para clientes

Anexo X: Acordo de Tratamento de Dados

21 de janeiro de 2025

Este Acordo de Tratamento de Dados (“DPA”) é um adendo ao Contrato (“Contrato”) entre o Merchant e o EBANX, referidos em conjunto como “Partes” ou individualmente como “Parte”, sendo incorporado a este e aplicando-se às atividades que envolvam o Tratamento de Dados Pessoais (conforme definido abaixo), realizadas em relação ao Contrato, sendo dele parte integrante para todos os fins legais.


Quaisquer termos em maiúsculas não definidos neste DPA terão o significado que lhes for atribuído no Contrato ou nas Leis Aplicáveis. Exceto conforme modificado abaixo, os termos do Contrato permanecerão em pleno vigor e efeito.



1. DEFINIÇÕES


1.1. Neste DPA, os seguintes termos terão os significados definidos abaixo:


1.1.1. “Requisitos de Proteção de Dados” significa, conforme aplicável: (i) Requisitos APAC de Proteção de Dados; (ii) Requisitos Europeus de Proteção de Dados; (iii) Requisitos LATAM de Proteção de Dados; (iv) Requisitos AMET de Proteção de Dados; (v) regras e padrões obrigatórios da indústria, incluindo, conforme aplicável, o Payment Card Industry Data Security Standard  (“PCI-DSS”); e (vi) toda e qualquer outra Lei Aplicável relacionada à proteção de dados, segurança de dados, marketing, privacidade ou Tratamento de Dados Pessoais.


1.1.2. “Leis Aplicáveis” significa qualquer lei, regulamento, diretiva ou outros requisitos vinculantes aplicáveis (cada um conforme possa ser implementado, alterado, estendido, substituído ou reeditado de tempos em tempos), incluindo, mas não se limitando a, para evitar dúvidas, os Requisitos de Proteção de Dados.


1.1.3. “Requisitos LATAM de Proteção de Dados” significa toda e qualquer Lei Aplicável relacionada à proteção de dados, segurança de dados, marketing, privacidade ou Tratamento de Dados Pessoais nos países da América do Sul, América Central e México, incluindo a Lei Geral Brasileira de Proteção de Dados.


1.1.4. “Requisitos AMET de Proteção de Dados” significa toda e qualquer Lei Aplicável relacionada à proteção de dados, segurança de dados, marketing, privacidade ou Tratamento de Dados Pessoais na África, Oriente Médio e Turquia.


1.1.5. “Requisitos Europeus de Proteção de Dados” significa toda e qualquer Lei Aplicável relacionada à proteção de dados, segurança de dados, marketing, privacidade ou Tratamento de Dados Pessoais na União Europeia (“UE”), no Espaço Econômico Europeu (“EEE”), Suíça ou Reino Unido (“UK”), incluindo, na medida aplicável, o Regulamento (UE) 2016/679 (“GDPR”), a Diretiva 2002/58/EC, a Diretiva 2009/136/EC e o UK GDPR, juntamente com qualquer legislação local, de alteração ou substituição em qualquer Estado-Membro da UE ou no Reino Unido. Para os fins deste DPA, “UK GDPR” significa o GDPR conforme alterado e incorporado na lei do Reino Unido sob o UK European Union (Withdrawal) Act 2018.


1.1.6. “Requisitos APAC de Proteção de Dados” significa toda e qualquer Lei Aplicável relacionada à proteção de dados, segurança de dados, marketing, privacidade ou Tratamento de Dados Pessoais nos países da Ásia (excluindo os países do Oriente Médio) e nos países que fazem fronteira com o Oceano Pacífico do lado asiático (incluindo Austrália, Hong Kong, Japão, Índia, Indonésia, Malásia, Nova Zelândia, Filipinas, Singapura, Coreia do Sul, Tailândia, Taiwan e Vietnã).


1.1.7. “Tratamento de Dados” significa qualquer operação realizada com Dados Pessoais, como coleta, produção, recebimento, classificação, uso, acesso, reprodução, transmissão, distribuição, tratamento, arquivamento, armazenamento, exclusão, avaliação ou controle das informações, modificação, comunicação, transferência, disseminação ou extração.


1.1.8. "Dados do Merchant" significam todos e quaisquer Dados Pessoais que o EBANX trata do Merchant ou em nome do Merchant em conexão com o Contrato, incluindo informações derivadas ou combinadas com tais Dados Pessoais e os Dados Pessoais dos funcionários, contratados e pessoal do Merchant, e dos Clientes do Merchant.


1.1.9. “Serviços” significam os serviços e outras atividades que serão fornecidos ou realizados pelo EBANX de acordo com o Contrato.


1.1.10. “Operador” significa qualquer pessoa física ou jurídica que, em nome de uma das Partes, processe Dados Pessoais em nome das Partes sob este DPA.


1.1.11. "Contrato" significa o Contrato, incluindo seus adendos e anexos, que contém os termos gerais para a prestação de Serviços pelo EBANX ao Merchant.


1.1.12. “Termos Específicos da Jurisdição” significam todos os termos, condições ou regras legais ou regulatórias que regem a privacidade e a proteção de dados e que se aplicam em uma determinada área geográfica ou jurisdição legal incorporada neste DPA.


1.1.13. “Funcionário(s)” significa qualquer funcionário, trabalhador, incluindo subcontratados ou funcionários terceirizados, representantes ou designados, remunerados ou não, em regime integral ou parcial, que atuem em nome das Partes e tenham acesso aos Dados Pessoais.


