Este Adendo de Processamento de Dados (“DPA“), está incorporado e faz parte dos termos e condições do Contrato Principal de Assinatura Mydatagent ou outro contrato sob o qual Mydatagent Ltda (“Mydatagent“) presta serviços ao Cliente (“Acordo“) celebrado entre a parte identificada como “Cliente” e Mydatagent. Este DPA é complementar ao Contrato e estabelece as funções e obrigações que se aplicam quando o Mydatagent processa Dados Pessoais em nome do Cliente em conexão com o uso dos serviços do Mydatagent pelo Cliente (“Serviços“). Se houver qualquer conflito entre o Contrato e este DPA, os termos deste DPA prevalecerão na medida de tal conflito. Quaisquer termos em letras maiúsculas não definidos neste DPA terão os significados que lhes são atribuídos no Contrato.

1.     Definições. Para efeitos deste DPA: 

1,1″controlador“,”processador“,”titular dos dados“,”dados pessoais” e “processamento” (e “processo“) terá o significado atribuído na Lei de Proteção de Dados do Brasil;

1,2″Lei de Proteção de Dados Aplicável“significa todas as leis e regulamentos mundiais de proteção de dados e privacidade aplicáveis aos Dados Pessoais em questão, incluindo, quando aplicável, a Lei de Proteção de Dados da UE/Reino Unido, a Lei de Proteção de Dados dos EUA, a Lei de Proteção de Dados do Brasil, a Lei de Proteção de Dados do Canadá. ;

1,3 “Violação” significa uma destruição, perda, alteração acidental ou ilegal ou divulgação ou acesso não autorizado que viole as obrigações de segurança do Mydatagent sob este Contrato pelo Mydatagent ou seus agentes dos quais o Mydatagent tome conhecimento.  A violação não incluirá uma violação malsucedida, que resulta na ausência de acesso não autorizado aos Dados Pessoais ou a qualquer equipamento ou instalação Mydatagent que armazene os Dados Pessoais, e pode incluir (sem limitação) pings e outros ataques de transmissão de firewalls ou servidores de borda, varreduras de portas, tentativas malsucedidas de login, ataques de negação de serviço, detecção de pacotes (ou outro acesso não autorizado a dados de tráfego que não resulte em acesso além dos cabeçalhos) ou incidentes semelhantes;

1,4″Lei Canadense de Proteção de Dados“significa: (i) a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos S.C. 2000, c. 5; (ii) lei provincial aplicável; (iii) toda e qualquer lei de proteção de dados aplicável feita sob, de acordo com ou que se aplica em conjunto com qualquer de (i) ou (ii); em cada caso, conforme alterado ou substituído de tempos em tempos; 

1,5 “Estrutura de privacidade de dados” significa o Quadro de Privacidade de Dados UE-EUA, a extensão do Reino Unido ao Quadro de Privacidade de Dados UE-EUA e o programa de autocertificação do Quadro de Privacidade de Dados Brasil-EUA operado pelo Departamento de Comércio dos EUA;

1,6 “Princípios de privacidade de dados” significa os princípios da Estrutura de Privacidade de Dados (conforme complementados pelos Princípios Suplementares);

1,7″Lei de Proteção de Dados da UE/Reino Unido” significa: (i) Regulamento 2016/679 do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados) (o “EU GDPR“); (ii) o GDPR da UE conforme salvo na legislação do Reino Unido em virtude da seção 3 da Lei (Retirada) da União Europeia do Reino Unido de 2018 (o “GDPR do Reino Unido“); (iii) a Diretiva de Privacidade Eletrônica da UE (Diretiva 2002/58/EC); e (iv) toda e qualquer lei nacional de proteção de dados aplicável feita sob, de acordo com ou que se aplique em conjunto com qualquer um de (i), (ii) ou (iii); em cada caso, conforme alterado ou substituído de tempos em tempos; 

1,8″Lei de Proteção de Dados dos EUA“significa: (i) a Lei de Privacidade do Consumidor da Califórnia de 2018, inclusive conforme alterada pela Lei de Direitos de Privacidade da Califórnia de 2020, codificada em Cal. Civ. Code §1798.100 et seq., na data de aplicação da CPRA de 1º de julho de 2023 ( juntamente com seus regulamentos de implementação) (“CPRA”); (ii) a Lei de Proteção de Dados do Consumidor da Virgínia; (iii) a Lei de Privacidade do Colorado; (iv) a Lei de Privacidade de Dados Pessoais e Monitoramento Online de Connecticut; (v) a Lei de Privacidade do Consumidor de Utah; (vi) a Lei de Proteção de Dados do Consumidor de Iowa; (vii) a Lei de Proteção de Dados do Consumidor de Indiana;  (viii) a Lei de Proteção de Informações do Tennessee; (ix) a Lei de Privacidade de Dados do Consumidor de Montana; (x) a Lei de Privacidade e Segurança de Dados do Texas; (xi) Lei de Privacidade do Consumidor de Oregon; (xii) a Lei de Privacidade de Dados Pessoais de Delaware; e (xiii) toda e qualquer lei e regulamento estadual abrangente de proteção de dados aplicável que esteja ou não em vigor na Data de Vigência; em cada caso, conforme possa ser alterado ou substituído de tempos em tempos; 

