ANEXO I – PROTEÇÃO DE DADOS (DPA)

Este Anexo I regulamenta a Proteção de Dados na Solução Pipefy, definindo as obrigações e responsabilidades das partes envolvidas quanto à privacidade e segurança das informações processadas, bem como detalha as práticas e medidas de segurança adotadas pela Pipefy para assegurar a integridade, confidencialidade e disponibilidade dos dados, conforme as leis e regulamentos aplicáveis. As disposições deste Anexo complementam os Termos de Uso e são aplicáveis a todos os Clientes, quando houver tratamento de dados pessoais e sensíveis na Solução Pipefy.

1. A Pipefy atuará exclusivamente como operadora de dados pessoais, processando informações conforme as instruções documentadas e específicas fornecidas pelo Cliente, o controlador dos dados. A Pipefy não possui autonomia para definir finalidades ou modalidades de tratamento dos dados pessoais processados pelas Partes.

1.1. Para os fins deste Anexo, considera-se:

a) Dados de Configuração: Informações geradas ou coletadas automaticamente pela plataforma ou sistema, relacionadas à configuração, personalização e parametrização do produto ou serviço contratado. Estes dados podem ser acessados pela Pipefy para fins exclusivos de suporte técnico, melhorias contínuas da plataforma e compreensão sobre o uso do produto, sempre em conformidade com as normas aplicáveis de proteção de dados e privacidade.

b) Dados inseridos nos Cards: Dados inseridos diretamente pelo Cliente ou por seus representantes, incluindo, mas não se limitando, a informações pessoais ou corporativas, conteúdos estratégicos ou sensíveis relacionados ao uso da plataforma. Estes dados são de titularidade e de tratamento exclusivo do Cliente. O acesso pela Pipefy aos Dados Inseridos nos Cards é expressamente limitado e ocorrerá somente quando necessário para suporte técnico ou consultoria específica solicitada pelo Cliente; com autorização prévia, expressa e específica do Cliente, detalhando o propósito e a extensão do acesso; ou em cumprimento a obrigação legal ou regulatória, mediante notificação ao Cliente.

1.2 O Cliente será responsável por garantir que os dados inseridos nos Cards estejam em conformidade com a legislação aplicável e por manter medidas de segurança adequadas ao seu ambiente interno para evitar acessos não autorizados.

1.3 Na qualidade de Controlador dos Dados Pessoais, caberá ao Cliente atender a requisições de exercício de direitos por parte dos Titulares e caberá à Pipefy, como Operadora, sempre que necessário e solicitado pelo Cliente, auxiliar no atendimento das requisições realizadas por Titulares, tais como pedidos de acesso aos Dados Pessoais, correção de Dados Pessoais incompletos, inexatos ou desatualizados, bloqueio ou eliminação de Dados Pessoais desnecessários, ou excessivos, portabilidade dos Dados Pessoais, dentre outros direitos previstos na legislação, cujo deferimento ou não ficará ao exclusivo critério do Cliente.

2. A Pipefy é exclusivamente responsável por todos os custos despendidos no atendimento das requisições realizadas por Titulares de dados em que a Pipefy seja considerada Controladora, ficando a cargo do Cliente exclusiva responsabilidade pelo atendimento das requisições realizadas por Titulares de dados em que o Cliente seja considerado Controlador, bem como os custos despendido para tanto.

3. Compromissos das Partes. As Partes se comprometem e garantem que, cada qual na medida de suas atuações:

a) Ambas as Partes cumprem com todas as leis, regras e regulamentos aplicáveis aos Dados Pessoais tratados em razão da execução das obrigações assumidas por elas, incluindo, mas não se limitando à Lei 13.709/18 (Lei de Proteção de Dados Pessoais –  “LGPD”) quando houver tratamento de titulares residentes no Brasil e/ou Regulamento (UE) 2016/679 (General Data Protection Regulation – GDPR) quando houver tratamento de dados de titulares residentes na União Europeia, e/ou à California Consumer Privacy Act (CCPA) quando houver tratamento de dados de titulares residentes na Califórnia, EUA.

b) A Pipefy utiliza os dados pessoais recebidos em função desta relação jurídica somente para a finalidade ajustada entre as Partes, não podendo, em nenhum caso, utilizar esses Dados Pessoais para finalidade distinta, sob pena de rescisão imediata e assunção integral de quaisquer danos causados à outra Parte e/ou a terceiros.

c) A Pipefy não armazena e não compartilha os dados pessoais com terceiros, salvo com autorização prévia e expressa da outra Parte, ou seja, requisito para o cumprimento destes Termos, conforme o presente Anexo. 

d) Ambas tratam todos os Dados Pessoais não públicos como confidenciais, ainda que esta relação jurídica seja resolvida independentemente dos motivos que derem causa ao seu término ou resolução.