1.1.14. “Autoridades Governamentais” significa qualquer autoridade, inclusive judicial, investida de poderes para inspecionar, julgar e aplicar as Leis Aplicáveis.


1.1.15. “Incidente de Segurança” significa qualquer evento ou conjunto de eventos de segurança adverso, confirmado ou suspeito, que impacte a disponibilidade, integridade, confidencialidade ou autenticidade de um ativo de informação. No caso deste DPA, a expressão se referirá a incidentes envolvendo os Dados Pessoais tratados no contexto do Contrato.


1.1.16. “Data de Término” tem o significado descrito no Contrato, onde aplicável.



2. TERMOS ESPECÍFICOS DE CADA JURISDIÇÃO


2.1. Sem prejuízo do disposto acima, as Partes também deverão cumprir os seguintes termos específicos de jurisdição, na medida em que tais termos sejam aplicáveis:


2.1.1. Se os Requisitos LATAM de Proteção de Dados se aplicarem ao Tratamento de Dados ou aos Dados Pessoais compartilhados pelas Partes (conforme aplicável) nos termos do Contrato, então os termos disponíveis na Cláusula A - Termos de LATAM (incorporados neste DPA por esta referência) se aplicarão a tais dados.


2.1.2. Se os Requisitos AMET de Proteção de Dados se aplicarem ao Tratamento de Dados ou aos Dados Pessoais compartilhados pelas Partes (conforme aplicável) nos termos do Contrato, então os termos disponíveis na Cláusula B - Termos de AMET (incorporados neste DPA por esta referência) se aplicarão a tais dados.


2.1.3. Se os Requisitos APAC de Proteção de Dados se aplicarem ao Tratamento de Dados ou aos Dados Pessoais compartilhados pelas Partes (conforme aplicável) nos termos do Contrato, então os termos disponíveis na Cláusula C - Termos de APAC (incorporados neste DPA por esta referência) se aplicarão a tais dados.


2.1.4. Se os Requisitos Europeus de Proteção de Dados se aplicarem ao Tratamento de Dados ou aos Dados Pessoais compartilhados entre as Partes (conforme aplicável) nos termos do Contrato, então os termos disponíveis na Cláusula D - Termos da Região Europeia (incorporados neste DPA por esta referência) se aplicarão a tais dados.



3. TRATAMENTO DE DADOS PESSOAIS


3.1. A execução deste Contrato exige o compartilhamento de Dados Pessoais entre ambas as Partes. Em relação às atividades que envolvam o Tratamento de Dados Pessoais no âmbito do Contrato, as Partes concordam em:


3.1.1. Tratar os Dados Pessoais de acordo com todas as Leis Aplicáveis, incluindo aquelas que entrarem em vigor após a assinatura deste DPA, garantindo em particular que toda atividade de Tratamento de Dados seja devidamente justificada em uma das bases legais estabelecidas pelas Leis Aplicáveis.


3.1.2. Tratar apenas os Dados Pessoais necessários para a execução do objeto do Contrato, incluindo o cumprimento de obrigações legais ou regulatórios às quais as Partes estão sujeitas.


3.1.3. Se a Parte contratada tiver acesso, no contexto do Contrato, a Dados Pessoais que considere excessivos ou não necessários à execução do Contrato, deverá notificar imediatamente a outra Parte e cessar o tratamento de tais Dados Pessoais.


3.1.4. Se qualquer das Partes realizar alguma atividade de Tratamento de Dados não relacionada à execução do Contrato, essa atividade de Tratamento de Dados ocorrerá fora do contexto deste DPA. A Parte que executar o Tratamento de Dados será considerada a única Controladora em relação a essa atividade, e a outra Parte será isenta de qualquer obrigação ou responsabilidade dela decorrente.


3.1.5. Cooperar mutuamente para garantir o cumprimento adequado das obrigações relativas ao exercício dos direitos do Titular dos Dados nos termos das Leis Aplicáveis e atender a quaisquer solicitações das Autoridades Governamentais dentro do limite de suas atividades.


3.1.6. As Partes não deverão utilizar qualquer tipo de ferramenta, tecnologia, engenharia reversa ou outro método destinado a identificar os Titulares dos Dados, nos casos em que os Dados Pessoais foram compartilhados de forma que não permita a identificação direta dos Titulares dos Dados sem a confrontação com outras informações ou com o acesso à chave de identificação.


3.1.7. As Partes não deverão processar, compartilhar, transferir, vender, alugar, licenciar ou disponibilizar de qualquer outra forma quaisquer Dados Pessoais a terceiros para fins de marketing, publicidade ou promocionais.




4. FUNCIONÁRIOS DAS PARTES


4.1. As Partes deverão garantir que o Tratamento de Dados Pessoais realizado no contexto do Contrato será restrito aos Funcionários responsáveis pelo Tratamento de Dados e exclusivamente na medida necessária para a execução do Contrato.


4.2. Os Funcionários das Partes devem:

a) receber treinamento sobre os princípios de Proteção de Dados e os Requisitos de Proteção de Dados.

b) conhecer as obrigações das Partes, incluindo as contempladas neste Contrato; e

c) estar sujeitos a acordos de confidencialidade ou obrigações profissionais ou legais de confidencialidade e proteção de dados.




