DPA - ACORDO DE PROCESSAMENTO DE DADOS 07/05/2026

DPA - ACORDO DE PROCESSAMENTO DE DADOS 07/05/2026

Termos oficiais em PDF anexo e texto replicado em seguida:

ANEXO I – ACORDO DE PROCESSAMENTO DE DADOS 

Este Acordo de Processamento de Dados ("DPA") integra e complementa os Termos de Uso e Política da Privacidade da Jestor ("Termos de Uso") celebrados entre a Jestor Tecnologia para Negócios Ltda (denominada "Jestor" ou "Operador") e o usuário da plataforma Jestor ("Cliente" ou "Controlador"), doravante denominados conjuntamente como "Partes". 

Este DPA estabelece as obrigações e responsabilidades das Partes relativas à privacidade e à segurança dos dados pessoais tratados em conexão com a plataforma Jestor. Os Termos de Uso, a Política de Privacidade da Jestor ("Política de Privacidade") e este DPA constituem, em conjunto, o acordo ("Acordo") que rege a prestação dos Serviços da Jestor ao Cliente. Em caso de conflito entre este DPA e os Termos de Uso, prevalecerão as disposições deste DPA no que se refere às matérias de proteção de dados. 

Os termos iniciados em letra maiúscula utilizados, mas não definidos neste instrumento, terão os significados a eles atribuídos nos Termos de Uso ou, conforme aplicável, na legislação de proteção de dados pertinente. 

CONSIDERANDO QUE: 

1. O Cliente atua como Controlador. 
2. O Cliente deseja subcontratar determinados Serviços que envolvem o tratamento de Dados Pessoais ao Operador. 
3. As Partes pretendem celebrar um acordo de tratamento de dados em conformidade com os requisitos do arcabouço legal vigente em matéria de tratamento de dados, tais como a CCPA e a LGPD. 
4. As Partes desejam estabelecer seus direitos e obrigações. 

FICA ACORDADO: 

1. DEFINIÇÕES 

1.1 "ANPD" significa a Autoridade Nacional de Proteção de Dados, órgão regulador responsável pela implementação e suporte técnico de mecanismos de transferência internacional de dados. 

1.2 "LGPD" significa a Lei Geral de Proteção de Dados Pessoais brasileira (Lei nº 13.709/2018). 

1.3 "CCPA" significa a Lei de Privacidade do Consumidor da Califórnia de 2018 (California Consumer Privacy Act). 

1.4 "Dados de Serviço" significa quaisquer dados fornecidos, acessados ou coletados pela Jestor em nome do Cliente em conexão com os Serviços, podendo incluir dados de telemetria ou dados pessoais como, entre outros, nomes e endereços de e-mail utilizados para fins de login. 

1.5 "Dados do Cliente" significa os dados inseridos pelo Cliente ou seus Usuários na Solução para tratamento, podendo incluir dados pessoais. Tais dados são de titularidade do Cliente e tratados sob seu controle exclusivo. 

1.6 "Incidente de Segurança da Informação" significa uma violação de segurança que resulte em alteração, perda ou divulgação ou acesso não autorizado a Dados do Cliente ou Dados de Serviço. 

1.7 "Medidas de Segurança" significa as medidas técnicas e organizacionais adotadas pela Jestor para proteger os Dados do Cliente. 

1.8 "Serviços" significa os serviços e produtos prestados pela Jestor ao Cliente nos termos do Acordo. 

1.9 "Suboperadores" significa terceiros autorizados nos termos deste DPA a tratar Dados do Cliente e Dados de Serviço em conexão com os Serviços. 

1.10 "Vigência" significa o período compreendido entre a data de entrada em vigor deste DPA e o término da prestação dos Serviços pela Jestor. 

1.11 "Solução de Transferência" significa as Cláusulas Contratuais Padrão ou outro mecanismo que permita a transferência de dados pessoais a um país terceiro de acordo com a legislação aplicável, tais como as cláusulas contratuais padrão aprovadas pela ANPD ou outras modalidades válidas. 

1.12 Alguns termos, incluindo, entre outros, "controlador", "operadores" e "dados pessoais" ou "informação pessoal", podem ter suas definições estabelecidas na legislação aplicável, como a CCPA e a LGPD. 

2. PAPÉIS E ESCOPO DO TRATAMENTO 

2.1 O Cliente atua como Controlador (ou Business, conforme definido pela CCPA) e mantém autoridade plena sobre as finalidades e os meios do tratamento dos Dados do Cliente. Em relação a tais dados, a Jestor atua exclusivamente como Operador (ou Service Provider, conforme definido pela CCPA), realizando o tratamento em nome do Cliente e de acordo com as instruções documentadas do Cliente. 

2.2 O Cliente, atuando como Controlador, é o único responsável por identificar, estabelecer e manter uma base legal válida para cada atividade de tratamento realizada por meio dos Serviços, em conformidade com a legislação de proteção de dados aplicável, incluindo o Artigo 7º da LGPD e as disposições aplicáveis da CCPA. 

2.3 A Jestor, em sua qualidade de Operador, trata os Dados do Cliente exclusivamente conforme as instruções do Cliente e não determina nem verifica de forma independente a base legal para tal tratamento. O Cliente garante que, durante toda a Vigência, possui e manterá uma base legal lícita para instruir a Jestor a tratar os Dados do Cliente, inclusive para quaisquer transferências posteriores ou atividades de subtratamento autorizadas nos termos deste DPA. 

2.4 A Jestor não será responsabilizada por qualquer falha do Cliente em estabelecer ou manter uma base legal válida para o tratamento, e o Cliente deverá indenizar a Jestor por quaisquer penalidades regulatórias, multas ou reclamações de terceiros decorrentes de tal falha. 

2.5 O Cliente reconhece que a Jestor atua como Controladora independente (ou Business, conforme definido pela CCPA) em relação aos Dados de Serviço, os quais a Jestor trata para suas próprias finalidades operacionais legítimas, incluindo, entre outras, autenticação, segurança da plataforma e melhoria do serviço. 

2.6 Ao celebrar este DPA, o Cliente instrui a Jestor a tratar os Dados do Cliente em estrita conformidade com a legislação de proteção de dados aplicável e exclusivamente para as seguintes finalidades: prestar seus Serviços conforme descrito no Acordo, incluindo este DPA e seus Anexos; e cumprir quaisquer instruções adicionais documentadas pelo Cliente por escrito. A Jestor não tratará os Dados do Cliente para qualquer finalidade além das acima descritas, salvo quando expressamente autorizada pelo Cliente ou exigida pela legislação aplicável. 

