BRAZILIAN DATA PROCESSING ADDENDUM (PORTUGUESE)

ADENDO SOBRE O TRATAMENTO DE DADOS

Última atualização: Fevereiro de 2026

Este Adendo ao Processamento de Dados (“DPA”) faz parte do Contrato de Assinatura Principal ou de outros contratos escritos ou eletrônicos entre a Insider One e o Cliente ( “Contratante”) para a compra de serviços online da Insider One (identificados como “Serviços” ou de outra forma no contrato aplicável, e doravante definidos como “Serviços”) para refletir o acordo das partes em relação ao Processamento de Dados Pessoais.

Ao assinar o Contrato, o Cliente celebra este DPA em seu nome e, na medida exigida pelas Leis e Regulamentos de Proteção de Dados aplicáveis, em nome e em representação de suas Afiliadas Autorizadas, se e na medida em que a Insider One processar Dados Pessoais para os quais tais Afiliadas Autorizadas se qualifiquem como Controladoras. Para os fins deste DPA apenas, e salvo indicação em contrário, o termo “Cliente” incluirá o Cliente e as Afiliadas Autorizadas. Todos os termos em maiúsculas não definidos neste documento terão o significado estabelecido no Contrato.

No decorrer da prestação dos Serviços ao Cliente nos termos do Contrato, a Insider One poderá Processar Dados Pessoais em nome do Cliente, e as Partes concordam em cumprir as seguintes disposições com relação a quaisquer Dados Pessoais, agindo cada uma de forma razoável e de boa-fé. Para fins de esclarecimento, toda e qualquer referência ao DPA neste instrumento deve ser interpretada como uma referência a este DPA, incluindo seus respectivos Anexos.

TERMOS DE PROCESSAMENTO DE DADOS

• DEFINIÇÕES

“Afiliada Autorizada” significa qualquer Afiliada do Cliente que (i) esteja sujeita às leis e regulamentos de proteção de dados da União Europeia, do Espaço Econômico Europeu e/ou de seus Estados-Membros e/ou do Reino Unido, e (ii) tenha permissão para usar os Serviços de acordo com o Contrato entre o Cliente e a Insider One, mas não tenha assinado seu próprio Formulário de Pedido com a Insider One e não seja um “Cliente” conforme definido no Contrato.

“CCPA” significa a Lei de Privacidade do Consumidor da Califórnia de 2018, Cal. Civ. Code § 1798.100 et seq., e seus regulamentos de implementação, conforme possam ser alterados de tempos em tempos.

“Controlador” significa a entidade que determina as finalidades e os meios do Tratamento de Dados Pessoais.

“Dados do Cliente” significa o que é definido no Contrato como “Dados do Cliente”.

“Leis e Regulamentos de Proteção de Dados” significa todas as leis e regulamentos, incluindo o RGPD e a CCPA, aplicáveis a uma Parte na sua utilização ou prestação dos Serviços, em relação ao Tratamento de Dados Pessoais ao abrigo do Contrato.

“Titular dos Dados” significa a pessoa física identificada ou identificável a quem os Dados Pessoais se referem.

“Direito do Titular dos Dados” significa qualquer direito concedido a um Titular dos Dados ao abrigo das Leis e Regulamentos de Proteção de Dados, incluindo os direitos de acesso, retificação, restrição do Tratamento de Dados Pessoais, eliminação(incluindo o direito ao esquecimento), portabilidade dos dados, oposição ao Tratamento ou a não estar sujeito a uma tomada de decisão individual automatizada.

“RGPD” significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).

“Dados Pessoais” significa qualquer informação relacionada a uma pessoa física identificada ou identificável, quando tais dados forem Dados do Cliente. 

“Processamento” significa qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais, por meios automáticos ou não, tais como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação  e ou disponibilização, alinhamento e ou combinação, restrição, eliminação  e  ou destruição. 

“Processador” significa a entidade que processa Dados Pessoais em nome do Controlador.

“Violação de Dados Pessoais” significa uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais, transmitidos, armazenados ou de outra forma Processados pela Insider One ou seus Subprocessadores, dos quais a Insider One tenha conhecimento.

“Ficha técnica de segurança, privacidade e arquitetura” significa a Ficha técnica de segurança, privacidade e arquitetura para os Serviços da Insider One, conforme atualizada periodicamente.

“Cláusulas Contratuais Padrão” ou “SCC” significa o acordo entre o Cliente e a Insider One, nos termos da

decisão da Comissão Europeia sobre Cláusulas Contratuais Padrão para a transferência de dados pessoais para processadores estabelecidos em países terceiros que não garantem um nível adequado de proteção de dados, cuja cópia pode ser encontrada em https://www.insiderone.com/legal.

“Subprocessador” significa qualquer Processador contratado pela Insider One ou suas Afiliadas envolvidas no Processamento de Dados Pessoais.

“Sistemas de IA” significa quaisquer modelos de inteligência artificial, algoritmos de aprendizagem automática, modelos de linguagem de grande dimensão, ferramentas de análise preditiva ou tecnologias semelhantes que a Insider One utiliza, fornece ou disponibiliza de outra forma em relação aos Serviços.

“Resultados de IA” significa qualquer conteúdo, conjunto de dados, análise, recomendação, classificação, previsão, insight, relatório ou outro material que seja gerado, derivado ou de outra forma influenciado por Sistemas de IA.

• TRATAMENTO DE DADOS PESSOAIS

1. 1. Detalhes do Tratamento. As partes reconhecem e concordam que, no que diz respeito ao Tratamento de Dados Pessoais, o Cliente é o Controlador, a Insider One é o Processador e que a Insider One ou suas Afiliadas envolvidas no Tratamento de Dados Pessoais contratarão Subprocessadores de acordo com os requisitos estabelecidos no Anexo 2 “Subprocessadores” abaixo. O objeto do Processamento de Dados Pessoais pela Insider One é a prestação dos Serviços de acordo com o Contrato. A duração do Processamento, a natureza e a finalidade do Processamento, os tipos de Dados Pessoais e as categorias de Titulares dos Dados Processados nos termos deste DPA são especificados em mais detalhes no Anexo 3 (Detalhes do Processamento) deste DPA.

   2. Tratamento de Dados Pessoais pelo Cliente. O Cliente deverá, na sua utilização dos Serviços, tratar os Dados Pessoais em conformidade com os requisitos das Leis e Regulamentos de Proteção de Dados. Para evitar dúvidas, as instruções do Cliente para o Tratamento de Dados Pessoais devem estar em conformidade com as Leis e Regulamentos de Proteção de Dados. Este DPA e o Contrato são, no momento da assinatura do Contrato, as instruções completas e finais documentadas do Cliente à Insider One para o processamento de dados pessoais, e a configuração dos Serviços pelo Cliente constituirá uma instrução adicional à Insider One. Quaisquer instruções adicionais ou alternativas devem ser acordadas separadamente. O Cliente será o único responsável pela precisão, qualidade e legalidade dos Dados Pessoais e pelos meios pelos quais os adquiriu.

   3. Tratamento de Dados Pessoais pela Insider One. A Insider One tratará os Dados Pessoais como Informações Confidenciais e apenas tratará os Dados Pessoais em nome do Cliente e de acordo com as instruções documentadas do Cliente para os seguintes fins: (i) Tratamento de acordo com o Contrato e o(s) Formulário(s) de Encomenda aplicável(is); (ii) Processamento iniciado pelos Usuários na utilização dos Serviços; e (iii) Processamento para cumprir outras instruções razoáveis documentadas fornecidas pelo Cliente (por exemplo, por e-mail), desde que tais instruções sejam consistentes com os termos do Contrato. A Insider One processará os Dados Pessoais em conformidade com as Leis e Regulamentos de Proteção de Dados aplicáveis, desde que, no entanto, a Insider One não viole esta obrigação contratual no caso de o Processamento de Dados Pessoais pela Insider One em não conformidade com as Leis e Regulamentos de Proteção de Dados aplicáveis ser devido ao Cliente. A Insider One manterá e atualizará regularmente um Registro abrangente de Atividades de Processamento (RoPA), incluindo todas as atividades de processamento relacionadas ao serviço MindBehind, documentando claramente as políticas de exclusão da Insider One e suas medidas técnicas e organizacionais, de acordo com o Artigo 30(2) do GDPR.

• DIREITOS DOS TITULARES DOS DADOS

1. 1. Solicitações dos titulares dos dados. A Insider One deverá, na medida do permitido por lei e na medida em que a Insider One tenha sido capaz de identificar que a solicitação provém de um titular dos dados cujos dados pessoais foram enviados aos Serviços pelo Cliente, notificar imediatamente o Cliente se a Insider One receber uma solicitação de um titular dos dados em relação ao exercício de qualquer direito do titular dos dados (“Solicitação do Titular”). A Insider One confirmará ao Titular dos Dados que encaminhou a solicitação ao Cliente, mas não tratará nem executará a Solicitação do Titular dos Dados.

   2. Levando em consideração a natureza do Processamento, a Insider One auxiliará o Cliente, fornecendo medidas técnicas e organizacionais adequadas e necessárias, na medida do possível, para o cumprimento da obrigação do Cliente de responder a uma Solicitação do Titular dos Dados nos termos das Leis e Regulamentos de Proteção de Dados.

• COLABORADORESDA INSIDER ONE

1. 1. Confidencialidade. A Insider One garantirá que seus empregados e prepostosenvolvidos no Processamento de Dados Pessoais sejam informados sobre a natureza confidencial dos Dados Pessoais, tenha recebido treinamento adequado sobre suas responsabilidades e tenha assinado acordos de confidencialidade por escrito. A Insider One garantirá que tais obrigações de confidencialidade permaneçam em vigor após o término do contrato de trabalho do pessoal.
      

   2. Confiabilidade. A Insider One tomará medidas comercialmente razoáveis para garantir a confiabilidade de qualquer funcionário da Insider One envolvido no processamento de dados pessoais.

   3. Limitação de acesso. A Insider One garantirá que o acesso aos Dados Pessoais seja limitado aos funcionários que prestam Serviços de acordo com o Contrato.

   4. Encarregado da Proteção de Dados. A Insider One nomeou um encarregado da proteção de dados para a Insider One e suas Afiliadas. A pessoa nomeada pode ser contatada pelo e-mail [email protected].

• SUBPROCESSADORES

1. 1. Nomeação de suboperadores do tratamento. O Cliente reconhece e concorda que (a) as Afiliadas da Insider One podem ser contratadas como suboperadores do tratamento; e (b) a Insider One e as Afiliadas da Insider One podem, respetivamente, contratar suboperadores do tratamento terceirizadas em relação à prestação dos Serviços. A Insider One ou uma de suas afiliadas celebrou um contrato por escrito com cada subprocessador contendo obrigações de proteção de dados não menos protetoras do que as deste DPA com relação à proteção de Dados Pessoais, na medida aplicável à natureza do produto e/ou serviços fornecidos por tal subprocessador.

   2. Lista de subprocessadores atuais e notificação de novos subprocessadores. Em anexo ao presente documento, como Anexo 2, encontra-se uma lista atualizada dos subprocessadores dos Serviços. Essa lista de subprocessadores deve incluir as identidades desses subprocessadores, o seu país de localização, bem como o tipo de processamento que realizam. A Insider One notificará o Cliente sobre novos Subprocessadores antes de autorizar qualquer novo Subprocessador a Processar Dados Pessoais em conexão com a prestação dos Serviços aplicáveis.

