TERMO DE TRATAMENTO DE DADOS PESSOAIS

CLÁUSULA PRIMEIRA – DEFINIÇÕES
1.1.Para fins de entendimento deste Termo, considera-se:

a) “Dados Pessoais” quaisquer dados ou informações referentes, relacionados ou capaz de identificar uma pessoa física, que venha a ser transmitido pela Gestauto ao Parceiro, ou que venha a ser coletada pelo Parceiro em nome e mediante solicitação da Gestauto, independentemente do meio ou forma utilizada;
b) “Dados Sensíveis” Dados Pessoais que revelam a origem étnica ou racial, opiniões políticas, crenças religiosas ou filosóficas, filiação a sindicatos ou organização de caráter religioso, filosófico ou político, o tratamento de dados genéticos, dados biométricos para fins de identificação inequívoca de uma pessoa física, dados referentes a saúde, vida sexual ou
orientação sexual e quaisquer outros Dados Pessoais que venham a ser considerados sensíveis de acordo com a legislação vigente;
c) “Titular dos Dados” qualquer pessoa física identificada ou identificável, cujos Dados Pessoais sejam objeto de Tratamento. Uma pessoa identificável é qualquer pessoa que possa ser identificada, direta ou indiretamente, principalmente por referência a identificadores, tais como: nome, número de identificação, dados de localização, identificador online, ou um ou mais fatores específicos da identidade física, psicológica, genética, mental, econômica, cultural ou social daquela pessoa;
d) “Tratamento” qualquer operação ou conjunto de operações, nas quais sejam utilizados Dados Pessoais, seja por meios automáticos ou não, tais como: coleta, registro, organização, \ armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização, alinhamento ou combinação, bloqueio, apagamento, destruição ou qualquer outro meio que incida ou venha a incidir sobre estes de acordo com a legislação vigente;
e) “Controladora”: pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados Pessoais, sendo que para atendimento deste Termo será sempre a Gestauto; e
f) “Operadora”: pessoa física ou jurídica, de direito público ou privado, que realiza o Tratamento do Dados Pessoais em nome do Controlador, sendo que para atendimento deste Termo será sempre o Parceiro;

CLÁUSULA SEGUNDA – OBJETO
2.1. Este Termo tem como objetivo garantir a adequada proteção e confidencialidade dos Dados Pessoais, que venham a ser tratados pela Operadora em nome da Controladora em qualquer tipo ou forma de interação que as Partes venham a ter, nos termos da Lei n.º 13.709 de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais) e legislação vigente que seja aplicável para Dados Pessoais.

CLÁUSULA TERCEIRA – TRATAMENTO DOS DADOS PESSOAIS
3.1. A Operadora se compromete a tratar os Dados Pessoais em conformidade com este Termo e com a legislação aplicável para Dados Pessoais, se responsabilizando integralmente perante a Controladora pelo eventual Tratamento dos Dados Pessoais de forma indevida ou qualquer violação à legislação vigente aplicável à Dados Pessoais.

3.2. A Operadora deverá realizar o Tratamento dos Dados Pessoais em nome da Controladora e apenas de acordo com as decisões desta, exclusivamente para fins das tratativas mantidas entre as Partes,
sendo que o seu armazenamento, reprodução ou cópia só será permitido na medida que se fizer necessário par atendimento do aqui disposto.

3.3. A Operadora compromete-se a tratar os Dados Pessoais exclusivamente conforme instruções documentadas da Controladora, sendo vedada qualquer utilização para finalidades próprias ou diversas daquelas contratualmente previstas.

3.4. A Controladora declara que coletou os Dados Pessoais de forma legítima, em conformidade com as finalidades previstas neste Termo e com a legislação vigente.

3.5 A Operadora deverá comunicar imediatamente o Controlador caso o Operador tenha acesso, no contexto de seu relacionamento com o Controlador, a Dados Pessoais excessivos ou não necessários
à tal relacionamento, devendo inutilizar tais Dados Pessoais.

3.6. Caso seja constatado pela Operadora eventual violação ao aqui disposto ou à legislação, esta deverá notificar a Controladora imediatamente para que esta determine as medidas cabíveis, para
sanar tal violação, que deverão ser tomadas pela Operadora.

3.7 É vedado à Operadora copiar, transferir, duplicar, ou realizar qualquer ação que vise à criação de um novo banco de dados contendo os Dados Pessoais do Controlador fora do escopo inicialmente contratado.

3.8 É vedado à Operadora utilizar qualquer tipo de ferramenta, tecnologia, engenharia reversa ou qualquer outro método que vise identificar os Titulares dos Dados Pessoais, nos casos em que a Controladora tenha compartilhado os Dados Pessoais de forma a não ser possível a identificação direta
dos Titulares sem que haja o cruzamento com outras informações ou com o acesso à chave de identificação.

CLÁSULA QUARTA – SUBOPERAÇÃO
4.1. A Operadora somente poderá contratar um suboperador para auxiliar no tratamento dos Dados Pessoais após obter autorização por escrito da Controladora, sendo que os suboperadores deverão ser informados à Controladora.

4.2. Toda suboperação deve ser formalizada por um contrato escrito entre a Operadora e o suboperador, sendo que este contrato deve exigir que o suboperador cumpra com ao menos as mesmas obrigações e restrições previstas no presente instrumento, incluindo a declaração expressa do suboperador de que irá implementar todas medidas técnicas e organizacionais necessárias para
garantir que o tratamento dos Dados Pessoais cumprirá todos os requisitos da Lei Geral de Proteção de Dados. A Operadora deverá ser solidariamente responsável pelo tratamento dos Dados Pessoais e por qualquer ação ou omissão do suboperador com relação aos Dados Pessoais.

4.3. A Operadora deverá obter aprovação prévia da Controladora para realizar qualquer alteração relacionada a adição ou substituição de suboperador que possam tratar Dados Pessoais e apresentar, sempre que solicitado, cópia dos contratos que mantiver com os suboperadores.

CLÁSULA QUINTA – TRANSFERÊNCIA INTERNACIONAL DE DADOS
5.1. A Operadora somente poderá realizar a transferência internacional de Dados Pessoais se previamente autorizado a fazê-lo pela Controladora e desde que observada a Lei Geral de Proteção de Dados e as regulamentações aplicáveis.

