SCC2021 Processador para processador

Isenção de responsabilidade: este documento foi gerado com base no texto disponível em https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en#ntc12-L_2021199EN.01003701-E0012 e é fornecido para fins de conveniência.
Ele não deve ser considerado um texto oficial ou uma orientação jurídica.

---

CLÁUSULAS CONTRATUAIS PADRÃO

Processador para processador

SEÇÃO I

Cláusula 1

Objetivo e escopo

1. 1. O objetivo destas cláusulas contratuais padrão é garantir a conformidade com os requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados) ([1]) para a transferência de dados pessoais para um terceiro país.
   2. As partes:
      1. a(s) pessoa(s) física(s) ou jurídica(s), autoridade(s) pública(s), agência(s) ou outro(s) órgão(s) (doravante denominada(s) “entidade(s)”) que transfere(m) os dados pessoais, conforme listado no Anexo I.A (doravante denominado “exportador de dados”), e
      2. a(s) entidade(s) em um terceiro país que receber(em) os dados pessoais do exportador de dados, direta ou indiretamente, por meio de outra entidade que também seja Parte destas Cláusulas, conforme listado no Anexo I.A (doravante denominada “importador de dados”) concordou(aram) com estas cláusulas contratuais padrão (doravante denominadas “Cláusulas”).
   3. Estas Cláusulas se aplicam com relação à transferência de dados pessoais, conforme especificado no Anexo I.B.
   4. O Apêndice a estas Cláusulas, contendo os Anexos nele mencionados, é parte integrante destas Cláusulas.

Cláusula 2Efeito e invariabilidade das Cláusulas

1. Estas Cláusulas estabelecem salvaguardas apropriadas, incluindo direitos executáveis do titular dos dados e recursos legais eficazes, nos termos do artigo 46(1) e do artigo 46(2)(c) do Regulamento (UE) 2016/679 e, com relação às transferências de dados de controladores para processadores e/ou processadores para processadores, cláusulas contratuais padrão nos termos do artigo 28(7) do Regulamento (UE) 2016/679, desde que não sejam modificadas, exceto para selecionar o(s) Módulo(s) apropriado(s) ou para adicionar ou atualizar informações no Apêndice.
   Isso não impede que as Partes incluam as cláusulas contratuais padrão estabelecidas nestas Cláusulas em um contrato mais amplo e/ou acrescentem outras cláusulas ou garantias adicionais, desde que não contradigam, direta ou indiretamente, estas Cláusulas ou prejudiquem os direitos ou liberdades fundamentais dos titulares dos dados.
2. Estas Cláusulas não prejudicam as obrigações às quais o exportador de dados está sujeito em virtude do Regulamento (UE) 2016/679.

Cláusula 3Terceiros beneficiários

1. Os titulares de dados podem invocar e aplicar essas Cláusulas, como terceiros beneficiários, contra o exportador e/ou importador de dados, com as seguintes exceções:

(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

(ii) Cláusula 8.1(a),
(c) e
(d) e Cláusula 8.9(a),
(c),
(d),
(e),
(f) e
(g);

(iii) Cláusula 9(a),
(c),
(d) e
(e);

(iv) Cláusula 12(a), (d) e (f);

(v) Cláusula 13;

(vi) Cláusula 15.1(c), (d) e (e);

(vii) Cláusula 16(e);

(viii) Cláusula 18(a) e (b).

O parágrafo (a) não prejudica os direitos dos titulares de dados nos termos do Regulamento (UE) 2016/679.

Cláusula 4Interpretação

1. Quando estas Cláusulas usarem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que no referido Regulamento.
2. Estas Cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
3. Estas Cláusulas não devem ser interpretadas de forma a conflitar com os direitos e obrigações previstos no Regulamento (UE) 2016/679.

Cláusula 5Hierarquia Em caso de contradição entre as presentes Cláusulas e as disposições de contratos conexos entre as Partes, existentes no momento da pactuação das presentes Cláusulas ou celebrados posteriormente, prevalecerão as presentes Cláusulas. Cláusula 6Descrição da(s) transferência (s) Os detalhes da(s) transferência(s) e, em particular, as categorias de dados pessoais que são transferidos e a(s) finalidade(s) para a(s) qual(is) eles são transferidos, estão especificados no Anexo I.B. Cláusula 7 – OpcionalCláusula de atracação

1. Uma entidade que não seja Parte destas Cláusulas poderá, com o acordo das Partes, aderir a estas Cláusulas a qualquer momento, seja como exportador ou importador de dados, preenchendo o Apêndice e assinando o Anexo I.A.
2. Depois de preencher o Apêndice e assinar o Anexo I.A, a entidade aderente se tornará uma Parte destas Cláusulas e terá os direitos e obrigações de um exportador ou importador de dados de acordo com sua designação no Anexo I.A.
3. A entidade aderente não terá direitos ou obrigações decorrentes destas Cláusulas no período anterior à sua adesão.