2.7 Limitação de Finalidade. A Jestor trata os Dados do Cliente exclusivamente para prestar os serviços descritos no Acordo e para nenhuma outra finalidade comercial. A Jestor não venderá nem compartilhará os Dados do Cliente, nem reterá, utilizará ou divulgará tais dados fora do escopo da relação comercial direta entre as partes, exceto quando exigido ou permitido pela legislação aplicável. A Jestor declara que compreende e cumprirá tais restrições. 

2.8 Acesso aos Dados do Cliente. A Jestor não acessará os Dados do Cliente exceto quando tal acesso for realizado mediante orientação do Cliente, seja para fins de suporte técnico, consultoria ou qualquer outra solicitação relacionada aos serviços, ou quando tal acesso for necessário para finalidades operacionais, tais como, entre outras, segurança, integridade da infraestrutura ou cumprimento de obrigações legais ou regulatórias aplicáveis. 

2.9 Caso a Jestor, a qualquer momento, determine que não pode cumprir com suas obrigações de proteção de dados nos termos deste DPA ou da legislação aplicável, deverá, sem demora injustificada, informar o Cliente acerca de tais circunstâncias, permitindo que o Cliente adote as medidas necessárias para evitar qualquer tratamento não autorizado dos Dados do Cliente ou dos Dados de Serviço do Cliente. 

2.10 Quando o próprio Cliente atuar como operador em nome de um controlador terceiro, o Cliente garante que obteve todas as autorizações necessárias do controlador competente para tratar os Dados do Cliente, incluindo autorização expressa para a contratação de suboperadores, como a Jestor, e para quaisquer transferências posteriores e instruções de tratamento decorrentes em conexão com os Serviços. 

3. OBRIGAÇÕES DO CLIENTE 

3.1 O Cliente, atuando como controlador, terá responsabilidade exclusiva por garantir que todos os Dados do Cliente submetidos ou tratados por meio da plataforma Jestor estejam em conformidade com todas as leis e regulamentos de proteção de dados aplicáveis. 

3.2 O Cliente será responsável por implementar e manter controles de segurança apropriados, incluindo, entre outros: (a) uso adequado dos Serviços de acordo com as melhores práticas de segurança da informação geralmente aceitas, incluindo aquelas relativas à gestão de dispositivos e redes; (b) administração e proteção seguras das credenciais associadas à conta do Cliente na plataforma Jestor; e (c) procedimentos adequados de backup dos Dados do Cliente. 

3.3 O Cliente é o único responsável por verificar se a plataforma Jestor atende a quaisquer requisitos regulatórios ou setoriais específicos aplicáveis ao seu uso, reconhecendo que a plataforma é destinada a fins gerais e não garante conformidade com leis ou regulamentos específicos além dos arcabouços gerais de proteção de dados, como a LGPD ou a CCPA. 

3.4 O Cliente arcará com a responsabilidade exclusiva por qualquer violação das leis de proteção de dados aplicáveis decorrente de sua falha em estabelecer ou manter uma base legal lícita para o tratamento, incluindo quaisquer penalidades regulatórias, multas ou indenizações devidas a terceiros. 

4. DIREITOS DO TITULAR DOS DADOS 

4.1 A Jestor terá responsabilidade exclusiva pelo atendimento das requisições de titulares de dados relativas aos Dados de Serviço, quando a Jestor atuar como controladora. O Cliente terá responsabilidade exclusiva, incluindo quaisquer custos associados, pelo atendimento das requisições de titulares relativas aos Dados do Cliente, quando o Cliente atuar como controlador. 

4.2 Como controlador dos Dados do Cliente, o Cliente será o único responsável por receber, gerenciar e responder às requisições de direitos dos titulares, incluindo, entre outras, requisições de acesso, retificação, anonimização, restrição, eliminação, portabilidade e informação sobre o compartilhamento de dados, conforme previstos na legislação aplicável, tais como os Artigos 17 a 22 da LGPD, a Seção 1798.105 da CCPA e quaisquer outras disposições legais pertinentes. 

4.3 A Jestor, em sua qualidade de operadora, prestará assistência razoável ao Cliente no atendimento às requisições de titulares, mediante solicitação e conforme necessário, na medida em que tais requisições não possam ser atendidas pelo Cliente por meio das funcionalidades disponíveis nos Serviços, inclusive fornecendo apoio adicional por outros meios apropriados, hipótese em que tal assistência poderá ser prestada às expensas razoáveis do Cliente. 

4.4 Caso a Jestor receba uma requisição de titular relativa aos Dados do Cliente, poderá, a seu critério, notificar ou redirecionar a requisição ao Cliente. O Cliente permanecerá como único responsável por gerenciar e responder a tais requisições. 

4.5 O prazo de resposta da Jestor às requisições de titulares será aquele estabelecido pelas leis e regulamentações de proteção de dados aplicáveis no local em que a Jestor opera oficialmente. Quando não houver prazo legal específico aplicável, a Jestor envidará esforços razoáveis para responder dentro de um prazo razoável. 

5. RELATÓRIOS DE IMPACTO À PROTEÇÃO DE DADOS 

5.1 Quando o Cliente, em sua qualidade de Controlador, determinar que uma atividade de tratamento realizada por meio dos Serviços requer um Relatório de Impacto à Proteção de Dados Pessoais nos termos do Artigo 38 da LGPD ou avaliação equivalente sob outra legislação de proteção de dados aplicável, o Cliente será o único responsável por conduzir e manter tal relatório. 

5.2 Mediante solicitação por escrito do Cliente, a Jestor prestará assistência razoável ao Cliente na elaboração de tais relatórios, na medida em que as informações pertinentes se relacionem às atividades de tratamento da Jestor e estejam dentro do conhecimento e controle razoável da Jestor. Tal assistência limitar-se-á ao fornecimento de documentação disponível sobre as medidas técnicas e organizacionais de segurança da Jestor, relacionamentos com suboperadores e práticas de tratamento de dados, conforme descrito neste DPA e na documentação de segurança publicamente disponível da Jestor. 

5.3 Qualquer assistência prestada pela Jestor nos termos desta Seção será sem prejuízo da responsabilidade exclusiva do Cliente pelo relatório e seus resultados, e não constituirá assunção pela Jestor de qualquer obrigação ou responsabilidade relativa ao cumprimento, pelo Cliente, de suas obrigações como Controlador. Quando tal assistência exigir esforço material além do descrito acima, poderá ser prestada às expensas razoáveis do Cliente, mediante prévio acordo escrito entre as Partes. 

