Clausulas Contractuales de Tratamiento de Datos (DPA)

Estas Clausulas Contractuales ("Acuerdo" o "DPA") regulan el tratamiento de datos personales de terceros realizado por Rollin Servicos Digitais e Tecnologia LTDA, CNPJ 64.204.851/0001-39 ("Rollin Host" u "Operadora"), por cuenta y orden del Cliente ("Controlador"), en el marco de los servicios de hospedaje, VPS, dedicado, correo electronico y correlatos ("Servicios").

El Cliente es el Controlador de los datos personales que carga, procesa o almacena en los Servicios, definiendo las finalidades y los medios esenciales del tratamiento. Rollin Host es la Operadora, actuando segun las instrucciones documentadas del Controlador (art. 5, VI y VII, de la LGPD).

Este Acuerdo integra y complementa los Terminos de Servicio y la Politica de Privacidad, prevaleciendo, en caso de conflicto, en lo relativo al tratamiento de datos personales.

Los terminos a continuacion siguen las definiciones de la Lei n. 13.709/2018 (LGPD, ley brasilena de proteccion de datos personales):

• Dato personal: informacion relacionada con una persona natural identificada o identificable (art. 5, I).
• Dato personal sensible: datos sobre origen racial/etnico, conviccion religiosa, opinion politica, afiliacion sindical, datos de salud, vida sexual, datos geneticos o biometricos (art. 5, II).
• Tratamiento: toda operacion realizada con datos personales (art. 5, X).
• Titular: persona natural a quien se refieren los datos personales (art. 5, V).
• Controlador: quien toma las decisiones referentes al tratamiento (art. 5, VI).
• Operador: quien realiza el tratamiento en nombre del controlador (art. 5, VII).
• Suboperador: tercero contratado por la Operadora para realizar parte del tratamiento.
• Incidente: evento que cause acceso no autorizado, perdida, destruccion, alteracion o exfiltracion de datos personales.
• ANPD: Autoridade Nacional de Protecao de Dados (autoridad brasilena de proteccion de datos).

Este Acuerdo se aplica siempre que el Cliente, al usar los Servicios, almacene o procese datos personales de terceros — situacion tipica en sitios web con formularios, tiendas en linea, sistemas de CRM hospedados en la infraestructura, listas de correo electronico, paneles de gestion y similares.

La aceptacion de los Terminos de Servicio y/o del Termino de Adhesion, combinada con el efectivo almacenamiento o procesamiento de datos personales en los Servicios, equivale a la aceptacion de este Acuerdo, sin necesidad, salvo solicitud expresa, de formalizacion especifica en documento separado. Los Clientes personas juridicas que necesiten un DPA firmado fisicamente deben solicitarlo en dpo@rollinhost.com.br.

Rollin Host trata los datos personales del Controlador exclusivamente para los fines de:

• Proveer la infraestructura computacional contratada (almacenamiento, procesamiento, red);
• Ejecutar copias de seguridad (backups) conforme a la Politica de Backup;
• Garantizar la seguridad de los servicios (proteccion contra ataques, fraudes y abusos);
• Cumplir las obligaciones legales y regulatorias aplicables;
• Atender solicitudes especificas del Controlador (soporte tecnico, restauracion de backup, migracion).

El Controlador instruye a la Operadora a tratar los datos personales unicamente para las finalidades anteriores. Las instrucciones especificas adicionales deben comunicarse por canal autenticado (ticket, correo electronico registrado). La Operadora informara oportunamente si, a su juicio, una instruccion entra en conflicto con la LGPD u otra norma aplicable.

5.1 Naturaleza de los datos

La naturaleza, el volumen y las categorias de datos personales tratados son determinados unilateralmente por el Controlador. Rollin Host no tiene control sobre el contenido cargado por el Cliente, salvo en lo que respecta a las reglas tecnicas y legales (limites del plan, obligaciones de la AUP).

5.2 Categorias habituales de titulares

De forma enunciativa y no exhaustiva, los titulares cuyos datos pueden ser tratados en los Servicios incluyen: clientes finales del Controlador, leads, proveedores, colaboradores del Controlador y usuarios registrados en sistemas hospedados. En circunstancias especificas, pueden tratarse datos de menores de edad — en ese caso, el Controlador es integralmente responsable de obtener el consentimiento parental, conforme al art. 14 de la LGPD.