1,9″Brasil Lei de Proteção de Dados” significa: Lei de Proteção de Dados Pessoais (LGPD No caso de transferência de Dados Pessoais para um País Não Adequado, ao celebrar este DPA, o Cliente está celebrando as Cláusulas Contratuais Padrão do Brasil (“Brasil SCCs”) conforme adotado pelo “Comissário Brasileiro para Informações de Importância Pública e Proteção de Dados Pessoais”, para fornecer um nível adequado de proteção. As referências às Cláusulas Contratuais Padrão neste DPA incluirão as SCCs do Brasil.  As informações necessárias para preencher os Apêndices 1 a 8 das SCCs do Brasil com a finalidade de reger a transferência de Dados Pessoais para um País Não Adequado podem ser encontradas neste DPA e nos apêndices que o acompanham; 

1,10 “Princípios Suplementares” terá o significado atribuído na Estrutura de Privacidade de Dados;

1,11″Cláusulas Contratuais Padrão“significa: (i) onde se aplica o GDPR da UE ou o DPA da Brasil, as cláusulas contratuais anexadas à Decisão de Implementação 2021/914 da Comissão Europeia, de 4 de junho de 2021, sobre cláusulas contratuais padrão para a transferência de Dados Pessoais para países terceiros, nos termos do Regulamento (UE ) 2016/679 do Parlamento Europeu e do Conselho (“SCC da UE“); e (ii) quando o GDPR do Reino Unido for aplicável, cláusulas padrão de proteção de dados adotadas ou permitidas pelo Artigo 46 do GDPR do Reino Unido (“SCCs do Reino Unido“); e (iii) onde a Lei de Proteção de Dados do Brasil se aplica, as SCCs do Brasil; e

1,12″DPA Brasil“significa a Lei Federal Brasil revisada sobre Proteção de Dados, promulgada em 25 de setembro de 2020 e em vigor em 1º de setembro de 2023, conforme pode ser alterada ou substituída de tempos em tempos.  

2.     Relacionamento das partes: O Cliente instrui a Mydatagent a processar os dados pessoais descritos no Anexo I (o “Dados Pessoais“) em seu nome. Em relação a esse processamento, o Cliente será o controlador (ou, quando o Cliente instruir o Mydatagent em nome de um controlador terceiro, um processador em nome desse controlador) e o Mydatagent será um processador (ou, quando o Cliente for um processador em nome de um controlador terceiro, a Mydatagent será um subprocessador do Cliente). Cada parte cumprirá as obrigações que se aplicam a ela de acordo com a Lei de Proteção de Dados Aplicável. 
   
   
3.     Limitação de finalidade: Mydatagent processará Dados Pessoais para os fins descritos no Anexo I e estritamente de acordo com as instruções documentadas do Cliente (cujas instruções, quando o Cliente for um processador, refletirão as instruções de seu controlador) (o “Finalidade Permitida“), exceto quando exigido de outra forma por lei(ões) que não sejam incompatíveis com a Lei de Proteção de Dados Aplicável. Em nenhum caso a Mydatagent processará Dados Pessoais para seus próprios fins ou de terceiros. A Mydatagent informará imediatamente o Cliente (quem, onde O Cliente é um processador e informará o seu controlador se tomar conhecimento de que tais instruções de processamento infringem a Lei de Proteção de Dados Aplicável. 
   
   
4.     Mecanismos de transferência transfronteiriça:  

4.1    Ordem de precedência: Na medida em que o uso dos Serviços pelo Cliente requer um mecanismo de transferência posterior para transferir legalmente dados pessoais de uma jurisdição para o Mydatagent localizado fora dessa jurisdição (“Mecanismo de Transferência”), serão aplicados os termos estabelecidos nesta Cláusula 4. Caso os Serviços sejam abrangidos por mais de um Mecanismo de Transferência, a transferência de Dados Pessoais estará sujeita a um único Mecanismo de Transferência, conforme aplicável, e de acordo com a seguinte ordem de precedência: (i) o Quadro de Privacidade de Dados conforme definido disposto na Seção 4.2 (Estrutura de Privacidade de Dados) deste DPA; (ii) Cláusulas Contratuais Padrão conforme estabelecido na Seção 4.3 (Cláusulas Contratuais Padrão) deste DPA; e, se nem (i) nem (ii) forem aplicáveis, então (iii) outros mecanismos de transferência de dados aplicáveis permitidos pela Lei de Proteção de Dados Aplicável.  