5.2. Caso seja necessário realizar a transferência internacional de Dados Pessoais para a prestação dos Serviços e/ou para a execução das relações existentes entre as Partes, a Operadora assegura que:

a) adotará as cláusulas-padrão contratuais emitidas pela ANPD (Anexo II) como mecanismo de transferência internacional dos Dados.

b) A transferência será limitada ao mínimo necessário para atender às finalidades específicas que a justifiquem, com garantias adequadas de segurança e privacidade,
assegurando o cumprimento dos princípios, direitos dos titulares e requisitos de proteção de Dados Pessoais, inclusive em casos de transferências posteriores.

c) A Operadora pode comprovar a eficácia das medidas de proteção adotadas, inclusive mediante eventuais auditorias ou solicitações pela própria Controladora ou da ANPD, conforme exigido pelo art. 4º, §2º da Resolução CD/ANPD Nº 19.

d) A Operadora colaborará com a Controladora e fornecerá todas as informações necessárias para comprovar a conformidade da transferência internacional com a
legislação aplicável, incluindo a disponibilidade para auditorias, solicitações de informações ou verificações pela ANPD ou outros órgãos competentes, bem como
em caso de solicitação de Titulares.

5.3. Caso a Operadora utilize suboperadores ou fornecedores localizados fora do Brasil para o
tratamento dos Dados Pessoais, deverá:

a) Garantir que essas transferências internacionais posteriores sejam realizadas de acordo com um mecanismo válido previsto na legislação aplicável, preferencialmente incorporando as cláusulas contratuais-padrão da ANPD (SCCs brasileiras) – constantes do Anexo II – com seus suboperadores.

b) Assegurar que o suboperador adote as mesmas salvaguardas e garantias estabelecidas no
contrato entre a Controladora e a Operadora neste Termo, respeitando os princípios e direitos dos Titulares estabelecidos pela LGPD.

c) Garantir que o suboperador seja responsável por implementar medidas técnicas e administrativas adequadas para proteger os Dados Pessoais, conforme o grau de risco da
operação de Tratamento.

d) Documentar a relação entre a Operadora e o suboperador, mantendo-a disponível para
auditorias, inspeções ou solicitações de informações por parte da Controladora ou da ANPD, de modo a comprovar a conformidade com as exigências legais.

e) Informar a Controladora sobre os suboperadores envolvidos na transferência internacional de
dados, garantindo total transparência sobre os fluxos de dados e as medidas de segurança adotadas.

CLÁSULA SEXTA – DEVER DE CONFIDENCIALIDADE
6.1. A Operadora deverá manter a mais estrita confidencialidade acerca dos Dados Pessoais, não
podendo os divulgar à terceiros sem a prévia autorização por escrito da Controladora.

6.2. As obrigações de confidencialidade aqui tratadas se estendem aos funcionários, colaboradores e suboperadores da Operadora que eventualmente tiverem acesso aos Dados Pessoais no âmbito deste Termo.

CLÁUSULA SÉTIMA – DIREITO DOS TITULARES
7.1. Havendo eventual solicitação de informações, dúvidas, reclamações, solicitações e reivindicações de Titulares dos Dados em relação ao acesso, retificação, portabilidade, restrição, apagamento, objeção ou quaisquer outros direitos, a Operadora deverá cooperar, sem qualquer custo, com a Controladora na facilitação a autenticação, registro, investigação, tratamento, execução e resolução do solicitado pelo Titular dos Dados, notificando a Controladora, imediatamente, para que atenda à solicitação.

CLÁUSULA OITAVA – MEDIDAS DE SEGURANÇA E INCIDENTE DE SEGURANÇA
DOS DADOS

8.1. A Operadora deverá implementar e garantir que sejam observadas todas as medidas técnicas e de organização adequadas para proteger os Dados Pessoais contra o tratamento não autorizado ou ilícito, e contra perda, destruição ou danos aos mesmos. As medidas técnicas e de organização deverão observar, no mínimo, o requerido no Anexo I – Medidas de Segurança que é parte integrante deste Termo.

8.2. A Operadora deverá informar, imediatamente, a ocorrência de qualquer Incidente de Segurança
dos Dados, que viole o previsto na legislação e no disposto neste Termo, bem como detalhar quais
Dados Pessoais foram violados, além de tomar todas as medidas adequadas para proteger os Dados Pessoais e limitar qualquer possível efeito prejudicial aos Titulares dos Dados.

8.3. A Operadora não deverá divulgar a ocorrência de qualquer Incidente de Segurança de Dados a
qualquer terceiro sem primeiro obter a autorização da Controladora, exceto na medida em que a Operadora for obrigada por lei a fazer a referida divulgação.

8.4. A Operadora, além de enviar a notificação à Controladora, deverá apresentar em até 48 (quarenta e oito) horas um plano de resposta ao Incidente de Segurança para aprovação da Controladora.

8.4. A Operadora, às suas próprias custas, investigará as causas e as consequências do Incidente de Segurança e tomará as medidas necessárias para remediar suas consequências, informando prontamente a Controladora de todas as ações tomadas.

CLÁUSULA NONA – EXCLUSÃO DOS DADOS PESSOAIS
9.1. Após atendida a finalidade para o Tratamento dos Dados Pessoais ou com o término das tratativas ou parceria entre as Partes, a Operadora deverá providenciar a exclusão dos Dados Pessoais a que tiver acesso, devendo certificar a sua exclusão, caso solicitado pela Controladora. Excetuam-se as hipóteses em que o armazenamento dos Dados Pessoais se faça necessário para atendimento do disposto em lei.

CLÁUSULA DÉCIMA – RESPONSABILIDADE
10.1. A Parte que violar qualquer disposição deste Termo, deverá indenizar integralmente a Parte
prejudicada pelos danos sofridos, bem como por todas as despesas e custos que esta venha a incorrer que seja resultante de tal violação, inclusive, mas sem limitação, os custos decorrentes de taxas, multas e penalidades aplicadas por autoridade legal.

CLÁUSULA DÉCIMA PRIMEIRA – AUDITORIA E INSPEÇÃO
11.1. A Operadora deverá apresentar à Controladora, mediante pedido por escrito, todas as informações necessárias para comprovar o cumprimento da Lei Geral de Proteção de Dados e do presente instrumento. A Operadora também deverá permitir que a Controladora realize auditorias para verificação do cumprimento de tais regras.

CLÁUSULA DÉCIMA SEGUNDA – VIGÊNCIA E TÉRMINO
12.1. Este Termo produzirá efeitos a partir da assinatura e permanecerá em vigor enquanto as Partes mantiverem interações comerciais.

CLÁUSULA DÉCIMA TERCEIRA – DISPOSIÇÕES GERAIS
13.1. O presente Termo reflete a íntegra dos entendimentos e acordos assumidos entre as Partes em relação a Proteção de Dados Pessoais.

13.2. Nenhuma das Partes será tida como infratora deste Termo, em razão de evento de força maior
ou caso fortuito.

13.3. Os dispositivos contidos neste Termo somente poderão ser modificados, alterados ou
cancelados, total ou parcialmente, através de aditivo escrito e assinado pelas Partes.