5. REQUISITOS DE SEGURANÇA


5.1. Cada Parte deverá implementar medidas técnicas, administrativas e organizacionais adequadas e compatíveis com as atividades de Tratamento de Dados realizadas. Para avaliar o nível de segurança adequado, as Partes devem considerar os riscos apresentados pela atividade de Tratamento de Dados, particularmente aqueles relacionados a Incidentes de Segurança.


5.2. O programa de segurança da informação e privacidade das Partes deve, no mínimo:

a) proteger os Dados Pessoais de Tratamento não autorizado ou ilegal.

b) atender aos padrões aplicáveis de melhores práticas da indústria relevantes para suas atividades e o volume e a sensibilidade dos Dados Pessoais, incluindo as medidas físicas, técnicas e organizacionais apropriadas que protegem contra o Tratamento de Dados não autorizado ou ilegal.

c) incluir um programa de segurança de rede apropriado.

d) cumprir os Requisitos de Proteção de Dados aplicáveis ao seu Tratamento.


5.3. As Partes devem realizar testes, avaliações e verificações periódicas da eficácia das medidas técnicas, administrativas e organizacionais para garantir a segurança das operações que envolvam o Tratamento de Dados Pessoais.




6. SUBCONTRATADOS


6.1. Quando qualquer atividade de Tratamento de Dados for realizada por meio de um Subcontratado, as Partes devem, em relação a este Subcontratado:


6.1.1. Preservar a integridade e a exatidão dos Dados Pessoais, incluindo o dever de atualizar, corrigir ou excluir tais Dados Pessoais a pedido da outra Parte, quando exigido pelas Leis Aplicáveis ou por solicitação do Titular de Dados (quando aplicável);


6.1.2. Verificar, por meio de due diligence ou procedimento equivalente, que cada Subcontratado é capaz de garantir um nível de proteção de Dados Pessoais no mínimo equivalente a este DPA, e fornecer evidências dessa verificação;


6.1.3. Celebrar um contrato formal com cada Subcontratado, garantindo que inclua disposições pelo menos equivalentes às deste DPA; e


6.1.4. Ser exclusivamente responsável por todas e quaisquer ações e omissões relacionadas ao Tratamento de Dados realizado por qualquer um de seus Subcontratados.




7. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS


7.1. Se uma transferência internacional de dados por qualquer das Partes for necessária para a execução do Contrato e o país de destino não tiver sido considerado adequado pela Autoridade Governamental do país onde a Parte exportadora está localizada, então a Parte exportadora deverá garantir que a transferência internacional de dados será realizada de acordo com um dos mecanismos contemplados nas Leis Aplicáveis.




8. DIREITOS DOS TITULARES DOS DADOS


8.1. As Partes deverão cooperar mutuamente no cumprimento das obrigações relacionadas ao exercício dos direitos dos Titulares dos Dados de acordo com as Leis Aplicáveis.


8.2. As Partes deverão:


8.2.1. Notificar imediatamente a outra Parte após receber uma solicitação do Titular dos Dados quando relacionada a qualquer atividade de Tratamento de Dados realizada sob o Contrato;


8.2.2. Abster-se de responder a qualquer solicitação do Titular dos Dados relacionada aos Dados Pessoais da outra Parte até que essa Parte forneça consentimento por escrito para o conteúdo da resposta, exceto quando as Leis Aplicáveis exigirem uma resposta em menos de 48 (quarenta e oito) horas; e


8.2.3. Se a Parte informada não fornecer o consentimento por escrito até 2 (dois) dias úteis antes do final do prazo exigido pelas Leis Aplicáveis, a outra Parte poderá atender à solicitação do Titular dos Dados.




9. INCIDENTE DE SEGURANÇA


9.1. Quando uma Parte identificar a ocorrência de um Incidente de Segurança que possa (i) causar risco ou dano relevante aos Titulares dos Dados nos termos das Leis Aplicáveis; e (ii) impactar o objeto do Contrato, essa Parte deverá notificar imediatamente a outra Parte.


9.2. A notificação deverá incluir informações suficientes para que a Parte afetada cumpra quaisquer requisitos impostos pelas Leis Aplicáveis, incluindo, mas não se limitando a: (i) a descrição da natureza dos Dados Pessoais e dos Titulares dos Dados envolvidos; (ii) as medidas técnicas e de segurança adotadas para proteger tais Dados Pessoais; (iii) as medidas tomadas (e aquelas em processo de serem tomadas) para mitigar os impactos do Incidente de Segurança; (iv) os riscos relacionados ao Incidente de Segurança; e (v) quaisquer informações adicionais que possam ajudar a facilitar a compreensão do Incidente de Segurança, suas causas e consequências, e/ou que possam ser exigidas pelas Autoridades Governamentais.


9.3. As Partes deverão investigar as causas e consequências do Incidente de Segurança às suas próprias custas e tomar as medidas necessárias para remediar suas consequências, informando prontamente a outra Parte sobre todas as medidas tomadas.


9.4. As Partes deverão manter registros sobre o Incidente de Segurança, incluindo pelo menos a descrição (a) da natureza do Incidente de Segurança, (b) das consequências do Incidente de Segurança, e (c) das medidas tomadas ou propostas pela outra Parte para lidar com o Incidente de Segurança.


9.5. Quando o Incidente de Segurança envolver ambas as Partes, as Partes não deverão divulgar qualquer informação relativa ao Incidente de Segurança, a menos que de outra forma autorizado pela outra Parte ou exigido por determinação das Autoridades Governamentais, de acordo com as Leis Aplicáveis.