   3. Direito de objeção para novos subprocessadores. O Cliente pode se opor ao uso de um novo subprocessador pela Insider One, notificando a Insider One imediatamente por escrito dentro de dez (10) dias úteis após o recebimento da notificação da Insider One, de acordo com o Anexo 2. Caso o Cliente se oponha a um novo subprocessador, conforme permitido na frase anterior, a Insider One envidará esforços razoáveis para disponibilizar ao Cliente uma alteração nos Serviços ou recomendar uma alteração comercialmente razoável na configuração ou uso dos Serviços pelo Cliente, a fim de evitar o processamento de Dados Pessoais pelo novo subprocessador contestado, sem sobrecarregar injustificadamente o Cliente. Se a Insider One não puder disponibilizar tal alteração dentro de um prazo razoável, que não excederá trinta (30) dias, o Cliente poderá rescindir o(s) Formulário(s) de Pedido aplicável(is) apenas em relação aos Serviços que não possam ser fornecidos pela Insider One sem o uso do novo Subprocessador contestado, mediante notificação por escrito à Insider One. A Insider One reembolsará ao Cliente quaisquer taxas pré-pagas que cubram o restante do prazo de tais Formulários de Pedido após a data efetiva da rescisão com relação a tais Serviços rescindidos, sem impor uma penalidade por tal rescisão ao Cliente.

   4. Responsabilidade pelos Subprocessadores. A Insider One será responsável pelos atos e omissões de seus Subprocessadores na mesma medida em que a Insider One seria responsável se prestasse os serviços de cada Subprocessador diretamente nos termos deste DPA.

• SEGURANÇA

1. 1. Controles para a proteção dos dados do Cliente. A Insider One manterá medidas técnicas e organizacionais adequadas para a proteção da segurança (incluindo proteção contra violação de dados pessoais), confidencialidade e integridade dos dados do Cliente, conforme estabelecido na Folha de Dados de Segurança, Privacidade e Arquitetura anexada ao presente como Anexo 1. A Insider One monitora regularmente o cumprimento dessas medidas. O Cliente é responsável por revisar as informações disponibilizadas pela Insider One relacionadas à segurança dos dados e determinar de forma independente se os Serviços atendem aos requisitos e obrigações legais do Cliente nos termos das Leis e Regulamentos de Proteção de Dados. O Cliente reconhece que as medidas de segurança descritas na Folha de Dados de Segurança, Privacidade e Arquitetura estão sujeitas ao progresso e desenvolvimento técnico e que a Insider One pode atualizar ou modificar tal documento de tempos em tempos, desde que tais atualizações e modificações não resultem em uma diminuição significativa da segurança geral dos Serviços durante o prazo da assinatura.

   2. Gerenciamento e notificação de incidentes de dados do Cliente. A Insider One mantém políticas e procedimentos de gerenciamento de incidentes de segurança especificados na Folha de Dados de Segurança, Privacidade e Arquitetura e notificará o Cliente sem demora injustificada após tomar conhecimento de uma Violação de Dados Pessoais. A Insider One fornecerá ao Cliente as informações necessárias para que este possa cumprir as suas obrigações ao abrigo das Leis e Regulamentos de Proteção de Dados em relação a tal Violação de Dados Pessoais. O conteúdo dessa comunicação ao Cliente irá (i) incluir a natureza do Tratamento e as informações disponíveis para a Insider One, e (ii) ter em conta que, ao abrigo das Leis e Regulamentos de Proteção de Dados aplicáveis, o Cliente poderá ter de notificar as entidades reguladoras ou os indivíduos sobre o seguinte:
      

(a) uma descrição da natureza da Violação de Dados Pessoais, incluindo, sempre que possível, as categorias e o número aproximado de indivíduos afetados e as categorias e o número aproximado de registros de Dados Pessoais afetados; (b) uma descrição das consequências prováveis da Violação de Dados Pessoais; e (c) uma descrição das medidas tomadas ou propostas para resolver a Violação de Dados Pessoais, incluindo, quando apropriado, medidas para mitigar seus possíveis efeitos adversos. A Insider One envidará esforços comercialmente razoáveis para identificar a causa de tal violação de dados pessoais e tomará as medidas que considerar necessárias e razoáveis para remediar a causa de tal violação de dados pessoais, na medida em que a remediação esteja dentro do controle razoável da Insider One. A obrigação de remediar a causa de uma violação de dados pessoais não se aplica a violações de dados pessoais causadas pelo Cliente ou pelos Usuários do Cliente.

6.3. Certificações e auditorias de terceiros. A Insider One obteve as certificações e auditorias de terceiros estabelecidas na Folha de Dados de Segurança, Privacidade e Arquitetura. Mediante solicitação por escrito do Cliente em intervalos razoáveis, e sujeito às obrigações de confidencialidade estabelecidas no Contrato, a Insider One disponibilizará ao Cliente (ou ao auditor independente de terceiros do Cliente que não seja concorrente da Insider One e que esteja sujeito a obrigações de confidencialidade substancialmente semelhantes às estabelecidas no Contrato) uma cópia das auditorias e ou certificações de terceiros mais recentes da Insider One, conforme aplicável, que a Insider One disponibiliza aos seus clientes em geral.

• DEVOLUÇÃO E EXCLUSÃO DE DADOS DO CLIENTE

A Insider One deverá devolver os Dados do Cliente, permitindo que o Cliente exporte seus Dados do Cliente conforme estabelecido no Contrato, e deverá excluir os Dados do Cliente, de acordo com este DPA, o Contrato, as leis aplicáveis e a Documentação.

• AFILIADOS

1. 1. Relação entre a Insider One e as Afiliadas Autorizadas do Cliente. As partes reconhecem e concordam que, ao assinar o Contrato, o Cliente celebra este DPA em seu próprio nome e, conforme aplicável, em nome e em representação de suas Afiliadas Autorizadas, estabelecendo assim um DPA independente entre a Insider One e cada uma dessas Afiliadas Autorizadas, sujeito às disposições do Contrato e desta Seção 8 e Seção 9. Cada Afiliada Autorizada concorda em se comprometer com as obrigações previstas neste DPA e, na medida do aplicável, no Contrato. Para maior clareza, uma Afiliada Autorizada não é e não se torna parte do Contrato, sendo apenas parte deste DPA. Todo o acesso e uso dos Serviços pelas Afiliadas Autorizadas devem estar em conformidade com os termos e condições do Contrato, e qualquer violação dos termos e condições do Contrato por uma Afiliada Autorizada será considerada uma violação pelo Cliente.

   2. Comunicação. O Cliente que é a parte contratante do Contrato permanecerá responsável por coordenar toda a comunicação com a Insider One nos termos deste DPA e terá o direito de fazer e receber qualquer comunicação relacionada a este DPA em nome de suas Afiliadas e Afiliadas Autorizadas.

   3. Direitos do Controlador de Dados das Afiliadas e Afiliadas Autorizadas. Qualquer Afiliada ou Afiliada Autorizada terá, na medida exigida pelas Leis e Regulamentos de Proteção de Dados aplicáveis, o direito de exercer os direitos e buscar recursos nos termos deste DPA, sujeito ao seguinte:

Exceto quando as leis e regulamentos de proteção de dados aplicáveis exigirem que a afiliada ou afiliada autorizada exerça um direito ou busque qualquer recurso nos termos deste DPA diretamente contra a Insider One, as partes concordam que:

1. somente o Cliente que é a parte contratante do Contrato exercerá qualquer direito (incluindo qualquer direito de auditoria) ou buscará qualquer recurso em nome de tal Afiliada ou Afiliada Autorizada,

2. o Cliente que é a parte contratante do Contrato exercerá tais direitos nos termos deste DPA não separadamente para cada Afiliada ou Afiliada Autorizada individualmente, mas de forma combinada para todas as suas Afiliadas e Afiliadas Autorizadas em conjunto, e

3. ao realizar uma Auditoria no local, tomar todas as medidas razoáveis para limitar qualquer impacto sobre a Insider One e seus Subprocessadores, combinando, na medida do razoavelmente possível, várias solicitações de Auditoria realizadas em nome de diferentes Afiliadas e Afiliadas Autorizadas em uma única Auditoria.

Para os fins desta Seção 8.3, uma Afiliada que assinar um Formulário de Pedido com a Insider One não será considerada “Cliente”.

• LIMITAÇÃO DE RESPONSABILIDADE

1. 1. A responsabilidade de cada parte e de todas as suas Afiliadas, consideradas em conjunto, decorrentes ou relacionadas com este DPA e todos os DPAs entre Afiliadas Autorizadas e a Insider One, seja por contrato, ato ilícito ou sob qualquer outra teoria de responsabilidade, está sujeita à
      

a seção “Limitação de Responsabilidade” do Contrato, e qualquer referência nessa seção à responsabilidade de uma parte significa a responsabilidade agregada dessa parte e de todas as suas Afiliadas nos termos do Contrato e de todos os DPAs em conjunto.

9.2. Sem prejuízo de qualquer outra disposição deste DPA e sempre sujeito à seção “Limitação de Responsabilidade” do Contrato, e na medida máxima permitida pela lei aplicável, a Insider One não terá qualquer responsabilidade por qualquer perda, dano, prejuízo, penalidade, custo, reclamação ou violação legal ou regulamentar — seja direta, indireta, incidental, consequencial, exemplar, punitiva, especial, regulamentar ou reputacional — decorrente ou relacionada com a utilização, confiança ou divulgação pelo Cliente de qualquer resultado, insight, sugestão, recomendação, previsão, resumo, classificação, explicação, avaliação de risco, proposta de decisão, geração de conteúdo, transformação de dados ou qualquer outro resultado, orientação, análise ou informação produzida pelos Sistemas de IA (cada um deles, um “Resultado de IA”).

• USO DE INTELIGÊNCIA ARTIFICIAL

1. 1. Obrigação de diligência do Cliente. O Cliente reconhece e aceita que qualquer resultado, insight, sugestão, recomendação, previsão, resumo, classificação, explicação, avaliação de risco, proposta de decisão, geração de conteúdo, transformação de dados ou outra orientação, análise ou informação produzida pelos Sistemas de IA (cada um deles, um “Resultado de IA”) pode ser impreciso, inexato, enganoso, contextualmente inadequado ou não conforme com as leis ou regulamentos aplicáveis. O Cliente concorda, portanto, em exercer julgamento independente, supervisão e diligência prévia antes de usar, confiar ou distribuir qualquer Resultado da IA.

   2. Sem treinamento de IA com dados do cliente. A Insider One não utilizará quaisquer dados do cliente — incluindo prompts, entradas, saídas de IA ou outros dados pessoais — para fins de treinamento, ajuste ou desenvolvimento ou aprimoramento de quaisquer modelos de inteligência artificial ou aprendizado de máquina, sejam eles de propriedade da Insider One ou fornecidos por terceiros, exceto quando as Partes tiverem expressamente acordado o contrário ou quando uma disposição contrária estiver estabelecida em outra documentação que rege os Serviços da Insider One. Esta restrição aplica-se independentemente de os dados serem anonimizados, pseudonimizados ou agregados, e permanecerá em vigor durante o prazo do Contrato.

   3. Processamento de IA permitido. Exceto quando as Partes tiverem expressamente acordado o contrário ou quando uma disposição contrária estiver estabelecida em outra documentação que rege os Serviços da Insider One, qualquer Processamento de Dados do Cliente por ou através dos Sistemas de IA será realizado exclusivamente (i) para prestar os Serviços nos termos do Contrato, (ii) de acordo com as instruções documentadas do Cliente, e

(iii) em total conformidade com as Leis e Regulamentos de Proteção de Dados aplicáveis.

1. Decisões automatizadas. Quando o uso de sistemas de IA constituir uma operação de tomada de decisão automatizada que produza efeitos legais ou similares significativos sobre os titulares dos dados, a Insider One não realizará tal processamento, a menos que expressamente solicitado por escrito pelo Cliente e sujeito a salvaguardas apropriadas, tais como supervisão humana, transparência e, quando necessário, avaliações de impacto sobre a proteção de dados.

2. Documentação e cooperação. Mediante solicitação razoável por escrito do Cliente, a Insider One deverá (i) fornecer a documentação técnica, organizacional e jurídica disponível relativa às suas atividades de processamento relacionadas com IA e (ii) cooperar de boa-fé com o Cliente em relação a qualquer avaliação de impacto sobre a proteção de dados ou inquérito regulatório relativo aos sistemas de IA. Além disso, a Insider One fornecerá assistência técnica, administrativa e organizacional razoável, mediante solicitação do Cliente, para facilitar a realização de Avaliações de Impacto sobre a Proteção de Dados (DPIAs) pelo Cliente, particularmente no que diz respeito ao uso de recursos baseados em IA, como o MindBehind, em conformidade com as Leis de Proteção de Dados aplicáveis.

3. Transparência da IA e propriedade dos resultados

   1. Transparência do modelo. Mediante solicitação razoável por escrito do Cliente, a Insider One deverá divulgar as categorias de modelos de inteligência artificial e aprendizado de máquina usados nos Serviços e indicar se tais modelos são de propriedade da Insider One ou provenientes de fornecedores terceiros, desde que a Insider One não seja obrigada a revelar segredos comerciais, arquiteturas de modelos ou outras informações comercialmente confidenciais.

   2. Alterações materiais. A Insider One deverá notificar previamente o Cliente sobre qualquer alteração material nos Sistemas de IA que altere significativamente o escopo ou a natureza do Processamento dos Dados do Cliente, incluindo a troca de fornecedores de IA, a introdução de novos tipos de modelos ou a modificação material da lógica de decisão automatizada.

   3. Propriedade dos resultados. Exceto quando as partes tiverem expressamente acordado o contrário ou quando uma disposição contrária estiver estabelecida em outra documentação que rege os Serviços da Insider One, a Insider One não adquirirá quaisquer direitos de propriedade sobre os Resultados de IA gerados pelo Cliente ou em seu nome através da utilização dos Serviços. A Insider One poderá utilizar esses Resultados de IA exclusivamente para prestar os Serviços ao abrigo do Contrato e não os explorará para qualquer outro fim sem a autorização prévia por escrito do Cliente.
      

Nada nesta cláusula restringe a Insider One de aprimorar ou desenvolver seus Serviços, desde que tais aprimoramentos não utilizem — ou não sejam derivados de — Dados do Cliente ou Resultados de IA específicos do Cliente sem o consentimento prévio por escrito do Cliente.

• DISPOSIÇÕES ESPECÍFICAS EUROPEIAS

1. 1. Avaliação do impacto sobre a proteção de dados. A pedido do Cliente, a Insider One prestará ao Cliente a cooperação e assistência razoáveis necessárias para cumprir a obrigação do Cliente ao abrigo do RGPD de realizar uma avaliação do impacto sobre a proteção de dados relacionada com a utilização dos Serviços pelo Cliente, na medida em que o Cliente não tenha acesso às informações relevantes e na medida em que tais informações estejam disponíveis para a Insider One. A Insider One prestará assistência razoável ao Cliente na cooperação ou consulta prévia com a Autoridade Supervisora (conforme definido no RGPD) no desempenho das suas tarefas relacionadas com esta Secção 10.1 do presente DPA, na medida do exigido pelo RGPD.

   2. Instruções infratoras. A Insider One informará imediatamente o Cliente se, em sua opinião, uma instrução infringir o GDPR.

   3. Direito de auditoria europeu. Quando o Cliente ou uma Afiliada ou uma Afiliada Autorizada estiver sujeita às leis de privacidade da União Europeia, Suíça, Espaço Econômico Europeu e/ou seus Estados-Membros e Reino Unido, a Insider One permitirá e contribuirá para auditorias e inspeções (“Auditorias”) conduzidas pelo Cliente (ou por um auditor independente terceirizado do Cliente que não seja concorrente da Insider One e que esteja sujeito a obrigações de confidencialidade substancialmente semelhantes às estabelecidas no Contrato), fornecendo quaisquer informações relativas ao cumprimento pela Insider One das obrigações estabelecidas neste DPA na forma de uma cópia das auditorias ou certificações terceirizadas mais recentes da Insider One, conforme aplicável, que a Insider One disponibiliza aos seus clientes em geral. Caso o Cliente deseje realizar uma Auditoria no local, poderá fazê-lo até uma vez por ano, mediante notificação prévia por escrito com pelo menos 30 dias de antecedência.

(1) uma vez por ano, com pelo menos três (3) semanas de antecedência por escrito, salvo se exigido de outra forma pelos reguladores do Cliente, ou de suas Afiliadas ou Afiliadas Autorizadas, ou pela legislação aplicável a qualquer um deles. Se o Cliente solicitar uma Auditoria no local, aplicar-se-ão os seguintes termos: (a) tal Auditoria será limitada às instalações operadas pela Insider One, (b) tal Auditoria não excederá um (1) dia útil; (c) antes do início de qualquer auditoria, o Cliente e a Insider One devem concordar mutuamente com o escopo, o custo e o prazo da auditoria; e (d) o Cliente deve notificar imediatamente a Insider One com informações sobre qualquer não conformidade descoberta durante o curso de uma auditoria.

1. Mecanismo(s) de transferência de dados. A partir da Data de Entrada em Vigor deste DPA, no que diz respeito a quaisquer transferências de Dados Pessoais ao abrigo deste DPA da União Europeia, Suíça, Espaço Económico Europeu e/ou seus Estados- Membros e Reino Unido para países que não garantam um nível adequado de proteção de dados na aceção das Leis e Regulamentos de Proteção de Dados dos territórios acima referidos, na medida em que tais transferências estejam sujeitas a tais Leis e Regulamentos de Proteção de Dados, a Insider One disponibiliza os seguintes mecanismos de transferência, que se aplicam, pela ordem de precedência abaixo indicada, se aplicável:

1. Qualquer mecanismo de transferência válido nos termos do Capítulo V “Transferências de dados pessoais para países terceiros ou organizações internacionais” do RGPD que permita a transferência de Dados Pessoais da UE para fora da UE, ao qual a Insider One se inscreveria, certificaria ou participaria.

2. As Cláusulas Contratuais Padrão, de acordo com os seguintes termos:

   1. Para efeitos das SCC, quando e conforme aplicável, o Cliente e quaisquer Afiliadas Autorizadas aplicáveis são, cada um, o exportador de dados, e a assinatura do Cliente deste DPA ou de um Acordo que faça referência a este DPA, ou a assinatura de uma Afiliada do Cliente de um Formulário de Encomenda ao abrigo de um Acordo que faça referência a este DPA, será tratada como a assinatura das SCC e dos seus anexos. A assinatura deste DPA ou de um Contrato que faça referência a este DPA pela Insider One será tratada como assinatura das SCC e seus apêndices. Em caso de conflito ou inconsistência entre este DPA e as SCC, as SCC prevalecerão.

   2. O Anexo 2 deste DPA representa o consentimento expresso do Cliente em relação aos Subprocessadores existentes e novos.

• ALTERAÇÕES

Não obstante qualquer disposição em contrário no Contrato, reservamo-nos o direito de fazer quaisquer atualizações e alterações a este DPA, e os termos que se aplicam na seção “Alteração; Sem Renúncia” dos Termos Principais serão aplicáveis.

• SEVERABILIDADE

Se qualquer disposição individual deste DPA for considerada inválida ou inexequível, a validade e exequibilidade das demais disposições deste DPA não serão afetadas.

• LEI DE PRIVACIDADE DO CONSUMIDOR DA CALIFÓRNIA DE 2020

1. 1. O seguinte se aplica aos Clientes sujeitos à CCPA:

1. Todas as referências às Leis e Regulamentos de Proteção de Dados neste DPA devem ser consideradas como incluindo uma referência à CCPA;

2. Todas as referências a Dados Pessoais neste DPA serão consideradas como incluindo Informações Pessoais, conforme definido na CCPA, desde que tais dados sejam Dados do Cliente;

3. Todas as referências a “Controlador” neste DPA devem ser consideradas referências a “Empresa”, conforme definido na CCPA;

4. Todas as referências a “Processador” neste DPA devem ser consideradas referências a “Prestador de Serviços”, conforme definido na CCPA;

5. Qualquer termo em maiúsculas utilizado nesta Secção 11, mas não definido no presente documento, terá o significado estabelecido na CCPA.

1. A Insider One não venderá nenhuma Informação Pessoal.

2. A Insider One processará as Informações Pessoais exclusivamente conforme estabelecido na Seção 2.3 (a “Finalidade

Comercial”) e não reterá, utilizará ou divulgará as Informações Pessoais para qualquer finalidade que não seja a Finalidade Comercial.

1. A Insider One não recebe quaisquer Informações Pessoais do Cliente como contrapartida pela prestação dos Serviços pela Insider One.

2. A Insider One certifica que compreende as restrições estabelecidas nesta Seção 11 e que as cumprirá. Lista de anexos:

Anexo 1: Folha de dados de segurança, privacidade e arquitetura da Insider One Anexo 2: Lista de sub processadores na data de vigência

Anexo 3: Detalhes do processamento

ANEXO 1

Ficha técnica de segurança, privacidade e arquitetura da Insider One Introdução

O objetivo deste documento é fornecer informações de alto nível aos nossos clientes sobre o compromisso da Insider One com a segurança e a proteção de dados.

Compromisso de confiança corporativa da Insider One

A Insider One está comprometida em conquistar e manter a confiança de nossos clientes. Nosso objetivo é ser o mais transparente possível com nossos clientes, oferecendo segurança e proteções de última geração para atender e superar as expectativas do mundo da computação moderna de hoje.

Responsabilidade pela política

A Insider One possui uma política de segurança da informação documentada que todos os funcionários devem ler e reconhecer. Essa política é revisada e atualizada anualmente. O desenvolvimento, a manutenção e a emissão da política de segurança são de responsabilidade da equipe de segurança da Insider One.

Infraestrutura da Insider One

A Insider One hospeda os Serviços Insider One com a Amazon Web Services na região EU-West-1, na Irlanda.

Arquitetura de terceiros

A Insider One pode utilizar uma ou mais redes de entrega de conteúdo de terceiros para fornecer os Serviços Insider One e otimizar a entrega de conteúdo através dos Serviços Insider One. Os itens de conteúdo a serem fornecidos aos assinantes ou usuários finais, tais como imagens ou anexos carregados nos Serviços Insider One, podem ser armazenados em cache nessas redes de entrega de conteúdo para agilizar a transmissão. As informações transmitidas através de uma rede de entrega de conteúdo podem ser acessadas por essa rede de entrega de conteúdo exclusivamente para permitir essas funções.

Auditorias, certificações e conformidade regulatória

A Insider One possui certificação ISO/IEC 27001 e o relatório SOC 2 Tipo 1. A Insider One também celebra as Cláusulas Contratuais Padrão da UE com seus clientes que desejam ser protegidos pelos mecanismos de transferência de dados aplicáveis nos termos do GDPR. Controles de segurança

• Segurança da organização

O CTO da Insider One é responsável pela segurança geral dos Serviços da Insider One, incluindo supervisão e responsabilidade. Os contratos da Insider One com provedores de hospedagem terceirizados, como a Amazon Web Services, incluem requisitos de proteção de informações padrão do setor

.

