Adendo do Contrato Principal de Assinatura sobre Tratamento de Dados

Este Adendo de Tratamento de Dados (“ATD”) incorpora e faz parte do Contrato Principal de Assinatura da Avetta (“Contrato Principal”) entre a Avetta e o Cliente e estabelece os termos, requisitos e condições adicionais nos quais a Avetta obterá, tratará, processará, divulgará, transferirá ou armazenará Dados Pessoais ao prestar serviços sob o Contrato Principal. Todos os termos em maiúsculas não definidos neste ATD devem ter o significado atribuído a eles no Contrato Principal.

1. Definições e interpretação.

1.1. Definições.

“Legislação Aplicável de Proteção de Dados” significa as leis e regulamentos aplicáveis ao tratamento de Dados Pessoais da respectiva parte em conexão com o Contrato Principal, incluindo, quando aplicável, (i) o Regulamento Geral de Proteção de Dados (UE) 2016/679 do Parlamento Europeu e do Conselho (“GDPR”), conforme alterado e complementado, conforme o caso, pelas leis e regulamentos relevantes dos Estados-Membros da UE nos quais o Cliente opera direta ou indiretamente, (ii) a Lei de Proteção de Dados do Reino Unido de 2018 e o Regulamento Geral de Proteção de Dados do Reino Unido (“GDPR do Reino Unido”), (iii) a Lei de Privacidade Australiana de 1988 e Princípios Nacionais de Privacidade, (iv) a Lei de Privacidade do Consumidor da Califórnia de 2018, conforme alterada pela Lei de Direitos de Privacidade da Califórnia de 2020, e quaisquer regulamentos ou orientações relacionados (coletivamente, a “CCPA”), (v) a Lei Canadense de Proteção de Informações Pessoais e Documentos Eletrônicos (“PIPEDA”) e (vi) quaisquer outras leis, regras, regulamentos, diretrizes e requisitos governamentais internacionais, federais, estaduais, provinciais e locais de privacidade ou proteção de dados atualmente em vigor e à medida que se tornem efetivos.

“Titular dos Dados” significa um indivíduo que é o sujeito dos Dados Pessoais e a quem ou sobre quem os Dados Pessoais se relacionam ou identificam, direta ou indiretamente.

“Estrutura de Privacidade de Dados” inclui a Estrutura de Privacidade de Dados UE-EUA, a Extensão do Reino Unido para a Estrutura de Privacidade de Dados UE-EUA e a Estrutura de Privacidade de Dados Suíça-EUA, que foram desenvolvidas respectivamente para promover o comércio transatlântico pelo Departamento de Comércio dos EUA e a Comissão Europeia, o Governo do Reino Unido e a Administração Federal Suíça para fornecer às organizações dos EUA mecanismos confiáveis para transferências de Dados Pessoais para os Estados Unidos do EEE, Reino Unido (e Gibraltar) e Suíça, garantindo proteção de dados consistente com as leis da UE, Reino Unido e Suíça.

“EEE” refere-se ao Espaço Econômico Europeu, que é formado por todos os Estados-membros da União Europeia e Islândia, Noruega e Liechtenstein.

“CCPs da UE” significa as cláusulas contratuais padrão da Comissão Europeia para a transferência de dados pessoais da União Europeia para países terceiros, conforme estabelecido no Anexo da Decisão (UE) 2021/914 da Comissão, cuja cópia está disponível em https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en.

“Dados Pessoais” significa qualquer informação que a Avetta trata que (i) identifica ou se relaciona com um indivíduo que pode ser identificado direta ou indiretamente a partir desses dados sozinhos ou em combinação com outras informações em posse ou controle da Avetta, ou (ii) a Legislação de Proteção de Dados Aplicável define como dados pessoais ou informações pessoais protegidas.

“Tratamento, trata e tratando” significa qualquer atividade que envolva o uso de Dados Pessoais, ou como a Legislação Aplicável de Proteção de Dados pode definir os termos “tratamento”, “trata” ou “tratando”. Inclui a obtenção, registro ou retenção dos dados, ou a realização de qualquer operação ou conjunto de operações sobre os dados, incluindo a organização, alteração, recuperação, uso, divulgação, apagamento ou destruição dos mesmos. O Tratamento também inclui a transferência de Dados Pessoais para terceiros.

“Violação de Segurança” significa uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação ou acesso a Dados Pessoais sem autorização.

“Solicitação de Direitos do Titular” significa o exercício por um Titular dos Dados de seus direitos sob a Legislação Aplicável de Proteção de Dados.

“Adendo do Reino Unido” significa o Adendo de Transferência de Dados Internacionais do UK Information Commissioner's Office às Cláusulas Contratuais Padrão da Comissão Europeia, cuja cópia está disponível em https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance.

1.2 Os Suplementos são parte integrante deste ATD e terão efeito como se estivessem estabelecidos na íntegra no corpo deste ATD. Qualquer referência a este ATD inclui os Suplementos.

