Adenda de Tratamento de Dados Pessoais

Este Anexo de Tratamento de Dados (“Anexo”) será aplicável quando a prestação de Serviços pela Dell ao utilizador (“Cliente”) implicar o tratamento de dados pessoais sujeitos às leis de privacidade e a Dell atuar como Subcontratante em nome do Cliente enquanto Responsável pelo tratamento dos dados. Este Anexo não se aplica quando a Dell é o Controlador. No caso de conflito entre este Anexo e o Contrato relevante, este Anexo controlará em relação ao seu assunto.

1. Definições. Os termos não definidos neste documento têm os significados estabelecidos no Contrato. As seguintes palavras neste Anexo têm os seguintes significados:

1.1 "Contrato” significa o contrato entre o Cliente e a Dell para a prestação dos serviços ao Cliente, seja com base nas Condições Comerciais de Venda da Dell ou noutro contrato de venda negociado que refira este Anexo.

1.2 "Responsável pelo tratamento" significa uma entidade que, por si só ou em conjunto com terceiros, determina as finalidades e os meios do tratamento dos Dados Pessoais.

1.3 "RGPD" significa o Regulamento Geral de Proteção de Dados (UE) 2016/679.

1.4 “RGPD” do Reino Unido” significa o RGPD, tal como retido no direito interno do Reino Unido, mais à saída do Reino Unido da União Europeia, a ser interpretado juntamente com a Lei de Proteção de Dados do Reino Unido de 2018, como possam ser alteradas ou substituídas de tempos em tempos.

1.5 "Cláusulas Modelo” significa as Cláusulas Contratuais-Tipo para a transferência de dados pessoais para os Processadores (Decisão 2021/914/UE), conforme possam ser alteradas ou substituídas periodicamente, no que diz respeito às transferências do Espaço Econômico Europeu ("EEE") para países fora do EEE (incluindo o Reino Unido ("Reino Unido")) e as Cláusulas Contratuais-Tipo para a transferência de dados pessoais para os Operadores (Decisão 2010/87/UE) relativas às transferências do Reino Unido para países que não estão sujeitos a uma decisão de adequação ao abrigo do RGPD do Reino Unido

1.6 "Dados Pessoais" significa qualquer informação relacionada com uma pessoa singular identificada ou identificável que seja tratada pela Dell para a execução do Contrato.

1.7 "Violação de Dados Pessoais” significa uma violação da segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou tratados de acordo com este Anexo.

1.8 "Leis de Privacidade” significa quaisquer leis de proteção de dados e da privacidade a que uma parte deste Contrato esteja sujeita e que sejam aplicáveis aos Serviços prestados, incluindo, quando aplicável, o RGPD e o RGPD do Reino Unido

1.9 "Tratamento" significa qualquer operação ou conjunto de operações executadas sobre Dados Pessoais ou em conjuntos de Dados Pessoais, seja por meios automatizados ou não, como recolha, registo, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.

1.10 "Subcontratante” significa uma entidade que trata os Dados Pessoais por conta do Responsável pelo tratamento.

1.11 "Terceiro” significa qualquer entidade de tratamento de dados subcontratada pela Dell para a prestação dos Serviços.

2. Tratamento de Dados Pessoais

2.1 Papéis das Partes. A Dell pode tratar Dados Pessoais nos termos do Contrato como Subcontratante por conta do Cliente enquanto Responsável pelo tratamento (ou como terceiro por conta do Cliente enquanto Responsável pelo tratamento).

2.2 Instruções. A Dell tratará os Dados Pessoais de acordo com as instruções documentadas do Cliente. O Cliente concorda que este Anexo, o Contrato e quaisquer declarações subsequentes de ordens de trabalho ou de serviços e quaisquer configurações pelo Cliente ou seus utilizadores autorizados incluem as instruções completas do Cliente à Dell sobre o Tratamento de Dados Pessoais. Quaisquer instruções adicionais ou alternativas deverão ser acordadas entre as partes por escrito, incluindo os custos (se houver) associados ao cumprimento dessas instruções. A Dell não é responsável por determinar se as instruções do Cliente estão em conformidade com a lei aplicável. No entanto, se a Dell considerar que uma instrução do Cliente viola as Leis de Privacidade aplicáveis, notificará o Cliente assim que for razoavelmente possível e não será obrigada a cumprir essa instrução infratora.

