Adendo de Tratamento de Dados ao EUSA

Este Adendo de Tratamento de Dados (“ATD”) é incorporado e faz parte dos termos e condições do Acordo do Usuário Final para Serviços (“EUSA”) entre a Avetta e o Fornecedor e estabelece os termos, requisitos e condições adicionais sob os quais a Avetta obterá, tratará, processará, divulgará, transferirá ou armazenará Dados Pessoais ao prestar serviços nos termos do EUSA. Todos os termos em maiúsculas não definidos neste ATD devem ter o significado atribuído a eles no EUSA.

1. Definições e Interpretação.

1.1 Definições.

“Legislação Aplicável de Proteção de Dados” significa as leis e regulamentos aplicáveis ao tratamento de Dados Pessoais da respectiva parte em relação ao EUSA, incluindo, quando aplicável: (i) o Regulamento Geral de Proteção de Dados (UE) 2016/679 do Parlamento Europeu e do Conselho (“GDPR”), alterado e complementado, conforme o caso, pelas leis e regulamentos dos respectivos Estados-Membros da UE nos quais o Fornecedor opere direta ou indiretamente; (ii) a Lei de Proteção de Dados do Reino Unido de 2018 e o Regulamento Geral de Proteção de Dados do Reino Unido (“GDPR do Reino Unido”); (iii) a Lei de Privacidade Australiana de 1988 e os Princípios de Privacidade Australianos; (iv) a Lei de Privacidade do Consumidor da Califórnia de 2018, conforme alterada pela Lei de Direitos de Privacidade da Califórnia de 2020, e eventuais regulamentos ou orientações relacionados (coletivamente, a “CCPA”); (v) a Lei Canadense de Proteção de Informações Pessoais e Documentos Eletrônicos (“PIPEDA”); (vi) a Lei Geral de Proteção de Dados Pessoais do Brasil, Lei nº 13.709/2018 e eventuais regulamentos, resoluções ou orientações emitidos pela Agência Nacional de Proteção de Dados (ANPD) (coletivamente, a “LGPD”); e (vii) quaisquer outras leis, normas, regulamentos, diretivas e requisitos governamentais internacionais, federais, estaduais, territoriais, provinciais e locais relacionados à privacidade ou à proteção de dados, atualmente em vigor ou que venham a entrar em vigor.

“CCPs do Brasil” significa as cláusulas contratuais padrão para transferências internacionais de dados aprovadas pela ANPD nos termos da Resolução CD/ANPD n.º 19/2024 (conforme alterada ou substituída periodicamente).

“Titular dos Dados” significa uma pessoa física que é o titular dos Dados Pessoais e a quem os Dados Pessoais se referem ou identificam, direta ou indiretamente.

“Estrutura de Privacidade de Dados” inclui a Estrutura de Privacidade de Dados UE-EUA, a Extensão do Reino Unido para a Estrutura de Privacidade de Dados UE-EUA e a Estrutura de Privacidade de Dados Suíça-EUA, que foram desenvolvidas respectivamente para promover o comércio transatlântico pelo Departamento de Comércio dos EUA e pela Comissão Europeia, pelo Governo do Reino Unido e pela Administração Federal Suíça, a fim de fornecer às organizações dos EUA mecanismos confiáveis para transferências de Dados Pessoais para os Estados Unidos a partir do EEE, do Reino Unido (e Gibraltar) e da Suíça, garantindo proteção de dados em conformidade com as leis da UE, do Reino Unido e da Suíça.

“EEE” refere-se ao Espaço Econômico Europeu, que é formado por todos os Estados-membros da União Europeia e Islândia, Noruega e Liechtenstein.

“CCPs da UE” significa as cláusulas contratuais padrão da Comissão Europeia para a transferência de dados pessoais da União Europeia para países terceiros, conforme estabelecido no Anexo da Decisão 2021/914 da Comissão (UE), cuja cópia está disponível em https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en.

“Dados Pessoais” significa quaisquer informações tratadas pela Avetta que (i) identifiquem ou estejam relacionadas a uma pessoa física que possa ser identificada direta ou indiretamente a partir desses dados, isoladamente ou em combinação com outras informações em posse ou controle da Avetta; ou (ii) sejam de outra forma definidas pela Legislação Aplicável de Proteção de Dados como informações ou dados pessoais protegidos.

“Tratamento, trata, tratam e tratar” significam qualquer atividade que envolva o uso de Dados Pessoais, ou conforme os termos “tratamento”, “trata”, “tratam” ou “tratar” possam ser de outra forma definidos pela Legislação Aplicável de Proteção de Dados. Inclui a obtenção, registro ou retenção dos dados, ou a realização de qualquer operação ou conjunto de operações sobre os dados, incluindo a organização, alteração, recuperação, uso, divulgação, apagamento ou destruição dos mesmos. O tratamento também inclui a transferência de Dados Pessoais para terceiros.

“Violação de Segurança” significa uma violação de segurança que resulte em destruição, perda, alteração, divulgação ou acesso a Dados Pessoais sem autorização, de forma acidental ou ilícita.

“Solicitação de Direitos do Titular” significa o exercício, pelo Titular dos Dados, de seus direitos nos termos da Legislação Aplicável de Proteção de Dados.

“Adendo do Reino Unido” significa o Adendo de Transferência de Dados Internacionais do Information Commissioner's Office do Reino Unido às Cláusulas Contratuais Padrão da Comissão Europeia, cuja cópia está disponível em https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/appropriate-safeguards/what-are-standard-data-protection-clauses-the-uk-idta-and-the-addendum/.