1.3 Menções materiais escritos incluem e-mails.

1.4 No caso de conflito ou ambiguidade entre qualquer uma das disposições deste ATD e as disposições do Contrato Principal, as disposições deste ATD prevalecerão, e entre qualquer uma das disposições deste ATD e quaisquer disposições contidas no Suplemento A, as disposições aplicáveis do Suplemento A prevalecerão.

2. Funções e escopo do tratamento.

2.1 Funções das Partes. O Cliente e a Avetta reconhecem e concordam que:

(a) a Avetta é uma operadora de dados na medida em que o tratamento de Dados Pessoais é realizado em nome e sob a direção do Cliente; e

(b) A Avetta é uma controladora de dados na medida em que o tratamento de Dados Pessoais é para os próprios fins da Avetta em conexão com a prestação dos Serviços ou para os interesses comerciais legítimos da Avetta, como faturamento, gerenciamento de contas, suporte técnico, desenvolvimento de produtos, usos analíticos e vendas e marketing (por exemplo, envio de newsletters aos usuários administradores do Cliente).

2.2 Tratamento de Dados Pessoais pelo Cliente O Cliente reconhece e concorda que:

(a) O Cliente será o único responsável pela precisão, qualidade e legalidade dos Dados Pessoais enviados à Avetta (pelo Cliente ou por seus Titulares dos Dados);

(b) O Cliente só deve carregar e enviar para a Avetta Dados Pessoais que foram obtidos dos Titulares dos Dados em conformidade com a Legislação Aplicável de Proteção de Dados;

(c) O Cliente deve garantir que tem todos os consentimentos e avisos necessários em vigor e que tenha cumprido todos os outros requisitos da Legislação Aplicável de Proteção de Dados para permitir a transferência legal de Dados Pessoais (incluindo Dados Sensíveis) para a Avetta e permitir o tratamento de Dados Pessoais da Avetta em várias jurisdições de acordo com o Contrato Principal e este ATD;

(d) Quando o consentimento for a base legal para o tratamento de Dados Pessoais ou for necessário para o uso dos Serviços, o Cliente deverá, em todos os momentos, disponibilizar e manter (i) um mecanismo para obter tal consentimento dos Titulares dos Dados, e (ii) um mecanismo para os Titulares dos Dados retirarem tal consentimento, em cada caso de acordo com a Legislação de Proteção de Dados Aplicável; e

(e) O uso dos Serviços pelo Cliente não violará os direitos de nenhum Titular dos Dados.

2.3 Detalhes do Tratamento de Dados. O Suplemento B descreve as categorias gerais de Dados Pessoais, os tipos de Titulares de Dados e outros detalhes do tratamento que a Avetta realizará em conexão com a prestação dos Serviços de acordo com o Contrato Principal.

3. Obrigações da Avetta.

3.1 A Avetta tratará Dados Pessoais apenas para os fins específicos da transferência, conforme estabelecido no Suplemento B. A Avetta pode tratar Dados Pessoais para outra finalidade (i) quando tiver obtido o consentimento prévio do Titular dos Dados, (ii) quando necessário para o estabelecimento, exercício ou defesa de reivindicações legais no contexto de processos administrativos, regulatórios ou judiciais específicos; ou (iii) quando necessário para proteger os interesses vitais do Titular dos Dados ou de outra pessoa física. Na medida em que a Avetta atua como uma operadora de dados do Cliente, a Avetta tratará Dados Pessoais conforme as instruções do Cliente. As partes concordam que as instruções do Cliente devem estar dentro do escopo do Contrato Principal. Quaisquer instruções adicionais solicitadas requerem o consentimento prévio por escrito da Avetta. A Avetta notificará imediatamente o Cliente se, na opinião da Avetta, tal instrução violar qualquer Legislação Aplicável de Proteção de Dados. Quando aplicável, o Cliente será responsável por quaisquer comunicações, notificações, assistência e/ou autorizações que possam ser necessárias em conexão com seus Titulares dos Dados.

3.2 A Avetta, ao considerar a natureza do tratamento da Avetta e as informações disponíveis para a Avetta, ajudará razoavelmente o Cliente a cumprir as obrigações de conformidade do Cliente nos termos da Legislação Aplicável de Proteção de Dados, desde que o Cliente cubra todos os custos incorridos pela Avetta em relação ao fornecimento de tal assistência. Tais obrigações de conformidade podem incluir a obrigação de realizar uma avaliação do impacto das operações de tratamento na proteção de Dados Pessoais (uma “Avaliação de Impacto da Proteção de Dados”) onde um tipo de tratamento provavelmente resultará em um alto risco para os direitos e liberdades das pessoas singulares.

