ADITIVO AO CONTRATO DE PRESTAÇÃO DE SERVIÇO RG SERPRO: 60837

ADITIVO AO CONTRATO DE PRESTAÇÃO DE SERVIÇO RG SERPRO: 60837

Dados do Contratante:

Nome: Comissão de Valores Mobiliários CNPJ: 29.507.878/0001-08

Dados Contratado

Nome: SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS (SERPRO)

Sede: SGAN, Quadra 601, Módulo V, Brasília – DF

CNPJ: 33.683.111/0001-07

CEP: 70836-900

As partes, acima qualificadas, serão denominadas, isoladamente, “PARTE” e em conjunto “PARTES”.

CONSIDERANDO:

a. As partes firmaram Contrato de Prestação de Serviços e Outras Avenças e eventuais aditivos (“Contrato”), possuindo como objeto a prestação de serviços de processamento de dados, consubstanciados no provimento de consulta online às bases de dados dos sistemas cadastro de pessoas físicas – CPF e cadastro nacional de pessoas jurídicas – CNPJ.

b. Os termos da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – “LGPD”), que regulamenta as atividades de tratamento de Dados Pessoais;

c. Que as atividades objeto do Contrato envolvem o tratamento de dados pessoais e desejam incluir o presente Termo de Tratamento de Dados Pessoais.

Resolvem as partes, firmar o presente Aditivo ao Contrato de Prestação de Serviços e Outras Avenças (“ADITIVO”), que se regerá pelas seguintes cláusulas e condições:

CLÁUSULA PRIMEIRA – DO OBJETO

As partes resolvem, de comum acordo, incluir ao Contrato o Termo de Tratamento de Dados Pessoais (Anexo I ao presente Aditivo), sendo suas cláusulas incorporadas, ao contrato original, para todos os efeitos e, em especial, para o efeito de adequá-lo às disposições da LGPD.

CLÁUSULA SEGUNDA – DAS DISPOSIÇÕES FINAIS:

2.1 Permanecem inalteradas as demais cláusulas e disposições do Contrato original, desde que não conflitem com o disposto neste Instrumento.

E, para firmeza e prova de haverem entre si ajustado e concordado, foi lavrado o presente Aditivo que, depois de lido e achado conforme, é assinado eletronicamente pelas Partes, considerando-se como data de sua celebração aquela que corresponder à última assinatura eletrônica. As Partes atestam que os signatários são representantes com poderes bastantes, bem como declaram ser válido o processo e as assinaturas realizadas pela via eletrônica, para todos os fins de direito, nos termos do § 2º do art. 10 da Medida Provisória nº 2.200/01.

CONTRATANTE

Xxxxx Xxxxxx xx Xxxxx Xxxxxxxx – CPF: 000.000.000-00

SUPERINTENDENTE ADMINISTRATIVO – FINANCEIRO

CONTRATADA

Xxxxxxx Xxxxx Xxxxxxxx - CPF: 000.000.000-00

SUPERINTENDENTE DE RELACIONAMENTO COM CLIENTES

XXXXXX XXXXX

Assinado digitalmente por XXXXXX XXXXX XXXXXXXXX

DN: cn=XXXXXX XXXXX XXXXXXXXX,

ANTONELLI

c=BR, o=ICP-Brasil, ou=Autoridade Certificadora SERPROACF, xxxxxxxxxxxx.xxxxxxxxx@xxxxxx.xxx.xx

CONTRATADA

Xxxxxx Xxxxx Xxxxxxxxx - CPF: 000.000.000-00

GERENTE DE DEPARTAMENTO

ANEXO 1 – TRATAMENTO E PROTEÇÃO DE DADOS PESSOAIS

1. FINALIDADE E CONDIÇÕES GERAIS DESTE ANEXO

1.1 O presente Anexo tem como finalidade firmar as condições e responsabilidades a serem assumidas pelas Partes no que se refere à aplicabilidade da Lei Geral de Proteção de Dados – LGPD.