1.2 Os Documentos são parte integrante deste ATD e terão efeito como se estivessem estabelecidos na íntegra no corpo deste ATD. Qualquer referência a este ATD inclui os Documentos.

1.3 A menção a “por escrito” ou “escrito” inclui e-mails.

1.4 Em caso de conflito ou ambiguidade entre qualquer disposição do presente ATD e as disposições do EUSA, prevalecerão as disposições deste ATD; e, em caso de conflito entre qualquer disposição deste ATD e qualquer disposição constante do Documento A, prevalecerão as disposições aplicáveis do Documento A.

2. Funções e Escopo do Tratamento.

Este ATD aplica-se apenas aos Dados Pessoais divulgados, transferidos, enviados ou de outra forma disponibilizados pelo Fornecedor, ou em seu nome, à Avetta em relação aos Serviços.

2.1 Funções das Partes. O Fornecedor e a Avetta reconhecem e concordam que:

(a) A Avetta é um operador de dados quando o tratamento de Dados Pessoais é realizado em nome do Fornecedor e sob sua orientação, como o tratamento dos Dados Pessoais do Fornecedor (incluindo Dados Pessoais de seu pessoal e Trabalhadores) contidos em formulários de pré-qualificação/conformidade e em qualquer documentação ou outro Conteúdo do Cliente enviado pelo Fornecedor (inclusive por seus Usuários Autorizados) ao Local para compartilhamento com seus Clientes.

(b) A Avetta atua como controlador de dados quando o tratamento de Dados Pessoais é realizado para os próprios fins da Avetta relacionados à prestação dos Serviços Avetta ou para seus interesses comerciais legítimos, como faturamento, gerenciamento de contas, suporte técnico, prevenção e detecção de ameaças à segurança, desenvolvimento de produtos, usos analíticos e vendas e marketing (por exemplo, envio de boletins informativos aos usuários administradores do Fornecedor).

2.2 Tratamento de Dados Pessoais pelo Fornecedor. O Fornecedor reconhece e concorda que:

(a) O Fornecedor será o único responsável pela precisão, qualidade e legalidade dos Dados Pessoais enviados à Avetta e/ou ao Local (seja pelo próprio Fornecedor ou pelos Titulares dos Dados);

(b) O Fornecedor só deve carregar e enviar para a Avetta e/ou para o Local os Dados Pessoais que foram obtidos dos Titulares dos Dados em conformidade com a Legislação Aplicável de Proteção de Dados;

(c) O Fornecedor deverá garantir que possui todos os consentimentos e avisos necessários em vigor e que cumpriu todos os demais requisitos da Legislação Aplicável de Proteção de Dados para permitir a transferência legal de Dados Pessoais (incluindo Dados Sensíveis) para a Avetta e permitir o tratamento de Dados Pessoais da Avetta em diferentes jurisdições, nos termos do EUSA e deste ATD;

(d) Quando o consentimento for a base legal para o tratamento de Dados Pessoais ou for necessário para o uso dos Serviços Avetta, o Fornecedor deverá, em todos os momentos, disponibilizar e manter (i) um mecanismo para obter tal consentimento dos Titulares dos Dados, e (ii) um mecanismo para os Titulares dos Dados retirarem tal consentimento, em cada caso conforme a Legislação Aplicável de Proteção de Dados; e

(e) o uso dos Serviços Avetta pelo Fornecedor não violará os direitos de nenhum Titular dos Dados.

2.3 Detalhes do Tratamento de Dados. O Documento B descreve as categorias gerais de Dados Pessoais, os tipos de Titulares de Dados e outros detalhes do tratamento que a Avetta realizará em relação à prestação dos Serviços Avetta conforme o EUSA.

3. Obrigações da Avetta.

3.1 A Avetta tratará Dados Pessoais apenas para os fins específicos da transferência, conforme estabelecido no Documento B. A Avetta pode tratar Dados Pessoais para outra finalidade (i) quando tiver obtido o consentimento prévio do Titular dos Dados; (ii) quando necessário para o estabelecimento, o exercício ou a defesa de reivindicações legais no contexto de processos administrativos, regulatórios ou judiciais específicos; ou (iii) quando permitido nos termos da Legislação Aplicável de Proteção de Dados para uso de Dados Pessoais para fins secundários às finalidades específicas, conforme estabelecido no Documento B sem o consentimento do Titular dos Dados. Quando a Avetta atuar como operador de dados em nome do Fornecedor, os Dados Pessoais serão tratados pela Avetta conforme as instruções do Fornecedor. As partes concordam que as instruções do Fornecedor deverão estar dentro do escopo do EUSA, e o Fornecedor deverá obter o consentimento prévio por escrito da Avetta para eventuais instruções adicionais. A Avetta notificará prontamente o Fornecedor se a Avetta considerar que tal instrução viola qualquer Legislação Aplicável de Proteção de Dados e, caso o Fornecedor deixe de fornecer instruções ou de adotar ações corretivas no prazo de 10 dias após tal notificação, a Avetta poderá, exclusivamente na medida necessária para cumprir a Legislação Aplicável de Proteção de Dados, suspender o tratamento, desabilitar o acesso, remover do Local ou, se necessário, excluir de forma segura os Dados Pessoais afetados. A Avetta documentará os fundamentos de tal medida e notificará o Fornecedor sem demora injustificada. Quando aplicável, o Fornecedor será responsável por eventuais comunicações, notificações, assistência e/ou autorizações que possam ser necessárias em relação aos Titulares dos Dados.