13.4. Caso haja nulidade, invalidade ou inaplicabilidade de um ou mais dispositivos deste Termo, a validade ou aplicabilidade dos demais dispositivos do mesmo não será afetada.

13.5. O presente instrumento será regido e interpretado de acordo com a legislação brasileira. As Partes elegem o foro da Comarca da capital do Estado de São Paulo para dirimir eventuais controvérsias oriundas deste Termo, com renúncia expressa a qualquer outro, por mais privilegiado
que seja ou possa vir a ser.

Anexo I – Medidas de Segurança
A Operadora empregará práticas e procedimentos de segurança que incluem o seguinte:

1. Controles Administrativos: A Operadora implementará e manterá controles administrativos apropriados para proteger efetivamente os Dados Pessoais e os sistemas que contenham Dados
Pessoais contra o acesso, aquisição, destruição, modificação ou divulgação de dados não autorizados. Tais controles devem incluir, mas não se limitam a:

a) Um documento de segurança contendo políticas, normas e procedimentos de segurança de
dados.

b) A Operadora deve adotar uma Política aceitável de uso de dados projetada para delinear claramente regras de segurança e expectativas alinhadas às funções de trabalho e desempenho. As consequências serão definidas por infração através das normas de segurança.

c) Mecanismos para relatar um incidente de Segurança de Dados ou Privacidade.

d) Um Programa de Risco Cibernético e metodologia para avaliar riscos de TI.

e) Um programa de apoio à auditoria interna do programa de segurança de dados.

f) Medidas contratuais que incluem requisitos de segurança de dados.

g) Uma política e processos necessários para manter o cumprimento dos requisitos e obrigações de proteção de dados.

h) Programa de descarte de lixo que prevê um método de descarte seguro para materiais descartados.

i) Os prestadores de serviços terceirizados devem estar sujeitos às mesmas condições e obrigações de segurança que a Operadora quando ocorrer o Tratamento de Dados Pessoais.

j) A Operadora concorda em fornecer prontamente informações detalhadas e demonstrar total cooperação a Controladora com relação a todas as consultas consideradas necessárias pela Controladora para determinar o escopo ou extensão de qualquer risco de segurança envolvendo as medidas de proteção físicas, de tratamento ou técnicas da Operadora relacionadas à confidencialidade, integridade ou disponibilidade dos Dados Pessoais.

2. Controle de Acesso a Estabelecimentos, Instalações e Sistemas: A Operadora implementará e manterá controles eficazes de segurança física em todas as instalações onde os Dados Pessoais são recebidos, tratados, arquivados ou armazenados ou onde os sistemas que contenham Dados Pessoais são acessados. Um conjunto de controles de segurança incluirá todos os mecanismos disponíveis, mas não se limitará a:

a) Dispositivos de bloqueio de chave manual ou código pin ou mecanismos de entrada eletrônicos/biométricos de acesso controlado.

b) Monitoramento por vídeo (Circuito Fechado de Televisão – CCTV) ou sistema de câmera de vigilância equivalente.

c) Mantraps ou sistemas similares de porta de entrada dupla.

d) Guardas de segurança presentes 24 horas por dia no local.

e) Para instalações de data center, uma abordagem de defesa em profundidade com três níveis de controles de acesso físico altamente restritos, incluindo mecanismos de acesso multifatorial.

f) Procedimentos de acesso ao visitante.

g) Sistema de alarme com mecanismo de alerta e resposta.

h) Processos e procedimentos de descarte seguros (por exemplo, degaussing) para manuseio ou remoção de mídia física ou equipamento que possam conter Dados Pessoais.

3. Controles de acesso lógico, entrada e transmissão: A Operadora concorda em empregar medidas eficazes de controle de acesso lógico em todos os sistemas usados para criar, transmitir ou tratar Dados Pessoais, incluindo, mas não se limitando a:

a) As funções e obrigações dos usuários e perfis de usuários com acesso aos Dados Pessoais e aos sistemas de informação devem ser claramente definidas.

b) As funções e obrigações delegadas pela Operadora devem ser claramente definidas;

(1) em relação ao pessoal autorizado a conceder acesso aos recursos e

(2) pessoal autorizado a acessar o local onde os dispositivos de armazenamento e documentos contendo Dados Pessoais são armazenados.

c) A autenticação do usuário deve usar identificadores exclusivos (“ID do Usuário”) consistentes com a responsabilidade individual; Os IDs de usuário compartilhados não fornecem o nível de responsabilização exigido pela Controladora.

d) Uma política de senha complexa, incluindo a proibição de credenciais de texto claro, deve ser aplicada. As senhas devem ser alteradas regularmente e dentro dos prazos estabelecidos pela legislação vigente.

e) Os direitos/privilégios de acesso do usuário aos recursos de informação que contenham Dados Pessoais devem ser concedidos em uma base de necessidade de saber, consistente com
a autorização baseada em função e uma necessidade de negócios legítima.

f) Devem ser protegidos todos os nomes de usuário, senhas ou outras informações de credenciamento que possuam contra perdas, roubos ou divulgação não autorizada.

g) A Operadora manterá uma lista atualizada de usuários e perfis de usuários e incluirá uma descrição das permissões de acesso de cada usuário autorizado.

h) Somente pessoas autorizadas no documento de segurança podem conceder, alterar ou cancelar o acesso autorizado aos recursos de acordo com os critérios estabelecidos pela
Operadora.

i) A remoção de dispositivos e documentos contendo Dados Pessoais das instalações da Operadora exigirá a autorização da Controladora, a menos que autorizado dentro do documento de segurança.

j) O acesso do usuário aos Dados Pessoais deve ser removido imediatamente após a separação
do usuário ou transferência de função, eliminando a necessidade válida de acesso contínuo.

k) Certifique-se de que credenciais e senhas não sejam recicladas ou reutilizadas para acesso a diferentes sistemas.

l) Senhas padrão e parâmetros de segurança devem ser alterados em produtos/aplicativos de terceiros usados para suportar os Dados Pessoais.

m) O acesso remoto da Operadora aos sistemas e Dados Pessoais respeitará os padrões do setor e da legislação vigente, incluindo, quando necessário, autenticação de 2 fatores e conectividade criptografada.

n) A Operadora concorda em auditar e monitorar regularmente as atividades de processamento de sistemas de informação de negócios para garantir a proteção dos Dados Pessoais. O monitoramento inclui, mas não se limita a:

i. possíveis violações ou atividade de hackers e acesso a dispositivos.

ii. processos definidos para alerta de segurança, escalação e remediação.

iii. registro de eventos com dados de solução que não são fornecidos a outras partes.

iv. para instâncias de máquinas virtuais, monitoramento granular do tráfego que está cruzando os backplanes da máquina virtual.

