Adendo de processamento de dados
Este adendo de processamento de dados ("DPA") complementa o Contrato de Assinatura ou outro contrato em vigor entre o Assinante e a MTech que cubra o uso dos Serviços de Assinatura da MTech pelo Assinante.
Os termos em letras maiúsculas não definidos neste documento terão o significado estabelecido no Contrato de Assinatura. Os termos definidos de acordo com as Leis de Proteção de Dados Aplicáveis, incluindo "titular dos dados", "dados pessoais", "processamento" e "país terceiro" usados neste DPA terão o mesmo significado definido nas Leis de Proteção de Dados Aplicáveis.
1. Definições
"Leis de Proteção de Dados Aplicáveis" significa todas as leis aplicáveis ao processamento de dados pessoais nos termos do Contrato de Assinatura.
"Lei Geral de Proteção de Dados do Brasil" ou "LGPD" significa a Lei nº 13.709/2018, de 18 de agosto de 2018.
"Cláusulas Contratuais Contratuais Brasileiras" significam as cláusulas contratuais estabelecidas no Anexo II do Regulamento Brasileiro sobre Transferência Internacional de Dados Pessoais da Autoridade Nacional de Proteção de Dados (Resolução CD/ANPD nº 19/2025), conforme emendado, substituído ou substituído de tempos em tempos.
"Leis de Proteção de Dados da UE" incluem (i) o Regulamento 2016/679 do Parlamento Europeu e do Conselho sobre a proteção de pessoas físicas com relação ao Processamento de Dados Pessoais e sobre a livre circulação de tais dados (Regulamento Geral de Proteção de Dados, ou GDPR) e (ii) a Diretiva de Privacidade Eletrônica da UE (Diretiva 2002/58/EC), conforme alterada, substituída ou retificada de tempos em tempos.
"EU SCCs" significa as cláusulas contratuais anexadas à Decisão de Execução 2021/914 da Comissão Europeia, de 4 de junho de 2021, sobre cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros, de acordo com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, conforme alterado, substituído ou substituído de tempos em tempos.
"Incidente de segurança" significa qualquer violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos dados pessoais do Assinante processados pela MTech e/ou seus subprocessadores.
"Leis suíças de proteção de dados" significa a Lei Federal Suíça sobre Proteção de Dados e suas regulamentações de implementação, conforme alteradas, substituídas ou retificadas de tempos em tempos.
"Adendo do Reino Unido" significa o Adendo de Transferência Internacional de Dados para as Cláusulas Contratuais Padrão da Comissão da UE emitidas pelo Comissário de Informações do Reino Unido, Versão B1.0, em vigor em 21 de março de 2022, conforme alterado, substituído ou substituído de tempos em tempos.
"Leis de Proteção de Dados do Reino Unido" significa a Lei de Proteção de Dados de 2018 e o GDPR, conforme incorporado à legislação do Reino Unido em virtude da Seção 3 da Lei da União Europeia (Retirada) de 2018 do Reino Unido, conforme alterada, substituída ou retificada de tempos em tempos.
"Leis de Privacidade do Estado dos EUA" significa todas as leis estaduais aplicáveis relacionadas à proteção e ao processamento de dados pessoais em vigor nos Estados Unidos da América, que podem incluir, sem limitação, a Lei de Privacidade do Consumidor da Califórnia, conforme alterada pela Lei de Direitos de Privacidade da Califórnia, e suas regulamentações de implementação.
2. Escopo e prazo
2.1 Funções das Partes. Para os fins do Contrato de Subscrição, as partes concordam que:
(a) O Assinante é um controlador de dados pessoais ou um processador de dados pessoais agindo em nome de outro controlador (por exemplo, afiliado do Assinante) enquanto transmite instruções de processamento relevantes à MTech. Os detalhes do processamento estão indicados no Anexo 1 (Descrição do Processamento).
(b) A MTech é uma processadora (ou, respectivamente, uma subprocessadora) de dados pessoais. Os detalhes do processamento estão indicados no Anexo 1 (Descrição do processamento).