SEÇÃO II – OBRIGAÇÕES DAS PARTESCláusula 8Salvaguardas de proteção de dados O exportador de dados garante que envidou esforços razoáveis para determinar que o importador de dados é capaz, por meio da implementação de medidas técnicas e organizacionais apropriadas, de cumprir suas obrigações nos termos destas Cláusulas. 8.1 Instruções

1. O exportador de dados informou ao importador de dados que atua como processador de acordo com as instruções de seu(s) controlador(es), que o exportador de dados disponibilizará ao importador de dados antes do processamento.
2. O importador de dados processará os dados pessoais somente com base em instruções documentadas do controlador, conforme comunicadas ao importador de dados pelo exportador de dados, e em quaisquer instruções documentadas adicionais do exportador de dados.
   Essas instruções adicionais não devem entrar em conflito com as instruções do controlador.
   O controlador ou o exportador de dados poderá dar instruções documentadas adicionais com relação ao processamento de dados durante a vigência do contrato.
3. O importador de dados deve informar imediatamente o exportador de dados se não puder seguir essas instruções.
   Quando o importador de dados não puder seguir as instruções do controlador, o exportador de dados deverá notificar imediatamente o controlador.
4. O exportador de dados garante que impôs ao importador de dados as mesmas obrigações de proteção de dados estabelecidas no contrato ou em outro ato jurídico nos termos da legislação da União ou do Estado-Membro entre o controlador e o exportador de dados ([2]).

8.2 Limitação da finalidade O importador de dados processará os dados pessoais somente para a(s) finalidade(s) específica(s) da transferência, conforme estabelecido no Anexo I.B., a menos que receba instruções adicionais do controlador, conforme comunicado ao importador de dados pelo exportador de dados ou pelo exportador de dados. 8.3 Transparência Mediante solicitação, o exportador de dados disponibilizará uma cópia destas Cláusulas, incluindo o Apêndice, conforme preenchido pelas Partes, ao titular dos dados gratuitamente.
Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, inclusive dados pessoais, o exportador de dados poderá redigir parte do texto do Apêndice antes de compartilhar uma cópia, mas deverá fornecer um resumo significativo quando o titular dos dados não puder, de outra forma, compreender seu conteúdo ou exercer seus direitos.
Mediante solicitação, as Partes fornecerão ao titular dos dados os motivos das redações, na medida do possível, sem revelar as informações redigidas. 8.4 Exatidão Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são imprecisos ou estão desatualizados, ele deverá informar o exportador de dados sem atrasos indevidos.
Nesse caso, o importador de dados deverá cooperar com o exportador de dados para retificar ou apagar os dados.
8.5 Duração do processamento e apagamento ou devolução dos dados O processamento pelo importador de dados deverá ocorrer somente durante o período especificado no Anexo I.B. Após o término da prestação dos serviços de processamento, o importador de dados deverá, a critério do exportador de dados, apagar todos os dados pessoais processados em nome do controlador e certificar ao exportador de dados que o fez, ou devolver ao exportador de dados todos os dados pessoais processados em seu nome e apagar as cópias existentes.
Até que os dados sejam excluídos ou devolvidos, o importador de dados deverá continuar a garantir a conformidade com estas Cláusulas.
No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou a exclusão dos dados pessoais, o importador de dados garante que continuará a garantir a conformidade com estas Cláusulas e que somente os processará na medida e pelo tempo exigidos pela lei local.
Isso não prejudica a Cláusula 14, em particular a exigência de que o importador de dados, de acordo com a Cláusula 14(e), notifique o exportador de dados durante toda a vigência do contrato se tiver motivos para acreditar que está ou se tornou sujeito a leis ou práticas que não estejam de acordo com as exigências da Cláusula 14(a). 8.6 Segurança do processamento

1. O importador de dados e, durante a transmissão, também o exportador de dados devem aplicar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo a proteção contra uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados a esses dados (doravante denominada “violação de dados pessoais”).
   Ao avaliar o nível adequado de segurança, as partes levarão em devida conta o estado da técnica, os custos de implementação, a natureza, o escopo, o contexto e a(s) finalidade(s) do processamento e os riscos envolvidos no processamento para o titular dos dados.
   As Partes deverão considerar, em especial, o recurso à criptografia ou pseudonimização, inclusive durante a transmissão, quando a finalidade do processamento puder ser cumprida dessa forma.
   Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico deverão, sempre que possível, permanecer sob o controle exclusivo do exportador de dados ou do controlador.
   Ao cumprir as obrigações previstas neste parágrafo, o importador de dados deverá, no mínimo, implementar as medidas técnicas e organizacionais especificadas no Anexo II.
   O importador de dados deve realizar verificações regulares para garantir que essas medidas continuem a proporcionar um nível adequado de segurança.
2. O importador de dados concederá acesso aos dados aos membros de seu pessoal somente na medida estritamente necessária para a implementação, gerenciamento e monitoramento do contrato.
   Ele deverá garantir que as pessoas autorizadas a processar os dados pessoais tenham se comprometido com a confidencialidade ou estejam sob uma obrigação legal apropriada de confidencialidade.
3. No caso de uma violação de dados pessoais relativa a dados pessoais processados pelo importador de dados nos termos destas Cláusulas, o importador de dados tomará as medidas apropriadas para resolver a violação, inclusive medidas para mitigar seus efeitos adversos.
   O importador de dados também notificará, sem atrasos indevidos, o exportador de dados e, quando apropriado e viável, o controlador após tomar conhecimento da violação.
   Essa notificação deve conter os detalhes de um ponto de contato onde mais informações possam ser obtidas, uma descrição da natureza da violação (incluindo, quando possível, as categorias e o número aproximado de titulares de dados e registros de dados pessoais em questão), suas consequências prováveis e as medidas tomadas ou propostas para solucionar a violação de dados, incluindo medidas para atenuar seus possíveis efeitos adversos.
   Quando, e na medida em que, não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial deverá conter as informações disponíveis no momento e outras informações deverão ser fornecidas posteriormente, à medida que estiverem disponíveis, sem atrasos indevidos.
4. O importador de dados deve cooperar e auxiliar o exportador de dados para permitir que este cumpra suas obrigações nos termos do Regulamento (UE) 2016/679, em especial notificar seu controlador para que este possa, por sua vez, notificar a autoridade supervisora competente e os titulares de dados afetados, levando em conta a natureza do processamento e as informações disponíveis para o importador de dados.