4. Controles de segurança, arquitetura e segregação de rede: A Operadora concorda em empregar medidas eficazes de controle de segurança de rede em todos os sistemas usados para criar, transmitir ou tratar Dados Pessoais, incluindo, mas não se limitando a:

a) Os firewalls devem estar operacionais o tempo todo e devem ser instalados no perímetro de rede entre a rede interna (privada) e pública (Internet) da Operadora.

b) IDS/IPS configurados e monitorados corretamente devem ser usados na rede da Operadora.

c) Canais seguros (por exemplo, TLS, SFTP, SSH, IPSEC, etc.) devem ser usados em todos os momentos para comunicações inter-host externas ao data center ou provedor de hospedagem da Operadora.

d) Os Dados Pessoais devem ser devidamente protegidos em trânsito e criptografados (mínimo de 256 bits) utilizando um forte processo de gerenciamento de chaves (por exemplo, controles de acesso sobre chaves, segregação de deveres, processos documentados, etc.).

e) Protocolos de texto claro (ftp, telnet, etc.) não podem ser usados para acessar ou transferir Dados Pessoais.

f) Os Dados Pessoais devem ser criptografados quando transmitidos em redes sem fio ou em redes públicas.

g) Os bancos de dados devem ser separados logicamente ou fisicamente do servidor web, e o banco de dados pode não residir no mesmo host que o servidor web, quando aplicável.

h) O banco de dados e outros sistemas de informação utilizados para o Tratamento dos Dados Pessoais devem ter apenas esses serviços/processos e portas habilitados para realizar negócios rotineiros. Todos os outros serviços/processos desnecessários no host devem ser desativados.

i) Todos os sistemas de informação, repositórios, etc. usados em relação à solução pela Operadora, ou seus parceiros de negócios, devem estar fisicamente localizados em um ambiente controlado de data center ou provedores de hospedagem usado para proteger sistemas de informação.

j) Os Dados Pessoais serão segregados física ou logicamente residentes em um banco de dados
ou ambiente virtual (VM) de outros dados da Operadora. Se os Dados Pessoais não forem fisicamente segregados de outros dados, sistemas ou aplicativos não relacionados a Controladora, a Operadora deve fornecer controles de segurança de dados apropriados sobre dados em repouso, incluindo controles de acesso.

k) Os Dados Pessoais devem ser criptografados quando armazenados em mídia removível, exemplos incluem, discos rígidos portáteis externos ou cartões de memória, mídia de armazenamento de laptop ou unidades removíveis USB.

5. Controles de gerenciamento de vulnerabilidades: A Operadora concorda em empregar medidas eficazes de controle de gerenciamento de vulnerabilidades em todos os sistemas usados para criar, transmitir ou tratar Dados Pessoais, incluindo, mas não se limitando a:

a) Realizar varreduras ou auditorias de vulnerabilidades dos dispositivos de infraestrutura externos (públicos) e componentes que contenham Dados Pessoais. A Operadora notificará
a Controladora sobre as vulnerabilidades de segurança envolvendo Dados Pessoais no momento do reconhecimento e notificará posteriormente a Controladora quando as vulnerabilidades identificadas forem remediadas, fornecendo uma descrição das ações de remediação. Vulnerabilidades críticas serão remediadas dentro de 30 dias após o reconhecimento.

b) Realizar varreduras ou testes periódicos de penetração de terceiros dos sistemas, redes e aplicativos da Operadora que armazenam e tratam Dados Pessoais, incluindo quaisquer
processos que suportem informações de cartão de crédito do cliente. As vulnerabilidades identificadas como resultado de testes de penetração devem ser abordadas. A Operadora notificará a Controladora das atividades de remediação.

c) A Operadora implementará e manterá um ciclo de vida de desenvolvimento de software usando uma abordagem baseada em riscos. O ciclo de vida de desenvolvimento de software incluirá controle de versão, gerenciamento de versão e atividades de segurança que incluem, mas não se limitam à arquitetura, análise de código estático, digitalização dinâmica, teste de penetração e remediação. Os testes de segurança identificarão fraquezas comuns de acordo com as orientações fornecidas através do Open Web Application Security Project Top 10, ou
do SANS 25, ou padrões de segurança aceitáveis alternativos do setor e da legislação vigente.

d) Implementar e manter atualizados softwares antivírus, anti-spam ou anti-malware disponíveis comercialmente em todos os componentes do sistema de informações, incluindo computadores pessoais, laptops e redes de interconexão, quando aplicável, usados para gerenciar Dados Pessoais. Além disso, habilite a varredura recorrente

(1) para identificar infecções por malware e

(2) atualizações de arquivos de assinatura de vírus.

e) Manter um processo e prática padrão de gerenciamento de patches para garantir a proteção de quaisquer dispositivos usados para acessar, tratar ou armazenar Dados Pessoais.

f) Certificar-se de que todo o software em uso de qualquer sistema, dispositivo ou ambiente de computação com acesso a Dados Pessoais ou sistemas seja suportado pelo fabricante do produto.

g) Os dispositivos e documentos contendo Dados Pessoais devem permitir,

(1) a identificação das informações acessadas e,

(2) ser inventariadas e acessíveis apenas pelos usuários autorizados a acessar os dados de acordo com o documento de segurança.

h) A Operadora implementará medidas para evitar o roubo, perda ou acesso não autorizado de Dados Pessoais durante operações de transmissão e transferência.

i) Providenciar auditoria e monitoramento regulares para garantir a proteção dos Dados Pessoais.

j) Certificar-se de que estão disponíveis mecanismos para relatar um incidente de segurança da informação que envolva os Dados Pessoais para a Controladora. A Operadora realizará uma análise de causa raiz para todas as violações confirmadas, bem como fornecerá informações detalhadas sobre as medidas tomadas pela Operadora para evitar futuras violações. A Operadora deve fornecer as seguintes informações de incidentes de dados:

(1) o tipo de incidente,

(2) o momento em que o incidente ocorreu ou foi detectado,

(3) a pessoa
notificando o incidente,

(4) as partes que são notificadas, e

(5) os efeitos do incidente e
medidas corretivas que foram implementadas. Todos os esforços realizados para corrigir ou resolver a situação devem incluir notificação subsequente e regular para o incidente relatado.

k) A Operadora concorda em fornecer total cooperação com a Controladora no caso de um incidente de segurança da informação envolvendo os Dados Pessoais.

l) Notificar o exportador de dados de quaisquer ataques conhecidos que tenham ocorrido contra sistemas da Operadora que são usados para armazenar ou tratar Dados Pessoais.