4. Empregados da Avetta.

4.1 A Avetta garantirá que todos os empregados que tenham acesso ou estejam envolvidos no tratamento de Dados Pessoais (i) tenham realizado treinamento sobre a Legislação Aplicável de Proteção de Dados relacionada ao manuseio de Dados Pessoais e como ela se aplica aos seus deveres específicos; e estejam cientes dos deveres da Avetta e de seus deveres e obrigações pessoais nos termos da Legislação Aplicável de Proteção de Dados e deste ATD; e (ii) estejam sob a obrigação apropriada de confidencialidade (seja um dever contratual ou estatutário).

4.2 A Avetta tomará medidas razoáveis para garantir a integridade e a confiabilidade de qualquer empregado da Avetta com acesso aos Dados Pessoais.

5. Segurança.

5.1 Levando-se em consideração o estado da técnica, os custos de implementação e a natureza, escopo, contexto e objetivos do tratamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades dos Titulares dos Dados, a Avetta implementou medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco, incluindo as medidas de segurança descritas no Anexo II do Suplemento B. A Avetta pode revisar e atualizar o Anexo II de tempos em tempos, desde que tais atualizações não diminuam materialmente a segurança geral dos Serviços ou Dados Pessoais.

5.2 O Cliente é responsável por analisar as informações disponibilizadas pela Avetta relacionadas à segurança de dados e decidir de forma independente se os Serviços atendem aos requisitos do Cliente e às obrigações legais nos termos da Legislação Aplicável de Proteção de Dados.

6. Violação de Segurança e perda de dados pessoais.

6.1 A Avetta deverá notificar o Cliente imediatamente após a Avetta tomar conhecimento de qualquer Violação de Segurança. A notificação da Avetta deve ser enviada para o e-mail registrado pelo Cliente nos Serviços e, quando nenhum e-mail for registrado, o Cliente reconhece que os meios de notificação ficarão a critério razoável da Avetta e a capacidade da Avetta de notificar em tempo hábil será impactada negativamente. A Avetta deve, prontamente, tomar medidas razoáveis para conter, investigar e mitigar qualquer Violação de Segurança. Caso o Cliente suspeite de alguma Violação de Segurança, cabe a ele informar imediatamente a infosec@avetta.com.

6.2 Na medida do possível, a Avetta fornecerá ao Cliente informações oportunas sobre a Violação de Segurança, incluindo, por exemplo, a natureza e as consequências da Violação de Segurança, as medidas tomadas e/ou propostas pela Avetta para mitigar ou conter a Violação de Segurança, o status da investigação da Avetta, um ponto de contato do qual informações adicionais podem ser obtidas e as categorias e o número aproximado de registros de dados em questão. As comunicações por ou em nome da Avetta com o Cliente em conexão com uma Violação de Segurança não devem ser interpretadas como um reconhecimento pela Avetta de qualquer falha ou responsabilidade com relação à Violação de Segurança.

7. Transferências transfronteiriças de Dados Pessoais; Cláusulas Contratuais Exigidas.

7.1 O Cliente reconhece e concorda que a Avetta pode transferir, acessar e tratar Dados Pessoais em uma base global, conforme necessário para fornecer os Serviços.

7.2 Quando a Legislação Aplicável de Proteção de Dados tiver prescrito mecanismos específicos para a transferência de Dados Pessoais para a Avetta e/ou cláusulas contratuais para o tratamento de Dados Pessoais pela Avetta (coletivamente, “Mecanismos de Transferência”), a Avetta deverá disponibilizar tais Mecanismos de Transferência específicos (na medida em que geralmente possibilitado pela Avetta) no Suplemento A.

7.3 Se a Legislação Aplicável de Proteção de Dados tiver prescrito requisitos adicionais para as cláusulas de transferência e/ou contrato para o tratamento de Dados Pessoais, a Avetta concorda em cooperar razoavelmente com o Cliente para a conformidade do Cliente com tais requisitos e atualizará os Mecanismos de Transferência no Suplemento A quando apropriado. O Cliente concorda em firmar outros documentos e tomar outras medidas que possam ser razoavelmente necessárias para dar efeito legal ao Mecanismo de Transferência adicional ou modificado.

8. (Sub)operadores.

8.1 O Cliente concorda que, na medida em que a Avetta atua como uma operadora de dados, a Avetta pode usar suboperadores listados em operadores e afiliadas para o tratamento de Dados Pessoais em conexão com a prestação dos Serviços. Pelo menos 10 dias antes de autorizar qualquer novo suboperador ou substituir qualquer suboperador, a Avetta notificará o Cliente sobre as alterações, publicando os novos suboperadores propostos em operadores e afiliadas. É responsabilidade do Cliente verificar esse site regularmente para obter atualizações. Se o Cliente tiver qualquer objeção legítima à nomeação de novo suboperador que se relacione com a conformidade da Avetta com este ATD, a Avetta envidará esforços razoáveis para resolver a objeção do Cliente. Se nenhuma resolução puder ser alcançada, a Avetta, a seu próprio critério, não nomeará o novo suboperador ou permitirá que o Cliente suspenda ou rescinda o Contrato Principal sem responsabilidade para nenhuma das partes. A Avetta não será obrigada a reembolsar nenhuma quantia paga nos termos do Contrato Principal. 8.2 O Cliente reconhece e concorda ainda que, na medida em que a Avetta atua como uma controladora de dados, a Avetta pode usar os prestadores de serviços adicionais descritos ou listados em operadores e afiliadas para os fins estabelecidos.

