deskbee-home
Presentación comercialConverse con nosotros

Deskbee | Política de Privacidad y Protección de Datos

Actualizado en Septiembre 2024

Español
Inglés

CLÁUSULA PRIMERA – DEINICIONES.

1.1. A los objetos del Contrato, se considera:

a) ANPD: Autoridad Nacional de Protección de Datos. Órgano de la administración pública que tiene obligaciones relacionadas a la protección de datos personales y privacidad, por lo que debe fiscalizar el cumplimiento de la LGPD en territorio nacional;

b) Controladora: persona natural o jurídica responsable por los datos personales informados a la Operadora o a los que la Operadora venga a tener acceso para prestar los servicios objeto del Contrato, siendo competente para las decisiones relacionadas a los datos personales. De acuerdo con este contrato, el SUSCRIPTOR se enmarca como Controladora;

C) Operadora: persona natural o jurídica que realiza el tratamiento de datos personales informados por la Controladora o que, a su nombre, pudo tener acceso derivado de la prestación de servicios objeto del Contrato.  De acuerdo con este contrato, DESKBEE se enmarca como Operadora;

d) Datos Personales: todos y cualesquier datos o informaciones que, individualmente o en conjunto con otros datos o nombres, identifiquen o permitan que se identifique determinado Titular de Datos;   

e) Datos Personales Sensibles: dato personal sobre origen racial o étnico, convicción religiosa, opinión política, afiliación a sindicato o a organización de orden religiosa; filosófica o política, datos referentes a salud o vida sexual, información genética o biométrica, cuando relacionados a una persona natural;

f) LGPD: Ley nº 13.709/2018, conocida como Ley General de Protección de Datos;

g) Tratamiento: toda operación realizada con datos personales, por medio analógico o digital, como recolección, producción, recepción, clasificación, utilización, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, estudio o control de la información, modificación, comunicación, transferencia, difusión, extracción, comparación, interconexión o destrucción; 

h) Titular(es): persona natural as la que se refieren los datos personales que son objeto de tratamiento;

i) Suboperador(es): empresa tercera contratada por la Operadora para que preste los servicios emergentes del  Contrato;

j) Violación de Datos Personales: violación de la seguridad de los sistemas, archivos, bases, equipos y/o lugares que la Operadora usa y que lleve a la destrucción, pérdida, cambio, acceso, adquisición, divulgación, uso o acceso ilegal a Datos Personales Asociados a la Controladora de algún modo tratados por la Operadora;

k) Transferencia Internacional de Datos: transferencia de datos personales para país extranjero u organismo internacional del cual el país sea miembro.

CLÁUSULA SEGUNDA – TRATAMIENTO DE DATOS

2.1 Las partes declaran, por este instrumento, que cumplen con toda la legislación aplicable sobre privacidad y protección de datos, incluso (siempre y cuando se apliquen) la Constitución Federal brasileña, el Código de Defensa del Consumidor  (Ley Federal n. 8.078/90), el Código Civil (Ley Federal n. 10.406/02), el Marco Civil de Internet (Ley Federal n. 12.965/2014), su decreto regulador (Decreto 8.771/2016), la Ley General de Protección de Datos Personales (Ley Federal nº 13.709/2018), y demás sectoriales o generales sobre el tema. 

2.2. La Controladora declara que los Datos Personales compartidos por la Operadora o a los que pueda tener acceso en consecuencia de la relación contractual firmada son correctos, exactos y actualizados; que los ha obtenido de forma lícita y legítima, en los términos de la legislación aplicable, bien como asegura la existencia de legítima expectativa del Titular de los Datos Personales y el uso de bases legales adecuadas para el Tratamiento.

2.3 La Operadora deberá tener acceso a los datos Personales que sean estrictamente necesarios para la ejecución del Contrato. La Operadora no recolecta Datos Personales Sensibles y Datos Personales de niños y adolescentes, de esa forma, la Controladora deberá abstenerse de permitirle a la Operadora acceso a Datos Personales de esa naturaleza.