6. SEGURANÇA DOS DADOS 

6.1 Medidas de Segurança. A Jestor, como Operadora, implementará e manterá medidas técnicas e organizacionais apropriadas, destinadas a proteger os Dados do Cliente e os Dados de Serviço, garantindo um nível de segurança adequado ao risco. Informações adicionais sobre segurança podem ser acessadas em: https://www.jestor.com/security/ 

6.2 Controles de Acesso. A Jestor garantirá que o acesso aos Dados do Cliente e Dados de Serviço seja concedido apenas a seus empregados, prestadores de serviços e Suboperadores que necessitem de tal acesso para o desempenho de suas funções e que estejam vinculados a obrigações apropriadas de confidencialidade. Cada parte restringirá o acesso aos Dados do Cliente ao pessoal que tenha necessidade legítima de acessá-los para os fins de execução das tarefas pertinentes. 

6.3 Registros das Operações de Tratamento. A Jestor mantém registros internos de suas atividades de tratamento de dados pessoais em sua qualidade de controladora. Tais registros são mantidos em forma e formato determinados a critério razoável da Jestor. Quando a Jestor atuar como operadora em nome do Cliente, a responsabilidade pela manutenção dos registros dessas atividades de tratamento caberá ao Cliente, na qualidade de controlador. 

7. INCIDENTES DE SEGURANÇA DA INFORMAÇÃO 

7.1 Caso a Jestor tome conhecimento de um Incidente de Segurança da Informação, deverá notificar o Cliente no prazo de três (3) dias úteis a contar da qualificação de tal incidente, e adotará medidas razoáveis para identificar sua causa, mitigar potenciais danos e prevenir sua recorrência. 

7.2 A notificação será realizada de acordo com as leis de proteção de dados e orientações regulatórias aplicáveis sobre comunicação de incidentes de segurança, e incluirá as informações exigidas em tais arcabouços, incluindo, quando aplicável, os requisitos previstos na LGPD, tais como: (I) a descrição da natureza e categoria dos dados pessoais afetados; (II) as medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comerciais e industriais; (III) os riscos relacionados ao incidente e a identificação de potenciais impactos sobre os titulares; (IV) os motivos da demora na notificação, no caso de a comunicação não ter sido feita dentro do prazo aplicável; (V) as medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do incidente, quando aplicável; (VI) a data em que se tomou conhecimento do incidente de segurança; e (VII) as informações de contato para obtenção de mais informações e, quando aplicável, os dados de contato do encarregado de proteção de dados. 

7.3 Em caso de incidente, a Jestor envidará esforços comercialmente razoáveis para seguir as instruções razoáveis do Cliente destinadas a mitigar ou remediar quaisquer efeitos adversos decorrentes do incidente, sempre que as funcionalidades de autosserviço da plataforma não forem suficientes, hipótese em que tal assistência poderá ser prestada às expensas razoáveis do Cliente. 

7.4 O Cliente será o único responsável pelo cumprimento de quaisquer obrigações de comunicação de incidentes que lhe sejam aplicáveis nos termos das leis e regulamentos pertinentes, bem como por quaisquer notificações exigidas a titulares, terceiros ou outras autoridades em conexão com qualquer Incidente de Segurança da Informação. 

7.5 A comunicação da Jestor a respeito de, ou as ações tomadas em resposta a, um Incidente de Segurança da Informação não serão interpretadas como uma admissão de culpa, responsabilidade ou obrigação em conexão com tal incidente. 

8. RETENÇÃO E ELIMINAÇÃO DE DADOS 

8.1 A Jestor reterá os Dados de Serviço e os Dados do Cliente apenas pelo tempo necessário para prestar os Serviços, cumprir suas obrigações nos termos deste Acordo, atender a requisitos legais ou regulatórios aplicáveis ou conforme exigido por autoridades competentes ou expressamente autorizado pelo Cliente. 

8.2 Durante a vigência do Acordo, os Dados de Serviço e os Dados do Cliente serão hospedados e armazenados nos bancos de dados da Jestor em servidores localizados nos Estados Unidos. 

8.3 Mediante a rescisão ou expiração do Acordo, a Jestor eliminará os Dados do Cliente de seus sistemas sem demora injustificada, em conformidade com as leis de proteção de dados aplicáveis, exceto quando a retenção for exigida por lei ou razoavelmente necessária para o cumprimento de obrigações legais, ou quando retidos por um período limitado conforme estabelecido nos Termos de Serviço. Qualquer exportação dos Dados do Cliente será de responsabilidade exclusiva do Cliente, que é orientado a recuperar e exportar seus dados por meio das funcionalidades de autosserviço disponibilizadas nos Serviços antes da rescisão. 

9. SUBOPERADORES 

9.1 O Cliente concede à Jestor autorização geral para contratar Suboperadores e divulgar ou transferir Dados do Cliente a tais Suboperadores para fins de prestação dos Serviços, inclusive para transferências posteriores, quando aplicável. O Cliente reconhece e aprova a lista de Suboperadores disponibilizada pela Jestor em https://jestor.com/subprocessors, que poderá ser atualizada periodicamente. O Cliente autoriza ainda a Jestor a divulgar e transferir Dados do Cliente a qualquer entidade do grupo corporativo da Jestor para as mesmas finalidades, sujeito aos termos deste Acordo. 

9.2 Ao contratar qualquer Suboperador, a Jestor celebrará um acordo escrito impondo obrigações de proteção de dados substancialmente equivalentes a este DPA em termos de proteção de dados considerando a natureza dos serviços do suboperador, e, quando aplicável, não menos restritivas do que as aqui contidas no que se refere à proteção dos Dados do Cliente, considerando a natureza dos serviços prestados pelo Suboperador. A Jestor garantirá ainda que cada Suboperador implemente e mantenha medidas de segurança que proporcionem um nível de proteção igual ou superior ao exigido por este DPA. 

10. DIVULGAÇÃO E REQUISIÇÕES DE AUTORIDADES 

10.1 A Jestor não compartilhará nem disponibilizará Dados do Cliente a terceiros, salvo se o Cliente houver concedido consentimento expresso por escrito previamente ou se tal divulgação for realizada em conformidade com as disposições sobre subtratamento acima estabelecidas. A divulgação também é permitida quando exigida ou autorizada pela legislação de proteção de dados aplicável, hipótese em que a Jestor adotará medidas razoáveis para limitar o escopo dos Dados do Cliente divulgados ao estritamente necessário. 

10.2 Caso a Jestor receba ordem judicial, administrativa ou governamental compelindo a divulgação de Dados do Cliente, a Jestor notificará prontamente o Cliente antes de cumprir tal ordem, na medida do permitido por lei, para que o Cliente possa buscar os recursos legais cabíveis. Quando a notificação prévia for proibida por lei, a Jestor notificará o Cliente assim que legalmente permitido. 