8.7 Dados sensíveis Quando a transferência envolver dados pessoais que revelem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou filiação sindical, dados genéticos ou dados biométricos para fins de identificação exclusiva de uma pessoa física, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa ou dados relativos a condenações penais e infrações (doravante denominados “dados sensíveis”), o importador de dados aplicará as restrições específicas e/ou garantias adicionais estabelecidas no Anexo I.B.
8.8 Transferências posteriores O importador de dados somente divulgará os dados pessoais a terceiros mediante instruções documentadas do controlador, conforme comunicado ao importador de dados pelo exportador de dados.
Além disso, os dados somente poderão ser divulgados a um terceiro localizado fora da União Europeia ([3]) (no mesmo país que o importador de dados ou em outro país terceiro, doravante denominada “transferência subsequente”) se o terceiro estiver ou concordar em se vincular a estas Cláusulas, sob o Módulo apropriado, ou se:

1. a transferência subsequente é para um país que se beneficia de uma decisão de adequação nos termos do artigo 45 do Regulamento (UE) 2016/679 que abrange a transferência subsequente;
2. o terceiro garanta de outra forma as salvaguardas apropriadas de acordo com os artigos 46 ou 47 do Regulamento (UE) 2016/679;
3. A transferência subsequente é necessária para o estabelecimento, exercício ou defesa de reivindicações legais no contexto de processos administrativos, regulatórios ou judiciais específicos; ou
4. a transferência subsequente é necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa física.

Qualquer transferência subsequente está sujeita à conformidade do importador de dados com todas as outras proteções previstas nestas Cláusulas, em especial a limitação de finalidade. 8.9 Documentação e conformidade

1. O importador de dados deverá tratar pronta e adequadamente as consultas do exportador de dados ou do controlador relacionadas ao processamento nos termos destas Cláusulas.
2. As Partes deverão ser capazes de demonstrar a conformidade com essas Cláusulas.
   Em especial, o importador de dados deverá manter a documentação adequada sobre as atividades de processamento realizadas em nome do controlador.
3. O importador de dados disponibilizará todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nestas Cláusulas ao exportador de dados, que as fornecerá ao controlador.
4. O importador de dados deverá permitir e contribuir para auditorias pelo exportador de dados das atividades de processamento abrangidas por estas Cláusulas, em intervalos razoáveis ou se houver indícios de não conformidade.
   O mesmo se aplicará quando o exportador de dados solicitar uma auditoria por instruções do controlador.
   Ao decidir sobre uma auditoria, o exportador de dados poderá levar em conta as certificações relevantes mantidas pelo importador de dados.
5. Quando a auditoria for realizada sob as instruções do controlador, o exportador de dados deverá disponibilizar os resultados para o controlador.
6. O exportador de dados pode optar por realizar a auditoria por conta própria ou solicitar um auditor independente.
   As auditorias podem incluir inspeções nas dependências ou instalações físicas do importador de dados e devem, quando apropriado, ser realizadas com aviso prévio razoável.
7. As Partes deverão fornecer as informações mencionadas nos parágrafos
   (b) e
   (c), incluindo os resultados de quaisquer auditorias, serão disponibilizadas à autoridade supervisora competente, mediante solicitação.

Cláusula 9Uso de subprocessadores

1. OPÇÃO 1: AUTORIZAÇÃO PRÉVIA ESPECÍFICA O importador de dados não subcontratará nenhuma de suas atividades de processamento realizadas em nome do exportador de dados nos termos destas Cláusulas a um subprocessador sem a autorização prévia específica por escrito do controlador.
   O importador de dados deverá apresentar a solicitação de autorização específica pelo menos[Especificar o período de tempo] antes da contratação do subprocessador, juntamente com as informações necessárias para permitir que o controlador decida sobre a autorização.
   Ele informará o exportador de dados sobre essa contratação.
   A lista de subprocessadores já autorizados pelo controlador pode ser encontrada no Anexo III.
   As Partes manterão o Anexo III atualizado.OPÇÃO 2: AUTORIZAÇÃO GERAL POR ESCRITO O importador de dados tem a autorização geral do controlador para a contratação de subprocessador(es) de uma lista acordada.
   O importador de dados deve informar especificamente o controlador, por escrito, sobre quaisquer alterações pretendidas nessa lista por meio da adição ou substituição de subprocessadores com pelo menos[Especificar período de tempo] de antecedência, dando assim ao controlador tempo suficiente para poder se opor a essas alterações antes da contratação do(s) subprocessador(es).
   O importador de dados fornecerá ao controlador as informações necessárias para que o controlador possa exercer seu direito de objeção.
   O importador de dados informará o exportador de dados sobre a contratação do(s) subprocessador(es).
2. Quando o importador de dados contratar um subprocessador para realizar atividades de processamento específicas (em nome do controlador), ele deverá fazê-lo por meio de um contrato por escrito que preveja, em substância, as mesmas obrigações de proteção de dados que vinculam o importador de dados nos termos destas Cláusulas, inclusive em termos de direitos de terceiros beneficiários para os titulares dos dados. ([4]) As Partes concordam que, ao cumprir esta Cláusula, o importador de dados cumpre suas obrigações nos termos da Cláusula 8.8.
   O importador de dados deverá garantir que o subprocessador cumpra as obrigações às quais o importador de dados está sujeito nos termos destas Cláusulas.
3. O importador de dados deverá fornecer, mediante solicitação do exportador de dados ou do controlador, uma cópia de tal contrato de subprocessador e quaisquer alterações subsequentes.
   Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, inclusive dados pessoais, o importador de dados poderá redigir o texto do contrato antes de compartilhar uma cópia.
4. O importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subprocessador nos termos de seu contrato com o importador de dados.
   O importador de dados notificará o exportador de dados sobre qualquer falha do subprocessador em cumprir suas obrigações nos termos desse contrato.
5. O importador de dados acordará uma cláusula de terceiro beneficiário com o subprocessador, segundo a qual – caso o importador de dados tenha desaparecido de fato, deixado de existir legalmente ou se tornado insolvente – o exportador de dados terá o direito de rescindir o contrato de subprocessador e de instruir o subprocessador a apagar ou devolver os dados pessoais.