4.2    Estrutura de privacidade de dados: Na medida em que o Mydatagent processa quaisquer Dados Pessoais através dos serviços sujeitos à Lei de Proteção de Dados da UE/Reino Unido e/ou DPA Brasil, o Mydatagent declara que é autocertificado sob a Estrutura de Privacidade de Dados e cumpre os Princípios de Privacidade de Dados ao processar qualquer um desses dados. Dados Pessoais. Na medida em que o Cliente esteja localizado nos Estados Unidos da América e seja autocertificado sob a Estrutura de Privacidade de Dados ou sujeito à Lei de Proteção de Dados da UE/Reino Unido, Mydatagent concorda ainda em (i) fornecer pelo menos o mesmo nível de proteção para quaisquer Dados Pessoais, conforme exigido pelos Princípios de Privacidade de Dados; (ii) notificar o Cliente por escrito, sem demora injustificada, se sua autocertificação para a Estrutura de Privacidade de Dados for retirada, rescindida, revogada ou de outra forma invalidada; e (iii) mediante notificação por escrito, trabalhar com o Cliente para tomar medidas razoáveis e apropriadas para interromper e remediar qualquer processamento não autorizado de Dados Pessoais.  

4.3    Cláusulas Contratuais Padrão: Para transferências transfronteiriças de dados sujeitas a Cláusulas Contratuais Padrão, as Cláusulas Contratuais Padrão serão consideradas celebradas e incorporadas a este DPA por esta referência e preenchidas da seguinte forma:

4a.    em relação aos Dados Pessoais protegidos pelo GDPR da UE, as SCCs da UE serão aplicadas preenchidas da seguinte forma:

(i) O Módulo Dois será aplicado na medida em que o Cliente for um controlador de Dados Pessoais, e o Módulo Três será aplicado na medida em que o Cliente for um processador de Dados Pessoais em nome de um controlador terceirizado;

(ii) na Cláusula 7ª, não se aplicará a cláusula de docagem facultativa;

(iii) na Cláusula 9, a Opção 2 será aplicada, e o prazo para notificação prévia de alterações de subprocessador será o estabelecido na Cláusula 8 deste DPA;

(iv) na Cláusula 11ª, não se aplicará o idioma facultativo;

(v) na Cláusula 17, a Opção 1 será aplicada e as SCCs da UE serão regidas pela lei da República da Irlanda;

(vi) na Cláusula 18(b), os litígios serão resolvidos perante os tribunais da República da Irlanda;

(vii) O Anexo I das CEC da UE será considerado preenchido com a informação constante do Anexo I deste DPA;

(viii) O Anexo II das CEC da UE será considerado preenchido com a informação constante do Anexo II deste DPA; e

(ix) O Anexo III das CEC da UE será considerado preenchido com as informações constantes do Anexo III deste DPA.  

4b.    em relação aos Dados Pessoais protegidos pelo GDPR do Reino Unido, as SCCs do Reino Unido serão aplicadas preenchidas da seguinte forma:

(i) enquanto o Cliente e o Mydatagent estiverem legalmente autorizados a confiar nas SCCs da UE para transferências de Dados Pessoais do Reino Unido, sujeitos ao preenchimento de um “Adendo do Reino Unido às Cláusulas Contratuais Padrão da UE” (“Adendo do Reino Unido”) emitido pelo Information Commissioner’s Office sob s.119A(1) da Lei de Proteção de Dados de 2018, então:

4. As SCCs da UE, preenchidas conforme estabelecido acima na Seção 4.3(a) deste DPA, também se aplicarão às transferências de tais Dados Pessoais, sujeitas às subcláusulas (B) e (C) abaixo; 
5. O Adendo do Reino Unido será considerado executado entre o Cliente transferente e o Mydatagent, e as SCCs da UE serão consideradas alteradas conforme especificado pelo Adendo do Reino Unido em relação à transferência de tais Dados Pessoais; e
6. Não se aplicará a cláusula facultativa de indenização ilustrativa.