2.3 Detalhes do Tratamento. Os detalhes do objeto do Tratamento, a sua duração, natureza e finalidade, e o tipo de Dados Pessoais e titulares dos dados são os especificados no Contrato ou, se não forem especificados, serão os estabelecidos no Apêndice 2 deste Anexo.

2.4 Conformidade. O Cliente e a Dell concordam em cumprir as suas respetivas obrigações nos termos das Leis de Privacidade aplicáveis aos Dados Pessoais que forem Tratados em ligação com os Serviços. O Cliente é o único responsável por cumprir as Leis de Privacidade relativamente à legalidade do Tratamento de Dados Pessoais antes

da divulgação, transferência ou disponibilização de quaisquer Dados Pessoais à Dell.

3 Terceiros

3.1 Uso de terceiros. A Dell pode usar Terceiros com o consentimento geral ou específico por escrito do Cliente. O Cliente concorda que a Dell pode nomear e usar Terceiros para tratar os Dados Pessoais em ligação com os Serviços, desde que a Dell celebre um contrato por escrito com cada Terceiro que imponha obrigações que sejam: (i) relevantes para os serviços a serem prestados pelos Terceiros e (ii) materialmente semelhantes aos direitos e/ou obrigações impostos à Dell nos termos deste Anexo. Os Terceiros podem incluir pessoas externas ou qualquer membro do grupo de empresas Dell. Quando um Terceiro deixar de cumprir as suas obrigações de proteção de dados, conforme especificadas acima, a Dell será responsável perante o Cliente pelo desempenho das obrigações do Terceiro.

3.2 Lista de Terceiros. A Dell fornecerá uma lista dos Terceiros que contratar para assistir no fornecimento dos serviços, mediante pedido por escrito do Cliente ou conforme disponibilizado pela Dell no seu site. A Dell notificará o Cliente sobre quaisquer alterações à sua lista de Terceiros. Se o Cliente legitimamente se opuser à adição ou remoção de um Terceiro por motivos de proteção de dados e a Dell não puder razoavelmente acomodar a objeção do Cliente, as partes discutirão de boa-fé as preocupações do Cliente com o objetivo de resolver o problema.

4. Segurança

4.1 Medidas de segurança técnica e organizacional. Tendo em conta os padrões do setor, os custos de implementação, a natureza, o âmbito, o contexto e as finalidades do Tratamento e quaisquer outras circunstâncias relevantes relacionadas com o Tratamento dos Dados Pessoais nos sistemas Dell, a Dell implementará medidas de segurança técnica e organizacional apropriadas para garantir que a segurança, a confidencialidade, a integridade, a disponibilidade e a resiliência dos sistemas e serviços de processamento envolvidos no tratamento de dados pessoais sejam proporcionais ao risco referente a esses dados pessoais. As partes concordam que as medidas de segurança técnica e organizacional descritas no Apêndice 1 ("Medidas de Segurança da Informação") fornecem um nível de segurança adequado para a proteção de dados pessoais, a fim de cumprir os requisitos desta cláusula. Periodicamente, a Dell (i) testará e monitorizará a eficácia das suas salvaguardas, controlos, sistemas e procedimentos e (ii) identificará riscos internos e externos razoavelmente previsíveis para segurança, confidencialidade e integridade dos Dados Pessoais e garantirá que esses riscos sejam resolvidos.

4.2 Progresso Técnico. As Medidas de Segurança da Informação estão sujeitas ao progresso e desenvolvimento técnico e a Dell pode modificá-las, desde que essas modificações não prejudiquem a segurança geral dos serviços fornecidos nos termos do Contrato.

4.3 Acesso. A Dell garantirá que as pessoas autorizadas a aceder aos Dados Pessoais (i) se tenham comprometido com a confidencialidade ou estejam sob uma obrigação legal apropriada de confidencialidade e (ii) acedam aos Dados Pessoais apenas mediante instruções documentadas da Dell, a menos que isso lhes seja exigido por legislação aplicável.

5. Violação de Dados Pessoais A Dell notificará o Cliente sem demora injustificada após tomar conhecimento de uma Violação de Dados Pessoais em relação aos Serviços fornecidos pela Dell nos termos do Contrato e envidará esforços razoáveis para ajudar o Cliente a mitigar, sempre que possível, os efeitos adversos de qualquer Violação de Dados Pessoais.

6. Transferências Internacionais. A Dell está autorizada a, em ligação com a prestação dos Serviços, ou no curso normal dos negócios, fazer transferências mundiais dos Dados Pessoais para suas afiliadas e/ou para Terceiros subcontratados. Ao fazer essas transferências, a Dell garantirá a proteção adequada para salvaguardar os Dados Xxxxxxxx transferidos nos termos deste Contrato ou em ligação com ele. Nos casos em que a prestação de Serviços implique a transferência de Dados Pessoais do Espaço Económico Europeu (“EEE”) ou do Reino Unido para países fora do EEE (que não estão sujeitos a uma decisão de adequação de acordo com as Leis de Privacidade), essa transferência estará sujeita aos seguintes requisitos: (a) A Dell possui acordos intragrupo com as suas afiliadas que possam ter acesso aos Dados Pessoais, acordos esses que devem incorporar as Cláusulas Modelo e (b) a Dell possui acordos com seus Terceiros subcontratados que incorporam as Cláusulas Modelo conforme apropriado.

7 Eliminação de Dados Pessoais. Após o fim dos Serviços (por qualquer motivo) e se solicitado pelo Cliente por escrito, a Dell devolverá ou eliminará, assim que seja razoavelmente possível, os Dados Pessoais presentes nos sistemas da Dell, a menos que a lei aplicável exija a conservação dos Dados Pessoais. A Dell pode adiar a eliminação dos Dados Pessoais na medida e pela duração em que quaisquer Dados Pessoais ou cópias deles não possam ser razoavelmente e praticamente eliminados dos sistemas da Dell. Para essa retenção, as disposições deste Anexo continuarão a ser aplicadas a esses Dados Pessoais. A Dell reserva-se o direito de cobrar ao Cliente quaisquer custos e despesas razoáveis incorridos pela Dell com a eliminação os Dados Pessoais de acordo com esta cláusula.

8. Cooperação

8.1 Pedidos de Titulares de Dados. A Dell informará imediatamente o Cliente sobre quaisquer pedidos de pessoas que exerçam os seus direitos de titulares dos dados de acordo com as Leis de Privacidade. O Cliente é responsável por responder a esses pedidos. A Dell ajudará razoavelmente o Cliente a responder aos pedidos dos titulares dos dados, na medida em que o Cliente não possa aceder aos Dados Pessoais relevantes no uso dos Serviços. A Dell reserva-se o direito de cobrar ao

Cliente por essa assistência se o custo da assistência exceder um valor negligenciável.

8.2 Pedidos de Terceiros. Se a Dell receber pedidos de terceiros ou uma ordem de qualquer tribunal, julgado, órgão regulador ou agência governamental com jurisdição competente a que a Dell esteja sujeita e relacionada com o tratamento de dados pessoais nos termos do Contrato, redirecionará imediatamente o pedido para o Cliente. A Dell não responderá a esses pedidos sem a autorização prévia do Cliente, a menos que seja legalmente obrigada a fazê-lo. A Dell, a menos que seja legalmente proibida de fazê-lo, informará previamente o Cliente antes de fazer qualquer divulgação de Dados Pessoais e cooperará razoavelmente com o Cliente para limitar o âmbito dessa divulgação ao que for exigido por lei.