11. APLICAÇÕES DE TERCEIROS 

11.1 O Cliente poderá, a seu exclusivo critério, optar por integrar sua conta na plataforma Jestor com aplicações de terceiros. Ao fazê-lo, o Cliente reconhece que tal integração é realizada exclusivamente por sua iniciativa e que o fornecedor da aplicação de terceiros poderá, em decorrência disso, ter acesso aos Dados do Cliente na medida necessária para o funcionamento adequado da integração. 

11.2 A Jestor não é responsável por qualquer incidente, divulgação, modificação ou exclusão dos Dados do Cliente decorrente do acesso por uma aplicação que não seja da Jestor. 

12. VERIFICAÇÃO DE CONFORMIDADE 

12.1 Esta Seção representa o compromisso voluntário da Jestor com a transparência e é oferecida como um mecanismo razoável de fiscalização em substituição a um direito formal de auditoria. 

12.2 Os Clientes em planos elegíveis poderão solicitar uma cópia do mais recente relatório SOC 2 Tipo II da Jestor, quando disponível e sujeito a um acordo de confidencialidade vigente. A Jestor e o Cliente concordam que a entrega de tal relatório satisfaz qualquer obrigação de fiscalização ou verificação que possa surgir nos termos deste DPA ou da legislação aplicável. A Jestor indicará quaisquer alterações materiais conhecidas nos controles auditados desde a emissão do relatório. 

12.3 Os Clientes não elegíveis para a entrega do relatório SOC 2 poderão submeter um questionário de segurança por escrito à Jestor uma vez por ano civil. A Jestor envidará esforços razoáveis para responder. As respostas refletem os controles da Jestor na data da resposta e não constituem garantia ou auditoria. 

12.4 Quaisquer atividades de verificação adicionais além das descritas acima exigem prévio acordo escrito entre as partes, incluindo alinhamento quanto ao escopo, prazo e alocação de custos. 

13. CONFIDENCIALIDADE 

13.1 Cada parte manterá estrita confidencialidade sobre quaisquer informações não públicas recebidas da outra parte em conexão com este Acordo, incluindo, entre outras, Dados do Cliente, estratégias comerciais e detalhes operacionais. Esta obrigação subsistirá após a rescisão ou expiração do Acordo, independentemente do motivo de seu encerramento, e nenhuma parte poderá utilizar ou divulgar tais Informações Confidenciais sem o prévio consentimento por escrito da parte divulgadora, exceto quando a divulgação for compelida por lei ou quando a informação já tiver entrado em domínio público sem culpa da parte receptora. 

13.2 A Jestor compromete-se ainda a preservar a integridade e a segurança de todas as informações compartilhadas pelo Cliente e a salvaguardar a privacidade dos Dados do Cliente em todos os momentos. 

14. ANALYTICS E DADOS ANONIMIZADOS 

14.1 O Cliente reconhece e concorda que a Jestor poderá, no curso da prestação de seus Serviços, gerar dados anonimizados e/ou agregados derivados do tratamento dos Dados do Cliente, desde que tais dados não identifiquem o Cliente ou qualquer indivíduo. 

14.2 A Jestor não tentará reidentificar indivíduos a partir de tais dados e utilizará medidas técnicas razoáveis para evitar a reidentificação. 

14.3 A Jestor poderá utilizar, publicar ou compartilhar tais dados derivados com terceiros para fins de aprimoramento de seus produtos e serviços e outros objetivos comerciais legítimos. 

15. RESPONSABILIDADE 

15.1 A responsabilidade total agregada de cada parte, incluindo suas afiliadas, decorrente ou em conexão com este Acordo e este DPA, estará sujeita às limitações de responsabilidade estabelecidas no Acordo. 

15.2 Caso qualquer das partes cause danos a titulares de dados ou à outra parte em decorrência de atividades de tratamento realizadas em violação a este DPA ou à legislação de proteção de dados aplicável, incluindo a LGPD e a CCPA, a parte infratora será responsável pelos danos resultantes nos termos do Acordo e da legislação aplicável. 

APÊNDICE 1 — SOLUÇÕES DE TRANSFERÊNCIA INTERNACIONAL DE DADOS 

1. Disposições Gerais 

Este Apêndice estabelece as salvaguardas e bases legais que regem a transferência internacional de Dados Pessoais do Cliente, em conformidade com a LGPD e demais legislações de proteção de dados aplicáveis. 

A Jestor utiliza infraestrutura hospedada nos Estados Unidos da América para o armazenamento e tratamento dos Dados do Cliente. Considerando que a Jestor mantém suas operações principais nos Estados Unidos da América adicionalmente à sua operação no Brasil, os Dados do Cliente poderão ser transferidos entre essas duas jurisdições, bem como para qualquer outra jurisdição em que o Cliente ou seus titulares de dados estejam localizados, conforme necessário para a prestação dos Serviços. 

2. LGPD — Cláusulas Contratuais Padrão para Transferências Internacionais (Cláusulas Padrão) 

Em conformidade com os Artigos 33 e 35 da Lei Geral de Proteção de Dados Pessoais brasileira (LGPD) e com os regulamentos aplicáveis estabelecidos pela Autoridade Nacional de Proteção de Dados (ANPD), as Partes adotam as seguintes cláusulas contratuais padrão, conforme aprovadas pela ANPD, como mecanismo legal que rege qualquer transferência internacional de Dados Pessoais do Cliente originados do Brasil. 

Seção I - Informações Gerais 

CLÁUSULA 1. Identificação das Partes 

1.1. Pelo presente instrumento contratual, o Exportador e o Importador (doravante, Partes), abaixo identificados, resolvem adotar as cláusulas-padrão contratuais (doravante Cláusulas) aprovadas pela Autoridade Nacional de Proteção de Dados (ANPD), para reger a Transferência Internacional de Dados descrita na Cláusula 2, em conformidade com as disposições da Legislação Nacional. 

(x) Exportador/Controlador) ( ) Exportador/Operador) 

( ) Importador/Controlador (x) Importador/Operador 

CLÁUSULA 2. Objeto 

2.1. Estas Cláusulas se aplicam às Transferências Internacionais de Dados do Exportador para o Importador, conforme a descrição abaixo. 

Descrição da transferência internacional de dados: 

CLÁUSULA 3. Transferências Posteriores 

3.1. O Importador poderá realizar Transferência Posterior dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas nas hipóteses e conforme as condições descritas abaixo e desde que observadas as disposições da Cláusula 18. 