(ii) se o Cliente e o Mydatagent não tiverem mais permissão para confiar nas SCCs da UE e no Adendo do Reino Unido, então o Cliente e o Mydatagent cooperarão de boa fé para implementar proteções apropriadas para transferências de tais Dados Pessoais, conforme exigido ou permitido pelo GDPR do Reino Unido sem demora injustificada;

4c.    em relação aos Dados Pessoais protegidos pela DPA Brasil, as SCCs da UE serão aplicadas conforme estabelecido em 4.3(a), alterada da seguinte forma:  

(i) as referências ao «Regulamento (UE) 2016/679» nas CCT da UE serão consideradas como referindo-se ao DPA do Reino Unido; 

(ii) as referências a artigos específicos do «Regulamento (UE) 2016/679» serão consideradas substituídas pelo artigo ou secção equivalente do DPA Reino Unido;

(iii) as referências a «UE», «União» e «Estado-Membro» serão consideradas substituídas por «Brasil»; 

(iv) as referências à «autoridade de controlo competente» e aos «tribunais competentes» são substituídas por «Comissário Federal Brasil para a Informação sobre a Proteção de Dados» e «tribunais aplicáveis da Brasil» (conforme aplicável);

(v) na Cláusula 17, as SCCs da UE serão regidas pelas leis da Brasil; e

(vi) na Cláusula 18(b), as disputas serão resolvidas perante os tribunais competentes da Brasil.

4d.    no caso de qualquer disposição do Contrato (incluindo este DPA) contradizer, direta ou indiretamente, as Cláusulas Contratuais Padrão, as Cláusulas Contratuais Padrão prevalecerão.

5.     Transferências posteriores: Mydatagent não participará (nem permitirá que qualquer subprocessador participe) de quaisquer outras transferências transfronteiriças de Dados Pessoais (seja como exportador ou importador de Dados Pessoais), a menos que tenha tomado as medidas necessárias para garantir que a transferência esteja em conformidade com a Lei de Proteção de Dados Aplicável.  Sem prejuízo do acima exposto, o Cliente consente em transferências transfronteiriças de Dados Pessoais onde a Mydatagent tenha implementado uma solução de transferência em conformidade com a Lei de Proteção de Dados Aplicável. 
   
   
6.     Confidencialidade do processamento: Mydatagent tomará as medidas apropriadas para garantir a confidencialidade dos Dados Pessoais conforme descrito no Contrato. 
   
   
7.     Segurança: Mydatagent implementará medidas técnicas e organizacionais apropriadas para proteger os Dados Pessoais de uma Violação.  Essas medidas terão em conta o estado da técnica, os custos de implementação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares.  Essas medidas incluirão, conforme apropriado:

          (a) a pseudonimização e criptografia de Dados Pessoais; 

          (b) A capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de tratamento; 

          (c) a capacidade de restaurar a disponibilidade e o acesso aos Dados Pessoais em tempo hábil no caso de um incidente físico ou técnico; 

          (d) Um processo para testar, analisar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do tratamento; 

          (e) no mínimo, essas medidas incluirão as medidas identificadas no Anexo II.

7.2.1 Categorização e Escopo: Para fins deste DPA, são considerados dados que requerem proteção especial:
(a) dados cadastrais: nome completo, e-mail, cargo, número de telefone;
(b) dados empresariais: nome da empresa, URL da empresa;
(c) dados de pagamento: nome do titular, CPF ou CNPJ;
(d) dados financeiros: informações de cartão de crédito (processados por gateway de pagamento certificado PCI DSS);
(e) credenciais de acesso: nome de usuário e senha.

7.2.2 Controles de Acesso e Privilégios:
(a) Nível 1 – Acesso Administrativo Total (exclusivo para CTO):
– Acesso ao painel administrativo completo
– Gerenciamento de todos os dados do sistema
– Configurações de segurança e infraestrutura
– Logs completos do sistema

(b) Nível 2 – Acesso Gerencial (Time de Desenvolvimento Senior):
– Acesso limitado ao painel administrativo
– Visualização de logs técnicos
– Sem acesso a dados financeiros ou de pagamento
– Acesso para resolução de problemas técnicos

(c) Nível 3 – Acesso Suporte (Time de Atendimento):
– Acesso apenas aos dados necessários para suporte
– Visualização limitada de dados cadastrais
– Sem acesso a dados financeiros ou senhas
– Logs de todas as ações realizadas

(d) Nível 4 – Acesso Básico (Demais colaboradores):
– Acesso apenas a informações agregadas
– Sem acesso a dados individuais de clientes
– Funcionalidades limitadas ao escopo de trabalho

7.2.3 Medidas Técnicas de Proteção:
(a) Criptografia AES-256 para dados armazenados;
(b) Criptografia em trânsito via TLS 1.3;
(c) Autenticação multi-fator (MFA) obrigatória para níveis 1 e 2;
(d) Tokens de sessão com expiração de 24 horas;
(e) Registro detalhado de todas as ações administrativas.