9. Solicitações sobre direitos dos Titulares dos Dados.

9.1 Cada uma das partes concorda em fornecer a assistência razoavelmente necessária para permitir que a outra parte cumpra quaisquer Solicitações de Direitos de Titulares dos Dados dentro dos prazos impostos pela Legislação Aplicável de Proteção de Dados.

10. Solicitação de acesso a dados de terceiros.

10.1 A Avetta notificará o Cliente sobre eventuais solicitações de divulgação dos Dados Pessoais do Cliente por um órgão governamental, regulador ou de fiscalização, a menos que seja proibido por lei ou por uma ordem legalmente vinculativa de tal órgão ou agência.

11. Vigência e rescisão.

11.1 Este ATD entrará em vigor na data de vigência do Contrato Principal ou do primeiro fornecimento de Dados Pessoais para a Avetta, o que ocorrer primeiro, e permanecerá em pleno vigor durante toda a vigência do Contrato Principal.

11.2 Qualquer disposição deste ATD que, expressa ou implicitamente, deva entrar ou continuar em vigor após a rescisão do Contrato Principal, a fim de proteger os Dados Pessoais, permanecerá em pleno vigor.

12. Devolução e destruição de dados.

12.1 A pedido escrito do Cliente, a Avetta fornecerá ao Cliente uma cópia ou acesso aos Dados Pessoais do Cliente em sua posse ou controle, no formato padrão da Avetta, se a solicitação for enviada antes do descarte dos Dados Pessoais pela Avetta.

12.2 Após a rescisão do Contrato Principal, a Avetta, dentro de um período razoável, excluirá ou destruirá com segurança os Dados Pessoais do Cliente relacionados a este ATD em sua posse ou controle. Este requisito não se aplicará (i) na medida em que a retenção dos Dados Pessoais seja para satisfazer quaisquer requisitos legais, regulatórios, fiscais, contábeis ou de relatórios ou seja necessária para o estabelecimento, exercício ou defesa de reivindicações legais se a Avetta acreditar razoavelmente que há uma perspectiva de litígio; e (ii) aos Dados Pessoais em sistemas de backup até que os backups tenham sido substituídos ou eliminados de acordo com a política de backup da Avetta, caso em que a Avetta isolará e protegerá os Dados Pessoais de qualquer tratamento adicional, exceto na medida exigida pela lei aplicável até que a exclusão seja possível.

13. Auditoria.

13.1 Mediante solicitação por escrito e sem custo adicional para o Cliente, a Avetta dará ao Cliente e/ou seu representante terceirizado devidamente qualificado (coletivamente, o “Auditor”), acesso à documentação razoavelmente solicitada que comprove a conformidade da Avetta com suas obrigações sob este ATD na forma das auditorias ou certificações relevantes listadas no Anexo II do Suplemento B, como ISO/IEC 27001:2013, ISO/IEC 27701:2019, ISO/IEC 27017:2015, ISO/IEC 27018:2019 e ISO/IEC 22301:2019 (“Certificações ISO”) e SOC 2 Tipo II. A Avetta também responderá a quaisquer questionários de auditoria escritos enviados a ela pelo Auditor e se reunirá por teleconferência ou pessoalmente (às custas do Cliente) para abordar questões de acompanhamento, desde que o Cliente não exerça esse direito mais de uma vez por ano, exceto se e quando exigido por instrução de uma autoridade de proteção de dados competente. A Avetta pode exigir que o Auditor assine um contrato de confidencialidade separado com a Avetta antes de qualquer revisão dos relatórios ou uma auditoria da Avetta, e a Avetta pode se opor por escrito a tal Auditor, se, na opinião razoável da Avetta, o Auditor não estiver adequadamente qualificado ou for um concorrente direto da Avetta. Qualquer objeção da Avetta exigirá que o Cliente nomeie outro Auditor. Quaisquer despesas incorridas por um Auditor em conexão com qualquer revisão dos relatórios ou auditoria serão arcadas exclusivamente pelo Auditor.

14. Disposições gerais.

14.1 As partes concordam que este ATD substituirá qualquer adendo de tratamento de dados, anexo, documento ou cláusulas contratuais padrão existentes que a Avetta e o Cliente possam ter celebrado anteriormente em conexão com os Serviços. A Avetta pode atualizar este ATD de tempos em tempos (por exemplo, em resposta a quaisquer alterações na Legislação de Proteção de Dados Aplicável, ou como resultado de uma fusão, aquisição, reorganização corporativa ou outra ocorrência semelhante ou o lançamento de novos recursos, funções, produtos ou serviços ou alterações materiais a qualquer um dos Serviços existentes), desde que, no entanto, nenhuma atualização diminua materialmente a privacidade ou a segurança dos Dados Pessoais. A Avetta publicará a versão atualizada em Adendo do Contrato Principal de Assinatura sobre Tratamento de Dados ou em um site sucessor designado pela Avetta.