CLÁUSULA 4. Responsabilidades das Partes 

4.1. Sem prejuízo do dever de assistência mútua e das obrigações gerais das Partes, caberá à Parte Designada abaixo, na condição de Controlador, a responsabilidade pelo cumprimento das seguintes obrigações previstas nestas Cláusulas: 

a) Responsável por publicar o documento previsto na Cláusula 14; 

(x) Exportador ( ) Importador 

b) Responsável por atender às solicitações de titulares de que trata a CLÁUSULA 15: 

(x) Exportador ( ) Importador 

c) Responsável por realizar a comunicação de incidente de segurança prevista na Cláusula 16: 

(x) Exportador ( ) Importador 

4.2. Para os fins destas Cláusulas, verificado, posteriormente, que a Parte Designada na forma do item 4.1. atua como Operador, o Controlador permanecerá responsável: 

a) pelo cumprimento das obrigações previstas nas Cláusulas 14, 15 e 16 e demais disposições estabelecidas na Legislação Nacional, especialmente em caso de omissão ou descumprimento das obrigações pela Parte Designada; 

b) pelo atendimento às determinações da ANPD; e 

c) pela garantia dos direitos dos Titulares e pela reparação dos danos causados, observado o disposto na Cláusula 17. 

Seção II - Cláusulas Mandatórias 

CLÁUSULA 5. Finalidade 

5.1. Estas Cláusulas se apresentam como mecanismo viabilizador do fluxo internacional seguro de dados pessoais, estabelecem garantias mínimas e condições válidas para a realização de Transferência Internacional de Dados e visam garantir a adoção das salvaguardas adequadas para o cumprimento dos princípios, dos direitos do Titular e do regime de proteção de dados previstos na Legislação Nacional. 

CLÁUSULA 6. Definições 

6.1. Para os fins destas Cláusulas, serão consideradas as definições do art. 5° da Lei nº 13.709, de 14 de agosto de 2018, e do art. 3º do Regulamento de Transferência Internacional de Dados Pessoais, sem prejuízo de outros atos normativos expedidos pela ANPD. As Partes concordam, ainda, em considerar os termos e seus respectivos significados, conforme exposto a seguir: 

a) Agentes de tratamento: o controlador e o operador; 

b) ANPD: Autoridade Nacional de Proteção de Dados; 

c) Cláusulas: as cláusulas-padrão contratuais aprovadas pela ANPD, que integram as Seções I, II e III; 

d) Contrato Coligado: instrumento contratual firmado entre as Partes ou, pelo menos, entre uma destas e um terceiro, incluindo um Terceiro Controlador, que possua propósito comum, vinculação ou relação de dependência com o contrato que rege a Transferência Internacional de Dados; 

e) Controlador: Parte ou terceiro ("Terceiro Controlador") a quem compete as decisões referentes ao tratamento de Dados Pessoais; 

f) Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável; 

g) Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; 

h) Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado; 

i) Exportador: agente de tratamento, localizado no território nacional ou em país estrangeiro, que transfere dados pessoais para Importador; 

j) Importador: agente de tratamento, localizado em país estrangeiro ou que seja organismo internacional, que recebe dados pessoais transferidos por Exportador; 

k) Legislação Nacional: conjunto de dispositivos constitucionais, legais e regulamentares brasileiros a respeito da proteção de Dados Pessoais, incluindo a Lei nº 13.709, de 14 de agosto de 2018, o Regulamento de Transferência Internacional de Dados e outros atos normativos expedidos pela ANPD; 

l) Lei de Arbitragem: Lei nº 9.307, de 23 de setembro de 1996; 

m) Medidas de Segurança: medidas técnicas e administrativas adotadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; 

n) Órgão de Pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; 

o) Operador: Parte ou terceiro, incluindo um Subcontratado, que realiza o tratamento de Dados Pessoais em nome do Controlador; 

p) Parte Designada: Parte do contrato designada, nos termos da Cláusula 4 ("Opção A"), para cumprir, na condição de Controlador, obrigações específicas relativas à transparência, direitos dos Titulares e comunicação de incidentes de segurança; 

q) Partes: Exportador e Importador; 

r) Solicitação de Acesso: solicitação de atendimento obrigatório, por força de lei, regulamento ou determinação de autoridade pública, para conceder acesso aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas; 

s) Subcontratado: agente de tratamento contratado pelo Importador, sem vínculo com o Exportador, para realizar tratamento de Dados Pessoais após uma Transferência Internacional de Dados; 

t) Terceiro Controlador: Controlador dos Dados Pessoais que fornece instruções por escrito para a realização, em seu nome, da Transferência Internacional de Dados entre Operadores regida por estas Cláusulas, na forma da Cláusula 4 ("Opção B"); 

u) Titular: pessoa natural a quem se referem os Dados Pessoais que são objeto da Transferência Internacional de Dados regida por estas Cláusulas; 

v) Transferência: modalidade de tratamento por meio da qual um agente de tratamento transmite, compartilha ou disponibiliza acesso a Dados Pessoais a outro agente de tratamento; 

w) Transferência Internacional de Dados: transferência de Dados Pessoais para país estrangeiro ou organismo internacional do qual o país seja membro; e 

x) Transferência Posterior: transferência Internacional de Dados, originada de um Importador, e destinada a um terceiro, incluindo um Subcontratado, desde que não configure Solicitação de Acesso. 

CLÁUSULA 7. Legislação aplicável e fiscalização da ANPD 

7.1. A Transferência Internacional de Dados objeto das presentes Cláusulas submete-se à Legislação Nacional e à fiscalização da ANPD, incluindo o poder de aplicar medidas preventivas e sanções administrativas a ambas as Partes, conforme o caso, bem como o de limitar, suspender ou proibir as transferências internacionais decorrentes destas Cláusulas ou de um Contrato Coligado. 

CLÁUSULA 8. Interpretação 

8.1. Qualquer aplicação destas Cláusulas deve ocorrer de acordo com os seguintes termos: 

a) estas Cláusulas devem sempre ser interpretadas de forma mais favorável ao Titular e de acordo com as disposições da Legislação Nacional; 

b) em caso de dúvida sobre o significado de termos destas Cláusulas, aplica-se o significado que mais se alinha com a Legislação Nacional; 

c) nenhum item destas Cláusulas, incluindo-se aqui um Contrato Coligado e as disposições previstas na Seção IV, poderá ser interpretado com o objetivo de limitar ou excluir a responsabilidade de qualquer uma das Partes em relação a obrigações previstas na Legislação Nacional; e 

d) as disposições das Seções I e II prevalecem em caso de conflito de interpretação com Cláusulas adicionais e demais disposições previstas nas Seções III e IV deste instrumento ou em Contratos Coligados. 

CLÁUSULA 9. Possibilidade de adesão de terceiros 

9.1. Em comum acordo entre as Partes, é possível a um agente de tratamento aderir a estas Cláusulas na condição de Exportador ou de Importador, por meio do preenchimento e assinatura de documento escrito, que integrará o presente instrumento. 