7.2.4 Resposta a Incidentes:
(a) Classificação de Severidade:
– Crítica: Comprometimento de dados de pagamento ou credenciais
Tempo de resposta: 2 horas
Tempo de resolução: 24 horas

– Alta: Exposição de dados cadastrais ou empresariais
Tempo de resposta: 4 horas
Tempo de resolução: 48 horas

– Média: Problemas de acesso ou funcionamento do sistema
Tempo de resposta: 8 horas
Tempo de resolução: 72 horas

– Baixa: Questões não críticas ou melhorias
Tempo de resposta: 24 horas
Tempo de resolução: 1 semana

(b) Processo de Escalação:
– Notificação imediata ao CTO para incidentes críticos
– Acionamento da equipe de resposta conforme severidade
– Comunicação ao cliente em até 24 horas para incidentes críticos ou altos
– Relatório detalhado pós-incidente

7.2.5 Retenção e Eliminação de Dados:
(a) Período de Retenção:
– Dados cadastrais e empresariais: 6 meses após inatividade da conta
– Dados de pagamento: 6 meses após último pagamento
– Logs de acesso: 6 meses
– Backups: 6 meses

(b) Processo de Eliminação:
– Eliminação automática após período de retenção
– Processo de sanitização segura de dados
– Confirmação documentada de eliminação
– Manutenção de registros de eliminação por 12 meses

7.2.6 Monitoramento e Auditoria:
(a) Monitoramento contínuo de acessos administrativos
(b) Revisão semanal de logs de acesso
(c) Auditoria mensal de permissões de usuários
(d) Testes trimestrais de controles de segurança
(e) Verificação mensal de conformidade com política de retenção

7.2.7 Transferência e Processamento:
(a) Processamento de dados de pagamento exclusivamente via gateway PCI DSS
(b) Transferências internas criptografadas
(c) Proibição de exportação de dados sensíveis
(d) Registro de todas as transferências de dados
(e) Avaliação prévia de necessidade para qualquer transferência

8.     Subprocessamento: A Mydatagent não subcontratará qualquer processamento dos Dados Pessoais a um subprocessador terceiro sem o consentimento prévio por escrito do Cliente, cujo consentimento, quando o Cliente for um processador, refletirá as instruções do seu controlador.  Não obstante, o Cliente consente que a Mydatagent contrate subprocessadores terceiros para processar os Dados Pessoais, desde que: (i) a Mydatagent forneça uma notificação por escrito com pelo menos 30 dias de antecedência sobre a adição ou remoção de qualquer subprocessador (incluindo detalhes do processamento que realiza ou irá executar), que também incluirá a postagem de detalhes de tal adição ou remoção no seguinte URL: https://Mydatagent.ai/docs/security/subprocessors; e (ii) o Mydatagent impõe termos de proteção de dados a qualquer subprocessador por ele nomeado que proteja os Dados Pessoais, em substância, de acordo com o mesmo padrão previsto por este DPA. Uma lista de subprocessadores aprovados na data deste DPA está anexada ao Anexo III, e a Mydatagent manterá e fornecerá cópias atualizadas desta lista ao Cliente quando adicionar ou remover subprocessadores de acordo com esta Seção.  Se o Cliente se recusar a consentir com a nomeação de um subprocessador terceirizado pela Mydatagent por motivos razoáveis relacionados à proteção dos Dados Pessoais, a Mydatagent não nomeará o subprocessador ou o Cliente poderá optar por suspender ou rescindir o Contrato. 
   
   
9.     Cooperação e direitos dos titulares dos dados: Mydatagent fornecerá toda a assistência razoável e oportuna ao Cliente (às custas do Cliente) para permitir que o Cliente (ou, quando o Cliente for um processador, seu controlador) responda a: (i) qualquer solicitação de um titular de dados para exercer qualquer um dos seus direitos sob Lei de Proteção de Dados Aplicável (incluindo os seus direitos de acesso, correção, oposição, apagamento e portabilidade de dados, conforme aplicável); e (ii) qualquer outra correspondência, consulta ou reclamação recebida de um titular de dados, regulador ou outro terceiro em conexão com o processamento de Dados Pessoais.   No caso de qualquer solicitação, correspondência, consulta ou reclamação ser feita diretamente ao Mydatagent, o Mydatagent irá (a menos que proibido pela lei aplicável) informar imediatamente o Cliente (que, quando o Cliente for um processador, por sua vez informará o seu controlador) fornecendo detalhes completos do mesmo. 
   
   
10.     Avaliação de impacto na proteção de dados: Mydatagent fornecerá ao Cliente toda a assistência razoável e oportuna (às custas do Cliente) que o Cliente possa exigir para permitir que ele (ou, quando o Cliente for um processador, para permitir que seu controlador) conduza uma avaliação de impacto na proteção de dados de acordo com a Aplicável Lei de Proteção de Dados, incluindo, se necessário, assistência ao Cliente (ou, quando o Cliente for um processador, seu controlador) para consultar sua autoridade de proteção de dados relevante. 
    