2.2 Prazo do DPA. O prazo deste DPA coincide com o prazo do Contrato de Assinatura e termina após a expiração ou a rescisão antecipada do Contrato de Assinatura (ou, se for posterior, na data em que a MTech cessar todo o processamento dos dados pessoais do Assinante).
2.3 Ordem de precedência. Se houver qualquer conflito ou inconsistência entre os documentos a seguir, a ordem de precedência, da mais alta para a mais baixa, será (1) os termos aplicáveis declarados no Anexo 2 (Termos Específicos da Região), (2) o Anexo 1 (Descrição do Processamento), (3) o corpo principal deste DPA e (4) o Contrato de Assinatura.
3. Processamento de dados pessoais
3.1 Instruções para o assinante.
(a) Este DPA, o Contrato de Assinatura, as SOWs relevantes e o uso dos Serviços de Assinatura pelo Assinante (incluindo os serviços de suporte técnico relacionados) e os Serviços Profissionais constituem as instruções documentadas do Assinante com relação ao processamento de dados pessoais do Assinante pela MTech (as "Instruções Documentadas").
(b) A MTech processará os dados pessoais do Assinante exclusivamente de acordo com as Instruções Documentadas, conforme estabelecido na Seção 6 do Anexo 1 (Descrição do Processamento). O Assinante: (i) deve garantir que suas Instruções Documentadas estejam em conformidade com as Leis de Proteção de Dados Aplicáveis. A MTech não é responsável por monitorar a conformidade do Assinante com as Leis de Proteção de Dados Aplicáveis; e (ii) é responsável por determinar se os Serviços de Assinatura e os Serviços Profissionais são apropriados para o processamento dos dados pessoais do Assinante de acordo com as Leis de Proteção de Dados Aplicáveis.
3.2 Confidencialidade. A MTech tratará os dados pessoais do Assinante como Informações Confidenciais nos termos do Contrato de Assinatura. A MTech garantirá que o pessoal autorizado a processar dados pessoais esteja vinculado a obrigações escritas ou estatutárias de confidencialidade.
4. Segurança
4.1 Medidas de segurança. A MTech implementou e manterá medidas técnicas e organizacionais apropriadas projetadas para proteger a segurança, a confidencialidade, a integridade e a disponibilidade dos dados do assinante e proteger contra incidentes de segurança. O assinante é responsável por configurar os serviços de assinatura e usar os recursos e funcionalidades disponibilizados pela MTech para manter a segurança adequada à luz da natureza dos dados do assinante. As medidas técnicas e organizacionais atuais da MTech estão descritas em https://mtechsystems.io/legal/security-measures/. O assinante reconhece que as medidas de segurança estão sujeitas a progresso e desenvolvimento técnico e que a MTech pode atualizar ou modificar as medidas de segurança de tempos em tempos, desde que tais atualizações e modificações não diminuam materialmente a segurança geral dos serviços de assinatura durante o período de assinatura.
4.2 Incidentes de segurança. A MTech notificará o Assinante sem atrasos indevidos e, quando possível, no prazo máximo de setenta e duas (72) horas após tomar conhecimento de um Incidente de Segurança envolvendo dados pessoais processados sob este DPA. A MTech fará esforços razoáveis para identificar a causa do Incidente de Segurança, mitigar os efeitos e remediar a causa na medida do controle razoável da MTech. Mediante solicitação do Assinante e levando em consideração a natureza do processamento e as informações disponíveis para a MTech, a MTech ajudará o Assinante fornecendo as informações razoavelmente necessárias para que o Assinante cumpra suas obrigações de notificação de Incidente de Segurança de acordo com as Leis de Proteção de Dados Aplicáveis.
5. Subprocessadores
5.1 Autorização geral. Ao celebrar este DPA, o Assinante fornece autorização geral para que a MTech contrate subprocessadores para processar os dados pessoais do Assinante. A MTech (i) firmará um contrato por escrito com cada subcontratante impondo termos de proteção de dados que exijam que o subcontratante proteja os dados pessoais do Assinante no padrão exigido pelas Leis de Proteção de Dados Aplicáveis e por este DPA, e (ii) permanecerá responsável perante o Assinante se esse subcontratante não cumprir suas obrigações de proteção de dados com relação às atividades de processamento relevantes no âmbito do Contrato de Assinatura.
5.2 Notificação de novos subprocessadores. A MTech mantém uma lista atualizada de seus subprocessadores em https://mtechsystems.io/legal/sub-processor-list, que contém um mecanismo para que o Assinante se inscreva para receber notificações de novos subprocessadores. A MTech notificará quaisquer alterações na lista para os e-mails que forem assinados (excluindo alterações em que qualquer subprocessador seja removido da lista).
5.3 Objeção a novos subprocessadores. O Assinante pode se opor à nomeação de um novo subprocessador pela MTech dentro de trinta (30) dias do recebimento de um aviso de mudança. As partes discutirão a objeção de boa fé. Se as partes não conseguirem chegar a uma solução, a MTech poderá fornecer um acordo alternativo para excluir o subprocessador, mesmo que isso tenha um efeito adverso sobre o fornecimento dos Serviços de Assinatura ou seja às custas do assinante, ou se um acordo alternativo não for razoavelmente praticável para a MTech, rescindir o Contrato de Assinatura. O único recurso do assinante, caso não concorde com um acordo alternativo, será rescindir o Contrato de Assinatura sem qualquer responsabilidade para a MTech.
6. Obrigações de assistência e cooperação
6.1 Direitos do titular dos dados. Levando em consideração a natureza do processamento, a MTech fornecerá assistência razoável e oportuna ao Assinante para permitir que o Assinante responda às solicitações de exercício dos direitos do titular dos dados (incluindo direitos de acesso, retificação, exclusão, restrição, objeção e portabilidade de dados) em relação aos dados pessoais do Assinante.
6.2 Obrigações de cooperação. Mediante solicitação razoável do Assinante, e levando em consideração a natureza do processamento, a MTech fornecerá assistência razoável ao Assinante no cumprimento das obrigações do Assinante sob as Leis de Proteção de Dados Aplicáveis (incluindo avaliações de impacto de proteção de dados e consultas com autoridades regulatórias), desde que o Assinante não possa razoavelmente cumprir tais obrigações de forma independente com a ajuda da documentação disponível.
6.3 Solicitações de terceiros. A menos que proibido pela lei aplicável, a MTech notificará prontamente o assinante sobre qualquer processo legal válido e aplicável ou solicitação governamental que obrigue a MTech a divulgar os dados pessoais do assinante. No caso de a MTech receber uma consulta ou solicitação de informações de qualquer outro terceiro (como um regulador ou titular de dados) em relação ao processamento de dados pessoais do assinante, a MTech redirecionará tais consultas ao assinante e não fornecerá nenhuma informação, a menos que seja exigido pela lei aplicável.
7. Exclusão e devolução de dados pessoais do assinante
7.1 Durante a Vigência da Assinatura. Durante a Vigência da Assinatura, o Assinante e seus usuários finais poderão, por meio dos recursos dos Serviços de Assinatura, acessar e recuperar os dados pessoais do Assinante. O Assinante também poderá solicitar a exclusão dos dados pessoais do Assinante. Observe que determinados registros de sistema ou de segurança podem ser retidos para fins de integridade operacional, segurança e conformidade, mesmo após uma solicitação de exclusão.
7.2 Pós-rescisão. Após a expiração ou rescisão do Contrato de Assinatura, a MTech, após um período de carência limitado, interromperá o processamento de todos os dados pessoais do Assinante que recebeu como parte dos Serviços de Assinatura. Não obstante o acima exposto, a MTech poderá reter dados pessoais (i) conforme exigido pelas Leis de Proteção de Dados Aplicáveis, ou (ii) de acordo com suas políticas padrão de backup ou retenção de registros, desde que, em ambos os casos, a MTech mantenha a confidencialidade e, de outra forma, cumpra as disposições aplicáveis deste DPA com relação aos dados pessoais retidos e não os processe mais, exceto conforme exigido ou permitido pelas Leis de Proteção de Dados Aplicáveis.