e) A duração do Tratamento deverá respeitar o objeto contratual, bem como o disposto na legislação aplicável.

f)A Pipefy adota mecanismos apropriados para o processamento dos Dados Pessoais conforme as previsões legais, a fim de evitar perda, destruição, roubo, dano, alteração, manipulação ou interceptação e/ou divulgação acidental. 

g) Ambas as Partes limitarão o acesso aos Dados Pessoais oriundos destes Termos apenas aos empregados, prepostos e/ou representantes que deles necessitarem para a conclusão da tarefa/atividade a ser desenvolvida, restando a cada Parte a responsabilidade pelo ato de seus empregados, prepostos e/ou representantes.

h)É de exclusiva responsabilidade do Cliente, na qualidade de controlador, assegurar que todos os dados pessoais incluídos ou tratados na plataforma Pipefy possuam uma base legal válida para o tratamento. Isso inclui, mas não se limita, à obtenção do consentimento dos titulares, quando aplicável, ou ao cumprimento de outra base legal prevista no Art. 7º da LGPD.

i) O Cliente será integralmente responsável por qualquer eventual violação à LGPD decorrente do descumprimento de sua obrigação de assegurar uma base legal para o tratamento de dados pessoais, incluindo, mas não se limitando, a eventuais sanções administrativas ou reparação de danos a terceiros.

3.1. As Partes reconhecem que a Solução Pipefy foi desenvolvida para atender a requisitos gerais de privacidade e proteção de dados, conforme aplicável. O Cliente é responsável por avaliar a adequação da Solução às exigências legais e regulatórias específicas de seu setor de atuação. A Pipefy não garante conformidade com normas setoriais específicas eventualmente aplicáveis ao Cliente, sendo este o único responsável por assegurar o uso da Solução em conformidade com tais normas.

4. Gestão de Vulnerabilidades. As Partes se obrigam a efetuar a gestão de vulnerabilidades de suas ferramentas, que sejam utilizadas no tratamento de dados pessoais, realizando testes periódicos para identificação e imediata correção de eventuais vulnerabilidades que sejam identificadas.

5. Finalidade do armazenamento. A Pipefy se compromete a armazenar os Dados Pessoais apenas pelos períodos necessários para: (i) atingir a finalidade do tratamento dos Dados Pessoais destes Termos; (ii) processar pagamentos; (iii) prevenir ou tratar de  problemas de caráter técnico; (iv) quando possível, de forma anonimizada, para melhorar e aprimorar a Solução Pipefy; (v) conforme o Cliente expressamente autorizar, inclusive nos casos de compartilhamento dos Dados do Cliente com Aplicativos Não-Pipefy; e (vi) cumprimento de exigências legais e/ou regulatórias.

6. Guarda de Logs. A Pipefy registrará os “logs” de alterações e tratamento dos dados pessoais dos quais é controladora, guardando nesses registros, os elementos mínimos que permitam aferir a atividade e quem as realizou e quando, conforme regula a lei, sendo de responsabilidade do Cliente, a gestão das alterações dos dados no qual a Pipefy é somente operadora.

7. Retenção e Exclusão de Dados Pessoais. Desde que os Termos entre as partes sejam válidos, os dados do Cliente serão armazenados no banco de dados da Pipefy em servidores localizados nos Estados Unidos, mesmo que eles tenham sido excluídos por meio do aplicativo ou de um conjunto de rotinas e padrões de programação para acesso a um aplicativo de software ou plataforma baseado na Web (“API”). Em casos de rescisão contratual, independente da causa, a Pipefy se reserva ao direito de eliminar os Dados Pessoais do Cliente conforme instruções por escrito do Cliente, ou em no máximo 180 (cento e oitenta) dias após a rescisão destes Termos.

8. Sub-Processamento. A Pipefy poderá utilizar terceiros especializados para realizar o tratamento dos Dados Pessoais, conforme disponibilizado em https://www.pipefy.com/pt-br/subprocessadores (“Sub-Operadores”). É obrigação da Pipefy assegurar que os Sub-Operadores se comprometam a garantir nível de segurança igual ou superior ao descrito nesta Seção, antes de transferir quaisquer Dados Pessoais ou autorizar qualquer sub-processamento, bem como realizar auditorias periódicas para verificar o cumprimento das regras de privacidade e obrigações legais. A Pipefy será integral e solidariamente responsável por qualquer descumprimento, violação, irregularidade ou ilicitude cometida por seus Sub-Operadores.

9. Transferência Internacional de Dados: A Pipefy adota as cláusulas-padrão contratuais para transferência internacional de dados, elaboradas e aprovadas pela Autoridade Nacional de Proteção de Dados (“ANPD”) na forma do APÊNDICE 1, as quais asseguram a adoção das salvaguardas adequadas para o cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD.