14.2 A responsabilidade da Avetta sob ou em conexão com este ATD, incluindo sob as CCPs da UE, está sujeita às exclusões e limitações de responsabilidade contidas no Contrato Principal. Em nenhuma circunstância a Avetta limita ou exclui sua responsabilidade para com os Titulares dos Dados ou autoridades de proteção de dados competentes.

14.3 Exceto quando e na medida expressamente prevista nas CCPs da UE ou exigida como uma questão da Legislação de Proteção de Dados Aplicável, este ATD não confere nenhum direito a terceiros beneficiários. Ele destina-se apenas ao benefício das partes e seus respectivos sucessores e designados permitidos, não beneficiando nenhuma outra pessoa, assim como nenhuma disposição deste documento pode ser aplicada por nenhuma outra pessoa.

14.4 Este ATD e eventuais ações relacionadas a ele serão regidos e interpretados de acordo com as leis especificadas no Contrato Principal, sem dar efeito a quaisquer conflitos de princípios legais. As partes consentem com a jurisdição pessoal e o local nos tribunais especificados no Contrato Principal.

14.5 Se qualquer disposição deste ATD for, por qualquer motivo, considerada inválida ou inaplicável, as outras disposições do ATD permanecerão aplicáveis. Sem limitação à generalidade do acima exposto, o Cliente concorda que a Seção 14.2 (Limitação de Responsabilidade) permanecerá em vigor, não obstante a inaplicabilidade de qualquer disposição deste ATD.

SUPLEMENTO A

MECANISMOS DE TRANSFERÊNCIA E CLÁUSULAS CONTRATUAIS OBRIGATÓRIAS

Este Suplemento A dispõe sobre os Mecanismos de Transferência aceitos pela Avetta. Um Mecanismo de Transferência não se aplicará e não será incorporado a este ATD se não for aplicável às transferências do Cliente para a Avetta. Se um Mecanismo de Transferência listado for, ou se tornar, aplicável nos termos da Legislação Aplicável de Proteção de Dados, ele será considerado assinado pelas partes (se forem necessárias assinaturas) e será incorporado a este ATD.

1. Estrutura de Privacidade de Dados.

Para transferências de Dados Pessoais para os Estados Unidos, a Avetta se autocertificou com a Estrutura de Privacidade de Dados UE-EUA, a Extensão do Reino Unido para a Estrutura de Privacidade de Dados UE-EUA e a Estrutura de Privacidade de Dados Suíça-EUA administrada pelo Departamento de Comércio dos EUA. Para saber mais, consulte o Aviso da Estrutura de Privacidade de Dados da Avetta, disponível em www.avetta.com/data-privacy-framework.

2. Cláusulas Contratuais Padrão da UE (CCPs da UE).

Quando o tratamento envolver transferências de Dados Pessoais para fora do EEE para a Avetta, e não houver outra base legítima para a transferência internacional (por exemplo, se a Estrutura de Privacidade de Dados aplicável tiver sido invalidada), tais transferências estarão sujeitas às CCPs da UE, especificamente:

1. Em circunstâncias em que a Avetta atua como controladora de dados, o Módulo Um das CCPs da UE (para transferências de controladora para controladora), complementado pelos termos abaixo, deve se aplicar às transferências de Dados Pessoais entre o Cliente e a Avetta:
   1. Linguagem opcional na cláusula 7 (cláusula de adesão) é usada.
   2. A linguagem opcional na cláusula 11(a) (reparação) não é usada.
   3. Para a cláusula 17, a primeira opção é usada, e a lei da Alemanha é a lei aplicável.
   4. Para a cláusula 18(b), o fórum selecionado será o tribunal da Alemanha.
2. Em circunstâncias em que o Cliente é um controlador de dados e a Avetta é uma operadora de dados com relação ao tratamento, o Módulo Dois das CCPs da UE (para transferências de controlador para operador), complementado pelos termos abaixo, deve se aplicar:
   1. Linguagem opcional na cláusula 7 (cláusula de adesão) é usada.
   2. Para a cláusula 9(a), a opção 2 (autorização geral por escrito) é selecionada e o período especificado é de 10 (dez) dias.
   3. A linguagem opcional na cláusula 11(a) (reparação) não é usada.
   4. Para a cláusula 17, a primeira opção é usada, e a lei da Alemanha é a lei aplicável.
   5. Para a cláusula 18(b), o fórum selecionado será o tribunal da Alemanha.
3. O Anexo I, o Anexo II e o Anexo III das CCPs da UE serão considerados preenchidos com as informações estabelecidas neste Suplemento B.