8. Auditoria
8.1 Relatórios de auditoria. A MTech é regularmente auditada por auditores terceirizados independentes e/ou auditores internos, inclusive conforme descrito em https://mtechsystems.io/trust-center/. Mediante solicitação, e com a condição de que o Assinante tenha firmado um contrato de não divulgação aplicável com a MTech, a MTech fornecerá um resumo ou cópia do(s) relatório(s) de auditoria relevante(s) ao Assinante, para que o Assinante possa verificar a conformidade da MTech com os padrões de auditoria em relação aos quais foi avaliada e com este DPA. Se o Assinante não puder verificar razoavelmente a conformidade da MTech com os termos deste DPA, a MTech fornecerá respostas por escrito (em caráter confidencial) a todas as solicitações razoáveis de informações feitas pelo Assinante relacionadas ao processamento de dados pessoais pela MTech, desde que esse direito possa ser exercido no máximo uma vez a cada doze (12) meses.
8.2 Auditorias no local. Somente na medida em que o Assinante não puder confirmar razoavelmente a conformidade da MTech com este DPA através do exercício de seus direitos sob a Seção 8.1 acima, ou quando exigido pelas Leis de Proteção de Dados Aplicáveis ou por uma autoridade reguladora, o Assinante, ou seus representantes autorizados, poderão, às custas do Assinante, realizar auditorias durante a vigência do Contrato de Assinatura para avaliar a conformidade da MTech com os termos deste DPA. Qualquer auditoria deve (i) ser conduzida durante o horário comercial regular da MTech, com aviso prévio razoável por escrito de pelo menos sessenta (60) dias corridos (a menos que as Leis de Proteção de Dados Aplicáveis ou uma autoridade reguladora exija um período de aviso mais curto), (ii) estar sujeita a controles de confidencialidade razoáveis que obriguem o Assinante (e seus representantes autorizados) a manter confidenciais quaisquer informações divulgadas que, por sua natureza, devam ser confidenciais, (iii) ocorrer no máximo uma vez a cada doze (12) meses, e (iv) restringir suas descobertas apenas às informações relevantes para o Assinante.
9. Transferências internacionais
Disposições internacionais. Na medida em que a MTech processa dados pessoais protegidos pelas Leis de Proteção de Dados Aplicáveis em uma das regiões listadas no Anexo 2 (Termos Específicos da Região), os termos especificados para as regiões aplicáveis também serão aplicados, incluindo as disposições relevantes para transferências internacionais de dados pessoais (diretamente ou por meio de transferência subsequente).
Cronograma 1 - Descrição do processamento
1. Categorias de titulares de dados. Usuários finais do assinante (funcionários, administradores, contratados).
2. Categorias de dados pessoais. Informações da conta e de contato (incluindo nome, cargo, e-mail, número de telefone, etc.), Dados do Assinante (incluindo quaisquer dados pessoais contidos neles), dados técnicos e do dispositivo (incluindo endereços IP, identificadores de dispositivo, etc.), dados de uso (incluindo registros, métricas de uso, dados de desempenho, etc.), dados de suporte e comunicação (incluindo informações fornecidas à MTech em tíquetes de suporte, e-mails e chats, feedback ou respostas a pesquisas, etc.), dados de localização, dados de segurança e autenticação (incluindo tokens de autenticação, registros de segurança, etc.).
3. Dados confidenciais. Os Serviços de Assinatura não foram projetados para processar categorias especiais de dados pessoais ou informações sensíveis semelhantes. O Assinante e seus usuários finais não devem fazer upload ou enviar nenhum conteúdo que inclua tais categorias de dados, conforme definido nas Leis de Proteção de Dados Aplicáveis.