    
11.     Notificação de violação: Ao tomar conhecimento de uma Violação, a Mydatagent informará o Cliente (que, quando o Cliente for um processador, por sua vez informará o seu controlador) sem demora injustificada e fornecerá todas as informações e cooperação oportunas que o Cliente possa exigir para que o Cliente (ou, quando o Cliente for um processador, seu controlador) para cumprir suas obrigações de comunicação de violação de dados sob (e de acordo com os prazos exigidos pela) Lei de Proteção de Dados Aplicável.  A Mydatagent tomará ainda todas as medidas e ações necessárias para remediar ou mitigar os efeitos da Violação e manterá o Cliente informado sobre todos os desenvolvimentos materiais relacionados à Violação. 
    
    
12.     Exclusão ou devolução de Dados: Após uma solicitação por escrito do Cliente ou a rescisão ou expiração do Contrato, a Mydatagent destruirá ou devolverá ao Cliente todos os Dados Pessoais em sua posse ou controle.  Este requisito não se aplicará na medida em que o Mydatagent: (i) seja obrigado por qualquer lei aplicável a reter alguns ou todos os Dados Pessoais; e/ou (ii) retém Dados Pessoais em seus sistemas de backup até que os backups sejam substituídos ou eliminados de acordo com a política de backup do Mydatagent; desde que, no caso de (i) ou (ii), Mydatagent isole e proteja os Dados Pessoais de qualquer processamento adicional, exceto na medida necessária até que a exclusão seja possível. Até que os Dados Pessoais sejam eliminados ou devolvidos, a Mydatagent continuará a garantir o cumprimento das suas obrigações de segurança e privacidade no Contrato e neste DPA. 
    
    
13.     Auditoria: O Cliente (e, quando o Cliente for um processador, seu controlador) reconhece que o Mydatagent é regularmente auditado em relação à ISO 27001, SOC 1 e SOC 2 por auditores terceirizados independentes.  Mediante solicitação, a Mydatagent fornecerá uma cópia resumida de seu(s) relatório(s) de auditoria ao Cliente (e, quando o Cliente for um processador, seu controlador), cujo(s) relatório(s) estará(ão) sujeito(s) às disposições de confidencialidade do Contrato. Mydatagent também responderá a quaisquer perguntas de auditoria por escrito enviadas a ele pelo Cliente e se reunirá por teleconferência ou pessoalmente (às custas do Cliente) para abordar questões de acompanhamento (e, quando o Cliente for um processador, seu controlador), desde que o Cliente (e, onde o Cliente for um processador, seu controlador) não exercerá esse direito mais de uma vez por ano, exceto se e quando exigido por instrução de uma autoridade competente de proteção de dados.
     
14.     Processamento de acordo com a lei de proteção de dados dos EUA:

14.1    Tratamento de dados pessoais: O Cliente nomeia a Mydatagent como processador (ou, quando o Cliente for um processador, o Cliente nomeia a Mydatagent como subprocessador) para processar Dados Pessoais apenas para os Fins Comerciais (conforme definidos pela CPRA) listados nas instruções do Cliente no Anexo I. Processamento por O Mydatagent está descrito no Anexo I que estabelece as instruções de tratamento a que o Mydatagent está vinculado, incluindo a natureza e a finalidade do tratamento, o tipo de Dados Pessoais sujeitos ao tratamento e a duração do tratamento.  A Mydatagent seguirá as instruções do Cliente conforme descrito na Seção 3 e no Anexo I, e a Mydatagent ajudará o Cliente a cumprir suas obrigações sob a Lei de Proteção de Dados dos EUA.  Mydatagent cumprirá todas as seções aplicáveis da Lei de Proteção de Dados dos EUA, incluindo o fornecimento do mesmo nível de proteção para Dados Pessoais que a Lei de Proteção de Dados dos EUA exige que o Cliente forneça.  Tendo em conta a natureza do processamento e as informações disponíveis para Mydatagent, Mydatagent ajudará o Cliente: 

          (a) tomar medidas técnicas e organizacionais adequadas, na medida do possível, para o cumprimento da obrigação do responsável pelo tratamento de responder aos pedidos de direitos dos titulares dos dados, conforme descrito na Secção 9; 

          (b) ajudar o Cliente a cumprir as suas obrigações em relação à segurança do processamento de Dados Pessoais e em relação à notificação de uma violação da segurança do sistema, conforme descrito na Secção 7, Secção 11 e Anexo II; 

          (c) fornecer ao Cliente as informações necessárias para permitir que o Cliente conduza e documente quaisquer avaliações de proteção de dados, conforme descrito na Seção 10. O Cliente e o Mydatagent são responsáveis apenas pelas medidas que lhes são atribuídas; 

          (d) garantir que cada pessoa que processa Dados Pessoais esteja sujeita ao dever de confidencialidade em relação aos Dados Pessoais, conforme descrito no Anexo II; e

          (e) após fornecer ao Cliente a oportunidade de se opor, contratar qualquer subprocessador de acordo com um contrato por escrito de acordo com a Seção 8 que exige que o subprocessador cumpra as obrigações do Mydatagent com relação aos Dados Pessoais.  

