Adendo de Processamento de Dados

1. Introdução

ULTEH está comprometida em garantir a privacidade, segurança e conformidade dos dados do cliente. Este Adendo de Processamento de Dados (DPA) descreve os termos que regem como processamos, armazenamos e protegemos dados pessoais de acordo com as leis e regulamentos de proteção de dados aplicáveis. Este DPA é uma extensão do nosso acordo principal com os Clientes e se aplica quando ULTEH processa dados pessoais em nome do Cliente como um processador de dados. Ele estabelece responsabilidades claras para ambas as partes em relação ao tratamento de dados, garantindo conformidade com as leis de privacidade relevantes. Ao usar ULTEH, , os Clientes reconhecem e concordam com os termos estabelecidos neste DPA. Se você precisar de uma cópia assinada deste acordo para fins de conformidade, entre em contato conosco.

2. Definições

Afiliada refere-se a qualquer entidade que direta ou indiretamente controla, é controlada por, ou está sob controle comum com uma parte. "Controle" significa a propriedade direta ou indireta de pelo menos 50% das ações com direito a voto, participações societárias ou direitos similares na entidade, dando a capacidade de influenciar sua gestão e políticas. As Afiliadas são consideradas vinculadas pelas obrigações e responsabilidades descritas neste DPA na medida em que se envolvam com o processamento de Dados Pessoais.

Subprocessador Autorizado significa qualquer fornecedor terceirizado, prestador de serviços ou contratado contratado pelo Prestador de Serviços para processar os Dados Pessoais do Cliente estritamente em nome e sob as instruções do Prestador de Serviços. Subprocessadores Autorizados auxiliam no cumprimento das obrigações sob este DPA e o Acordo principal. Todos os Subprocessadores devem cumprir as mesmas obrigações de proteção de dados, mantendo segurança, confidencialidade e conformidade regulatória.

Dados da Conta refere-se a todas as informações relacionadas a negócios coletadas, armazenadas e processadas pelo Prestador de Serviços em relação à sua relação contratual com o Cliente. Isso inclui, mas não se limita a, nomes, endereços de e-mail, números de telefone, detalhes de pagamento e credenciais de acesso de indivíduos autorizados pelo Cliente para gerenciar e operar sua conta na plataforma do Prestador de Serviços. Dados da Conta são usados estritamente para fins administrativos, faturamento e suporte.

Leis de Proteção de Dados abrangem todas as leis, regulamentos e estruturas aplicáveis que regem a coleta, processamento, armazenamento, transferência e proteção de Dados Pessoais. Isso inclui, mas não se limita ao, Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, o GDPR do Reino Unido aplicável ao Reino Unido, a Lei de Privacidade do Consumidor da Califórnia (CCPA), e quaisquer outras leis de privacidade nacionais ou internacionais relevantes para atividades de processamento de dados sob este Acordo. O cumprimento dessas leis garante que os Dados Pessoais sejam tratados de forma legal, transparente e segura.

Dados Pessoais refere-se a qualquer informação relacionada a uma pessoa física identificada ou identificável ("Titular dos Dados"). Uma pessoa identificável é aquela que pode ser identificada direta ou indiretamente, particularmente por referência a identificadores como nome, endereço de e-mail, número de telefone, dados de localização, um identificador online (como endereço IP ou cookies), ou outros fatores únicos que definem sua identidade. Dados Pessoais excluem dados anonimizados ou agregados que não podem ser usados para identificar um indivíduo.

Processamento significa qualquer operação ou conjunto de operações realizadas em Dados Pessoais, seja por meios automatizados ou manualmente. Isso inclui, mas não se limita a, coletar, registrar, organizar, estruturar, armazenar, adaptar, alterar, recuperar, consultar, usar, divulgar, transmitir, restringir, apagar ou destruir Dados Pessoais. O Processamento é conduzido de acordo com as instruções do Cliente e Leis de Proteção de Dados aplicáveis.

Medidas de Segurança referem-se às salvaguardas técnicas e organizacionais implementadas para garantir a confidencialidade, integridade e disponibilidade dos Dados Pessoais. Essas medidas incluem criptografia, controles de acesso, firewalls, mascaramento de dados, pseudonimização, auditorias de segurança regulares e mecanismos de notificação de violação. As Medidas de Segurança são projetadas para prevenir acesso não autorizado, perda acidental ou processamento ilegal de Dados Pessoais.