4. Frequência. Contínua, conforme necessário para fornecer serviços durante o Prazo da Assinatura.
5. Natureza do processamento. A MTech processa dados pessoais conforme necessário para fornecer os Serviços de Assinatura e quaisquer Serviços Profissionais sob o Contrato de Assinatura. O processamento pode incluir atividades como coleta, organização, armazenamento, transmissão, acesso em conexão com o suporte e disponibilização de dados pessoais por meios automatizados.
6. Finalidade(s) do processamento. A MTech processará dados pessoais como um processador de acordo com as Instruções Documentadas do Assinante para: (a) fornecer e melhorar os Serviços de Assinatura e os Serviços Profissionais relacionados para o Assinante, e permitir o uso de vários recursos e funcionalidades nos Serviços de Assinatura, bem como investigar incidentes de segurança e resolver problemas, bugs e erros; (b) aplicar o Contrato de Assinatura (incluindo a PUA); e (c) cumprir as obrigações legais da MTech. A MTech é uma controladora de dados pessoais, conforme especificado na política de privacidade da MTech, disponível em https://mtechsystems.io/legal/privacy-policy/. Para fins de clareza, este DPA não limita ou proíbe a MTech de agir nessa capacidade.
7. Duração do processamento. A MTech processará os dados pessoais durante a vigência do Contrato de Assinatura, conforme descrito na Seção 7.
8. Transferências para subprocessadores. A MTech transferirá dados pessoais para subprocessadores, conforme permitido na Seção 5. Isso também pode envolver transferências para outros países ou jurisdições, conforme estabelecido na lista de subprocessadores.
Cronograma 2 - Termos específicos da região
1. UE/EEE, Reino Unido e Suíça
1.1 Transferências da UE/EEE. Quando os dados pessoais protegidos pelas Leis de Proteção de Dados da UE são transferidos, diretamente ou por meio de transferência subsequente, para um país fora da UE/EEE que não esteja sujeito a uma decisão de adequação, aplica-se o seguinte:
(a) As EU SCCs são incorporadas a esta DPA por referência da seguinte forma:
(i) O Assinante é o "exportador de dados" e a MTech é o "importador de dados".
(ii) O Módulo Dois (Controlador para Processador) aplica-se quando o Assinante é um controlador dos dados pessoais do Assinante e a MTech está processando os dados pessoais do Assinante como um processador.
(iii) O Módulo Três (Processador para Processador) aplica-se quando o Assinante é um processador de dados pessoais do Assinante e a MTech está processando os dados pessoais do Assinante como outro processador.
(iv) Ao firmar este DPA, considera-se que cada parte assinou as EU SCCs a partir da data de início do Contrato de Assinatura.
(b) Para cada módulo, quando aplicável:
(i) Na Cláusula 7, a cláusula de acoplamento opcional não se aplica.
(ii) Aplica-se a Cláusula 9, Opção 2, e o período de tempo para aviso prévio de alterações de subprocessador está estabelecido na Seção 5 deste DPA.
(iii) Na Cláusula 11, a linguagem opcional não se aplica.
(iv) Na Cláusula 17, aplica-se a Opção 1, e as CSCs da UE são regidas pela legislação sueca.
(v) Na Cláusula 18(b), as disputas serão resolvidas perante os tribunais da Suécia.
(vi) O Apêndice de SCCs da UE é preenchido da seguinte forma:
(A) As informações necessárias para o Anexo I(A) estão localizadas no Contrato de Assinatura e/ou nas SOWs relevantes.
(B) As informações necessárias para o Anexo I(B) estão localizadas no Anexo 1 (Descrição do Processamento) desta DPA.
(C) A autoridade supervisora competente no Anexo I(C) será determinada de acordo com a Lei de Proteção de Dados Aplicável.
(D) As informações necessárias para o Anexo II estão localizadas em https://mtechsystems.io/legal/security-measures/.