2.4 En el contexto de Contrato, la Operadora concuerda y asegura que: a) El Tratamiento de los Datos Personales se realizará única y exclusivamente para la ejecución del objeto del Contrato y de modo compatible con las finalidades para las cuales hayan tenido acceso; la Operadora no podrá realizar ninguna otra operación con dichos datos sin la previa y expresa autorización o solicitud de la Controladora; b) Tendrán acceso a los Datos Personales solamente sus suboperadores, empleados, socios y colaboradores autorizados e involucrados en la ejecución de la prestación de los servicios, los cuales deberán estar sometidos a obligaciones de confidencialidad; c) Prestará asistencia a la Controladora para el suministro de informaciones y/o explicaciones a las autoridades competentes; d) Notificará en hasta 24h (veinticuatro horas) a la Controladora sobre cualquier reclamación, solicitud o cuestionamiento recibido de las autoridades competentes y no responderá a nombre de la Controladora a ninguna solicitud de esa naturaleza, a menos que haya sido previa y expresamente autorizada. 

2.5. Si la Controladora opta por contratar la funcionalidad Deskbee MobileID, se hará la recolección de datos de emplazamiento del Titular, siendo que dichas informaciones se usan para permitir la operación del sistema exclusivamente dentro de las dependencias de la empresa, utilizando la tecnología Bluetooth Low Energy (BLE) para la comunicación con dispositivos internos.  Esos datos se utilizan apenas para garantizar la detección adecuada de los dispositivos BLE en las proximidades, sin ningún rastreo o recolección de informaciones geográficas específicas. De ese modo, considerando que dichos datos serán tratados por la Controladora, manifiesta que está informada de que deberá responsabilizarse por observar las normas de protección de datos para ese tratamiento de datos personales, bien como las demás directrices previstas en este Anexo.

2.6. Toda y cualquier comunicación relacionada a la protección de datos debe ser dirigida a la otra parte por correo electrónico. DESKBEE informa abajo los contactos de su encargado de datos personales: Luiz Gustavo Garrido, teléfono (51) 3517-1104, correo electrónico [email protected]                 

2.7. La Controladora, en conformidad con aprobación por escrito de DESKBEE, podrá instalar o habilitar servicios de terceros para usarlos con la Solución Deskbee, como aplicaciones on-line, productos de software off-line, servicios que usen la API de DESKBEE o que, de otra forma, se conecten a la Solución Deskbee (“Servicios de terceros”). La adquisición y el uso, por parte de la Controladora o de sus respectivos usuarios de los servicios de terceros, es responsabilidad exclusiva de la Controladora y del proveedor tercero. La Controladora está informada que los proveedores de esos servicios de terceros podrán tener acceso a los Datos de la Controladora relacionados al soporte y a la interoperación de esos servicios de terceros con la Solución Deskbee. En la medida en que la Controladora autorice el acceso a los Datos de la Controladora o a su respectiva transmisión por medio de algún servicio de terceros, valdrán los términos del Servicio de terceros y DESKBEE no será responsable por el uso o por la divulgación, modificación o exclusión de esos Datos de la Controladora, ni por acciones u omisiones por parte del tercero proveedor o del respectivo servicio.  

CLÁUSULA TERCERA – DEVOLUCIÓN Y ELIMINACIÓN DE DATOS PERSONALES

3.1 Siempre que la Controladora le solicite por escrito al Encargado de Datos Personales de DESKBEE o después del término o extinción del Contrato, la Operadora deberá excluir y/o anonimizar, o devolverle  a la Controladora, si ella así lo solicita por escrito y expresamente antes de la exclusión, todos los Datos Personales que estén en su poder, dentro del plazo máximo de 60 (sesenta) días contados a partir de la extinción del contrato. Eventualmente, la operadora podrá almacenar Datos Personales por el tiempo necesario para cumplir con sus obligaciones legales, normativas y para el ejercicio regular de derecho. Después del período necesario de almacenamiento, la Operadora deberá excluir de su base de datos todo y cualquier documento que contenga Datos Personales.