Autoridade Supervisora refere-se a uma autoridade pública independente responsável por monitorar e garantir o cumprimento das Leis de Proteção de Dados. Exemplos incluem o **Comitê Europeu de Proteção de Dados (EDPB)** para assuntos relacionados ao GDPR, o **Escritório do Comissário de Informação do Reino Unido (ICO)** para o GDPR do Reino Unido, e a **Agência de Proteção de Privacidade da Califórnia (CPPA)** para cumprimento da CCPA. A Autoridade Supervisora tem o poder legal de investigar reclamações, emitir orientações e impor penalidades por não conformidade.

Direitos do Titular dos Dados referem-se aos direitos concedidos aos indivíduos sob as Leis de Proteção de Dados aplicáveis. Esses direitos podem incluir o direito de acessar, retificar, excluir, restringir ou transferir seus Dados Pessoais, bem como o direito de se opor ao processamento e apresentar reclamações a uma Autoridade Supervisora. O Prestador de Serviços auxilia os Clientes na facilitação do exercício desses direitos quando aplicável.

3. Processamento de Dados

O Cliente pode atuar como Controlador de Dados ou como Processador de Dados, , dependendo de sua relação com o Titular dos Dados e das finalidades para as quais os Dados Pessoais são processados. Em todos os casos, ULTEH atua como Processador de Dados, , processando Dados Pessoais em nome e sob as instruções do Cliente.

O Cliente é responsável por garantir que todas as atividades de processamento de dados conduzidas usando nossos Serviços estejam em conformidade com Leis de Proteção de Dados Aplicáveis, , incluindo, mas não se limitando ao Regulamento Geral de Proteção de Dados (GDPR), GDPR do Reino Unido, Lei de Privacidade do Consumidor da Califórnia (CCPA), e outros regulamentos de privacidade aplicáveis. O Cliente reconhece que tem a base legal para processar Dados Pessoais e nos indeniza contra quaisquer reclamações, responsabilidades ou danos resultantes do não cumprimento desses requisitos legais.

Processaremos Dados Pessoais apenas de acordo com as instruções escritas do Cliente e somente conforme necessário para fornecer os Serviços, a menos que exigido de outra forma por lei. Não usaremos, divulgaremos ou compartilharemos Dados Pessoais para qualquer finalidade além daquelas autorizadas pelo Cliente ou explicitamente descritas neste Acordo.

Após rescisão do Acordo ou solicitação do Cliente, , nós, a critério do Cliente, devemos: (a) Excluir com segurança todos os Dados Pessoais processados sob este Acordo, garantindo que nenhuma cópia permaneça, a menos que exigido por lei, ou (b) Devolver os Dados Pessoais ao Cliente em um formato estruturado, comumente usado e legível por máquina antes da exclusão. O Cliente deve fornecer tais solicitações dentro de um prazo razoável antes da rescisão.

Se formos legalmente obrigados a reter Dados Pessoais além da rescisão, notificaremos o Cliente (a menos que legalmente proibidos de fazê-lo) e garantiremos que tais dados permaneçam protegidos em conformidade com as Leis de Proteção de Dados.

4. Segurança e Confidencialidade

ULTEH está comprometida em proteger a segurança e confidencialidade de Dados Pessoais processados em nome do Cliente. Para garantir a integridade e segurança dos dados, implementamos e mantemos medidas de segurança líderes do setor projetadas para prevenir acesso não autorizado, divulgação, alteração ou destruição de Dados Pessoais.

Estas medidas de segurança incluem, mas não se limitam a:

• Criptografia de Dados: Os Dados Pessoais são criptografados tanto em trânsito quanto em repouso usando protocolos de criptografia padrão da indústria para proteger contra acesso não autorizado.
• Controles de Acesso: Políticas rigorosas de gerenciamento de acesso garantem que apenas pessoal autorizado tenha acesso a Dados Pessoais com base no princípio do privilégio mínimo.
• Segurança de Rede e Sistema: Firewalls, sistemas de detecção de intrusão e monitoramento contínuo ajudam a prevenir acesso não autorizado e ameaças cibernéticas.
• Anonimização e Pseudonimização de Dados: Quando aplicável, os Dados Pessoais podem ser anonimizados ou pseudonimizados para reduzir riscos associados à exposição de dados.
• Auditorias de Segurança Regulares: Conduzimos avaliações periódicas de segurança, testes de vulnerabilidade e verificações de conformidade para identificar e mitigar riscos.
• Plano de Resposta a Incidentes: Um protocolo de resposta a incidentes estruturado garante que qualquer violação de segurança seja prontamente identificada, mitigada e relatada em conformidade com as Leis de Proteção de Dados aplicáveis.