10. AUTORIDADES GOVERNAMENTAIS


10.1. As Partes deverão cooperar mutuamente no cumprimento de obrigações ou solicitações impostas por qualquer Autoridade Governamental competente.


10.2. As Partes informarão imediatamente a outra Parte após receberem solicitações de informações ou determinações das Autoridades Governamentais relacionadas a qualquer atividade de Tratamento de Dados realizada no contexto do Contrato, exceto quando a solicitação estiver sob sigilo ou qualquer outro tipo de restrição legal que impeça a comunicação. Se tais solicitações ou determinações forem relacionadas aos Dados Pessoais compartilhados pela outra Parte, então a Parte intimada deverá apresentar uma sugestão de resposta para validação da outra Parte dentro do prazo previsto em lei ou determinado pelas Autoridades Governamentais.




11. EXCLUSÃO E DEVOLUÇÃO DE DADOS PESSOAIS


11.1. Após a conclusão das atividades que envolvam o Tratamento de Dados Pessoais sob o Contrato, o EBANX cessará o Tratamento de Dados Pessoais do Merchant e, mediante solicitação por escrito, devolverá ou excluirá os Dados Pessoais relacionados às atividades concluídas, juntamente com todas as cópias existentes (em formato digital ou físico), a menos que a retenção dos dados seja necessária para cumprimento das Leis Aplicáveis.




12. INDENIZAÇÃO E RESPONSABILIDADE


12.1. As Partes deverão indenizar, defender e isentar a outra Parte e/ou suas afiliadas de e contra qualquer responsabilidade, perda, reclamação, dano, multa, penalidade e despesa (incluindo, sem limitação, multas, indenização por danos, custos incorridos com reparação e honorários advocatícios e custos resultantes de ou relacionados a qualquer ação judicial, reclamação ou alegação de terceiros, incluindo, sem limitação, qualquer autoridade regulatória ou governamental) decorrente do descumprimento deste DPA e/ou das Leis Aplicáveis.


12.2. Se as Autoridades Governamentais impuserem sanções às Partes em conexão com este DPA, e se for verificada negligência, má conduta intencional ou outra responsabilidade da outra Parte, então esta Parte deverá pagar a multa fixada – quando aplicável – e/ou indenizar a Parte inocente.


12.3. Este DPA não cria responsabilidade conjunta entre as Partes por quaisquer penalidades relacionadas às atividades de Tratamento de Dados realizadas sob o Contrato, de modo que cada Parte será responsabilizada individualmente dentro do limite de suas atividades.


12.4. As obrigações de indenização previstas neste DPA serão adicionais e não excludentes de qualquer obrigação de indenização prevista no Contrato.




13. DISPOSIÇÕES GERAIS


13.1. Sem prejuízo de quaisquer disposições relativas à mediação e jurisdição:


13.1.1. As Partes se submetem à escolha da jurisdição estipulada no Contrato em conexão com quaisquer disputas ou reivindicações que possam de alguma forma resultar deste DPA, incluindo disputas relativas à sua existência, validade ou término ou as consequências de sua nulidade, e


13.1.2. Este DPA e todas as obrigações extracontratuais ou outras obrigações decorrentes ou relacionadas a este DPA serão regidas pelas leis do país ou território estipulado para esse fim no Contrato.


13.2. No caso de conflito entre as disposições deste DPA e o Contrato ou qualquer outro documento executado entre as partes, especificamente em conexão com atividades que envolvam o Tratamento de Dados Pessoais, as disposições deste DPA prevalecerão, exceto quando um documento superveniente for executado entre as Partes, declarando expressamente a natureza subsidiária deste DPA.


13.3. Este DPA pode ser alterado a critério das Partes ou no caso de uma lei, regulamento ou determinação superveniente da Autoridade Governamental que exija uma alteração em suas disposições. As novas disposições serão acordadas de boa fé pelas Partes e sempre por escrito como uma alteração a este DPA.


13.4. Se qualquer disposição deste DPA for considerada nula, inválida ou inexequível, as demais disposições permanecerão em pleno vigor e efeito. A disposição nula, inválida ou inexequível será alterada para garantir sua validade e eficácia, preservando a intenção das Partes.


13.5. Este DPA permanecerá em vigor até a rescisão do Contrato por qualquer motivo.


13.6. Este DPA sobreviverá ao término do Contrato e continuará a vincular as Partes em relação às atividades que envolvam o Tratamento de Dados Pessoais que se originem do Contrato e continuem a ser realizadas, embora apenas para fins de cumprimento de uma obrigação legal ou regulatória.


13.7. Este DPA é executado e se torna parte integrante e obrigatória do Contrato, com efeitos a partir da data deste instrumento. Aplica-se, no entanto, a todas as atividades relativas ao Tratamento de Dados Pessoais realizadas desde a data de execução do Contrato.





ANEXO X.1: TERMOS LATAM


1.DEFINIÇÕES: Além dos termos definidos no DPA, as seguintes definições se aplicam ao Termos de LATAM:


1.1. “controlador”, “titular de dados" e “autoridade de proteção de dados” e suas variações terão os mesmos significados que nos Requisitos LATAM de Proteção de Dados aplicáveis.


1.2. "ANPD" significa a Autoridade Nacional de Proteção de Dados do Brasil.