• Classificação de ativos e controle de acesso lógico

A Insider One mantém um inventário de ativos de informação essenciais, tais como servidores, bases de dados e informação. Todos os dados dos clientes são classificados como confidenciais pela Insider One.

A Insider One adota o princípio do privilégio mínimo para todas as contas que executam serviços de aplicativos ou bancos de dados, bem como para sua própria equipe. A Insider One mantém ambientes separados de desenvolvimento, teste (ou sandbox), teste de aceitação do usuário e produção, e o acesso a cada ambiente e dentro de cada ambiente é rigorosamente controlado.

O acesso aos servidores da Insider One é controlado por meio de chaves SSH revogáveis, gerenciadas por meio de gerenciamento de configuração e rotacionadas pelo menos uma vez por ano. Todo o acesso aos servidores da Insider One ou aos Dados do Cliente é registrado e só pode ser acessado através da VPN da Insider One, que usa autenticação multifatorial. O acesso ao banco de dados é controlado por meio de senhas de 24 caracteres com lista de IPs autorizados. Os processos de integração e desligamento de RH da Insider One lidam com o provisionamento e desprovisionamento de contas e acessos.

• Segurança dos colaboradores

Todos os funcionários da Insider One assinam um acordo de confidencialidade quando começam a trabalhar. Além disso, a Insider One realiza verificações de antecedentes de seus funcionários como parte do processo de integração. Todos os funcionários são informados e concordam em cumprir as políticas e práticas de segurança da Insider One como parte de sua integração inicial.

Os administradores de sistema, desenvolvedores e outros usuários com acesso privilegiado recebem treinamento especial e contínuo e são submetidos a uma verificação adicional de antecedentes.

• Segurança física e ambiental

O acesso às instalações da Insider One é controlado por segurança 24 horas. Além disso, todos os escritórios da Insider One são protegidos por acesso bloqueado e estão sob vigilância por vídeo 24 horas. Todas as estações de trabalho dos funcionários da Insider One são criptografadas e protegidas por senha, e todas as contas de usuário da Insider One exigem autenticação de dois fatores.

Os centros de dados e servidores são gerenciados e controlados por nossos provedores de hospedagem em nuvem. Os funcionários da Insider One não têm acesso a nenhum desses centros de dados.

Detalhes sobre as práticas e controles de segurança aplicáveis a essas instalações podem ser encontrados em seus sites: AWS: https://aws.amazon.com/security

• Políticas e registro

Os Serviços da Insider One são operados de acordo com os seguintes procedimentos para aumentar a segurança:

• As senhas dos usuários nunca são transmitidas ou armazenadas em texto simples

• A Insider One utiliza métodos padrão da indústria para determinar a validade das senhas

• O Insider One mantém registros de auditoria para todos os acessos aos servidores de produção

• O acesso ao servidor é controlado por meio do Gerenciamento de Identidade e Acesso da Amazon Web Services

• Os registros são armazenados em um host centralizado seguro para evitar adulterações

• As senhas não são registradas em nenhuma circunstância

• Todo o acesso às contas do painel do cliente pelos funcionários do Insider One deve ser feito por meio de um serviço interno acessível apenas por VPN de dois fatores

• Como parte da Política de Segurança da Informação dos Funcionários da Insider One, os funcionários não podem armazenar quaisquer Dados do Cliente em mídias removíveis

• Detecção de invasão

A Insider One monitora o comportamento do sistema, dos usuários e dos arquivos em toda a sua infraestrutura usando um sistema de detecção de intrusão baseado em host. Os alertas de detecção de intrusão são monitorados pelas equipes de segurança e DevOps 24 horas por dia, 7 dias por semana. Além disso, a Insider One pode analisar os dados coletados pelos navegadores da web dos usuários (por exemplo, tipo de dispositivo, resolução de tela, fuso horário, versão do sistema operacional, tipo e versão do navegador, fontes do sistema, plug-ins do navegador instalados, tipos MIME habilitados, etc.) para fins de segurança, incluindo a detecção de navegadores comprometidos, para evitar autenticações fraudulentas e para garantir que os Serviços da Insider One funcionem corretamente.

As APIs e o painel da Insider One utilizam controles de acesso rigorosos baseados em funções e permissões de usuário. Solicitações da web e chamadas de API não autorizadas são registradas e alertam automaticamente a equipe de engenharia da Insider One.

• Registros de segurança

Todos os sistemas da Insider One usados no fornecimento dos Serviços, incluindo firewalls, roteadores, switches de rede e sistemas operacionais, registram informações em seus respectivos recursos do sistema para permitir revisões e análises de segurança.

• Correção de sistemas e gerenciamento de configuração

A Insider One corrige seus servidores e reconstrói toda a sua infraestrutura em nuvem a partir de sistemas de gerenciamento de configuração regularmente, o que garante que as correções mais recentes sejam aplicadas e que “reiniciemos” para um estado conhecido e limpo. A Insider One mantém vários ambientes e testa as alterações em ambientes de desenvolvimento em contêineres e em ambientes de teste ao vivo antes de fazer alterações nos ambientes de produção.

• Gerenciamento de vulnerabilidades

A infraestrutura e os aplicativos da Insider One são continuamente verificados por um sistema de gerenciamento de vulnerabilidades. Os alertas são monitorados por nossa equipe de segurança e tratados pelo menos uma vez por mês pela equipe de segurança da Insider One. A Insider One também mantém uma lista de membros de várias listas de discussão sobre vulnerabilidades CVE. Os patches e as vulnerabilidades “críticas” e “altas” são corrigidos no prazo máximo de 30 dias após a descoberta.

A Insider One também usa ferramentas de análise de código estático durante o processo de compilação (como Brakeman e bundler-audit) para realizar análises de segurança estáticas.

• Testes de penetração de terceiros

A Insider One é submetida a um teste de penetração de terceiros dos Serviços Insider One anualmente.

• Monitoramento

Para processos de monitoramento técnico, manutenção e suporte, a Insider One utiliza uma combinação de ferramentas para garantir que os processos e servidores estejam funcionando corretamente, incluindo, mas não se limitando a:

• Monitoramento de processos

• Monitoramento de CPU, disco e memória

• Monitoramento do tempo de atividade

• Monitoramento funcional

• Monitoramento de banco de dados

• Monitoramento de desempenho APM

• Monitoramento de latência

• Monitoramento de erros

• Controle de acesso do cliente

Os Serviços Insider One empregam uma variedade de controles de segurança. Estes incluem, mas não se limitam a:

• Lista de permissões de IP da API – Define o intervalo de endereços IP a partir dos quais os usuários de um cliente podem acessar a API do Insider One para impedir que terceiros não autorizados acessem os serviços da Insider One.

• Todas as solicitações no painel da Insider One têm proteção contra falsificação de solicitações entre sites (CSRF). Todos os serviços da web usam HTTPS criptografado para todo o tráfego e proíbem todo o tráfego HTTP por meio do HTTP Strict Transport Security (“HSTS”).

• As tentativas de login malsucedidas são registradas e a conta é bloqueada, com notificação ao proprietário após várias tentativas malsucedidas.

• Desenvolvimento e manutenção

A Insider One utiliza ferramentas como o GitHub para gerenciar de forma eficaz o ciclo de vida do desenvolvimento. Durante os testes, a Insider One gera contas de teste e dados falsos para testes. A Insider One não utiliza dados de produção em contas de teste.

O controle de origem do aplicativo é realizado por meio de repositórios GitHub privados. A Insider One possui controles para garantir que todo o código seja aprovado antes de ser mesclado ao ramo de código principal da Insider One; somente funcionários autorizados têm acesso para promover o código para produção.

Os desenvolvedores da Insider One recebem treinamento adicional em segurança como parte de sua integração e passam por treinamentos regulares e periódicos em segurança durante o período de emprego. A Insider One mantém uma lista de princípios básicos de segurança para engenharia e diretrizes de alto nível sobre tópicos de segurança para o desenvolvimento seguro de software.

• Prevenção contra malware

A Insider One adota o princípio do privilégio mínimo para todas as contas que executam serviços de aplicativos ou bancos de dados. O gerenciamento adequado de mudanças garante que apenas pacotes autorizados sejam instalados por meio de um sistema de gerenciamento de pacotes que contém apenas software confiável e que o software nunca seja instalado manualmente.

Todos os computadores dos funcionários da Insider One têm antivírus instalados e definições atualizadas enviadas a partir de uma plataforma central de gerenciamento de dispositivos.

• Gerenciamento de incidentes de segurança da informação
  

A Insider One mantém políticas e procedimentos de gerenciamento de incidentes de segurança escritos e auditados regularmente, incluindo um Plano de Resposta a Incidentes a ser acionado em caso de incidente.

• Criptografia de dados

Os Serviços da Insider One utilizam práticas de criptografia aceitas pelo setor para proteger os Dados do Cliente e as comunicações durante as transmissões entre a rede do cliente e os Serviços da Insider One, incluindo, no mínimo, certificados TLS de 256 bits e chaves públicas RSA de 4096 bits.

A Insider One audita as cifras TLS utilizadas em conexão com a prestação dos Serviços com auditores de segurança terceirizados para garantir que cifras anônimas ou fracas não sejam utilizadas. Essas auditorias também confirmam que os Serviços não permitem renegociação do cliente, oferecem suporte à proteção contra ataques de downgrade e sigilo de encaminhamento.

Os dados enviados para a Amazon Web Services são criptografados em trânsito e em repouso usando criptografia AES-256 por meio do processo de chave de criptografia gerenciado pela Amazon.

Quando a utilização dos Serviços exige que um cliente forneça acesso a serviços de terceiros, a Insider One realiza uma criptografia adicional dessas informações.

• Devolução e exclusão de dados do cliente

Os serviços da Insider One permitem a importação, exportação e exclusão de Dados do Cliente por usuários autorizados a qualquer momento durante o período de assinatura do cliente. Após o término ou expiração dos Serviços, a Insider One substituirá ou excluirá com segurança os Dados do Cliente dentro de 180 dias após tal rescisão, de acordo com o Contrato, as leis aplicáveis e a Documentação.

• Confiabilidade e backup

Todos os componentes de rede, aceleradores SSL, balanceadores de carga, servidores Web e servidores de aplicativos são configurados em uma configuração redundante. Todos os dados do cliente enviados aos Serviços Insider One são armazenados em um servidor de banco de dados múltiplo com vários clusters ativos para maior disponibilidade. Todos os servidores de banco de dados são replicados quase em tempo real e são copiados regularmente. As cópias de segurança são criptografadas usando criptografia AES-256 e verificadas quanto à integridade.

• Gerenciamento de continuidade de negócios e recuperação de desastres

A Insider One possui um Procedimento de Continuidade de Negócios e um Plano de Recuperação de Desastres formais e documentados, que são testados anualmente. A Insider One testa backups e failovers de banco de dados como parte do nosso Plano de Continuidade de Negócios.

• Bloqueio de acesso de terceiros

Os serviços da Insider One não foram projetados para incluir backdoors ou funcionalidades semelhantes que permitam ao governo ou a terceiros acessar os dados do cliente. Não fornecemos voluntariamente a nenhum governo ou terceiro chaves de criptografia ou qualquer outra forma de quebrar nossa criptografia.

• Contatos

A equipe de segurança da Insider One pode ser contatada pelo e-mail [email protected].

ANEXO 2

SUB-PROCESSADORES UTILIZADOS EM CONEXÃO COM OS SERVIÇOS INSIDER

A lista de sub processadores da Insider One está disponível em https://insiderone.com/legal/subprocessors

ANEXO 3

DETALHES DO TRATAMENTO

Natureza e finalidade do processamento

A Insider One processará os Dados Pessoais conforme necessário para prestar os Serviços nos termos do Contrato, conforme especificado na Documentação e conforme instruído pelo Cliente na sua utilização dos Serviços.