14.2    Medidas de segurança:  Tendo em conta o contexto de tratamento, o Cliente e a Mydatagent implementarão medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco e estabelecerão uma repartição clara das responsabilidades entre eles para implementar as medidas conforme descrito no Anexo II. 

14.3    Exclusão ou devolução de Dados Pessoais: Mydatagent excluirá ou devolverá todos os Dados Pessoais ao Cliente no final da prestação dos serviços, conforme descrito na Seção 12. 

14.4    Direitos de auditoria: Mydatagent concede ao Cliente o direito de tomar medidas razoáveis e apropriadas para ajudar a garantir que Mydatagent use Dados Pessoais de acordo com a Lei de Proteção de Dados dos EUA e para interromper e remediar o uso não autorizado de Dados Pessoais. A Mydatagent irá, mediante solicitação razoável do Cliente, disponibilizar ao Cliente todas as informações em sua posse necessárias para demonstrar a conformidade da Mydatagent, conforme descrito na Seção 13. A Mydatagent permitirá uma auditoria das políticas e medidas técnicas e organizacionais da Mydatagent em apoio às obrigações sob os EUA Lei de Proteção de Dados e fornecerá um relatório da auditoria ao Cliente mediante solicitação, conforme descrito na Seção 13. 

14,5    Restrições ao Processamento de Dados Pessoais: Mydatagent está proibido de: (i) processar Dados Pessoais para quaisquer fins, exceto para Fins Comerciais, a menos que expressamente permitido pela Lei de Proteção de Dados dos EUA; (ii) processar Dados Pessoais para qualquer finalidade comercial adicional (que não seja a Finalidade Comercial), inclusive no atendimento a uma empresa diferente, a menos que expressamente permitido de outra forma pela Lei de Proteção de Dados dos EUA; (iii) processar Dados Pessoais fora do relacionamento comercial direto entre o Cliente e o Mydatagent, salvo permissão expressa em contrário pela Lei de Proteção de Dados dos EUA; (iv) Venda ou Compartilhamento (conforme ambos definidos pela CPRA) de Dados Pessoais; (v) combinar Dados Pessoais com Dados Pessoais que recebe de, ou em nome de, outra pessoa ou pessoas, ou coleta de sua própria interação com um titular de dados, a menos que expressamente permitido de outra forma pela Lei de Proteção de Dados dos EUA; ou (vi) processar os Dados Pessoais para qualquer outra finalidade, exceto conforme permitido por este DPA.   

14.6    Incapacidade de cumprir a lei de proteção de dados dos EUA: Mydatagent notificará o Cliente depois que Mydatagent determinar que não pode mais cumprir suas obrigações sob este DPA ou a Lei de Proteção de Dados dos EUA. No caso de incapacidade da Mydatagent de cumprir as suas obrigações, o Cliente poderá, a seu critério; (i) tomar medidas razoáveis e apropriadas para interromper e remediar qualquer uso não autorizado de Dados Pessoais; ou (ii) rescindir o Contrato. 

14,7    Certificação: Mydatagent certifica que compreende e cumprirá as restrições estabelecidas nesta Seção 14.

15.     Dados do sistema: Não obstante qualquer disposição em contrário neste Contrato, a Mydatagent poderá coletar Dados do Sistema e usar esses dados internamente para desenvolver, melhorar, oferecer suporte e operar seus produtos e serviços. O uso de dados do sistema pelo Mydatagent cumprirá a lei de proteção de dados aplicável. Mydatagent não pode compartilhar quaisquer Dados do Sistema que incluam Dados Pessoais com terceiros, exceto na medida em que os Dados do Sistema sejam agregados e anonimizados de forma que o Cliente e seus usuários não possam ser identificados. 
    
    
16.     Acordo de implementação local: Se e quando necessário para acomodar leis, regulamentos e/ou requisitos comerciais locais em um determinado país fora dos Estados Unidos, da União Europeia, do Espaço Econômico Europeu e de seus estados membros, da Brasil e do Reino Unido, as partes poderão celebrar um Acordo Local Adendo de Implementação cobrindo requisitos adicionais sob tais leis que ainda não foram abordados no Contrato ou neste DPA. 
    