3. Adendo do Reino Unido. Quando o tratamento envolver transferências de Dados Pessoais para fora do Reino Unido para a Avetta, e não houver outra base legítima para a transferência internacional (por exemplo, se a Estrutura de Privacidade de Dados aplicável tiver sido invalidada), tais transferências estarão sujeitas ao Adendo do Reino Unido, complementado pelos termos abaixo:

1. As partes deste Adendo do Reino Unido serão as partes do ATD.
2. As CCPs da UE que este Adendo do Reino Unido altera devem ser as CCPs da UE aplicáveis referenciadas na Seção 2 deste Suplemento A, e as Tabelas 1-3 do Adendo do Reino Unido devem ser preenchidas com as informações relevantes em conformidade.
3. Para os fins da Tabela 4 do Adendo do Reino Unido, “Importador” deve ser selecionado.
4. A parte 2 do Adendo do Reino Unido deverá ser: “Parte 2: Cláusulas Obrigatórias do Adendo Aprovado, sendo o modelo do Adendo B.1.0 emitido pela ICO e apresentado ao Parlamento de acordo com s119A da Lei de Proteção de Dados do Reino Unido de 2018 em 2 de fevereiro de 2022, conforme revisado de acordo com a Seção 18 dessas Cláusulas Obrigatórias.”

4. Cláusulas Contratuais Padrão da Suíça. Quando o tratamento envolver transferências de Dados Pessoais para fora da Suíça para a Avetta, e não houver outra base legítima para a transferência internacional (por exemplo, se a Estrutura de Privacidade de Dados aplicável não tiver sido reconhecida como/não for mais um mecanismo de transferência válido), tais transferências estarão sujeitas às CCPs da UE referenciadas na Seção 2 deste Suplemento A, exceto que:

1. O termo “estado membro” não deve ser interpretado de forma a excluir os Titulares dos Dados na Suíça da possibilidade de tratar seus direitos em seu local de residência habitual (Suíça) de acordo com a cláusula 18 (c) destas cláusulas contratuais padrão.
2. Em circunstâncias em que as transferências estão exclusivamente sujeitas à Lei Federal de Proteção de Dados da Suíça (“FADP”), as referências ao GDPR devem ser entendidas como referências à FADP.
3. Em circunstâncias em que as transferências estão sujeitas à FADP e ao GDPR, as referências ao GDPR devem ser entendidas como referências à FADP, na medida em que as transferências estejam sujeitas à FADP.

5. Cláusulas Contratuais da CCPA. Quando o tratamento envolver os Dados Pessoais de Residentes da Califórnia, as partes deverão cumprir adicionalmente o seguinte:

1. A Avetta: (i) apenas coletará, usará, reterá ou divulgará Dados Pessoais para os fins permitidos descritos no Contrato Principal e na CCPA e para nenhum outro propósito comercial; (ii) não venderá nenhum Dado Pessoal nem compartilhará nenhum Dado Pessoal para fins de publicidade comportamental contextualizada; (iii) não coletará, usará, reterá ou divulgará Dados Pessoais fora do relacionamento comercial direto entre a Avetta, exceto conforme necessário para fornecer os Serviços; (iv) não combinará Dados Pessoais que a Avetta receba do Cliente ou em nome dele com Dados Pessoais coletados em nome de outra pessoa ou pessoas, exceto para um propósito comercial que não envolva publicidade comportamental contextualizada e seja permitido pela CCPA; e (v) fornecerá pelo menos o mesmo nível de proteção de privacidade que a CCPA exige em relação aos Dados Pessoais. A Avetta certifica que entende essas restrições e as cumprirá.
2. O Cliente terá o direito (i) de monitorar a conformidade da Avetta com este ATD e (ii) de tomar medidas razoáveis e apropriadas para garantir que os Dados Pessoais sejam usados pela Avetta de acordo com o CCPA. A Avetta notificará o Cliente se a Avetta determinar que não pode mais cumprir nenhuma de suas obrigações nos termos do CCPA e, nesse caso, a Avetta trabalhará com o Cliente e tomará todas as medidas razoáveis e apropriadas para interromper e remediar qualquer tratamento até o momento em que o tratamento esteja em conformidade com o CCPA e este ATD.

SUPLEMENTO B

DETALHES DE TRATAMENTO DE DADOS PESSOAIS

Este Suplemento B faz parte do ATD e descreve o tratamento que a Avetta realizará em conexão com a prestação dos Serviços.

ANEXO I — DESCRIÇÃO DO TRATAMENTO DE DADOS

A. LISTAS DAS PARTES

Exportador de dados:

Importador de dados:

B. Descrição da transferência

C. Autoridade fiscalizadora competente

ANEXO II — MEDIDAS DE SEGURANÇA TÉCNICAS E ORGANIZACIONAIS

Visão geral

Os aplicativos de software como serviço da Avetta ("Serviços SaaS") foram projetados desde o início com a segurança em mente. Os Serviços SaaS Connect e Workforce Management são arquitetados com uma variedade de controles de segurança em cada nível de tratamento para lidar com uma série de riscos de segurança. Esses controles de segurança estão sujeitos a alterações; no entanto, eventuais alterações manterão ou melhorarão a postura geral de segurança da plataforma SaaS.