Duração do processamento

Sujeito à Seção 7 do DPA, a Insider One processará os Dados Pessoais durante a vigência do Contrato, salvo acordo em contrário por escrito.

Categorias de titulares dos dados

O Cliente pode enviar Dados Pessoais aos Serviços, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério, e que incluem Dados Pessoais relacionados aos Usuários Finais.

Tipo de Dados Pessoais

O Cliente pode enviar Dados Pessoais aos Serviços, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério, e que incluem as seguintes categorias de Dados Pessoais:

Informações sobre transações do Cliente (informações sobre pedidos/solicitações)

Informações de marketing (informações obtidas através do Insider One Java Script, que é uma tecnologia semelhante a cookies) Informações de cliques Duração da permanência no site/anúncio Endereço IP

Embora não esteja incluído no curso normal dos Serviços Insider One, se o Cliente preferir enviar os seguintes dados para usar recursos específicos dos Serviços Insider One, a Insider One processará as seguintes categorias de Dados Pessoais:

Informações de contato (e-mail)

Informações de identidade (nome, sobrenome, idade, sexo)

Processamento específico do serviço MindBehind:

A MindBehind fornece soluções de comunicação com suporte a NLP e LLM para interações com clientes em plataformas de mensagens. A Insider One garante que quaisquer fornecedores terceirizados de IA envolvidos nos serviços da MindBehind processem os dados dos clientes estritamente em tempo real, sem armazenamento permanente. A Insider One garante, por meio de acordos contratuais, que tais dados não serão retidos ou utilizados para treinamento de IA ou qualquer finalidade não relacionada.

            ACEITO PELO CLIENTE

ASSINATURA:

ACEITO POR INSIDER ONE

ASSINATURA:

NOME COMPLETO:                                                                    NOME COMPLETO:

CARGO:   CARGO:

        
            DATA:                                                                                             DATA:

Apêndice 1: CLÁUSULAS CONTRATUAIS PADRÃO

SEÇÃO I

Cláusula 1

Objetivo e âmbito

(a O objetivo destas cláusulas contratuais padrão é garantir o cumprimento dos requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados) () para a transferência de dados para um país terceiro.

1. As Partes:

   1. a(s) pessoa(s) singular(es) ou coletiva(s), autoridade(s) pública(s), agência(s) ou outro(s) organismo(s) (a seguir designados

«entidade(s)») que transfere(m) os dados pessoais, tal como enumeradas no anexo I.A (a seguir designadas «exportador(es) de dados»), e

1. a(s) entidade(s) num país terceiro que recebe(m) os dados pessoais do exportador de dados, direta ou indiretamente através de outra entidade que também é Parte nas presentes cláusulas, tal como enumeradas no anexo I.A (doravante designadas individualmente por «importador de dados»)

concordaram com as presentes cláusulas contratuais padrão (doravante designadas «Cláusulas»).

1. Estas Cláusulas aplicam-se à transferência de dados pessoais, conforme especificado no Anexo I.B.

2. O apêndice destas cláusulas, que contém os anexos nele referidos, faz parte integrante das presentes cláusulas.

Cláusula 2

Efeito e invariabilidade das Cláusulas

1. Estas cláusulas estabelecem salvaguardas adequadas, incluindo direitos executáveis dos titulares dos dados e recursos legais eficazes, nos termos do artigo 46.º, n.º 1, e do artigo 46.º, n.º 2, alínea c), do Regulamento (UE) 2016/679 e, no que diz respeito às transferências de dados de responsáveis pelo tratamento para subcontratantes e/ou de subcontratantes para subcontratantes, cláusulas contratuais-tipo nos termos do artigo 28.º, n.º 7, do Regulamento (UE) 2016/679, desde que não sejam modificadas, exceto para selecionar o(s) módulo(s) apropriado(s) ou para adicionar ou atualizar informações no apêndice. Isso não impede as Partes de incluir as cláusulas contratuais padrão estabelecidas nestas Cláusulas em um contrato mais amplo e/ou de adicionar outras cláusulas ou salvaguardas adicionais, desde que não contradigam, direta ou indiretamente, estas Cláusulas ou prejudiquem os direitos ou liberdades fundamentais dos titulares dos dados.

2. Estas Cláusulas não prejudicam as obrigações a que o exportador de dados está sujeito por força do Regulamento (UE) 2016/679.

Cláusula 3

Terceiros beneficiários

1. Os titulares dos dados podem invocar e fazer valer as presentes cláusulas, na qualidade de terceiros beneficiários, contra o exportador e/ou importador de dados, com as seguintes exceções:

   1. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

   2. Cláusula 8.1(b), 8.9(a), (c), (d) e (e);

   3. Cláusula 9(a), (c), (d) e (e);

   4. Cláusula 12(a), (d) e (f);

   5. Cláusula 13;

   6. Cláusula 15.1(c), (d) e (e);

   7. Cláusula 16(e); (viii)Cláusula 18(a) e (b).

2. O parágrafo (a) não prejudica os direitos dos titulares dos dados nos termos do Regulamento (UE) 2016/679.

Cláusula 4

Interpretação

1. Quando estas cláusulas utilizarem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que lhes é atribuído neste regulamento.
   

2. Estas cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.

3. Estas cláusulas não devem ser interpretadas de forma contrária aos direitos e obrigações previstos no Regulamento (UE) 2016/679.

Cláusula 5

Hierarquia

Em caso de contradição entre as presentes cláusulas e as disposições de acordos conexos entre as Partes, existentes no momento em que as presentes cláusulas forem acordadas ou celebradas posteriormente, prevalecerão as presentes cláusulas.

Cláusula 6

Descrição da(s) transferência(s)

Os detalhes da(s) transferência(s), e em particular as categorias de dados pessoais que são transferidos e a(s) finalidade(s) para a(s) qual(is) são transferidos, estão especificados no Anexo I.B.

Cláusula 7 – Opcional

Cláusula de acoplamento

1. Uma entidade que não seja Parte destas Cláusulas pode, com o acordo das Partes, aderir a estas Cláusulas a qualquer momento, seja como exportador de dados ou como importador de dados, preenchendo o Apêndice e assinando o Anexo I.A.

2. Depois de preencher o Apêndice e assinar o Anexo I.A, a entidade aderente passará a ser Parte das presentes Cláusulas e terá os direitos e obrigações de um exportador ou importador de dados, de acordo com a sua designação no Anexo I.A.

3. A entidade aderente não terá quaisquer direitos ou obrigações decorrentes das presentes Cláusulas relativos ao período anterior à sua adesão como Parte.

SEÇÃO II – OBRIGAÇÕES DAS PARTES

Cláusula 8

Garantias de proteção de dados

O exportador de dados garante que envidou esforços razoáveis para determinar que o importador de dados é capaz, através da implementação de medidas técnicas e organizacionais adequadas, de cumprir as suas obrigações ao abrigo das presentes Cláusulas.

• Instruções

1. O importador de dados tratará os dados pessoais apenas com base em instruções documentadas do exportador de dados. O exportador de dados pode dar essas instruções durante toda a vigência do contrato.

2. O importador de dados deve informar imediatamente o exportador de dados se não for possível seguir essas instruções.

• Limitação da finalidade

O importador de dados deve tratar os dados pessoais apenas para a(s) finalidade(s) específica(s) da transferência, tal como estabelecido no anexo I.B, salvo se receber instruções adicionais do exportador de dados.

• Transparência

Mediante solicitação, o exportador de dados disponibilizará gratuitamente ao titular dos dados uma cópia destas Cláusulas, incluindo o Apêndice preenchido pelas Partes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e os dados pessoais, o exportador de dados pode redigir parte do texto do Apêndice às presentes Cláusulas antes de partilhar uma cópia, mas deve fornecer um resumo significativo nos casos em que o titular dos dados não seja capaz de compreender o seu conteúdo ou exercer os seus direitos. Mediante solicitação, as Partes devem fornecer ao titular dos dados os motivos das edições, na medida do possível, sem revelar as informações editadas. Esta Cláusula não prejudica as obrigações do exportador de dados nos termos dos artigos 13.º e 14.º do Regulamento (UE) 2016/679.

• Precisão

Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são imprecisos ou estão desatualizados, deverá informar o exportador de dados sem demora injustificada. Nesse caso, o importador de dados deverá cooperar com o exportador de dados para apagar ou retificar os dados.

• Duração do tratamento e apagamento ou devolução dos dados
  

O tratamento pelo importador de dados só poderá ter lugar durante o período especificado no anexo I.B. Após o término da prestação dos serviços de tratamento, o importador de dados deverá, à escolha do exportador de dados, apagar todos os dados pessoais tratados em nome do exportador de dados e certificar ao exportador de dados que o fez, ou devolver ao exportador de dados todos os dados pessoais tratados em seu nome e apagar as cópias existentes. Até que os dados sejam apagados ou devolvidos, o importador de dados continuará a garantir o cumprimento das cláusulas presentes. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou o apagamento dos dados pessoais, o importador de dados garante que continuará a garantir o cumprimento das presentes cláusulas e que apenas os tratará na medida e durante o tempo exigidos por essa lei local. Isso não prejudica a Cláusula 14, em particular a exigência para que o importador de dados, nos termos da Cláusula 14(e), notifique o exportador de dados durante toda a vigência do contrato se tiver motivos para acreditar que está ou passou a estar sujeito a leis ou práticas que não estão em conformidade com os requisitos da Cláusula 14(a).

• Segurança do processamento

1. O importador de dados e, durante a transmissão, também o exportador de dados devem implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo a proteção contra violações de segurança que levem à destruição, perda, alteração, divulgação ou acesso não autorizados a esses dados (doravante denominada “violação de dados pessoais”). Ao avaliar o nível adequado de segurança, as Partes devem ter em devida conta o estado da técnica, os custos de implementação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos que o tratamento acarreta para os titulares dos dados. As Partes devem, em especial, considerar o recurso à criptografia ou à pseudonimização, incluindo durante a transmissão, sempre que a finalidade do tratamento possa ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico devem, sempre que possível, permanecer sob o controle exclusivo do exportador de dados. No cumprimento das suas obrigações nos termos do presente número, o importador de dados deve, pelo menos, implementar as medidas técnicas e organizacionais especificadas no anexo II. O importador de dados deve realizar verificações regulares para garantir que essas medidas continuem a proporcionar um nível adequado de segurança.

2. O importador de dados concederá acesso aos dados pessoais aos membros do seu pessoal apenas na medida do estritamente necessário para a execução, gestão e monitorização do contrato. Assegurará que as pessoas autorizadas a tratar os dados pessoais se tenham comprometido a respeitar a confidencialidade ou estejam sujeitas a uma obrigação legal de confidencialidade adequada.

3. Em caso de violação de dados pessoais relativos a dados pessoais tratados pelo importador de dados ao abrigo das presentes cláusulas, o importador de dados tomará as medidas adequadas para resolver a violação, incluindo medidas para atenuar os seus efeitos adversos. O importador de dados também notificará o exportador de dados sem demora injustificada após ter tomado conhecimento da violação. Essa notificação conterá os detalhes de um ponto de contato onde mais informações podem ser obtidas, uma descrição da natureza da violação (incluindo, quando possível, categorias e número aproximado de titulares de dados e registros de dados pessoais envolvidos), suas consequências prováveis e as medidas tomadas ou propostas para resolver a violação, incluindo, quando apropriado, medidas para mitigar seus possíveis efeitos adversos. Quando e na medida em que não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis e as informações adicionais devem ser fornecidas posteriormente, sem demora injustificada, à medida que estiverem disponíveis.