9.1. Solicitações de Autoridades. Caso a Pipefy seja destinatário de qualquer ordem e/ou solicitação judicial e/ou comunicação oficial que determine o fornecimento ou divulgação de informações pessoais, salvo se expressamente proibida por força legal, regulamento, ordem judicial ou administratia, deverá notificar o Cliente, no prazo máximo de  36 horas úteis, sobre o ocorrido, oportunizando a adoção, em tempo hábil de medidas legais para impedir ou mitigar os efeitos decorrentes da divulgação dos Dados Pessoais relacionados a esta requisição ou objetos desta.

10. Hipóteses de Divulgação. A Pipefy não divulgará os Dados Pessoais para terceiros, a qualquer tempo, exceto nas seguintes hipóteses: (i) mediante autorização prévia, e por escrito, do Cliente; (ii) conforme as regras de sub-processamento descritas acima; (iii) segundo a legislação de proteção de dados aplicável, contando que a Pipefy empenhe esforços razoáveis para compartilhar apenas a quantidade mínima necessária de Dados Pessoais para uma finalidade específica, e sendo o Cliente notificada com antecedência, nos termos e conforme previsto nestes Termos.

11. Aplicativo de Terceiros. Caso o Cliente instale, ative e/ou de qualquer forma utilize um Aplicativo Não-Pipefy em conjunto com a Solução Pipefy, o Cliente está ciente e concorda que o provedor deste Aplicativo Não-Pipefy poderá acessar os Dados do Cliente, incluindo Dados Pessoais, conforme o necessário, para a integração desse Aplicativo Não-Pipefy com a Solução Pipefy e/ou conforme as atividades desse Aplicativo Não-Pipefy. Dentro deste contexto, a Pipefy não se responsabiliza por qualquer incidente, divulgação, modificação ou exclusão de quaisquer Dados do Cliente e Dados Pessoais resultantes do acesso por um Aplicativo Não-Pipefy.

12. Obrigações da Pipefy. A Pipefy  assegura e garante:

a) a Confidencialidade e a integridade das informações compartilhadas pelo Cliente;

b) a não violação da privacidade de Dados Pessoais em seu relacionamento com Clientes, fornecedores, pesquisadores, pacientes, consumidores e funcionários.

c) adotar medidas técnicas e administrativas de segurança da informação para evitar o uso indevido e não autorizado de Dados Pessoais;

d) atender imediata e adequadamente a todas as solicitações do Cliente com relação ao Tratamento de Dados Pessoais, bem como considerar a orientação da Autoridade Nacional de Proteção de Dados com relação ao Tratamento de Dados Pessoais transferidos;

e) se responsabilizar pela manutenção de registro escrito das atividades relativas ao cumprimento de legislação de privacidade de dados aplicável;

f) restringir o acesso aos Dados Pessoais mediante a definição de pessoas habilitadas e responsáveis pelo Tratamento, bem como garantir e responder pela confiabilidade de seus empregados, prepostos e representantes que terão acesso aos Dados Pessoais, considerando a natureza de tais Dados Pessoais;

g) manter inventário detalhado dos acessos aos Dados Pessoais e aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso e o arquivo acessado, inclusive quando tal acesso é feito para cumprimento das obrigações legais ou determinações definidas por autoridade competente;

h) o processamento dos Dados Pessoais, ou seja, qualquer operação ou conjunto de operações efetuadas sobre os Dados Pessoais de seus Clientes, fornecedores e funcionários; incluindo, mas sem se limitar a obtenção, registro, armazenamento, alteração, análise, utilização, transmissão, combinação, bloqueio, exclusão ou destruição estão em absoluto acordo com os direitos do titular dos dados e serão realizadas conforme a finalidade estabelecida;

i) proteger os Dados Pessoais de seus Clientes, fornecedores e funcionários, garantindo a estes, respeitados os limites legais, o direito de serem informados acerca de qualquer processamento de seus dados; assim como a ter acesso aos seus próprios dados, dentre outros direitos previstos na legislação aplicável;

j) registrar as atividades que envolvam transferência internacional de Dados Pessoais, indicando o país/organização de destino e adotando as garantias necessárias para a transferência ser realizada conforme a legislação aplicável e orientações definidas por autoridade competente;

k) atender as solicitações de informações realizadas pelo Cliente em até 36 horas úteis, justificando eventuais atrasos; e 

l) cooperar com o atendimento à solicitação de titulares de dados do Cliente (clientes do Cliente), usando as medidas técnicas e organizacionais apropriadas, conforme instruções do Cliente.

m) enviar 1 (um) relatório executivo, no último trimestre do exercício corrente, sob demanda, relativo a segurança da informação e privacidade de dados (“Relatório”), disponibilizado gratuitamente, desde que solicitado com antecedência de 45 dias conforme o regulado na cláusula 15.6 dos Termos, ou, quando em periodicidade ou quantidade diferente, mediante análise de viabilidade, podendo resultar em custos adicionais, a serem negociados entre as Partes.