6. Backup de dados, recuperação e disponibilidade: A Operadora fornecerá planos detalhados de recuperação de desastres e continuidade de negócios que suportem os requisitos de RTO (Recovery
Time Objective, objetivo de tempo de recuperação) /RPO (Recovery Point Objective, objetivo de ponto de recuperação) definidos pela Controladora.

a) A Operadora utilizará as melhores práticas do setor para serviços de backup e recuperação de dados e estabelecerá métodos de comunicação.

b) Os planos de continuidade de negócios abordarão cenários baseados em

(1) perda de instalações,

(2) perda de tecnologia,

(3) perda de mão-de-obra e

(4) perda de fornecedor. A Operadora fornecerá um relatório pós-desastre com análise de causa e efeito após uma grande perda de serviços.

c) A Operadora suportará a independência entre dispositivos do sistema de produção e serviços de backup ou restauração, a fim de garantir a portabilidade e a recuperação bem-sucedida de aplicativos, dados e serviços de processador.

d) A Operadora deve implementar uma política que regule o processo de backup dentro dos prazos estabelecidos pela legislação vigente.

e) A estratégia e os procedimentos de recuperação de dados da Operadora deve garantir a recuperação ao mesmo estado no momento da perda ou de quando ocorreu a destruição.

f) A Operadora deve reavaliar regularmente seus procedimentos de backup e recuperação, conforme exigido pela legislação vigente.

g) A Operadora garantirá que todos os prestadores de serviço e relacionamentos com terceiros, onde os serviços criam, transmitem ou tratam Dados Pessoais, respeitarão e seguirão disposições estritas de confidencialidade.

h) Testes reais de dados realizados antes de uma implementação ou modificação de sistemas de informação só devem ser realizados depois que uma cópia de backup for concluída e relatada com sucesso no documento de segurança.

i) A Operadora realizará testes em seus planos de resposta a crises, planos de continuidade de negócios e planos de recuperação de desastres tecnológicos no mínimo anualmente. A Operadora resolverá quaisquer deficiências identificadas durante o processo de teste. A Operadora concorda em compartilhar quaisquer resumos de resultados de teste ou evidências
mediante solicitação.

7. Recursos Humanos e Usuários Autorizados: A Operadora deve garantir que os Usuários Autorizados por ela para efetuar o Tratamento dos Dados Pessoais e utilização dos sistemas que contenha Dados Pessoais realizem treinamento de privacidade e segurança anualmente e realizem a triagem de emprego.

a) Assegurar que todos os Usuários Autorizados que tenham acesso aos Dados Pessoais recebam treinamento de privacidade e segurança (pelo menos anualmente) consistente com as práticas recomendadas do setor, sendo que o referido treinamento deverá ocorrer antes que esses
indivíduos tenham acesso aos Dados Pessoais.

b) A Operadora executará procedimentos padrão de triagem de emprego em todos os Usuários Autorizados que executarão quaisquer serviços ou manterão qualquer sistema contendo Dados Pessoais e, onde a verificação de antecedentes adicional for apropriada e permitida pela lei local aplicável, (i) realizará uma verificação de antecedentes criminais sobre esse
pessoal as custas da Operadora, ou (ii) não designará o referido pessoal a assuntos envolvendo Dados Pessoais ou sistemas que contenham Dados Pessoais. No caso de a Operadora realizar uma verificação de antecedentes criminais, quando permitido pela lei local aplicável, a
Operadora avaliará as circunstâncias em torno de quaisquer condenações, incluindo, mas não se limitando a, período de tempo, natureza, gravidade e relevância da condenação aos deveres de trabalho.

Anexo II – Cláusulas-Padrão Contratuais

IMPORTANTE: A REDAÇÃO DAS CLÁUSULAS-PADRÃO CONTRATUAIS INCLUÍDAS NESTE ANEXO É AQUELA DETERMINADA PELA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS, CONFORME RESOLUÇÃO Nº 19 DE 2024, E, PORTANTO, NÃO É PASSÍVEL DE AJUSTES, ALTERAÇÕES OU NEGOCIAÇÃO PELAS PARTES.

SEÇÃO I – INFORMAÇÕES GERAIS

CLÁUSULA 1. IDENTIFICAÇÃO DAS PARTES

1.1. Pelo presente instrumento contratual, as Partes já identificadas no Termo de Tratamento de
Dados, conforme atuem como Exportador ou Importador, resolvem adotar as cláusulas-padrão
contratuais (doravante Cláusulas) aprovadas pela Autoridade Nacional de Proteção de Dados
(ANPD), para reger a Transferência Internacional de Dados descrita na Cláusula 2, em conformidade com as disposições da Legislação Nacional.

CLÁUSULA 2. OBJETO

2.1. Estas Cláusulas se aplicam às Transferências Internacionais de Dados do Exportador para o
Importador. As principais finalidades da transferência, as categorias de dados pessoais transferidos, o período de armazenamento dos dados e outras informações sobre a transferência estão descritas no próprio Termo de Tratamento de Dados.

CLÁUSULA 3. TRANSFERÊNCIAS POSTERIORES

3.1. Como regra geral, o Importador não poderá realizar Transferência Posterior dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, salvo nas hipóteses previstas no item 18.3.

3.2. Excepcionalmente, o Importador poderá realizar Transferência Posterior dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, desde que tal
Transferência seja imprescindível para o cumprimento das finalidades aqui estabelecidas, observadas as condições descritas abaixo e em conformidade com as disposições da Cláusula 18.

CLÁUSULA 4. RESPONSABILIDADES DAS PARTES

OPÇÃO A. (a “Opção A” é exclusiva para as transferências internacionais de dados nas quais ao menos uma das Partes atua como Controlador)

4.1. Sem prejuízo do dever de assistência mútua e das obrigações gerais das Partes, caberá à Parte
Designada abaixo, na condição de Controlador, a responsabilidade pelo cumprimento das seguintes
obrigações previstas nestas Cláusulas:

a) Responsável por publicar o documento previsto na Cláusula 14; (X) Exportador ( ) Importador

b) Responsável por atender às solicitações de titulares de que trata a CLÁUSULA 15:(X) Exportador ( ) Importador

c) Responsável por realizar a comunicação de incidente de segurança prevista na Cláusula 16: (X) Exportador ( ) Importador

4.2. Para os fins destas Cláusulas, verificado, posteriormente, que a Parte Designada na forma do item

4.1. atua como Operador, o Controlador permanecerá responsável:

a) pelo cumprimento das obrigações previstas nas Cláusulas 14, 15 e 16 e demais disposições estabelecidas na Legislação Nacional, especialmente em caso de omissão ou descumprimento das obrigações pela Parte Designada;

b) pelo atendimento às determinações da ANPD; e

c) pela garantia dos direitos dos Titulares e pela reparação dos danos causados, observado o disposto
na Cláusula 17.

