ANEXO DO CONTRATO Nº 009/2024

INFRA S.A.

ANEXO DO CONTRATO Nº 009/2024

Brasília, 25 de março de 2024.

1. CLÁUSULA PRIMEIRA - DAS DEFINIÇÕES

1.1. No âmbito deste contrato considerar-se-ão as seguintes definições:

1.1.1. DADO ANONIMIZADO: Xxxx relativo ao titular que não possa ser identificado (anonimizar é deixar algo anônimo), considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

1.1.2. DADOS PESSOAIS: quaisquer informações associadas a uma pessoa física identificada ou identificável fornecidas pela CONTRATANTE e/ou acessadas em seu nome, e/ou que se relacionem à condição de pessoa física vinculada à CONTRATANTE, incluindo, mas não se limitando, nome, endereço, telefone, e-mail, dados bancários, dados biométricos;

1.1.3. DADOS PESSOAIS SENSÍVEIS: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

1.1.4. FINALIDADE DO TRATAMENTO de DADOS PESSOAIS : realização do tratamento para propósitos legítimos, contratados e acordados com a CONTRATANTE, que são específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

1.1.5. INCIDENTE DE SEGURANÇA: violação da segurança dos sistemas, arquivos, bases, equipamentos e/ou locais utilizados pelo Operador que leve à destruição, perda, alteração, acesso, aquisição, divulgação, utilização ou acesso ilegal a dados pessoais associados à CONTRATANTE de algum modo tratados pela CONTRATADA;

1.1.6. PRIVACIDADE: é o direito à reserva de informações pessoais e da própria vida pessoal e está previsto na Constituição Federal, em seu art. 5º, inciso X, dispondo que são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;

1.1.7. TRATAMENTO: qualquer operação realizada com dados pessoais, por meio analógico ou digital, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, modificação, comunicação, transferência, finalização de uso ou destruição.

2. CLÁUSULA SEGUNDA – DAS DISPOSIÇÕES GERAIS

2.1. Na hipótese de, em razão da execução do presente Contrato, a CONTRATADA realizar operações de tratamento de dados pessoais relacionados à CONTRATANTE, a CONTRATADA declara estar ciente e concorda com as seguintes disposições:

2.1.1. A CONTRATADA deverá abster-se de revelar, copiar, transmitir, reproduzir, utilizar, transportar ou dar conhecimento, inclusive para fins comerciais ou que violem direitos protegidos pela Lei Geral de Proteção de Dados, Lei nº 13.709, de 14/08/2018, a terceiros, bem como não permitir que qualquer empregado envolvido direta ou indiretamente no fornecimento de bens ou serviços, em qualquer

nível hierárquico de sua estrutura organizacional e sob quaisquer alegações, faça uso dessas informações, que se restringem estritamente ao necessário cumprimento do Contrato;

2.1.2. A CONTRATANTE e a CONTRATADA se comprometem mutuamente ao cumprimento da LGPD, devendo adequar regras e procedimentos internos necessários ao cumprimento da LGPD;

2.1.3. A CONTRATADA somente poderá tratar dados pessoais conforme as instruções da CONTRATANTE, e apenas para cumprimento das finalidades associadas ao Contrato em pauta, devendo observar as disposições da LGPD;

2.1.4. A CONTRATADA se certificará que seus empregados, representantes e prepostos, quando tratarem dados pessoais relacionados ao presente Contrato, agirão de acordo com a LGPD;

2.1.5. A CONTRATADA se certificará que as pessoas autorizadas a tratar os dados pessoais assumam compromisso referente a tratamento de dados pessoais;

2.1.6. A CONTRATADA poderá recusar instruções da CONTRATANTE para o tratamento de dados pessoais quando contrárias à LGPD, hipótese em que não restará configurado o descumprimento contratual, desde que a CONTRATADA comunique formalmente à CONTRATANTE os motivos e justificativa pela recusa;

2.1.7. Caso o titular dos dados, a Autoridade Nacional de Proteção de Dados ou terceiro solicitarem informações da CONTRATADA sobre o tratamento de dados pessoais, a CONTRATADA deverá informar à CONTRATATE o teor da resposta enviada ao referido órgão de controle, em até 48 horas após a formalização;

2.1.8. A CONTRATADA não poderá transferir o tratamento de dados pessoais para um terceiro sem a prévia anuência, por escrito, da CONTRATANTE;