2.TERMOS DE TRATAMENTO: a execução do Contrato abrange o compartilhamento mútuo de Dados Pessoais. De acordo com o escopo do Contrato, cada Parte atuará como Controlador singular e está sujeita aos Requisitos LATAM de Proteção de Dados. As Partes concordam com o seguinte:


2.1. Cada Parte será individualmente responsável por garantir que seu Tratamento de Dados Pessoais seja lícito, justo e transparente, seguindo os Requisitos LATAM de Proteção de Dados, incluindo, quando aplicável, com base no consentimento explícito, inequívoco e informado do Titular dos Dados, ou com base em outra base legal válida prevista nos Requisitos LATAM de Proteção de Dados.


2.2 Quando o consentimento for a base do Tratamento de Dados, o Merchant será responsável por obter o consentimento expresso, livre, inequívoco e informado do titular dos dados, de acordo com os Requisitos LATAM de Proteção de Dados.


2.3. O EBANX auxiliará adequadamente o Merchant em caso de Incidente de Segurança, notificação, consulta, auditoria ou investigação pela ANPD ou qualquer outra Autoridade Governamental, ou de uma reclamação, consulta ou solicitação recebida diretamente de um Titular dos Dados, ou qualquer auditoria de terceiros, que se relacione ao Tratamento de Dados Pessoais de acordo com o Contrato, fornecendo informações sobre o Tratamento relevante conforme necessário para que o Merchant cumpra suas obrigações sob os Requisitos LATAM de Proteção de Dados.


2.4. O EBANX somente tratará Dados Pessoais conforme claramente descrito em seu Aviso de Privacidade ou acordo com o Titular dos Dados (conforme aplicável) ou de acordo com os termos do Contrato ou conforme permitido pela Lei Aplicável.



3.TRANSFERÊNCIAS INTERNACIONAIS: Na medida em que o EBANX trate ou de outra forma transfira Dados do Merchant ou Dados Pessoais (conforme aplicável) para fora da jurisdição em que tais dados foram originalmente coletados ou de outra forma tratados por, ou em nome do, Merchant:


3.1. O EBANX será responsável por cumprir qualquer requisito de autorização ou registro de transferência para fora do país de origem de acordo com os Requisitos LATAM de Proteção de Dados.


3.2. Tal transferência estará sujeita a quaisquer condições que possam ser razoavelmente impostas pelo Merchant, incluindo a celebração (e cumprimento) pelo EBANX (ou qualquer Subcontratado relevante) de qualquer acordo de transferência de dados razoavelmente aceitável para o Merchant e consistente com os Requisitos LATAM de Proteção de Dados.


3.3. Quando aplicável, as Partes concordam que tal transferência será feita com base em um mecanismo de transferência adequado, preferencialmente Cláusulas Contratuais Padrão, seguindo os Requisitos LATAM de Proteção de Dados.


3.3.1. Quando os Titulares dos Dados estiverem localizados na Argentina, México, Chile e Peru, aplicar-se-ão as Cláusulas Contratuais Modelo da Red Iberoamericana de Protección De Datos (https://www.redipd.org/sites/default/files/2023-02/anexo-modelos-clausulas-contractuales-en.pdf):

a) ANEXO A: Formulários de Adesão para Novos Parceiros

Não aplicável

b) ANEXO B: Descrição da Transferência

Categorias de Titulares de Dados cujos Dados Pessoais são transferidos: clientes do Merchant

Dados Pessoais Sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas: não aplicável.

Frequência de Transferência: Contínua

Finalidade(s) da transferência e posterior Tratamento de dados: processamento de pagamentos, prevenção à fraude (se aplicável) e verificação de identidade.

c) ANEXO C: Medidas Administrativas, Físicas e Técnicas para Garantir a Segurança dos Dados de acordo com a Política de Segurança da Informação (https://www.ebanx.com/en/legal/ebankers/terms-and-conditions/information-security-policy/), PCI-DSS, ISO/IEC 27001, e controles ISO 27701. 


3.3.2. Quando os Titulares dos Dados estiverem localizados no Brasil, aplicar-se-ão as Cláusulas Contratuais Padrão, conforme Resolução CD/ANPD nº 19/2024 (https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-19-de-23-de-agosto-de-2024-580095396) da ANPD:

a) CLÁUSULA 2

Exportador de Dados: Merchant e suas Afiliadas, conforme definido em Contrato. 

Importador de Dados: EBANX e suas Afiliadas, conforme definido em Contrato. 

Finalidade do Tratamento: processamento de pagamento.

Categoria de dado pessoal transferido: Dados Pessoais de identificação (nome, telefone, endereço de e-mail, endereço IP e identificador do dispositivo, número de identificação governamental, informações de compra). Dados adicionais podem ser transferidos de acordo com os regulamentos e o Aviso de Privacidade das Partes.

Período de armazenamento de dados: de acordo com o “Anexo 8.1 - Segurança de Dados”, 14. Exclusão de Dados.

b) CLÁUSULA 3: Opção B

Finalidade do Tratamento: suporte às atividades estabelecidas no Contrato

Categoria de dados pessoais transferidos: Dados Pessoais de identificação (nome, telefone, endereço de e-mail, endereço IP e identificador do dispositivo, número de identificação governamental, informações de compra). Dados adicionais podem ser transferidos de acordo com os regulamentos e o Aviso de Privacidade das Partes.

Período de armazenamento de dados: de acordo com o Anexo 8.1 - Segurança de Dados, 14. Exclusão de Dados.

c) CLÁUSULA 4: Opção A

Responsável pela publicação do documento solicitado na Cláusula 14: Exportador e Importador

Responsável por responder às solicitações dos titulares referidas na Cláusula 15: Exportador e Importador

Responsável por realizar a comunicação do incidente de segurança prevista na Cláusula 16: Exportador e Importador


3.4. As Partes deverão cooperar na realização de qualquer avaliação de tal transferência exigida pelos Requisitos LATAM de Proteção de Dados.