3.2 A Avetta, ao considerar a natureza do tratamento da Avetta e as informações disponíveis para a Avetta, ajudará na medida do possível o Fornecedor a cumprir as obrigações de conformidade do Fornecedor nos termos da Legislação Aplicável de Proteção de Dados, desde que o Fornecedor cubra todos os custos incorridos pela Avetta em relação à prestação de tal assistência. Tais obrigações de conformidade podem incluir a obrigação de realizar uma avaliação do impacto das operações de tratamento na proteção de Dados Pessoais (uma “Avaliação de Impacto da Proteção de Dados”) onde o tratamento provavelmente resultará em um alto risco para os direitos e liberdades das pessoas físicas.

4. Empregados da Avetta.

4.1 A Avetta garantirá que todos os empregados que tenham acesso aos Dados Pessoais ou estejam envolvidos em seu tratamento: (i) tenham recebido treinamento sobre a Legislação Aplicável de Proteção de Dados relacionada ao tratamento de Dados Pessoais e estejam cientes tanto das obrigações da Avetta quanto de suas obrigações e deveres pessoais nos termos da Legislação Aplicável de Proteção de Dados e deste ATD; e (ii) estejam sujeitos a uma obrigação adequada de confidencialidade (seja por dever contratual ou legal).

4.2 A Avetta tomará medidas razoáveis para garantir a integridade e a confiabilidade de qualquer empregado da Avetta com acesso aos Dados Pessoais.

5. Segurança.

5.1 Considerando a natureza, o escopo, o contexto e os objetivos do tratamento, os custos de implementação, bem como o risco de probabilidade e gravidade variáveis para os direitos e as liberdades dos Titulares dos Dados, a Avetta implementou medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco, incluindo as medidas de segurança descritas no Anexo II do Documento B. A Avetta pode revisar e atualizar o Anexo II periodicamente, desde que tais atualizações não diminuam materialmente a segurança geral dos Serviços Avetta ou dos Dados Pessoais.

5.2 O Fornecedor é responsável por analisar as informações disponibilizadas pela Avetta relacionadas à segurança de dados e a decidir de forma independente se os Serviços Avetta atendem aos requisitos do Fornecedor e às obrigações legais nos termos da Legislação Aplicável de Proteção de Dados.

6. Violação de Segurança e perda de Dados Pessoais.

6.1. A Avetta deverá notificar o Fornecedor sem demora, caso tenha conhecimento de qualquer Violação de Segurança, e fornecer assistência na medida do razoável e necessário, para possibilitar ao Fornecedor cumprir com suas obrigações de informar sobre a violação conforme a Legislação Aplicável de Proteção de Dados e dentro dos prazos estipulados por ela. A notificação da Avetta deve ser enviada para o e-mail cadastrado pelo Fornecedor nos Serviços Avetta e, quando nenhum e-mail for registrado, o Fornecedor reconhece que os meios de notificação ficarão a critério razoável da Avetta, e a capacidade da Avetta de notificar em tempo hábil poderá ser impactada negativamente. A Avetta deve, prontamente, tomar medidas razoáveis para conter, investigar e mitigar qualquer Violação de Segurança. Caso suspeite de alguma Violação de Segurança, o Fornecedor deverá comunicá-la imediatamente a infosec@avetta.com.

6.2 Na medida do possível, a Avetta disponibilizará ao Fornecedor informações oportunas sobre a Violação de Segurança, incluindo, por exemplo, a natureza e as consequências da Violação de Segurança, as medidas tomadas e/ou propostas pela Avetta para mitigar ou conter a Violação de Segurança, o status da investigação da Avetta, um ponto de contato do qual informações adicionais podem ser obtidas e as categorias e o número aproximado de registros de dados em questão. As comunicações realizadas pela Avetta, ou em seu nome, com o Fornecedor em relação a uma Violação de Segurança não deverão ser interpretadas como reconhecimento, pela Avetta, de qualquer culpa ou responsabilidade relacionada à Violação de Segurança.

7. Transferências Transfronteiriças de Dados Pessoais; Cláusulas Contratuais Obrigatórias.

7.1 O Fornecedor reconhece e concorda que a Avetta pode transferir, acessar e tratar Dados Pessoais em âmbito mundial, conforme seja necessário para prestar os Serviços Avetta.

7.2 Quando a Legislação Aplicável de Proteção de Dados tiver prescrito mecanismos específicos para a transferência de Dados Pessoais para a Avetta e/ou cláusulas contratuais para o tratamento de Dados Pessoais pela Avetta (coletivamente, “Mecanismos de Transferência”), a Avetta deverá disponibilizar tais Mecanismos de Transferência específicos (conforme geralmente compatíveis com a Avetta) no Documento A.

7.3 Se a Legislação Aplicável de Proteção de Dados tiver prescrito requisitos adicionais para as cláusulas de transferência e/ou contrato para o tratamento de Dados Pessoais, a Avetta concorda em cooperar razoavelmente com o Fornecedor para a conformidade do Fornecedor com tais requisitos e atualizará os Mecanismos de Transferência no Documento A quando apropriado. O Fornecedor concorda em assinar documentos adicionais e adotar outras medidas que sejam razoavelmente necessárias para conferir validade jurídica ao Mecanismo de Transferência adicional ou modificado.

8. (Sub)operadores.

