Adendo de processamento de dados
Este adendo de processamento de dados (“DPA”) complementa o Contrato de Assinatura, ou outro acordo em vigor entre o Assinante e a MTech cobrindo o uso dos Serviços de Assinatura da MTech pelo Assinante.
Os termos capitalizados não definidos neste documento terão o significado estabelecido no Acordo de Assinatura. Os termos definidos nas Leis de Proteção de Dados Aplicáveis, incluindo “titular dos dados”, “dados pessoais”, “processamento” e “terceiro país” que são usados neste DPA terão o mesmo significado que o estabelecido nas Leis de Proteção de Dados Aplicáveis.
1. Definições
“Leis de Proteção de Dados Aplicáveis” significa todas as leis aplicáveis ao processamento de dados pessoais sob o Contrato de Assinatura.
“Lei Geral de Proteção de Dados Brasileira” ou “LGPD” significa Lei nº 13.709/2018 de 18 de agosto de 2018.
“Cláusulas Contratuais Padrão Brasileiras” significa as cláusulas contratuais estabelecidas no Anexo II do Regulamento Brasileiro sobre Transferência Internacional de Dados Pessoais da Autoridade Nacional de Proteção de Dados (Resolução CD/ANPD nº 19/2025), conforme alterado, substituído ou sucessivamente substituído de tempos em tempos.
“Leis de Proteção de Dados da UE” inclui (i) o Regulamento 2016/679 do Parlamento Europeu e do Conselho, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados, ou RGPD) e (ii) a Diretiva e-Privacidade da UE (Diretiva 2002/58/CE), com as suas alterações, substituições ou sucessores ao longo do tempo.
“EU SCCs” significa as cláusulas contratuais anexas à Decisão de Execução (UE) 2021/914 da Comissão Europeia, de 4 de junho de 2021, sobre cláusulas contratuais-tipo para a transferência de dados pessoais para países terceiros, ao abrigo do Regulamento (UE) 2016/679 do Parlamento Europeu.
“Incidente de Segurança” significa qualquer violação de segurança que resulte na destruição, perda, alteração, divulgação ou acesso não autorizado, acidental ou ilícito, de dados pessoais de Assinantes processados pela MTech e/ou seus sub-processadores.
“Leis Suíças de Proteção de Dados” significa a Lei Federal Suíça de Proteção de Dados e seus regulamentos de implementação, conforme alterados, substituídos ou renovados de tempos em tempos.
“Adendo do Reino Unido” significa o Adendo de Transferência Internacional de Dados às Cláusulas Contratuais Padrão da Comissão da UE emitido pelo Controlador de Informações do Reino Unido, Versão B1.0, em vigor em 21 de março de 2022, conforme emendado, substituído ou alterado de tempos em tempos.
“Leis de Proteção de Dados do Reino Unido” significa a Lei de Proteção de Dados de 2018 e o GDPR (Regulamento Geral de Proteção de Dados) incorporado à legislação do Reino Unido em virtude da Seção 3 da Lei de Retirada da União Europeia do Reino Unido de 2018, conforme alterada, substituída ou revogada de tempos em tempos.
“Leis de Privacidade dos Estados dos EUA” significa todas as leis estaduais aplicáveis relacionadas à proteção e processamento de dados pessoais em vigor nos Estados Unidos da América, que podem incluir, sem limitação, a Lei de Privacidade do Consumidor da Califórnia, conforme alterada pela Lei de Direitos de Privacidade da Califórnia, e seus regulamentos de implementação.
2. Escopo e Prazo
2.1 Papéis das Partes. Para os fins do Contrato de Assinatura, as partes concordam que:
(a) O Assinante é um controlador de dados pessoais ou um processador de dados pessoais atuando em nome de outro controlador (por exemplo, afiliada do Assinante) ao passar as instruções de processamento relevantes para a MTech. Os detalhes do processamento são declarados no Anexo 1 (Descrição do Processamento).
(b) A MTech é um processador (ou, respectivamente, um sub-processador) de dados pessoais. Os detalhes do processamento estão indicados no Anexo 1 (Descrição do Processamento).
