Skip to content

ADENDO DE PROTEÇÃO DE DADOS

Este Aditivo de Proteção de Dados da Signifyd (o "DPA") é incorporado por referência ao Contrato e a todos os pedidos relacionados entre o Assinante e a Signifyd Brasil Ltda (o "Contrato"). Este DPA é celebrado e entra em vigor na data de vigência do Contrato (a "Data de Vigência"). No caso de conflito entre este Aditivo e o Contrato, prevalecerá este DPA.

Os termos usados neste DPA têm o significado aqui estabelecidos. Os termos em maiúsculas não definidos neste documento têm o significado atribuído a eles no Contrato.

  1. ESCOPO. Para os fins deste DPA, a Signifyd poderá ser considerada como Operadora de Dados Pessoais do Assinante tratados em relação aos Usuários Finais do Assinante residentes nos EUA, ou uma Controladora para os Dados Pessoais do Assinante tratados em relação aos Usuários Finais do Assinante residentes fora dos EUA. A natureza e o escopo das atividades de Tratamento estão estabelecidos no Contrato e detalhados no Apêndice 1. As Partes deverão cumprir todas as Leis de Proteção de Dados aplicáveis
  2. TERMOS ESPECÍFICOS POR REGIÃO. Na medida em que a Signifyd Trata Dados Pessoais do Assinante, protegidos por Leis de Proteção de Dados em uma das regiões listadas no Suplemento A (Termos Específicos por Região), os termos ali especificados com relação à(s) jurisdição(ões) aplicável(is) se aplicarão em conjunto com os termos deste DPA e, em caso de conflito, os Termos Específicos por Região prevalecerão.
  3. SUBOPERADORES / FORNECEDORES
    1. O Assinante reconhece que a Signifyd pode utilizar afiliadas e fornecedores para Tratar os Dados Pessoais do Assinante de acordo com as disposições deste DPA e das Leis de Proteção de Dados aplicáveis. Quando a Signifyd atuar como Operadora de Dados, tais fornecedores são considerados “Suboperadores” de acordo com as Leis de Proteção de Dados aplicáveis. Quando a Signifyd subcontratar quaisquer de seus direitos ou obrigações relacionados aos Dados Pessoais do Assinante, incluindo a qualquer afiliada ou fornecedor, a Signifyd tomará medidas para selecionar e reter fornecedores que sejam capazes de manter medidas apropriadas de privacidade e segurança para proteger os Dados Pessoais de Assinantes, de forma consistente com as Leis de Proteção de Dados aplicáveis, e que estejam sujeitos a obrigações de proteção de dados semelhantes às dispostas neste DPA.
    2. A lista atual de fornecedores e afiliadas da Signifyd está fornecida no Apêndice 2 deste documento, e o Assinante, por meio deste, consente com o uso de tais fornecedores pela Signifyd. Exceto em circunstâncias urgentes, para as quais a Signifyd deverá fornecer notificação em prazo comercialmente razoável, a Signifyd deverá informar o Assinante com antecedência de pelo menos quinze (15) dias úteis antes de adicionar quaisquer novos fornecedores à lista, momento em que o Assinante terá 10 (dez) dias para apresentar uma objeção que seja comercialmente razoável ao novo fornecedor. Caso o Assinante não concorde com o uso de qualquer um desses Suboperadores, os representantes de ambas as partes deverão se reunir de boa-fé para tentar chegar a um acordo sobre o uso dos fornecedores contestados.
  4. RETORNO OU DESTRUÇÃO DE DADOS PESSOAIS. Quando o Contrato terminar, por qualquer motivo, ou quando a Signifyd cessar o Tratamento dos Dados Pessoais, a Signifyd deverá excluir os dados de acordo com os termos estabelecidos no Contrato, a menos que a Signifyd seja obrigada ou autorizada pela Lei de Proteção de Dados aplicável a armazenar os Dados Pessoais do Assinante por um período mais longo.
  5. SEGURANÇA DE DADOS
    1. Medidas de Segurança. A Signifyd implementará medidas administrativas, técnicas, físicas e organizacionais apropriadas para proteger os Dados Pessoais do Assinante, conforme estabelecido no Anexo II.
    2. Incidente de Segurança. A menos que seja proibido pela lei aplicável, a Signifyd notificará prontamente (e, em qualquer caso, dentro do período exigido pela lei aplicável) o Assinante sobre um Incidente de Segurança, caso exigido por lei. No caso de um Incidente de Segurança, a Signifyd investigará o Incidente de Segurança e tomará medidas comercialmente razoáveis para conter e mitigar o Incidente de Segurança de maneira oportuna, e cada parte ajudará razoavelmente a outra parte a cumprir as determinações legais aplicáveis resultantes de tal Incidente de Segurança. A notificação descrita na primeira frase desta Seção deverá incluir uma descrição do Incidente de Segurança e (na medida em que disponível) os Dados Pessoais do Assinante afetados, e outros detalhes que o Assinante possa razoavelmente solicitar ou que a Signifyd seja obrigada a fornecer de acordo com as Leis de Proteção de Dados aplicáveis. A Signifyd fornecerá informações oportunas relacionadas ao Incidente de Segurança à medida que forem conhecidas ou conforme for razoavelmente solicitado pelo Assinante. A menos que exigido por lei aplicável à Signifyd, a Signifyd não notificará nenhum indivíduo ou qualquer terceira parte, além de uma entidade governamental, sobre qualquer possível Incidente de Segurança envolvendo Dados Pessoais do Assinante, de qualquer maneira que seja razoavelmente provável identificar o Assinante, sem antes obter a permissão por escrito do Assinante.
    3. Auditorias. Mediante solicitação, a Signifyd poderá fornecer ao Assinante, a cada ano, uma opinião ou um relatório feito por uma empresa de auditoria terceirizada reconhecida no mercado (cada um desses relatórios, um "Relatório"). Se um Relatório não fornecer, na avaliação razoável do Assinante, informações suficientes para confirmar a conformidade da Signifyd com os termos deste DPA, o Assinante ou uma empresa de auditoria terceirizada reconhecida no mercado e acordada entre o Assinante e a Signifyd poderá auditar a conformidade da Signifyd com os termos deste DPA durante o horário comercial regular, com notificação prévia razoável à Signifyd, sujeita a procedimentos e obrigações de confidencialidade, e tomando todas as medidas para evitar interrupções desnecessárias nas operações da Signifyd. O Assinante é responsável por todos os custos relacionados a tal auditoria, incluindo todos os que, a qualquer tempo, a Signifyd despender para tal auditoria, além dos custos pelos serviços prestados pela Signifyd. Antes do início de qualquer auditoria, o Assinante e a Signifyd deverão acordar sobre o escopo, o cronograma e a duração da auditoria. O Assinante deverá notificar prontamente a Signifyd com informações sobre qualquer não conformidade descoberta durante o curso da auditoria. O Assinante não poderá auditar a Signifyd mais de uma vez por ano.
  6. RESPONSABILIDADE. A responsabilidade das partes entre si, no caso de violação deste DPA, estará sujeita às disposições de limitação de responsabilidade estabelecidas no Contrato.
  7. TERMOS DEFINIDOS.
    1. "Controlador" significa a entidade que, sozinha ou em conjunto com outras, determina as finalidades e os meios do Tratamento de Dados Pessoais.
    2. Leis de Proteção de Dados” significa todas as leis, regulamentos e demais normas aplicáveis em qualquer jurisdição relacionados à privacidade, proteção de dados, segurança de dados, notificação de incidente ou Tratamento de Dados Pessoais, incluindo, sem limitação, na medida em que aplicáveis:
      1. A Lei de Privacidade do Consumidor da Califórnia, Código Civil da Califórnia § 1798.100 e seguintes, bem como os regulamentos associados, incluindo, quando em vigor, as emendas da Lei de Direitos de Privacidade da Califórnia (“CCPA”);
      2. O Regulamento Geral sobre a Proteção de Dados, Regulamento (UE) 2016/679 (“GDPR”);
      3. A Lei Federal Suíça sobre Proteção de Dados (“FADP”);
      4. A Lei de Proteção de Dados do Reino Unido de 2018 (“UK GDPR”); e
      5. A Lei Geral de Proteção de Dados Brasileira ("LGPD").
    3. Titular dos Dados” significa qualquer pessoa natural cujos Dados Pessoais sejam tratados no contexto deste DPA. 7
    4. Cláusulas Contratuais Padrão da UE” ou “SCCs da UE” significa as Cláusulas Contratuais Padrão emitidas nos termos da Decisão de Execução (UE) 2021/914 da Comissão, de 4 de junho de 2021, sobre cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros, conforme o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, complementadas conforme estabelecido na Seção 4 abaixo e disponíveis em: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN.
    5. Cláusulas-Padrão Contratuais Brasileiras” ou “SCCs Brasileiras” significa as cláusulas-padrão padrão para a transferência internacional de dados pessoais adotadas pela Autoridade Nacional de Proteção de Dados (ANPD), nos termos da Resolução CD/ANPD nº 19, de 23 de agosto de 2024, emitida com fundamento no artigo 33, inciso I, da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – “LGPD”), conforme aplicável, e disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-19-de-23-de-agosto-de-2024-580095396.
    6. Europa” significa os Estados-membros da União Europeia (“UE”), Suíça, Reino Unido (“UK”), o Espaço Econômico Europeu (“EEE”), o Acordo Europeu de Livre Comércio e Mônaco.
    7. Finalidades Relacionadas à Fraude” significa a identificação, prevenção, disputa e monitoramento de fraudes, bem como a análise de dados com a finalidade de desenvolver, manter e aprimorar os modelos preditivos e os serviços relacionados à fraude da Signifyd, inclusive por meio do uso de LLMs e tecnologias similares.
    8. Dados Pessoais” inclui, além de “dados pessoais”, “informações pessoais”, “informações de identificação pessoal” e termos similares, os quais terão o mesmo significado que lhes for atribuído pelas Leis de Proteção de Dados aplicáveis relevantes neste DPA.
    9. Operador”, “Prestador de Serviço” ou “Contratado” significa a entidade que trata Dados Pessoais em nome de um Controlador ou de um Agente de Tratamento, ou a quem o Controlador ou Agente de Tratamento disponibiliza Dados Pessoais para uma finalidade empresarial, nos termos de um contrato escrito contendo as cláusulas exigidas pelas Leis de Proteção de Dados aplicáveis.
    10. Tratamento” ou “Tratar” significa qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, por meios automatizados ou não, tais como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, disseminação ou qualquer outra forma de disponibilização, alinhamento ou combinação, restrição, eliminação ou destruição.
    11. Incidente de Segurança” significa qualquer perda, uso indevido, acesso não autorizado, divulgação, alteração ou destruição de Dados Pessoais sob posse, guarda ou controle da Signifyd, que sejam processados em nome do Assinante em conexão com um Pedido.
    12. Dados Pessoais do Assinante” significa os Dados Pessoais que são Tratados pela Signifyd no contexto da prestação dos Serviços ao Assinante nos termos do Contrato.
    13. SCCs do Reino Unido” significa o Aditivo de Transferência Internacional de Dados às Cláusulas Contratuais Padrão da Comissão Europeia (disponível na Data de Vigência em: https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf).