8.3 Avaliação de Impacto na Privacidade e Consulta Prévia. Na medida exigida pelas Leis de Privacidade, a Dell fornecerá assistência razoável ao Cliente para realizar uma avaliação de impacto na proteção de dados em relação ao Tratamento de Dados Pessoais realizado pela Dell e/ou qualquer consulta prévia necessária às autoridades de supervisão. A Dell reserva- se o direito de cobrar ao Cliente uma taxa razoável pela prestação dessa assistência.

9. Demonstrar Conformidade. A Dell, mediante pedido prévio e razoável por escrito do Cliente (sendo esse pedido feito de acordo com quaisquer condições relevantes do Contrato), fornecerá ao Cliente as informações que forem razoavelmente necessárias para demonstrar o cumprimento das obrigações da Dell nos termos deste Anexo e permitirá e contribuirá para auditorias, incluindo inspeções, conduzidas pelo Cliente ou por outro auditor mandatado pelo Cliente.

Apêndice 1

Medidas de Segurança da Informação

A Dell leva a segurança das informações a sério. Esta visão geral da segurança das informações aplica-se aos controlos empresariais da Dell para proteger os dados pessoais que são tratados e transferidos entre as empresas do grupo Dell. O programa de segurança da informação da Dell permite que a força de trabalho entenda as suas responsabilidades. Algumas soluções de clientes podem ter salvaguardas alternativas descritas na declaração de trabalho, conforme acordado com cada cliente.

Práticas de Segurança

A Dell implementou práticas e padrões de segurança da informação empresariais projetados para proteger o ambiente empresarial da Dell e para lidar com: (1) segurança da informação; (2) gestão de sistemas e ativos; (3) desenvolvimento; e (4) governança. Estas práticas e padrões são aprovados pelo CIO da Dell e passam por uma revisão formal anualmente.

Segurança Organizacional

É responsabilidade dos indivíduos de toda a organização cumprir essas práticas e padrões. Para facilitar a adesão empresarial a estas práticas e padrões, a função da segurança da informação fornece:

1. Estratégia e conformidade com políticas/normas e regulamentos, sensibilização e educação, avaliações de riscos e sua gestão, gestão de requisitos de segurança de contratos, consultoria de aplicações e infraestrutura, testes de garantia, e orientam a direção de segurança da empresa.

2. Testes de segurança, design e implementação de soluções de segurança para permitir a adoção de controlos de segurança em todo o ambiente.

3. Operações de segurança das soluções de segurança implementadas, do ambiente e dos ativos e gestão da resposta a incidentes.

4. Investigações forenses com operações de segurança, legais, de proteção de dados e de recursos humanos para investigações, incluindo eDiscovery e eForensics.

Classificação e Controlo de Ativos

A prática da Dell é monitorizar e gerir ativos físicos e lógicos. Exemplos dos ativos que as TI da Dell podem monitorizar incluem:

• Ativos de Informações, como bases de dados identificadas, planos de recuperação de desastres, planos de continuidade de negócios, classificação de dados e informações arquivadas.

• Ativos de Software, como aplicações e software identificados do sistema.

• Ativos Físicos, como servidores, desktops/laptops identificados, bandas de cópias de segurança/arquivamento, impressoras e equipamentos de comunicação.

Os ativos são classificados com base na importância crítica comercial para determinar os requisitos de confidencialidade. As orientações do setor para o tratamento de dados pessoais fornecem a estrutura para salvaguardas técnicas, organizacionais e físicas. Isto pode incluir controlos como gestão de acessos, encriptação, registo e monitorização e destruição de dados.

Segurança de Pessoal

Como parte do processo de contratação, os funcionários passam por um processo de triagem aplicável de acordo com a legislação regional. A formação anual em conformidade da Dell inclui a exigência de que os funcionários concluam um curso online e passem por uma avaliação que abrange a segurança das informações e a privacidade dos dados. O programa de sensibilização para a segurança também pode fornecer materiais específicos para determinadas funções do trabalho.