1.2 Transferências da Suíça. Quando os dados pessoais protegidos pelas Leis de Proteção de Dados da Suíça forem transferidos, seja diretamente ou por meio de transferência subsequente, para qualquer outro país que não esteja sujeito a uma decisão de adequação, as SCCs da UE se aplicam conforme declarado na Seção 1.1 (Transferências da UE/EEE) acima, com as seguintes modificações:
(a) Todas as referências nas SCCs da UE ao "Regulamento (UE) 2016/679" serão interpretadas como referências às Leis de Proteção de Dados da Suíça, e as referências a artigos específicos do "Regulamento (UE) 2016/679" serão substituídas pelo artigo ou seção equivalente das Leis de Proteção de Dados da Suíça. Todas as referências às Leis de Proteção de Dados da UE neste DPA serão interpretadas como referências às Leis de Proteção de Dados da Suíça.
(b) Na Cláusula 13, a autoridade supervisora competente é o Comissário Federal Suíço para Proteção de Dados e Informações.
(c) Na Cláusula 17, as SCCs da UE são regidas pelas leis da Suíça.
(d) Na Cláusula 18(b), as disputas serão resolvidas perante os tribunais da Suíça.
(e) Todas as referências ao estado membro serão interpretadas de modo a incluir a Suíça, e os titulares de dados na Suíça não estão excluídos de fazer valer seus direitos em seu local de residência habitual, de acordo com a Cláusula 18(c).
1.3 Transferências para o Reino Unido. Quando os dados pessoais protegidos pelas Leis de Proteção de Dados do Reino Unido forem transferidos, diretamente ou por meio de transferência subsequente, para um país fora do Reino Unido que não esteja sujeito a uma decisão de adequação, aplica-se o seguinte:
(a) As SCCs da UE se aplicam conforme estabelecido na Seção 1.1 (Transferências da UE/EEE) acima, com as seguintes modificações:
(i) Considera-se que cada parte assinou o UK Addendum.
(ii) Para a Tabela 1 do Adendo do Reino Unido, as principais informações de contato das partes estão localizadas no Contrato de Assinatura e/ou na SOW relevante.
(iii) Para a Tabela 2 do Adendo do Reino Unido, as informações relevantes sobre a versão das SCCs, módulos e cláusulas selecionadas da UE às quais este Adendo do Reino Unido está anexado estão localizadas acima, na Seção 1.1 (Transferências UE/EEE).
(iv) Para a Tabela 3 do Adendo do Reino Unido:
(A) As informações necessárias para o Anexo 1A estão localizadas no Contrato de Assinatura e/ou na SOW relevante.
(B) As informações necessárias para o Anexo 1B estão localizadas no Cronograma 1 (Descrição do Processamento) desta DPA.
(C) As informações necessárias para o Anexo II estão localizadas em https://mtechsystems.io/legal/security-measures/.
(D) As informações necessárias para o Anexo III estão localizadas na Seção 5 deste DPA.
(b) Na Tabela 4 do Adendo do Reino Unido, tanto o importador quanto o exportador de dados podem encerrar o Adendo do Reino Unido.
2. Estados Unidos da América
2.1 Aplicabilidade. Os termos a seguir se aplicam quando a MTech processa dados pessoais sujeitos às Leis de Privacidade do Estado dos EUA.
2.2 Processamento nos EUA. Na medida em que os dados pessoais do Assinante incluam informações pessoais protegidas pelas Leis de Privacidade do Estado dos EUA que a MTech processa como prestadora de serviços ou processadora em nome do Assinante, a MTech processará essas informações pessoais de acordo com as Leis de Privacidade do Estado dos EUA, inclusive cumprindo as seções aplicáveis das Leis de Privacidade do Estado dos EUA e fornecendo o mesmo nível de proteção de privacidade exigido pelas Leis de Privacidade do Estado dos EUA, e de acordo com as Instruções Documentadas do Assinante, conforme necessário para os fins limitados e especificados identificados na Seção 6 do Anexo 1 (Descrição do Processamento) deste DPA. A MTech não irá:
(a) reter, usar, divulgar ou de outra forma processar tais informações pessoais para fins comerciais que não sejam os fins limitados e especificados identificados neste DPA, no Contrato de Assinatura e/ou em quaisquer SOWs relevantes, ou para operações internas, melhoria de serviços, segurança, prevenção de fraudes, conformidade legal ou criação de dados não identificados ou agregados;
(b) "vender" ou "compartilhar" essas informações pessoais de acordo com o significado das Leis de Privacidade do Estado dos EUA; e
(c) reter, usar, divulgar ou processar de outra forma essas informações pessoais fora do relacionamento comercial direto com o Assinante e não combinar informações pessoais do Assinante com informações pessoais recebidas de outras fontes, exceto conforme necessário para fornecer os Serviços de Assinatura ou conforme permitido pelas Leis de Privacidade do Estado dos EUA.