 

SUPLEMENTO A
TERMOS ESPECÍFICOS POR REGIÃO

Para os Dados Pessoais do Assinante tratados em relação a Usuários Finais do Assinante residentes nos EUA:

  1. Papel das Partes e Natureza do Tratamento
    1. Para fins da CCPA e de quaisquer Leis de Proteção de Dados aplicáveis dentro dos Estados Unidos, a Signifyd realizará o Tratamento dos Dados Pessoais do Assinante na qualidade de Contratada, Operadora de Dados ou Prestadora de Serviços. Na medida em que a Signifyd realizar o Tratamento de Dados Pessoais do Assinante como Operadora de Dados, Contratada ou Prestadora de Serviços, o fará apenas em nome do Assinante, enquanto Controlador de Dados, ou conforme permitido pela Lei de Proteção de Dados aplicável, incluindo a possibilidade de realizar Tratamento de Dados Pessoais de Assinantes para fins de prevenção à fraude, conforme o regulamento CCPA, Seção 7050(a)(4). 1
    2. O Anexo I abaixo estabelece os detalhes e a natureza das atividades de Tratamento. As partes concordam que o Anexo I atende qualquer obrigação aplicável sob as Leis de Proteção de Dados dos EUA de fornecer essas informações.
  2. Obrigações das Partes quando o Assinante é o Controlador de Dados ou Empresa, a Signifyd atua como Operadora de Dados, Prestadora de Serviços ou Contratada e o Assinante é um Controlador de Dados ou Empresa.
    1. O Assinante, por meio deste, concorda em:
      1. fornecer à Signifyd apenas instruções que sejam legítimas;
      2. cumprir e executar suas obrigações conforme a Lei de Proteção de Dados aplicável, incluindo direitos dos Titulares de Dados, segurança e confidencialidade dos dados, garantindo uma base legal apropriada para o Tratamento e fornecimento dos Dados Pessoais do Assinante à Signifyd;
      3. fornecer aos Titulares de Dados todas as informações necessárias (inclusive por meio de aviso de privacidade público, transparente e de fácil acesso) sobre o Tratamento de Dados Pessoais pela Signifyd e pelo Assinante para os fins descritos no Contrato e neste DPA.
    2. Na medida em que a Signifyd atue como Operadora de Dados, Prestadora de Serviços ou Contratada do Assinante, a Signifyd se compromete a:
      1. Realizar o tratamento dos Dados Pessoais do Assinante exclusivamente: (a) para cumprir com suas obrigações perante o Assinante conforme o Contrato, incluindo este DPA; (b) em nome do Assinante; e (c) em conformidade com as Leis de Proteção de Dados. A Signifyd não “venderá” os Dados Pessoais do Assinante (conforme o termo entre aspas é definido nas Leis de Proteção de Dados aplicáveis), nem os “compartilhará” ou realizará o Tratamento dos Dados Pessoais do Assinante para fins de “publicidade comportamental entre contextos” ou “publicidade direcionada” (conforme esses termos entre aspas são definidos nas Leis de Proteção de Dados aplicáveis), nem realizará o Tratamento dos Dados Pessoais do Assinante para qualquer outra finalidade que não aquelas específicas aqui estabelecidas ou fora do relacionamento comercial direto com o Assinante.
      2. Não reter, utilizar ou divulgar os Dados Pessoais do Assinante para qualquer finalidade diferente da finalidade comercial especificada no Contrato, a menos que expressamente permitido pelas Leis de Proteção de Dados aplicáveis.
      3. Não reter, utilizar ou divulgar os Dados Pessoais do Assinante fora da relação comercial direta entre a Signifyd e o Assinante, incluindo não combinar ou atualizar os Dados Pessoais do Assinante de maneiras proibidas a uma Prestadora de Serviços ou Contratada sob a CCPA, salvo se expressamente permitido pelo CCPA.
      4. Não tentar vincular, identificar ou criar qualquer relação entre os Dados Pessoais do Assinante e dados não pessoais ou quaisquer outros dados sem autorização expressa do Assinante, salvo se permitido pelas Leis de Proteção de Dados.
      5. Garantir que as pessoas autorizadas por ela para realizar o Tratamento dos Dados Pessoais do Assinante estejam vinculadas a compromissos de confidencialidade ou sujeitas a obrigações legais adequadas de confidencialidade.
      6. Considerando a natureza do Tratamento, auxiliar o Assinante por meio da implementação de medidas técnicas e organizacionais apropriadas, incluindo, mas não se limitando a, atualizações em funcionalidades de software ou suporte técnico, para assegurar que o Assinante possa responder às solicitações dos Titulares de Dados no exercício de seus direitos conforme as Leis de Proteção de Dados.
      7. Na medida aplicável, notificar prontamente o Assinante sobre (a) quaisquer reclamações de terceiros ou Titulares de Dados relacionadas ao Tratamento dos Dados Pessoais do Assinante; ou (b) qualquer solicitação governamental ou de Titulares de Dados para acesso ou informações sobre o Tratamento feito pela Signifyd em nome do Assinante, salvo se proibido pelas Leis de Proteção de Dados aplicáveis. A Signifyd oferecerá cooperação e assistência razoáveis ao Assinante em relação a tais solicitações. Se a Signifyd estiver proibida pelas Leis de Proteção de Dados de divulgar os detalhes de uma solicitação governamental ao Assinante, a Signifyd informará que não pode mais seguir as instruções do Assinante sob este DPA sem fornecer maiores detalhes, e aguardará novas instruções do Assinante.
      8. Notificar o Assinante se a Signifyd determinar que: (a) não pode mais cumprir com suas obrigações sob as Leis de Proteção de Dados; ou (b) que, em sua opinião, uma instrução do Assinante infringe as Leis de Proteção de Dados.
      9. Oferecer assistência e cooperação razoáveis ao Assinante para a realização de um relatório de impacto à proteção de dados do Tratamento ou Tratamento proposto dos Dados Pessoais do Assinante, quando exigido pelas Leis Aplicáveis de Proteção de Dados, e às custas razoáveis do Assinante.
      10. Oferecer assistência e cooperação razoáveis ao Assinante em consultas com autoridades reguladoras relativas ao Tratamento ou Tratamento proposto dos Dados Pessoais do Assinante, incluindo o cumprimento de qualquer obrigação aplicável à Signifyd de consultar tais autoridades.
      11. Conceder ao Assinante o direito de tomar medidas razoáveis e apropriadas para: (a) assegurar que a Signifyd use os Dados Pessoais do Assinante de maneira consistente com as Leis de Proteção de Dados; e (b) cessar e remediar qualquer Tratamento não autorizado mediante notificação.
    3. Declaração. A Signifyd declara que compreende suas obrigações sob este DPA e que cumprirá com elas.Para Dados Pessoais do Assinante relativos a Usuários Finais do Assinante residentes na Europa, América Latina e fora dos EUA:
  3. Papel das Partes
    1. Fora dos EUA: Para fins de quaisquer Leis de Proteção de Dados aplicáveis fora dos Estados Unidos e conforme definido explicitamente na Seção 1.b.ii-v, a Signifyd deverá realizar o Tratamento dos Dados Pessoais do Assinante como Controladora de Dados.
      1. A Signifyd deverá realizar o Tratamento dos Dados Pessoais do Assinante com autoridade independente para determinar as finalidades e os meios do Tratamento de Dados Pessoais do Assinante, conforme estabelecido neste Contrato, em particular para os Fins Relacionados à Prevenção de Fraude.
      2. Com relação aos Dados Pessoais do Assinante sujeitos às Leis de Proteção de Dados aplicáveis na Europa, cada parte será uma Controladora independente. Nesses casos, as partes reconhecem e confirmam que nenhuma das partes atua como Operadora em nome da outra parte, e que o Contrato não cria uma relação de Controladoria conjunta ou Controlador-operador entre as partes.