8.1 O Fornecedor concorda que, quando a Avetta atuar como operador de dados, a Avetta poderá usar suboperadores listados na seção (Sub)operadores da Avetta para o tratamento de Dados Pessoais relacionado à prestação dos Serviços Avetta. Pelo menos 10 dias antes de autorizar qualquer novo suboperador ou substituir qualquer suboperador, a Avetta notificará o Fornecedor sobre as alterações, publicando os novos suboperadores propostos na seção (Sub)operadores da Avetta. É responsabilidade do Fornecedor verificar este site regularmente para se informar sobre atualizações. Caso o Fornecedor tenha qualquer objeção legítima à contratação de um novo suboperador relacionada ao cumprimento deste ATD pela Avetta, a Avetta envidará esforços razoáveis para atender à objeção do Fornecedor. Caso não seja possível chegar a uma solução, a Avetta poderá, a seu exclusivo critério, deixar de contratar o novo suboperador ou permitir que o Fornecedor suspenda ou rescinda o EUSA, sem que haja responsabilidade para qualquer das partes. A Avetta não será obrigada a reembolsar nenhum valor pago nos termos do EUSA.

8.2 O Fornecedor reconhece e concorda ainda que, quando a Avetta atuar como controlador de dados, a Avetta poderá utilizar os prestadores de serviços adicionais descritos em Suboperadores da Avetta para os fins ali estabelecidos.

9. Solicitações de Direitos do Titular dos Dados.

9.1 Cada uma das partes concorda em prestar a assistência razoavelmente necessária para permitir que a outra parte cumpra eventuais Solicitações de Direitos do Titular dentro dos prazos impostos pela Legislação Aplicável de Proteção de Dados.

10. Solicitação de Acesso a Dados por Terceiros.

10.1 A Avetta notificará o Fornecedor sobre qualquer solicitação de divulgação dos Dados Pessoais do Fornecedor feita por órgão governamental, regulador ou autoridade de aplicação da lei, salvo se tal notificação for proibida por lei ou por ordem legalmente vinculativa desse órgão ou autoridade.

11. Vigência e Rescisão.

11.1 Este ATD entrará em vigor na data de vigência do EUSA ou na primeira provisão de Dados Pessoais à Avetta, o que ocorrer primeiro, e permanecerá em pleno vigor e efeito enquanto o EUSA permanecer em vigor.

11.2 Qualquer disposição deste ATD que, expressa ou implicitamente, deva entrar ou continuar em vigor após a rescisão do EUSA, a fim de proteger os Dados Pessoais, permanecerá em pleno vigor e efeito.

12. Devolução e Destruição de Dados.

12.1 A pedido do Fornecedor, a Avetta disponibilizará ao Fornecedor uma cópia ou acesso aos Dados Pessoais do Fornecedor em sua posse ou controle, no formato padrão da Avetta, se a solicitação for enviada antes do descarte dos Dados Pessoais pela Avetta.

12.2 Após a rescisão do EUSA, a Avetta deverá, dentro de um período razoável, excluir ou destruir de forma segura os Dados Pessoais do Fornecedor contidos no Local. Este requisito não se aplicará: (i) na medida em que a retenção dos Dados Pessoais seja necessária para satisfazer eventuais requisitos legais, regulatórios, fiscais, contábeis ou de relatórios ou seja necessária para o estabelecimento, exercício ou defesa de reivindicações legais se a Avetta acreditar razoavelmente que há uma possibilidade de litígio; e (ii) aos Dados Pessoais em sistemas de backup até que os backups tenham sido substituídos ou eliminados de acordo com a política de backup da Avetta, caso em que a Avetta isolará e protegerá os Dados Pessoais de qualquer tratamento adicional, exceto na medida exigida pela lei aplicável até que a exclusão seja possível.

13. Auditoria.

13.1 Mediante solicitação por escrito e sem custo adicional para o Fornecedor, a Avetta dará ao Fornecedor e/ou seu representante terceirizado devidamente qualificado (coletivamente, o “Auditor”) acesso à documentação razoavelmente solicitada que comprove a conformidade da Avetta com suas obrigações nos termos deste ATD na forma das auditorias ou certificações relevantes listadas no Anexo II do Documento B, como ISO/IEC 27001:2022, ISO/IEC 27701:2019, ISO/IEC 27017:2015, ISO/IEC 27018:2019 e ISO/IEC 22301:2019 (“Certificações ISO”) e SOC 2 Tipo II. A Avetta também responderá a eventuais questionários de auditoria enviados pelo Auditor e se reunirá por teleconferência ou presencialmente (à custa do Fornecedor) para abordar questões de acompanhamento, desde que: (i) tais questionários de auditoria não abranjam nenhum tópico ou área já contemplado pelas Certificações ISP ou pelo relatório de auditoria SOC 2 Tipo II; e (ii) o Fornecedor não exerça esse direito mais de uma vez por ano, exceto se e quando exigido por instrução de uma autoridade de proteção de dados competente ou em caso de Violação de Segurança. A Avetta poderá exigir que o Auditor assine um contrato de confidencialidade separado com a Avetta antes de qualquer revisão dos relatórios ou uma auditoria da Avetta, e a Avetta poderá se opor, por escrito, a tal Auditor caso, no entendimento razoável da Avetta, o Auditor não esteja devidamente qualificado ou seja concorrente direto da Avetta. Qualquer objeção apresentada pela Avetta exigirá que o Fornecedor nomeie outro Auditor. Eventuais despesas incorridas por um Auditor em relação a qualquer revisão dos relatórios ou auditoria serão arcadas exclusivamente pelo Fornecedor, exceto quando tal revisão ou auditoria for exigida em decorrência de uma Violação de Segurança.