ANEXO X.2: TERMOS AMET


1.DEFINIÇÕES: Além dos termos definidos no DPA, as seguintes definições se aplicam aos Termos AMET:


1.1. “controlador”, “titular dos dados” e “autoridade de proteção de dados” e suas variações terão os mesmos significados que nos Requisitos AMET de Proteção de Dados aplicáveis.


2.TERMOS DE TRATAMENTO: a execução do Contrato abrange o compartilhamento mútuo de Dados Pessoais. De acordo com o escopo do Contrato, cada Parte atuará como Controlador singular e está sujeita aos Requisitos AMET de Proteção de Dados. As Partes concordam com o seguinte:


2.1. Cada Parte será individualmente responsável por garantir que seu Tratamento de Dados Pessoais seja lícito, justo e transparente de acordo com os Requisitos AMET de Proteção de Dados, incluindo, quando aplicável, com base no consentimento explícito, inequívoco e informado do titular dos dados, ou com base em outra base legal válida prevista nos Requisitos AMET de Proteção de Dados.


2.2. Quando o consentimento for a base do Tratamento de Dados, o Merchant será responsável por obter o consentimento expresso, livre, inequívoco e informado do titular dos dados, de acordo com os Requisitos AMET de Proteção de Dados.


2.3. o EBANX auxiliará adequadamente o Merchant em caso de Incidente de Dados, aviso, inquérito, auditoria ou investigação por uma autoridade de proteção de dados ou regulador relevante, ou de uma reclamação, inquérito ou solicitação recebida diretamente de um titular dos dados, ou qualquer auditoria de terceiros, que se relacione ao Tratamento de Dados Pessoais de acordo com o Contrato, fornecendo informações sobre o Tratamento relevante conforme necessário para que o Merchant cumpra suas obrigações sob os Requisitos AMET de Proteção de Dados.


2.4. o EBANX somente tratará Dados Pessoais conforme claramente descrito em seu aviso de privacidade ou acordo com o titular dos dados (conforme aplicável) ou de acordo com os termos do Contrato ou conforme permitido pela Lei Aplicável.


3.TRANSFERÊNCIAS INTERNACIONAIS: Na medida em que o EBANX Processe ou de outra forma transfira Dados do Merchant ou Dados Pessoais (conforme aplicável) para fora da jurisdição em que tais dados foram originalmente coletados ou de outra forma tratados por, ou em nome do, Merchant:


3.1. o EBANX será responsável por cumprir qualquer requisito de autorização ou registro de transferência para fora do país de origem de acordo com os Requisitos AMET de Proteção de Dados.


3.2. Tal transferência estará sujeita a quaisquer condições que possam ser razoavelmente impostas pelo Merchant, incluindo a celebração (e cumprimento) pelo EBANX (ou qualquer Subcontratado relevante) de qualquer acordo de transferência de dados razoavelmente aceitável para o Merchant e consistente com os Requisitos AMET de Proteção de Dados.


3.3. Quando aplicável, as Partes concordam que tal transferência será feita com base em um mecanismo de transferência adequado, preferencialmente decisões de adequação de proteção de dados ou, quando não aplicável, Cláusulas Contratuais Padrão, de acordo com os Requisitos AMET de Proteção de Dados.


3.4. Quando o consentimento for exigido como mecanismo de transferência, o Merchant é responsável por obter o consentimento expresso, livre, inequívoco e informado do titular dos dados, de acordo com os Requisitos AMET de Proteção de Dados.


3.5. As Partes deverão cooperar na realização de qualquer avaliação de tal transferência exigida pelos Requisitos AMET de Proteção de Dados.




ANEXO X.3: TERMO APAC


1.DEFINIÇÕES: Além dos termos definidos no DPA, as seguintes definições se aplicam aos Termos LATAM:In addition to the defined terms in the DPA, the following definitions apply to the APAC Terms:


1.1. "Controlador” means the Merchant, EBANX, and its Affiliates that act as Controller of Personal Data Processed in connection with the Agreement or in the performance of the Services.


1.2. “Titular dos dados” e “autoridade de proteção de dados” e suas variações terão o mesmo significado que nos Requisitos de Proteção de Dados APAC aplicáveis.


2.TERMOS DE TRATAMENTO: O Merchant e o EBANX atuarão como Controladores únicos de acordo com o escopo do Contrato, e os Dados Pessoais serão trocados entre o Merchant e o EBANX, aplicando os Requisitos APAC de Proteção de Dados. As Partes concordam com o seguinte:


2.1. Garantir que o Tratamento dos Dados Pessoais esteja de acordo com os Requisitos APAC de Proteção de Dados, incluindo, quando aplicável, com base no consentimento explícito, inequívoco e informado do titular dos dados, ou com base em outra base legal válida prevista nos Requisitos APAC de Proteção de Dados;


2.2. Tratar os Dados Pessoais somente conforme claramente descrito no aviso de privacidade do EBANX ou acordo com o Titular dos Dados (quando aplicável) ou pelos termos do Contrato ou conforme permitido pela Lei Aplicável;