2.2 Prazo do DPA. O prazo deste Aditivo de Processamento de Dados coincide com o prazo do Contrato de Assinatura e termina na expiração ou rescisão antecipada do Contrato de Assinatura (ou, se posterior, na data em que a MTech cessar todo o processamento de dados pessoais do Assinante).
2.3 Ordem de Precedência. Se houver qualquer conflito ou inconsistência entre os documentos a seguir, a ordem de precedência do mais alto para o mais baixo será (1) os termos aplicáveis declarados no Anexo 2 (Termos Específicos da Região), (2) o Anexo 1 (Descrição do Processamento), (3) o corpo principal deste DPA e (4) o Contrato de Assinatura.
3. Tratamento de Dados Pessoais
3.1 Instruções para o Assinante.
(a) Este DPA, o Contrato de Assinatura, os SOWs relevantes e o uso dos Serviços de Assinatura pelo Assinante (incluindo serviços de suporte técnico relacionados) e Serviços Profissionais constituem as instruções documentadas do Assinante relativas ao processamento de dados pessoais do Assinante pela MTech (as “Instruções Documentadas”).
(b) A MTech processará os dados pessoais do Assinante unicamente em conformidade com as Instruções Documentadas, conforme declarado na Seção 6 do Anexo 1 (Descrição do Processamento). O Assinante: (i) deve garantir que suas Instruções Documentadas estejam em conformidade com as Leis de Proteção de Dados Aplicáveis. A MTech não é responsável por monitorar o cumprimento do Assinante com as Leis de Proteção de Dados Aplicáveis; e (ii) é responsável por determinar se os Serviços de Assinatura e os Serviços Profissionais são adequados para o processamento de dados pessoais do Assinante sob as Leis de Proteção de Dados Aplicáveis.
3.2 Confidencialidade. A MTech tratará os dados pessoais do Assinante como Informações Confidenciais sob o Contrato de Assinatura. A MTech garantirá que o pessoal autorizado a processar dados pessoais esteja vinculado a obrigações de confidencialidade por escrito ou por lei.
4. Segurança
4.1 Medidas de Segurança. A MTech implementou e manterá medidas técnicas e organizacionais apropriadas, projetadas para proteger a segurança, confidencialidade, integridade e disponibilidade dos Dados do Assinante e para proteger contra Incidentes de Segurança. O Assinante é responsável por configurar os Serviços de Assinatura e usar os recursos e funcionalidades disponibilizados pela MTech para manter a segurança apropriada, à luz da natureza dos Dados do Assinante. As medidas técnicas e organizacionais atuais da MTech são descritas em https://mtechsystems.io/legal/security-measures/. O Assinante reconhece que as medidas de segurança estão sujeitas ao progresso e desenvolvimento técnico e que a MTech pode atualizar ou modificar as medidas de segurança de tempos em tempos, desde que tais atualizações e modificações não diminuam materialmente a segurança geral dos Serviços de Assinatura durante o Prazo da Assinatura.
4.2 Incidentes de Segurança. A MTech notificará o Assinante sem demora indevida e, sempre que exequível, no máximo em setenta e duas (72) horas após tomar conhecimento de um Incidente de Segurança envolvendo dados pessoais processados sob este Aditivo de Proteção de Dados (APD). A MTech empreenderá esforços razoáveis para identificar a causa do Incidente de Segurança, mitigar os efeitos e remediar a causa na extensão dentro do controle razoável da MTech. Mediante solicitação do Assinante e levando em consideração a natureza do processamento e as informações disponíveis para a MTech, a MTech auxiliará o Assinante fornecendo informações razoavelmente necessárias para que o Assinante cumpra suas obrigações de notificação de Incidente de Segurança sob as Leis de Proteção de Dados Aplicáveis.
