ANEXO B - TRATAMENTO DE DADOS PESSOAIS 1.FINALIDADE E CONDIÇÕES GERAIS DESTE ANEXO

MINISTÉRIO DO DESENVOLVIMENTO REGIONAL | SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS

ANEXO B - TRATAMENTO DE DADOS PESSOAIS 1.FINALIDADE E CONDIÇÕES GERAIS DESTE ANEXO

1.1 O presente Anexo tem como finalidade firmar as condições e responsabilidades a serem assumidas pelas Partes no que se refere à aplicabilidade da Lei Geral de Proteção de Dados (LGPD).

2.DEFINIÇÕES

2.1 Para efeitos deste termo, serão consideradas as seguintes definições:

2.1.1 Leis e Regulamentos de Proteção de Dados: Quaisquer leis, portarias e regulações, incluindo- se aí as decisões e as normas publicadas pela Autoridade Fiscalizadora competente, aplicável ao Tratamento de Dados Pessoais no território nacional e que sejam pertinentes ao Tratamento de dados pessoais objeto do Acordo.

2.1.2 LGPD ou Lei Geral de Proteção de Dados: Lei nº 13.709, de 14 de agosto de 2018 e suas respectivas alterações posteriores.

2.1.3 Participe(s) ou Parte(s): São os signatários do Acordo, podendo, na sua execução, atuar como Controladores e/ou Operadores.

2.1.4 Serviço: Atividades e serviços que serão fornecidos ou realizados pelos Parceiros, nos termos do Acordo.

2.1.5 Colaborador(es): Qualquer empregado, funcionário ou terceirizados, representantes ou prepostos, remunerado ou sem remuneração, em regime integral ou parcial, que atue em nome das Partes e que tenha acesso a Dados Pessoais e/ou Dados Pessoais Sensíveis, por força da prestação dos serviços.

2.1.6 Incidente de Segurança da informação: Evento ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham grande probabilidade de comprometer as operações do negócio e ameaçar a própria segurança da informação, a privacidade ou a proteção de dados pessoais.

2.1.7 Autoridades Fiscalizadoras: Qualquer autoridade, inclusive judicial, competente para fiscalizar, julgar e aplicar a legislação pertinente, incluindo, mas não se limitando, à ANPD.

2.2 Os termos - “Tratamento”, “Dado Pessoal”, “Dado Pessoal Sensível”, “ANPD”, “Titular”, “Relatório de Impacto à Proteção de Dados”, “Controlador” e “Operador” terão, para os efeitos deste Anexo, o mesmo significado que lhes é atribuído na Lei nº 13.709/18.

2.2.1 Para os efeitos deste Anexo, o Parceiro será Controlador, quando for competente para tomar as decisões referentes ao tratamento, ou Operador, quando realizar o tratamento em nome do Controlador.

2.3 As partes comprometem-se a proteger os direitos fundamentais da liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, relativos ao tratamento de dados pessoais, inclusive nos meios digitais, observando-se, em especial, o disposto nas Leis 13.709/2018 e 12.965/2014.

0.XX TRATAMENTO DE DADOS PESSOAIS

3.1 São deveres dos Participes como Controladores:

3.1.1 Realizar o tratamento de dados pessoais com base nas hipóteses dos Arts. 7º e/ou 11 e/ou Capítulo IV da Lei 13.709/2018 às quais se submeterão os serviços, e responsabilizar-se: (i) pela realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular; (ii) pela compatibilidade no tratamento com as finalidades informadas; (iii) pela definição da forma de tratamento

dos referidos dados, informando ao Titular que seus dados pessoais são compartilhados na forma prevista neste Acordo.

3.1.2 Caso, a exclusivo critério de qualquer dos Controladores Participes, este realize tratamento de dados pessoais baseado em "consentimento" (arts. 7º, I ou 11, I da LGPD), responsabilizar-se-á pela guarda adequada do instrumento de consentimento fornecido pelo Titular, e deverá informá-lo sobre o uso compartilhado de seus dados, visando atender às finalidades para o respectivo tratamento.

3.1.2.1 Compartilhar o instrumento de consentimento com a outra parte, quando solicitado, para análise da conformidade e para outras estritamente necessárias à correta execução do Acordo, e também visando atender a requisições e determinações das autoridades fiscalizadoras, Ministério Público, Poder Judiciário ou Órgãos de controle administrativo.

3.1.3 Comunicar ao Participe sobre qualquer Incidente de Segurança ou de descumprimento com quaisquer Leis e Regulamentos de Proteção de Dados de que venha a ter conhecimento ou suspeita, devendo o Participe responsável, em até 10 (dez) dias corridos, tomar as medidas necessárias.