Cláusula 10Direitos do titular dos dados

1. O importador de dados deve notificar imediatamente o exportador de dados e, quando apropriado, o controlador de qualquer solicitação que tenha recebido de um titular de dados, sem responder a essa solicitação, a menos que tenha sido autorizado a fazê-lo pelo controlador.
2. O importador de dados deve ajudar, se necessário em cooperação com o exportador de dados, o responsável pelo tratamento a cumprir as suas obrigações de responder aos pedidos dos titulares de dados para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável.
   A esse respeito, as Partes estabelecerão no Anexo II as medidas técnicas e organizacionais adequadas, levando em conta a natureza do processamento, por meio das quais a assistência será prestada, bem como o escopo e a extensão da assistência necessária.
3. No cumprimento de suas obrigações previstas nos parágrafos
   (a) e
   (b), o importador de dados deverá cumprir as instruções do controlador, conforme comunicadas pelo exportador de dados.

Cláusula 11Reparação

1. O importador de dados deve informar aos titulares dos dados, de forma transparente e facilmente acessível, por meio de notificação individual ou em seu site, sobre um ponto de contato autorizado a lidar com reclamações. O importador de dados concorda que os titulares de dados também podem apresentar uma reclamação a um órgão independente de resolução de disputas ([5]) sem custo para o titular dos dados.
   A empresa deverá informar aos titulares dos dados, na forma estabelecida no parágrafo (a), sobre esse mecanismo de reparação e que eles não são obrigados a usá-lo ou a seguir uma sequência específica na busca de reparação].
2. Em caso de litígio entre um titular de dados e uma das Partes no que diz respeito à conformidade com estas Cláusulas, a Parte deverá envidar seus melhores esforços para resolver a questão de forma amigável e em tempo hábil.
   As Partes deverão manter-se mutuamente informadas sobre tais disputas e, quando apropriado, cooperar para resolvê-las.
3. Quando o titular dos dados invocar um direito de terceiro beneficiário nos termos da Cláusula 3, o importador de dados aceitará a decisão do titular dos dados de:
   1. apresentar uma reclamação à autoridade supervisora no Estado Membro de sua residência habitual ou local de trabalho, ou à autoridade supervisora competente nos termos da Cláusula 13;
   2. encaminhar a disputa aos tribunais competentes, de acordo com o significado da Cláusula 18.
4. As Partes aceitam que o titular dos dados pode ser representado por um órgão, organização ou associação sem fins lucrativos nas condições estabelecidas no artigo 80(1) do Regulamento (UE) 2016/679.
5. O importador de dados deve obedecer a uma decisão que seja vinculativa nos termos da legislação aplicável da UE ou do Estado Membro.
6. O importador de dados concorda que a escolha feita pelo titular dos dados não prejudicará seus direitos substantivos e processuais de buscar soluções de acordo com as leis aplicáveis.

Cláusula 12Responsabilidade civil

1. Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos que causar(em) à(s) outra(s) Parte(s) por qualquer violação destas Cláusulas.
2. O importador de dados será responsável perante o titular dos dados, e o titular dos dados terá o direito de receber indenização, por quaisquer danos materiais ou morais que o importador de dados ou seu subprocessador causar ao titular dos dados por violar os direitos de terceiros beneficiários nos termos destas Cláusulas.
3. Não obstante o parágrafo (b), o exportador de dados será responsável perante o titular dos dados, e o titular dos dados terá o direito de receber uma indenização, por quaisquer danos materiais ou morais que o exportador de dados ou o importador de dados (ou seu subprocessador) causar ao titular dos dados por violar os direitos de terceiros beneficiários nos termos destas Cláusulas.
   Isso não prejudica a responsabilidade do exportador de dados e, quando o exportador de dados for um processador agindo em nome de um controlador, a responsabilidade do controlador nos termos do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável.
4. As Partes concordam que, se o exportador de dados for considerado responsável, nos termos do parágrafo (c), por danos causados pelo importador de dados (ou seu subprocessador), ele terá o direito de reivindicar do importador de dados a parte da indenização correspondente à responsabilidade do importador de dados pelo dano.
5. Quando mais de uma Parte for responsável por qualquer dano causado ao titular dos dados como resultado de uma violação destas Cláusulas, todas as Partes responsáveis serão conjunta e solidariamente responsáveis e o titular dos dados terá o direito de mover uma ação judicial contra qualquer uma dessas Partes.
6. As Partes concordam que, se uma Parte for considerada responsável nos termos do parágrafo (e), ela terá o direito de reivindicar da(s) outra(s) Parte(s) a parte da indenização correspondente à sua responsabilidade pelo dano.
7. O importador de dados não pode invocar a conduta de um subprocessador para evitar sua própria responsabilidade.