5.3 Datos sensibles

El Controlador debe evaluar internamente si los datos que carga son sensibles (art. 11 de la LGPD) y, de ser asi, aplicar las bases legales y medidas de seguridad adicionales correspondientes. Rollin Host pone a disposicion mecanismos tecnicos compatibles con el tratamiento de datos sensibles (cifrado, controles de acceso, registros de auditoria), pero la configuracion final es responsabilidad del Controlador.

La Operadora trata los datos personales durante el periodo de vigencia de los Servicios contratados, observando los plazos de eliminacion tras su termino, conforme a la seccion 13 y a la Politica de Backup, seccion 10.

El Controlador autoriza, por medio de este Acuerdo, la contratacion de los siguientes tipos de suboperadores por parte de Rollin Host, con la obligacion de adoptar medidas minimas de seguridad equivalentes a las practicadas internamente:

• Proveedores de datacenter e infraestructura fisica;
• Operadores de telecomunicaciones y proveedores de transito de internet;
• Proveedores de servicios de mitigacion de DDoS y proteccion perimetral;
• Proveedores de medios de pago (unicamente para la facturacion entre Rollin Host y el Cliente — no para los pagos del Controlador con sus clientes finales);
• Herramientas de soporte y atencion al cliente (sistemas de tickets, comunicacion interna).

Rollin Host informara los cambios materiales en la lista de suboperadores con antelacion razonable. El Controlador puede solicitar la relacion actualizada de suboperadores efectivamente involucrados con sus Servicios, mediante solicitud al DPO.

Rollin Host responde ante el Controlador por la actuacion de sus suboperadores en el tratamiento de los datos personales, en los terminos del art. 39, parrafo 3, de la LGPD, dentro de los limites contractuales y legales aplicables.

Los Servicios se prestan preferentemente en datacenters ubicados en el territorio brasileno o en jurisdicciones con nivel adecuado de proteccion de datos, conforme a la evaluacion de Rollin Host. Cuando exista transferencia internacional, esta observara las bases legales previstas en el art. 33 de la LGPD (en particular, clausulas contractuales tipo u otras medidas equivalentes).

La ubicacion especifica del datacenter aplicable al Servicio contratado puede informarse mediante solicitud al DPO.

Rollin Host adopta medidas tecnicas y administrativas para proteger los datos personales, incluyendo, como minimo:

• Cifrado en transito (TLS 1.2+) en todas las conexiones a paneles y APIs;
• Cifrado en reposo para copias de seguridad y volumenes destinados a ese fin;
• Control de acceso basado en roles (RBAC) a la infraestructura interna, con autenticacion multifactor (MFA) para los colaboradores que operan en entornos que acceden a datos de clientes;
• Segregacion logica entre tenants (aislamiento por cuenta cPanel, maquina virtual, contenedor o red);
• Pistas de auditoria de las operaciones administrativas relevantes;
• Endurecimiento de los sistemas operativos (hardening) y aplicacion de parches de seguridad;
• Proteccion perimetral contra ataques (firewall, mitigacion de DDoS, deteccion y bloqueo de intentos de intrusion);
• Procedimientos formales de respuesta a incidentes;
• Capacitacion periodica de los equipos que acceden a datos personales.

Algunas configuraciones especificas (por ejemplo, el uso de cifrado a nivel de aplicacion para datos sensibles dentro del propio sistema del Controlador) corresponden al Controlador en el ejercicio de sus responsabilidades operativas.

En caso de incidente de seguridad que afecte datos personales bajo la responsabilidad del Controlador, Rollin Host:

• Notifica al Controlador sin demora injustificada, plazo que no excedera de 72 (setenta y dos) horas desde que tenga conocimiento efectivo del incidente, salvo que la ley o la investigacion forense exija otro plazo;
• Proporciona, en la medida de lo posible, informacion sobre: naturaleza del incidente, datos personales afectados, titulares involucrados (estimacion cuando no haya cifra exacta), medidas adoptadas y mitigaciones en curso;
• Coopera con el Controlador para dar cumplimiento a la eventual obligacion de notificar a la ANPD o a los titulares, conforme al art. 48 de la LGPD;
• Mantiene registros internos del incidente y sus actuaciones durante el plazo legal aplicable.

La obligacion de notificar a la ANPD y/o a los titulares, cuando corresponda, es del Controlador, salvo que el incidente afecte exclusivamente servicios y datos bajo responsabilidad de Rollin Host.

Los derechos previstos en el art. 18 de la LGPD (acceso, rectificacion, portabilidad, eliminacion, anonimizacion, etc.) se ejercen principalmente ante el Controlador. Rollin Host, en calidad de Operadora, presta cooperacion tecnica razonable cuando el Controlador necesite asistencia para atender una solicitud del titular — por ejemplo, para localizar registros, exportar datos o eliminar informacion especifica de los sistemas hospedados.

Las solicitudes de titulares recibidas directamente por Rollin Host que involucren datos bajo control del Cliente son remitidas al Controlador dentro de los 5 (cinco) dias habiles siguientes, junto con la informacion necesaria para su atencion.

Mediante solicitud razonada con un minimo de 30 dias de antelacion, el Controlador puede requerir:

• Documentacion de las medidas tecnicas y administrativas adoptadas por Rollin Host;
• Resumenes de informes externos de seguridad que Rollin Host produzca (auditorias internas, pruebas de penetracion);
• Aclaraciones por escrito sobre las practicas de tratamiento.

Las auditorias presenciales o inspecciones on-site no estan, en principio, autorizadas en razon de la naturaleza compartida de la infraestructura y los riesgos para otros clientes; Rollin Host facilita evidencias documentales equivalentes. Las solicitudes de auditoria seran analizadas individualmente, considerando la confidencialidad, la seguridad y los costos involucrados.

Al termino de los Servicios (cancelacion, rescision, vencimiento del contrato), Rollin Host, conforme a las instrucciones del Controlador:

• Pone a disposicion, durante el periodo de retencion definido en la Politica de Backup, un mecanismo para que el Controlador exporte sus datos;
• Transcurrido dicho plazo, elimina los datos personales y sus copias de seguridad, salvo la retencion minima exigida por obligacion legal o regulatoria.

La solicitud de eliminacion inmediata por parte del titular (LGPD art. 18, VI) se ejecuta en los terminos de la Politica de Backup, seccion 11, observando la cuarentena logica cuando corresponda.

Cada parte es responsable del cumplimiento de sus obligaciones derivadas de la LGPD y de este Acuerdo. La responsabilidad civil de las partes frente a terceros y a la ANPD se rige por el art. 42 y siguientes de la LGPD, teniendo en cuenta los roles efectivamente desempenados (Controlador y Operadora) y la contribucion causal de cada una al eventual dano.

Cualquier indemnizacion debida por Rollin Host al Controlador por incumplimiento de este Acuerdo se sujeta al limite de responsabilidad previsto en los Terminos de Servicio, salvo en los casos en que la ley prohiba dicha limitacion.

Este Acuerdo tiene la misma vigencia que los Servicios contratados y produce efectos mientras haya tratamiento de datos personales bajo la responsabilidad del Controlador en la infraestructura de Rollin Host. Las obligaciones que, por su naturaleza, deban subsistir al termino (por ejemplo, confidencialidad, notificacion de incidentes aun no comunicados, eliminacion de datos) permanecen aplicables despues de la rescision.

Este Acuerdo se rige por las leyes brasilenas, en particular la LGPD (Lei 13.709/2018) y el Marco Civil de Internet (Lei 12.965/2014). Se elige el fuero de la Comarca de Campinas — SP, Brasil, sin perjuicio del derecho del consumidor persona fisica al fuero de su domicilio (CDC, art. 101, I).

Rollin Host dispone de un canal especifico para cuestiones relacionadas con el tratamiento de datos personales, bajo la responsabilidad del Encargado (Data Protection Officer — DPO):

• DPO: dpo@rollinhost.com.br
• Consultas contractuales sobre este Acuerdo: juridico@rollinhost.com.br
• Reportar un incidente que afecte datos personales hospedados en nuestra infraestructura: abuso@rollinhost.com.br