2.1.9. A CONTRATADA prestará assistência à CONTRATANTE quando necessária para que a CONTRATANTE cumpra suas obrigações decorrentes da LGPD, incluindo aquelas relativas à segurança do tratamento, violações de dados pessoais e avaliação de impacto de proteção de dados (ANPD – micro e pequenas empresas);

2.1.10. A CONTRATADA implementará as medidas de segurança, técnicas e administrativas aptas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

2.1.11. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados pessoais, a CONTRATADA informará à CONTRATANTE, por escrito e no prazo máximo de 48 (quarenta e oito) horas a partir da ciência do evento, ou outro prazo que venha a ser definido pela Autoridade Nacional de Proteção de Dados. A CONTRATADA deverá informar, no mínimo:

2.1.12. Descrição da natureza dos dados pessoais afetados;

2.1.12.1. Informações sobre os titulares envolvidos, incluindo as categorias e o número aproximado de titulares de dados implicados, bem como as categorias e o número aproximado de registro de dados implicados;

2.1.12.2. A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados;

2.1.12.3. Os riscos relacionados ao incidente, incluindo a descrição das prováveis consequências ou das consequências já concretizadas do incidente;

2.1.12.4. Descrição das medidas adotadas ou propostas para reverter ou mitigar os efeitos do prejuízo;

2.1.13. A CONTRATANTE terá o direito de auditar o tratamento de dados pessoais da CONTRATADA com base neste Contrato, incluindo, mas não se limitando, as medidas técnicas e organizacionais implementadas pela CONTRATADA.

2.2. Os dados pessoais fornecidos pela licitante ou CONTRATADA, constantes dos documentos associados ao processo licitatório, contratos e instrumentos deles decorrentes, passam a ser manifestamente públicos, nos termos do art. 7º, §§ 3º e 4º da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD).

2.3. As atividades de tratamento desses dados pessoais pela CONTRATANTE objetivarão unicamente o cumprimento da legislação e observarão a boa-fé e demais princípios previstos na LGPD.

2.4. Para atendimento à Lei Geral de Proteção de Dados Pessoais - LGPD (Lei nº 13.709/2018), os empregados alocados para a prestação dos serviços objeto deste Contrato devem declarar expressamente, que conhecem e assumem responsabilidade pelo cumprimento das obrigações estabelecidas na legislação aplicável.

2.5. Em tais casos, a CONTRATADA deverá exigir de seu empregado, sob penas da lei, declaração de que:

2.5.1. Conhece e assume inteira responsabilidade pelo cumprimento das obrigações estabelecidas na legislação aplicável ao tratamento de dados pessoais, notadamente a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Xxxxx Xxxxxxxx);

2.5.2. Compromete-se a informar à CONTRATANTE, no âmbito da execução do Contrato, qualquer situação de tratamento de dados pessoais incompatível com o prescrito pelos normativos acima indicados;

2.5.3. Compromete-se a manter reserva dos dados pessoais dos quais venha a ter conhecimento em razão da execução do Contrato.

2.5.4. A CONTRATADA concorda que, a pedido da CONTRATANTE e com antecedência acordada, submeterá suas instalações e estruturas de tratamento de dados a auditorias para garantir que os dados pessoais a ela associadas foram devidamente tratados conforme estabelecido nas condições deste Contrato | Aditivo Contratual;

2.5.5. A CONTRATADA concorda que indenizará e isentará de responsabilidades a CONTRATANTE contra quaisquer ações, reclamações, perdas, danos e despesas de qualquer natureza sofridas pela CONTRATANTE decorrentes da violação das condições deste Contrato | Aditivo Contratual pelo CONTRATADA;

2.5.6. A CONTRATADA está ciente que não poderá alegar que as violações foram causadas por seus subcontratados para se isentar de suas próprias responsabilidades.