4. O importador de dados deve cooperar com o exportador de dados e auxiliá-lo para que este possa cumprir as suas obrigações nos termos do Regulamento (UE) 2016/679, em especial no que se refere à notificação da autoridade de supervisão competente e dos titulares dos dados afetados, tendo em conta a natureza do tratamento e as informações de que o importador de dados dispõe.

• Dados sensíveis

Quando a transferência envolver dados pessoais que revelem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou filiação sindical, dados genéticos ou dados biométricos para efeitos de identificação única de uma pessoa singular, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações penais e infrações (a seguir designados «dados sensíveis»), o importador de dados aplicará as restrições específicas e/ou salvaguardas adicionais descritas no anexo I.B.

• Transferências subsequentes

O importador de dados só divulgará os dados pessoais a terceiros mediante instruções documentadas do exportador de dados. Além disso, os dados só podem ser divulgados a terceiros localizados fora da União Europeia () (no mesmo país que o importador de dados ou noutro país terceiro, a seguir designados «transferência posterior») se o terceiro estiver ou concordar em estar vinculado pelas presentes cláusulas, ao abrigo do módulo adequado, ou se:

1. a transferência subsequente for para um país que beneficie de uma decisão de adequação nos termos do artigo 45.º do Regulamento (UE) 2016/679 que abranja a transferência subsequente;

2. o terceiro assegurar de outra forma garantias adequadas nos termos dos artigos 46.º ou 47.º do Regulamento (UE) 2016/679 no que diz respeito ao tratamento em questão;

3. a transferência subsequente for necessária para o estabelecimento, exercício ou defesa de ações judiciais no contexto de processos administrativos, regulatórios ou judiciais específicos; ou

4. A transferência subsequente é necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa física. Qualquer transferência subsequente está sujeita ao cumprimento, por parte do importador de dados, de todas as outras salvaguardas previstas nas presentes cláusulas, em particular a limitação da finalidade.

• Documentação e conformidade

1. O importador de dados deve responder de forma rápida e adequada às perguntas do exportador de dados relacionadas com o tratamento ao abrigo das presentes cláusulas.

2. As Partes devem ser capazes de demonstrar o cumprimento das presentes Cláusulas. Em particular, o importador de dados deve manter documentação adequada sobre as atividades de tratamento realizadas em nome do exportador de dados.

3. O importador de dados deve disponibilizar ao exportador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nestas Cláusulas e, a pedido do exportador de dados, permitir e contribuir para auditorias das atividades de processamento abrangidas por estas Cláusulas, a intervalos razoáveis ou se houver indícios de incumprimento. Ao decidir sobre uma revisão ou auditoria, o exportador de dados pode ter em conta as certificações relevantes detidas pelo importador de dados.

4. O exportador de dados pode optar por realizar a auditoria por conta própria ou contratar um auditor independente. As auditorias podem incluir inspeções nas instalações ou nas instalações físicas do importador de dados e devem, quando apropriado, ser realizadas com aviso prévio razoável.

5. As Partes devem disponibilizar as informações referidas nas alíneas b) e c), incluindo os resultados de quaisquer auditorias, à autoridade de supervisão competente, mediante solicitação.

Cláusula 9

Utilização de sub encarregados do tratamento

1. AUTORIZAÇÃO GERAL POR ESCRITO O importador de dados tem a autorização geral do exportador de dados para contratar subencarregados do tratamento a partir de uma lista acordada. O importador de dados deve informar especificamente o exportador de dados, por escrito, sobre quaisquer alterações pretendidas a essa lista, através da adição ou substituição de subencarregados do tratamento, com pelo menos uma semana de antecedência, dando assim ao exportador de dados tempo suficiente para poder opor-se a tais alterações antes da contratação do(s) subencarregado(s) do tratamento. O importador de dados deve fornecer ao exportador de dados as informações necessárias para que este possa exercer o seu direito de oposição.

2. Quando o importador de dados contratar um subprocessador para realizar atividades de processamento específicas (em nome do exportador de dados), deverá fazê-lo por meio de um contrato por escrito que preveja, em essência, as mesmas obrigações de proteção de dados que vinculam o importador de dados nos termos destas Cláusulas, incluindo em termos de direitos de terceiros beneficiários para os titulares dos dados. () As Partes concordam que, ao cumprir a presente Cláusula, o importador de dados cumpre as suas obrigações nos termos da Cláusula 8.8. O importador de dados deve assegurar que o subencarregado do tratamento cumpre as obrigações a que o importador de dados está sujeito nos termos das presentes Cláusulas.

3. O importador de dados deverá fornecer, a pedido do exportador de dados, uma cópia desse contrato de subprocessador e quaisquer alterações subsequentes ao exportador de dados. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados poderá editar o texto do contrato antes de compartilhar uma cópia.

4. O importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subencarregado de tratamento nos termos do seu contrato com o importador de dados. O importador de dados notificará o exportador de dados de qualquer incumprimento por parte do subencarregado de tratamento das suas obrigações nos termos deste contrato.

5. O importador de dados deve acordar uma cláusula de terceiro beneficiário com o subprocessador, segundo a qual, no caso de o importador de dados ter desaparecido de facto, deixado de existir legalmente ou se ter tornado insolvente, o exportador de dados terá o direito de rescindir o contrato do subprocessador e de instruir o subprocessador para apagar ou devolver os dados pessoais.

Cláusula 10

Direitos dos titulares dos dados

1. O importador de dados notificará imediatamente o exportador de dados de qualquer pedido que tenha recebido de um titular dos dados. Não responderá a esse pedido, a menos que tenha sido autorizado a fazê-lo pelo exportador de dados.

2. O importador de dados deve ajudar o exportador de dados a cumprir as suas obrigações de responder aos pedidos dos titulares dos dados para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679. A este respeito, as Partes devem definir no anexo II as medidas técnicas e organizativas adequadas, tendo em conta a natureza do tratamento, através das quais a assistência deve ser prestada, bem como o âmbito e a extensão da assistência necessária.

3. No cumprimento das suas obrigações nos termos das alíneas a) e b), o importador de dados deve cumprir as instruções do exportador de dados.

Cláusula 11

Reparação

1. O importador de dados informará os titulares dos dados, de forma transparente e facilmente acessível, por meio de aviso individual ou em seu site, sobre um ponto de contato autorizado para tratar de reclamações. Ele tratará prontamente de quaisquer reclamações recebidas de um titular de dados.

2. Em caso de litígio entre um titular dos dados e uma das Partes no que diz respeito ao cumprimento das presentes Cláusulas, essa Parte envidará todos os esforços para resolver a questão de forma amigável e atempada. As Partes manter-se-ão mutuamente informadas sobre tais litígios e, quando apropriado, cooperarão na sua resolução.

3. Quando o titular dos dados invocar um direito de terceiro beneficiário nos termos da Cláusula 3, o importador de dados aceitará a decisão do titular dos dados de:

   1. apresentar uma reclamação à autoridade de supervisão do Estado-Membro da sua residência habitual ou local de trabalho, ou à autoridade de supervisão competente nos termos da Cláusula 13;

   2. remeter o litígio aos tribunais competentes na aceção da Cláusula 18.

4. As Partes aceitam que o titular dos dados possa ser representado por um organismo, organização ou associação sem fins lucrativos nas condições previstas no artigo 80.º, n.º 1, do Regulamento (UE) 2016/679.

5. O importador de dados deve cumprir uma decisão que seja vinculativa nos termos da legislação aplicável da UE ou dos Estados-Membros.

6. O importador de dados concorda que a escolha feita pelo titular dos dados não prejudicará os seus direitos substantivos e processuais de recorrer a vias de recurso, em conformidade com a legislação aplicável.

Cláusula 12

Responsabilidade

1. Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos que cause à(s) outra(s) Parte(s) por qualquer violação das presentes Cláusulas.

2. O importador de dados será responsável perante o titular dos dados, e o titular dos dados terá direito a receber uma indenização por quaisquer danos materiais ou não materiais que o importador de dados ou o seu subencarregado de tratamento causem ao titular dos dados por violação dos direitos de terceiros beneficiários ao abrigo das presentes cláusulas.

3. Não obstante o disposto na alínea b), o exportador de dados será responsável perante o titular dos dados, e este terá direito a receber uma indenização por quaisquer danos materiais ou não materiais que o exportador de dados ou o importador de dados (ou o seu subcontratante) cause ao titular dos dados ao violar os direitos de terceiros beneficiários ao abrigo das presentes cláusulas. Isto não prejudica a responsabilidade do exportador de dados e, quando o exportador de dados for um subcontratante que atua em nome de um responsável pelo tratamento, a responsabilidade do responsável pelo tratamento nos termos do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável.

4. As Partes concordam que, se o exportador de dados for responsabilizado nos termos da alínea c) por danos causados pelo importador de dados (ou seu subcontratado), ele terá o direito de reclamar ao importador de dados a parte da indenização correspondente à responsabilidade do importador de dados pelos danos.

5. Quando mais de uma Parte for responsável por quaisquer danos causados ao titular dos dados em resultado de uma violação das presentes cláusulas, todas as Partes responsáveis serão solidariamente responsáveis e o titular dos dados terá o direito de intentar uma ação judicial contra qualquer uma dessas Partes.
   

6. As Partes concordam que, se uma Parte for considerada responsável nos termos da alínea e), terá o direito de reclamar à(s) outra(s) Parte(s) a parte da indenização correspondente à sua responsabilidade pelos danos.

7. O importador de dados não pode invocar a conduta de um subencarregado do tratamento para evitar a sua própria responsabilidade.

Cláusula 13

Supervisão

1. [Quando o exportador de dados estiver estabelecido num Estado-Membro da UE:] A autoridade de supervisão responsável por garantir o cumprimento pelo exportador de dados do Regulamento (UE) 2016/679 no que diz respeito à transferência de dados, tal como indicado no anexo I.C, atuará como autoridade de supervisão competente.

[Quando o exportador de dados não estiver estabelecido num Estado-Membro da UE, mas se enquadrar no âmbito de aplicação territorial do Regulamento (UE) 2016/679, em conformidade com o seu artigo 3.º, n.º 2, e tiver nomeado um representante nos termos do artigo 27.º, n.º 1, do Regulamento (UE) 2016/679:] A autoridade de supervisão do Estado-Membro em que o representante na aceção do artigo 27.º, n.º 1, do Regulamento (UE) 2016/679 está estabelecido, conforme indicado no anexo I.C, atuará como autoridade de supervisão competente.

[Quando o exportador de dados não estiver estabelecido num Estado-Membro da UE, mas estiver abrangido pelo âmbito de aplicação territorial do Regulamento (UE) 2016/679, em conformidade com o seu artigo 3.º, n.º 2, sem, no entanto, ter de nomear um representante nos termos do artigo 27.º, n.º 2, do Regulamento (UE) 2016/679:] A autoridade de controlo de um dos Estados-Membros em que se encontram as pessoas em causa cujos dados pessoais são transferidos ao abrigo das presentes cláusulas no âmbito da oferta de bens ou serviços a essas pessoas, ou cujo comportamento é monitorizado, tal como indicado no anexo I.C, atuará como autoridade de controlo competente.

(b) O importador de dados concorda em submeter-se à jurisdição da autoridade de supervisão competente e cooperar com esta em quaisquer procedimentos destinados a garantir o cumprimento das presentes cláusulas. Em particular, o importador de dados concorda em responder a pedidos de informação, submeter-se a auditorias e cumprir as medidas adotadas pela autoridade de supervisão, incluindo medidas corretivas e compensatórias. Deve fornecer à autoridade de supervisão uma confirmação por escrito de que foram tomadas as medidas necessárias.