3.1.4 Garantir que o tratamento seja limitado às atividades necessárias ao atingimento das finalidades de execução do Acordo, e utilizá-lo, quando seja o caso, em cumprimento de obrigação legal ou regulatória, no exercício regular de direito, por determinação judicial ou por requisição da ANPD;

3.1.5 Cooperar com o Participe no cumprimento das obrigações referentes ao exercício dos direitos dos Titulares previstos na LGPD e nas Leis e Regulamentos de Proteção de Dados em vigor e também no atendimento de requisições e determinações do Poder Judiciário, Ministério Público, Órgãos de controle administrativo;

3.1.6 Comunicar, em até dez dias, ao outro Participe, o resultado de eventual auditoria realizada pela ANPD, e que diga respeito ao serviço em questão, corrigindo eventuais desconformidades detectadas em um prazo razoável ;

3.1.7 Informar imediatamente ao outro Participe quando receber uma solicitação de um Titular de Dados, a respeito dos seus Dados Pessoais sempre que envolver a solução tecnológica objeto do presente Acordo;

3.1.8 Abster-se de responder a qualquer solicitação em relação aos Dados Pessoais do titular, exceto nas instruções documentadas ou conforme exigido pela LGPD e Leis e Regulamentos de Proteção de Dados em vigor.

3.1.9 Informar imediatamente ao outro Participe, sempre que envolver a solução tecnológica objeto do presente Acordo, assim que tomar conhecimento de:

a) qualquer investigação ou apreensão de dados pessoais sob o controle da outra Parte por funcionários do governo; qualquer indicação específica de que tal investigação ou apreensão seja

iminente; quaisquer outros pedidos conexos;

b) qualquer informação que seja relevante em relação ao tratamento de Dados Pessoais da outra parte; e

c) qualquer incidente ou violação que afete o negócio ou que demande ação do outro Participe.

3.2 O subitem anterior interpreta-se em consonância com o detalhamento do serviço e as responsabilidades das partes previstas neste Acordo e seus demais anexos.

4.DOS COLABORADORES

4.1 Os Controladores Participes assegurarão que o acesso e o Tratamento dos Dados Pessoais da outra Parte fiquem restritos aos colaboradores que precisam efetivamente tratá-los, com o objetivo único de alcançar as finalidades definidas no Acordo indicado no preâmbulo, bem como que tais colaboradores:

4.1.1 Tenham recebido treinamentos referentes aos princípios da proteção de dados e às leis que envolvem o tratamento; e

4.1.2 Tenham conhecimento das obrigações contratadas, incluindo as obrigações do presente Termo.

4.2 Todos os Colaboradores dos Controladores Participes, bem como os em exercício na Empresa, são obrigados a guardar sigilo quanto aos elementos manipulados, incluindo os que envolvam dados

pessoais.

5.DOS COOPERADORES

5.1 Os Controladores Participes concordam que, nos termos da Lei, e para atender a finalidade contratual, as Partes firmem parcerias com outros provedores para a integração dos serviços em nuvem. Ainda assim, as Partes têm a obrigação de celebrar instrumentos adequados e em conformidade com a LGPD e adotar medidas de controle para garantir a proteção dos dados da outra Parte e dos dados do Titular, aderentes aos requisitos de boas práticas e segurança aplicados.

5.2 Uma Parte notificará previamente à outra, caso deseje adicionar algum provedor Participe.

6.DA SEGURANÇA DOS DADOS PESSOAIS

6.1 Os Participes adotarão medidas de segurança técnicas e administrativas adequadas a assegurar a proteção de dados (nos termos do artigo 46 da LGPD), de modo a garantir um nível apropriado de segurança aos Dados Pessoais tratados e mitigar possíveis riscos. Ao avaliar o nível apropriado de segurança, deverão levar em conta os riscos que são apresentados pelo Tratamento, em particular aqueles relacionados a potenciais incidentes de segurança, identificação de vulnerabilidades e adequada gestão de risco.

6.2 Os dados pessoais tratados deverão ser mantidos sob programas de segurança (incluindo a adoção e a aplicação de políticas e procedimentos internos), elaborados visando a (a) proteção contra perdas, acessos ou divulgação acidentais ou ilícitos; (b) identificar riscos prováveis e razoáveis para segurança e acessos não autorizados à sua rede; (c) minimizar riscos de segurança, incluindo avaliação de riscos e testes regulares. Deverá ser designado um ou mais empregados para coordenar e para se responsabilizar pelo programa de segurança da informação, que inclui a garantia de cumprimento de políticas internas de segurança da informação.