5. Subprocessadores
5.1 Autorização Geral. Ao celebrar este DPA, o Assinante concede autorização geral para a MTech contratar subcontratados para processar os dados pessoais do Assinante. A MTech (i) celebrará um acordo escrito com cada subcontratado, impondo termos de proteção de dados que exijam que o subcontratado proteja os dados pessoais do Assinante de acordo com o padrão exigido pelas Leis de Proteção de Dados Aplicáveis e este DPA, e (ii) permanecerá responsável perante o Assinante caso tal subcontratado não cumpra suas obrigações de proteção de dados em relação às atividades de processamento relevantes sob o Contrato de Assinatura.
5.2 Aviso de Novos Subprocessadores. A MTech mantém uma lista atualizada de seus sub-processadores em https://mtechsystems.io/legal/sub-processor-list, o qual contém um mecanismo para Assinantes se inscreverem em notificações de novos subcontratados. A MTech fornecerá aviso de quaisquer alterações na lista para os e-mails que estiverem inscritos (excluindo alterações em que qualquer subcontratado for removido da lista).
5.3 Objeção a Novos Subprocessadores. O Assinante poderá se opor à nomeação de um novo subcontratado pela MTech em até trinta (30) dias após o recebimento de um aviso de alteração. As partes discutirão a objeção de boa fé. Se as partes não conseguirem chegar a uma solução, a MTech poderá fornecer um arranjo alternativo para excluir o subcontratado, mesmo que isso tenha um efeito adverso na prestação dos Serviços de Assinatura ou seja às custas do Assinante, ou, se um arranjo alternativo não for razoavelmente praticável para a MTech, rescindir o Contrato de Assinatura. O único recurso do Assinante, caso não concorde com um arranjo alternativo, será rescindir o Contrato de Assinatura, sem qualquer responsabilidade para a MTech.
6. Obrigações de Assistência e Cooperação
6.1 Direitos do Titular dos Dados. Levando em consideração a natureza do processamento, a MTech fornecerá assistência razoável e tempestiva ao Assinante para habilitá-lo a responder a solicitações para o exercício dos direitos de titular de dados (incluindo direitos de acesso, retificação, exclusão, restrição, objeção e portabilidade de dados) em relação aos dados pessoais do Assinante.
6.2 Obrigações de Cooperação. Mediante solicitação razoável do Assinante e levando em consideração a natureza do processamento, a MTech fornecerá assistência razoável ao Assinante no cumprimento das obrigações do Assinante sob as Leis de Proteção de Dados Aplicáveis (incluindo avaliações de impacto de proteção de dados e consultas com autoridades reguladoras), desde que o Assinante não possa cumprir razoavelmente tais obrigações de forma independente com a ajuda da documentação disponível.
6.3 Solicitações de Terceiros. Salvo proibição legal aplicável, a MTech notificará prontamente o Assinante de qualquer processo legal válido e executável ou solicitação governamental que obrigue a MTech a divulgar dados pessoais do Assinante. Caso a MTech receba uma consulta ou solicitação de informações de qualquer outra terceira parte (como um regulador ou titular de dados) referente ao processamento de dados pessoais do Assinante, a MTech encaminhará tais consultas ao Assinante e não fornecerá nenhuma informação, a menos que seja obrigada a fazê-lo de acordo com a lei aplicável.
7. Exclusão e Retorno de Dados Pessoais do Inscrito
7.1 Durante o Prazo da Assinatura. Durante o Prazo da Assinatura, o Assinante e seus usuários finais podem, por meio dos recursos dos Serviços de Assinatura, acessar e recuperar dados pessoais do Assinante. O Assinante também pode solicitar a exclusão de dados pessoais do Assinante. Observe que certos logs do sistema ou de segurança podem ser retidos para fins de integridade operacional, segurança e conformidade, mesmo após uma solicitação de exclusão.
7.2 Pós-Rescisão. Após a expiração ou rescisão do Contrato de Assinatura, a MTech, após um período de carência limitado, descontinuará o processamento de todos os dados pessoais do Assinante que recebeu como parte dos Serviços de Assinatura. Não obstante o anterior, a MTech poderá reter dados pessoais (i) conforme exigido pelas Leis de Proteção de Dados Aplicáveis ou (ii) de acordo com suas políticas padrão de backup ou retenção de registros, desde que, em qualquer caso, a MTech mantenha a confidencialidade e, de outra forma, cumpra as disposições aplicáveis desta DPA em relação aos dados pessoais retidos e não os processe posteriormente, exceto conforme exigido ou permitido pelas Leis de Proteção de Dados Aplicáveis.