3.2 Las Partes se comprometen a realizar el Tratamiento de los Datos Personales en conformidad con el plazo necesario y fijado en ley y a interrumpir el Tratamiento cuando se esté ante las hipótesis previstas en el artículo 15 de la LGPD y en conformidad con lo dispuesto en este Artículo.

3.3. En conformidad con la Ley General de Protección de Datos – LGPD, si se interrumpe la suscripción, todas las informaciones registradas por la Controladora, registradas y almacenadas deberán ser extraídas de la solución Deskbee por la Controladora, en archivos PDF o XLS / CSV, dentro del plazo de 60 (sesenta) días contados desde la fecha de rescisión. Después de ese plazo, excepto los datos mencionados que DESKBEE tenga la obligación de continuar almacenando, todos los datos serán inmediantamente excluidos de los servidores de DESKBEE y no estarán más disponibles para su acceso. 

CLÁUSULA CUARTA – DERECHOS DE LOS TITULARES DE DATOS PERSONALES

4.1 A la Controladora le corresponderá asegurar la atención de los derechos de los Titulares previstos en el artículo 18 de la LGPD.

4.2 La Operadora prestará auxilio a la Controladora, cuando lo sea necesario, para atender a los derechos de los Titulares previstos en el Cláusula 4.1.

4.3 Sin perjuicio del auxilio previsto en la Cláusula 4.2, la Operadora deberá comunicarle a la Controladora, en hasta 24h (veinticuatro horas), por la dirección de correo electrónico del Encargado de Datos Personales de la Controladora, informado en el Contrato de Adhesión, si recibe alguna solicitud por parte del Titular de Datos Personales con relación a los derechos mencionados anteriormente relacionados a los Datos Personales Asociados a la Controladora, para ella oriente a la Operadora y proceda con la acción solicitada por el Titular. 

CLÁUSULA QUINTA – SUBCONTRATACIÓN DE SERVICIOS

5.1 Desde ya, la Controladora autoriza a la Operadora a contratar suboperadores de datos personales, total o parcialmente, para el ejercicio de cualquier actividad de Tratamiento de datos relacionados al objeto del Contrato. En ese sentido, la Operadora se mantendrá responsable por los suboperadores contratados, incluso con relación al cumplimiento de los requisitos de privacidad de datos personales contratados entre la Controladora y la Operadora.

5.2 Por medio de solicitud enviada por escrito por la Controladora a la dirección de correo electrónico del Encargado de Datos Personales de la Operadora, la Operadora pondrá a disposición una lista actualizada de las informaciones y tratamientos de las empresas subcontratadas para auxiliarla en el correcto desarrollo del objeto del Contrato, resguardados los secretos comerciales e industriales. 

CLÁUSULA SEXTA – TRANSFERENCIA INTERNACIONAL DE DATOS

6.1 La Controladora autoriza la Transferencia Internacional de los Datos Personales por la Operadora cuando sea estrictamente necesario para ejecutar este Contrato. La Transferencia Internacional de Datos por parte de la Operadora se dará de forma a respetar las disposiciones de la LGPD, ofreciendo y garantizando un nivel adecuado de protección de los Datos Personales Asociados a la Controladora, resguardando los derechos y libertades de los Titulares. Esa autorización podrá ser revocada a cualquier momento por medio de nuevas orientaciones dictadas por la ANPD que impacten el Contrato.

6.2 Por medio de solicitud de la Controladora, la Operadora suministrará informaciones sobre la Transferencia Internacional de los Datos Personales, haciendo constar los datos objeto de la transferencia y la ubicación del servidor empleado.

CLÁUSULA SÉPTIMA – MEDIDAS DE SEGURIDAD

7.1 Las Partes aseguran que han adoptado medidas técnicas y organizacionales adecuadas y estructuradas de forma atender a los requisitos de seguridad, a los estándares de buenas prácticas y de gobernanza y a los principios generales previstos en la legislación y normas que se le apliquen para proteger los Datos Personales contra tratamiento no adecuado o ilícito, como accesos no autorizados o situaciones accidentales o ilícitas de destrucción, pérdida, cambio o comunicación.