3. CLÁUSULA TERCEIRA – DO TRATAMENTO E DA PROTEÇÃO DE DADOS PESSOAIS

3.1. A CONTRATADA declara, por este instrumento, que cumpre com toda a legislação aplicável sobre privacidade e proteção de dados, incluindo, mas não se limitando, à Constituição Federal, ao Código de Defesa do Consumidor, ao Código Civil, sempre que aplicável, ao Marco Civil da Internet, à Lei Geral de Proteção de Dados (LGPD-Lei n.º 13.709/18) e às demais normas setoriais ou regras sobre o assunto, assegurando a observância do disposto no conjunto normativo aplicável por seus colaboradores e prestadores de serviços que venham a ter acesso aos dados pessoais associados à EMPRESA:

3.2. A CONTRATADA assegura que os dados pessoais não compartilhados pela CONTRATANTE, mas que tenham a ela sido associados pela CONTRATADA para o legítimo interesse, foram obtidos de forma lícita e legítima, nos termos da legislação aplicável;

3.3. A CONTRATADA deverá solicitar prévia e expressa autorização da CONTRATANTE caso seja necessária qualquer transferência internacional de dados pessoais, pontual ou recorrente, indicando os detalhes do tratamento a ser realizado no país estrangeiro;

3.4. Os sistemas, que servirão de base para armazenamento dos dados pessoais coletados, deverão seguir as políticas de segurança e acesso determinado pela Política de Proteção de Dados Pessoais e da Privacidade da CONTRATANTE:

3.4.1. Em caso de necessidade de coleta de dados pessoais dos titulares mediante consentimento, indispensáveis à própria prestação do serviço, esta será realizada após prévia aprovação da CONTRATANTE, responsabilizando-se a CONTRATADA pela obtenção e gestão. Os dados assim coletados só poderão ser utilizados na execução dos serviços especificados neste contrato, e em hipótese alguma poderão ser compartilhados ou utilizados para outras finalidades;

3.4.2. Os dados obtidos em razão deste contrato serão armazenados em um banco de dados seguro, com garantia de registro das transações realizadas na aplicação de acesso (log), adequado controle baseado em função (role Based Access Control) e com transparente identificação do perfil dos credenciados, tudo estabelecido como forma de garantir inclusive a rastreabilidade de cada transação e a franca apuração, a qualquer momento, de desvios e falhas, vedado o compartilhamento desses dados com terceiros;

3.5. A CONTRATANTE poderá manter e tratar os dados pessoais do Titular durante todo o período em que eles forem pertinentes ao alcance das finalidades listadas neste Contrato:

3.5.1. O eventual acesso, pela CONTRATADA, às bases de dados que contenham ou possam conter dados pessoais ou segredos de negócio, implicará para a CONTRATADA e para seus prepostos – devida e formalmente instruídos nesse sentido – o mais absoluto dever de sigilo, no curso do presente contrato e pelo prazo de até 10 anos contados de seu termo final;

3.6. Dados pessoais anonimizados, sem possibilidade de associação ao indivíduo, poderão ser mantidos por período indefinido;

3.7. O Titular poderá solicitar à CONTRATANTE, a qualquer momento, que sejam eliminados os seus dados pessoais não anonimizados, desde que não autorizada a conservação para finalidades previstas em lei.

4. CLÁUSULA QUARTA – DAS SUBCONTRATAÇÕES

4.1. Caso a subcontratação de fornecedores, 3ºs ou PJ´s com atuação e envolvimento na cadeira produtiva seja parte das operações que irão prover o serviço ou produto para a CONTRATANTE pela CONTRATADA, é responsabilidade da CONTRATADA:

4.1.1. Responder pela qualificação dos subcontratados, serviços e produtos fornecidos pelo subcontratado e por quaisquer descumprimentos contratuais ou normativos dos subcontratado, incluindo tratamento e segurança de dados pessoais tramitados entre subcontratado e CONTRATADA;

4.1.2. Exigir contratualmente garantias suficientes e consistentes com este Contrato | Aditivo Contratual ao subcontratado em termos de tratamento, segurança e privacidade de dados pessoais, de que o subcontratado cumpra com as obrigações de proteção de dados pessoais estabelecidas neste Contrato | Aditivo Contratual, na legislação aplicável e nos guias, diretrizes e instruções editados pelas autoridades competentes;

4.1.3. Prover, quando requerido pela CONTRATADA, documentação ou evidências dos acertos e acordos contratuais efetuados com os subcontratados conforme item acima.