    
17.     Verificações de antecedentes pessoais: Antes de contratar qualquer funcionário ou contratado que possa receber acesso a Dados Pessoais, o Mydatagent realizará uma verificação de antecedentes criminais (modificada conforme apropriado para cumprir a lei aplicável em países fora dos Estados Unidos) cobrindo o período de três anos anterior à data de início do emprego de tal funcionário. 
    
    
18.     Construção; Interpretação: Este DPA não é um contrato independente e só será eficaz se um Contrato estiver em vigor entre a Mydatagent e o Cliente. Este DPA faz parte do Contrato e é regido pelos seus termos e condições, incluindo as limitações de responsabilidade nele estabelecidas. Este DPA e o Contrato são a declaração completa e exclusiva do entendimento mútuo das partes e substituem e cancelam todos os acordos e comunicações escritos e orais anteriores relacionados ao assunto aqui tratado. Os títulos contidos neste DPA são apenas para conveniência de referência e não fazem parte deste DPA. 
    
    
19.     Divisibilidade: Se qualquer disposição deste DPA for considerada inválida ou inexequível, este DPA será alterado na medida mínima necessária para alcançar, na máxima extensão possível, o mesmo efeito legal e comercial originalmente pretendido pelas partes. Na medida permitida pela lei aplicável, as partes renunciam a qualquer disposição legal que tornaria qualquer cláusula deste DPA proibida ou inexequível em qualquer aspecto. 
    
    
20.     Alteração; Execução de direitos: Nenhuma modificação ou alteração deste DPA, nem qualquer renúncia a quaisquer direitos sob este DPA, será efetiva a menos que seja assinada por escrito pelas partes deste DPA. A falha de qualquer uma das partes em fazer cumprir quaisquer direitos sob este DPA não será interpretada como uma renúncia a quaisquer direitos de tal parte. Este DPA não pode ser interpretado como criando qualquer direito ou causa de ação em nome de terceiros, exceto na medida mínima exigida disponível aos titulares dos dados de acordo com a Lei de Proteção de Dados Aplicável. 
    
    
21.     Atribuição: Este DPA poderá ser cedido somente em conexão com uma cessão válida nos termos do Contrato. Se o Contrato for cedido por uma parte de acordo com seus termos, este DPA será automaticamente cedido pela mesma parte ao mesmo cessionário. 
    
    
22.     Lei Aplicável: Este DPA será regido e interpretado de acordo com as leis da jurisdição que rege o Contrato, a menos que exigido de outra forma pela Lei de Proteção de Dados da UE/Reino Unido ou pela Lei de Proteção de Dados Aplicável, caso em que este DPA será regido pelas leis descritas no relevante seção deste DPA.
     
23.   Homólogos: Este DPA poderá ser assinado e entregue por fax ou assinatura eletrônica e em duas ou mais vias, cada uma das quais será considerada um original, mas todas juntas constituirão um único e mesmo instrumento.
     
24.     Termos complementares às cláusulas contratuais padrão

24.1    Documentação e conformidade:  Para os fins da Cláusula 8.9, serão aplicadas as disposições de revisão e auditoria deste DPA.

24.2    Notificação e transparência:  

Para efeitos da Cláusula 8.3 – Módulos 2 e 3 e da Cláusula 15.1 (a), as partes concordam e reconhecem que pode não ser possível para o Mydatagent fazer as comunicações apropriadas aos titulares dos dados e, consequentemente, o Cliente (após notificação do Mydatagent) terá a opção de ser a parte que faz qualquer comunicação ao titular dos dados, e a Mydatagent fornecerá o nível de assistência estabelecido neste DPA.

24.3     Responsabilidade:  Para os fins da Cláusula 12(a), a responsabilidade das partes será limitada de acordo com as disposições de limitação de responsabilidade do Contrato. 

24,4     Signatários:  Não obstante o fato de as Cláusulas Contratuais Padrão serem aqui incorporadas por referência sem serem assinadas diretamente, Mydatagent e Cliente concordam que a execução do Contrato é considerada como constituindo a execução das Cláusulas Contratuais Padrão, e que está devidamente autorizado a fazê-lo em nome e para vincular contratualmente o exportador ou importador de dados (conforme aplicável) em conformidade.

Anexo I

Descrição do processamento de dados

Este Anexo I faz parte do DPA e descreve o processamento que o processador realizará em nome do controlador. 

1. LISTA DE PARTES

Controlador(es) / Exportador(es) de dados: [Identidade e dados de contacto do(s) responsável(is) pelo tratamento/exportador(es) de dados e, quando aplicável, do seu responsável pela proteção de dados e/ou representante na União Europeia]