8. Auditoria
8.1 Relatórios de Auditoria. A MTech é auditada regularmente por auditores independentes terceirizados e/ou auditores internos, conforme descrito em https://mtechsystems.io/trust-center/. Mediante solicitação, e sob a condição de que o Assinante tenha celebrado um acordo de confidencialidade aplicável com a MTech, a MTech fornecerá um resumo ou cópia do(s) relatório(s) de auditoria relevante(s) ao Assinante, para que o Assinante possa verificar a conformidade da MTech com os padrões de auditoria contra os quais foi avaliada e com esta DPA. Se o Assinante não puder verificar razoavelmente a conformidade da MTech com os termos desta DPA, a MTech fornecerá respostas por escrito (de forma confidencial) a todos os pedidos razoáveis de informações feitos pelo Assinante relacionados ao processamento de dados pessoais pela MTech, desde que tal direito possa ser exercido no máximo uma vez a cada doze (12) meses.
8.2 Auditorias no Local. Somente na medida em que o Assinante não puder confirmar razoavelmente a conformidade da MTech com este DPA através do exercício de seus direitos sob a Seção 8.1 acima, ou quando exigido pelas Leis de Proteção de Dados Aplicáveis ou por uma autoridade reguladora, o Assinante, ou seus representantes autorizados, poderão, às custas do Assinante, realizar auditorias durante a vigência do Contrato de Assinatura para avaliar a conformidade da MTech com os termos deste DPA. Qualquer auditoria deve (i) ser conduzida durante o horário comercial regular da MTech, com aviso prévio razoável por escrito de pelo menos sessenta (60) dias corridos (a menos que as Leis de Proteção de Dados Aplicáveis ou uma autoridade reguladora exija um período de aviso mais curto), (ii) estar sujeita a controles de confidencialidade razoáveis que obriguem o Assinante (e seus representantes autorizados) a manter confidenciais quaisquer informações divulgadas que, por sua natureza, devam ser confidenciais, (iii) ocorrer no máximo uma vez a cada doze (12) meses, e (iv) restringir suas descobertas apenas às informações relevantes para o Assinante.
9. Transferências Internacionais
Disposições Internacionais. Na extensão em que a MTech processa dados pessoais protegidos pelas Leis de Proteção de Dados Aplicáveis em uma das regiões listadas no Anexo 2 (Termos Específicos da Região), os termos especificados para as regiões aplicáveis também se aplicarão, incluindo as disposições relevantes para transferências internacionais de dados pessoais (direta ou via transferência subsequente).
Agenda 1 - Descrição do Processamento
1. Categorias de Titulares de Dados. Usuários finais assinantes (funcionários, administradores, contratados).
2. Categorias de Dados Pessoais. Informações da conta e de contato (incluindo nome, cargo, e-mail, número de telefone, etc.), Dados do assinante (incluindo quaisquer dados pessoais neles contidos), dados de dispositivo e técnicos (incluindo endereços IP, identificadores de dispositivo, etc.), dados de uso (incluindo logs, métricas de uso, dados de desempenho, etc.), dados de suporte e comunicação (incluindo informações fornecidas à MTech em tickets de suporte, e-mails e chats, feedback ou respostas a pesquisas, etc.), dados de localização, dados de segurança e autenticação (incluindo tokens de autenticação, logs de segurança, etc.).
3. Dados Sensíveis. Os Serviços de Assinatura não foram projetados para processar categorias especiais de dados pessoais ou informações igualmente sensíveis. O Assinante e seus usuários finais não devem carregar ou enviar qualquer conteúdo que inclua tais categorias de dados, conforme definido pelas Leis de Proteção de Dados Aplicáveis.
4. Frequência. Contínuo, conforme necessário para fornecer serviços durante o Termo de Assinatura.
5. Natureza do Processamento. A MTech processa dados pessoais conforme necessário para fornecer os Serviços de Assinatura e quaisquer Serviços Profissionais sob o Contrato de Assinatura. O processamento pode incluir atividades como coleta, organização, armazenamento, transmissão, acesso em conexão com suporte e disponibilização de dados pessoais por meios automatizados.
6. Finalidade(s) do Processamento. A MTech processará dados pessoais como processadora, de acordo com as Instruções Documentadas do Assinante para: (a) fornecer e melhorar os Serviços de Assinatura e Serviços Profissionais relacionados para o Assinante, e permitir o uso de vários recursos e funcionalidades nos Serviços de Assinatura, bem como para investigar incidentes de segurança e resolver problemas, bugs e erros; (b) fazer cumprir o Contrato de Assinatura (incluindo o AUP); e (c) cumprir as obrigações legais da MTech. A MTech é controladora de dados pessoais, conforme especificado na política de privacidade da MTech, disponível em https://mtechsystems.io/legal/privacy-policy/. Para fins de clareza, este DPA não limita nem proíbe a MTech de atuar nessa capacidade.
7. Duração do Processamento. A MTech processará dados pessoais pelo prazo do Contrato de Assinatura, conforme descrito na Seção 7.
8. Transferências para Subprocessadores. A MTech transferirá dados pessoais para sub-processadores conforme permitido na Seção 5. Isso também pode envolver transferências para outros países ou jurisdições, conforme estabelecido na lista de sub-processadores.
Agenda 2 - Termos Específicos da Região
1. UE/EEE, Reino Unido e Suíça
1.1 Transferências UE/EEE. Quando dados pessoais protegidos pelas Leis de Proteção de Dados da UE forem transferidos, direta ou indiretamente, para um país fora da UE/EEE que não seja objeto de uma decisão de adequação, aplica-se o seguinte:
(a) As Cláusulas Contratuais Padrão da UE são incorporadas por referência à presente DPA da seguinte forma:
(i) O Assinante é o “exportador de dados” e a MTech é a “importadora de dados”.
(ii) O Módulo Dois (Controlador para Processador) se aplica quando o Assinante é um controlador de dados pessoais do Assinante e a MTech está processando dados pessoais do Assinante como um processador.
(iii) O Módulo Três (Processador para Processador) se aplica onde o Assinante é um processador de dados pessoais do Assinante e a MTech está processando dados pessoais do Assinante como outro processador.
(iv) Ao celebrar este DPA, cada parte é considerada como tendo assinado os SCCs da UE a partir da data de início do Contrato de Assinatura.
(b) Para cada Módulo, onde aplicável:
(i) Na Cláusula 7, a cláusula opcional de atracadouro não se aplica.
(ii) A Cláusula 9, Opção 2 se aplica, e o período de aviso prévio para alterações de sub-processadores está declarado na Seção 5 deste DPA.
(iii) Na Cláusula 11, a linguagem opcional não se aplica.
(iv) Na Cláusula 17, a Opção 1 se aplica, e os DCCs da UE são regidos pela lei sueca.
(v) Na Cláusula 18(b), as disputas serão resolvidas perante os tribunais da Suécia.
(vi) O Apêndice das SCCs da UE é preenchido da seguinte forma:
(A) As informações necessárias para o Anexo I(A) estão localizadas no Contrato de Assinatura e/ou nos Contratos de Escopo de Trabalho (SOWs) relevantes.
As informações exigidas para o Anexo I(B) estão localizadas na Cláusula 1 (Descrição do Processamento) deste DPA.
(C) A autoridade supervisora competente no Anexo I(C) será determinada de acordo com a Lei de Proteção de Dados Aplicável.
(D) As informações necessárias para o Anexo II estão localizadas https://mtechsystems.io/legal/security-measures/.