7.2 Las Partes aseguran que todos los colaboradores o terceros que puedan tener acceso a los Datos Personales son personas de su confianza, incluso garantizan instrucción adecuada y que están sujetos a compromisos de confiabilidad, asegurando, desde ya, que dicho acceso será permitido solamente en las situaciones estrictamente necesarias para la ejecución del Contrato. 

CLÁUSULA OCTAVA – VIOLACIÓN DE DATOS PERSONALES

8.1 Al observar el suceso de una Violación de Datos Personales, la Operadora lo comunicará a la Controladora en hasta 48h (cuarenta y ocho horas) después de haber conocido el suceso indicando: (i) los Datos Personales afectados; (ii) los Titulares involucrados; (iii) duración del incidente de seguridad; (iv) impacto del incidente de seguridad; (v) medidas técnicas y de seguridad adoptadas; y (vi) demás informaciones relevantes; además de cooperar con informaciones sobre la investigación del incidente correspondiente.

8.1.1. Si la Operadora no cuenta con todas las informaciones aquí listadas al momento de enviar la comunicación, deberá enviarlas de forma gradual, para garantizar la mayor celeridad posible, siendo seguro que la comunicación completa (con todas las informaciones indicadas) debe ser enviada dentro de, como máximo, las 24 (veinticuatro) horas a partir del conocimiento del incidente. 

8.2 La necesidad de comunicación sobre la violación de Datos Personales Asociados a la Controladora a los Titulares y a ANPD será estudiada y realizada por la Controladora, en los moldes del artículo 48 de la LGPD.

8.3 Las Partes serán responsables, a sus expensas, por la investigación de las causas de la Violación de Datos que haya sucedido en el ámbito de la ejecución del Contrato y por la corrección de sus consecuencias. 

CLÁUSULA NOVENA – RESPONSABILIDAD

9.1 La Parte que provoque violaciones al Tratamiento y/o filtraciones de los Datos Personales será integralmente responsable cuando: a) No realice el Tratamiento de Datos Personales que le es atribuido; b) Realice el Tratamiento en desacuerdo con orientaciones y exigencias de la LGPD, de este documento y de la Controladora; c) No adopte las medidas de seguridad previstas en la LGPD y en este documento.

9.1.1 La Operadora no estará obligada a cumplir con las orientaciones y exigencias de la Controladora con relación al Tratamiento de los Datos Personales cuando haya conflicto con la dispuesto en la LGPD y en la legislación aplicable, siendo que no corresponde la responsabilidad de la Operadora en su incumplimiento.

9.2 Si la Parte Inocente debe desembolsar cualquier valor como consecuencia de violaciones y filtraciones provocadas por la otra Parte, esta debe reembolsar a la Parte Inocente de todo y cualquier coste provocado, desde que esté comprobado correctamente, cantidad esa que deberá ser corregida monetariamente. La Parte Inocente que repare el daño al Titular tendrá derecho a representar contra la Parte Infractora, para que se le repongan los valores que haya desembolsado, sobre los cuales incidirán corrección monetaria, en los moldes de la cláusula 9.2.

9.3. La Operadora se obliga, ante la Controladora y/o sus respectivos sucesores y cesionarios, si está debidamente comprobada su culpa, a indemnizar y a reembolsar y a todo momento a mantener a tales personas indemnes de cualesquier pérdidas o demandas, administrativas o judiciales, incurridas o sufridas, directa o indirectamente, en consecuencia o en virtud de cualquier violación a esta cláusula y/o a cualesquiera de las obligaciones de privacidad y protección de datos previstas en este Contrato, en la legislación aplicable (especialmente en la Ley n. 13.709/2018), en las normas sobre protección de datos dictadas por los órganos reguladores y fiscalizadores a los cuales las partes están subordinadas, y/o en los entendimientos y directrices elaborados por la ANPD.