SECÇÃO III – LEIS E OBRIGAÇÕES LOCAIS EM CASO DE ACESSO POR PARTE DAS AUTORIDADES PÚBLICAS

Cláusula 14

Leis e práticas locais que afetam a conformidade com as Cláusulas

1. As Partes garantem que não têm motivos para acreditar que as leis e práticas do país terceiro de destino aplicáveis ao tratamento de dados pessoais pelo importador de dados, incluindo quaisquer requisitos de divulgação de dados pessoais ou medidas que autorizem o acesso por parte das autoridades públicas, impeçam o importador de dados de cumprir as suas obrigações nos termos das presentes Cláusulas. Isto baseia-se no entendimento de que as leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o que é necessário e proporcionado numa sociedade democrática para salvaguardar um dos objetivos enumerados no artigo 23.º, n.º 1, do Regulamento (UE) 2016/679, não estão em contradição com as presentes Cláusulas.

2. As Partes declaram que, ao fornecerem a garantia prevista na alínea a), tiveram em devida conta, em particular, os seguintes elementos:

   1. as circunstâncias específicas da transferência, incluindo a duração da cadeia de tratamento, o número de intervenientes envolvidos e os canais de transmissão utilizados; as transferências subsequentes previstas; o tipo de destinatário; a finalidade do tratamento; as categorias e o formato dos dados pessoais transferidos; o setor económico em que a transferência ocorre; o local de armazenamento dos dados transferidos;

   2. as leis e práticas do país terceiro de destino – incluindo as que exigem a divulgação de dados às autoridades públicas ou autorizam o acesso por parte dessas autoridades – relevantes à luz das circunstâncias específicas da transferência, e as limitações e salvaguardas aplicáveis ();

   3. quaisquer salvaguardas contratuais, técnicas ou organizacionais relevantes implementadas para complementar as salvaguardas previstas nas presentes cláusulas, incluindo medidas aplicadas durante a transmissão e ao tratamento dos dados pessoais no país de destino.

3. O importador de dados garante que, ao realizar a avaliação prevista na alínea b), envidou todos os esforços para fornecer ao exportador de dados as informações relevantes e concorda em continuar a cooperar com o exportador de dados para garantir o cumprimento das presentes cláusulas.
   

4. As Partes concordam em documentar a avaliação prevista na alínea b) e disponibilizá-la à autoridade de supervisão competente, mediante solicitação.

5. O importador de dados concorda em notificar prontamente o exportador de dados se, após ter concordado com as presentes cláusulas e durante a vigência do contrato, tiver motivos para acreditar que está ou passou a estar sujeito a leis ou práticas que não estão em conformidade com os requisitos previstos na alínea a), incluindo na sequência de uma alteração na legislação do país terceiro ou de uma medida (como um pedido de divulgação) que indique uma aplicação dessas leis na prática que não está em conformidade com os requisitos previstos na alínea (a).

6. Na sequência de uma notificação nos termos da alínea e), ou se o exportador de dados tiver motivos para acreditar que o importador de dados já não pode cumprir as suas obrigações nos termos das presentes cláusulas, o exportador de dados deve identificar prontamente as medidas adequadas (por exemplo, medidas técnicas ou organizacionais para garantir a segurança e a confidencialidade) a adotar pelo exportador de dados e/ou pelo importador de dados para resolver a situação. O exportador de dados suspenderá a transferência de dados se considerar que não é possível garantir salvaguardas adequadas para tal transferência ou se for instruído a fazê-lo pela autoridade de supervisão competente. Nesse caso, o exportador de dados terá o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das presentes cláusulas. Se o contrato envolver mais de duas partes, o exportador de dados só poderá exercer este direito de rescisão em relação à parte relevante, salvo acordo em contrário entre as partes. Se o contrato for rescindido nos termos da presente cláusula, serão aplicáveis as alíneas d) e e) da cláusula 16.

Cláusula 15

Obrigações do importador de dados em caso de acesso por autoridades públicas

• Notificação

1. O importador de dados concorda em notificar o exportador de dados e, sempre que possível, o titular dos dados prontamente (se necessário, com a ajuda do exportador de dados) se:

   1. receber um pedido juridicamente vinculativo de uma autoridade pública, incluindo autoridades judiciais, ao abrigo da legislação do país de destino, para a divulgação de dados pessoais transferidos nos termos das presentes Cláusulas; tal notificação deverá incluir informações sobre os dados pessoais solicitados, a autoridade requerente, a base jurídica do pedido e a resposta prestada; ou

   2. tomar conhecimento de qualquer acesso direto por autoridades públicas aos dados pessoais transferidos de acordo com estas Cláusulas, em conformidade com as leis do país de destino; tal notificação deverá incluir todas as informações disponíveis para o importador.

2. Se o importador de dados estiver proibido de notificar o exportador de dados e/ou o titular dos dados de acordo com as leis do país de destino, o importador de dados concorda em envidar seus melhores esforços para obter uma renúncia à proibição, com o objetivo de comunicar o máximo de informações possível, o mais rápido possível. O importador de dados concorda em documentar seus melhores esforços para poder demonstrá-los a pedido do exportador de dados.

3. Quando permitido pelas leis do país de destino, o importador de dados concorda em fornecer ao exportador de dados, em intervalos regulares durante a vigência do contrato, o máximo de informações relevantes possível sobre as solicitações recebidas (em particular, número de solicitações, tipo de dados solicitados, autoridade(s) solicitante(s), se as solicitações foram contestadas e o resultado de tais contestações, etc.).

4. O importador de dados concorda em preservar as informações de acordo com os parágrafos (a) a (c) durante a vigência do contrato e disponibilizá-las à autoridade supervisora competente, mediante solicitação.

5. As alíneas a) a c) não prejudicam a obrigação do importador de dados, nos termos da cláusula 14, alínea e), e da cláusula 16, de informar imediatamente o exportador de dados sempre que não for possível cumprir as presentes cláusulas.

• Revisão da legalidade e minimização dos dados

1. O importador de dados concorda em analisar a legalidade do pedido de divulgação, em particular se este se mantém dentro dos poderes concedidos à autoridade pública requerente, e em contestar o pedido se, após uma avaliação cuidadosa, concluir que existem motivos razoáveis para considerar que o pedido é ilegal ao abrigo das leis do país de destino, das obrigações aplicáveis ao abrigo do direito internacional e dos princípios da cortesia internacional. O importador de dados deve, nas mesmas condições, explorar as possibilidades de recurso. Ao contestar um pedido, o importador de dados deve solicitar medidas provisórias com vista a suspender os efeitos do pedido até que a autoridade judicial competente se pronuncie sobre o seu mérito. Não deve divulgar os dados pessoais solicitados até que tal lhe seja exigido ao abrigo das regras processuais aplicáveis. Estes requisitos não prejudicam as obrigações do importador de dados nos termos da cláusula 14(e).
   

2. O importador de dados concorda em documentar a sua avaliação jurídica e qualquer contestação ao pedido de divulgação e, na medida do permitido pela legislação do país de destino, disponibilizar a documentação ao exportador de dados. Deve também disponibilizá-la à autoridade de supervisão competente, mediante pedido.

3. O importador de dados concorda em fornecer o mínimo de informações permitido ao responder a um pedido de divulgação, com base em uma interpretação razoável do pedido.

SEÇÃO IV – DISPOSIÇÕES FINAIS

Cláusula 16

Incumprimento das Cláusulas e rescisão

1. O importador de dados informará imediatamente o exportador de dados se não puder cumprir estas Cláusulas, por qualquer motivo.

2. Caso o importador de dados viole estas Cláusulas ou não consiga cumpri-las, o exportador de dados suspenderá a transferência de dados pessoais para o importador de dados até que o cumprimento seja novamente assegurado ou o contrato seja rescindido. Isto não prejudica o disposto na Cláusula 14(f).

3. O exportador de dados terá o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das presentes Cláusulas, se:

   1. o exportador de dados tiver suspendido a transferência de dados pessoais para o importador de dados nos termos da alínea b) e o cumprimento das presentes cláusulas não for restabelecido num prazo razoável e, em qualquer caso, no prazo de um mês a contar da suspensão;

   2. o importador de dados violar de forma substancial ou persistente as presentes cláusulas; ou

   3. o importador de dados não cumprir uma decisão vinculativa de um tribunal ou autoridade de supervisão competente relativamente às suas obrigações nos termos das presentes cláusulas.

Nestes casos, deverá informar à autoridade supervisora competente sobre tal incumprimento. Quando o contrato envolver mais de duas Partes, o exportador de dados poderá exercer este direito de rescisão apenas em relação à Parte relevante, salvo acordo em contrário entre as Partes.

1. Os dados pessoais que tenham sido transferidos antes da rescisão do contrato nos termos da alínea c) devem, por opção do exportador de dados, ser imediatamente devolvidos ao exportador de dados ou eliminados na sua totalidade. O mesmo se aplica a quaisquer cópias dos dados. O importador de dados certificará a eliminação dos dados ao exportador de dados. Até que os dados sejam eliminados ou devolvidos, o importador de dados continuará a garantir o cumprimento das presentes cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou eliminação dos dados pessoais transferidos, o importador de dados garante que continuará a garantir o cumprimento das presentes cláusulas e apenas tratará os dados na medida e durante o tempo exigidos por essa lei local.

2. Qualquer das Partes pode revogar o seu acordo em ficar vinculada às presentes Cláusulas quando (i) a Comissão Europeia adotar uma decisão nos termos do artigo 45.º, n.º 3, do Regulamento (UE) 2016/679 que abranja a transferência de dados pessoais a que se aplicam as presentes Cláusulas; ou (ii) o Regulamento (UE) 2016/679 passar a fazer parte do quadro jurídico do país para o qual os dados pessoais são transferidos. Isto não prejudica outras obrigações aplicáveis ao tratamento em questão nos termos do Regulamento (UE) 2016/679.

Cláusula 17

Lei aplicável

Estas Cláusulas serão regidas pela lei do Estado-Membro da UE em que o exportador de dados está estabelecido. Quando essa lei não permitir direitos de terceiros beneficiários, elas serão regidas pela lei de outro Estado-Membro da UE que permita direitos de terceiros beneficiários. As Partes concordam que esta será a lei da Irlanda.

Cláusula 18

Escolha do foro e jurisdição

1. Qualquer litígio decorrente das presentes cláusulas será resolvido pelos tribunais de um Estado-Membro da UE.

2. As Partes concordam que esses tribunais são os da Irlanda.

3. Um titular de dados também pode instaurar um processo judicial contra o exportador e/ou importador de dados perante os tribunais do Estado-Membro em que tem a sua residência habitual.

4. As Partes concordam em submeter-se à jurisdição desses tribunais.
   

ANEXO I

• LISTA DAS PARTES

Exportador(es) de dados:

Nome: Cliente, conforme especificado no Acordo*.

*Para os fins destas Cláusulas Contratuais Padrão, o termo “Contrato” refere-se a qualquer contrato aplicável entre a Insider One e o Cliente, nos termos do qual a Insider One fornece produtos ou serviços ao Cliente. Isso inclui, entre outros, um Contrato Principal de Serviços, Termos de Serviço ou qualquer acordo semelhante, juntamente com todos os anexos, cronogramas, formulários, declarações de trabalho, alterações, adendas e apêndices relacionados.

Endereço: Conforme estabelecido no Contrato.

Nome, cargo e detalhes de contato da pessoa de contato: Conforme estabelecido no Contrato.