SEÇÃO II – CLÁUSULAS MANDATÓRIAS

CLÁUSULA 5. FINALIDADE

5.1. Estas Cláusulas se apresentam como mecanismo viabilizador do fluxo internacional seguro de dados pessoais, estabelecem garantias mínimas e condições válidas para a realização de Transferência Internacional de Dados e visam garantir a adoção das salvaguardas adequadas para o cumprimento dos princípios, dos direitos do Titular e do regime de proteção de dados previstos na Legislação Nacional.

CLÁUSULA 6. DEFINIÇÕES

6.1. Para os fins destas Cláusulas, serão consideradas as definições do art. 5° da Lei nº 13.709, de 14 de agosto de 2018, e do art. 3º do Regulamento de Transferência Internacional de Dados Pessoais, sem prejuízo de outros atos normativos expedidos pela ANPD. As Partes concordam, ainda, em considerar os termos e seus respectivos significados, conforme exposto a seguir:

a) Agentes de tratamento: o controlador e o operador;

b) ANPD: Autoridade Nacional de Proteção de Dados;

c) Cláusulas: as cláusulas-padrão contratuais aprovadas pela ANPD, que integram as Seções I, II e III;

d) Contrato Coligado: instrumento contratual firmado entre as Partes ou, pelo menos, entre uma destas e um terceiro, incluindo um Terceiro Controlador, que possua propósito comum, vinculação ou relação de dependência com o contrato que rege a Transferência Internacional de Dados;

e) Controlador: Parte ou terceiro (“Terceiro Controlador”) a quem compete as decisões referentes ao tratamento de Dados Pessoais;

f) Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;

g) Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa
natural;

h) Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

i) Exportador: agente de tratamento, localizado no território nacional ou em país estrangeiro, que transfere dados pessoais para Importador;

j) Importador: agente de tratamento, localizado em país estrangeiro ou que seja organismo internacional, que recebe dados pessoais transferidos por Exportador;

k) Legislação Nacional: conjunto de dispositivos constitucionais, legais e regulamentares brasileiros a respeito da proteção de Dados Pessoais, incluindo a Lei nº 13.709, de 14 de agosto de 2018, o Regulamento de Transferência Internacional de Dados e outros atos normativos expedidos pela ANPD;

l) Lei de Arbitragem: Lei nº 9.307, de 23 de setembro de 1996;

m) Medidas de Segurança: medidas técnicas e administrativas adotadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

n) Órgão de Pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa
básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;

o) Operador: Parte ou terceiro, incluindo um Subcontratado, que realiza o tratamento de Dados Pessoais em nome do Controlador;

p) Parte Designada: Parte do contrato designada, nos termos da Cláusula 4 (“Opção A”), para cumprir, na condição de Controlador, obrigações específicas relativas à transparência, direitos dos Titulares e
comunicação de incidentes de segurança;

q) Partes: Exportador e Importador;

r) Solicitação de Acesso: solicitação de atendimento obrigatório, por força de lei, regulamento ou determinação de autoridade pública, para conceder acesso aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas;

s) Subcontratado: agente de tratamento contratado pelo Importador, sem vínculo com o Exportador, para realizar tratamento de Dados Pessoais após uma Transferência Internacional de Dados;

t) Terceiro Controlador: Controlador dos Dados Pessoais que fornece instruções por escrito para a realização, em seu nome, da Transferência Internacional de Dados entre Operadores regida por estas Cláusulas, na forma da Cláusula 4 (“Opção B”);

u) Titular: pessoa natural a quem se referem os Dados Pessoais que são objeto da Transferência Internacional de Dados regida por estas Cláusulas;

v) Transferência: modalidade de tratamento por meio da qual um agente de tratamento transmite, compartilha ou disponibiliza acesso a Dados Pessoais a outro agente de tratamento;

w) Transferência Internacional de Dados: transferência de Dados Pessoais para país estrangeiro ou organismo internacional do qual o país seja membro; e

x) Transferência Posterior: transferência Internacional de Dados, originada de um Importador, e destinada a um terceiro, incluindo um Subcontratado, desde que não configure Solicitação de Acesso.

CLÁUSULA 7. LEGISLAÇÃO APLICÁVEL E FISCALIZAÇÃO DA ANPD

7.1. A Transferência Internacional de Dados objeto das presentes Cláusulas submete-se à Legislação
Nacional e à fiscalização da ANPD, incluindo o poder de aplicar medidas preventivas e sanções
administrativas a ambas as Partes, conforme o caso, bem como o de limitar, suspender ou proibir as transferências internacionais decorrentes destas Cláusulas ou de um Contrato Coligado.

CLÁUSULA 8. INTERPRETAÇÃO

8.1. Qualquer aplicação destas Cláusulas deve ocorrer de acordo com os seguintes termos:

a) estas Cláusulas devem sempre ser interpretadas de forma mais favorável ao Titular e de acordo com as disposições da Legislação Nacional;

b) em caso de dúvida sobre o significado de termos destas Cláusulas, aplica-se o significado que mais se alinha com a Legislação Nacional;

c) nenhum item destas Cláusulas, incluindo-se aqui um Contrato Coligado e as disposições previstas na Seção IV, poderá ser interpretado com o objetivo de limitar ou excluir a responsabilidade de qualquer uma das Partes em relação a obrigações previstas na Legislação Nacional; e

d) as disposições das Seções I e II prevalecem em caso de conflito de interpretação com Cláusulas adicionais e demais disposições previstas nas Seções III e IV deste instrumento ou em Contratos
Coligados.

CLÁUSULA 9. POSSIBILIDADE DE ADESÃO DE TERCEIROS

9.1. Em comum acordo entre as Partes, é possível a um agente de tratamento aderir a estas Cláusulas na condição de Exportador ou de Importador, por meio do preenchimento e assinatura de documento escrito, que integrará o presente instrumento.

9.2. A parte aderente terá os mesmos direitos e obrigações das Partes originárias, conforme a posição assumida de Exportador ou Importador e de acordo com a categoria de agente de tratamento correspondente.

CLÁUSULA 10. OBRIGAÇÕES GERAIS DAS PARTES

10.1. As Partes se comprometem a adotar e, quando necessário, demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das disposições destas Cláusulas e da Legislação Nacional e, inclusive, da eficácia dessas medidas e, em especial:

a) utilizar os Dados Pessoais somente para as finalidades específicas descritas na Cláusula 2, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, observadas, em qualquer caso, as limitações, garantias e salvaguardas previstas nestas Cláusulas;

b) garantir a compatibilidade do tratamento com as finalidades informadas ao Titular, de acordo com o contexto do tratamento;

c) limitar o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de Dados Pessoais;

d) garantir aos Titulares, observado o disposto na Cláusula 4;

(d.1.) informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

(d.2.) consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre
a integralidade de seus Dados Pessoais; e

(d.3.) a exatidão, clareza, relevância e atualização dos Dados Pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

e) adotar as medidas de segurança apropriadas e compatíveis com os riscos envolvidos na Transferência Internacional de Dados regida por estas Cláusulas;

f) não realizar tratamento de Dados Pessoais para fins discriminatórios ilícitos ou abusivos;

g) assegurar que qualquer pessoa que atue sob sua autoridade, inclusive subcontratados ou qualquer agente que com ele colabore, de forma gratuita ou onerosa, realize tratamento de dados apenas em
conformidade com suas instruções e com o disposto nestas Cláusulas; e

h) manter registro das operações de tratamento dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, e apresentar a documentação pertinente à ANPD,
quando solicitado.