13. Plano de Contingência. A Pipefy obriga-se a criar mecanismos de contingência para evitar o vazamento de dados, devendo testá-lo e mantê-lo atualizado, comprometendo-se a apresentar seu Plano de Contingência para o Cliente em caso de solicitação desta para atendimento de solicitações da autoridade ou em caso de eventuais demandas judiciais.

14. Aviso de Incidentes. Se, a qualquer tempo, houver uma violação real, suspeita ou potencial ameaça à segurança dos Dados Pessoais, ou, ainda, haja suspeita de perda, destruição, deleção, dano, corrompimento, inutilização de Dados Pessoais, usado ou divulgados a um terceiro não autorizado, a Parte que tiver conhecimento do incidente deverá notificar a outra Parte em, no máximo 3 (três) dias úteis da ciência do incidente,  devendo a notificação conter os detalhes integrais e completos relativos à violação, incluindo:

a) data e hora do incidente;

b) data e hora da ciência pela Parte que teve os seus dados vazados;

c) relação dos tipos de dados afetados pelo incidente;

d) relação de titulares afetados pelo incidente;

e) a natureza e os fatos de tal violação, incluindo o titular dos Dados Pessoais, sendo possível;

f) os dados de contato do responsável pela proteção dos dados ou representante constituído e nomeado para tratar de vazamento de dados na empresa, responsável pelas informações adicionais relativas ao incidente;

g) as prováveis consequências e/ou potenciais consequências de tal incidente; e

h) as medidas adotadas ou propostas pelo Pipefy ou pelo responsável pela proteção dos Dados Pessoais para remediar tal violação e mitigar quaisquer efeitos adversos possíveis e as datas de implantação dessas medidas (plano de ação).

15. Tratativa de Incidentes. Ocorrendo incidente, deverá a Pipefy cumprir prontamente com as instruções fornecidas pelo Cliente, visando remediar ou mitigar as consequências adversas, além de praticar todos os atos necessários e recursos para conter a violação e recuperar e/ou restaurar os Dados Pessoais (sendo possível) e atender qualquer solicitação, notificação ou investigação por parte de Autoridades.

16. Dados de contato. O atendimento da Pipefy sobre os assuntos inerentes a privacidade e dados pessoais poderá ser acessado no endereço eletrônico [email protected].

APÊNDICE 1 – DA TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS

Este Apêndice define as condições sob as quais a Pipefy, Inc. (“Pipefy”, “Exportador”, ou o “Processador”) se compromete a realizar, em nome do Cliente (“Cliente”, “Importador”, ou o “Controlador”), as operações de Transferência Internacional de Dados em conformidade com as disposições da Legislação Nacional e Autoridade Nacional de Proteção de Dados (“ANPD”) definidas abaixo.

Seção I – Informações Gerais

CLÁUSULA 1. Identificação das Partes

1.1. Pelo presente instrumento contratual, o Exportador e o Importador (doravante, Partes), abaixo identificados, resolvem adotar as cláusulas-padrão contratuais (doravante Cláusulas) aprovadas pela Autoridade Nacional de Proteção de Dados (ANPD), para reger a Transferência Internacional de Dados descrita na Cláusula 2, em conformidade com as disposições da Legislação Nacional.

() Exportador/Controlador () Exportador/Operador

( ) Importador/Controlador (x) Importador/Operador

CLÁUSULA 2. Objeto

2.1. Estas Cláusulas se aplicam às Transferências Internacionais de Dados do Exportador para o Importador, conforme a descrição abaixo.

Descrição da transferência internacional de dados:

CLÁUSULA 3. Transferências Posteriores

3.1. O Importador não poderá realizar Transferência Posterior dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, salvo nas hipóteses previstas no item 18.3.

CLÁUSULA 4. Responsabilidades das Partes

4.1. Sem prejuízo do dever de assistência mútua e das obrigações gerais das Partes, caberá à Parte Designada abaixo, na condição de Controlador, a responsabilidade pelo cumprimento das seguintes obrigações previstas nestas Cláusulas:

a) Responsável por publicar o documento previsto na Cláusula 14;

(x) Exportador ( ) Importador

b) Responsável por atender às solicitações de titulares de que trata a CLÁUSULA 15:

(x) Exportador ( ) Importador

c) Responsável por realizar a comunicação de incidente de segurança prevista na Cláusula 16:

(x) Exportador ( ) Importador

4.2. Para os fins destas Cláusulas, verificado, posteriormente, que a Parte Designada na forma do item 4.1. atua como Operador, o Controlador permanecerá responsável:

a) pelo cumprimento das obrigações previstas nas Cláusulas 14, 15 e 16 e demais disposições estabelecidas na Legislação Nacional, especialmente em caso de omissão ou descumprimento das obrigações pela Parte Designada;

b) pelo atendimento às determinações da ANPD; e

c) pela garantia dos direitos dos Titulares e pela reparação dos danos causados, observado o disposto na Cláusula 17.