2.3 Dever de informar. A MTech informará o Assinante se determinar que não pode mais cumprir suas obrigações de acordo com as Leis de Privacidade do Estado dos EUA.
2.4 Medidas razoáveis e apropriadas. O Assinante poderá tomar medidas razoáveis e apropriadas para interromper e corrigir qualquer processamento não autorizado das informações pessoais do Assinante.
2.5 Dados não identificados. Na medida em que o Assinante divulga ou de outra forma disponibiliza dados não identificados para a MTech ou na medida em que a MTech cria dados não identificados a partir de Dados do Assinante e informações pessoais, em cada caso em sua capacidade como prestador de serviços, a MTech irá:
(a) adotar medidas razoáveis para evitar que esses dados não identificados sejam usados para inferir informações sobre uma determinada pessoa física ou domicílio, ou que sejam vinculados a ela;
(b) manter esses dados não identificados em uma forma não identificada e não tentar reidentificar os dados não identificados, exceto que a MTech pode tentar reidentificar esses dados apenas com o objetivo de determinar se seus processos de não identificação estão em conformidade com as Leis de Privacidade do Estado dos EUA; e
(c) antes de compartilhar dados não identificados com terceiros, incluindo subprocessadores, contratados ou outros terceiros, garantir que esses destinatários sejam contratualmente obrigados a cumprir requisitos substancialmente semelhantes aos estabelecidos nesta Seção 2.
3. Brasil
3.1 Aplicabilidade da LGPD. As partes garantem que processarão os dados pessoais de acordo com a legislação aplicável, incluindo, mas não se limitando à LGPD e a qualquer outra legislação e normas aplicáveis ao processamento de dados pessoais cujos efeitos extraterritoriais afetem as partes e/ou as transações incluídas pelo Contrato de Assinatura com o único e exclusivo objetivo de oferecer os serviços ao Assinante.
3.2 Transferências brasileiras. Quando os dados pessoais protegidos pela LGPD forem transferidos, seja diretamente ou por meio de transferência subsequente, para um país fora do Brasil que não esteja sujeito a uma decisão de adequação emitida pela Autoridade Nacional de Proteção de Dados ("ANPD"), aplica-se o seguinte:
(a) As SCCs brasileiras são incorporadas a este DPA por referência da seguinte forma:
(i) O Assinante é o "exportador de dados" e a MTech é o "importador de dados".
(ii) Ao celebrar este DPA, considera-se que cada parte assinou as SCCs brasileiras a partir da data de início do Contrato de Subscrição.
(b) As SCCs brasileiras são preenchidas da seguinte forma:
(i) A Cláusula 1 (Identificação das Partes) das SCCs será considerada concluída com as informações estabelecidas no Contrato de Subscrição.
(ii) A Cláusula 2 (Objeto) das SCCs será considerada preenchida com as informações estabelecidas no Anexo 1 deste DPA.
(iii) A Cláusula 3 (Transferências Posteriores) das SCCs será considerada concluída com as informações estabelecidas no Anexo 1 deste DPA.
(iv) Cláusula 4 (Responsabilidades das Partes) das SCCs: A Opção A será aplicada, e o exportador de dados será responsável pelo cumprimento das obrigações estabelecidas na cláusula 4.1 (a)-(c).
(v) A Seção III (Medidas de Segurança) das SCCs será considerada concluída com as informações definidas na Seção 4 deste DPA.