1.2 Transferências Suíças. Quando dados pessoais protegidos pelas Leis Suíças de Proteção de Dados são transferidos, direta ou indiretamente por meio de transferência subsequente, para qualquer outro país que não seja objeto de uma decisão de adequação, os SCCs da UE se aplicam conforme declarado na Seção 1.1 (Transferências UE/EEE) acima com as seguintes modificações:
(a) Todas as referências às SCCs da UE a “Regulamento (UE) 2016/679” serão interpretadas como referências às Leis Suíças de Proteção de Dados, e referências a artigos específicos do “Regulamento (UE) 2016/679” serão substituídas pelo artigo ou seção equivalente das Leis Suíças de Proteção de Dados. Todas as referências às Leis de Proteção de Dados da UE nesta DPA serão interpretadas como referências às Leis Suíças de Proteção de Dados.
(b) Na Cláusula 13, a autoridade supervisora competente é o Comissário Federal Suíço para a Proteção de Dados e Informação.
(c) Na Cláusula 17, as SCCs da UE são regidas pelas leis da Suíça.
(d) Na Cláusula 18(b), as disputas serão resolvidas perante os tribunais da Suíça.
(e) Todas as referências a Estado-membro serão interpretadas como incluindo a Suíça e os titulares de dados na Suíça não são excluídos de executar seus direitos em seu local de residência habitual de acordo com a Cláusula 18(c).
1.3 Transferências para o Reino Unido. Quando dados pessoais protegidos pelas Leis de Proteção de Dados do Reino Unido são transferidos, direta ou indiretamente, para um país fora do Reino Unido que não está sujeito a uma decisão de adequação, aplica-se o seguinte:
(a) As Cláusulas Padrão da UE aplicam-se conforme estabelecido na Seção 1.1 (Transferências UE/EEE) acima com as seguintes modificações:
(i) Cada parte será considerada como tendo assinado o Adendo do Reino Unido.
(ii) Para a Tabela 1 do Adendo do Reino Unido, as informações de contato principais das partes estão localizadas no Contrato de Assinatura e/ou no respectivo SOW.
(iii) Para a Tabela 2 do Adendo do Reino Unido, as informações relevantes sobre a versão dos SCCs da UE, os módulos e as cláusulas selecionadas aos quais este Adendo do Reino Unido é anexado estão localizadas acima na Seção 1.1 (Transferências da UE/EEE).
(iv) Para a Tabela 3 do Adendo do Reino Unido:
(A) As informações necessárias para o Anexo 1A estão localizadas no Contrato de Assinatura e/ou nas SOW relevantes.
(B) As informações exigidas para o Anexo 1B estão localizadas no Anexo 1 (Descrição do Processamento) desta Assinatura de Processamento de Dados.
(C) As informações necessárias para o Anexo II estão localizadas em https://mtechsystems.io/legal/security-measures/.
As informações necessárias para o Anexo III estão localizadas na Seção 5 deste DPA.
(b) Na Tabela 4 do Adendo do Reino Unido, tanto o importador de dados quanto o exportador de dados podem rescindir o Adendo do Reino Unido.
2. Estados Unidos da América
2.1 Aplicabilidade. Os seguintes termos aplicam-se quando a MTech processa dados pessoais sujeitos às Leis de Privacidade dos Estados dos EUA.
2.2 Processamento nos EUA. Na medida em que os dados pessoais do Assinante incluam informações pessoais protegidas pelas Leis de Privacidade de Estados dos EUA que a MTech processa como prestadora de serviços ou processadora em nome do Assinante, a MTech processará tais informações pessoais de acordo com as Leis de Privacidade de Estados dos EUA, incluindo o cumprimento das seções aplicáveis das Leis de Privacidade de Estados dos EUA e a prestação do mesmo nível de proteção de privacidade exigido pelas Leis de Privacidade de Estados dos EUA, e de acordo com as Instruções Documentadas do Assinante, conforme necessário para os fins limitados e especificados identificados na Seção 6 do Anexo 1 (Descrição do Processamento) deste DPA. A MTech não irá:
(a) reter, usar, divulgar ou processar de outra forma tais informações pessoais para fins comerciais que não sejam os fins limitados e especificados identificados neste DPA, no Contrato de Assinatura e/ou em quaisquer SOWs relevantes, ou para operações internas, melhoria de serviços, segurança, prevenção de fraudes, conformidade legal ou criação de dados anonimizados ou agregados;
(b) “vender” ou “compartilhar” tais informações pessoais no sentido das Leis de Privacidade dos Estados dos EUA; e
(c) reter, usar, divulgar ou processar de outra forma tais informações pessoais fora do relacionamento comercial direto com o Assinante e não combinar informações pessoais do Assinante com informações pessoais que receba de outras fontes, exceto conforme necessário para fornecer os Serviços de Assinatura ou conforme permitido pelas Leis de Privacidade dos Estados dos EUA.