2.3. Na medida exigida pelos Requisitos APAC de Proteção de Dados, envidar esforços razoáveis para garantir que os Dados Pessoais sejam precisos e completos se os Dados Pessoais puderem ser: (i) usados pelo EBANX para tomar uma decisão que afete o titular dos dados em questão; ou (ii) divulgados pelo EBANX a outro controlador, operador ou terceiro; e


2.4. Deixar de reter os Dados Pessoais quando não forem mais razoavelmente necessários para os fins relevantes, de acordo com o aviso de privacidade do EBANX ou acordo com o titular dos dados (conforme aplicável) ou de acordo com os termos do Contrato ou conforme permitido pela Lei Aplicável;


2.5. Para os fins dos Requisitos APAC de Proteção de Dados, a descrição do Tratamento é especificada no Contrato.


3. TRANSFERÊNCIAS INTERNACIONAIS: Na medida em que o EBANX Processe ou de outra forma transfira Dados Pessoais para fora da jurisdição em que tais dados foram originalmente coletados ou de outra forma tratados por, ou em nome do, Merchant:


3.1. o EBANX tratará Dados Pessoais somente de acordo com o Contrato, o DPA e este Termo APAC, na medida aplicável, e as instruções documentadas do Merchant, inclusive com relação a quaisquer transferências de Dados Pessoais para uma jurisdição fora da jurisdição das operações do EBANX na qual tais Dados Pessoais foram originalmente coletados ou de outra forma tratados por, ou em nome do, Merchant.


3.2. o EBANX deve cumprir os Requisitos APAC de Proteção de Dados em relação a tal transferência e garantir que tal transferência não faça com que o Merchant viole quaisquer Requisitos APAC de Proteção de Dados. A descrição do Tratamento será especificada no Contrato.


3.3. Sem limitar as cláusulas 3.1 e 3.2, o EBANX garantirá que qualquer transferência de Dados do Merchant seja feita de acordo com um mecanismo de transferência válido, conforme aplicável, de acordo com a Lei Aplicável (incluindo os Requisitos APAC de Proteção de Dados).





ANEXO X.4: TERMOS DA REGIÃO EUROPEIA


1.DEFINIÇÕES E APLICABILIDADE: Além dos termos definidos no DPA, as seguintes definições se aplicam a estes Termos da Região Europeia:


1.1. Os termos "controlador", "titular dos dados", "Operador" e "autoridade supervisora" terão os mesmos significados que no GDPR ou no UK GDPR (conforme aplicável), e os termos "tratado" e "tratar" serão interpretados de acordo com a definição de "tratamento" descrita abaixo. Os termos "dados pessoais" e "tratamento" nestes Termos da Região Europeia terão os mesmos significados que no GDPR ou no UK GDPR (conforme aplicável) e não, para evitar dúvidas, as definições de "Dados Pessoais" e "tratamento" conforme estabelecido no DPA.

1.2. “Finalidade Aprovada” significa a(s) finalidade(s) para as quais a Empresa pode tratar os dados pessoais que recebe do Merchant como controlador de acordo com o Contrato, incluindo conforme expressamente especificado no Contrato.“Approved Purpose”.


1.3. “Controlador” significa o Merchant, o EBANX e suas Afiliadas, que atuam como controladores de dados pessoais sujeitos ao GDPR ou UK GDPR e tratados em conexão com o Contrato ou na execução dos Serviços.


1.4. “Cláusulas Contratuais Padrão” (“SCC”) significam as cláusulas contratuais padrão da Comissão Europeia para a transferência de dados pessoais para países terceiros de acordo com o Regulamento (UE) 2016/679, conforme estabelecido no anexo da Decisão da Comissão 2021/914, que, na data da Última Atualização, estão disponíveis em https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj e que são incorporadas neste documento por referência.


1.5. “Adendo do Reino Unido” significa o Adendo de Transferência Internacional de Dados do Information Commissioner's Office do Reino Unido às SCCs, que, na data da Última Atualização, está disponível em https://ico.org.uk/media/for-organisations/documents/4019483/international-data-transfer-addendum.pdf e que é incorporado neste documento por referência.


2.TERMOS DO CONTROLADOR

2.1. O Merchant e o EBANX atuarão como Controladores independentes de acordo com o escopo do Contrato, e os Dados Pessoais serão trocados entre o Merchant e o EBANX, aplicando os Requisitos Europeus de Proteção de Dados. As Partes concordam com o seguinte:


2.2. Se os Dados Pessoais forem trocados entre o Merchant e o EBANX em conexão com o Contrato ou a prestação dos Serviços:

a) Em toda a extensão permitida pelos Requisitos Europeus de Proteção de Dados aplicáveis, as Partes serão cada uma controladores independentes dos Dados Pessoais e, como tal, determinarão independentemente as finalidades e os meios de Tratamento desses Dados Pessoais;

b) Cada Parte será individualmente responsável por garantir que seu Tratamento de Dados pessoais seja lícito, justo e transparente de acordo com os Requisitos Europeus de Proteção de Dados aplicáveis, incluindo, quando aplicável, com base no consentimento inequívoco do Titular dos Dados, ou com base em outra base legal válida prevista nos Requisitos Europeus de Proteção de Dados aplicáveis; e

c) Cada Parte implementará e manterá medidas técnicas e organizacionais adequadas para proteger quaisquer Dados Pessoais em sua posse ou controle contra: (i) destruição acidental ou ilegal; e (ii) perda, alteração ou divulgação ou acesso não autorizado, e que forneçam um nível de segurança adequado ao risco representado por qualquer tratamento e à natureza dos Dados Pessoais a serem protegidos.