Segurança Física e Ambiental

A Dell usa várias abordagens tecnológicas e operacionais no seu programa de segurança física em relação à mitigação de riscos. A equipa de segurança trabalha em estreita colaboração com cada instalação para determinar as medidas apropriadas e monitorizar continuamente quaisquer alterações na infraestrutura física, nos negócios e nas ameaças conhecidas. Também monitoriza as medidas de melhores práticas usadas por outros do setor e seleciona cuidadosamente abordagens que respondam às singularidades das práticas comerciais e às expectativas da Dell como um todo. A Dell equilibra a sua abordagem em relação à segurança considerando elementos de controlo que incluem arquitetura,

operações e sistemas.

Gestão de Comunicações e Operações

A organização de TI gere as mudanças na infraestrutura empresarial, sistemas e aplicações através de um programa centralizado de gestão de mudanças, que pode incluir testes, análises de impacto nos negócios e aprovação da gestão, quando apropriado.

Existem procedimentos de resposta a incidentes para incidentes de segurança e proteção de dados, que podem incluir análise, contenção, resposta, correção, geração de relatórios e regresso a operações normais.

Para se proteger contra o uso mal-intencionado de ativos e de software mal-intencionado, podem ser implementados controlos adicionais, com base no risco. Esses controlos podem incluir, entre outros, práticas e padrões de segurança da informação; acesso restrito; ambientes designados de desenvolvimento e testes; deteção de vírus em servidores, desktops e notebooks; verificação de anexos de e-mail com vírus; análises de conformidade do sistema; monitorização e resposta de prevenção contra intrusões; registo e alertas sobre os principais eventos; procedimentos de manipulação de informações com base no tipo de dados, aplicação de e-commerce e segurança de rede; e verificação de vulnerabilidades do sistema e de aplicações.

Controlos de Acesso

O acesso aos sistemas empresariais é restrito, com base em procedimentos, para garantir as aprovações apropriadas. Para reduzir o risco de uso indevido, intencional ou não, o acesso é fornecido com base na segregação de tarefas e menor privilégio.

O acesso remoto e os recursos de computação sem fios são restritos e exigem a que a proteção do utilizador e do sistema estejam implementados.

Os registos de eventos específicos dos principais dispositivos e sistemas são recolhidos e alvo de relatórios centralmente, com base em exceções, para permitir resposta a incidentes e investigações forenses.

Desenvolvimento e Manutenção de Sistemas

As vulnerabilidades de terceiros divulgadas publicamente são analisadas quanto à aplicabilidade ao ambiente da Dell. Com base no risco para os negócios e clientes da Dell, existem prazos pré-determinados para a correção. Além disso, avaliações e análises de vulnerabilidades são realizadas em aplicações novas e cruciais e na infraestrutura com base em riscos. Revisões de código e analisadores são usados no ambiente de desenvolvimento antes da produção para detetar proativamente as vulnerabilidades de codificação com base no risco. Esses processos permitem a identificação proativa de vulnerabilidades, bem como a conformidade.

Conformidade

Os departamentos de segurança da informação, jurídico, de privacidade e conformidade trabalham para identificar leis e regulamentos regionais aplicáveis às empresas da Dell. Esses requisitos cobrem áreas como a propriedade intelectual da empresa e dos seus clientes, licenças de software, proteção de dados pessoais de funcionários e clientes, procedimentos de proteção e manuseamento de dados, transmissão de dados transfronteiriça, procedimentos financeiros e operacionais, controlos regulatórios de exportação de tecnologia, e requisitos forenses.

Mecanismos como o programa de segurança da informação, o conselho executivo de privacidade, auditorias/avaliações internas e externas, consultoria jurídica interna e externa, avaliação de controlos internos, testes de penetração interna e avaliações de vulnerabilidade, gestão de contratos, sensibilização para a segurança, consultoria de segurança, revisão de políticas e gestão de riscos combinam-se para impulsionar a conformidade com esses requisitos.

