviço, uma convenção empresarial ou de parceria), ou a publicação de conteúdos (receitas e produtos) em canais externos como o marketplace Tuduu.it ou outros canais compartilhados, as disposições desse acordo particular aplicar-se-ão além destas Condições. Em caso de conflito entre as cláusulas do contrato personalizado e o previsto nestas Condições gerais, prevalecerão as cláusulas do contrato personalizado, limitadamente aos aspectos em conflito. Entende-se que para tudo o que não for expressamente regulado no acordo específico, aplicar-se-ão estas Condições Gerais.
7.1 Plataforma e conteúdos da Drilldown. A Plataforma (incluindo software, código-fonte, design, interface do usuário, bancos de dados, marcas "Tuduu" e "Drilldown", logotipos, nomes de domínio e todos os demais conteúdos e materiais presentes no site e no app, exceto os Conteúdos do Usuário conforme definidos acima) é de propriedade exclusiva da Drilldown ou de seus eventuais licenciadores. Esses elementos são protegidos pelas leis de direitos autorais, marcas, patentes, design industrial e/ou outras normas de proteção da propriedade intelectual. O Usuário compromete-se a não copiar, modificar, distribuir, vender ou criar obras derivadas de qualquer parte da Plataforma ou de seus conteúdos proprietários, salvo quando expressamente autorizado pela Drilldown ou pela lei. O acesso à Plataforma não implica em qualquer transferência ao Usuário de direitos de propriedade intelectual sobre software ou outros elementos de titularidade da Drilldown, mas apenas a concessão de uma licença de uso limitada, revogável e não exclusiva, destinada ao uso da Plataforma conforme estas Condições.
7.2 Conteúdos do Usuário. O Usuário mantém a plena titularidade dos direitos sobre os conteúdos próprios que carrega na Plataforma (conforme definido no parágrafo 4.3). Contudo, conforme estabelecido na cláusula 4.3, o Usuário concede à Drilldown uma licença de uso desses conteúdos para as finalidades e com as limitações ali descritas. O Usuário reconhece que tais conteúdos publicados na Plataforma podem ser visíveis a outros usuários ou, no caso de receitas ou informações tornadas públicas, também a visitantes não registrados, e autoriza a Drilldown a realizar eventuais atividades de publicação, compartilhamento ou indexação necessárias para dar visibilidade a esses conteúdos nos termos previstos pelas funcionalidades da Plataforma.
7.3 Feedback e sugestões. Caso o Usuário forneça à Drilldown comentários, sugestões ou ideias relativas à Plataforma ou aos serviços (por exemplo, indicação de novas funcionalidades ou melhorias), tais contribuições não serão consideradas confidenciais. A Drilldown será livre para utilizar esses feedbacks para qualquer finalidade, sem que isso gere para o Usuário direito a qualquer compensação ou reconhecimento, e sem que isso implique transferência de direitos ao Usuário sobre eventuais modificações ou melhorias implementadas.
8.1 Tratamento de dados pessoais. A Drilldown trata os dados pessoais fornecidos pelo Usuário ou coletados durante o uso da Plataforma em conformidade com o Regulamento UE 2016/679 ("GDPR") e a legislação italiana de privacidade aplicável. As informações sobre as modalidades e finalidades do tratamento de dados pessoais estão detalhadas na Política de Privacidade fornecida ao Usuário e disponível no site da Plataforma. O Usuário, ao aceitar estas Condições, declara ter tomado conhecimento dessa política.
8.2 Dados de terceiros inseridos pelo Usuário. Caso o Usuário (por exemplo, um profissional da nutrição) insira na Plataforma dados pessoais de terceiros, como informações sobre seus clientes ou pacientes (ex. nome, contatos, dados relativos à saúde ou regime alimentar), ele garante ter obtido esses dados de forma lícita e, quando necessário, ter obtido o consentimento informado dos interessados para o uso desses dados na Plataforma. Em relação a esses tratamentos, o Usuário se qualifica como Controlador dos dados e a Drilldown atua como Processador dos dados nos termos do art. 28 GDPR, limitadamente às atividades de armazenamento e processamento necessárias para fornecer os serviços da Plataforma. A esse respeito, poderá ser elaborado um Acordo de Tratamento de Dados (Data Processing Agreement) que disciplinará detalhadamente as respectivas obrigações em matéria de proteção de dados pessoais; tal acordo, quando aplicável, integra estas Condições.
8.3 Dados de uso e dados agregados. A Drilldown está autorizada a coletar e processar dados relativos ao uso da Plataforma pelos Usuários (por exemplo, funcionalidades utilizadas, número de receitas criadas, parâmetros de busca, estatísticas de navegação, feedback fornecidos, etc.) com o objetivo de melhorar o serviço e garantir o funcionamento correto da Plataforma. Esses dados de uso, uma vez coletados, poderão ser submetidos a processos de anonimização e agregação, de modo a não permitir mais a identificação direta ou indireta dos Usuários ou de pessoas físicas. O Usuário toma conhecimento e aceita expressamente que a Drilldown, em conformidade com a legislação vigente, poderá utilizar esses dados anônimos e agregados para finalidades de análise estatística, pesquisa e desenvolvimento, e também para fins comerciais e de monetização. Isso poderá incluir, por exemplo, a publicação de relatórios ou insights sobre tendências nutricionais extraídas dos dados globais dos usuários, ou o compartilhamento de dados estatísticos com terceiros interessados (por exemplo, parceiros comerciais) em forma rigorosamente anônima. Em nenhum caso tais atividades implicarão a comunicação a terceiros de dados pessoais identificativos do Usuário sem o consentimento deste ou sem outra base legal válida prevista em lei.
9.1 Funcionalidades da Plataforma - "como vista". A Plataforma Tuduu e todos os seus serviços e funcionalidades são fornecidos ao Usuário na forma "como estão" e "conforme disponíveis" ("as is" e "as available"). Isso significa que, embora a Drilldown se empenhe para manter a Plataforma operacional e atualizada, não é fornecida qualquer garantia específica quanto à ausência de erros ou interrupções. Em particular, a Drilldown não garante que: (i) a Plataforma atenda plenamente às necessidades específicas do Usuário; (ii) os resultados obtidos por meio do uso da Plataforma (incluindo as análises nutricionais algorítmicas) sejam sempre precisos, exatos ou confiáveis; (iii) o funcionamento da Plataforma seja livre de interrupções, atrasos, falhas ou erros; (iv) eventuais defeitos ou bugs do software sejam corrigidos imediatamente. O Usuário aceita que o uso da Plataforma ocorre por sua conta e risco.
9.2 Limitação da responsabilidade da Drilldown. Na máxima extensão permitida pela legislação aplicável, a Drilldown não será responsável por danos indiretos, incidentais, consequenciais, especiais ou punitivos sofridos pelo Usuário ou por terceiros em conexão com o uso da Plataforma ou a impossibilidade de utilizá-la. Estão em qualquer caso excluídos da indenização, dentro dos limites acima, danos como: perda de lucro, ganho cessante ou economia frustrada, perda de oportunidades comerciais, perda de dados, interrupção da atividade ou reivindicações de terceiros contra o Usuário. Caso a Drilldown seja considerada responsável por qualquer motivo no âmbito da relação contratual com o Usuário, a responsabilidade total da Drilldown não poderá exceder o montante dos valores que o Usuário pagou à Drilldown nos 12 meses anteriores ao evento que gerou a responsabilidade (ou, se o uso da Plataforma for gratuito, um valor máximo de 100 euros). Essa limitação de responsabilidade aplica-se na máxima extensão permitida por lei, e nada nestas Condições pretende limitar a responsabilidade da Drilldown por dolo ou culpa grave, ou outros casos em que a lei não admite limitação.
9.3 Nenhuma consultoria médica ou diagnóstica. O Usuário reconhece que a Plataforma e as funcionalidades fornecidas não têm caráter de dispositivo médico e não constituem em hipótese alguma oferta de consultoria médica, diagnóstico ou tratamento de saúde personalizado. As informações nutricionais, dados e sugestões gerados por meio do Tuduu têm exclusivamente finalidade informativa e de suporte profissional, e não substituem em hipótese alguma o parecer médico ou a avaliação de um profissional de saúde habilitado. Qualquer decisão relativa à saúde, dieta ou tratamento de um indivíduo deve ser tomada por um profissional competente com base na avaliação direta do caso específico. Se o Usuário for um profissional da nutrição, permanece plenamente responsável pelas consultorias fornecidas a seus clientes/pacientes: o uso da Plataforma não exime o Usuário do dever de avaliação pessoal e do respeito às melhores práticas profissionais. Se o Usuário não for um operador de saúde, deverá sempre consultar médicos ou especialistas qualificados para diagnósticos ou conselhos terapêuticos. A Drilldown não garante qualquer resultado em termos de saúde ou condição física decorrente do uso da Plataforma, nem assume responsabilidade por consequências decorrentes da confiança exclusiva em informações obtidas por meio da Plataforma.
9.4 Indenização pelo Usuário. O Usuário compromete-se a indenizar e manter indene a Drilldown, bem como seus representantes, empregados e colaboradores, de qualquer perda, dano, responsabilidade, custo ou despesa (incluindo despesas legais razoáveis) decorrente de qualquer reclamação ou demanda de terceiros causada por ou relacionada a: (i) conteúdos fornecidos pelo Usuário na Plataforma que violem direitos de terceiros ou normas legais; (ii) violação pelo Usuário destas Condições ou de obrigações legais no uso da Plataforma; (iii) negligência, imprudência ou dolo do Usuário no uso da Plataforma; (iv) produtos vendidos ou comercializados pelo Usuário através da Plataforma (no caso de operador de comércio eletrônico), incluindo eventuais contestações sobre qualidade, conformidade ou segurança desses produtos. A Drilldown notificará prontamente o Usuário sobre a eventual ocorrência dessas reclamações e cooperará razoavelmente na defesa, ficando entendido que a Drilldown terá a faculdade de dispor autonomamente de sua defesa legal.
10.1 Duração do contrato. Este acordo contratual entre o Usuário e a Drilldown entra em vigor no momento da aceitação das Condições pelo Usuário (registro e/ou primeiro uso da Plataforma) e permanece válido durante todo o período de uso da Plataforma pelo Usuário. A conta e eventual assinatura do Usuário são por tempo indeterminado com renovações periódicas automáticas conforme descrito acima, salvo rescisão conforme previsto a seguir.
10.2 Rescisão pelo Usuário. O Usuário pode rescindir a qualquer momento esta relação contratual solicitando o cancelamento de sua Conta e cessando o uso da Plataforma. O cancelamento da Conta pode ser realizado por meio da função apropriada na Plataforma (quando disponível) ou contatando a Drilldown por escrito. Em caso de rescisão voluntária, o Usuário não terá direito a reembolso dos valores já pagos por serviços não integralmente usufruídos, salvo o previsto no parágrafo 5.4 para assinaturas em curso. O encerramento da Conta implica inacessibilidade futura aos dados e conteúdos inseridos pelo Usuário na Plataforma, salvo obrigações de conservação de dados para cumprimento de lei ou proteção de direitos conforme indicado na Política de Privacidade.
10.3 Suspensão ou rescisão pela Drilldown. A Drilldown reserva-se o direito de suspender temporariamente o acesso do Usuário à Plataforma ou rescindir este contrato com efeito imediato (desabilitando a Conta), nos seguintes casos: (i) quando necessário para garantir a segurança da Plataforma ou dos dados (por exemplo, em caso de violação ou ameaça à segurança informática); (ii) em caso de violação grave ou reiterada pelo Usuário destas Condições (por exemplo, uso ilícito da Plataforma, não pagamento de valores devidos, divulgação não autorizada de dados confidenciais, etc.); (iii) se exigido por decisão da Autoridade ou por norma legal; (iv) em caso de cessação da atividade da Drilldown relativa à Plataforma ou impossibilidade superveniente de fornecer os serviços. Salvo quando proibido por lei ou decisão (ex. ordem da autoridade para bloqueio imediato), a Drilldown fornecerá ao Usuário comunicação escrita da suspensão ou rescisão, indicando as razões, com aviso prévio razoável quando possível. Em caso de rescisão não imputável ao Usuário (ex. hipótese (iv) acima), a Drilldown, quando aplicável, reembolsará ao Usuário a parte do valor já pago relativa ao período de assinatura não usufruído após a data de eficácia da rescisão.
10.4 Efeitos da cessação. Após a cessação da relação contratual, por qualquer motivo, o Usuário deverá cessar imediatamente o uso da Plataforma. Todas as cláusulas destas Condições que por sua natureza destinam-se a sobreviver à cessação (tais como, a título exemplificativo: obrigações de pagamento vencidas, exclusões de garantia, limitações de responsabilidade, indenizações, disposições sobre propriedade intelectual e tratamento de dados) continuarão em pleno vigor. A cessação da eficácia das Condições não prejudica eventuais direitos ou recursos legais adquiridos pelas partes até então.
A Drilldown reserva-se o direito de atualizar ou modificar a qualquer momento estas Condições, por exemplo, para adequá-las a mudanças normativas, introdução de novas funcionalidades ou serviços, ou por outras necessidades organizacionais. Em caso de alteração substancial das Condições, a Drilldown comunicará ao Usuário com aviso prévio adequado, mediante publicação de aviso no site da Plataforma e/ou envio de comunicação ao endereço de e-mail registrado do Usuário. As alterações entrarão em vigor a partir da data indicada na comunicação (ou, na ausência de indicação, após 15 dias da comunicação). Caso o Usuário não deseje aceitar as alterações, poderá rescindir o contrato até a data de vigência das mesmas, cancelando sua Conta. Na falta de rescisão dentro desse prazo, as novas Condições serão consideradas aceitas e aplicáveis ao Usuário a partir da data de vigência indicada.
Estas Condições e todas as relações contratuais delas decorrentes são regidas pela lei italiana. Qualquer controvérsia que surgir entre a Drilldown e o Usuário relativa à interpretação, validade, execução ou resolução destas Condições, ou relacionada ao uso da Plataforma, será submetida à competência exclusiva do Foro de Milão, salvo foros inderrogáveis previstos pela legislação aplicável.
13.1 Integralidade do acordo. Estas Condições (juntamente com os documentos referenciados ou anexados, como a Política de Privacidade e, quando aplicável, o Acordo de Tratamento de Dados) constituem o acordo integral entre o Usuário e a Drilldown sobre o uso da Plataforma pelo Usuário, substituindo qualquer entendimento ou acordo anterior, oral ou escrito, entre as partes sobre o mesmo objeto. Fica reservada a possibilidade de celebrar contratos ad hoc conforme previsto no art. 6 acima.
13.2 Invalidade parcial. Caso qualquer disposição destas Condições seja considerada nula, inválida ou ineficaz por autoridade competente (por exemplo, um Tribunal), será aplicada na máxima extensão permitida e isso não afetará a validade e eficácia das demais disposições, que continuarão plenamente válidas e vinculantes.
13.3 Não renúncia. O eventual não exercício ou atraso no exercício de um direito ou faculdade previsto a favor da Drilldown nestas Condições não constitui renúncia a esse direito ou faculdade, que poderá ser exercido posteriormente, nos limites permitidos por lei.
13.4 Cessão do contrato. O Usuário não pode ceder ou transferir a terceiros este contrato (ou seja, sua Conta e os direitos/obrigações decorrentes das Condições) sem o consentimento prévio por escrito da Drilldown. A Drilldown, mediante comunicação ao Usuário, poderá ceder este contrato no âmbito de transferências de empresa, operações societárias extraordinárias ou a sociedades controladoras, controladas ou coligadas, sem prejuízo dos direitos do Usuário nos termos destas Condições.
13.5 Idioma e versões. Estas Condições Gerais de Uso são redigidas em língua italiana. Eventuais traduções para outras línguas ou versões locais são fornecidas exclusivamente para conveniência de consulta; em caso de divergência ou dúvida interpretativa, prevalecerá o texto em italiano.
13.6 Contatos. Para qualquer comunicação relativa a estas Condições ou ao uso da Plataforma, o Usuário pode contatar a Drilldown pelos contatos indicados no site (por exemplo, no endereço de e-mail de suporte fornecido). A Drilldown poderá contatar o Usuário pelos contatos (e-mail, endereço) fornecidos no momento do registro.
Partes: Este Acordo de Tratamento de Dados é celebrado entre:
Controlador do tratamento (doravante "Controlador"): o profissional (pessoa física ou jurídica) que utiliza o módulo de nutrição e determina as finalidades e meios do tratamento dos dados pessoais dos pacientes;
Processador do tratamento (doravante "Processador"): a empresa fornecedora do módulo de nutrição (ex. plataforma de software/CRM), que trata os dados pessoais em nome do Controlador.
1.1 Objeto
Nos termos do art. 28 do Regulamento (UE) 2016/679 (GDPR), este acordo regula o tratamento dos dados pessoais que o Processador realiza em nome do Controlador no âmbito do módulo de nutrição do serviço fornecido ao Controlador. Em particular, o Processador tratará os dados inseridos pelo Controlador no CRM (nome, sobrenome, contatos, dados nutricionais dos pacientes, etc.) exclusivamente para fornecer as funcionalidades do módulo de nutrição e em conformidade com as instruções do Controlador (ver Seção 6). O tratamento dos dados pessoais ocorrerá segundo as operações permitidas pelo art. 4(2) GDPR, como coleta, registro, organização, armazenamento, consulta, uso, modificação, exclusão, etc., necessárias para a prestação do serviço.
1.2 Duração
A duração deste acordo coincide com a do relacionamento contratual entre Controlador e Processador relativo ao uso do módulo de nutrição. O acordo permanece em vigor enquanto o Processador tratar dados pessoais em nome do Controlador. Em caso de cessação do serviço principal (ex. cancelamento da conta ou término do contrato de serviço), aplicar-se-ão as disposições sobre devolução/exclusão dos dados da Seção 10. O Controlador pode rescindir imediatamente este acordo em caso de violação grave pelo Processador das normas de proteção de dados ou das obrigações aqui previstas. Fica salvo o direito de cada parte de solicitar indenização por eventuais danos decorrentes da violação do acordo.
O Processador fornece ao Controlador uma plataforma de software (módulo de nutrição) em modo Software as a Service para a gestão da atividade nutricional dos pacientes. A finalidade do tratamento é permitir que o Controlador armazene e processe informações sobre seus pacientes para oferecer consultorias nutricionais personalizadas, elaborar planos alimentares, monitorar o andamento do peso e outros parâmetros de saúde, bem como gerenciar comunicações com os pacientes e agendamentos relacionados. Essas funcionalidades enquadram-se nas práticas médicas/nutricionais geridas pelo software, de forma análoga a serviços digitais de saúde para gestão de prontuários e planos de cuidado.
Na prática, a natureza do tratamento inclui todas as operações necessárias para a prestação do serviço do módulo de nutrição, incluindo coleta, organização, consulta, modificação, salvamento, extração, comunicação ao próprio Controlador, exclusão ou destruição dos dados inseridos no sistema, conforme instruções do Controlador. O Processador não utilizará os dados para finalidades próprias além das acordadas, nem os comunicará a terceiros salvo por instrução do Controlador ou obrigação legal (conforme detalhado adiante).
No âmbito do módulo de nutrição, o Processador tratará em nome do Controlador as seguintes categorias de dados pessoais referentes aos pacientes do Controlador:
Dados cadastrais e de contato: nome, sobrenome, endereço de e-mail, data e local de nascimento, telefones e eventuais endereços (ex. para contato com o paciente).
Dados nutricionais/saúde: informações sobre o estado de saúde e hábitos alimentares do paciente, por exemplo preferências ou restrições nutricionais (dietas específicas, alergias alimentares, escolhas vegetarianas/veganas, etc.), dados de monitoramento de peso e parâmetros antropométricos ou de saúde similares, bem como eventuais notas sobre estilo de vida relevantes para a nutrição. Essas informações são dados pessoais relativos à saúde nos termos do art. 4(15) GDPR e/ou podem revelar indiretamente crenças religiosas ou filosóficas (ex. escolhas alimentares), constituindo categorias especiais de dados nos termos do art. 9 GDPR. Consequentemente, tanto o Controlador quanto o Processador comprometem-se a adotar as precauções e medidas de segurança necessárias previstas pela legislação para proteger esses dados sensíveis.
As categorias de titulares cujos dados são tratados em execução deste acordo são: os pacientes (clientes) do Controlador, pessoas físicas que recebem consultoria nutricional ou outros serviços do Controlador e cujos dados pessoais são inseridos no módulo de nutrição.
O Controlador compromete-se a:
Legalidade e transparência: Garantir que os dados pessoais dos pacientes confiados ao Processador sejam coletados e tratados legalmente (por exemplo, obtendo quando necessário o consentimento informado do paciente ou outra base jurídica válida nos termos do art. 6 GDPR) e que os titulares tenham sido adequadamente informados sobre as finalidades e modalidades do tratamento, conforme os arts. 13 e 14 GDPR. O Controlador permanece responsável perante os titulares pelo cumprimento das obrigações legais relativas a esses dados.
Instruções documentadas: Fornecer ao Processador instruções documentadas, claras e atualizadas sobre o tratamento dos dados (ex. por meio deste acordo e eventuais políticas ou diretrizes operacionais). Eventuais instruções adicionais ou modificações às instruções iniciais deverão ser comunicadas por escrito (inclusive por e-mail PEC ou sistema eletrônico de tickets) e mantidas como referência. O Processador tratará os dados somente conforme as instruções recebidas. Caso, a critério do Processador, uma instrução do Controlador viole a legislação de privacidade, o Processador informará imediatamente o Controlador (ver também Seção 6).
Vigilância e auditoria: Verificar, antes do início e periodicamente, que o Processador forneça garantias suficientes em termos de medidas técnicas e organizacionais adequadas à proteção dos dados confiados, e que respeite as disposições deste acordo. O Controlador tem o direito de realizar ou fazer realizar auditorias periódicas (ex. anuais) e inspeções, mediante aviso prévio razoável, sobre as atividades do Processador relativas aos dados confiados, para verificar o cumprimento das normas de proteção de dados e das instruções acordadas. O Processador compromete-se a cooperar fornecendo informações ou acesso razoável às infraestruturas, nos limites acordados (ver Seções 6 e 8 para detalhes sobre auditorias e subcontratados).
Comunicação de irregularidades: Informar prontamente o Controlador caso detecte erros, incongruências ou violações nas modalidades de tratamento realizadas pelo Processador que possam implicar não conformidade com este acordo ou com a legislação de privacidade vigente. As partes cooperarão para remediar tempestivamente quaisquer irregularidades detectadas.
Confidencialidade das informações: Tratar como estritamente confidenciais todas as informações relativas às medidas de segurança, sistemas e segredos comerciais do Processador das quais tome conhecimento no âmbito da relação contratual. Essa obrigação de confidencialidade permanece válida mesmo após a cessação deste acordo.
Gestão das solicitações dos titulares: O Controlador permanece responsável por responder às solicitações de exercício de direitos apresentadas por seus pacientes (acesso, retificação, exclusão, oposição, portabilidade, etc. – Capítulo III GDPR). Caso o Processador receba diretamente comunicações ou solicitações de um titular relativas aos dados objeto deste acordo, deverá transmiti-las imediatamente ao Controlador sem dar seguimento por conta própria, salvo autorização específica. O Controlador fornecerá ao Processador as instruções necessárias para atender tais solicitações, considerando que o Processador auxiliará o Controlador na medida prevista por lei (ver Seção 6).
O Processador compromete-se a cumprir todas as obrigações previstas no art. 28 GDPR. Em particular, sem prejuízo das obrigações detalhadas em outras partes deste acordo, o Processador deve:
Tratar somente sob instruções: tratar os dados pessoais exclusivamente sob instrução documentada do Controlador. Isso vale também para eventuais transferências de dados para países terceiros ou organizações internacionais: tais operações não são permitidas ao Processador sem prévia instrução/autorização do Controlador (ver também Seção 9), salvo se norma do direito da União ou do Estado-membro imponha ao Processador determinado tratamento; nesse caso, o Processador informará o Controlador dessa obrigação jurídica antes do tratamento, salvo se a lei proibir tal comunicação por motivos importantes de interesse público.
Confidencialidade do pessoal: garantir que as pessoas autorizadas a tratar os dados pessoais (próprios empregados ou eventuais colaboradores) tenham recebido instruções adequadas sobre o respeito à legislação de privacidade e tenham se comprometido contratualmente à confidencialidade (ou estejam sujeitas a obrigação legal apropriada de confidencialidade). O Processador assegurará que qualquer pessoa sob sua autoridade e com acesso aos dados pessoais do Controlador não os trate senão sob instrução do Controlador. Essa obrigação de confidencialidade permanece mesmo após a cessação deste acordo.
Segurança dos dados: adotar e manter medidas técnicas e organizacionais adequadas nos termos do art. 32 GDPR para garantir um nível de segurança apropriado ao risco dos tratamentos confiados. Tais medidas incluem, entre outras, a pseudonimização e criptografia dos dados pessoais (quando apropriado), sistemas de controle de acesso e autenticação, capacidade de assegurar confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de tratamento, bem como capacidade de restaurar prontamente o acesso aos dados em caso de incidentes físicos ou técnicos. O Processador adotará procedimentos para testar, verificar e avaliar regularmente a eficácia das medidas técnicas e organizacionais implementadas (ver também Seção 7 abaixo para mais detalhes sobre medidas de segurança).
Limitações de uso: não utilizar os dados pessoais fornecidos pelo Controlador para finalidades próprias e não fazer cópias ou duplicatas dos dados, salvo quando necessário para a prestação do serviço e sempre com consentimento/instrução do Controlador. O Processador garante manter os dados tratados para o Controlador logicamente ou fisicamente separados dos dados de outros clientes ou de seus próprios bancos de dados, para evitar misturas.
Subprocessadores: não delegar a subprocessadores a execução de atividades específicas de tratamento em nome do Controlador sem autorização prévia (escrita) destehttps://www.privacy-regulation.eu/pt/28.htm. Em caso de autorização para uso de subprocessadores (ver Seção 8 para detalhes), o Processador deverá impor a esses sujeitos as mesmas obrigações em matéria de proteção de dados pessoais previstas neste acordo e permanecerá plenamente responsável perante o Controlador pelo cumprimento dessas obrigações pelos subprocessadores.
Assistência ao Controlador: considerando a natureza do tratamento e as informações disponíveis, auxiliar o Controlador no cumprimento de suas obrigações em matéria de proteção de dados. Em particular, o Processador fornecerá suporte adequado para que o Controlador possa atender às solicitações de exercício dos direitos dos titulares (direito de acesso, retificação, exclusão, oposição, portabilidade, etc.), por exemplo, disponibilizando funcionalidades do software que permitam ao Controlador extrair, retificar ou excluir os dados dos pacientes mediante solicitação. Além disso, o Processador auxiliará o Controlador a garantir o cumprimento das obrigações de segurança dos dados e, se aplicável, de notificação de eventuais violações de dados pessoais às autoridades de controle ou aos titulares, nos termos dos arts. 32-34 GDPR (ex. fornecendo prontamente ao Controlador informações relativas a um data breach para permitir a notificação em até 72 horas, ver também ponto seguinte). Da mesma forma, o Processador cooperará com o Controlador caso seja necessária uma avaliação de impacto sobre a proteção de dados (DPIA) ou consultas prévias com a autoridade de controle nos termos dos arts. 35-36 GDPR, fornecendo as informações de sua competência.
Notificação de violações: informar imediatamente o Controlador em caso de violações de segurança ou incidentes (ex. acessos não autorizados, perda, destruição ou divulgação acidental de dados pessoais) relativos aos dados tratados em nome do Controlador. Essa comunicação deverá incluir todas as informações de que o Processador tenha conhecimento úteis ao Controlador para avaliar a gravidade do evento e cumprir eventuais obrigações de notificação ao Garante de Privacidade e/ou comunicação aos titulares nos termos dos arts. 33 e 34 GDPR. O Processador compromete-se a apoiar o Controlador nas atividades de análise e gestão do incidente e na elaboração das notificações ou comunicações, conforme instruções do Controlador.
Prova de conformidade e auditoria: disponibilizar ao Controlador todas as informações necessárias para demonstrar o cumprimento das obrigações previstas neste acordo. A pedido do Controlador, o Processador fornecerá documentação comprovando as medidas de segurança implementadas (ex. certificações, relatórios de auditorias internas/externas, atestados de conformidade) e facilitará a realização de inspeções ou verificações pelo Controlador ou por sujeito por ele designado. As modalidades de auditoria (tempos, extensão, medidas de segurança para proteger dados de outros clientes, etc.) serão acordadas entre as partes respeitando as necessidades mútuas.
Comunicação de instruções conflitantes: caso o Processador considere que uma instrução dada pelo Controlador viole o GDPR ou outras disposições legais em matéria de proteção de dados, deverá informar prontamente o Controlador antes de executar tal instrução, podendo suspender sua aplicação até confirmação ou modificação pelo Controlador (conforme permitido pelo art. 28(3) GDPR).
O Processador declara ter adotado medidas técnicas e organizacionais adequadas para garantir um nível de segurança apropriado ao risco dos tratamentos realizados, em conformidade com o art. 32 GDPR. A seleção dessas medidas foi feita considerando o estado da arte, os custos de implementação, a natureza, extensão, contexto e finalidades do tratamento, bem como os riscos para os direitos e liberdades das pessoas físicas. Em particular, o Processador implementa medidas como:
Controle de acesso: acesso aos dados pessoais permitido apenas a pessoal autorizado para finalidades estritamente necessárias; adoção de sistemas de autenticação segura para usuários e administradores (ex. senhas robustas, autenticação de dois fatores).
Criptografia e pseudonimização: uso de protocolos de criptografia para proteger os dados pessoais durante a transmissão (ex. HTTPS/TLS) e, quando possível, criptografia dos dados em repouso nos servidores ou backups. Eventual pseudonimização dos dados identificativos dos pacientes em análises agregadas, de modo que não possam ser atribuídos a pessoas físicas específicas sem informações adicionais.
Integridade e disponibilidade: sistemas regulares de backup dos dados e procedimentos de restauração para assegurar a disponibilidade e o acesso aos dados pessoais em tempos rápidos em caso de incidentes físicos ou técnicos. Uso de medidas anti-malware, firewall e monitoramento para prevenir acessos não autorizados ou perda dos dados.