Cláusula 13Supervisão

1. [Where the data exporter is established in an EU Member State:] A autoridade supervisora responsável por garantir a conformidade do exportador de dados com o Regulamento (UE) 2016/679 no que diz respeito à transferência de dados, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente. [Quando o exportador de dados não estiver estabelecido em um Estado-Membro da UE, mas estiver abrangido pelo escopo territorial de aplicação do Regulamento (UE) 2016/679 de acordo com seu artigo 3(2) e tiver nomeado um representante nos termos do artigo 27(1) do Regulamento (UE) 2016/679:] A autoridade supervisora do Estado Membro no qual o representante, na acepção do artigo 27(1) do Regulamento (UE) 2016/679, está estabelecido, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente. [Quando o exportador de dados não estiver estabelecido em um Estado Membro da UE, mas estiver dentro do escopo territorial de aplicação do Regulamento (UE) 2016/679 de acordo com seu Artigo 3(2) sem, no entanto, ter que nomear um representante de acordo com o Artigo 27(2) do Regulamento (UE) 2016/679:] A autoridade supervisora de um dos Estados-Membros nos quais os titulares de dados cujos dados pessoais são transferidos de acordo com estas Cláusulas em relação à oferta de bens ou serviços a eles, ou cujo comportamento é monitorado, estão localizados, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.
2. O importador de dados concorda em se submeter à jurisdição da autoridade supervisora competente e cooperar com ela em quaisquer procedimentos destinados a garantir a conformidade com estas Cláusulas.
   Em particular, o importador de dados concorda em responder a consultas, submeter-se a auditorias e cumprir as medidas adotadas pela autoridade supervisora, incluindo medidas corretivas e compensatórias.
   Ele deverá fornecer à autoridade supervisora uma confirmação por escrito de que as medidas necessárias foram tomadas.

SEÇÃO III – LEIS E OBRIGAÇÕES LOCAIS EM CASO DE ACESSO POR AUTORIDADES PÚBLICASCláusula 14Leis e práticas locais que afetam a conformidade com as Cláusulas

1. 1. As Partes garantem que não têm motivos para acreditar que as leis e práticas do terceiro país de destino aplicáveis ao processamento dos dados pessoais pelo importador de dados, incluindo quaisquer requisitos de divulgação de dados pessoais ou medidas que autorizem o acesso por autoridades públicas, impeçam o importador de dados de cumprir suas obrigações nos termos destas Cláusulas.
      Isso se baseia no entendimento de que as leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o que é necessário e proporcional em uma sociedade democrática para salvaguardar um dos objetivos listados no Artigo 23(1) do Regulamento (UE) 2016/679 não estão em contradição com estas Cláusulas.
   2. As Partes declaram que, ao fornecer a garantia mencionada no parágrafo (a), levaram em devida conta, em particular, os seguintes elementos:
      1. As circunstâncias específicas da transferência, inclusive a extensão da cadeia de processamento, o número de agentes envolvidos e os canais de transmissão usados; as transferências posteriores pretendidas; o tipo de destinatário; a finalidade do processamento; as categorias e o formato dos dados pessoais transferidos; o setor econômico no qual a transferência ocorre; o local de armazenamento dos dados transferidos;
      2. as leis e práticas do terceiro país de destino – inclusive aquelas que exigem a divulgação de dados a autoridades públicas ou que autorizam o acesso por tais autoridades – relevantes à luz das circunstâncias específicas da transferência, e as limitações e salvaguardas aplicáveis ([6]);
      3. quaisquer salvaguardas contratuais, técnicas ou organizacionais relevantes implementadas para complementar as salvaguardas previstas nestas Cláusulas, incluindo medidas aplicadas durante a transmissão e o processamento dos dados pessoais no país de destino.
   3. O importador de dados garante que, ao realizar a avaliação nos termos do parágrafo (b), envidou seus melhores esforços para fornecer ao exportador de dados informações relevantes e concorda que continuará a cooperar com o exportador de dados para garantir a conformidade com estas Cláusulas.
   4. As Partes concordam em documentar a avaliação nos termos do parágrafo (b) e disponibilizá-la à autoridade supervisora competente, mediante solicitação.
   5. O importador de dados concorda em notificar prontamente o exportador de dados se, após ter concordado com estas Cláusulas e durante a vigência do contrato, tiver motivos para acreditar que está ou se tornou sujeito a leis ou práticas que não estejam de acordo com os requisitos do parágrafo (a), inclusive após uma alteração nas leis do país terceiro ou uma medida (como uma solicitação de divulgação) que indique uma aplicação dessas leis na prática que não esteja de acordo com os requisitos do parágrafo (a).
      O exportador de dados encaminhará a notificação ao controlador.
   6. Após uma notificação nos termos do parágrafo (e), ou se o exportador de dados tiver motivos para acreditar que o importador de dados não poderá mais cumprir suas obrigações nos termos destas Cláusulas, o exportador de dados identificará prontamente as medidas adequadas (por exemplo, medidas técnicas ou organizacionais para garantir a segurança e a confidencialidade) a serem adotadas pelo exportador de dados e/ou importador de dados para resolver a situação, se for o caso, em consulta com o controlador. O exportador de dados suspenderá a transferência de dados se considerar que não é possível garantir salvaguardas adequadas para essa transferência, ou se receber instruções do controlador ou da autoridade supervisora competente para fazê-lo. Nesse caso, o exportador de dados terá o direito de rescindir o contrato, na medida em que ele se refira ao processamento de dados pessoais de acordo com estas Cláusulas. Se o contrato envolver mais de duas Partes, o exportador de dados poderá exercer esse direito de rescisão somente com relação à Parte relevante, a menos que as Partes tenham acordado de outra forma. Quando o contrato for rescindido de acordo com esta Cláusula, aplicar-se-á a Cláusula 16(d) e (e).