2. DEFINIÇÕES

2.1 Para efeitos deste termo, serão consideradas as seguintes definições:

2.1.1 Leis e Regulamentos de Proteção de Dados - Quaisquer leis, portarias e regulações, incluindo-se aí as decisões e as normas publicadas pela Autoridade Fiscalizadora competente, aplicável ao Tratamento de Dados Pessoais no território nacional.

2.1.2 LGPD - Lei Geral de Proteção de Dados, e suas respectivas alterações posteriores (Lei nº 13.709, de 14 de agosto de 2018).

2.1.3 Dados Pessoais - significam qualquer informação relacionada a pessoa natural identificada ou identificável e que seja objeto de tratamento pelas Partes, incluindo Dados Pessoais Sensíveis, nos termos de ou em relação ao Contrato.

2.1.4 Serviço - refere-se à contraprestação, nos termos do Contrato.

2.1.5 Colaborador(es) - significa qualquer empregado, funcionário ou terceirizados, representantes ou prepostos, remunerado ou sem remuneração, em regime integral ou parcial, que atue em nome das Partes e que tenha acesso a Dados Pessoais por força da prestação dos serviços.

2.1.6 Incidente de Segurança da informação – significa um evento ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham

grande probabilidade de comprometer as operações do negócio e ameaçar a própria segurança da informação, a privacidade ou a proteção de dados pessoais.

2.1.7 Autoridades Fiscalizadoras - significa qualquer autoridade, inclusive judicial, competente para fiscalizar, julgar e aplicar a legislação pertinente, incluindo, mas não se limitando, à ANPD.

2.2 Os termos “Tratamento”, “Dado Pessoal”, “Dado Pessoal Sensível”, “ANPD”, “Titular” e “Relatório de Impacto à Proteção de Dados”, “Controlador” e “Operador” terão, para os efeitos deste Anexo, o mesmo significado que lhes é atribuído na Lei nº 13.709/18.

2.3 As partes comprometem-se a proteger os direitos fundamentais da liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, relativos ao tratamento de dados pessoais, inclusive nos meios digitais, observando- se, em especial, o disposto nas Leis 13.709/2018 e 12.965/2014.

3. DO TRATAMENTO DE DADOS PESSOAIS

3.1 São deveres das Partes:

3.1.1 Realizar o tratamento de dados pessoais com base nas hipóteses dos Arts. 7º e/ou 11 e/ou Capítulo IV da Lei 13.709/2018 às quais se submeterão os serviços, e responsabilizar-se: (i) pela realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular; (ii) pela compatibilidade no tratamento com as finalidades informadas; (iii) pela definição da forma de tratamento dos referidos dados, informando ao Titular que seus dados pessoais são compartilhados na forma prevista neste Contrato.

3.1.2 Caso a parte controladora realize tratamento de dados pessoais baseado em "consentimento" (Arts. 7º, I ou 11, I da LGPD), responsabilizar-se-á pela guarda adequada do instrumento de consentimento fornecido pelo Titular, e deverá informá- lo sobre o compartilhamento de seus dados, visando atender às finalidades para o respectivo tratamento.

3.1.2.1 Deve ainda compartilhar o instrumento de consentimento com a outra parte, quando solicitado, visando atender requisições e determinações das autoridades fiscalizadoras, Ministério Público, Poder Judiciário ou Órgãos de controle administrativo.

3.1.3 Notificar a outra parte sobre qualquer possível risco de Incidente de Segurança ou de descumprimento com quaisquer Leis e Regulamentos de Proteção de Dados de que venha a ter conhecimento ou suspeita, devendo a parte responsável, em até 10 (trinta) dias corridos, tomar as medidas necessárias.