Qualquer indivíduo, incluindo funcionários, contratados e prestadores de serviços autorizados, que processa Dados Pessoais em nosso nome está vinculado por obrigações rigorosas de confidencialidade. Isso inclui a assinatura de acordos de não divulgação (NDAs) legalmente exequíveis e adesão a políticas internas de manuseio de dados para garantir conformidade com os padrões de privacidade e segurança de dados.

Notificaremos prontamente o Cliente sobre qualquer **violação de segurança confirmada** que possa resultar na destruição, perda, alteração, divulgação ou acesso acidental ou ilegal a Dados Pessoais. Tais notificações incluirão detalhes do incidente, impacto potencial e esforços de remediação tomados para mitigar riscos.

Revisamos e atualizamos continuamente nossas medidas de segurança de acordo com padrões da indústria em evolução e requisitos regulatórios para garantir a proteção contínua dos dados do Cliente.

5. Subprocessadores

ULTEH pode contratar Subprocessadores terceirizados para auxiliar no fornecimento e manutenção dos Serviços. Estes Subprocessadores executam funções específicas como armazenamento de dados, hospedagem de infraestrutura, análises ou suporte ao cliente. Garantimos que todos os Subprocessadores contratados aderem a obrigações rigorosas de proteção de dados equivalentes àquelas descritas neste DPA.

Mantemos uma lista atualizada de Subprocessadores, incluindo suas funções e locais de processamento. Os Clientes podem solicitar informações sobre os Subprocessadores atuais a qualquer momento entrando em contato conosco.

Direitos e Objeções do Cliente:

• Notificaremos os Clientes sobre quaisquer **novas contratações de Subprocessadores** com pelo menos 10 dias de antecedência.
• Os Clientes podem enviar uma **objeção** por escrito ao uso de um novo Subprocessador dentro deste período de 10 dias se tiverem **preocupações legítimas de proteção de dados**.
• Ao receber uma objeção, iniciaremos **discussões de boa fé** para abordar preocupações, o que pode incluir encontrar soluções alternativas.
• Se uma resolução mutuamente aceitável não for alcançada, o Cliente pode ter o direito de **rescindir os Serviços afetados** de acordo com o Acordo.

Permanecemos totalmente responsáveis pelas ações de nossos Subprocessadores e garantimos que eles cumpram com::

• Leis de Proteção de Dados, , incluindo GDPR, CCPA e outros regulamentos aplicáveis.
• Acordos de confidencialidade para proteger Dados Pessoais.
• Medidas de segurança padrão da indústria para prevenir acesso não autorizado ou uso indevido de dados.

Reservamo-nos o direito de **atualizar ou substituir** nossos Subprocessadores conforme necessário, com a devida consideração às preocupações do Cliente e obrigações contínuas de conformidade.

6. Transferências de Dados Pessoais

ULTEH pode transferir Dados Pessoais para fora do Espaço Econômico Europeu (EEE), Reino Unido (UK) ou Suíça para facilitar a prestação de Serviços. Quando tais transferências ocorrem, garantimos que salvaguardas legais apropriadas estejam em vigor para proteger os dados transferidos em conformidade com as Leis de Proteção de Dados aplicáveis.

Confiamos em mecanismos de transferência de dados reconhecidos, incluindo, mas não se limitando a::

• Cláusulas Contratuais Padrão (SCCs): Incorporamos SCCs aprovadas pela Comissão Europeia ou outras autoridades competentes para garantir transferências legais de dados.
• Medidas Suplementares: Quando necessário, aplicamos salvaguardas técnicas, organizacionais e contratuais adicionais para melhorar a proteção de dados.
• Regras Corporativas Vinculantes (BCRs): Quando aplicável, nossas entidades afiliadas aderem a BCRs garantindo um alto nível de proteção de dados em operações internacionais.
• Outros Mecanismos de Transferência Aprovados: Cumprimos com quaisquer estruturas adicionais, certificações ou instrumentos legais reconhecidos para transferências de dados transfronteiriças legais.