Cláusula 15Obrigações do importador de dados em caso de acesso por autoridades públicas15.1 Notificação

1. 1. O importador de dados concorda em notificar prontamente o exportador de dados e, quando possível, o titular dos dados (se necessário, com a ajuda do exportador de dados), caso o senhor
      1. receber uma solicitação legalmente vinculante de uma autoridade pública, incluindo autoridades judiciais, de acordo com as leis do país de destino, para a divulgação de dados pessoais transferidos de acordo com estas Cláusulas; essa notificação deverá incluir informações sobre os dados pessoais solicitados, a autoridade solicitante, a base legal para a solicitação e a resposta fornecida; ou
      2. tomar conhecimento de qualquer acesso direto de autoridades públicas a dados pessoais transferidos de acordo com estas Cláusulas, em conformidade com as leis do país de destino; essa notificação deverá incluir todas as informações disponíveis ao importador.
         • Se o importador de dados for proibido de notificar o exportador de dados e/ou o titular dos dados de acordo com as leis do país de destino, o importador de dados concorda em envidar seus melhores esforços para obter uma isenção da proibição, com o objetivo de comunicar o máximo de informações possível, o mais rápido possível.
           O importador de dados concorda em documentar seus melhores esforços a fim de poder demonstrá-los mediante solicitação do exportador de dados.
         • Quando permitido pelas leis do país de destino, o importador de dados concorda em fornecer ao exportador de dados, em intervalos regulares durante a vigência do contrato, o máximo possível de informações relevantes sobre as solicitações recebidas (em particular, número de solicitações, tipo de dados solicitados, autoridade(s) solicitante(s), se as solicitações foram contestadas e o resultado de tais contestações, etc.).
           O exportador de dados deverá encaminhar as informações ao controlador.
         • O importador de dados concorda em preservar as informações de acordo com os parágrafos (a) a (c) durante a vigência do contrato e disponibilizá-las à autoridade supervisora competente mediante solicitação.
         • Os parágrafos (a) a (c) não prejudicam a obrigação do importador de dados, de acordo com a Cláusula 14(e) e a Cláusula 16, de informar prontamente o exportador de dados quando não puder cumprir essas Cláusulas.

      15.2 Revisão da legalidade e minimização de dados

      1. O importador de dados concorda em analisar a legalidade da solicitação de divulgação, em particular se ela permanece dentro dos poderes concedidos à autoridade pública solicitante, e em contestar a solicitação se, após uma avaliação cuidadosa, concluir que há motivos razoáveis para considerar que a solicitação é ilegal de acordo com as leis do país de destino, as obrigações aplicáveis de acordo com o direito internacional e os princípios de cortesia internacional.
         O importador de dados deverá, sob as mesmas condições, buscar possibilidades de recurso.
         Ao contestar uma solicitação, o importador de dados deverá buscar medidas provisórias com o objetivo de suspender os efeitos da solicitação até que a autoridade judicial competente decida sobre seus méritos.
         O importador não divulgará os dados pessoais solicitados até que seja obrigado a fazê-lo de acordo com as regras processuais aplicáveis.
         Essas exigências não prejudicam as obrigações do importador de dados nos termos da Cláusula 14(e).
      2. O importador de dados concorda em documentar sua avaliação jurídica e qualquer contestação à solicitação de divulgação e, na medida do permitido pelas leis do país de destino, disponibilizar a documentação ao exportador de dados.
         Também deverá disponibilizá-la à autoridade supervisora competente, mediante solicitação.
         O exportador de dados disponibilizará a avaliação ao controlador.
      3. O importador de dados concorda em fornecer a quantidade mínima de informações permitida ao responder a uma solicitação de divulgação, com base em uma interpretação razoável da solicitação.