Deskbee | Privacy Policy

Published in Sep/2024

English
español

PRIVACY AND PERSONAL DATA PROCESSING CONDITIONS

CLAUSE ONE – DEFINITIONS

1.1 – For the purposes of the Agreement, the definitions below shall apply:

a) ANPD: National Data Protection Authority: Public administration body with responsibilities related to the protection of personal data and privacy, being in charge of monitoring compliance with the LGPD within the national territory;

b) Controller: an individual or legal entity responsible for the personal data transmitted to the Operator to which the Operator may have access for the provision of the services covered by the Agreement, with the power to make decisions regarding personal data. In accordance with this agreement, the SUBSCRIBER is the Controller;

c) Operator: an individual or legal entity that processes the personal data transmitted by the Controller who has had access to them on its behalf as a result of the provision of services covered by the Agreement. In accordance with this agreement, DESKBEE is the Operator;

d) Personal Data: any data or information that, either separately or jointly with other data or names, identifies or allows a particular Data Subject to be identified;

e) Sensitive Personal Data: personal data about racial or ethnic origin, religious belief, political opinion, union membership, or organization of a religious, philosophical or political nature, data relating to health or sexual life, genetic or biometric data, when linked to an individual;

f) LGPD: Law No. 13709/2018, known as the General Data Protection Law;

g) Processing: any operation performed with personal data, whether by analog or digital means, such as collection, production, reception, classification, use, access, reproduction, transmission, distribution, processing, filing, storage, deletion, assessment, or control of information, modification, communication, transfer, dissemination, extraction, comparison, interconnection or destruction;

h) Data Subject(s): an individual to whom the personal data being processed refers.

i) Sub-operator(s): a third-party company hired by the Operator to provide services arising from the Agreement;

j) Personal Data Breach: security breach in connection with systems, files, databases, equipment and/or locations used by the Operator that leads to the illegal access, destruction, loss, modification, access, acquisition, disclosure or use of Personal Data Associated with the Controller that are in some way processed by the Operator;

k) International Data Transfer: the transfer of personal data to a foreign country or international organization of which the country is a member;

l) GDPR: Regulation n. 2016/679, known as the Europeand General Data Protection Regulation.

CLAUSE TWO – DATA PROCESSING

2.1 The parties hereby declare that they comply with all applicable legislation on privacy and data protection, including (whenever and when applicable) the Federal Constitution, the Consumer Protection Code, the Civil Code, the Brazilian Civil Rights Framework for the Internet (Law Federal No. 12,965/2014), its regulatory decree (Decree 8,771/2016), the General Data Protection Law (Federal Law No. 13,709/2018), General Data Protection Regulation (Regulation n. 2016/679) and other sectoral or general standards on the subject. 

2.2. The Controller declares that the Personal Data shared with the Operator or to which it may have access as a result of the contractual relationship entered into are correct, exact and up-to-date, having been lawfully and legitimately obtained, pursuant to the applicable legislation, thus ensuring the existence of legitimate expectations on the part of the Personal Data Holder and the use of appropriate legal bases for Processing.

2.3 The Operator shall have access to the Personal Data that are strictly necessary for the performance of the Agreement. DESKBEE does not collect Sensitive Personal Data and Personal Data from children and teenagers; therefore, the Controller shall abstain from granting the Operator access to any Personal Data of this kind.

2.4 In the context of the Agreement, the Operator agrees and ensures that: a) Personal Data Processing shall be carried out solely and exclusively for the execution of the purpose of the Agreement and in a manner compatible with the purposes for which they have been accessed, the Operator being prohibited from carrying out any other operation involving said data without previous and express authorization or request from the Controller; b) Access to Personal Data shall be granted solely to sub-operators, employees and collaborators that have been authorized and are involved in the provision of services, and these shall be bound by confidentiality obligations; c) It shall provide the Controller with assistance for the purpose of providing information and/or clarifications to competent authorities; d) It shall notify the Controller, within 24h (twenty-four hours), of any complaint, request or question received from competent authorities, and shall not respond, on behalf of the Controller, to any request of this kind unless it has been previously and expressly authorized to do so.