Seção II – Cláusulas Mandatórias

CLÁUSULA 5. Finalidade

5.1. Estas Cláusulas se apresentam como mecanismo viabilizador do fluxo internacional seguro de dados pessoais, estabelecem garantias mínimas e condições válidas para a realização de Transferência Internacional de Dados e visam garantir a adoção das salvaguardas adequadas para o cumprimento dos princípios, dos direitos do Titular e do regime de proteção de dados previstos na Legislação Nacional.

CLÁUSULA 6. Definições

6.1. Para os fins destas Cláusulas, serão consideradas as definições do art. 5° da Lei nº 13.709, de 14 de agosto de 2018, e do art. 3º do Regulamento de Transferência Internacional de Dados Pessoais, sem prejuízo de outros atos normativos expedidos pela ANPD. As Partes concordam, ainda, em considerar os termos e seus respectivos significados, conforme exposto a seguir:

a) Agentes de tratamento: o controlador e o operador;

b) ANPD: Autoridade Nacional de Proteção de Dados;

c) Cláusulas: as cláusulas-padrão contratuais aprovadas pela ANPD, que integram as Seções I, II e III;

d) Contrato Coligado: instrumento contratual firmado entre as Partes ou, pelo menos, entre uma destas e um terceiro, incluindo um Terceiro Controlador, que possua propósito comum, vinculação ou relação de dependência com o contrato que rege a Transferência Internacional de Dados;

e) Controlador: Parte ou terceiro (“Terceiro Controlador”) a quem compete as decisões referentes ao tratamento de Dados Pessoais;

f) Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;

g) Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

h) Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

i) Exportador: agente de tratamento, localizado no território nacional ou em país estrangeiro, que transfere dados pessoais para Importador;

j) Importador: agente de tratamento, localizado em país estrangeiro ou que seja organismo internacional, que recebe dados pessoais transferidos por Exportador;

k) Legislação Nacional: conjunto de dispositivos constitucionais, legais e regulamentares brasileiros a respeito da proteção de Dados Pessoais, incluindo a Lei nº 13.709, de 14 de agosto de 2018, o Regulamento de Transferência Internacional de Dados e outros atos normativos expedidos pela ANPD;

l) Lei de Arbitragem: Lei nº 9.307, de 23 de setembro de 1996;

m) Medidas de Segurança: medidas técnicas e administrativas adotadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

n) Órgão de Pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;

o) Operador: Parte ou terceiro, incluindo um Subcontratado, que realiza o tratamento de Dados Pessoais em nome do Controlador;

p) Parte Designada: Parte do contrato designada, nos termos da Cláusula 4 (“Opção A”), para cumprir, na condição de Controlador, obrigações específicas relativas à transparência, direitos dos Titulares e comunicação de incidentes de segurança;

q) Partes: Exportador e Importador;

r) Solicitação de Acesso: solicitação de atendimento obrigatório, por força de lei, regulamento ou determinação de autoridade pública, para conceder acesso aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas;

s) Subcontratado: agente de tratamento contratado pelo Importador, sem vínculo com o Exportador, para realizar tratamento de Dados Pessoais após uma Transferência Internacional de Dados;

t) Terceiro Controlador: Controlador dos Dados Pessoais que fornece instruções por escrito para a realização, em seu nome, da Transferência Internacional de Dados entre Operadores regida por estas Cláusulas, na forma da Cláusula 4 (“Opção B”);

u) Titular: pessoa natural a quem se referem os Dados Pessoais que são objeto da Transferência Internacional de Dados regida por estas Cláusulas;

v) Transferência: modalidade de tratamento por meio da qual um agente de tratamento transmite, compartilha ou disponibiliza acesso a Dados Pessoais a outro agente de tratamento;

w) Transferência Internacional de Dados: transferência de Dados Pessoais para país estrangeiro ou organismo internacional do qual o país seja membro; e

x) Transferência Posterior: transferência Internacional de Dados, originada de um Importador, e destinada a um terceiro, incluindo um Subcontratado, desde que não configure Solicitação de Acesso.

CLÁUSULA 7. Legislação aplicável e fiscalização da ANPD

7.1. A Transferência Internacional de Dados objeto das presentes Cláusulas submete-se à Legislação Nacional e à fiscalização da ANPD, incluindo o poder de aplicar medidas preventivas e sanções administrativas a ambas as Partes, conforme o caso, bem como o de limitar, suspender ou proibir as transferências internacionais decorrentes destas Cláusulas ou de um Contrato Coligado.