      SEÇÃO IV – DISPOSIÇÕES FINAISCláusula 16Não cumprimento das Cláusulas e rescisão

      1. O importador de dados deverá informar imediatamente o exportador de dados caso não possa cumprir essas Cláusulas, por qualquer motivo.
      2. No caso de o importador de dados violar estas Cláusulas ou não conseguir cumpri-las, o exportador de dados suspenderá a transferência de dados pessoais para o importador de dados até que a conformidade seja novamente assegurada ou o contrato seja rescindido.
         Isso não prejudica a Cláusula 14(f).
      3. O exportador de dados terá o direito de rescindir o contrato, no que diz respeito ao processamento de dados pessoais de acordo com estas Cláusulas, quando:
         1. o exportador de dados tiver suspendido a transferência de dados pessoais para o importador de dados nos termos do parágrafo (b) e a conformidade com estas Cláusulas não for restabelecida dentro de um prazo razoável e, em qualquer caso, dentro de um mês após a suspensão;
         2. o importador de dados estiver em violação substancial ou persistente destas Cláusulas; ou
         3. o importador de dados não cumprir uma decisão vinculante de um tribunal competente ou de uma autoridade supervisora com relação às suas obrigações nos termos destas Cláusulas, devendo, nesses casos, informar a autoridade supervisora competente e o controlador sobre tal descumprimento.
            Quando o contrato envolver mais de duas Partes, o exportador de dados poderá exercer esse direito de rescisão somente com relação à Parte relevante, a menos que as Partes tenham acordado de outra forma.
      4. Os dados pessoais que tenham sido transferidos antes da rescisão do contrato nos termos do parágrafo (c) deverão, a critério do exportador de dados, ser imediatamente devolvidos ao exportador de dados ou excluídos em sua totalidade.
         O mesmo se aplicará a quaisquer cópias dos dados.
         O importador de dados deverá certificar a exclusão dos dados ao exportador de dados.
         Até que os dados sejam excluídos ou devolvidos, o importador de dados deverá continuar a garantir a conformidade com estas Cláusulas.
         No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou a exclusão dos dados pessoais transferidos, o importador de dados garante que continuará a garantir a conformidade com estas Cláusulas e que somente processará os dados na medida e pelo tempo exigidos pela lei local.
      5. Qualquer uma das Partes poderá revogar seu acordo de vinculação a estas Cláusulas quando
         (i) a Comissão Europeia adotar uma decisão nos termos do artigo 45(3) do Regulamento (UE) 2016/679 que abranja a transferência de dados pessoais aos quais estas Cláusulas se aplicam; ou
         (ii) o Regulamento (UE) 2016/679 se tornar parte da estrutura jurídica do país para o qual os dados pessoais são transferidos.
         Isso não prejudica outras obrigações aplicáveis ao processamento em questão nos termos do Regulamento (UE) 2016/679.

      Cláusula 17Lei aplicável [OPÇÃO 1: Estas Cláusulas serão regidas pela lei de um dos Estados-Membros da UE, desde que tal lei permita direitos de terceiros beneficiários.
      As Partes concordam que essa será a lei de _______(especificar o Estado Membro)]. [OPÇÃO 2: Estas Cláusulas serão regidas pela legislação do Estado Membro da UE no qual o exportador de dados está estabelecido. Caso essa legislação não permita direitos de terceiros beneficiários, elas serão regidas pela legislação de outro Estado Membro da UE que permita direitos de terceiros beneficiários. As Partes concordam que essa será a lei de _______(especificar o Estado Membro)]. Cláusula 18Escolha de foro e jurisdição

      1. Qualquer litígio decorrente destas Cláusulas será resolvido pelos tribunais de um Estado Membro da UE.
      2. As Partes concordam que esses serão os tribunais de _____(especificar o Estado Membro).
      3. O titular dos dados também pode mover uma ação judicial contra o exportador e/ou importador de dados perante os tribunais do Estado Membro em que tem sua residência habitual.
      4. As Partes concordam em se submeter à jurisdição de tais tribunais.

      NOTA EXPLICATIVA DO APÊNDICE: Deve ser possível distinguir claramente as informações aplicáveis a cada transferência ou categoria de transferências e, nesse sentido, determinar a(s) respectiva(s) função(ões) das Partes como exportador(es) de dados e/ou importador(es) de dados.
      Isso não exige necessariamente o preenchimento e a assinatura de anexos separados para cada transferência/categoria de transferências e/ou relação contratual, quando essa transparência puder ser obtida por meio de um único anexo.
      Entretanto, quando necessário para garantir clareza suficiente, devem ser usados apêndices separados.

      ANEXO I

      A. LISTA DE PARTES

      Exportador(es) de dados:[Identidade e detalhes de contato do(s) exportador(es) de dados e, quando aplicável, de seu responsável pela proteção de dados e/ou representante na União Europeia].

      • Nome: ………………………………… Endereço: ………………………………. Nome, cargo e detalhes de contato da pessoa de contato: ………. …………………………………………………….. Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: ………………………………………………………. ………………………………………………………. Assinatura e data:………………… Função (controlador/processador):
      • ……….

      Importador(es) de dados:[Identidade e detalhes de contato do(s) importador(es) de dados, incluindo qualquer pessoa de contato responsável pela proteção de dados].

      • Nome: ………………………………. Endereço: …………………………….. Nome, cargo e detalhes de contato da pessoa de contato: ………. ……………………………………………………… Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: ………………………………………………………. ………………………………………………………. Assinatura e data: ………………… Função (controlador/processador):
      • ………….

      B. DESCRIÇÃO DA TRANSFERÊNCIA
      Categorias de titulares de dados cujos dados pessoais são transferidos … Categorias de dados pessoais transferidos … Dados confidenciais transferidos (se aplicável) e restrições ou salvaguardas aplicadas que levem totalmente em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas para funcionários que tenham seguido treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais.
      … A frequência da transferência (por exemplo, se os dados são transferidos de forma pontual ou contínua).
      … Natureza do processamento … Finalidade(s) da transferência de dados e processamento posterior … O período pelo qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período … Para transferências para (sub) processadores, especifique também o assunto, a natureza e a duração do processamento …

      C. AUTORIDADE SUPERVISORA COMPETENTEIdentifique a(s) autoridade(s) supervisora(s) competente(s) de acordo com a Cláusula 13 …

      ANEXO II

      MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS OBSERVAÇÃO EXPLICATIVA: As medidas técnicas e organizacionais devem ser descritas em termos específicos (e não genéricos).
      Consulte também o comentário geral na primeira página do Apêndice, em particular sobre a necessidade de indicar claramente quais medidas se aplicam a cada transferência/conjunto de transferências. Descrição das medidas técnicas e organizacionais implementadas pelo(s) importador(es) de dados (incluindo quaisquer certificações relevantes) para garantir um nível adequado de segurança, levando em conta a natureza, o escopo, o contexto e a finalidade do processamento, e os riscos para os direitos e liberdades das pessoas físicas.