14. Disposições Gerais.

14.1 As partes concordam que este ATD substituirá qualquer adendo de tratamento de dados, anexo, documento ou cláusulas contratuais padrão existentes que a Avetta e o Fornecedor possam ter celebrado anteriormente em relação aos Serviços Avetta. A Avetta poderá atualizar este ATD periodicamente (por exemplo, em resposta a alterações na Legislação Aplicável de Proteção de Dados, ou em decorrência de fusão, aquisição, reorganização societária ou outra ocorrência semelhante, ou ainda do lançamento de novos recursos, funcionalidades, produtos ou serviços, ou de alterações relevantes em quaisquer dos Serviços Avetta existentes), desde que nenhuma dessas atualizações diminua materialmente a privacidade ou a segurança dos Dados Pessoais. A Avetta publicará a versão atualizada do Adendo de Tratamento de Dados ao EUSA ou em um site sucessor designado pela Avetta.

14.2 A responsabilidade da Avetta nos termos deste ATD ou em relação a ele, inclusive nos termos das CCPs da UE, está sujeita às exclusões e limitações de responsabilidade previstas no EUSA. Em nenhuma hipótese a Avetta limitará ou excluirá sua responsabilidade perante os Titulares dos Dados ou conforme imposto pelas autoridades competentes de proteção de dados.

14.3 Exceto quando e na medida expressamente prevista nas CCPs da UE ou exigida como uma questão da Legislação Aplicável de Proteção de Dados, este ATD não confere nenhum direito a terceiros beneficiários. Ele destina-se apenas ao benefício das partes e seus respectivos sucessores e designados permitidos, não beneficiando nenhuma outra pessoa, assim como nenhuma disposição deste documento pode ser aplicada por nenhuma outra pessoa.

14.4 Este ATD e qualquer ação relacionada a ele serão regidos e interpretados de acordo com as leis especificadas no EUSA, sem dar efeito a nenhum conflito de princípios legais. As partes consentem com a jurisdição pessoal e o foro dos tribunais especificados no EUSA.

14.5 Se qualquer disposição deste ATD for, por qualquer motivo, considerada inválida ou inaplicável, as outras disposições do ATD permanecerão aplicáveis. Sem limitação à generalidade do acima exposto, o Fornecedor concorda que a Seção 14.2 (Limitação de Responsabilidade) permanecerá em vigor, não obstante a inaplicabilidade de qualquer disposição deste ATD.

DOCUMENTO A

MECANISMOS DE TRANSFERÊNCIA E CLÁUSULAS CONTRATUAIS OBRIGATÓRIAS

Este Documento A disponibiliza os Mecanismos de Transferência aceitos pela Avetta. Um Mecanismo de Transferência não se aplicará e não será incorporado a este ATD se não for aplicável às transferências do Fornecedor para a Avetta. Se um Mecanismo de Transferência listado for, ou se tornar, aplicável nos termos da Legislação Aplicável de Proteção de Dados, ele será considerado assinado pelas partes (se forem necessárias assinaturas) e será incorporado a este ATD.

1. Estrutura de Privacidade de Dados. Para transferências de Dados Pessoais para os Estados Unidos, a Avetta se autocertificou com a Estrutura de Privacidade de Dados UE-EUA, a Extensão do Reino Unido para a Estrutura de Privacidade de Dados UE-EUA e a Estrutura de Privacidade de Dados Suíça-EUA administrada pelo Departamento de Comércio dos EUA. Para saber mais, consulte o Aviso da Estrutura de Privacidade de Dados da Avetta, disponível em Política de Estrutura de Privacidade de Dados.

2. Cláusulas Contratuais Padrão da UE (CCPs da UE). Quando o tratamento envolver transferências de Dados Pessoais para fora do EEE para a Avetta, e não houver outra base legítima para transferências internacionais (por exemplo, se a Estrutura de Privacidade de Dados aplicável tiver sido invalidada), tais transferências estarão sujeitas às CCPs da UE, especificamente:

a. Nas circunstâncias em que a Avetta atuar como controlador de dados, o Módulo Um das CCPs da UE (para transferências entre controladores) complementado pelos termos abaixo aplicar-se-á às transferências de Dados Pessoais entre o Fornecedor e a Avetta:

i. A linguagem opcional da cláusula 7 (cláusula de adesão) será utilizada.

ii. A linguagem opcional da cláusula 11(a) (reparação) não será utilizada.

iii. Para a cláusula 17, a primeira opção será utilizada, e a legislação da Bélgica será a legislação aplicável.

iv. Para a cláusula 18(b), o foro selecionado serão os tribunais da Bélgica.

b. Nas circunstâncias em que o Fornecedor atuar como controlador de dados e a Avetta atuar como operador de dados em relação ao tratamento, o Módulo Dois das CCPs da UE (para transferências entre controlador e operador) complementado pelos termos abaixo, deve se aplicar:

i. A linguagem opcional da cláusula 7 (cláusula de adesão) será utilizada.

ii. Para a cláusula 9(a), a opção 2 (autorização geral por escrito) foi selecionada, e o período especificado é de dez (10) dias.

iii. A linguagem opcional da cláusula 11(a) (reparação) não será utilizada.

iv. Para a cláusula 17, a primeira opção será utilizada, e a legislação da Bélgica será a legislação aplicável.

v. Para a cláusula 18(b), o foro selecionado serão os tribunais da Bélgica.

c. O Anexo I, o Anexo II e o Anexo III das CCPs da UE serão considerados preenchidos com as informações estabelecidas neste Documento B.

3. Adendo do Reino Unido. Quando o tratamento envolver transferências de Dados Pessoais para fora do Reino Unido para a Avetta e não houver outra base legítima para transferências internacionais (por exemplo, se a Estrutura de Privacidade de Dados aplicável tiver sido invalidada), tais transferências estarão sujeitas ao Adendo do Reino Unido, complementado pelos termos abaixo:

a. As partes deste Adendo do Reino Unido serão as partes do ATD.

b. As CCPs da UE que este Adendo do Reino Unido altera devem ser as CCPs da UE aplicáveis referenciadas na Seção 2 deste Documento A, e as Tabelas 1-3 do Adendo do Reino Unido devem ser preenchidas com as informações relevantes em conformidade.

c. Para os fins da Tabela 4 do Adendo do Reino Unido, “Importador” deve ser selecionado.

d. A parte 2 do Adendo do Reino Unido deverá ser: “Parte 2: Cláusulas Obrigatórias do Adendo Aprovado, sendo o Adendo modelo B.1.0 emitido pelo ICO e apresentado ao Parlamento de acordo com a seção 119A da Lei de Proteção de Dados de 2018 em 2 de fevereiro de 2022, conforme revisado nos termos da Seção 18 dessas Cláusulas Obrigatórias.”

4. Cláusulas Contratuais Padrão da Suíça. Quando o tratamento envolver transferências de Dados Pessoais para fora da Suíça para a Avetta e não houver outra base legítima para transferências internacionais (por exemplo, se a Estrutura de Privacidade de Dados aplicável não for mais um mecanismo de transferência válido), tais transferências estarão sujeitas às CCPs da UE referenciadas na Seção 2 deste Documento A, exceto que:

a. O termo “Estado-Membro” não deverá ser interpretado de forma a excluir os Titulares dos Dados na Suíça da possibilidade de ajuizar ações para exercer seus direitos em seu local de residência habitual (Suíça), conforme a cláusula 18(c) destas cláusulas contratuais padrão.

b. Nas circunstâncias em que as transferências estejam exclusivamente sujeitas à Lei Federal de Proteção de Dados (“FADP”), as referências ao GDPR deverão ser entendidas como referências à FADP.

c. Nas circunstâncias em que as transferências estejam sujeitas tanto à FADP quanto ao GDPR, as referências ao GDPR deverão ser entendidas como referências à FADP na medida em que as transferências estejam sujeitas à FADP.

5. Cláusulas Contratuais Padrão Brasileiras (CCPs do Brasil). Quando o tratamento envolver transferências de Dados Pessoais para fora do Brasil para a Avetta e não houver decisão de adequação da ANPD em vigor em relação ao país de destino ou outra base legítima para as transferências internacionais, tais transferências estarão sujeitas às CCPs do Brasil, que estão estabelecidas de forma integral em https://www.avetta.com/legal/eusa-br-sccs.

6. Cláusulas Contratuais da CCPA. Quando o tratamento envolver Dados Pessoais de Residentes da Califórnia, as partes deverão cumprir adicionalmente o seguinte:

a. A Avetta: (i) deverá coletar, usar, reter ou divulgar Dados Pessoais apenas para as finalidades permitidas descritas no EUSA e na CCPA e para nenhuma outra finalidade comercial; (ii) não deverá comercializar nem compartilhar Dados Pessoais para publicidade comportamental entre contextos; (iii) não deverá coletar, usar, reter ou divulgar Dados Pessoais fora da relação comercial direta entre a Avetta e o Fornecedor, exceto na medida necessária para prestar os Serviços da Avetta; (iv) não deverá combinar os Dados Pessoais que a Avetta recebe do Fornecedor, ou em seu nome, com Dados Pessoais coletados em nome de outra pessoa ou pessoas, exceto para uma finalidade comercial que não envolva publicidade comportamental entre contextos e que seja permitida nos termos da CCPA; e (v) deverá fornecer pelo menos o mesmo nível de proteção de privacidade exigido pela CCPA em relação aos Dados Pessoais. A Avetta certifica que entende essas restrições e as cumprirá.

b. O Fornecedor terá o direito de: (i) monitorar a conformidade da Avetta com este ATD; e (ii) adotar medidas razoáveis e apropriadas para garantir que os Dados Pessoais sejam utilizados pela Avetta em conformidade com a CCPA. A Avetta deverá notificar o Fornecedor caso determine que não consegue mais cumprir nenhuma de suas obrigações nos termos da CCPA e, nesse caso, a Avetta deverá colaborar com o Fornecedor e adotar todas as medidas razoáveis e apropriadas para interromper e remediar qualquer tratamento até que tal tratamento esteja em conformidade com a CCPA e este ATD.

7. Outros Mecanismos de Transferência. Quando a Legislação Aplicável de Proteção de Dados de uma jurisdição não expressamente tratada neste Documento A exigir um Mecanismo de Transferência contratual para transferências de Dados Pessoais do Fornecedor para a Avetta, o módulo aplicável das CCPs da UE será, na medida permitida por tal Legislação Aplicável de Proteção de Dados, considerado incorporado a este ATD e adaptado exclusivamente na medida necessária para tais transferências, inclusive mediante a substituição de referências à “União Europeia”, à “União” e aos “Estados-Membros da UE”, bem como a adaptação das referências às leis de proteção de dados da UE (incluindo o GDPR da UE), pelas referências correspondentes à jurisdição relevante e à Legislação Aplicável de Proteção de Dados dessa jurisdição.

DOCUMENTO B

DETALHES DO TRATAMENTO DE DADOS PESSOAIS

Este Documento B faz parte do ATD e descreve o tratamento que a Avetta realizará em relação à prestação dos Serviços Avetta.

ANEXO I — DESCRIÇÃO DO TRATAMENTO DE DADOS

A. LISTA DAS PARTES

Exportador de dados:

Importador de dados:

B. DESCRIÇÃO DA TRANSFERÊNCIA

C. AUTORIDADE SUPERVISORA COMPETENTE

ANEXO II — MEDIDAS TÉCNICAS E ORGANIZACIONAIS DE SEGURANÇA

Visão Geral

Os aplicativos de software como serviço da Avetta (“Serviços SaaS”) foram desenvolvidos desde o princípio com foco em segurança. Os Serviços SaaS Connect e Workforce Management são arquitetados com uma variedade de controles de segurança em cada nível de tratamento para lidar com uma série de riscos de segurança. Esses controles de segurança estão sujeitos a alterações; no entanto, eventuais alterações manterão ou aprimorarão a postura geral de segurança da plataforma SaaS.

As principais áreas de controles de segurança abaixo se aplicam a cada um dos componentes do Serviços SaaS Avetta Connect e Workforce Management. A Avetta hospeda seus Serviços SaaS em plataformas de provedores de serviços em nuvem, utilizando principalmente a Amazon Web Services (AWS) e, em casos limitados, a Equinix.

Auditorias e Certificações

Os Serviços Avetta SaaS são certificados conforme as normas ISO/IEC 27001:2022, ISO/IEC 27701:2019, ISO/IEC 27017:2015, ISO/IEC 27018:2019 e ISO/IEC 22301:2019 (“Certificações ISO”). A Avetta revisa sua conformidade anualmente com as Certificações ISO, realizando uma auditoria de controles internos. Esta auditoria é analisada pelo Comitê de Sistemas de Gerenciamento de Segurança da Informação e Privacidade, composto por membros da equipe de liderança executiva sênior da Avetta.

A Avetta utiliza principalmente regiões globais da AWS para tratamento e armazenamento de seus Serviços SaaS. A AWS oferece instalações de primeira linha que obtiveram diversas certificações, incluindo SOC2, ISO/IEC 27001:2022, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019, ISO/IEC 22301:2019, ISO/IEC 20000-1:2018 e ISO/IEC 9001:2015. Essas instalações da AWS também oferecem proteções físicas de última geração, onde os dados dos clientes da Avetta são armazenados e tratados. A Avetta usa a Equinix como provedora de serviços em nuvem para o Workforce Management em determinadas regiões. A Equinix também mantém várias certificações, incluindo ISO/IEC 27001, ISO/IEC 22301, ISO/IEC 14001, ISO/IEC 9001, ISO/IEC 50001, SOC 1 Tipo II e SOC 2 Tipo II. Para saber mais sobre os provedores de serviços em nuvem, acesse https://aws.amazon.com/compliance/programs/ e https://www.equinix.com/data-centers/asia-pacific-colocation/australia-colocation/sydney-data-centers/sy6.

Recuperação de Desastres e Continuidade de Negócios

Para garantir que seus Serviços SaaS mantenham um alto grau de disponibilidade dos sistemas, a Avetta utiliza um data center AWS designado para backup/failover, localizado em uma região geográfica distinta daquela de sua instalação normal de tratamento de dados de produção. Isso garante que a Avetta possa responder rapidamente a qualquer evento ambiental, físico ou acidental que possa causar interrupção na instalação de produção da AWS.

A Avetta mantém um plano abrangente de Recuperação de Desastres e Continuidade de Negócios que é revisado pelo menos anualmente. Essa revisão permite que o pessoal da Avetta esteja familiarizado com o planejamento de emergência no caso de um evento que possa causar interrupção das atividades comerciais normais na Avetta.

Os sistemas da Avetta são projetados para oferecer suporte a um objetivo de ponto de recuperação (RPO) inferior a 2 horas e a um objetivo de tempo de recuperação (RTO) inferior a 4 horas.

A Avetta também realiza um exercício abrangente de avaliação de riscos regularmente para garantir que estratégias e controles adequados de mitigação de riscos tenham sido implementados dentro da organização.

Resposta a Incidentes

A Avetta mantém um Plano de Resposta a Incidentes abrangente. Esse plano, juntamente com os processos e procedimentos relacionados, permite que a equipe da Avetta responda rapidamente a uma suspeita ou possível violação de segurança, ou a outras atividades suspeitas de cibersegurança no ambiente da Avetta. Uma Equipe de Resposta a Incidentes, liderada por membros qualificados da equipe de segurança, avaliará eventuais situações e traçará planos de ação e estratégias de mitigação apropriados. Se uma suspeita de violação for confirmada, a Equipe de Resposta a Incidentes seguirá os protocolos designados para agir de imediato e responder adequadamente para mitigar a atividade mal-intencionada, além de preservar evidências forenses. Os procedimentos de notificação também serão seguidos.

Criptografia

Os Serviços SaaS da Avetta mantêm a criptografia dos dados em repouso utilizando AES-256. Elementos de dados adicionais também são criptografados usando métodos SALT. Esses processos de criptografia mantêm um alto grau de confidencialidade e integridade nos dados dos clientes. A separação lógica de dados é mantida nos Serviços SaaS da Avetta para que nenhum dado do cliente possa ser acessado por fontes não autorizadas. O acesso aos dados do cliente é controlado por meio de gerenciamento exclusivo de identidade e acesso com atributos que não permitem que usuários não autorizados acessem os dados do cliente.

As medidas de segurança da Avetta são implementadas com base em um método de “privilégio mínimo”, o que significa que somente empregados que tenham necessidade comercial terão acesso a dados específicos e funcionalidades dos sistemas.

Controles de Segurança de Aplicações Web

O acesso do cliente aos Serviços SaaS ocorre somente por meio de protocolos de comunicação seguros; TLS 1.2 ou superior. Isso estabelece um canal de criptografia para permitir a transmissão segura dos dados entre o usuário final e os Serviços SaaS. Isso protege os dados do cliente durante os processos de transmissão de dados.

A administração, pelo cliente, dos Serviços SaaS pode provisionar e desprovisionar usuários dos Serviços SaaS e os acessos associados, conforme necessário. Os Serviços SaaS permitem que os clientes habilitem a autenticação multifatorial para acessar contas de Serviços SaaS utilizando logon único via provedores de identidade SAML 2.0. Os Serviços SaaS permitem que os clientes habilitem políticas de senha personalizáveis para ajudar a alinhar as senhas dos Serviços SaaS às políticas corporativas do cliente.

Rede

Os Serviços SaaS utilizam controles de rede do provedor de serviços em nuvem para restringir a entrada e saída da rede. Os grupos de segurança são empregados para limitar a atividade de rede a endpoints autorizados. Os Serviços SaaS utilizam uma arquitetura de rede multicamadas, incluindo múltiplos ambientes virtuais Cloudflare logicamente segregados, aproveitando redes privadas, DMZs e zonas não confiáveis dentro da infraestrutura do provedor de serviços em nuvem.

Monitoramento e Auditoria

Os sistemas e redes dos Serviços SaaS são monitorados quanto a incidentes de segurança, integridade dos sistemas, anomalias de rede, atividade de processamento, níveis de processamento da infraestrutura e disponibilidade. A Avetta utiliza um sistema de detecção de intrusão para monitorar a atividade de rede que alertará os membros designados da equipe da Avetta sobre comportamentos suspeitos. Firewalls de aplicações web também são implementados para todos os serviços web públicos.

A Avetta registra eventos de aplicações, rede, usuários e sistemas operacionais em um servidor syslog local e em um SIEM. Esses registros são analisados e revisados automaticamente em busca de atividades e ameaças suspeitas. Eventuais anomalias na atividade dos sistemas são escaladas com as medidas apropriadas que possam ser necessárias. A Avetta utiliza sistemas de gerenciamento de informações e eventos de segurança que fornecem análise contínua de segurança das redes e do ambiente de segurança da Avetta, onde são registrados alertas, detecção e relatórios de indicadores de atividades possíveis ou suspeitas. Todos esses recursos e atividades são administrados pela equipe de DevOps e Cibersegurança da Avetta.

Gerenciamento de Vulnerabilidades

A Avetta realiza periodicamente avaliações de vulnerabilidades de aplicações web, análise estática de código e avaliações externas de segurança como parte de seu programa abrangente de segurança, para ajudar a garantir que controles de segurança adequados tenham sido implementados e estejam operando de forma eficaz. Semestralmente, a Avetta contrata testadores independentes terceirizados de vulnerabilidade e invasão para realizar avaliações de vulnerabilidades tanto de rede quanto de aplicações web. O escopo dessas auditorias externas inclui conformidade com as 10 Principais Vulnerabilidades de Aplicações Web do Open Web Application Security Project (OWASP). Os resultados das avaliações de vulnerabilidades são incorporados ao ciclo de vida de desenvolvimento de software (“CVDS”) da Avetta para remediar as vulnerabilidades identificadas. Vulnerabilidades específicas são priorizadas e registradas no sistema interno de tickets da Avetta para acompanhamento até sua resolução.

Desenvolvimento Seguro de Software

A Avetta segue práticas de desenvolvimento seguro em seu CVDS. Essas práticas incluem análise de código estático e ferramentas de análise de código em tempo real. Revisões por pares também são realizadas antes da implantação do código no ambiente de produção. Ambientes de processamento separados foram implementados na Avetta: produção, testes/garantia de qualidade e demonstração. Os desenvolvedores de software da Avetta devem fazer treinamento de desenvolvimento seguro anualmente.

Equipe de Cibersegurança da Avetta

A Avetta conta com uma equipe de segurança dedicada liderada por um Gerente de Cibersegurança com mestrado em Cibersegurança. A equipe realiza regularmente treinamentos de segurança em toda a empresa, exercícios de segurança e exercícios periódicos de vulnerabilidade e invasão. Por meio desses esforços, a equipe de Cibersegurança garante o teste, a avaliação e a verificação regulares da eficácia das medidas técnicas e organizacionais adotadas para assegurar a segurança do tratamento dos dados dos clientes.

A equipe de Cibersegurança também participa de auditorias e certificações anuais e frequenta seminários de cibersegurança.

Privacidade e Proteção de Dados

A Avetta mantém políticas robustas de Segurança da Informação e Proteção de Dados Pessoais. Essas políticas descrevem os procedimentos que são seguidos para garantir a proteção das informações do cliente. Elas descrevem ainda os controles que são implementados, que incluem retenção de dados, diretrizes de acessibilidade e autenticação, diretrizes de uso aceitável e diretrizes de privacidade de dados.

ANEXO III — LISTA DE SUBOPERADORES

A lista atual de suboperadores da Avetta está disponível em: (Sub)operadores da Avetta.