      3. O GDPR, especificamente nos Considerandos 47 e 71, reconhece os Fins Relacionados à Prevenção de Fraude como interesses legítimos que fornecem uma base legal para que um controlador realize o tratamento de dados pessoais.
      4. Quando a Signifyd estiver atuando como Controladora de Dados, o Assinante será responsável por suas próprias atividades de Tratamento, incluindo a gestão do relacionamento com os Titulares de Dados.
  4. Obrigações das Partes como Controladoras Independentes. No caso de as partes atuarem como Controladores de Dados independentes sob o Contrato, as partes concordam com o seguinte:
    1. Cooperação.
      1. Cada parte cooperará de maneira razoável com a outra parte para cumprir as obrigações de conformidade previstas pelas Leis de Proteção de Dados aplicáveis e firmará quaisquer acordos adicionais de privacidade, confidencialidade ou segurança da informação que forem razoavelmente solicitados pela outra parte para fins de conformidade com as Leis de Proteção de Dados aplicáveis. Em caso de conflito entre o Contrato e quaisquer desses acordos adicionais de privacidade, confidencialidade ou segurança da informação, o acordo adicional prevalecerá com relação ao Tratamento de Dados Pessoais do Assinante que estejam sob seu escopo.
      2. As partes concordam em cooperar de forma razoável entre si para responder a solicitações de autoridades de supervisão competentes e a solicitações dos Titulares de Dados relacionadas ao Tratamento de Dados Pessoais do Assinante sob o Contrato.
  5. Transferência Internacional de Dados
    1. A Signifyd não realizará qualquer Tratamento transfronteiriço de Dados Pessoais do Assinante, nem transmitirá, direta ou indiretamente, quaisquer Dados Pessoais do Assinante para qualquer país fora do país de origem desses dados, sem observar as Leis de Proteção de Dados aplicáveis. Quando a Signifyd realizar uma transferência posterior de Dados Pessoais do Assinante, a Signifyd garantirá um mecanismo legítimo de transferência de dados foi implementado antes da transferência de um país para outro.
    2. As partes concordam que, se os Serviços envolverem transações de dados com “Países Sensíveis” ou “Pessoas Abrangidas”, essas transações estarão sujeitas às restrições sobre transferências posteriores de grandes volumes de Dados Pessoais Sensíveis dos EUA, conforme previsto na Seção 202.302 das disposições do Departamento de Justiça dos EUA (DOJ) relativas à Prevenção de Acesso a Dados Pessoais Sensíveis dos EUA e Dados Relacionados ao Governo por Países Sensíveis ou Pessoas Abrangidas (a “Regra do DOJ”). Todos os termos desta seção devem ser entendidos conforme definidos pela Regra do DOJ.
      1. O Assinante não poderá, sem o consentimento prévio por escrito da Signifyd, transferir, divulgar ou permitir o acesso a qualquer grande volume de Dados Pessoais Sensíveis dos EUA para: (a) qualquer pessoa ou entidade localizada em um País Sensível; (b) qualquer Pessoa Abrangida; ou (c) qualquer terceiro que pretenda, ou seja provável que venha a, transferir os dados para um País Sensível ou Pessoa Abrangida.
      2. O Assinante concorda em implementar medidas de conformidade para evitar transferências não autorizadas, incluindo: (a) condução de due diligence detalhada sobre todos os terceiros aos quais transfira Dados Pessoais Sensíveis dos EUA em grande escala; (b) garantia de que todos os terceiros estejam contratualmente obrigados a cumprir as restrições estabelecidas nesta cláusula; e (c) auditorias regulares das práticas de transferência de dados para garantir conformidade com este contrato.
      3. No caso de uma violação confirmada ou suspeita desta cláusula, o Assinante deverá: (a) notificar imediatamente a Signifyd por escrito; (b) fornecer informações detalhadas sobre a natureza e o alcance da violação; e (c) cooperar integralmente com a Signifyd na investigação e mitigação dos efeitos da violação.
    3. Com relação aos Dados Pessoais do Assinante transferidos sob as Leis de Proteção de Dados da Europa, e exceto conforme disposto nas Seções 3.3 e 3.4 abaixo, as partes concordam que: (i) o Módulo 1 das SCCs da UE se aplica a essas transferências; (ii) a Cláusula 7 (cláusula opcional de adesão) está incluída; (iii) a linguagem opcional da Cláusula 11 (Reparação) não está incluída; (iv) sob as Cláusulas 17, 18 e 13(a), as partes escolhem as leis da Irlanda, os tribunais da Irlanda e as autoridades supervisoras da Irlanda como regentes deste DPA para transferências; (v) os Anexos I(A), I(B) e II estão preenchidos conforme estabelecido no Apêndice 1 deste DPA.
    4. Com relação aos Dados Pessoais do Assinante transferidos do Reino Unido, para os quais a lei de proteção de dados do Reino Unido rege a natureza internacional da transferência, as SCCs do Reino Unido fazem parte deste DPA e prevalecem sobre o restante deste DPA, conforme estabelecido nas SCCs do Reino Unido. Para fins dessas cláusulas, serão considerados como segue: A qualificação das partes e de suas afiliadas será a do Contrato; Os Contatos Principais serão aqueles definidos no Contrato; as cláusulas aprovadas referidas na Tabela 2 serão as SCCs da UE; os Anexos serão os definidos conforme os Apêndices 1 e 2 abaixo; e qualquer Parte poderá encerrar este DPA conforme a Seção 19 das SCCs do Reino Unido.
    5. Para transferências de Dados Pessoais do Assinante sujeitas à FADP, as SCCs da UE fazem parte deste DPA conforme a Seção 3.2, mas com as seguintes alterações conforme exigido pela FADP: (i) referências ao GDPR nas SCCs da UE devem ser entendidas como referências à FADP quando os dados estiverem sujeitos exclusivamente a ela e não ao GDPR; (ii) o termo “estado-membro” nas SCCs da UE não deve ser interpretado de modo a excluir Titulares de Dados na Suíça da possibilidade de buscar seus direitos em seu local de residência habitual (Suíça), de acordo com a Cláusula 18(c) das SCCs da UE; e (iii) a autoridade supervisora competente será o Comissário Federal de Proteção de Dados e Informação da Suíça (para transferências sujeitas à FADP e não ao GDPR), ou ambos o Comissário e a autoridade supervisora identificada nas SCCs da EU (quando a FADP e o GDPR se aplicarem, respectivamente).
    6. Para Dados Pessoais do Assinante relativos a Usuários Finais residentes no Brasil, na medida em que tais dados estejam sujeitos à LGPD, as partes reconhecem e concordam que: i. Papel das Partes: A Signifyd atuará como Controladora de Dados com relação a tal Tratamento, de acordo com os Fins Relacionados à Prevenção de Fraude previstos no Contrato. O Assinante continuará responsável por suas próprias atividades de Tratamento sob a LGPD. ii. Transferências Internacionais de Dados: transferências internacionais de dados ocorrerão no contexto do Tratamento de Dados Pessoais do Assinante e as partes, então, designaram as Cláusulas Padrão Contratuais Brasileiras (CPC-BR) como o mecanismo legal aplicável para tais transferências. As transferências internacionais de Dados Pessoais do Assinante sob o Contrato, este DPA e a LGPD obedecerão às disposições da CPC-BR, conforme estabelecido no Apêndice 3. iii. Em caso de conflito entre o Contrato ou este DPA e o Apêndice 3, os termos do Apêndice 3 prevalecerão com relação ao Tratamento de Dados Pessoais do Assinante sujeitos à LGPD.

 

APÊNDICE 1
Anexo I

A. LISTA DAS PARTES

Exportador(es) de Dados:
O Assinante e a qualificação e assinatura do Assinante serão aqueles fornecidos no Contrato.

Atividades relevantes aos dados transferidos sob estas Cláusulas: Coletar consentimento e transferir Dados Pessoais do Assinante para fins de a Signifyd fornecer os Serviços conforme estabelecido no Contrato.

Papel (controlador/operador): Controlador

Importador(es) de Dados:

Nome: Signifyd, Inc

Endereço: 99 Almaden Blvd, 4º andar, San Jose, CA 95113

Nome da pessoa de contato, cargo e informações de contato:

Nisha Ramachandran, Diretora Jurídica / Encarregada de Proteção de Dados, [email protected], confirme assinatura fornecida no DPA. O contato para o Titular dos Dados sob a LGPD será: Daniel Longo Braga, Advogado Sênior, [email protected], também disponível em [email protected].

Atividades relevantes aos dados transferidos sob estas Cláusulas: A Signifyd realizará o Tratamento dos Dados Pessoais do Assinante de acordo com o DPA e com o contrato entre a Signifyd e o Exportador de Dados que regula os Serviços. O Tratamento pode incluir coleta, armazenamento, uso, modificação e transferência de Dados Pessoais do Assinante, conforme necessário para a prestação dos Serviços, incluindo, mas não se limitando, aos Fins Relacionados à Prevenção de Fraude.

Papel (Controlador/Operador):

  • Com relação somente aos Dados Pessoais do Assinante relativos a Titulares de Dados residentes nos EUA: Operador
  • Com relação somente aos Dados Pessoais do Assinante relativos a Titulares de Dados residentes fora dos EUA: Controlado

B. DESCRIÇÃO DA TRANSFERÊNCIA

Categorias de titulares de dados cujos dados pessoais são transferidos

  • Titulares de Dados
  • Empregados do Assinante (na medida em que o empregado seja um contato comercial ou crie uma conta na plataforma da Signifyd)
  • Categorias de dados pessoais transferidos
  • Identificadores, como: número de telefone, ID do usuário, primeiro nome, sobrenome, endereço físico, endereço de e-mail, código postal, ID do dispositivo, ID do pedido, ID da transação, itens comprados.
  • Informações de pagamento e bancárias, como: valor da transação, método de pagamento, últimos 4 dígitos de um número de cartão de pagamento, BIN do cartão.
  • Atividade na Internet ou Rede, como: comportamento de login, análise comportamental de transações, endereço IP.
  • Dados Profissionais ou Relacionados ao Emprego, como: informações de contato do empregado do Assinante.
  • Inferências extraídas de outras Informações Pessoais.

Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas, levando integralmente em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita de finalidade, restrições de acesso (incluindo acesso apenas por funcionários com treinamento especializado), manutenção de registros de acesso aos dados, restrições para transferências posteriores ou medidas adicionais de segurança.

  • N/A

Frequência da transferência (por exemplo, se os dados são transferidos uma única vez ou de forma contínua)

  • Base contínua por transação revisada, conforme estabelecido no Contrato.

Natureza do Tratamento

  • A Signifyd é responsável por prestar os Serviços aos nossos clientes, conforme descrito no Contrato, especialmente para os Fins Relacionados à Prevenção de Fraude.

Finalidade(s) da transferência de dados e do tratamento posterior

  • N/A O

período pelo qual os dados pessoais serão retidos, ou, se isso não for possível, os critérios usados para determinar tal período

  • Pelo menor dos seguintes prazos: (i) cinco (5) anos ou (ii) até que os dados deixem de ter utilidade material para os Serviços da Signifyd.

Para transferências a (sub)operadores, também especificar o objeto, natureza e duração do tratamento

  • Os Suboperadores estarão sujeitos à mesma natureza e finalidades do Tratamento conforme estabelecido neste DPA.

C. AUTORIDADE SUPERVISORA COMPETENTE

Identificar a(s) autoridade(s) supervisora(s) competente(s), de acordo com a Cláusula 13

  • Autoridade de Proteção de Dados da Irlanda

 

 

Anexo II
MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS PARA GARANTIR A SEGURANÇA DOS DADOS

Descrição das medidas técnicas e organizacionais implementadas pelo(s) importador(es) de dados (incluindo quaisquer certificações relevantes) para garantir um nível apropriado de segurança, levando em consideração a natureza, escopo, contexto e finalidade do Tratamento, bem como os riscos para os direitos e liberdades das pessoas naturais:

A Signifyd implementou as seguintes medidas técnicas e organizacionais:

Auditorias e Certificações:

  • SOC 2 Type II
  • PCI DSS
  • ISO 27001

Medidas adotadas para proteger a Confidencialidade e Integridade das Informações do Assinante e do Usuário Final:

  • O acesso ao ambiente de produção é restrito a funcionários autorizados, com base na função e na necessidade de negócios. A infraestrutura de produção é segregada do ambiente não-produtivo e da infraestrutura exposta ao público.
  • Uma estratégia de controle de Defesa em Profundidade é implementada, com múltiplas camadas de defesa perimetral ao redor dos servidores de aplicação e banco de dados principais, firewalls de rede e aplicação, balanceadores de carga, restrições de acesso lógico e ferramentas de monitoramento de ameaças e logging.
  • Os Dados Pessoais são criptografados em repouso e durante o trânsito pela internet pública. Quando não for possível criptografar os dados em repouso por motivos comerciais, controles compensatórios, incluindo controles de acesso, são estabelecidos.
  • Programa de Segurança da Informação: Um Programa de Segurança da Informação documentado é mantido, estabelecido com o objetivo de proteger os Dados Pessoais contra perda acidental ou ilícita, acesso ou divulgação identificar riscos internos e previsíveis à segurança e acessos não autorizados e minimizar os riscos de segurança.
  • Segurança de Rede: São mantidos controles e políticas de acesso para gerenciar o acesso de cada conexão de rede e usuário. Firewalls ou tecnologias funcionalmente equivalentes e controles de autenticação são utilizados. Planos de ação corretiva e resposta a incidentes são aplicados para lidar com possíveis ameaças de segurança.
  • Revisões Periódicas: Avaliações regulares da segurança da rede e do Programa de Segurança da Informação são conduzidas com base nos padrões da indústria. Atualizações e melhorias às medidas protetivas são implementadas conforme necessário com base nessas revisões.

Medidas adotadas para garantir Disponibilidade e Tempo de Atividade da Plataforma e Serviços Associados conforme estabelecido em Acordos de Nível de Serviço:

  • Processos de Continuidade de Negócios e Recuperação de Desastres estão em vigor e os planos são testados anualmente para garantir capacidade de Recuperação de Desastres.
  • O sistema de produção da Signifyd é tolerante a falhas, escalável e altamente disponível. O tráfego de entrada é balanceado entre zonas de disponibilidade geograficamente distribuídas.
  • Um processo robusto de backup foi estabelecido para os bancos de dados de produção e os dados dos Usuários Finais.

Medidas adotadas para garantir Qualidade, Precisão e Segurança dos Serviços e dos Dados envolvidos:

  • Todas as alterações na plataforma seguem um ciclo de desenvolvimento de software (SDLC) rigoroso, incluindo testes e garantia de qualidade em ambientes de teste antes da promoção ao ambiente de produção.
  • Scans de vulnerabilidade trimestrais e testes de penetração em aplicações web anuais são realizados para monitorar vulnerabilidades e configurações inadequadas na plataforma de produção.
  • Todos os sistemas com acesso público via internet são segregados da rede de produção por meio de segmentação de rede, firewalls e/ou restrições de acesso lógico. O acesso dos usuários à solução é gerenciado por meio de uma Interface de Programação de Aplicações, que controla o tipo e formato de todos os dados que entram e saem do sistema.
  •  Revisões de acesso de usuários são realizadas periodicamente ao longo do ano. Quaisquer problemas identificados são documentados e acompanhados até a resolução.
  • Toda autenticação e transmissão de dados para o ambiente de produção ocorre por canais seguros de transmissão (por exemplo, IPSec, SSH, TLS).

Medidas adotadas para garantir a Segurança, Confidencialidade e Integridade dos Dados em Contato com Terceiros:

  • Contratos com fornecedores estabelecem requisitos de segurança da informação e confidencialidade para os fornecedores.

Medidas adotadas para garantir a Disponibilidade da Plataforma e dos Dados nela contidos:

  • Processos de Recuperação de Desastres e Continuidade de Negócios estão em vigor, e a infraestrutura de produção é configurada em modo de alta disponibilidade para minimizar interrupções inesperadas nos serviços e no acesso aos Serviços.
  • O sistema de produção da Signifyd é tolerante a falhas, escalável e altamente disponível. O tráfego de entrada é balanceado entre zonas de disponibilidade geograficamente distribuídas.
  • Um processo robusto de backup foi estabelecido para os bancos de dados de produção e os dados dos clientes.

Medidas adotadas por Subcontratados/Suboperadores:

  • Programa de Segurança da Informação: Um Programa documentado de Segurança da Informação é mantido, estabelecido com o objetivo de proteger os Dados Pessoais do Assinante contra perda, acesso ou divulgação acidental ou ilícita, identificar riscos internos e previsíveis à segurança e minimizar os riscos.
  • Segurança de Rede: Controles e políticas de acesso são mantidos para gerenciar conexões de rede e acesso de usuários. Firewalls ou tecnologias funcionalmente equivalentes e controles de autenticação são utilizados. Planos de ação corretiva e resposta a incidentes são utilizados para responder a potenciais ameaças à segurança.
  • Segurança Física:
    • O acesso aos data centers é restrito a funcionários com necessidade legítima de negócio. O acesso é revogado quando não for mais necessário.
    • Controles físicos como barreiras, validação eletrônica de acesso e verificação por pessoal de segurança são utilizados.
    • Portas com travas, vigilância por vídeo e sistemas eletrônicos de detecção de intrusão são utilizados nas instalações onde os dados são armazenados.
    • Crachás de identificação com foto, registro de entrada e saída e acompanhamento por funcionários são exigidos para todos os visitantes.
  • Revisões Periódicas: Avaliações da segurança da rede e do Programa de Segurança da Informação são realizadas regularmente com base nos padrões da indústria. Melhorias e atualizações são aplicadas conforme exigido por essas análises.

 

 

APÊNDICE 2

Suboperadores/Fornecedores da Signifyd

Nome do Suboperador Atividade de Tratamento Local de Tratamento
Fidelity National Serviços EContact Center LTDA. Serviços de revisão e análise de transações Brasil
Qualfon Data Service Group, LLC Serviços de revisão e análise de transações México
Alfa Business Outsourcing Philippines Inc., dba www.TasksEveryday.com Serviços de revisão e análise de transações Filipinas
Webhelp Malaysia SDN Serviços de revisão e análise de transações Malásia


Suboperadores/Fornecedores que a Signifyd utiliza para seus Serviços principais:

Nome do Suboperador Atividade de Tratamento Local de Tratamento
Amazon Web Services (AWS) Provedor de hospedagem em nuvem Estados Unidos
Atlassian (JIRA) Sistema interno de gerenciamento de chamados Irlanda
Bigeye Data Observability Serviço de monitoramento e detecção de anomalias Estados Unidos
Databricks Consulta de dados, testes e avaliação de casos de uso de ML Estados Unidos
Elastic Search Funcionalidade de busca Estados Unidos
Heap Analytics Monitoramento do uso do produto Estados Unidos
Google Cloud Platform (GCP) Provedor de hospedagem em nuvem Estados Unidos
Looker Inteligência de negócios e análises incorporadas Estados Unidos
PaloAlto Networks Sistema de detecção de intrusões Estados Unidos
Tray.io Provedor de conectores de fontes de dados Estados Unidos
Salesforce Gerenciamento de relacionamento com Assinantes e suporte Estados Unidos
Zendesk Suporte ao Assinante e sistema de gerenciamento de chamados Estados Unidos

APÊNDICE 3

Cláusulas-Padrão Contratuais do Brasil

SEÇÃO I - INFORMAÇÕES GERAIS

CLÁUSULA 1. Identificação das Partes

1.1. Pelo presente instrumento contratual, o Exportador e o Importador (doravante, Partes), abaixo identificados, resolvem adotar as cláusulas-padrão contratuais (doravante Cláusulas) aprovadas pela Autoridade Nacional de Proteção de Dados (ANPD), para reger a Transferência Internacional de Dados descrita na Cláusula 2, em conformidade com as disposições da Legislação Nacional.

  • Nome: Vide Anexo I, Seção A, Apêndice 1
  • Qualificação: Vide Anexo I, Seção A, Apêndice 1
  • Endereço principal: Vide Anexo I, Seção A, Apêndice 1
  • Endereço de e-mail: Vide Anexo I, Seção A, Apêndice 1
  • Contato para o Titular: Vide Anexo I, Seção A, Apêndice 1
  • Outras informações: N/A

(x) Exportador/Controlador
( ) Exportador/Operador

  • Nome: Vide Anexo I, Seção A, Apêndice 1
  • Qualificação: Vide Anexo I, Seção A, Apêndice 1
  • Endereço principal: Vide Anexo I, Seção A, Apêndice 1
  • Endereço de e-mail: Vide Anexo I, Seção A, Apêndice 1
  • Contato para o Titular: Vide Anexo I, Seção A, Apêndice 1
  • Outras informações: N/A

(x) Importador/Controlador
( ) Importador/Operador

CLÁUSULA 2. Objeto

2.1. Estas Cláusulas se aplicam às Transferências Internacionais de Dados do Exportador para o Importador, conforme a descrição abaixo.

  • Descrição da transferência internacional de dados: Vide Anexo I, Seção B, Apêndice 1
  • Principais finalidades da transferência: Vide Anexo I, Seção B, Apêndice 1
  • Categorias de dados pessoais transferidos: Vide Anexo I, Seção B, Apêndice 1
  • Período de armazenamento dos dados: Vide Anexo I, Seção B, Apêndice 1
  • Outras informações: N/A

CLÁUSULA 3. Transferências Posteriores

3.1. O Importador não poderá realizar Transferência Posterior dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, salvo nas hipóteses previstas no item 18.3.

  • Objetivos da transferência internacional: Vide Anexo I, Seção B, Apêndice 1
  • Categorias dos dados pessoais transferidos: Vide Anexo I, Seção B, Apêndice 1
  • Período de retenção dos dados: Vide Anexo I, Seção B, Apêndice 1
  • Outras informações: N/A

CLÁUSULA 4. Responsabilidades das Partes

4.1. Sem prejuízo do dever de assistência mútua e das obrigações gerais das Partes, caberá à Parte Designada abaixo, na condição de Controlador, a responsabilidade pelo cumprimento das seguintes obrigações previstas nestas Cláusulas:

a. Responsável por publicar o documento previsto na Cláusula 14;

(x) Exportador (x) Importador

b. Responsável por atender às solicitações de titulares de que trata a CLÁUSULA 15:

(x) Exportador (x) Importador

c. Responsável por realizar a comunicação de incidente de segurança prevista na Cláusula 16:

(x) Exportador (x) Importador

4.2. Para os fins destas Cláusulas, verificado, posteriormente, que a Parte Designada na forma do item 4.1. atua como Operador, o Controlador permanecerá responsável:

a. pelo cumprimento das obrigações previstas nas Cláusulas 14, 15 e 16 e demais disposições
estabelecidas na Legislação Nacional, especialmente em caso de omissão ou descumprimento das obrigações pela Parte Designada;
b. pelo atendimento às determinações da ANPD; e
c. pela garantia dos direitos dos Titulares e pela reparação dos danos causados, observado o disposto na Cláusula 17.

 

SEÇÃO II - CLÁUSULAS MANDATÓRIAS CLÁUSULA

5. Finalidade

5.1. Estas Cláusulas se apresentam como mecanismo viabilizador do fluxo internacional seguro de dados pessoais, estabelecem garantias mínimas e condições válidas para a realização de Transferência Internacional de Dados e visam garantir a adoção das salvaguardas adequadas para o cumprimento dos princípios, dos direitos do Titular e do regime de proteção de dados previstos na Legislação Nacional.

CLÁUSULA 6. Definições

6.1. Para os fins destas Cláusulas, serão consideradas as definições do art. 5° da Lei nº 13.709, de 14 de agosto de 2018, e do art. 3º do Regulamento de Transferência Internacional de Dados Pessoais, sem prejuízo de outros atos normativos expedidos pela ANPD. As Partes concordam, ainda, em considerar os termos e seus respectivos significados, conforme exposto a seguir:

  1. Agentes de tratamento: o controlador e o operador;
  2. ANPD: Autoridade Nacional de Proteção de Dados;
  3. Cláusulas: as cláusulas-padrão contratuais aprovadas pela ANPD, que integram as Seções I, II e III;
  4. Contrato Coligado: instrumento contratual firmado entre as Partes ou, pelo menos, entre uma destas e um terceiro, incluindo um Terceiro Controlador, que possua propósito comum, vinculação ou relação de dependência com o contrato que rege a Transferência Internacional de Dados;
  5. Controlador: Parte ou terceiro ("Terceiro Controlador") a quem compete as decisões referentes ao tratamento de Dados Pessoais;
  6. Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;
  7. Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  8. Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
  9. Exportador: agente de tratamento, localizado no território nacional ou em país estrangeiro, que transfere dados pessoais para Importador;
  10. Importador: agente de tratamento, localizado em país estrangeiro ou que seja organismo internacional, que recebe dados pessoais transferidos por Exportador;
  11. Legislação Nacional: conjunto de dispositivos constitucionais, legais e regulamentares brasileiros a respeito da proteção de Dados Pessoais, incluindo a Lei nº 13.709, de 14 de agosto de 2018, o Regulamento de Transferência Internacional de Dados e outros atos normativos expedidos pela ANPD;
  12. Lei de Arbitragem: Lei nº 9.307, de 23 de setembro de 1996;
  13. Medidas de Segurança: medidas técnicas e administrativas adotadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
  14. Órgão de Pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
  15. Operador: Parte ou terceiro, incluindo um Subcontratado, que realiza o tratamento de Dados Pessoais em nome do Controlador;
  16. Parte Designada: Parte do contrato designada, nos termos da Cláusula 4 ("Opção A"), para cumprir, na condição de Controlador, obrigações específicas relativas à transparência, direitos dos Titulares e comunicação de incidentes de segurança;
  17. Partes: Exportador e Importador;
  18. Solicitação de Acesso: solicitação de atendimento obrigatório, por força de lei, regulamento ou determinação de autoridade pública, para conceder acesso aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas;
  19. Subcontratado: agente de tratamento contratado pelo Importador, sem vínculo com o Exportador, para realizar tratamento de Dados Pessoais após uma Transferência Internacional de Dados;
  20. Terceiro Controlador: Controlador dos Dados Pessoais que fornece instruções por escrito para a realização, em seu nome, da Transferência Internacional de Dados entre Operadores regida por estas Cláusulas, na forma da Cláusula 4 ("Opção B");
  21. Titular: pessoa natural a quem se referem os Dados Pessoais que são objeto da Transferência Internacional de Dados regida por estas Cláusulas;
  22. Transferência: modalidade de tratamento por meio da qual um agente de tratamento transmite, compartilha ou disponibiliza acesso a Dados Pessoais a outro agente de tratamento;
  23. Transferência Internacional de Dados: transferência de Dados Pessoais para país estrangeiro ou organismo internacional do qual o país seja membro; e
  24. Transferência Posterior: transferência Internacional de Dados, originada de um Importador, e destinada a um terceiro, incluindo um Subcontratado, desde que não configure Solicitação de Acesso.