      [Exemplos de medidas possíveis:

      Medidas de pseudonimização e criptografia de dados pessoais

      Medidas para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de processamento

      Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico

      Processos para testar, avaliar e comprovar regularmente a eficácia das medidas técnicas e organizacionais a fim de garantir a segurança do processamento

      Medidas para identificação e autorização do usuário

      Medidas de proteção de dados durante a transmissão

      Medidas para a proteção de dados durante o armazenamento

      Medidas para garantir a segurança física dos locais em que os dados pessoais são processados

      Medidas para garantir o registro de eventos

      Medidas para garantir a configuração do sistema, incluindo a configuração padrão

      Medidas para governança e gerenciamento internos de TI e segurança de TI

      Medidas para certificação/garantia de processos e produtos

      Medidas para garantir a minimização de dados

      Medidas para garantir a qualidade dos dados

      Medidas para garantir a retenção limitada de dados

      Medidas para garantir a responsabilidade

      Medidas para permitir a portabilidade de dados e garantir a exclusão].

      Para transferências para (sub) processadores, também descrever as medidas técnicas e organizacionais específicas a serem tomadas pelo (sub) processador para poder prestar assistência ao controlador e, no caso de transferências de um processador para um subprocessador, ao exportador de dados

      …

      ANEXO III

      LISTA DE SUBPROCESSADORES NOTA EXPLICATIVA: Este anexo deve ser preenchido no caso de autorização específica de subprocessadores (Cláusula 9(a), Opção 1).
      O controlador autorizou o uso dos seguintes subprocessadores:

      • Nome: ……………. Endereço: ………….. Nome, cargo e detalhes de contato da pessoa de contato: … Descrição do processamento (incluindo uma delimitação clara das responsabilidades, caso vários subprocessadores sejam autorizados): ……………………..
      • ………………….

      [1] Quando o exportador de dados for um processador sujeito ao Regulamento (UE) 2016/679 agindo em nome de uma instituição ou órgão da União como controlador, a confiança nestas Cláusulas ao contratar outro processador (subprocessamento) não sujeito ao Regulamento (UE) 2016/679 também garante a conformidade com o Artigo 29(4) do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho de 23 de outubro de 2018 sobre a proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais pelas instituições da União, órgãos, organismos e agências da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.º 45/2001 e a Decisão n.º 1247/2002/CE (
      JO L 295 de 21.11.2018, p. 39), na medida em que estas Cláusulas e as obrigações de proteção de dados estabelecidas no contrato ou outro ato jurídico entre o controlador e o processador nos termos do artigo 29(3) do Regulamento (UE) 2018/1725 estejam alinhadas.
      Esse será o caso, em particular, quando o controlador e o processador se basearem nas cláusulas contratuais padrão incluídas na Decisão 2021/915. [ 2] Veja o artigo 28(4) do Regulamento (UE) 2016/679 e, quando o controlador for uma instituição ou órgão da UE, o artigo 29(4) do Regulamento (UE) 2018/1725. [ 3] O Acordo sobre o Espaço Econômico Europeu (Acordo EEE) prevê a extensão do mercado interno da União Europeia aos três Estados do EEE: Islândia, Liechtenstein e Noruega.
      A legislação de proteção de dados da União, incluindo o Regulamento (UE) 2016/679, é abrangida pelo Acordo EEE e foi incorporada ao Anexo XI do mesmo.
      Portanto, qualquer divulgação pelo importador de dados a um terceiro localizado no EEE não se qualifica como uma transferência subsequente para os fins destas Cláusulas.
      [4] Essa exigência pode ser satisfeita pelo subprocessador que aderir a essas Cláusulas no Módulo apropriado, de acordo com a Cláusula 7.
      [5] O importador de dados poderá oferecer resolução independente de disputas por meio de um órgão de arbitragem somente se estiver estabelecido em um país que tenha ratificado a Convenção de Nova York sobre Execução de Sentenças Arbitrais.
      [6] Com relação ao impacto de tais leis e práticas sobre a conformidade com essas Cláusulas, diferentes elementos podem ser considerados como parte de uma avaliação geral.
      Tais elementos podem incluir experiência prática relevante e documentada com instâncias anteriores de solicitações de divulgação por parte de autoridades públicas, ou a ausência de tais solicitações, abrangendo um período de tempo suficientemente representativo.
      Isso se refere, em especial, a registros internos ou outra documentação, elaborados continuamente de acordo com a devida diligência e certificados em nível de gerência sênior, desde que essas informações possam ser legalmente compartilhadas com terceiros.
      Quando essa experiência prática for utilizada para concluir que o importador de dados não será impedido de cumprir essas Cláusulas, ela deverá ser apoiada por outros elementos relevantes e objetivos, e caberá às Partes considerar cuidadosamente se esses elementos juntos têm peso suficiente, em termos de confiabilidade e representatividade, para apoiar essa conclusão.
      Em especial, as Partes devem levar em consideração se sua experiência prática é corroborada e não contradita por informações confiáveis disponíveis publicamente ou acessíveis de outra forma sobre a existência ou ausência de solicitações no mesmo setor e/ou a aplicação da lei na prática, como jurisprudência e relatórios de órgãos de supervisão independentes.

      Faça o download agora