As principais áreas de controles de segurança abaixo se aplicam a cada um dos componentes do Serviços SaaS Avetta Connect e Workforce Management. A Avetta hospeda seus Serviços SaaS em plataformas de provedores de serviços em nuvem, utilizando principalmente a Amazon Web Services (AWS) e, em casos limitados, a Equinix.

Auditorias e certificações

Os Serviços SaaS da Avetta têm certificação ISO/IEC 27001:2013, ISO/IEC 27701:2019, ISO/IEC 27017:2015, ISO/IEC 27018:2019 e ISO/IEC 22301:2019 (“Certificações ISO”). A Avetta analisa sua conformidade anualmente com as Certificações ISO realizando uma auditoria de controles internos. Essa auditoria é analisada pelo Comitê de Sistemas de Gestão de Segurança da Informação e Privacidade, composto por membros da equipe de liderança executiva sênior da Avetta.

A Avetta utiliza principalmente regiões globais da AWS para sua computação e armazenamento para os Serviços SaaS. A AWS fornece instalações de primeira linha que obtiveram várias acreditações, incluindo SOC2, ISO/IEC 27001:2022, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019, ISO/IEC 22301:2019, ISO/IEC 20000-1:2018 e ISO/IEC 9001:2015. Essas instalações da AWS também oferecem proteções físicas de última geração, onde os dados dos clientes da Avetta são armazenados e tratados. A Avetta usa a Equinix como provedora de serviços em nuvem para o Workforce Management em determinadas regiões. A Equinix também mantém várias certificações, incluindo ISO/IEC 27001, ISO/IEC 22301, ISO/IEC 14001, ISO/IEC 9001, ISO/IEC 50001, PCI DSS, SOC 1 Tipo II e SOC 2 Tipo II. Para saber mais sobre os provedores de serviços em nuvem, acesse https://aws.amazon.com/compliance/programs/ e https://www.equinix.com/data-centers/asia-pacific-colocation/australia-colocation/sydney-data-centers/sy6.

Recuperação de Desastres e Continuidade de Negócios

Para garantir que seus Serviços SaaS mantenham um alto grau de disponibilidade do sistema, a Avetta usa um data center da AWS de backup/failover designado que está localizado em uma localização geográfica separada de sua instalação normal de tratamento de dados de produção. Isso garante que a Avetta possa responder rapidamente a qualquer evento ambiental, físico ou acidental que possa causar interrupção na instalação de produção da AWS.

A Avetta mantém um plano abrangente de Recuperação de Desastres e Continuidade de Negócios que é revisado pelo menos anualmente. Essa revisão permite que o pessoal da Avetta esteja familiarizado com o planejamento de emergência no caso de um evento que possa causar interrupção das atividades comerciais normais na Avetta.

Os sistemas da Avetta são projetados para aceitar um objetivo de ponto de recuperação (RPO) de menos de 2 horas e um objetivo de tempo de recuperação (RTO) de menos de 4 horas.

A Avetta também realiza um exercício abrangente de avaliação de riscos regularmente para garantir que estratégias e controles adequados de mitigação de riscos tenham sido implementados dentro da organização.

Resposta a incidentes

A Avetta mantém um Plano de Resposta a Incidentes abrangente. Esse plano, juntamente com processos e procedimentos relacionados, permite que o pessoal da Avetta responda rapidamente a uma violação de segurança suspeita ou potencial, ou outra atividade de segurança cibernética suspeita dentro do ambiente Avetta. Uma Equipe de Resposta a Incidentes, liderada por membros qualificados da equipe de segurança, avaliará eventuais situações e traçará planos de ação e estratégias de mitigação apropriados. Se uma suspeita de violação for confirmada, a Equipe de Resposta a Incidentes seguirá os protocolos designados para agir de imediato e responder adequadamente para mitigar a atividade mal-intencionada, além de preservar evidências forenses. Procedimentos de notificação também serão seguidos.

Criptografia

Os Serviços SaaS da Avetta mantêm a criptografia de dados em repouso usando AES-256. Elementos de dados adicionais também são criptografados usando métodos SALT. Esses processos de criptografia mantêm um alto grau de confidencialidade e integridade nos dados dos clientes. A separação lógica de dados é mantida nos Serviços SaaS da Avetta para que nenhum dado do cliente possa ser acessado por fontes não autorizadas. O acesso aos dados do cliente é controlado por meio de gerenciamento exclusivo de identidade e acesso com atributos que não permitem que usuários não autorizados acessem os dados do cliente.

As medidas de segurança da Avetta são implementadas com base em um método de “privilégio mínimo”, o que significa que apenas os empregados que têm uma necessidade comercial têm acesso a dados específicos e funções do sistema.