CLÁUSULA 8. Interpretação

8.1. Qualquer aplicação destas Cláusulas deve ocorrer de acordo com os seguintes termos:

a) estas Cláusulas devem sempre ser interpretadas de forma mais favorável ao Titular e de acordo com as disposições da Legislação Nacional;

b) em caso de dúvida sobre o significado de termos destas Cláusulas, aplica-se o significado que mais se alinha com a Legislação Nacional;

c) nenhum item destas Cláusulas, incluindo-se aqui um Contrato Coligado e as disposições previstas na Seção IV, poderá ser interpretado com o objetivo de limitar ou excluir a responsabilidade de qualquer uma das Partes em relação a obrigações previstas na Legislação Nacional; e

d) as disposições das Seções I e II prevalecem em caso de conflito de interpretação com Cláusulas adicionais e demais disposições previstas nas Seções III e IV deste instrumento ou em Contratos Coligados.

CLÁUSULA 9. Possibilidade de adesão de terceiros

9.1. Em comum acordo entre as Partes, é possível a um agente de tratamento aderir a estas Cláusulas na condição de Exportador ou de Importador, por meio do preenchimento e assinatura de documento escrito, que integrará o presente instrumento.

9.2. A parte aderente terá os mesmos direitos e obrigações das Partes originárias, conforme a posição assumida de Exportador ou Importador e de acordo com a categoria de agente de tratamento correspondente.

CLÁUSULA 10. Obrigações gerais das Partes

10.1. As Partes se comprometem a adotar e, quando necessário, demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das disposições destas Cláusulas e da Legislação Nacional e, inclusive, da eficácia dessas medidas e, em especial:

a) utilizar os Dados Pessoais somente para as finalidades específicas descritas na Cláusula 2, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, observadas, em qualquer caso, as limitações, garantias e salvaguardas previstas nestas Cláusulas;

b) garantir a compatibilidade do tratamento com as finalidades informadas ao Titular, de acordo com o contexto do tratamento;

c) limitar o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de Dados Pessoais;

d) garantir aos Titulares, observado o disposto na Cláusula 4.

(d.1.) informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

(d.2.) consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus Dados Pessoais; e

(d.3.) a exatidão, clareza, relevância e atualização dos Dados Pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

e) adotar as medidas de segurança apropriadas e compatíveis com os riscos envolvidos na Transferência Internacional de Dados regida por estas Cláusulas;

f) não realizar tratamento de Dados Pessoais para fins discriminatórios ilícitos ou abusivos;

g) assegurar que qualquer pessoa que atue sob sua autoridade, inclusive subcontratados ou qualquer agente que com ele colabore, de forma gratuita ou onerosa, realize tratamento de dados apenas em conformidade com suas instruções e com o disposto nestas Cláusulas; e

h) manter registro das operações de tratamento dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, e apresentar a documentação pertinente à ANPD, quando solicitado.

CLÁUSULA 11. Dados pessoais sensíveis

11.1. Caso a Transferência Internacional de Dados envolva Dados Pessoais sensíveis, as Partes aplicarão salvaguardas adicionais, incluindo medidas de segurança específicas e proporcionais aos riscos da atividade de tratamento, à natureza específica dos dados e aos interesses, direitos e garantias a serem protegidos, conforme descrito na Seção III.

CLÁUSULA 12. Dados pessoais de crianças e adolescentes

12.1. Caso a Transferência Internacional de Dados envolva Dados Pessoais de crianças e adolescentes, as Partes aplicarão salvaguardas adicionais, incluindo medidas que assegurem que o tratamento seja realizado em seu melhor interesse, nos termos da Legislação Nacional e dos instrumentos pertinentes de direito internacional.

CLÁUSULA 13. Uso legal dos dados

13.1. O Exportador garante que os Dados Pessoais foram coletados, tratados e transferidos para o Importador de acordo com a Legislação Nacional.

CLÁUSULA 14. Transparência

14.1. A Parte Designada publicará, em sua página na Internet, documento contendo informações facilmente acessíveis redigidas em linguagem simples, clara e precisa sobre a realização da Transferência Internacional de Dados, incluindo, pelo menos, informações sobre:

a) a forma, a duração e a finalidade específica da transferência internacional;

b) o país de destino dos dados transferidos;

c) a identificação e os contatos da Parte Designada;

d) o uso compartilhado de dados pelas Partes e a finalidade;

e) as responsabilidades dos agentes que realizarão o tratamento;

f) os direitos do Titular e os meios para o seu exercício, incluindo canal de fácil acesso disponibilizado para atendimento às suas solicitações e o direito de peticionar contra o Controlador perante a ANPD; e

g) Transferências Posteriores, incluindo as relativas aos destinatários e à finalidade da transferência.

14.2. O documento referido no item 14.1. poderá ser disponibilizado em página específica ou integrado, de forma destacada e de fácil acesso, à Política de Privacidade ou documento equivalente.