3.TRANSFERÊNCIAS INTERNACIONAIS

3.1. Se os Dados Pessoais forem transferidos pelo Merchant para o EBANX em conexão com o Contrato e o EBANX estiver localizada fora do Espaço Econômico Europeu (“EEE”), tal transferência será regida pelas SCCs. Para evitar dúvidas, as seguintes cláusulas ou o Adendo do Reino Unido não se aplicarão na medida em que os Dados Pessoais sejam transferidos para um país ou território que, no momento de tal transferência, seja considerado como garantindo um nível adequado de proteção pela Comissão Europeia ou pelo UK Information Commissioner's Office.


3.2. Para os fins das SCCs da UE, aplicar-se-á o seguinte:

a) Módulo Um (Controlador para Controlador) será aplicável.

b) Cláusula 11: A cláusula opcional que permite aos Titulares dos Dados apresentar uma reclamação a um órgão independente de resolução de litígios é removida.

c) Cláusula 17: conforme definido no Contrato.

d) Cláusula 18: O Estado-Membro da UE onde qualquer disputa decorrente destas Cláusulas será resolvida são os tribunais da jurisdição estipulada no Contrato. 


3.3. Para os fins do Anexo I das SCCs:


a) LISTA DAS PARTES

  • Exportador(es) de Dados:

Nome: Merchant e suas Afiliadas, conforme definido no Contrato.

Endereço: conforme definido no Contrato.

Nome da pessoa de contato: conforme definido no Contrato.

Atividades relevantes para os dados transferidos sob estas Cláusulas: Todas as atividades de Tratamento de Dados Pessoais acordadas no Contrato.

Assinatura e data: Assinado e datado por e em nome do exportador de dados pela execução do Contrato.

Função: Controlador.

  • Importador(es) de Dados:

Nome: EBANX e suas Afiliadas, conforme definido no Contrato.

Endereço: conforme definido no Contrato.

Nome da pessoa de contato: Giovanna Michelato, Encarregada da Proteção de Dados, privacy@ebanx.com

Atividades relevantes para os dados transferidos sob estas Cláusulas: Todas as atividades de Tratamento de Dados Pessoais acordadas no Contrato.

Assinatura e data: Assinado e datado por e em nome do exportador de dados pela execução do Contrato.

Função: Controlador.


b) DESCRIÇÃO DA TRANSFERÊNCIA

  • Categorias de titulares de dados cujos dados pessoais são transferidos: clientes do Merchant.

  • Categorias de dados pessoais transferidos: Dados Pessoais de identificação (nome, telefone, endereço de e-mail, endereço IP e identificador do dispositivo, número de identificação governamental, informações de compra). Dados adicionais podem ser transferidos de acordo com os regulamentos e o Aviso de Privacidade das Partes.

  • Dados sensíveis transferidos: não aplicável.

  • A frequência da transferência: A transferência de dados é contínua ao longo da prestação dos serviços.

  • Natureza e finalidade do tratamento:A atividade do EBANX é conforme descrito nos Serviços no âmbito do Contrato. Essas responsabilidades estão focadas em facilitar o processamento de pagamentos do Merchant. Isso inclui receber informações de pagamento dos clientes do Merchant, verificar sua exatidão e integridade, obter autorização de pagamento e liquidar os fundos autorizados diretamente com os Merchants.

  • O período pelo qual os Dados Pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período: O EBANX tratará Dados Pessoais durante o prazo do Contrato e o exigido pela Lei Aplicável e não depois disso, exceto se o Merchant instruir explicitamente o EBANX a fazê-lo.


c) AUTORIDADE SUPERVISORA

  • Identificar a(s) autoridade(s) supervisora(s) competente(s) de acordo com a Cláusula 13: conforme definido no Contrato.


3.4. Sem prejuízo das disposições estabelecidas nas Seções 4.2 a 4.6 destes Termos da Região Europeia, nada no Contrato ou neste DPA (incluindo estes Termos da Região Europeia) pretende variar ou modificar as SCCs. O Merchant e o EBANX concordam que a Seção I, Cláusula 7 opcional, e o parágrafo opcional na Seção II, Cláusula 11 das SCCs não se aplicarão.


3.5. Para os fins do Adendo do Reino Unido, conforme permitido pela Cláusula 17 de tal adendo, as partes concordam em alterar o formato das informações estabelecidas na Parte 1 do adendo para que:

a) os detalhes das partes na Tabela 1 sejam conforme estabelecido acima (sem necessidade de assinatura);

b) para os fins da Tabela 2, o adendo será anexado às SCCs da UE (incluindo a seleção de módulos e a aplicação/não aplicação de tais cláusulas opcionais conforme especificado acima); e

c) as informações do apêndice listadas na Tabela 3 sejam conforme estabelecido acima.


3.6. No caso de as SCCs ou o Adendo do Reino Unido serem (i) considerados inválidos pela Comissão Europeia, pelo UK Information Commissioner's Office, por um regulador relevante ou autoridade supervisora por qualquer motivo, ou (ii) substituídos por outras cláusulas contratuais padrão emitidas ou aprovadas pela Comissão Europeia, o UK Information Commissioner's Office, um regulador relevante ou autoridade supervisora, o Merchant e o EBANX deverão cumprir imediatamente tais outras cláusulas contratuais padrão ou qualquer outro mecanismo válido sob os Requisitos Europeus de Proteção de Dados para transferir e tratar dados pessoais fora do EEE e/ou do Reino Unido (conforme aplicável).