5. CLÁUSULA QUINTA – DAS MEDIDAS DE SEGURANÇA

5.1. A CONTRATADA declara ter implementado ou irá implementar ações e medidas técnicas e organizacionais apropriadas e estruturadas de forma a atender aos requisitos de segurança e privacidade, aos padrões de boas práticas e de governança e aos princípios gerais previstos na legislação e normas regulamentares aplicáveis, para proteger os dados pessoais associados com a A CONTRATANTE contra tratamento inadequado ou ilícito, como acessos não autorizados ou situações acidentais ou ilícitas de destruição, perda, alteração ou comunicação. As medidas de segurança englobam no mínimo:

5.1.1. Protegerão os dados pessoais associados à CONTRATANTE contra quaisquer softwares e ferramentas maliciosas, como vírus, WORM, SPYWARE, entre outras;

5.1.2. Protegerão a confidencialidade, autenticidade e/ou integridade dos dados pessoais associados à CONTRATANTE, inclusive mediante criptografia, quando requerido;

5.1.3. Procedimentos de controle de acessos aos sistemas que tratarão dados pessoais associados à

CONTRATANTE;

5.1.4. Procedimentos de diretrizes para controle de acesso físico nos perímetros de segurança da CONTRATADA, para prevenir o acesso não autorizado, danos e interferências nas informações;

5.1.5. Protegerão os dados pessoais associados à CONTRATANTE de exclusões indesejadas ou ilícitas, através de ferramentas de backup de dados;

5.1.6. Procedimentos de comunicação e tratamento de incidentes de segurança principalmente aos que possam acarretar riscos ou danos relevantes aos titulares dos dados pessoais.

5.2. A CONTRATADA garante a confiabilidade e privacidade de qualquer funcionário ou terceiro que possa ter acesso aos dados pessoais associados à CONTRATANTE, inclusive por meio de instrução adequada e sujeição a compromissos de confidencialidade e privacidade, assegurando, desde já, que referido acesso será permitido somente nas situações estritamente necessárias para a execução dos Serviços:

5.2.1. Nos casos que a CONTRATADA declarar já ter implementado as medidas de segurança do caput, a CONTRATANTE se reserva ao direito de requerer, a qualquer momento, evidências da realização destas medidas;

5.2.2. Nos casos que a CONTRATADA declarar que irá implementar as medidas de segurança do caput, deverá encaminhar a CONTRATANTE um plano de adequação documentado com prazo limite e respectivos detalhes de adequação.

6. CLÁUSULA SEXTA – DO TÉRMINO DO USO DE DADOS PESSOAIS

6.1. Após a finalização ou rescisão do contrato de prestação dos Serviços e/ou dos Produtos, a CONTRATADA deverá eliminar, excluir e/ou anonimizar e/ou devolver à CONTRATANTE, todos os dados pessoais a ela associados que estiverem em sua posse, respeitando, contudo, a legislação aplicável ou se as partes acordarem de modo diverso, sendo que, nestes casos, a CONTRATADA deverá dar continuidade em garantir a confidencialidade, privacidade e a proteção de tais dados.

Documento assinado eletronicamente por XXXXX XXXXXXXX XX XXXXX XXXXX , Usuário Externo, em 10/04/2024, às 17:25, conforme horário oficial de Brasília, com fundamento no art. 3°, inciso V, da Portaria nº 446/2015 do Ministério dos Transportes.

Documento assinado eletronicamente por Xxxxxxxxx Xxxxx Xxxxxxxx, Diretor de Planejamento, em 10/04/2024, às 18:01, conforme horário oficial de Brasília, com fundamento no art. 3°, inciso V, da Portaria nº 446/2015 do Ministério dos Transportes.

Documento assinado eletronicamente por Xxxxx Xxxx Xxxxxx Xxxxxx , Diretor Presidente, em 10/04/2024, às 21:05, conforme horário oficial de Brasília, com fundamento no art. 3°, inciso V, da Portaria nº 446/2015 do Ministério dos Transportes.

A autenticidade deste documento pode ser conferida no site xxxxx://xxx.xxxxxxxxxxx.xxx.xx/xxx/xxxxxxxxxxx_xxxxxxx.xxx? acao=documento_conferir&acao_origem=documento_conferir&lang=pt_BR&id_orgao_acesso_externo=0, informando o código verificador 8182779 e o código CRC 156337D7.

Referência: Processo nº 50050.008536/2023-51 SEI nº 8182779

SAUS, Quadra 01, Bloco 'G', Lotes 3 e 5. Bairro Asa Sul, - Bairro Asa Sul Brasília/DF, CEP 70.070-010

Telefone: