Por este instrumento particular as partes abaixo nomeadas e qualificadas, a saber:

PARTE CONTRATANTE: CLIENTE

PARTE CONTRATADA: MOVIDESK S.A sociedade sediada na Rua Paul Fritz Kuenrich, nº 1605, bairro Itoupava Norte, CEP 89.052-381, Cidade de Blumenau, Estado de Santa Catarina, inscrita no C.N.P.J sob nº 13.375.030/0001-24, representada legalmente na forma de seu contrato social,

CONSIDERANDO que:

(i) Para os fins deste Acordo, atuará a PARTE CONTRATANTE na qualidade de CONTROLADORA e a PARTE CONTRATADA na qualidade de OPERADORA relativamente aos Dados Pessoais tratados em decorrência do TERMO GERAIS DE LICENÇA DE USO TEMPORÁRIO DO SOFTWARE MOVIDESK.

(ii) No decorrer da prestação dos Serviços, de acordo com o TERMO GERAIS DE LICENÇA DE USO TEMPORÁRIO DO SOFTWARE MOVIDESK celebrado entre as Partes, cabe à PARTE CONTRATADA processar Dados Pessoais em nome da PARTE CONTRATANTE, na qualidade de “OPERADORA”;

(iii) As Partes desejam estabelecer as disposições relativas ao processamento de Dados Pessoais no contexto dos Serviços conforme descritos no TERMO GERAIS DE LICENÇA DE USO TEMPORÁRIO DO SOFTWARE MOVIDESK concordam em cumprir as seguintes disposições com relação a quaisquer Dados Pessoais fornecidos pela PARTE CONTROLADORA que sejam objeto de tratamento por parte da PARTE OPERADORA, cada um agindo de forma razoável e de boa fé;

RESOLVEM as partes celebrar o presente ACORDO DE PROCESSAMENTO DE DADOS (“DPA”), que se regerá mediante as seguintes cláusulas e condições, as quais mutuamente outorgam, pactuam e aceitam, obrigando-se a cumpri-las e a fazê-las cumprir, por si e por seus herdeiros e sucessores a qualquer título.

Este DPA é feito e celebrado a partir da data de sua assinatura, sendo parte integrante do Termo principal. As Partes concordam em cumprir este DPA, conforme definido abaixo para refletir o acordo das partes em relação ao Processamento de Dados Pessoais de indivíduos protegidos pela Lei nº 13.709/18 (“Lei Geral de Proteção de Dados” ou “LGPD”).

Ambas as partes serão referidas como as "Partes", e, individualmente, como “Parte".

1.INTERPRETAÇÃO E DEFINIÇÕES
1.1 DADO PESSOAL - significa informação relativa a uma pessoa natural identificada ou identificável, informações a partir das quais uma pessoa natural pode ser identificada direta ou indiretamente, em particular por referência a um identificador como, entre outros, um nome ou número de identificação, ou informações específicas de, por exemplo, identidade física, econômica ou social da pessoa natural;

1.2 TITULAR ou TITULAR DE DADOS - significa a pessoa natural identificada ou identificável a quem se referem os dados pessoais;

1.3 CONTROLADORA ou CONTROLADORA DE DADOS - significa o responsável por determinar os objetivos e meios do tratamento de Dados Pessoais. Para os fins deste DPA, apenas, e exceto onde indicado de outra forma, o termo "Controladora de Dados" será utilizado para referir-se à CONTRATANTE;

1.4 OPERADORA ou OPERADORA DE DADOS - significa o responsável por tratar os Dados Pessoais de acordo com as diretrizes fornecidas pela CONTROLADORA. Para os fins deste DPA, apenas, e exceto onde indicado de outra forma, o termo “Operadora de Dados” será utilizado para referir-se à CONTRATADA;

1.5 SUBOPERADORA DE DADOS - significa qualquer pessoa natural ou jurídica que, em nome da OPERADORA, irá tratar os Dados Pessoais fornecidos pela CONTROLADORA;

1.6 PROCESSAMENTO ou TRATAMENTO DE DADOS - significa qualquer operação ou conjunto de operações realizadas com base em Dados Pessoais, seja por meios digitais ou físicos, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou de outra forma disponibilizando, alinhamento ou combinação, restrição, apagamento ou destruição;

1.7 LEIS E REGULAMENTOS DE PROTEÇÃO DE DADOS - significam leis de proteção de dados pessoais e do direito à privacidade, tais como a LGPD, aplicáveis ao Processamento de Dados Pessoais nos termos deste Acordo.

1.8 ANPD” significa a Autoridade Nacional de Proteção de Dados no Brasil, conforme definido na LGPD.

1.9 INCIDENTE DE SEGURANÇA qualquer evento de segurança da informação que comprometa a confidencialidade, integridade e/ou disponibilidade (CID) dos dados.

1.10 TRANSFERÊNCIA INTERNACIONAL DE DADOS: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.

Na hipótese de, no Termo Principal, haver sido dada alguma interpretação específica aos termos aqui descritos, que conflita com os estabelecidos neste DPA, esse conflito deverá ser solucionado pela prevalência da interpretação descrita neste documento.

2. PROCESSAMENTO DE DADOS PESSOAIS DA CONTROLADORA
2.1 A CONTROLADORA deve, no uso dos Serviços, processar dados pessoais de acordo com os requisitos das Leis e Regulamentos de Proteção de Dados e cumprir sempre as obrigações aplicáveis aos controladores de dados.

2.2 As instruções da CONTROLADORA para o Processamento de Dados Pessoais devem estar em conformidade com as Leis e Regulamentos de Proteção de Dados.

2.3 A CONTROLADORA deve ter todas e quaisquer bases jurídicas necessárias para coletar, processar e transferir para a OPERADORA os Dados Pessoais. Deve, ainda, autorizar o Processamento pela OPERADORA dos dados necessários para a execução do Termo estabelecido entre as Partes.

2.4 A CONTROLADORA será responsável pelos meios de aquisição dos Dados Pessoais compartilhados no contexto do presente Acordo, comprometendo-se a cumprir todas e quaisquer obrigações relacionadas à transparência (incluindo, sem limitação, exibir todos e quaisquer avisos ou políticas de privacidade relevantes e exigidas) e à obtenção do consentimento dos titulares dos dados, quando aplicável.

2.5 A CONTROLADORA será responsável por educar seus colaboradores acerca dos requisitos e exigências contidas em lei para estimular a adequação da organização à legislação de proteção de dados, bem como realizar auditorias internas acerca dos processos e protocolos da organização, de modo a monitorar o nível de adequação geral e por área da organização.

3. PROCESSAMENTO DE DADOS PESSOAIS DA OPERADORA
3.1 Sujeito ao Termo, a OPERADORA processará os Dados Pessoais apenas de acordo com as instruções documentadas da CONTROLADORA, conforme necessário para a execução dos Serviços, do Termo e deste DPA, a menos que seja exigido de outra forma pela legislação de proteção de dados vigente. Nesse caso, a OPERADORA informará a CONTROLADORA da exigência legal antes do Processamento.

3.2 A duração do Processamento, a natureza e seus objetivos, os tipos de Dados Pessoais Processados e as categorias dos titulares dos Dados Pessoais Processados obedecerão o estritamente necessário para a realização dos Serviços de acordo com o Termo, conforme instruído pela CONTROLADORA em seu uso dos Serviços.

3.3 Na medida em que a OPERADORA não puder cumprir uma solicitação (incluindo, sem limitação, qualquer instrução, direção, código de conduta, certificação ou alteração de qualquer tipo) da CONTROLADORA em relação ao Processamento de Dados Pessoais ou caso a OPERADORA considere tal pedido ilegal, a OPERADORA deve informar a CONTROLADORA, fornecendo detalhes relevantes do problema.

3.4 A OPERADORA não será responsável em caso de qualquer reclamação (apresentada por um terceiro, incluindo, sem limitação, um titular de dados) decorrente de qualquer ato ou omissão da CONTROLADORA, na medida em que tal seja resultado de ações condizentes com as instruções da CONTROLADORA.

4. DIREITOS DOS TITULARES
4.1 Se a OPERADORA receber uma solicitação de um titular dos dados para exercer seu direito de ser informado, direito de acesso, direito de retificação, eliminação, restrição de processamento, portabilidade de dados, direito de contestar ou seu direito de não estar sujeito a uma decisão baseada exclusivamente no processamento automatizado, a OPERADORA deverá, até o limite legalmente permitido, notificar imediatamente e encaminhar tal solicitação do titular dos dados à CONTROLADORA.

4.2 Levando em consideração a natureza do Processamento, a OPERADORA deve auxiliar a CONTROLADORA por meio de medidas técnicas e organizacionais apropriadas, na medida do possível, para o cumprimento da obrigação da CONTROLADORA de responder à solicitação do titular dos dados de acordo com as Leis e Regulamentos de Proteção de Dados.

4.3 A OPERADORA obriga-se a cooperar, mediante pedido da CONTROLADORA, com requerimentos e solicitações da Autoridade Nacional de Proteção de Dados (“ANPD”).

4.4 A OPERADORA se compromete a colaborar com a CONTROLADORA de modo a prestar-lhe quaisquer esclarecimentos que lhe permitam cumprir com seus deveres legais de informação e prestação de esclarecimentos aos titulares de dados.

4.5 Caso o titular dos dados pessoais revogue o seu consentimento, cabe à CONTROLADORA repassar essa informação, imediatamente, à OPERADORA. Cabe, ainda, à CONTROLADORA instruir a OPERADORA sobre o que deverá ser feito com os dados do titular que revogou o consentimento, além das formas de destruição dos originais e cópias, se for o caso.

4.6 A CONTROLADORA será responsável pelo atendimento das solicitações dos titulares de dados pessoais que desejem exercer os direitos que lhes são garantidos pela Lei Geral de Proteção de Dados (LGPD), devendo designar um Encarregado de Proteção de Dados cuja responsabilidades abrangem, mas não se limitam a (i) responder os pedidos de informação e esclarecimentos solicitados pelos Titulares de Dados; (ii) elaborar e aplicar os procedimentos de tratamento de dados realizados no âmbito da prestação de serviços ofertada pela CONTROLADORA aos seus clientes; e (iii) atuar como representante da CONTROLADORA perante a Autoridade Nacional de Proteção de Dados (ANPD), sendo o responsável pelo atendimento das solicitações enviadas pelo órgão e pela prestação de esclarecimentos, quando legalmente exigíveis.

5. RETORNO E ELIMINAÇÃO DE DADOS PESSOAIS
5.1 Ao final da prestação dos serviços, a requerimento da CONTROLADORA, deve a OPERADORA eliminar ou devolver todos os Dados Pessoais e cópias existentes, observada legislação específica em contrário, oportunidade em que deverão ser arquivadas e armazenadas as informações processadas.

5.2 Na medida exigida/permitida pela lei aplicável, a OPERADORA poderá reter uma cópia dos Dados Pessoais para fins de prova e/ou para o estabelecimento, exercício ou defesa de ações judiciais e/ou para cumprir as leis e regulamentos aplicáveis, dentro dos limites e permissivos legais vigentes.

6. SEGURANÇA
6.1 As Partes garantem que implementam e mantêm, ao longo de toda a vigência do Termo, medidas técnicas e organizacionais apropriadas para proteger os dados pessoais, incluindo proteção contra Violações de Dados e Incidentes de Segurança.

6.2 Além das demais obrigações previstas neste Acordo e no Termo, a OPERADORA se obriga a, mediante solicitação por escrito da CONTROLADORA, em intervalos razoáveis e sujeito às obrigações de confidencialidade estabelecidas no Termo e neste DPA, apresentar as certificações e outros requisitos técnicos exigíveis para a prestação dos serviços contratados.

6.3 Levando em consideração as medidas técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, considerando probabilidade e gravidade, para os direitos e liberdades das pessoas singulares, tanto a CONTROLADORA quanto a OPERADORA devem aplicar as medidas técnicas e organizacionais adequadas para assegurar um nível de segurança adequado ao risco, incluindo, quando necessário:
a. A anonimização e criptografia dos Dados Pessoais;
b. A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;
c. A capacidade de restabelecer a disponibilidade e o acesso aos Dados Pessoais de forma ágil no caso de violações físicas ou técnicas àqueles;
d. Processos de teste e avaliação regular da eficácia das medidas técnicas e organizacionais de segurança do tratamento.

7.GESTÃO E NOTIFICAÇÃO DE INCIDENTES DE DADOS
7.1 Na eventualidade de um Incidente de Segurança, nos termos da LGPD, a OPERADORA deverá executar as seguintes ações:
a. Notificar e fornecer, imediatamente, à CONTROLADORA uma descrição detalhada do Incidente de Dados, contendo o tipo de dado que foi objeto do Incidente e a lista de possíveis titulares de dados pessoais afetados; e
b. Iniciar, no prazo máximo de 48 (quarenta e oito) horas, a investigação do Incidente e executar o Plano de Respostas a Incidentes para mitigar os efeitos e danos do ocorrido, bem como deverá fornecer qualquer outra assistência que a CONTROLADORA possa razoavelmente solicitar em relação ao Incidente.

7.2 Em qualquer caso, a CONTROLADORA será a Parte responsável por notificar as autoridades locais e os titulares de dados em questão (quando exigido pelas Leis e Regulamentos de Proteção de Dados).

8. DA CONFIDENCIALIDADE
8.1 As Partes concederão acesso aos Dados Pessoais a pessoas sob sua autoridade apenas na necessidade de saber e garantir que essas pessoas envolvidas no Processamento de Dados Pessoais se comprometam com a confidencialidade e a não divulgação.

8.2 As Partes se comprometem a observar o sigilo referente a qualquer informação confidencial que venham a ter acesso em decorrência do Termo, e sobre elas deverá ser guardado sigilo, para todos os efeitos, durante a vigência deste e pelo prazo de 2 (dois anos) após a rescisão.

8.3 A revelação desautorizada das Informações Confidenciais recebidas acarretará dano e prejuízo irreparável à outra Parte, de forma que as Partes deverão envidar seus melhores esforços e tomar todas as medidas cabíveis e necessárias, judiciais ou extrajudiciais, a fim de minimizar os riscos oriundos da revelação das Informações Confidenciais, bem como evitar que tais informações sejam reveladas.

8.4 Para os fins deste DPA, caracterizam-se “Informações Confidenciais” como: quaisquer documentos e Dados Pessoais, incluindo e-mails, informações (escritas ou verbais) ou dados referentes à Parte ou a eventuais metodologias, técnicas ou procedimentos por ela desenvolvidos, quer sejam de natureza técnica, comercial, financeira, jurídica ou, ainda, de natureza diversa, incluindo, mas não se limitando, a segredos comerciais, softwares, sistemas, know-how, e informações relacionadas com tecnologia, clientes, fornecedores, planos comerciais, atividades promocionais ou de comercialização e outros negócios, juntamente com análises, modelos de orientação, layout de documentos, imagens, ou formulários, materiais de apoio, compilações, previsões ou outros documentos elaborados ou fornecidos pela Parte, quaisquer de seus diretores, sócios, empregados ou contratados.

8.5 Não se constituem Informações Confidenciais aquelas que passaram a ser de domínio público, bem como aquelas que tenham sido aprovadas para liberação, mediante autorização por escrito da Parte que as originou ou, ainda, aquelas que tenham sido ou devam ser reveladas em cumprimento a exigência/requerimento de um órgão público, por meio de determinação legal ou administrativa, ou que já eram de conhecimento da Parte à qual foi revelada, desde que ela tenha manifestado tal fato prontamente quando da revelação da informação.

8.6 Em caso de dúvida sobre a confidencialidade de determinada informação, a Parte reveladora deverá mantê-la em absoluto sigilo até que a outra Parte se manifeste expressamente a respeito.

8.7 O não cumprimento das disposições previstas nesta Cláusula poderá acarretar na responsabilização civil e/ou penal da Parte infratora, que será obrigada a ressarcir a outra Parte por quaisquer prejuízos decorrentes do seu inadimplemento, inclusive perdas e danos, custas e despesas judiciais, bem como honorários advocatícios.

9.TRANSFERÊNCIAS DE DADOS
9.1 Os Dados Pessoais podem ser transferidos para países que oferecem nível adequado de Proteção de Dados ou para empresas que ofereçam cláusulas contratuais padrão em consonância com padrões globais de proteção de dados.

9.2 As transferências de Dados Pessoais da CONTROLADORA pela OPERADORA para outro país, ou seja, um país diferente daquele em que os Dados Pessoais são disponibilizados à OPERADORA, são permitidas somente quando tais transferências forem estritamente necessárias para a execução do Termo.

9.3 Quando a transferência for solicitada pela CONTROLADORA ou necessária para a prestação dos Serviços, a OPERADORA deverá adotar os mecanismos de transferência internacional pertinentes, incluindo, quando aplicável, as futuras cláusulas padrão aprovadas pela ANPD para Transferência Internacional de Dados Pessoais, ou, quando aplicável, cláusulas contratuais exigidas por países não brasileiros para Transferência Internacional de Dados Pessoais.

9.4 Caso as partes tenham estabelecido mecanismos de regulação de transferências internacionais e esse mecanismo, de alguma forma, for modificado, revogado ou invalidado judicialmente, as partes deverão, prontamente, suspender essas transferências e procurar, conjuntamente, novos mecanismos que possam substituir o original.

10. INDENIZAÇÃO E RESPONSABILIDADE
10.1 A CONTROLADORA deverá indenizar, defender e isentar a OPERADORA e/ou suas subsidiárias contra toda e qualquer responsabilidade, perda, reivindicação, dano, multa, penalidade, despesa, incluindo, sem limitação, multas, indenização por danos, custos dos esforços de reparação e honorários advocatícios e custos decorrentes de ou relacionados a qualquer ação, reivindicação ou alegação de terceiros - incluindo, sem limitação, qualquer autoridade reguladora ou governamental, que decorrer do não cumprimento deste Acordo e/ou não cumprimento das Leis e Regulamentos de Proteção de Dados.

10.2 Caso a ANPD imponha sanções à OPERADORA, relacionada a este Acordo, e for constatada culpa, dolo ou outro elemento de responsabilidade exclusiva da CONTROLADORA, esta deverá arcar com a penalidade financeira - quando for o caso - e/ou indenizar a OPERADORA, inclusive pelos danos reputacionais experimentados.

10.3 Semelhantemente, caso a ANPD imponha sanções à CONTROLADORA, relacionada a este Acordo, e for constatada culpa, dolo ou outro elemento de responsabilidade exclusiva da OPERADORA, esta deverá arcar com a penalidade financeira.

10.4 As obrigações de indenização de acordo com esta Cláusula serão adicionais a qualquer indenização ou obrigações similares que as partes possam ter no Termo, incluindo, sem limitação, a obrigação de pagar pelos esforços de reparação, conforme disposto neste Acordo.

11.DOS COLABORADORES, FORNECEDORES e SUBOPERADORES
11.1 A CONTROLADORA desde já reconhece o direito de a OPERADORA contratar terceiro para tratar informações, incluindo Dados Pessoais da CONTROLADORA.

11.2 A OPERADORA deverá assegurar que o acesso e o Tratamento dos Dados Pessoais da CONTROLADORA fiquem restritos aos Colaboradores, Fornecedores e SUBOPERADORES que precisam efetivamente tratá-los, com o objetivo único de alcançar as finalidades necessárias para a execução do Termo estabelecido entre as Partes.

11.3 A OPERADORA deverá assegurar que todos os Colaboradores, Fornecedores e SUBOPERADORES em geral estejam sujeitos a contratos de sigilo ou obrigações profissionais ou estatutárias de confidencialidade e proteção de dados.

12. DAS DISPOSIÇÕES GERAIS
12.1 Sem prejuízo de eventuais disposições sobre mediação e jurisdição, as Partes se submetem à escolha da jurisdição estipulada no Termo com relação a quaisquer disputas ou reivindicações, de qualquer forma, decorrentes deste Acordo, incluindo disputas relativas à sua existência, validade ou rescisão ou as consequências de sua nulidade.

12.2 Este Acordo e todas as obrigações extracontratuais ou outras decorrentes ou relacionadas a ele são regidas pelas leis do país ou território estipulado para este fim no Termo.

12.3 As Partes afirmam possuir plena capacidade, poder, autoridade e todas as autorizações necessárias para (i) acordar e assinar o presente Acordo e qualquer Termo ou instrumento referido ou contemplado por este Acordo, e (ii) cumprir integralmente todas as obrigações aqui acordadas.

12.4 Nada neste Acordo reduz as obrigações da CONTROLADORA dispostas no Termo em relação à proteção de Dados Pessoais ou permite que a OPERADORA trate (ou permita o tratamento de) Dados Pessoais de uma forma que seja proibida pelo Termo.

12.5 As disposições deste Acordo prevalecerão sobre quaisquer inconsistências entre ele e quaisquer outros acordos entre as Partes, salvo quando o documento, expressamente assinado pelas Partes, declare a subsidiariedade do Acordo.

12.6 As Partes podem propor variações a este Acordo quando necessário para atender os requisitos de quaisquer mudanças nas Leis e Regulamentos de Proteção de Dados.

12.7 As Partes deverão discutir prontamente as variações propostas e negociar de boa-fé, de modo a implementar alterações que atendam às mudanças nas Leis e Regulamentos de Proteção de Dados, tão logo seja razoavelmente factível.

12.8 Caso qualquer disposição deste Acordo seja inválida ou inexequível, o restante deste Acordo permanecerá válido e em vigor. A disposição inválida ou inexequível deve ser (i) alterada conforme necessário para garantir a sua validade e aplicabilidade, preservando as intenções das partes o máximo possível ou, se isso não for possível, (ii) interpretadas de maneira como se a disposição inválida ou inexequível nunca estivesse contida nele.

12.9 Este Acordo permanecerá em pleno vigor até que o Termo seja rescindido por qualquer motivo.

12.10 Permanecem inalteradas, ratificadas e em vigor as demais cláusulas e condições do Termo original e seus aditivos, ante a não alteração expressa de tais itens por este instrumento.

12.11 Este Acordo continuará obrigando as partes, mesmo após a rescisão do Termo, com relação ao tratamento dos Dados Pessoais da CONTROLADORA, enquanto houver atividades de tratamento sendo realizadas.