14.3. A pedido, as Partes devem disponibilizar, gratuitamente, ao Titular uma cópia destas Cláusulas, observados os segredos comercial e industrial.

14.4. Todas as informações disponibilizadas aos titulares, nos termos destas Cláusulas, deverão ser redigidas na língua portuguesa.

CLÁUSULA 15. Direitos do Titular

15.1. O Titular tem direito a obter da Parte Designada, em relação aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, a qualquer momento, e mediante requisição, nos termos da Legislação Nacional:

a) confirmação da existência de tratamento;

b) acesso aos dados;

c) correção de dados incompletos, inexatos ou desatualizados;

d) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com estas Cláusulas e com o disposto na Legislação Nacional;

e) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da ANPD, observados os segredos comercial e industrial;

f) eliminação dos Dados Pessoais tratados com o consentimento do Titular, exceto nas hipóteses previstas na Cláusula 20;

g) informação das entidades públicas e privadas com as quais as Partes realizaram uso compartilhado de dados;

h) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

i) revogação do consentimento mediante procedimento gratuito e facilitado, ratificados os tratamentos realizados antes do requerimento de eliminação;

j) revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; e

k) informações a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

15.2. O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nestas Cláusulas ou na Legislação Nacional.

15.3. O prazo para atendimento às solicitações previstas nesta Cláusula e no item 14.3. é de 15 (quinze) dias contados da data do requerimento do titular, ressalvada a hipótese de prazo distinto estabelecido em regulamentação específica da ANPD.

15.4. Caso a solicitação do Titular seja direcionada à Parte não designada como responsável pelas obrigações previstas nesta Cláusula ou no item 14.3., a Parte deverá:

a) informar ao Titular o canal de atendimento disponibilizado pela Parte Designada; ou

b) encaminhar a solicitação para a Parte Designada o quanto antes, a fim de viabilizar a resposta no prazo previsto no item 15.2.

15.5. As Partes deverão informar, imediatamente, aos Agentes de Tratamento com os quais tenham realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.

15.6. As Partes devem promover assistência mútua com a finalidade de atender às solicitações dos Titulares.

CLÁUSULA 16. Comunicação de Incidente de Segurança

16.1. A Parte Designada deverá comunicar à ANPD e aos Titulares, no prazo de 3 (três) dias úteis, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante para os Titulares, observado o disposto na Legislação Nacional.

16.2. O Importador deve manter o registro de incidentes de segurança nos termos da Legislação Nacional.

CLÁUSULA 17. Responsabilidade e ressarcimento de danos

17.1. A Parte que, em razão do exercício da atividade de tratamento de Dados Pessoais, causar dano patrimonial, moral, individual ou coletivo, em violação às disposições destas Cláusulas e da Legislação Nacional, é obrigada a repará-lo.

17.2. O Titular poderá pleitear a reparação do dano causado por quaisquer das Partes em razão da violação destas Cláusulas.

17.3. A defesa dos interesses e dos direitos dos Titulares poderá ser pleiteada em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente acerca dos instrumentos de tutela individual e coletiva.

17.4. A Parte que atuar como Operador responde, solidariamente, pelos danos causados pelo tratamento quando descumprir as presentes Cláusulas ou quando não tiver seguido as instruções lícitas do Controlador, ressalvado o disposto no item 17.6.

17.5. Os Controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao Titular respondem, solidariamente, por estes danos, ressalvado o disposto no item 17.6.

17.6. Não caberá responsabilização das Partes se comprovado que:

a) não realizaram o tratamento de Dados Pessoais que lhes é atribuído;

b) embora tenham realizado o tratamento de Dados Pessoais que lhes é atribuído, não houve violação a estas Cláusulas ou à Legislação Nacional; ou

c) o dano é decorrente de culpa exclusiva do Titular ou de terceiro que não seja destinatário de Transferência Posterior ou subcontratado pelas Partes.

17.7. Nos termos da Legislação Nacional, o juiz poderá inverter o ônus da prova a favor do Titular quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo Titular resultar-lhe excessivamente onerosa.

17.8. As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos desta Cláusula podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.

17.9. A Parte que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.

CLÁUSULA 18. Salvaguardas para Transferência Posterior

18.1. O Importador somente poderá realizar Transferências Posteriores dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas se expressamente autorizado, conforme as hipóteses e condições descritas na Cláusula 3.

18.2. Em qualquer caso, o Importador:

a) deve assegurar que a finalidade da Transferência Posterior é compatível com as finalidades específicas descritas na Cláusula 2;

b) deve garantir, mediante instrumento contratual escrito, que as salvaguardas previstas nestas Cláusulas serão observadas pelo terceiro destinatário da Transferência Posterior; e

c) para fins destas Cláusulas, e em relação aos Dados Pessoais transferidos, será considerado o responsável por eventuais irregularidades praticadas pelo terceiro destinatário da Transferência Posterior.