Apêndice 2 Descrição do Tratamento de Dados

1. Assunto e Duração do Tratamento

O assunto e a duração do Tratamento devem estar de acordo com o Contrato.

2. Finalidade do Tratamento

Os Dados Pessoais serão tratados com a finalidade de fornecer serviços relacionados com a garantia e a assistência e/ou com a implantação, conforme relevante e definido pelos níveis de serviço e opções de assistência selecionados. O Contrato e as descrições de serviço e declarações de trabalho relevantes serão aplicáveis à especificidades e a possíveis serviços adicionais.

3. Natureza do Tratamento.

• Assistência de TI O Responsável pelo tratamento trata principalmente endereços IP, endereços MAC ou outras ID técnicas de sistemas de TI que sejam possivelmente atribuídos a uma pessoa. Isso geralmente acontece, se necessário, analisando os registos de erros.

• Serviços de assistência: O pessoal do Responsável pelo tratamento pode entrar em contacto com Xxxxx Xxxxxxxx, por força das políticas internas do Responsável, na ocasião de fornecer serviços e assistência técnica ao cliente. Isto pode acontecer ao fornecendo assistência remota ou ao entrar nas instalações do Responsável pelo tratamento para reparar o hardware. Nessas ocasiões, a pessoa pode, incidentalmente, ver documentos, crachás de identificação, conteúdos nos ecrãs. O mesmo pode ser aplicável em casos de partilha de ecrã para assistência remota (por exemplo, por Webex), se o Responsável pelo tratamento não tiver fechado os programas/softwares relevantes antes do estabelecimento da ligação.

• Ficheiros "trace dump": Para determinados produtos e em determinadas situações de assistência, um ficheiro "trace dump" pode ser analisado para avaliar o problema. Um "trace dump" contém a atividade de leitura/escrita ou de transferências associada a um erro. O conteúdo geralmente está escrito no formato de erro do SO e é independente dos tipos de ficheiro. A reconstrução de ficheiros e do seu conteúdo potencial não faz parte da análise. É altamente improvável que qualquer informação pessoal seja legível durante a análise.

• Dispositivos de armazenamento de dados Devolução ou recondicionamento de dispositivos de armazenamento de hardware (por exemplo, HDD, SSD, etc.): todos os dados contidos serão eliminados ou destruídos em processos automatizados.

4. Categorias de Assuntos de Dados

Os titulares dos dados são os utilizadores finais, funcionários, contratados, fornecedores e outros terceiros do Cliente relevantes para os Serviços.

5. Tipos de Dados Pessoais

Os tipos de dados pessoais que podem ser enviados pelo cliente são:

• Dados de Contacto: podem incluir nome, morada, endereço de e-mail, telefone, fax, outros dados de contacto, dados de contacto de emergência, informações de fuso horário local associadas.

• Dados de Cliente: podem incluir dados de contacto, faturação e dados relacionados com crédito.

• Sistemas de TI e informações operacionais: podem incluir identificadores pessoais, gravações de voz, vídeo e dados, dados de ID do utilizador e palavra-passe, nome do computador, endereço de e-mail, nome de domínio, nomes de utilizador, palavras-passe, endereço IP, dados de permissão (de acordo com as funções do trabalho), informações da conta e delegadas para serviços de comunicação, caixas de correio e diretórios individuais, dados de comunicação por chat, inventário de software e hardware, informações de rastreio relativas a padrões de uso de software e da Internet (por exemplo, cookies) e informações registadas para fins operacionais e/ou de formação.

• Conteúdo de e-mail dos titulares de dados e dados de tráfego/transmissão: comunicações interativas e de voz online (como blogues, chat, webcam e sessões de rede); serviços de assistência (acesso incidental pode incluir o acesso ao conteúdo de comunicações por e-mail e dados relacionados com o envio, encaminhamento e entrega de e-mails).

• Outros: Quaisquer outros Dados Pessoais enviados pelo Cliente ao Fornecedor como Subcontratante do Cliente.