9.2. A parte aderente terá os mesmos direitos e obrigações das Partes originárias, conforme a posição assumida de Exportador ou Importador e de acordo com a categoria de agente de tratamento correspondente. 

CLÁUSULA 10. Obrigações gerais das Partes 

10.1. As Partes se comprometem a adotar e, quando necessário, demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das disposições destas Cláusulas e da Legislação Nacional e, inclusive, da eficácia dessas medidas e, em especial: 

a) utilizar os Dados Pessoais somente para as finalidades específicas descritas na Cláusula 2, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, observadas, em qualquer caso, as limitações, garantias e salvaguardas previstas nestas Cláusulas; 

b) garantir a compatibilidade do tratamento com as finalidades informadas ao Titular, de acordo com o contexto do tratamento; 

c) limitar o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de Dados Pessoais; 

d) garantir aos Titulares, observado o disposto na Cláusula 4. 

(d.1.) informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; 

(d.2.) consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus Dados Pessoais; e 

(d.3.) a exatidão, clareza, relevância e atualização dos Dados Pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; 

e) adotar as medidas de segurança apropriadas e compatíveis com os riscos envolvidos na Transferência Internacional de Dados regida por estas Cláusulas; 

f) não realizar tratamento de Dados Pessoais para fins discriminatórios ilícitos ou abusivos; 

g) assegurar que qualquer pessoa que atue sob sua autoridade, inclusive subcontratados ou qualquer agente que com ele colabore, de forma gratuita ou onerosa, realize tratamento de dados apenas em conformidade com suas instruções e com o disposto nestas Cláusulas; e 

h) manter registro das operações de tratamento dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, e apresentar a documentação pertinente à ANPD, quando solicitado. 

CLÁUSULA 11. Dados pessoais sensíveis 

11.1. Caso a Transferência Internacional de Dados envolva Dados Pessoais sensíveis, as Partes aplicarão salvaguardas adicionais, incluindo medidas de segurança específicas e proporcionais aos riscos da atividade de tratamento, à natureza específica dos dados e aos interesses, direitos e garantias a serem protegidos, conforme descrito na Seção III. 

CLÁUSULA 12. Dados pessoais de crianças e adolescentes 

12.1. Caso a Transferência Internacional de Dados envolva Dados Pessoais de crianças e adolescentes, as Partes aplicarão salvaguardas adicionais, incluindo medidas que assegurem que o tratamento seja realizado em seu melhor interesse, nos termos da Legislação Nacional e dos instrumentos pertinentes de direito internacional. 

CLÁUSULA 13. Uso legal dos dados 

13.1. O Exportador garante que os Dados Pessoais foram coletados, tratados e transferidos para o Importador de acordo com a Legislação Nacional. 

CLÁUSULA 14. Transparência 

14.1. A Parte Designada publicará, em sua página na Internet, documento contendo informações facilmente acessíveis redigidas em linguagem simples, clara e precisa sobre a realização da Transferência Internacional de Dados, incluindo, pelo menos, informações sobre: 

a) a forma, a duração e a finalidade específica da transferência internacional; 

b) o país de destino dos dados transferidos; 

c) a identificação e os contatos da Parte Designada; 

d) o uso compartilhado de dados pelas Partes e a finalidade; 

e) as responsabilidades dos agentes que realizarão o tratamento; 

f) os direitos do Titular e os meios para o seu exercício, incluindo canal de fácil acesso disponibilizado para atendimento às suas solicitações e o direito de peticionar contra o Controlador perante a ANPD; e 

g) Transferências Posteriores, incluindo as relativas aos destinatários e à finalidade da transferência. 

14.2. O documento referido no item 14.1. poderá ser disponibilizado em página específica ou integrado, de forma destacada e de fácil acesso, à Política de Privacidade ou documento equivalente. 

14.3. A pedido, as Partes devem disponibilizar, gratuitamente, ao Titular uma cópia destas Cláusulas, observados os segredos comercial e industrial. 

14.4. Todas as informações disponibilizadas aos titulares, nos termos destas Cláusulas, deverão ser redigidas na língua portuguesa. 

CLÁUSULA 15. Direitos do Titular 

15.1. O Titular tem direito a obter da Parte Designada, em relação aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, a qualquer momento, e mediante requisição, nos termos da Legislação Nacional: 

a) confirmação da existência de tratamento; 

b) acesso aos dados; 

c) correção de dados incompletos, inexatos ou desatualizados; 

d) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com estas Cláusulas e com o disposto na Legislação Nacional; 

e) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da ANPD, observados os segredos comercial e industrial; 

f) eliminação dos Dados Pessoais tratados com o consentimento do Titular, exceto nas hipóteses previstas na Cláusula 20; 

g) informação das entidades públicas e privadas com as quais as Partes realizaram uso compartilhado de dados; 

h) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; 

i) revogação do consentimento mediante procedimento gratuito e facilitado, ratificados os tratamentos realizados antes do requerimento de eliminação; 

j) revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; e 

k) informações a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial. 

15.2. O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nestas Cláusulas ou na Legislação Nacional. 

15.3. O prazo para atendimento às solicitações previstas nesta Cláusula e no item 14.3. é de 15 (quinze) dias contados da data do requerimento do titular, ressalvada a hipótese de prazo distinto estabelecido em regulamentação específica da ANPD. 

15.4. Caso a solicitação do Titular seja direcionada à Parte não designada como responsável pelas obrigações previstas nesta Cláusula ou no item 14.3., a Parte deverá: 

a) informar ao Titular o canal de atendimento disponibilizado pela Parte Designada; ou 

b) encaminhar a solicitação para a Parte Designada o quanto antes, a fim de viabilizar a resposta no prazo previsto no item 15.3.(Alterado com a RETIFICAÇÃO DE 18/08/2025). 

15.5. As Partes deverão informar, imediatamente, aos Agentes de Tratamento com os quais tenham realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional. 

15.6. As Partes devem promover assistência mútua com a finalidade de atender às solicitações dos Titulares. 

CLÁUSULA 16. Comunicação de Incidente de Segurança 

16.1. A Parte Designada deverá comunicar à ANPD e aos Titulares, no prazo de 3 (três) dias úteis, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante para os Titulares, observado o disposto na Legislação Nacional. 

16.2. O Importador deve manter o registro de incidentes de segurança nos termos da Legislação Nacional. 

CLÁUSULA 17. Responsabilidade e ressarcimento de danos 

17.1. A Parte que, em razão do exercício da atividade de tratamento de Dados Pessoais, causar dano patrimonial, moral, individual ou coletivo, em violação às disposições destas Cláusulas e da Legislação Nacional, é obrigada a repará-lo. 

17.2. O Titular poderá pleitear a reparação do dano causado por quaisquer das Partes em razão da violação destas Cláusulas. 

17.3. A defesa dos interesses e dos direitos dos Titulares poderá ser pleiteada em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente acerca dos instrumentos de tutela individual e coletiva. 

17.4. A Parte que atuar como Operador responde, solidariamente, pelos danos causados pelo tratamento quando descumprir as presentes Cláusulas ou quando não tiver seguido as instruções lícitas do Controlador, ressalvado o disposto no item 17.6. 

17.5. Os Controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao Titular respondem, solidariamente, por estes danos, ressalvado o disposto no item 17.6. 

17.6. Não caberá responsabilização das Partes se comprovado que: 

a) não realizaram o tratamento de Dados Pessoais que lhes é atribuído; 

b) embora tenham realizado o tratamento de Dados Pessoais que lhes é atribuído, não houve violação a estas Cláusulas ou à Legislação Nacional; ou 

c) o dano é decorrente de culpa exclusiva do Titular ou de terceiro que não seja destinatário de Transferência Posterior ou subcontratado pelas Partes. 

17.7. Nos termos da Legislação Nacional, o juiz poderá inverter o ônus da prova a favor do Titular quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo Titular resultar-lhe excessivamente onerosa. 

17.8. As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos desta Cláusula podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente. 

17.9. A Parte que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso. 

CLÁUSULA 18. Salvaguardas para Transferência Posterior 

18.1. O Importador somente poderá realizar Transferências Posteriores dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas se expressamente autorizado, conforme as hipóteses e condições descritas na Cláusula 3. 

18.2. Em qualquer caso, o Importador: 

a) deve assegurar que a finalidade da Transferência Posterior é compatível com as finalidades específicas descritas na Cláusula 2; 

b) deve garantir, mediante instrumento contratual escrito, que as salvaguardas previstas nestas Cláusulas serão observadas pelo terceiro destinatário da Transferência Posterior; e 

c) para fins destas Cláusulas, e em relação aos Dados Pessoais transferidos, será considerado o responsável por eventuais irregularidades praticadas pelo terceiro destinatário da Transferência Posterior. 

18.3. A Transferência Posterior poderá, ainda, ser realizada com base em outro mecanismo válido de Transferência Internacional de Dados previsto na Legislação Nacional, independentemente da autorização de que trata a Cláusula 3. 

CLÁUSULA 19. Notificação de Solicitação de Acesso 

19.1. O Importador notificará o Exportador e o Titular sobre Solicitação de Acesso relacionada aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, ressalvada a hipótese de vedação de notificação pela lei do país de tratamento dos dados. 

19.2. O Importador adotará as medidas legais cabíveis, incluindo ações judiciais, para proteger os direitos dos Titulares sempre que houver fundamento jurídico adequado para questionar a legalidade da Solicitação de Acesso e, se for o caso, a vedação de realizar a notificação referida no item 19.1. 

19.3. Para atender às solicitações da ANPD e do Exportador, o Importador deve manter registro de Solicitações de Acesso, incluindo data, solicitante, finalidade da solicitação, tipo de dados solicitados, número de solicitações recebidas e medidas legais adotadas. 

CLÁUSULA 20. Término do tratamento e eliminação dos dados 

20.1. As Partes deverão eliminar os Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas após o término do tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação apenas para as seguintes finalidades: 

a) cumprimento de obrigação legal ou regulatória pelo Controlador; 

b) estudo por Órgão de Pesquisa, garantida, sempre que possível, a anonimização dos Dados Pessoais; 

c) transferência a terceiro, desde que respeitados os requisitos previstos nestas Cláusulas e na Legislação Nacional; e 

d) uso exclusivo do Controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados. 

20.2. Para fins desta Cláusula, considera-se que o término do tratamento ocorrerá quando: 

a) alcançada a finalidade prevista nestas Cláusulas; 

b) os Dados Pessoais deixarem de ser necessários ou pertinentes ao alcance da finalidade específica prevista nestas Cláusulas; 

c) finalizado o período de tratamento; 

d) atendida solicitação do Titular; e 

e) determinado pela ANPD, quando houver violação ao disposto nestas Cláusulas ou na Legislação Nacional. 

CLÁUSULA 21. Segurança no tratamento dos dados 

21.1. As Partes deverão adotar medidas de segurança que garantam proteção aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, mesmo após o seu término. 

21.2. As Partes informarão, na Seção III, as Medidas de Segurança adotadas, considerando a natureza das informações tratadas, as características específicas e a finalidade do tratamento, o estado atual da tecnologia e os riscos para os direitos dos Titulares, especialmente no caso de dados pessoais sensíveis e de crianças e adolescentes. 

21.3. As Partes deverão realizar os esforços necessários para adotar medidas periódicas de avaliação e revisão visando manter nível de segurança adequado às características do tratamento de dados. 

CLÁUSULA 22. Legislação do país destinatário dos dados 

22.1. O Importador declara que não identificou leis ou práticas administrativas do país destinatário dos Dados Pessoais que o impeçam de cumprir as obrigações assumidas nestas Cláusulas. 

22.2. Sobrevindo alteração normativa que altere esta situação, o Importador notificará, de imediato, o Exportador para avaliação da continuidade do contrato. 

CLÁUSULA 23. Descumprimento das Cláusulas pelo Importador 

23.1. Havendo violação das salvaguardas e garantias previstas nestas Cláusulas ou a impossibilidade de seu cumprimento pelo Importador, o Exportador deverá ser comunicado imediatamente, ressalvado o disposto no item 19.1. 

23.2. Recebida a comunicação de que trata o item 23.1 ou verificado o descumprimento destas Cláusulas pelo Importador, o Exportador adotará as providências pertinentes para assegurar a proteção aos direitos dos Titulares e a conformidade da Transferência Internacional de Dados com a Legislação Nacional e as presentes Cláusulas, podendo, conforme o caso: 

a) suspender a Transferência Internacional de Dados; 

b) solicitar a devolução dos Dados Pessoais, sua transferência a um terceiro, ou a sua eliminação; e 

c) rescindir o contrato. 

CLÁUSULA 24. Eleição do foro e jurisdição 

24.1. Aplica-se a estas Cláusulas a legislação brasileira e qualquer controvérsia entre as Partes decorrente destas Cláusulas será resolvida perante os tribunais competentes do Brasil, observado, se for o caso, o foro eleito pelas Partes na Seção IV. 

24.2. Os Titulares podem ajuizar ações judiciais contra o Exportador ou o Importador, conforme sua escolha, perante os tribunais competentes no Brasil, inclusive naqueles localizados no local de sua residência. 

