Este ANEXO ao CONTRATO DE PARCERIA COMERCIAL (CANAL DE VENDAS) aplica-se em razão do que dispõe a Lei n. 13.709/2018 (“Lei Geral de Proteção de Dados Pessoais”), doravante denominada LGPD e será regido pelas cláusulas e condições a seguir elencadas. Resolvem, as Partes, de comum contrato, celebrar este Anexo de disposições relacionadas à LGPD, com as seguintes cláusulas e disposições: Definições 1.1 As expressões “agentes de tratamento” “controlador”, “operador”, “dado pessoal”, “dado pessoal sensível”, “titular” e “tratamento”, assim como quaisquer outras expressões e termos relacionados, devem ser interpretados nos termos do que prevê a LGPD, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. 1.2 Para os fins a que se destinam esse Contrato, considera-se: (a) AGENTES DE TRATAMENTO: o controlador e o operador; (b) CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; (c) OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; (d) DADO PESSOAL: informação relacionada a pessoa natural identificada ou identificável; (e) DADO PESSOAL SENSÍVEL: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; (f) TITULAR: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; (g) TRATAMENTO: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. 2. Agentes de Tratamento 2.1 As Partes concordam que, no âmbito da execução do Contrato, a EXACT atuará como CONTROLADOR de dados pessoais e o CANAL DE VENDAS atuará como OPERADOR de dados pessoais, nos termos da legislação aplicável. 3. Tratamento de Dados Pessoais 3.1 As Partes reconhecem que, em razão do objeto deste Contrato, realizarão atividades de tratamento de dados pessoais relacionadas a pessoas naturais identificadas ou identificáveis e declaram que, no contexto do desempenho de suas obrigações contratuais, cumprirão toda a legislação aplicável a tal tratamento, especialmente, à LGPD. 3.2 O OPERADOR somente poderá tratar os dados pessoais a que tenha acesso em razão de suas atribuições sob o Contrato com o objetivo exclusivo de alcançar as finalidades diretamente relacionadas à execução do seu objeto e ao cumprimento das suas obrigações contratuais, sendo vedado o tratamento de dados pessoais para quaisquer outras finalidades não expressamente previstas neste Contrato. 3.3 Qualquer tratamento de dados pessoais realizado pelo OPERADOR que extrapole as finalidades previstas neste Contrato e o escopo das instruções fornecidas pelo CONTROLADOR será, expressamente, proibido, obrigando-se o OPERADOR a indenizar o CONTROLADOR por todo e qualquer dano e prejuízo eventualmente causado, em razão de tal tratamento não autorizado. 3.4 Caso o OPERADOR precise se utilizar de quaisquer dos dados pessoais tratados no âmbito deste Contrato para cumprir obrigações legais ou regulatórias a que esteja sujeito ou para exercer seus direitos em processos judiciais, administrativos ou arbitrais existentes, deverá informar tais necessidades ao CONTROLADOR, por escrito e de forma detalhada, com razoável antecedência em relação à realização do tratamento almejado. 3.5 O OPERADOR deverá prontamente notificar o CONTROLADOR por escrito caso entenda que qualquer instrução fornecida pelo CONTROLADOR ao OPERADOR contraria a legislação aplicável à proteção dos dados pessoais tratados no âmbito deste Contrato, exista qualquer fato ou situação específica que razoavelmente impeça o OPERADOR de cumprir quaisquer de suas obrigações previstas no Contrato e/ou na legislação aplicável no contexto do tratamento dos dados pessoais sob este Contrato e/ou, ainda, caso seja acionada judicial ou administrativamente em relação ao tratamento dos dados pessoais realizado sob este Contrato. 3.6 O CONTROLADOR compromete-se a estabelecer regras internas de boas práticas que levem em conta o tratamento de dados pessoais relativo ao objeto deste contrato, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. 3.7 Sem prejuízo das demais obrigações previstas no presente Contrato, o OPERADOR obriga-se a cumprir rigorosamente o disposto na legislação aplicável em matéria de tratamento de dados pessoais e notadamente a: (a) Cumprir com as orientações do CONTROLADOR, a menos que estejam em absoluta desconformidade com a LGPD e/ou com a legislação de regência; (b) Disponibilizar ao CONTROLADOR todas as informações necessárias para demonstrar o cumprimento das obrigações decorrentes da LGPD, das normas aplicáveis à atividade e acordadas no presente Contrato; (c) Prestar assistência ao CONTROLADOR a disponibilizar aos titulares informações sobre os seus dados pessoais, nos termos da LGPD e demais normas de proteção de dados; (d) Prestar ao CONTROLADOR toda a colaboração de que esta careça para esclarecer qualquer questão relacionada com o tratamento de dados pessoais efetuado ao abrigo do presente Contrato; (e) Garantir que as pessoas autorizadas a tratar dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade; (f) Manter o CONTROLADOR informado em relação ao tratamento de dados pessoais, obrigando-se a comunicar de imediato qualquer situação que possa afetar o tratamento dos dados em causa ou que de algum modo possa dar origem ao incumprimento das disposições legais em matéria de proteção de dados pessoais; (g) Prestar assistência ao CONTROLADOR, tendo em conta a natureza do tratamento e a informação ao seu dispor, no sentido de assegurar as obrigações referentes à notificação de violações de dados pessoais, designadamente por meio de comunicação imediata de qualquer violação de dados pessoais que ocorra com incidência nos dados pessoais, prestando ainda total colaboração ao CONTROLADOR na adoção de medidas de resposta ao incidente, na investigação do mesmo e na elaboração das notificações que se mostrem necessárias nos termos da lei; (h) Permitir e contribuir para com as auditorias levadas a cabo pelo CONTROLADOR ou por um terceiro em nome deste; (i) Manter registos das atividades de tratamento de dados realizadas em nome do CONTROLADOR ao abrigo do presente Contrato, segundo os requisitos previstos na lei e normas aplicáveis; (j) Manter confidencialidade, comprometendo-se a guardar sigilo relativamente a todos os dados pessoais a que tenha tido acesso ou que lhe tenham sido transmitidos pelo CONTROLADOR no âmbito da prestação dos serviços acordados com esta, mesmo após a cessação do Contrato, independentemente do motivo por que ocorra; (k) Não compartilhar quaisquer dados pessoais tratados no âmbito deste Contrato com terceiros, sem ciência prévia e autorização por parte do CONTROLADOR, ressalvadas as hipóteses em que se fizerem necessários para o cumprimento do Contrato ou de obrigações legais e/o judiciais, mantendo-se, integralmente, responsável perante o CONTROLADOR pelas obrigações previstas neste Contrato, inclusive no contexto de eventual tratamento de dados pessoais realizados por terceiros em seu nome, devendo impor aos terceiros por ela selecionados condições de proteção de dados pessoais e segurança da informação que sejam no mínimo equivalentes às presentes neste Contrato; (l) Não subcontratar terceiros para o tratamento de dados pessoais decorrente do presente Contrato sem que o CONTROLADOR tenha dado, previamente e por escrito, autorização específica; (m) Não excluir, restituir ou eliminar os Dados Pessoais tratados no âmbito deste Contrato após serem cumpridas as finalidades de tratamento dos Dados Pessoais previstas sob este Contrato, de acordo com o que dispõe a LGPD; (n) Estar adequado às exigências legais da LGPD, por meio da implementação de um efetivo de Programa de Governança em Privacidade de Dados Pessoais; (o) Cumprir com todas as demais regras legais no que diz respeito a qualquer outra operação de tratamento de dados pessoais previstas na LGDP. 4. Exercício de Direitos por Titulares 4.1 Caso algum titular questione o OPERADOR sobre o tratamento de seus dados pessoais realizado pelas partes e/ou solicite o exercício de quaisquer de seus direitos previstos na legislação aplicável, o OPERADOR deverá se abster de responder ao titular diretamente e deverá imediatamente informar tal fato ao CONTROLADOR, por escrito, devendo tomar apenas as medidas indicadas pelo CONTROLADOR, para auxiliá-lo no atendimento de tais requisições nos termos da legislação aplicável. 5. Monitoramento Contínuo e Auditoria 5.1 O OPERADOR compromete-se a realizar, de maneira contínua, o monitoramento do seu Programa de Governança em Privacidade de Dados Pessoais, com o objetivo de mantê-lo, constantemente, adequado e efetivo. 5.2 Durante a vigência do Contrato e por até três anos após o seu término, será facultado ao CONTROLADOR, a seu exclusivo critério, realizar auditorias, por si ou por terceiros por ela indicados, nos documentos ou no ambiente de controle de segurança da informação (físico e digital) do OPERADOR para verificar as medidas e controles de proteção de dados pessoais e segurança da informação aplicados, com o objetivo de avaliar o cumprimento das obrigações previstas neste Contrato e na legislação aplicável, devendo o OPERADOR, para tanto, disponibilizar toda a documentação e acesso necessário para demonstrar cumprimento às obrigações previstas no Contrato e na legislação aplicável. 5.3 Caso a auditoria realizada pelo CONTROLADOR ou por quem de direito revele alguma inadequação em relação à legislação aplicável e/ou aos termos deste Contrato, o CONTROLADOR poderá rescindir o Contrato, sem prejuízo de o OPERADOR arcar com todos os custos incorridos na realização da auditoria, sejam os vícios sanáveis ou não. 6. Proteção de Dados Pessoais e Segurança da Informação 6.1 O OPERADOR se compromete a utilizar medidas técnicas e organizacionais de proteção de dados pessoais e de segurança da informação proporcionais e adequadas ao objeto deste Contrato aptas a proteger os dados pessoais tratados. 6.2 O OPERADOR declara que dispõe de medidas, processos, controles e políticas de segurança e governança apropriadas à proteção dos dados pessoais tratados em razão deste Contrato e compatíveis com a legislação aplicável, incluindo, sem limitação, a adoção de apropriadas salvaguardas administrativas e técnicas, para a proteção dos dados pessoais contra incidentes de segurança à informação. 7. Incidentes de Segurança à Informação 7.1 Caso o OPERADOR tenha conhecimento da ocorrência ou mera suspeita de qualquer tipo de tratamento de dados pessoais não autorizado, indevido e/ou incompatível com a legislação aplicável ou com os termos deste Contrato, acidental ou doloso, incluindo, sem limitação, acessos ou compartilhamentos não autorizados e quaisquer tipos de incidentes de segurança da informação, deverá, em prazo não superior a 24 (vinte e quatro) horas contadas da ciência da ocorrência ou suspeita do Incidente, notificar o CONTROLADOR por escrito e de forma detalhada, com a apresentação de todas as informações disponíveis sobre tal ocorrência. 7.2 A notificação a que se refere o item anterior deverá incluir toda a informação relevante relativa aos dados pessoais afetados, designadamente: (a) A natureza dos dados pessoais violados, incluindo as categorias e o número de titulares de dados afetados, bem como as categorias e o número de registos de dados pessoais em causa; (b) O nome e os contatos do encarregado pelo tratamento de dados ou de outro ponto de contato com quem possam ser obtidas mais informações; (c) A descrição das consequências previsíveis da violação de dados pessoais; e (d) As medidas adotadas ou propostas pelo Controlador para reparar a violação de dados pessoais e para atenuar os seus eventuais efeitos negativos. 7.3 Em caso de incidente, o OPERADOR deverá imediatamente e com recursos próprios: (a) investigar o incidente; (b) adotar as medidas adequadas, aprovadas pelo Controlador, para garantir a segurança dos dados pessoais e para atenuar os seus eventuais efeitos negativos sobre os titulares afetados; e (c) prevenir quaisquer futuros incidentes ou violações de dados pessoais. 8. Responsabilidade e do Ressarcimento de Danos 8.1 O OPERADOR será responsável, por si e por seus colaboradores, pelo tratamento de dados pessoais realizado no âmbito do Contrato, devendo manter o CONTROLADOR livre de quaisquer responsabilidades, danos ou prejuízos, diretos e indiretos, decorrentes de qualquer operação de tratamento de dados pessoais realizada em desconformidade com o Contrato ou com a legislação aplicável, especialmente, a LGPD. 8.2 As Partes acordam que eventual limitação de responsabilidade prevista no Contrato não se aplica a qualquer violação, pelo OPERADOR, das obrigações relacionadas à proteção de dados pessoais assumidas neste Contrato ou previstas na legislação aplicável. 8.3 Havendo responsabilização, dano ou prejuízo suportado pelo CONTROLADOR em razão de qualquer descumprimento, por ação ou omissão, de obrigações legais, regulatórias ou contratuais relacionadas à proteção dos dados pessoais tratados no âmbito deste Contrato pelo OPERADOR, em especial quando não tiver seguido as instruções lícitas do CONTROLADOR, incluindo sanções administrativas e condenações em processos judiciais ou arbitrais, deverá o CONTROLADOR ser indenizado e ressarcido pelo OPERADOR, na medida de sua participação no evento danoso, no valor integral das perdas e danos sofridos, incluindo valores com eventuais condenações, contratos, termos de ajuste de conduta, custas processuais, honorários advocatícios, honorários periciais e demais despesas decorrentes direta ou indiretamente de tal descumprimento. 8.4 O OPERADOR só não será responsabilizado quando demonstrar que: (a) não realizou o tratamento de dados pessoais que lhes é atribuído; (b) embora tenha realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou (c) o dano é decorrente de culpa exclusiva do titular ou de terceiro. 8.5 Para os fins a que se destinam este Contrato, o tratamento de dados pessoais realizado pelo OPERADOR será considerado irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais: (a) o modo pelo qual é realizado; (b) o resultado e os riscos que razoavelmente dele se esperam; (c) as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado. 9. Propriedade de Resultados 9.1 Nada neste Contrato deve ser considerado como cessão ou transferência da propriedade da base de dados do CONTROLADOR ao OPERADOR, sendo certo que todas e quaisquer informações resultantes do tratamento de dados pessoais realizado pelo OPERADOR sob este Contrato, incluindo quaisquer inferências geradas a partir de um dado pessoal serão de propriedade exclusiva do CONTROLADOR. 10. Demais cláusulas contratuais 10.1 Permanecem em vigor e integralmente ratificadas todas as demais cláusulas e condições do Contrato original não expressamente alteradas pelo presente anexo contratual.
EXACT DESENVOLVIMENTO E PROGRAMAÇÃO DE SOFTWARE S/A