Controles de segurança de aplicativos web

O acesso do cliente aos Serviços SaaS é apenas através de protocolos de comunicação seguros; TLS 1.2 ou superior. Isso estabelece um canal de criptografia para permitir a transmissão segura dos dados entre um usuário final e os Serviços SaaS. Isso protege os dados do cliente durante os processos de transmissão de dados.

A administração dos Serviços SaaS por um cliente pode provisionar e cancelar o provisionamento para usuários do Serviço SaaS e acesso associado conforme a necessidade. Os Serviços SaaS permitem que os clientes habilitem a autenticação multifatorial para acessar contas de Serviços SaaS utilizando logon único via provedores de identidade SAML 2.0. Os Serviços SaaS permitem que os clientes ativem políticas de senha personalizáveis para ajudar a alinhar as senhas dos Serviços SaaS às políticas corporativas do cliente.

Rede

Os Serviços SaaS utilizam controles de rede do provedor de serviços em nuvem para restringir a entrada e saída da rede. Os grupos de segurança são empregados para limitar a atividade de rede a pontos de extremidade autorizados. Os Serviços SaaS usam uma arquitetura de rede multicamadas, incluindo vários ambientes virtuais Cloudflare separados logicamente, aproveitando zonas privadas, DMZs e não confiáveis dentro da infraestrutura de serviços em nuvem.

Monitoramento e auditoria

Os sistemas e redes de Serviços SaaS são monitorados quanto a incidentes de segurança, integridade do sistema, anormalidades de rede, atividade de tratamento, níveis de processamento de infraestrutura e disponibilidade. A Avetta usa um sistema de detecção de intrusão para monitorar a atividade da rede que alertará os membros da equipe designados pela Avetta sobre comportamentos suspeitos. Os firewalls de aplicativos web também são implementados para todos os serviços web públicos.

A Avetta registra eventos de aplicativo, rede, usuário e sistema operacional em um servidor syslog local e SIEM. Esses registros são analisados e revisados automaticamente quanto a atividades e ameaças suspeitas. Quaisquer anomalias de atividade do sistema são escaladas com a ação apropriada que pode ser necessária. A Avetta utiliza sistemas de gestão de informações de segurança e eventos que fornecem análise de segurança contínua das redes e do ambiente de segurança da Avetta, onde são registrados alertas, detecção e relatórios de indicadores de atividades possíveis ou suspeitas. Todos esses recursos e atividades são administrados pela equipe de DevOps e Segurança Cibernética da Avetta.

Gestão de vulnerabilidade

A Avetta realiza avaliações periódicas de vulnerabilidade de aplicativos web, análise de código estático e avaliações de segurança externas como parte de seu programa de segurança abrangente para ajudar a garantir que os controles de segurança adequados sejam implementados e operem de forma eficaz. Semestralmente, a Avetta contrata testadores independentes de vulnerabilidade e penetração de terceiros para realizar avaliações de vulnerabilidade de rede e web. O escopo dessas auditorias externas inclui a conformidade com as 10 principais vulnerabilidades da web do projeto de segurança de aplicativos abertos da web (OWASP). Os resultados da avaliação de vulnerabilidade são incorporados ao ciclo de vida de desenvolvimento de software da Avetta (“CVDS”) para remediar as vulnerabilidades identificadas. As vulnerabilidades específicas são priorizadas e inseridas no sistema de tickets internos da Avetta para rastreamento por meio de resolução.

Desenvolvimento de software seguro

A Avetta segue práticas de desenvolvimento seguras dentro do seu CVDS. Essas práticas incluem análise de código estático e ferramentas de análise de código em tempo real. As revisões por pares também são realizadas antes de o código ser implantado no ambiente de produção. Ambientes de tratamento separados foram implementados na Avetta: produção, teste/garantia de qualidade e demonstração. Os desenvolvedores de software da Avetta devem fazer treinamento de desenvolvimento seguro anualmente.

Equipe de cibersegurança da Avetta

A Avetta tem uma equipe de segurança dedicada liderada por um Gerente de Cibersegurança com mestrado em Cibersegurança. A equipe aplica regularmente a toda a empresa treinamentos de segurança, exercícios de segurança e exercícios de vulnerabilidade e penetração. Por meio desses esforços, a equipe de Cibersegurança garante que testes, avaliações e avaliações regulares da eficácia das medidas técnicas e organizacionais sejam feitos para garantir a segurança do tratamento dos dados dos clientes.

A equipe de Cibersegurança também participa de auditorias e certificações anuais e frequenta seminários de sua área de atuação.

Privacidade e proteção de dados

A Avetta mantém políticas robustas de segurança da informação e proteção de dados pessoais. Essas políticas descrevem os procedimentos que são seguidos para garantir a proteção das informações do cliente. Elas descrevem ainda os controles que são implementados, que incluem retenção de dados, diretrizes de acessibilidade e autenticação, diretrizes de uso aceitável e diretrizes de privacidade de dados.

ANEXO III — LISTA DE SUBOPERADORES

A lista atual de suboperadores da Avetta está disponível em: operadores e afiliadas.