Testes e monitoramento: verificação periódica da eficácia das medidas de segurança adotadas, por meio de auditorias internas, testes de vulnerabilidade, monitoramento dos logs de segurança e, se necessário, correção tempestiva de eventuais pontos fracos identificados.
As medidas de segurança adotadas pelo Processador são descritas em documentação técnica específica (ex. apêndice sobre Medidas Técnicas e Organizacionais), que pode ser fornecida ao Controlador mediante solicitação e que integra este acordo. O Processador garante manter atualizadas tais medidas para adequá-las à evolução dos riscos e das melhores práticas de segurança, notificando o Controlador sobre eventuais mudanças substanciais que possam impactar a proteção dos dados confiados.
O Processador poderá envolver outros sujeitos como subprocessadores do tratamento (subfornecedores) somente com autorização do Controlador. A autorização pode ser específica para um único subprocessador, ou geral para categorias de subprocessadores (ex. fornecedores de hospedagem, serviços de e-mail, etc.) conhecidos no momento da celebração do contrato: neste último caso, o Processador informará o Controlador sobre qualquer previsão de adição ou substituição desses subprocessadores, dando-lhe a possibilidade de opor-se a tais mudanças antes que o subprocessador inicie o tratamento dos dados.
Eventuais subprocessadores autorizados serão vinculados por escrito pelo Processador com contrato que imponha pelo menos as mesmas obrigações em matéria de proteção de dados previstas neste acordo, incluindo em particular garantias adequadas de segurança e confidencialidade. O Processador permanece plenamente responsável perante o Controlador pelo cumprimento das obrigações pelos subprocessadores que nomear; caso um subprocessador viole suas obrigações, o Processador responderá diretamente perante o Controlador por qualquer inadimplemento.
O tratamento dos dados pessoais objeto deste acordo ocorrerá exclusivamente em infraestruturas (servidores, data centers) situadas em territórios da União Europeia ou do Espaço Econômico Europeu. Não está prevista qualquer transferência de dados pessoais para países terceiros (fora do EEE) por parte do Processador, salvo quando eventualmente necessária para o uso de subprocessadores autorizados pelo Controlador conforme a Seção 8. Em qualquer caso, qualquer transferência de dados para país terceiro ou organização internacional pelo Processador (ou seus subprocessadores) poderá ocorrer somente em conformidade com o previsto no Capítulo V do GDPR. Em particular, deverá ser obtida autorização prévia do Controlador e deverão existir as condições previstas nos arts. 44 e seguintes do GDPR, por exemplo com base em decisão de adequação da Comissão Europeia ou mediante adoção de cláusulas contratuais padrão aprovadas pela Comissão, regras corporativas vinculantes ou outras garantias apropriadas. O Processador informará o Controlador sobre as modalidades e bases jurídicas da transferência proposta para que o Controlador possa avaliar e conceder (ou negar) a autorização.
Na cessação, por qualquer motivo, da relação de serviço entre as partes relativa ao módulo de nutrição (por exemplo, em caso de rescisão ou expiração do contrato principal, ou suspensão definitiva do serviço pelo Processador), o Processador cessará qualquer tratamento adicional dos dados pessoais realizado em nome do Controlador. A critério do Controlador, comunicado por escrito no momento da cessação do contrato ou dentro de prazo acordado, o Processador procederá à devolução de todos os dados pessoais tratados em nome do Controlador (por exemplo, mediante exportação em formato interoperável) ou à exclusão definitiva de todos esses dados de seus sistemas. Em qualquer caso, o Processador eliminará eventuais cópias existentes dos dados (incluindo cópias de backup), salvo na medida em que a conservação dos dados seja exigida pela legislação da União ou dos Estados-membros aplicável ao Processador (nesse caso, o Processador comunicará ao Controlador os dados e a legislação que impõem a conservação, tratando-os apenas para essa finalidade de conservação legal). A exclusão realizada mediante solicitação será atestada por escrito pelo Processador mediante solicitação.
Permanecem válidas mesmo após a cessação do acordo as obrigações de confidencialidade assumidas pelo Processador e pelo pessoal autorizado durante a vigência do mesmo. O Processador também garante que, em caso de cessação, eventuais subprocessadores nomeados serão vinculados às mesmas obrigações de devolução/exclusão dos dados pessoais do Controlador.