2.5. Should the Controller choose to acquire the Deskbee MobileID functionality, the Data Subject’s location data shall be collected, and such information shall be used in order to enable the operation of the system exclusively within the company’s premises, using Bluetooth Low Energy (BLE) technology to establish communication with internal devices. Such data shall be used solely to ensure proper detection of nearby BLE devices, without any tracking or collection of specific geographic information. Therefore, and given the fact that the data mentioned previously shall be processed by the Controller, the Controller is aware that it is responsible for complying with data protection standards regarding said personal data processing, as well as all other guidelines provided for in this Attachment.

2.6. All communications pertaining to the data protection shall be addressed to the other party via email. DESKBEE provides below the contact details of its personal data protection officer: Luiz Gustavo Garrido, phone No. (51) 3517-1104, email address [email protected]                 

2.7. The Controller, as approved in writing by DESKBEE, may install or enable third-party services to be used along with the Deskbee Solution, such as online applications, offline software products, services that use the DESKBEE API or that otherwise connect to the Deskbee Solution (“Third Party Services”). The acquisition and use of these third-party services by the Controller or its respective users is the sole responsibility of the Controller and the third-party provider in question. The Controller is aware that the providers of these third-party services may have access to the Controller Data related to the support and interoperability of these third-party services with the Deskbee Solution. To the extent that the Controller authorizes access to Controller Data or the transmission of such data through a given third-party service, the terms of such third-party service shall apply, and DESBKEE shall not be responsible for the use, disclosure, modification or deletion of such Controller Data, nor for actions or omissions by this third-party provider or its respective service. 

CLAUSE THREE – RETURN AND DISPOSAL OF PERSONAL DATA

3.1 Whenever requested in writing by the Controller to DESKBEE’S Personal Data Protection Officer or after the expiration or termination of the Agreement, the Operator must delete and/or anonymize, or return to the Controller, should it expressly request so in writing before deletion, all Personal Data in its possession within 60 (sixty) days from the termination of the Agreement, the Operator being authorized to store Personal Data for the period deemed necessary to comply with its legal and regulatory obligations and for the enforcement of vested rights. After the necessary storage period, the Operator must delete from its database all documents containing Personal Data.

3.2 The Parties undertake to carry out the Processing of Personal Data within the necessary period established by law, and must terminate the Processing when faced with the scenarios set out in article 15 of the LGPD and in accordance with the provisions of this Attachment.

3.3. In accordance with the General Data Protection Law – LGPD, if the subscription is interrupted, all information registered by the Controller must be extracted from the Deskbee solution by the Controller, in PDF or XLS / CSV files, within 60 (sixty) days from the date of termination. After this period, all data shall be immediately deleted from DESKBEE’s servers and shall no longer be available for access, with the exception of the aforementioned data that DESKBEE is obliged to keep storing.

CLAUSE FOUR – DATA SUBJECT RIGHTS

4.1 The Controller shall be responsible for ensuring that all Data Subject rights provided for in article 18 of the LGPD are observed.

4.2 The Operator shall provide assistance to the Controller, whenever necessary, so that the Data Subject rights mentioned in Clause 4.1 are observed.

4.3 Without prejudice to the assistance provided for in Clause 4.2, the Operator shall notify the Controller, within 24h (twenty-four hours) via email message to the Controller’s Personal Data Protection Officer indicated in the Adherence Agreement, if it receives a request from a Data Subject regarding the rights mentioned in the clauses above relating to Personal Data Associated with the Controller so that it may instruct the Operator and proceed with the action requested by the Data Subject.

CLAUSE FIVE – SUBCONTRACTING OF SERVICES

5.1 The Controller hereby authorizes the Operator to contract personal data sub-operators, either in whole or in part, to carry out any data processing activity related to the main purpose of the Agreement. In this sense, the Operator shall remain responsible for all contracted sub-operators, including when it comes to compliance with the personal data privacy requirements agreed upon by the Controller and the Operator.

5.2 By means of a request made by the Controller in writing and sent via email message to the Controller’s Personal Data Protection Officer, the Operator shall provide an updated list of all the information and processing operations carried out by of subcontracted companies to assist it in the proper fulfillment of the purpose of the Agreement, safeguarding commercial and industrial secrets.