18.3. A Transferência Posterior poderá, ainda, ser realizada com base em outro mecanismo válido de Transferência Internacional de Dados previsto na Legislação Nacional, independentemente da autorização de que trata a Cláusula 3.

CLÁUSULA 19. Notificação de Solicitação de Acesso

19.1. O Importador notificará o Exportador e o Titular sobre Solicitação de Acesso relacionada aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, ressalvada a hipótese de vedação de notificação pela lei do país de tratamento dos dados.

19.2. O Importador adotará as medidas legais cabíveis, incluindo ações judiciais, para proteger os direitos dos Titulares sempre que houver fundamento jurídico adequado para questionar a legalidade da Solicitação de Acesso e, se for o caso, a vedação de realizar a notificação referida no item 19.1.

19.3. Para atender às solicitações da ANPD e do Exportador, o Importador deve manter registro de Solicitações de Acesso, incluindo data, solicitante, finalidade da solicitação, tipo de dados solicitados, número de solicitações recebidas e medidas legais adotadas.

CLÁUSULA 20. Término do tratamento e eliminação dos dados

20.1. As Partes deverão eliminar os Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas após o término do tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação apenas para as seguintes finalidades:

a) cumprimento de obrigação legal ou regulatória pelo Controlador;

b) estudo por Órgão de Pesquisa, garantida, sempre que possível, a anonimização dos Dados Pessoais;

c) transferência a terceiro, desde que respeitados os requisitos previstos nestas Cláusulas e na Legislação Nacional; e

d) uso exclusivo do Controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

20.2. Para fins desta Cláusula, considera-se que o término do tratamento ocorrerá quando:

a) alcançada a finalidade prevista nestas Cláusulas;

b) os Dados Pessoais deixarem de ser necessários ou pertinentes ao alcance da finalidade específica prevista nestas Cláusulas;

c) finalizado o período de tratamento;

d) atendida solicitação do Titular; e

e) determinado pela ANPD, quando houver violação ao disposto nestas Cláusulas ou na Legislação Nacional.

CLÁUSULA 21. Segurança no tratamento dos dados

21.1. As Partes deverão adotar medidas de segurança que garantam proteção aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, mesmo após o seu término.

21.2. As Partes informarão, na Seção III, as Medidas de Segurança adotadas, considerando a natureza das informações tratadas, as características específicas e a finalidade do tratamento, o estado atual da tecnologia e os riscos para os direitos dos Titulares, especialmente no caso de dados pessoais sensíveis e de crianças e adolescentes.

21.3. As Partes deverão realizar os esforços necessários para adotar medidas periódicas de avaliação e revisão visando manter nível de segurança adequado às características do tratamento de dados.

CLÁUSULA 22. Legislação do país destinatário dos dados

22.1. O Importador declara que não identificou leis ou práticas administrativas do país destinatário dos Dados Pessoais que o impeçam de cumprir as obrigações assumidas nestas Cláusulas.

22.2. Sobrevindo alteração normativa que altere esta situação, o Importador notificará, de imediato, o Exportador para avaliação da continuidade do contrato.

CLÁUSULA 23. Descumprimento das Cláusulas pelo Importador

23.1. Havendo violação das salvaguardas e garantias previstas nestas Cláusulas ou a impossibilidade de seu cumprimento pelo Importador, o Exportador deverá ser comunicado imediatamente, ressalvado o disposto no item 19.1.

23.2. Recebida a comunicação de que trata o item 23.1 ou verificado o descumprimento destas Cláusulas pelo Importador, o Exportador adotará as providências pertinentes para assegurar a proteção aos direitos dos Titulares e a conformidade da Transferência Internacional de Dados com a Legislação Nacional e as presentes Cláusulas, podendo, conforme o caso:

a) suspender a Transferência Internacional de Dados;

b) solicitar a devolução dos Dados Pessoais, sua transferência a um terceiro, ou a sua eliminação; e

c) rescindir o contrato.

CLÁUSULA 24. Eleição do foro e jurisdição

24.1. Aplica-se a estas Cláusulas a legislação brasileira e qualquer controvérsia entre as Partes decorrente destas Cláusulas será resolvida perante os tribunais competentes do Brasil, observado, se for o caso, o foro eleito pelas Partes na Seção IV.

24.2. Os Titulares podem ajuizar ações judiciais contra o Exportador ou o Importador, conforme sua escolha, perante os tribunais competentes no Brasil, inclusive naqueles localizados no local de sua residência.

24.3. Em comum acordo, as Partes poderão se valer da arbitragem para resolver os conflitos decorrentes destas Cláusulas, desde que realizada no Brasil e conforme as disposições da Lei de Arbitragem.

Seção III – Medidas De Segurança