Atividades relevantes para os dados transferidos ao abrigo das presentes Cláusulas: Conforme estabelecido no Acordo e no Anexo II. Assinatura e data: As Partes reconhecem que, ao assinarem o contrato ou adendo aplicável que incorpora estas Cláusulas Contratuais Padrão por referência, consideram-se ter executado estas Cláusulas. A data de vigência especificada nesse contrato ou adendo será

considerada a data de vigência destas Cláusulas Contratuais Padrão.

Função (controlador/processador): Controlador

Importador(es) de dados:

Nome: Insider One, conforme especificado no Contrato. Endereço: Conforme estabelecido no Contrato.

Nome, cargo e dados de contato da pessoa de contato: Conforme estabelecido no Acordo.

Atividades relevantes para os dados transferidos ao abrigo das presentes cláusulas: Conforme estabelecido no Acordo e no Anexo II. Assinatura e data: As Partes reconhecem que, ao assinarem o acordo ou aditamento aplicável que incorpora as presentes Cláusulas Contratuais Padrão por referência, se considera que executaram as presentes Cláusulas. A data de entrada em vigor especificada nesse

acordo ou aditamento será considerada a data de entrada em vigor das presentes Cláusulas Contratuais Padrão.

Função (controlador/processador): Processador

• DESCRIÇÃO DA TRANSFERÊNCIA

Categorias de titulares dos dados cujos dados pessoais são transferidos

O Exportador de Dados pode enviar dados pessoais ao Importador de Dados e suas Afiliadas, cuja extensão é determinada e controlada pelo Exportador de Dados a seu exclusivo critério, e que podem incluir, entre outros, dados pessoais relacionados às seguintes categorias de titulares dos dados:

• Clientes potenciais, clientes, revendedores, referenciadores, parceiros comerciais e fornecedores do Exportador de Dados (que sejam pessoas físicas);

• Funcionários ou pessoas de contato dos clientes potenciais, clientes, revendedores, referenciadores, subcontratados, parceiros comerciais e fornecedores do Exportador de Dados (que são pessoas físicas);

• Funcionários, agentes, consultores e freelancers do Exportador de Dados (que são pessoas físicas); e/ou

• Pessoas físicas autorizadas pelo Exportador de Dados a utilizar os serviços prestados pelo Importador de Dados ao Exportador de Dados.

Categorias de dados pessoais transferidos

O Exportador de Dados pode enviar dados pessoais ao Importador de Dados e suas Afiliadas, cuja extensão é determinada e controlada pelo Exportador de Dados a seu exclusivo critério, e que podem incluir, entre outras, as seguintes categorias de dados pessoais:

• Dados pessoais, incluindo qualquer informação que identifique o titular dos dados e suas características pessoais, incluindo: nome, endereço, detalhes de contato, idade, data de nascimento, sexo e descrição física.
  

• Família, estilo de vida e circunstâncias sociais, incluindo qualquer informação relacionada com a família do titular dos dados e o estilo de vida e circunstâncias sociais do titular dos dados, incluindo casamento e uniões atuais, histórico matrimonial, detalhes sobre a família e outros membros do agregado familiar, hábitos, habitação, detalhes sobre viagens, atividades de lazer e filiação em organizações de caridade ou voluntárias.

• Detalhes sobre educação e formação, incluindo informações relacionadas com a educação e qualquer formação profissional do titular dos dados, incluindo registos académicos, qualificações, competências, registos de formação, experiência profissional, registos de estudantes e alunos.

• Detalhes de emprego, incluindo informações relacionadas ao emprego do titular dos dados, incluindo histórico profissional e de emprego, detalhes de recrutamento e rescisão, registros de frequência, registros de saúde e segurança, avaliações de desempenho, registros de treinamento e registros de segurança.

• Detalhes financeiros, incluindo informações relacionadas com as finanças do titular dos dados, incluindo rendimentos, salários, ativos e investimentos, pagamentos, solvabilidade, empréstimos, benefícios, subsídios, detalhes de seguros e informações sobre pensões.

• Bens ou serviços fornecidos e informações relacionadas, incluindo detalhes dos bens ou serviços fornecidos, licenças emitidas e contratos.

• Outras categorias de dados pessoais processados em conexão com a prestação dos serviços Insider One de acordo com o Contrato.

Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que levam plenamente em consideração a natureza dos dados e os riscos envolvidos, tais como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas para funcionários que tenham seguido treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais.

Os dados pessoais sujeitos a transferência podem incluir categorias especiais de dados pessoais, conforme definido no RGPD. Quando a transferência envolver dados pessoais que revelem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou filiação sindical, dados genéticos ou dados biométricos para fins de identificação exclusiva de uma pessoa física, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações criminais e infrações, serão aplicadas as restrições específicas e/ou salvaguardas adicionais descritas no Anexo II.

A frequência da transferência (por exemplo, se os dados são transferidos de forma pontual ou contínua).

Os dados pessoais são transferidos de forma contínua.

Natureza do tratamento

O importador de dados recolhe, armazena, organiza, categoriza, estrutura, adota ou altera, recupera, consulta, utiliza, divulga por transmissão, analisa, gere, processa, restringe e apaga dados pessoais em nome do exportador de dados, em conformidade com os termos do acordo.

Finalidade(s) da transferência de dados e processamento posterior

As transferências de dados ocorrem com o objetivo de prestar os serviços Insider One, em conformidade com o Contrato.

O período durante o qual os dados pessoais serão retidos ou, se isso não for possível, os critérios utilizados para determinar esse período

O Importador de Dados conservará os dados pessoais transferidos até que sejam eliminados de acordo com os termos estabelecidos no Contrato.

Para transferências para (sub)encarregados do tratamento, especifique também o objeto, a natureza e a duração do tratamento

Os subprocessadores podem ser contratados para realizar as atividades de processamento descritas no Anexo I, Seção B. As informações relativas aos subprocessadores são fornecidas no Anexo III.

• AUTORIDADE SUPERVISORA COMPETENTE

A autoridade supervisora competente será determinada de acordo com o RGPD, em conformidade com a Cláusula 13 (Supervisão) das Cláusulas Contratuais Padrão.

ANEXO II

MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

Descrição das medidas técnicas e organizacionais implementadas pelo(s) importador(es) de dados (incluindo quaisquer certificações relevantes) para garantir um nível adequado de segurança, tendo em conta a natureza, o âmbito, o contexto e a finalidade do tratamento, bem como os riscos para os direitos e liberdades das pessoas singulares.

O Importador de Dados/subprocessador implementou e manterá um programa de segurança em conformidade com os padrões do setor. Mais especificamente, o programa de segurança do Importador de Dados/subprocessador incluirá:

Acesso às operações internas do importador de dados

O importador/subprocessador de dados implementa medidas ideais para impedir que pessoas não autorizadas tenham acesso ao equipamento de processamento de dados onde os dados pessoais são processados ou utilizados, incluindo:

• estabelecimento de áreas de segurança;

• proteção e restrição de vias de acesso;

• estabelecimento de autorizações de acesso para funcionários e terceiros, incluindo a respectiva documentação;

• todo o acesso ao centro de dados onde os dados pessoais estão hospedados é registrado, monitorado e rastreado; e

• O centro de dados onde os dados pessoais são hospedados é protegido por um sistema de alarme de segurança e outras medidas de segurança adequadas.

Acesso ao sistema

O importador de dados implementa medidas ideais para impedir que seus sistemas de processamento de dados sejam usados por pessoas não autorizadas, incluindo:

• uso de tecnologias de criptografia adequadas;

• identificação do terminal e/ou do usuário do terminal para o importador de dados/subprocessador e sistemas de processamento;

• bloqueio temporário automático da identificação do usuário quando várias senhas erradas são inseridas e

• Todo o acesso ao conteúdo dos dados é registrado, monitorado e rastreado.

Acesso a áreas específicas de processamento de dados

O importador/subprocessador de dados compromete-se a garantir que as pessoas autorizadas a utilizar o seu sistema de processamento de dados só possam acessar aos dados dentro do âmbito e na medida abrangidos pela sua respectiva autorização de acesso (autorização) e que os dados pessoais não possam ser lidos, copiados, modificados ou removidos sem autorização. Isto será conseguido através de várias medidas, incluindo:

• políticas e treinamento de funcionários com relação aos direitos de acesso de cada funcionário aos dados pessoais;

• atribuição de terminais individuais e/ou usuários de terminais e características de identificação exclusivas para funções específicas;

• capacidade de monitorização no que diz respeito às pessoas que apagam, adicionam ou modificam os dados pessoais;

• divulgação de dados apenas a pessoas autorizadas, incluindo a atribuição de direitos e funções de acesso diferenciados;

• uso de tecnologias de criptografia adequadas; controle de arquivos, destruição controlada e documentação de dados.

Transporte

O importador/subprocessador de dados implementa medidas adequadas para impedir que os dados pessoais sejam lidos, copiados, alterados ou excluídos por partes não autorizadas durante a transmissão ou durante o transporte da mídia de dados. Isso é feito por meio de várias medidas, incluindo:

• uso de firewall, VPN e tecnologias de criptografia adequadas para proteger os gateways e pipelines pelos quais os dados trafegam;

• certos dados altamente confidenciais dos funcionários (por exemplo, informações de identificação pessoal, como números de identificação nacional, números de cartão de crédito ou débito) também são criptografados dentro do sistema; e

• alerta ao usuário em caso de transferência incompleta de dados (verificação de ponta a ponta); e, na medida do possível, todas as transmissões de dados são registradas, monitoradas e rastreadas.

Entrada

O importador/subprocessador de dados implementa medidas de controle de entrada adequadas, incluindo:

• uma política de autorização para a entrada, leitura, alteração e exclusão de dados;

• autenticação do pessoal autorizado;
  

• medidas de proteção para os dados inseridos na memória, bem como para a leitura, alteração e exclusão dos dados armazenados;

• utilização de credenciais ou códigos de autenticação exclusivos (senhas);

• logoff automático de IDs de usuário que não tenham sido utilizadas por um período substancial de tempo; e

• prova estabelecida dentro da organização do importador de dados/subprocessador da autorização de entrada; e

• registro eletrônico das entradas.

Documentação

O importador/subprocessador de dados manterá a documentação das medidas técnicas e organizacionais para o caso de auditorias e para a conservação de provas. O importador/subprocessador de dados tomará medidas razoáveis para garantir que as pessoas por ele empregadas e outras pessoas no local de trabalho em questão tenham conhecimento e cumpram as medidas técnicas e organizacionais estabelecidas neste DPA.

Controle

O importador/subprocessador de dados implementará medidas ideais para monitorar as restrições de acesso aos administradores do sistema do importador/subprocessador de dados e para garantir que eles ajam de acordo com as instruções recebidas. Isso é feito por meio de várias medidas, incluindo:

• nomeação individual de administradores de sistema;

• adoção de medidas ótimas para registrar os logs de acesso dos administradores de sistema à infraestrutura e mantê-los seguros, precisos e inalterados por pelo menos seis meses;

• auditorias anuais da atividade dos administradores do sistema para avaliar a conformidade com as tarefas atribuídas, as instruções recebidas pelo Importador de Dados/subprocessador e as leis aplicáveis;

• manutenção de uma lista atualizada com os dados de identificação dos administradores de sistema (por exemplo, nome, apelido, função ou área organizacional) e tarefas atribuídas, e disponibilização imediata da mesma ao Exportador de Dados, mediante solicitação.

ANEXO III

LISTA DE SUBPROCESSADORES

A lista de subprocessadores da Insider One está disponível em https://insiderone.com/legal/subprocessors