CLAUSE SIX – INTERNATIONAL DATA TRANSFER

6.1 The Controller hereby authorized the Operator to carry out International Data Transfer when such transfer is absolutely necessary for the performance of the Agreement. These International Data Transfers by the Operator shall occur in a manner that observes the provisions set forth in the LGPD, providing and ensuring an appropriate level of protection to the Personal Data Associated with the Controller, safeguarding the rights and freedoms of Data Subjects. This authorization may be revoked at any given time by means of new directives issued by the ANPD that have an impact on the Agreement.

6.2 Upon request from the Controller, the Operator shall provide information about the International Personal Data Transfers, including the data subject to the transfer and the location of the server used.

CLAUSE SEVEN – SECURITY MEASURES

7.1 The Parties hereby ensure they have implemented appropriate and structured technical and organizational measures in order to meet security requirements, standards of good practice and governance and the general principles set forth in applicable legislation and regulatory standards, with the purpose of protecting the Personal Data against objectionable or illicit processing, such as unauthorized accesses or accidental or unlawful situations of destruction, loss, modification or communication.

7.2 The Parties guarantee the reliability of any collaborator or third party that may have access to Personal Data, by means of appropriate instructions and subject to confidentiality obligations, also guaranteeing that said access shall only be permitted in situations deemed strictly necessary for the performance of the Agreement.

CLAUSE EIGHT – PERSONAL DATA BREACH

8.1 Upon verifying the occurrence of a Personal Data Breach, the Operator shall notify the Controller within 48 (forty-eight) hours after becoming aware of the event, indicating (i) the Personal Data affected by such breach; (ii) the Data Subjects involved; (iii) the duration of such security incident; (iv) the impact of such security incident; (v) the technical and security measures adopted; and (vi) other relevant information, in addition to cooperating by providing information regarding the investigation of said incident.

8.1.1. If the CONTRACTOR does not have all the information listed herein at the time of sending a notification, it shall send such information gradually in order to ensure the greatest expediency possible, and the complete notification (with all the information indicated) must be sent within 24 (twenty-four) hours after having become aware of the incident.

8.2 The need for notifying the Data Subjects and the ANPD about a breach of Personal Data Associated with the Controller shall be assessed and carried out by the Controller, as provided for in article 48 of the LGPD.

8.3 The Parties shall be responsible, at their own expense, for investigating Data Breaches that may have occurred within the scope of the performance of the Agreement and for remedying their consequences.

CLAUSE NINE – RESPONSIBILITIES

9.1 The Party that causes breaches in the processing and/or leaks of Personal Data shall be fully responsible when: a) It does not carry out the Processing of Personal Data assigned to it; b) carrying out such Processing in non-compliance with the guidelines and requirements provided for in the LGPD, in this document and by the Controller; c) It fails to adopt the security measures provided for in the LGPD and in this document.

9.1.1 The Operator shall not be obliged to comply with the Controller’s guidelines and requirements regarding the Processing of Personal Data whenever there is conflict with the provisions set forth in the LGPD and applicable legislation, the Operator not being responsible in case of non-compliance.

9.2 If any amounts are disbursed by the Innocent Party as a result of breaches and leaks caused by the other Party, the latter must reimburse the Innocent Party for any costs incurred, provided that they are duly proven and which must be monetarily adjusted. The Innocent Party that indemnifies a Data Subject for damages shall have a right of recovery to be exercised against the infringing Party in order to be reimbursed for the amounts disbursed, which shall be subject to monetary adjustment, in accordance with clause 9.2.

9.3. The Operator undertakes, in relation the Controller and/or its respective successors and assignees, if its fault is duly proven, to reimburse, indemnify and hold all of them harmless at all times against any losses or claims, whether of an administrative or legal nature, incurred or suffered, either directly or indirectly, as a result of or by reason of any breach of this clause and/or any data protection or privacy obligation provided for in this Agreement, in applicable legislation (especially Law No. 13.709/2018), in the data protection rules and regulations issued by the regulatory and supervisory bodies to which the parties are subject, and/or in the understandings and guidelines issued by the ANPD.