Direitos e Assistência do Cliente: Estamos comprometidos em auxiliar o Cliente a garantir conformidade com os direitos dos Titulares dos Dados sob as Leis de Proteção de Dados aplicáveis. Isso inclui, mas não se limita a::

• Solicitações de Acesso: Permitir que os Titulares dos Dados acessem seus Dados Pessoais.
• Solicitações de Retificação: Permitir correções de dados imprecisos ou incompletos.
• Solicitações de Exclusão ("Direito ao Esquecimento"): Auxiliar na exclusão de Dados Pessoais mediante solicitação, quando legalmente permitido.
• Objeção e Restrição de Processamento: Apoiar os Titulares dos Dados no exercício de seus direitos de se opor ou restringir atividades de processamento de dados.
• Portabilidade de Dados: Facilitar a transferência de Dados Pessoais para outro controlador de dados, quando aplicável.

Monitoramos continuamente os regulamentos globais de privacidade para garantir conformidade com os **requisitos de transferência de dados transfronteiriça** e notificaremos o Cliente se mudanças na estrutura legal impactarem nossas obrigações de processamento de dados.

7. Direitos do Titular dos Dados

ULTEH reconhece e respeita os direitos dos **Titulares dos Dados** sob as **Leis de Proteção de Dados** aplicáveis. Auxiliaremos o **Cliente**, como Controlador de Dados, na resposta a solicitações de indivíduos referentes aos seus **Dados Pessoais**.

Os Titulares dos Dados podem exercer os seguintes direitos::

• Direito de Acesso: A capacidade de solicitar e obter confirmação se seus dados estão sendo processados, juntamente com acesso aos dados.
• Direito de Retificação: O direito de corrigir ou atualizar Dados Pessoais imprecisos ou incompletos.
• Direito de Exclusão ("Direito ao Esquecimento"): O direito de solicitar a exclusão de Dados Pessoais, sujeito a obrigações legais e contratuais.
• Direito de Restringir o Processamento: A capacidade de limitar o processamento de Dados Pessoais sob certas condições.
• Direito à Portabilidade de Dados: A capacidade de obter e transferir Dados Pessoais para outro provedor de serviços quando tecnicamente viável.
• Direito de Objeção: O direito de se opor ao processamento baseado em interesses legítimos, marketing direto ou tomada de decisão automatizada.
• Direito de Retirar Consentimento: Se o processamento for baseado em consentimento, o Titular dos Dados pode retirar o consentimento a qualquer momento.

Responsabilidades do Cliente: O Cliente, atuando como Controlador de Dados, é responsável por lidar com solicitações do Titular dos Dados. Forneceremos **assistência razoável** mediante solicitação, garantindo que as respostas sejam tratadas **prontamente e em conformidade** com as leis aplicáveis.

Não responderemos diretamente a uma solicitação do Titular dos Dados, a menos que legalmente obrigados a fazê-lo ou explicitamente autorizados pelo Cliente.

8. Notificação de Violação de Dados

ULTEH leva a segurança a sério e implementa **medidas preventivas** para proteger Dados Pessoais. No entanto, no caso de uma **Violação de Dados Pessoais**, agiremos **rápida e transparentemente**.

Plano de Resposta a Violação de Dados: Se tomarmos conhecimento de uma **Violação de Dados Pessoais confirmada** que possa resultar em **acesso não autorizado, perda, alteração ou divulgação** de Dados Pessoais, nós::

• **Avaliaremos o impacto** da violação e tomaremos medidas imediatas para mitigar riscos.
• **Notificaremos o Cliente sem demora indevida** (tipicamente dentro de 48 horas após a confirmação).
• Forneceremos detalhes incluindo::
  • A natureza e escopo da violação.
  • O tipo de dados afetados.
  • As possíveis consequências.
  • Medidas tomadas ou propostas para resolver a violação.
• **Auxiliaremos o Cliente** no cumprimento de quaisquer obrigações regulatórias, incluindo notificações às autoridades e Titulares dos Dados afetados, quando exigido.
• **Implementaremos ações corretivas** para prevenir violações futuras.