CLÁUSULA 11. DADOS PESSOAIS SENSÍVEIS

11.1. Caso a Transferência Internacional de Dados envolva Dados Pessoais sensíveis, as Partes
aplicarão salvaguardas adicionais, incluindo medidas de segurança específicas e proporcionais aos riscos da atividade de tratamento, à natureza específica dos dados e aos interesses, direitos e garantias a serem protegidos, conforme descrito na Seção III.

CLÁUSULA 12. DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

12.1. Caso a Transferência Internacional de Dados envolva Dados Pessoais de crianças e
adolescentes, as Partes aplicarão salvaguardas adicionais, incluindo medidas que assegurem que o tratamento seja realizado em seu melhor interesse, nos termos da Legislação Nacional e dos instrumentos pertinentes de direito internacional.

CLÁUSULA 13. USO LEGAL DOS DADOS

13.1. O Exportador garante que os Dados Pessoais foram coletados, tratados e transferidos para o
Importador de acordo com a Legislação Nacional.
CLÁUSULA 14. TRANSPARÊNCIA

14.1. A Parte Designada publicará, em sua página na Internet, documento contendo informações
facilmente acessíveis redigidas em linguagem simples, clara e precisa sobre a realização da
Transferência Internacional de Dados, incluindo, pelo menos, informações sobre:

a) a forma, a duração e a finalidade específica da transferência internacional;

b) o país de destino dos dados transferidos;

c) a identificação e os contatos da Parte Designada;

d) o uso compartilhado de dados pelas Partes e a finalidade;

e) as responsabilidades dos agentes que realizarão o tratamento;

f) os direitos do Titular e os meios para o seu exercício, incluindo canal de fácil acesso disponibilizado para atendimento às suas solicitações e o direito de peticionar contra o Controlador perante a ANPD; e

g) Transferências Posteriores, incluindo as relativas aos destinatários e à finalidade da transferência.

14.2. O documento referido no item 14.1. poderá ser disponibilizado em página específica ou
integrado, de forma destacada e de fácil acesso, à Política de Privacidade ou documento equivalente.

14.3. A pedido, as Partes devem disponibilizar, gratuitamente, ao Titular uma cópia destas Cláusulas, observados os segredos comercial e industrial.

14.4. Todas as informações disponibilizadas aos titulares, nos termos destas Cláusulas, deverão ser redigidas na língua portuguesa.

CLÁUSULA 15. DIREITOS DO TITULAR

15.1. O Titular tem direito a obter da Parte Designada, em relação aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, a qualquer momento, e mediante requisição, nos termos da Legislação Nacional:

a) confirmação da existência de tratamento;

b) acesso aos dados;

c) correção de dados incompletos, inexatos ou desatualizados;

d) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com estas Cláusulas e com o disposto na Legislação Nacional;

e) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa,de acordo com a regulamentação da ANPD, observados os segredos comercial e industrial;

f) eliminação dos Dados Pessoais tratados com o consentimento do Titular, exceto nas hipóteses previstas na Cláusula 20;

g) informação das entidades públicas e privadas com as quais as Partes realizaram uso compartilhado de dados;

h) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

i) revogação do consentimento mediante procedimento gratuito e facilitado, ratificados os tratamentos realizados antes do requerimento de eliminação;

j) revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; e

k) informações a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

15.2. O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nestas Cláusulas ou na Legislação Nacional.

15.3. O prazo para atendimento às solicitações previstas nesta Cláusula e no item 14.3. é de 15
(quinze) dias contados da data do requerimento do titular, ressalvada a hipótese de prazo distinto
estabelecido em regulamentação específica da ANPD.

15.4. Caso a solicitação do Titular seja direcionada à Parte não designada como responsável pelas
obrigações previstas nesta Cláusula ou no item 14.3., a Parte deverá:

a) informar ao Titular o canal de atendimento disponibilizado pela Parte Designada; ou

b) encaminhar a solicitação para a Parte Designada o quanto antes, a fim de viabilizar a resposta no prazo previsto no item

15.2. 15.5. As Partes deverão informar, imediatamente, aos Agentes de Tratamento com os quais tenham realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.

15.6. As Partes devem promover assistência mútua com a finalidade de atender às solicitações dos Titulares.

CLÁUSULA 16. COMUNICAÇÃO DE INCIDENTE DE SEGURANÇA

16.1. A Parte Designada deverá comunicar à ANPD e aos Titulares, no prazo de 3 (três) dias úteis, a
ocorrência de incidente de segurança que possa acarretar risco ou dano relevante para os Titulares, observado o disposto na Legislação Nacional.

16.2. O Importador deve manter o registro de incidentes de segurança nos termos da Legislação
Nacional.

CLÁUSULA 17. RESPONSABILIDADE E RESSARCIMENTO DE DANOS

17.1. A Parte que, em razão do exercício da atividade de tratamento de Dados Pessoais, causar dano patrimonial, moral, individual ou coletivo, em violação às disposições destas Cláusulas e da Legislação Nacional, é obrigada a repará-lo.

17.2. O Titular poderá pleitear a reparação do dano causado por quaisquer das Partes em razão da
violação destas Cláusulas.

17.3. A defesa dos interesses e dos direitos dos Titulares poderá ser pleiteada em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente acerca dos instrumentos de tutela individual e coletiva.

17.4. A Parte que atuar como Operador responde, solidariamente, pelos danos causados pelo
tratamento quando descumprir as presentes Cláusulas ou quando não tiver seguido as instruções lícitas do Controlador, ressalvado o disposto no item 17.6.

17.5. Os Controladores que estiverem diretamente envolvidos no tratamento do qual decorreram
danos ao Titular respondem, solidariamente, por estes danos, ressalvado o disposto no item 17.6.

17.6. Não caberá responsabilização das Partes se comprovado que:

a) não realizaram o tratamento de Dados Pessoais que lhes é atribuído;

b) embora tenham realizado o tratamento de Dados Pessoais que lhes é atribuído, não houve violação a estas Cláusulas ou à Legislação Nacional; ou

c) o dano é decorrente de culpa exclusiva do Titular ou de terceiro que não seja destinatário de Transferência Posterior ou subcontratado pelas Partes.