2.3 Dever de Informar. A MTech informará ao Assinante caso determine que não pode mais cumprir suas obrigações sob as Leis de Privacidade dos Estados dos EUA.
2.4 Passos Razoáveis e Adequados. O Assinante poderá tomar medidas razoáveis e apropriadas para interromper e remediar qualquer processamento não autorizado de informações pessoais do Assinante.
2.5 Dados anonimizados. Na medida em que o Assinante divulgar ou de outra forma disponibilizar dados anonimizados para a MTech ou na medida em que a MTech criar dados anonimizados a partir de Dados do Assinante e informações pessoais, em cada caso em sua capacidade de provedor de serviços, a MTech irá:
(a) adotar medidas razoáveis para impedir que tais dados anonimizados sejam usados para inferir informações sobre, ou de outra forma serem vinculados a, uma pessoa física ou agregado familiar específico;
(b) manter tais dados anonimizados em forma anonimizada e não tentar reidentificar os dados anonimizados, exceto que a MTech poderá tentar reidentificar tais dados unicamente com o propósito de determinar se seus processos de anonimização estão em conformidade com as Leis de Privacidade dos Estados dos EUA; e
(c) antes de compartilhar dados anonimizados com qualquer terceiro, incluindo subcontratados, prestadores de serviços ou outros terceiros, garantir que tais destinatários se comprometam contratualmente a cumprir requisitos substancialmente semelhantes aos estabelecidos nesta Seção 2.
3. Brasil
3.1 Aplicabilidade da LGPD. As partes garantem e asseguram que processarão dados pessoais em conformidade com a legislação aplicável, incluindo, mas não se limitando à LGPD e a quaisquer outras legislações e normas aplicáveis ao tratamento de dados pessoais que possuam efeitos extraterritoriais e que afetem as partes e/ou as transações incluídas pelo Contrato de Assinatura, visando única e exclusivamente a oferta dos serviços ao Assinante.
3.2 Transferências Brasileiras. Quando dados pessoais protegidos pela LGPD forem transferidos, direta ou indiretamente, para país estrangeiro que não seja destinatário de decisão de adequação emitida pela Autoridade Nacional de Proteção de Dados (ANPD), aplica-se o seguinte:
(a) As Cláusulas Contratuais Padrão brasileiras ficam, por meio desta,
(i) O Assinante é o “exportador de dados” e a MTech é a “importadora de dados”.
(ii) Ao celebrar este DPA, cada parte é considerada como tendo assinado as SCCs Brasileiras a partir da data de início do Contrato de Assinatura.
(b) Os SCCs brasileiros são preenchidos da seguinte forma:
(i) A Cláusula 1 (Identificação das Partes) dos SCCs será considerada preenchida com as informações estabelecidas no Contrato de Assinatura.
(ii) A Cláusula 2 (Objeto) dos SCCs será considerada completa com as informações estabelecidas no Anexo 1 deste DPA.
(iii) A Cláusula 3 (Transferências Posteriores) dos SCCs será considerada completa com as informações estabelecidas no Anexo 1 deste DPA.
(iv) Cláusula 4 (Responsabilidades das Partes) do SCCs: Aplica-se a Opção A, e o exportador de dados será responsável pelo cumprimento das obrigações estabelecidas nas alíneas 4.1 (a)-(c).
(v) A Seção III (Medidas de Segurança) dos SCCs será considerada completa com as informações estabelecidas na Seção 4 deste DPA.