6.3 Em caso de Incidente de Segurança, inclusive de acesso indevido, não autorizado e do vazamento ou perda de dados pessoais por algum dos Participes, independentemente do motivo que o tenha ocasionado, uma Parte comunicará à Outra imediatamente a partir da ciência do incidente, contendo, no mínimo, as seguintes informações: (i) data e hora do incidente; (ii) data e hora da ciência pela Parte; (iii) relação dos tipos de dados afetados pelo incidente; (iv) número de Titulares afetados; (v) dados de contato do Encarregado de Proteção de Dados ou outra pessoa junto à qual seja possível obter maiores informações sobre o ocorrido; e (vi) indicação de medidas que estiverem sendo tomadas para reparar o dano e evitar novos incidentes. Caso não se disponha de todas as informações ora elencadas no momento de envio da comunicação, o Participe deverá enviá-las de forma gradual, de forma a garantir a maior celeridade possível, sendo certo que a comunicação completa (com todas as informações indicadas) deve ser enviada no prazo máximo de 5 dias a partir da ciência do incidente.

7.DA TRANSFERÊNCIA INTERNACIONAL DE DADOS

7.1 As transferências de Dados Pessoais para um terceiro país, ou seja, um país diferente daquele em que os Dados Pessoais são disponibilizados, são permitidas somente quando tais transferências forem estritamente necessárias para a execução do Acordo e conforme as condições e os limites estabelecidos a seguir:

7.2 Um Participe deverá notificar o outro, sem demora indevida, de quaisquer intenções de transferências permanentes ou temporárias dos Dados Pessoais para um terceiro país e somente realizar tal transferência após obter autorização, por escrito, que pode ser negada a seu critério.

7.2.1 Essa notificação deverá conter informações detalhadas sobre para quais países as informações seriam transferidas e para quais finalidades.

7.3 Quando a transferência for solicitada ou necessária para a prestação dos Serviços (mediante prévia autorização, por escrito, dos partícipes) a parte deverá adotar os mecanismos de transferência internacional pertinentes (incluindo, quando aplicável, as futuras cláusulas padrões aprovadas pela ANPD para Transferência Internacional de Dados Pessoais, sempre que estiverem disponíveis, ou, quando aplicável, cláusulas contratuais exigidas por países destinatários).

8.DA EXCLUSÃO E DEVOLUÇÃO DOS DADOS PESSOAIS DOS PARTÍCIPES

8.1 As partes acordam que, quando do término da vigência do Acordo envolvendo o Tratamento de Dados Pessoais, prontamente darão por encerrado o tratamento e, em no máximo 30 dias, serão eliminados completamente os Dados Pessoais e todas as cópias porventura existentes (seja em formato digital ou fisico), salvo quando necessária a manutenção dos dados para cumprimento de obrigação legal ou outra hipótese autorizativa da LGPD.

9.DAS RESPONSABILIDADES

9.1 Eventuais responsabilidades das Partes serão apuradas conforme estabelecido no corpo deste Anexo, no Acordo em que ele se insere e também de acordo com o que dispõe a Seção III, Capítulo VI da LGPD.

10.DAS DISPOSIÇÕES FINAIS

10.1 Sem prejuízo de eventuais disposições sobre mediação e jurisdição:

10.2 Prevalecem as cláusulas e disposições do Acordo, desde que não conflitem com o disposto neste Instrumento.

10.3 As partes ajustarão variações a este Anexo que sejam necessárias para atender aos requisitos de quaisquer mudanças nas Leis e Regulamentos de Proteção de Dados.

10.4 Caso qualquer disposição deste Anexo seja inválida ou inexequível, o restante permanecerá válido e em vigor. A disposição inválida ou inexequível deve ser (i) alterada conforme necessário para garantir a sua validade e aplicabilidade, preservando as intenções das partes o máximo possível ou, se isso não for possível, (ii) interpretadas de maneira como se a disposição inválida ou inexequível nunca estivesse contida nele.

59000.011054/2021-86 3647693v1

Documento assinado eletronicamente por Xxxxxx Xxxxxx Xxxxxxx, Usuário Externo, em 23/03/2022, às 18:57, com fundamento no art. 4º, § 3º, do Decreto nº 10.543, de 13 de novembro de 2020.

Documento assinado eletronicamente por Xxxxxxx Xxxxxxx xxx Xxxxxx, Secretário Nacional de Habitação, em 23/03/2022, às 20:56, com fundamento no art. 4º, § 3º, do Decreto nº 10.543, de 13 de novembro de 2020.

A autenticidade do documento pode ser conferida no site xxxxx://xxx.xx.xxx.xx/xxx/xxxxxxxxxxx_xxxxxxx.xxx? acao=documento_conferir&id_orgao_acesso_externo=0 informando o código verificador 3653781 e o código CRC 2C6C51A5.