3.1.4 Garantir que o tratamento seja limitado às atividades necessárias ao atingimento das finalidades de execução do contrato e do serviço contratado, e utilizá-lo, quando seja o caso, em cumprimento de obrigação legal ou regulatória, no exercício regular de direito, por determinação judicial ou por requisição da ANPD;

3.1.5 Cooperar com a outra parte no cumprimento das obrigações referentes ao exercício dos direitos dos Titulares previstos na LGPD e nas Leis e Regulamentos de Proteção de Dados em vigor e também no atendimento de requisições e determinações do Poder Judiciário, Ministério Público, Órgãos de controle administrativo;

3.1.6 Comunicar, em até dez dias, à outra parte, o resultado de auditoria realizada pela ANPD, na medida em que esta diga respeito aos dados da outra parte, corrigindo, em um prazo razoável, eventuais desconformidades detectadas;

3.1.7 Informar imediatamente à outra parte quando receber uma solicitação de um Titular de Dados, a respeito dos seus Dados Pessoais sempre que envolver a solução tecnológica objeto do presente contrato;

3.1.8 Abster-se de responder qualquer solicitação em relação aos Dados Pessoais do solicitante, exceto nas instruções documentadas ou conforme exigido pela LGPD e Leis e Regulamentos de Proteção de Dados em vigor.

3.1.9 Informar imediatamente à outra parte, sempre que envolver a solução tecnológica objeto do presente contrato, assim que tomar conhecimento de:

a) qualquer investigação ou apreensão de Dados Pessoais sob o controle da outra parte por oficiais do governo ou qualquer indicação específica de que tal investigação ou apreensão seja iminente;

b) quaisquer outros pedidos provenientes desses funcionários públicos;

c) qualquer informação que seja relevante em relação ao tratamento de Dados Pessoais da outra parte; e

d) qualquer incidente ou violação que afete o negócio ou que demande ação da outra parte.

3.2 O subitem anterior interpreta-se em consonância com o detalhamento do serviço e as responsabilidades das partes previstas neste Contrato e seus demais anexos.

4. DOS COLABORADORES DO CONTRATADO

4.1 O Contratado assegurará que o acesso e o Tratamento dos Dados Pessoais enviados pela Contratante fiquem restritos aos Colaboradores que precisam efetivamente tratá-los, com o objetivo único de alcançar as finalidades definidas no contrato indicado no preâmbulo, bem como que tais Colaboradores:

4.1.1 Tenham recebido treinamentos referentes aos princípios da proteção de dados e às leis que envolvem o tratamento; e

4.1.2 Tenham conhecimento das obrigações do contratado, incluindo as obrigações do presente Termo.

4.2 Todos os Colaboradores do Contratado, bem como os em exercício na Empresa, são obrigados a guardar sigilo quanto aos elementos manipulados, incluindo os que envolvam dados pessoais, nos termos já definidos pelo artigo 8º, da Lei 5.615/70.

5. DOS COOPERADORES

5.1 O Contratante concorda que o Contratado, nos termos da Lei, e para atender a finalidade contratual, firme parcerias com outros provedores para a integração dos serviços em nuvem. Ainda assim, a Contratada tem a obrigação de celebrar contratos adequados e em conformidade com a LGPD e adotar medidas de controle para garantir a proteção dos dados do Contratante e dos dados do Titular, aderentes aos requisitos de boas práticas e segurança aplicados pela Contratada.

5.2 A Contratada notificará previamente a Contratante, caso deseje adicionar ou remover algum dos provedores parceiros.

6. DA SEGURANÇA DOS DADOS PESSOAIS

6.1 A Contratada adotará medidas de segurança técnicas e administrativas adequadas a assegurar a proteção de dados (nos termos do artigo 46 da LGPD), de modo a garantir um nível apropriado de segurança aos Dados Pessoais tratados e mitigar possíveis riscos. Ao avaliar o nível apropriado de segurança, a Contratada deverá levar em conta os riscos que são apresentados pelo Tratamento, em particular aqueles relacionados a potenciais Incidentes de Segurança, identificação de vulnerabilidades, e adequada gestão de risco.

6.2 A Contratada manterá os Dados Pessoais de clientes do Contratante e informações confidenciais sob programas de segurança (incluindo a adoção e a aplicação de políticas e procedimentos internos), elaborados visando (a) proteção contra perdas, acessos ou divulgação acidentais ou ilícitos; (b) identificar riscos prováveis e razoáveis para segurança e acessos não autorizados à sua rede; e (c) minimizar riscos de segurança, incluindo avaliação de riscos e testes regulares. A Contratada designará um ou mais empregados para coordenar e para se responsabilizar pelo programa de segurança da informação, que inclui a garantia de cumprimento de políticas internas de segurança da informação.

6.3 Em caso de incidente de segurança, inclusive de acesso indevido, não autorizado e do vazamento ou perda de dados pessoais que tiverem sido transferidos pelo Contratante, independentemente do motivo que o tenha ocasionado, a Contratada comunicará ao Contratante imediatamente a partir da

ciência do incidente, contendo, no mínimo, as seguintes informações: (i) data e hora do incidente; (ii) data e hora da ciência pela Contratada; (iii) relação dos tipos de dados afetados pelo incidente; (iv) número de Titulares afetados; (v) dados de contato do Encarregado de Proteção de Dados ou outra pessoa junto à qual seja possível obter maiores informações sobre o ocorrido; e (vi) indicação de medidas que estiverem sendo tomadas para reparar o dano e evitar novos incidentes. Caso a Contratada não disponha de todas as informações ora elencadas no momento de envio da comunicação, deverá enviá-las de forma gradual, de forma a garantir a maior celeridade possível, sendo certo que a comunicação completa (com todas as informações indicadas) deve ser enviada no prazo máximo de 5 dias a partir da ciência do incidente.

7. DA TRANSFERÊNCIA INTERNACIONAL DE DADOS

7.1 As transferências de Dados Pessoais para um terceiro país, ou seja, um país diferente daquele em que os Dados Pessoais são disponibilizados, são permitidas somente quando tais transferências forem estritamente necessárias para a execução do Contrato e de acordo com as condições e os limites estabelecidos a seguir:

7.2 O Contratado deverá notificar o Contratante, sem demora indevida, de quaisquer intenções de transferências permanentes ou temporárias dos Dados Pessoais do Contratante para um terceiro país e somente realizar tal transferência após obter autorização, por escrito, que pode ser negada a seu critério.

7.2.1 - Essa notificação deverá conter informações detalhadas sobre para quais países as informações seriam transferidas e para quais finalidades.

7.3 Quando a transferência for solicitada pelo Contratante ou necessária para a prestação dos Serviços (mediante prévia autorização, por escrito, do Contratante), a parte Contratada deverá adotar os mecanismos de transferência internacional pertinentes (incluindo, quando aplicável, as futuras cláusulas padrão aprovadas pela ANPD para Transferência Internacional de Dados Pessoais, sempre que estiverem disponíveis, ou, quando aplicável, cláusulas contratuais exigidas por países destinatários).

8. DA EXCLUSÃO E DEVOLUÇÃO DOS DADOS PESSOAIS DO CONTRATANTE

8.1 As partes acordam que, quando do término da vigência do contrato envolvendo o Tratamento de Dados Pessoais, prontamente darão por encerrado o tratamento e, em no máximo (30) dias, serão eliminados completamente os Dados Pessoais e todas as cópias porventura existentes (seja em formato digital ou físico), salvo quando necessária a manutenção dos dados para cumprimento de obrigação legal ou outra hipótese autorizativa da LGPD.

9. DAS RESPONSABILIDADES

9.1 Eventuais responsabilidades das partes, serão apuradas conforme estabelecido no corpo deste Anexo, no contrato em que ele se insere e também de acordo com o que dispõe a Seção III, Capítulo VI da LGPD.

10. DAS DISPOSIÇÕES FINAIS

10.1 Sem prejuízo de eventuais disposições sobre mediação e jurisdição:

10.2 Na hipótese de conflito entre o presente Anexo e o Contrato, prevalecerão as disposições do Contrato.

10.3 As partes ajustarão variações a este Anexo que sejam necessárias para atender aos requisitos de quaisquer mudanças nas Leis e Regulamentos de Proteção de Dados.

10.4 Caso qualquer disposição deste Termo seja inválida ou inexequível, o restante deste Termo permanecerá válido e em vigor. A disposição inválida ou inexequível deve ser (i) alterada conforme necessário para garantir a sua validade e aplicabilidade, preservando as intenções das partes o máximo possível ou, se isso não for possível, (ii) interpretadas de maneira como se a disposição inválida ou inexequível nunca estivesse contida nele.