Responsabilidades do Cliente: O Cliente é responsável por determinar se deve notificar autoridades reguladoras e Titulares dos Dados em conformidade com as Leis de Proteção de Dados aplicáveis.

Documentaremos todas as violações e manteremos registros de nossa **investigação, esforços de mitigação e ações de remediação**.

9. Retenção e Exclusão de Dados

ULTEH retém **Dados Pessoais apenas pelo tempo necessário** para cumprir suas obrigações sob este Acordo ou conforme exigido pelas leis aplicáveis.

Política de Retenção de Dados:

• Seguimos **princípios de minimização de dados**, garantindo que os dados sejam retidos apenas para **necessidades legítimas de negócios e conformidade**.
• Os dados serão excluídos ou anonimizados uma vez que **não sejam mais necessários** para fins de processamento.
• Os períodos de retenção podem variar dependendo de **requisitos legais, contratuais ou regulatórios**.

Exclusão de Dados Controlada pelo Cliente:

• Os Clientes podem solicitar **exclusão de Dados Pessoais** a qualquer momento.
• Após a rescisão dos serviços, **excluiremos ou devolveremos Dados Pessoais** de acordo com as instruções do Cliente.
• Se nenhuma solicitação de exclusão for feita, **excluiremos automaticamente** Dados Pessoais dentro de um prazo razoável, a menos que legalmente obrigados a retê-los.

Exceções à Exclusão de Dados: Em certos casos, podemos **reter Dados Pessoais** além do período de retenção acordado, incluindo::

• Para cumprir **obrigações legais** (por exemplo, requisitos fiscais, de auditoria ou regulatórios).
• Para **interesses legítimos**, como prevenção de fraude ou investigações de segurança.
• Quando exigido por uma **solicitação legal vinculativa** (por exemplo, ordem judicial).

Garantimos que **procedimentos de exclusão segura** sejam seguidos, evitando qualquer recuperação ou uso indevido não autorizado de Dados Pessoais.

10. Lei Aplicável e Resolução de Disputas

Este Adendo de Processamento de Dados (DPA) será regido e interpretado de acordo com as **mesmas leis e jurisdição** definidas no acordo principal entre ULTEH e o Cliente.

Processo de Resolução de Disputas: Se surgir qualquer disputa relacionada a este DPA, ambas as partes concordam em seguir um processo de resolução estruturado, incluindo::

• Negociação de Boa-Fé: As partes primeiro tentarão resolver disputas através de discussões diretas e negociações.
• Mediação ou Arbitragem: Se a negociação falhar, a disputa pode ser encaminhada para mediação ou arbitragem, conforme descrito no acordo principal.
• Procedimentos Legais: Se nenhuma resolução for alcançada, as disputas podem ser resolvidas através de procedimentos legais formais na jurisdição aplicável.

No caso de qualquer conflito entre este DPA e o acordo principal, **os termos deste DPA prevalecerão** exclusivamente no que diz respeito a questões de proteção de dados, garantindo conformidade com Leis de Proteção de Dados.

11. Disposições Finais

Este Adendo de Processamento de Dados forma parte integrante do acordo geral entre ULTEH e o Cliente. Ao continuar a usar os Serviços, o Cliente reconhece e **aceita os termos deste DPA**.

Se qualquer disposição deste DPA for considerada **inválida ou inexequível**, as disposições restantes continuarão em pleno vigor e efeito. As partes concordam em substituir qualquer disposição inexequível por uma que reflita a intenção original o mais próximo possível, permanecendo em conformidade com as leis aplicáveis.

Alterações e Atualizações: Reservamo-nos o direito de **modificar ou atualizar este DPA** para refletir mudanças nas **Leis de Proteção de Dados aplicáveis, práticas da indústria ou necessidades operacionais**. Os Clientes serão notificados sobre quaisquer mudanças materiais, e o uso continuado dos Serviços constitui aceitação dos termos atualizados.

Informações de Contato: Para quaisquer perguntas, preocupações ou para solicitar uma cópia assinada deste DPA, os Clientes podem entrar em contato conosco em:: [email protected].