17.7. Nos termos da Legislação Nacional, o juiz poderá inverter o ônus da prova a favor do Titular
quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo Titular resultar-lhe excessivamente onerosa.

17.8. As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos desta Cláusula podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.

17.9. A Parte que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.

CLÁUSULA 18. SALVAGUARDAS PARA TRANSFERÊNCIA POSTERIOR

18.1. O Importador somente poderá realizar Transferências Posteriores dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas se expressamente autorizado, conforme as hipóteses e condições descritas na Cláusula 3.

18.2. Em qualquer caso, o Importador:

a) deve assegurar que a finalidade da Transferência Posterior é compatível com as finalidades específicas descritas na Cláusula 2;

b) deve garantir, mediante instrumento contratual escrito, que as salvaguardas previstas nestas Cláusulas serão observadas pelo terceiro destinatário da Transferência Posterior; e

c) para fins destas Cláusulas, e em relação aos Dados Pessoais transferidos, será considerado o responsável por eventuais irregularidades praticadas pelo terceiro destinatário da Transferência Posterior.

18.3. A Transferência Posterior poderá, ainda, ser realizada com base em outro mecanismo válido de
Transferência Internacional de Dados previsto na Legislação Nacional, independentemente da
autorização de que trata a Cláusula 3.

CLÁUSULA 19. NOTIFICAÇÃO DE SOLICITAÇÃO DE ACESSO

19.1. O Importador notificará o Exportador e o Titular sobre Solicitação de Acesso relacionada aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, ressalvada a hipótese de vedação de notificação pela lei do país de tratamento dos dados.

19.2. O Importador adotará as medidas legais cabíveis, incluindo ações judiciais, para proteger os direitos dos Titulares sempre que houver fundamento jurídico adequado para questionar a legalidade da Solicitação de Acesso e, se for o caso, a vedação de realizar a notificação referida no item 19.1.

19.3. Para atender às solicitações da ANPD e do Exportador, o Importador deve manter registro de
Solicitações de Acesso, incluindo data, solicitante, finalidade da solicitação, tipo de dados solicitados, número de solicitações recebidas e medidas legais adotadas.

CLÁUSULA 20. TÉRMINO DO TRATAMENTO E ELIMINAÇÃO DOS DADOS

20.1. As Partes deverão eliminar os Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas após o término do tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação apenas para as seguintes finalidades:

a) cumprimento de obrigação legal ou regulatória pelo Controlador;

b) estudo por Órgão de Pesquisa, garantida, sempre que possível, a anonimização dos Dados Pessoais;

c) transferência a terceiro, desde que respeitados os requisitos previstos nestas Cláusulas e na Legislação Nacional; e

d) uso exclusivo do Controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

20.2. Para fins desta Cláusula, considera-se que o término do tratamento ocorrerá quando:

a) alcançada a finalidade prevista nestas Cláusulas;

b) os Dados Pessoais deixarem de ser necessários ou pertinentes ao alcance da finalidade específica prevista nestas Cláusulas;

c) finalizado o período de tratamento;

d) atendida solicitação do Titular; e

e) determinado pela ANPD, quando houver violação ao disposto nestas Cláusulas ou na Legislação Nacional.

CLÁUSULA 21. SEGURANÇA NO TRATAMENTO DOS DADOS

21.1. As Partes deverão adotar medidas de segurança que garantam proteção aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, mesmo após o seu término.

21.2. As Partes informarão, na Seção III, as Medidas de Segurança adotadas, considerando a natureza das informações tratadas, as características específicas e a finalidade do tratamento, o estado atual da tecnologia e os riscos para os direitos dos Titulares, especialmente no caso de dados pessoais sensíveis e de crianças e adolescentes.

21.3. As Partes deverão realizar os esforços necessários para adotar medidas periódicas de avaliação e revisão visando manter nível de segurança adequado às características do tratamento de dados.

CLÁUSULA 22. LEGISLAÇÃO DO PAÍS DESTINATÁRIO DOS DADOS

22.1. O Importador declara que não identificou leis ou práticas administrativas do país destinatário
dos Dados Pessoais que o impeçam de cumprir as obrigações assumidas nestas Cláusulas.

22.2. Sobrevindo alteração normativa que altere esta situação, o Importador notificará, de imediato, o Exportador para avaliação da continuidade do contrato.

CLÁUSULA 23. DESCUMPRIMENTO DAS CLÁUSULAS PELO IMPORTADOR

23.1. Havendo violação das salvaguardas e garantias previstas nestas Cláusulas ou a impossibilidade de seu cumprimento pelo Importador, o Exportador deverá ser comunicado imediatamente, ressalvado o disposto no item 19.1.

23.2. Recebida a comunicação de que trata o item 23.1 ou verificado o descumprimento destas
Cláusulas pelo Importador, o Exportador adotará as providências pertinentes para assegurar a
proteção aos direitos dos Titulares e a conformidade da Transferência Internacional de Dados com a Legislação Nacional e as presentes Cláusulas, podendo, conforme o caso:

a) suspender a Transferência Internacional de Dados;

b) solicitar a devolução dos Dados Pessoais, sua transferência a um terceiro, ou a sua eliminação; e

c) rescindir o contrato.

CLÁUSULA 24. ELEIÇÃO DO FORO E JURISDIÇÃO

24.1. Aplica-se a estas Cláusulas a legislação brasileira e qualquer controvérsia entre as Partes
decorrente destas Cláusulas será resolvida perante os tribunais competentes do Brasil, observado, se for o caso, o foro eleito pelas Partes na Seção IV.

24.2. Os Titulares podem ajuizar ações judiciais contra o Exportador ou o Importador, conforme sua escolha, perante os tribunais competentes no Brasil, inclusive naqueles localizados no local de sua residência.

24.3. Em comum acordo, as Partes poderão se valer da arbitragem para resolver os conflitos
decorrentes destas Cláusulas, desde que realizada no Brasil e conforme as disposições da Lei de Arbitragem.

SEÇÃO III – MEDIDAS DE SEGURANÇA

25.1. As Partes declaram e reconhecem que serão adotadas medidas de segurança técnicas e
administrativas adequadas para a proteção dos Dados Pessoais objeto das Transferência
Internacionais de Dados.

25.2. Para fins destas Cláusulas, as medidas de segurança a serem observadas pelas Partes seguirão o disposto no Anexo I – Medidas de Segurança do Termo de Tratamento de Dados Pessoais.

SEÇÃO IV – CLÁUSULAS ADICIONAIS E ANEXOS

26.1. As Partes declaram que as disposições relacionadas a quaestões de natureza comercial, rescisão contratual, prazo de vigência e eleição de foro, entre outras, seguirão o previsto no Termo de Tratamento de Dados Pessoais ao qual estas Cláusulas estão vinculadas.