CLÁUSULA 7. Legislação aplicável e fiscalização da ANPD

7.1. A Transferência Internacional de Dados objeto das presentes Cláusulas submete-se à Legislação Nacional e à fiscalização da ANPD, incluindo o poder de aplicar medidas preventivas e sanções administrativas a ambas as Partes, conforme o caso, bem como o de limitar, suspender ou proibir as transferências internacionais decorrentes destas Cláusulas ou de um Contrato Coligado.

CLÁUSULA 8. Interpretação

8.1. Qualquer aplicação destas Cláusulas deve ocorrer de acordo com os seguintes termos:

  1. estas Cláusulas devem sempre ser interpretadas de forma mais favorável ao Titular e de acordo com as disposições da Legislação Nacional;
  2. em caso de dúvida sobre o significado de termos destas Cláusulas, aplica-se o significado que mais se alinha com a Legislação Nacional;
  3. nenhum item destas Cláusulas, incluindo-se aqui um Contrato Coligado e as disposições previstas na Seção IV, poderá ser interpretado com o objetivo de limitar ou excluir a responsabilidade de qualquer uma das Partes em relação a obrigações previstas na Legislação Nacional; e
  4. as disposições das Seções I e II prevalecem em caso de conflito de interpretação com Cláusulas adicionais e demais disposições previstas nas Seções III e IV deste instrumento ou em Contratos Coligados.

CLÁUSULA 9. Possibilidade de Adesão de Terceiros

9.1. Em comum acordo entre as Partes, é possível a um agente de tratamento aderir a estas Cláusulas na condição de Exportador ou de Importador, por meio do preenchimento e assinatura de documento escrito, que integrará o presente instrumento.

9.2. A parte aderente terá os mesmos direitos e obrigações das Partes originárias, conforme a posição assumida de Exportador ou Importador e de acordo com a categoria de agente de tratamento correspondente. CLÁUSULA

10. Obrigações gerais das Partes

10.1. As Partes se comprometem a adotar e, quando necessário, demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das disposições destas Cláusulas e da Legislação Nacional e, inclusive, da eficácia dessas medidas e, em especial:

  1. utilizar os Dados Pessoais somente para as finalidades específicas descritas na Cláusula 2, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, observadas, em qualquer caso, as limitações, garantias e salvaguardas previstas nestas Cláusulas;
  2. garantir a compatibilidade do tratamento com as finalidades informadas ao Titular, de acordo com o contexto do tratamento;
  3. limitar o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de Dados Pessoais;
  4. garantir aos Titulares, observado o disposto na Cláusula 4.
    (d.1.) informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
    (d.2.) consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus Dados Pessoais; e
    (d.3.) a exatidão, clareza, relevância e atualização dos Dados Pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
  5. adotar as medidas de segurança apropriadas e compatíveis com os riscos envolvidos na Transferência Internacional de Dados regida por estas Cláusulas;
  6. não realizar tratamento de Dados Pessoais para fins discriminatórios ilícitos ou abusivos;
  7. assegurar que qualquer pessoa que atue sob sua autoridade, inclusive subcontratados ou qualquer agente que com ele colabore, de forma gratuita ou onerosa, realize tratamento de dados apenas em conformidade com suas instruções e com o disposto nestas Cláusulas; e
  8. manter registro das operações de tratamento dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, e apresentar a documentação pertinente à ANPD, quando solicitado.

CLÁUSULA 11. Dados Pessoais Sensíveis

11.1. Caso a Transferência Internacional de Dados envolva Dados Pessoais sensíveis, as Partes aplicarão salvaguardas adicionais, incluindo medidas de segurança específicas e proporcionais aos riscos da atividade de tratamento, à natureza específica dos dados e aos interesses, direitos e garantias a serem protegidos, conforme descrito na Seção III.

CLÁUSULA 12. Dados Pessoais de Crianças e Adolescentes

12.1. Caso a Transferência Internacional de Dados envolva Dados Pessoais de crianças e adolescentes, as Partes aplicarão salvaguardas adicionais, incluindo medidas que assegurem que o tratamento seja realizado em seu melhor interesse, nos termos da Legislação Nacional e dos instrumentos pertinentes de direito internacional.

CLÁUSULA 13. Uso Legal dos Dados

13.1. O Exportador garante que os Dados Pessoais foram coletados, tratados e transferidos para o Importador de acordo com a Legislação Nacional.

CLÁUSULA 14. Transparência

14.1. A Parte Designada publicará, em sua página na Internet, documento contendo informações facilmente acessíveis redigidas em linguagem simples, clara e precisa sobre a realização da Transferência Internacional de Dados, incluindo, pelo menos, informações sobre:

  1. a forma, a duração e a finalidade específica da transferência internacional;
  2. o país de destino dos dados transferidos;
  3. a identificação e os contatos da Parte Designada;
  4. o uso compartilhado de dados pelas Partes e a finalidade;
  5. as responsabilidades dos agentes que realizarão o tratamento;
  6. os direitos do Titular e os meios para o seu exercício, incluindo canal de fácil acesso disponibilizado para atendimento às suas solicitações e o direito de peticionar contra o Controlador perante a ANPD; e
  7. Transferências Posteriores, incluindo as relativas aos destinatários e à finalidade da transferência.

14.2. O documento referido no item 14.1. poderá ser disponibilizado em página específica ou integrado, de forma destacada e de fácil acesso, à Política de Privacidade ou documento equivalente.

14.3. A pedido, as Partes devem disponibilizar, gratuitamente, ao Titular uma cópia destas Cláusulas, observados os segredos comercial e industrial.

14.4. Todas as informações disponibilizadas aos titulares, nos termos destas Cláusulas, deverão ser redigidas na língua portuguesa.

CLÁUSULA 15. Direitos do Titular

15.1. O Titular tem direito a obter da Parte Designada, em relação aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, a qualquer momento, e mediante requisição, nos termos da Legislação Nacional:

  1. confirmação da existência de tratamento;
  2. acesso aos dados;
  3. correção de dados incompletos, inexatos ou desatualizados;
  4. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com estas Cláusulas e com o disposto na Legislação Nacional; Page 16 of 20 Confidential
  5. portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da ANPD, observados os segredos comercial e industrial;
  6. eliminação dos Dados Pessoais tratados com o consentimento do Titular, exceto nas hipóteses previstas na Cláusula 20;
  7. informação das entidades públicas e privadas com as quais as Partes realizaram uso compartilhado de dados;
  8. informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  9. revogação do consentimento mediante procedimento gratuito e facilitado, ratificados os tratamentos realizados antes do requerimento de eliminação;
  10. revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; e
  11. informações a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

15.2. O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nestas Cláusulas ou na Legislação Nacional.

15.3. O prazo para atendimento às solicitações previstas nesta Cláusula e no item 14.3. é de 15 (quinze) dias contados da data do requerimento do titular, ressalvada a hipótese de prazo distinto estabelecido em regulamentação específica da ANPD.

15.4. Caso a solicitação do Titular seja direcionada à Parte não designada como responsável pelas obrigações previstas nesta Cláusula ou no item 14.3., a Parte deverá:

  1. informar ao Titular o canal de atendimento disponibilizado pela Parte Designada; ou
  2. encaminhar a solicitação para a Parte Designada o quanto antes, a fim de viabilizar a resposta no prazo previsto no item 15.2.

15.5. As Partes deverão informar, imediatamente, aos Agentes de Tratamento com os quais tenham realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.

15.6. As Partes devem promover assistência mútua com a finalidade de atender às solicitações dos Titulares.

CLÁUSULA 16. Comunicação de Incidente de Segurança

16.1. A Parte Designada deverá comunicar à ANPD e aos Titulares, no prazo de 3 (três) dias úteis, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante para os Titulares, observado o disposto na Legislação Nacional.

16.2. O Importador deve manter o registro de incidentes de segurança nos termos da Legislação Nacional.

CLÁUSULA 17. Responsabilidade e Ressarcimento de Danos

17.1. A Parte que, em razão do exercício da atividade de tratamento de Dados Pessoais, causar dano patrimonial, moral, individual ou coletivo, em violação às disposições destas Cláusulas e da Legislação Nacional, é obrigada a repará-lo.

17.2. O Titular poderá pleitear a reparação do dano causado por quaisquer das Partes em razão da violação destas Cláusulas.

17.3. A defesa dos interesses e dos direitos dos Titulares poderá ser pleiteada em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente acerca dos instrumentos de tutela individual e coletiva.

17.4. A Parte que atuar como Operador responde, solidariamente, pelos danos causados pelo tratamento quando descumprir as presentes Cláusulas ou quando não tiver seguido as instruções lícitas do Controlador, ressalvado o disposto no item 17.6.

17.5. Os Controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao Titular respondem, solidariamente, por estes danos, ressalvado o disposto no item 17.6.

17.6. Não caberá responsabilização das Partes se comprovado que:

  1. não realizaram o tratamento de Dados Pessoais que lhes é atribuído;
  2. embora tenham realizado o tratamento de Dados Pessoais que lhes é atribuído, não houve violação a estas Cláusulas ou à Legislação Nacional; ou
  3. o dano é decorrente de culpa exclusiva do Titular ou de terceiro que não seja destinatário de Transferência Posterior ou subcontratado pelas Partes.

17.7. Nos termos da Legislação Nacional, o juiz poderá inverter o ônus da prova a favor do Titular quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo Titular resultar-lhe excessivamente onerosa.

17.8. As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos desta Cláusula podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.

17.9. A Parte que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.

CLÁUSULA 18. Salvaguardas para Transferência Posterior

18.1. O Importador somente poderá realizar Transferências Posteriores dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas se expressamente autorizado, conforme as hipóteses e condições descritas na Cláusula 3.

18.2. Em qualquer caso, o Importador: a. deve assegurar que a finalidade da Transferência Posterior é compatível com as finalidades específicas descritas na Cláusula 2; b. deve garantir, mediante instrumento contratual escrito, que as salvaguardas previstas nestas Cláusulas serão observadas pelo terceiro destinatário da Transferência Posterior; e c. para fins destas Cláusulas, e em relação aos Dados Pessoais transferidos, será considerado o responsável por eventuais irregularidades praticadas pelo terceiro destinatário da Transferência Posterior.

18.3. A Transferência Posterior poderá, ainda, ser realizada com base em outro mecanismo válido de Transferência Internacional de Dados previsto na Legislação Nacional, independentemente da autorização de que trata a Cláusula 3.

CLÁUSULA 19. Notificação de Solicitação de Acesso

19.1. O Importador notificará o Exportador e o Titular sobre Solicitação de Acesso relacionada aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, ressalvada a hipótese de vedação de notificação pela lei do país de tratamento dos dados.

19.2. O Importador adotará as medidas legais cabíveis, incluindo ações judiciais, para proteger os direitos dos Titulares sempre que houver fundamento jurídico adequado para questionar a legalidade da Solicitação de Acesso e, se for o caso, a vedação de realizar a notificação referida no item 19.1.

19.3. Para atender às solicitações da ANPD e do Exportador, o Importador deve manter registro de Solicitações de Acesso, incluindo data, solicitante, finalidade da solicitação, tipo de dados solicitados, número de solicitações recebidas e medidas legais adotadas.

CLÁUSULA 20. Término do Tratamento e Eliminação dos Dados

20.1. As Partes deverão eliminar os Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas após o término do tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação apenas para as seguintes finalidades:

  1. cumprimento de obrigação legal ou regulatória pelo Controlador;
  2. estudo por Órgão de Pesquisa, garantida, sempre que possível, a anonimização dos Dados Pessoais;
  3. transferência a terceiro, desde que respeitados os requisitos previstos nestas Cláusulas e na Legislação Nacional; e
  4. uso exclusivo do Controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

20.2. Para fins desta Cláusula, considera-se que o término do tratamento ocorrerá quando:

  1. alcançada a finalidade prevista nestas Cláusulas;
  2. os Dados Pessoais deixarem de ser necessários ou pertinentes ao alcance da finalidade específica prevista nestas Cláusulas;
  3. finalizado o período de tratamento;
  4. atendida solicitação do Titular; e
  5. determinado pela ANPD, quando houver violação ao disposto nestas Cláusulas ou na Legislação Nacional.

CLÁUSULA 21. Segurança no Tratamento dos Dados

21.1. As Partes deverão adotar medidas de segurança que garantam proteção aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, mesmo após o seu término.

21.2. As Partes informarão, na Seção III, as Medidas de Segurança adotadas, considerando a natureza das informações tratadas, as características específicas e a finalidade do tratamento, o estado atual da tecnologia e os riscos para os direitos dos Titulares, especialmente no caso de dados pessoais sensíveis e de crianças e adolescentes.

21.3. As Partes deverão realizar os esforços necessários para adotar medidas periódicas de avaliação e revisão visando manter nível de segurança adequado às características do tratamento de dados.

CLÁUSULA 22. Legislação do País Destinatário dos Dados

22.1. O Importador declara que não identificou leis ou práticas administrativas do país destinatário dos Dados Pessoais que o impeçam de cumprir as obrigações assumidas nestas Cláusulas. 22.2. Sobrevindo alteração normativa que altere esta situação, o Importador notificará, de imediato, o Exportador para avaliação da continuidade do contrato.

CLÁUSULA 23. Descumprimento das Cláusulas pelo Importador

23.1. Havendo violação das salvaguardas e garantias previstas nestas Cláusulas ou a impossibilidade de seu cumprimento pelo Importador, o Exportador deverá ser comunicado imediatamente, ressalvado o disposto no item 19.1.

23.2. Recebida a comunicação de que trata o item 23.1 ou verificado o descumprimento destas Cláusulas pelo Importador, o Exportador adotará as providências pertinentes para assegurar a proteção aos direitos dos Titulares e a conformidade da Transferência Internacional de Dados com a Legislação Nacional e as presentes Cláusulas, podendo, conforme o caso:

  1. suspender a Transferência Internacional de Dados;
  2. solicitar a devolução dos Dados Pessoais, sua transferência a um terceiro, ou a sua eliminação; e
  3. rescindir o contrato.

CLÁUSULA 24. Eleição do foro e jurisdição

24.1. Aplica-se a estas Cláusulas a legislação brasileira e qualquer controvérsia entre as Partes decorrente destas Cláusulas será resolvida perante os tribunais competentes do Brasil, observado, se for o caso, o foro eleito pelas Partes na Seção IV.

24.2. Os Titulares podem ajuizar ações judiciais contra o Exportador ou o Importador, conforme sua escolha, perante os tribunais competentes no Brasil, inclusive naqueles localizados no local de sua residência.

24.3. Em comum acordo, as Partes poderão se valer da arbitragem para resolver os conflitos decorrentes destas Cláusulas, desde que realizada no Brasil e conforme as disposições da Lei de Arbitragem.

 

SEÇÃO III - MEDIDAS DE SEGURANÇA

Vide Anexo II do Apêndice 1.

 

SEÇÃO IV – Cláusulas e Anexos Adicionais

Intencionalmente deixado em branco.