24.3. Em comum acordo, as Partes poderão se valer da arbitragem para resolver os conflitos decorrentes destas Cláusulas, desde que realizada no Brasil e conforme as disposições da Lei de Arbitragem. 

Seção III - Medidas De Segurança 

Seção IV - Cláusulas Adicionais e Anexos 

APÊNDICE 2 — CONFORMIDADE COM A CCPA 

Este Apêndice será aplicável quando o Cliente ou seus usuários finais forem residentes da Califórnia ou quando a Lei de Privacidade do Consumidor da Califórnia de 2018, conforme alterada ("CCPA"), for aplicável para reger o tratamento dos Dados do Cliente. 

1. "Finalidades Comerciais Contratadas" refere-se aos serviços de gerenciamento de banco de dados, hospedagem e serviços auxiliares que a Jestor presta em nome do Cliente nos termos do Acordo, em conexão com os quais a Jestor recebe ou obtém acesso a Informações Pessoais do Cliente. 
2. "Informações Pessoais do Cliente" significa quaisquer Dados do Cliente que constituam informações pessoais de um consumidor, conforme definido pela CCPA. Para fins de esclarecimento, as Informações Pessoais do Cliente não abrangem os Dados de Serviço (conforme definidos neste DPA e descritos com mais detalhes na Política de Privacidade da Jestor), em relação aos quais a Jestor atua como Business independente, e não como Service Provider. 
3. A Jestor tratará as Informações Pessoais do Cliente exclusivamente para o cumprimento das Finalidades Comerciais Contratadas, ou conforme de outra forma autorizado pela CCPA em sua qualidade de Service Provider, ou conforme exigido pela legislação aplicável. 
4. A Jestor não reterá, utilizará, divulgará, armazenará ou de outra forma disponibilizará Informações Pessoais do Cliente para qualquer finalidade alheia à relação comercial direta entre as Partes, salvo se expressamente permitido pela CCPA, exigido por lei ou autorizado prévia e expressamente por escrito pelo Cliente. 
5. A Jestor não venderá nem compartilhará Informações Pessoais do Cliente, conforme tais termos são definidos pela CCPA, e observará todas as restrições aplicáveis à combinação de Informações Pessoais do Cliente com dados pessoais obtidos de outras fontes. 
6. Nota: Os termos "vender" (sell) e "compartilhar" (share) possuem definições técnicas específicas sob a CCPA. "Vender" abrange a divulgação de informações pessoais a terceiros mediante contraprestação monetária ou de outra natureza valiosa. "Compartilhar" refere-se especificamente à divulgação de informações pessoais a terceiros para fins de publicidade comportamental cross-context (cross-context behavioral advertising), independentemente da existência de contraprestação. Ambos os conceitos não possuem equivalentes diretos na LGPD e devem ser interpretados conforme a definição estabelecida na Seção 1798.140 da CCPA. 
7. A Jestor implementará e manterá salvaguardas técnicas e organizacionais apropriadas para o tratamento das Informações Pessoais do Cliente, destinadas a proteger contra perda, destruição, furto, alteração, acesso não autorizado ou divulgação acidental. 
8. A Jestor poderá derivar e utilizar dados agregados, desidentificados ou anonimizados para suas próprias finalidades comerciais legítimas, desde que a Jestor não tente reidentificar qualquer indivíduo a partir de tais dados. 
9. Requisições de Eliminação por Consumidores. Caso o Cliente não consiga atender, de forma independente, a uma requisição verificada de eliminação por consumidor nos termos da CCPA utilizando a funcionalidade disponível na Plataforma Jestor, a Jestor realizará tal eliminação prontamente após o recebimento da instrução escrita do Cliente, salvo nos casos em que se aplique uma exceção estatutária à eliminação prevista na CCPA. Tais requisições deverão ser direcionadas para: dpo@jestor.com. 
10. Cada Parte cumprirá, de forma independente, todas as obrigações que lhe sejam aplicáveis nos termos da CCPA no que se refere à coleta, uso, retenção e divulgação das Informações Pessoais do Cliente. 
11. Suboperadores. Qualquer suboperador contratado pela Jestor em conexão com o tratamento das Informações Pessoais do Cliente deverá qualificar-se como Service Provider nos termos da CCPA. A Jestor garantirá que nenhuma transferência de Informações Pessoais do Cliente a um suboperador constitua venda ou compartilhamento, conforme definidos pela CCPA. 
12. Alterações. A Jestor reserva-se o direito de modificar este Apêndice da CCPA nas seguintes circunstâncias: (a) para refletir alterações na denominação societária ou estrutura jurídica da Jestor; (b) para assegurar conformidade com lei, regulamento, ordem judicial ou orientação regulatória aplicável; ou (c) quando a modificação não amplie o escopo do tratamento nem reduza materialmente os direitos do Cliente. Para modificações nos termos das alíneas (b) ou (c), a Jestor fornecerá ao Cliente notificação prévia por escrito com no mínimo 30 dias de antecedência. O Cliente poderá optar por rescindir o Acordo no prazo de 90 dias contados do recebimento de tal notificação. 

DISPOSIÇÕES FINAIS 

I. Este DPA, juntamente com seus Apêndices, integra e complementa o Acordo. Em caso de conflito ou inconsistência entre as disposições deste DPA e quaisquer outros termos do Acordo, este DPA prevalecerá no que se refere a todas as matérias relativas ao tratamento e proteção de dados pessoais. 

II. Quando qualquer disposição das Cláusulas Contratuais Padrão aplicáveis — sejam as Cláusulas Padrão da LGPD ou qualquer outro mecanismo de transferência adotado pelas Partes — entrar em conflito direto com qualquer termo deste DPA ou do Acordo, prevalecerão as Cláusulas Contratuais Padrão. 

III. Este DPA entra em vigor com a celebração do Acordo e permanecerá vigente, independentemente da expiração ou rescisão do Acordo, até que a Jestor tenha concluído a eliminação de todos os Dados Pessoais do Cliente, em conformidade com os termos aqui estabelecidos. 

IV. A Jestor poderá revisar este DPA conforme necessário para refletir desenvolvimentos na legislação de proteção de dados aplicável, desde que tal revisão não reduza materialmente o nível de proteção conferido aos Dados Pessoais do Cliente. O Cliente receberá notificação por escrito de qualquer revisão material com no mínimo 30 dias de antecedência da sua entrada em vigor. 

V. Qualquer notificação que a Jestor seja obrigada ou autorizada a entregar ao Cliente nos termos deste DPA poderá ser realizada: (a) por meio dos mecanismos de notificação estabelecidos no Acordo; (b) aos contatos primários designados do Cliente; ou (c) por qualquer endereço de e-mail fornecido pelo Cliente para o recebimento de comunicações relacionadas ao serviço.