1. PRIVACIDADE E PROTEÇÃO DE DADOS

1. PRIVACY AND DATA PROTECTION

1.1. Estes “Termos e Condições de Uso do Aplicativo e Política de Privacidade” (“TERMOS E CONDIÇÕES”)é um acordo legal entre o licenciado (pessoa física ou jurídica) (o “LICENCIADO”) e a FILHO SEM FILA SOFTWARE LTDA. (SCHOOL GUARDIAN), doravante denominada simplesmente “FILHO SEM FILA”, única e exclusiva proprietária do aplicativo com foco no aviso de chegada de responsáveis para retirada de alunos dentre outros serviços adicionais, das marcas, nomes e do domínio associado à marca FILHO SEM FILA e SCHOOL GUARDIAN..

1.1.1 Os termos se aplicam aos aplicativos School Guardian, QRCode School Guardian e School Guardian - School Bus.

1.2.As partes declaram e garantem que compreendem e respeitarão as disposições do Marco Civil da Internet, Lei nº 12.965/14 ^[1], da Lei Geral de Proteção de Dados (“LGDP”), Lei nº 13.709/18 ^[2] e alterações posteriores, e das leis General Data Protection Regulation (“GDPR”) ^[3], da União Europeia, e a California Consumer Privacy Act of 2018 (“CCPA”)^[4] dos Estados Unidos da América.

1.3. Mesmo com a declaração acima, as partes se comprometem ainda a proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, relativos ao tratamento de dados pessoais, inclusive nos meios digitais, garantindo que:

1.4.Tratamento de Dados Pessoais. As Partes reconhecem que, em razão do objeto deste Contrato,  realizarão atividades de tratamento de informações relacionadas a pessoas naturais identificadas ou identificáveis e declaram que, no contexto do desempenho de suas obrigações contratuais, cumprirão toda a legislação aplicável a tal tratamento, incluindo, mas não se limitando às Leis mencionadas sendo certo que o tratamento de dados pessoais dar-se-á de acordo com as bases legais previstas nas hipóteses dos arts. 7º, 11 e/ou 14 da Lei nº 13.709/18 às quais se submeterão os serviços, e para propósitos legítimos, específicos, explícitos e informados ao titular; e que o tratamento seja limitado às atividades necessárias para o alcance das finalidades do serviço contratado ou, quando for o caso, ao cumprimento de obrigação legal ou regulatória, no exercício regular de direito, por determinação judicial ou por requisição da ANPD^[5]; e que em caso de necessidade de coleta de dados pessoais dos titulares mediante consentimento, indispensáveis à própria prestação do serviço, esta será realizada após prévia aprovação da CONTRATANTE, responsabilizando-se a CONTRATADA pela obtenção e sua gestão.  Os dados assim coletados só poderão ser utilizados na execução dos serviços especificados neste contrato, e em hipótese alguma poderão ser compartilhados ou utilizados para outros finalidades e, eventualmente, podem as partes convencionar que o CONTRATANTE seja responsável por obter o consentimento dos titulares.

1.4.1. LISTA DE DADOS COLETADOS

Os dados pessoais coletados e processados pela School Guardian estão disponíveis no relatório de impacto de proteção aos dados pessoais que pode ser obtido no endereço: https://bit.ly/SG_RIDP 

1.5. Finalidades de Tratamento. As Partes somente poderão tratar os Dados Pessoais a que tenham acesso em razão de suas atribuições sob o Contrato com o objetivo exclusivo de alcançar as finalidades diretamente relacionadas à execução do seu objeto e ao cumprimento dos respectivos direitos, deveres e/ou obrigações contratuais, devendo as Partes respeitar, em especial, os limites das suas respectivas atribuições definidos no Contrato.

1.5.1. LISTA DE FINALIDADES ESPECÍFICAS

A lista de finalidade específicas de dados pessoais coletador e processados pela School Guardian estão disponíveis no relatório de impacto de proteção aos dados pessoais que pode ser obtido no endereço: https://bit.ly/SG_RIDP 

1.6. Excessos. Qualquer tratamento de Dados Pessoais realizado pelas Partes que extrapole as finalidades previstas neste Contrato será de responsabilidade exclusiva da Parte que o realizar, obrigando-se tal Parte a indenizar a outra Parte por todo e qualquer dano e prejuízo eventualmente causado em razão de tal tratamento não autorizado.

1.7. Dever de notificação. Cada Parte deverá prontamente notificar a outra Parte por escrito caso: (i) exista qualquer fato ou situação específica que razoavelmente a impeça de cumprir quaisquer de suas obrigações previstas no Contrato e/ou na Legislação aplicável no contexto do tratamento dos Dados Pessoais sob este Contrato;  e (ii) caso seja acionada judicial ou administrativamente em relação ao tratamento dos Dados Pessoais realizado sob este Contrato.

1.8. Agentes de Tratamento. As Partes concordam que, no âmbito da execução do Contrato, ambas atuarão como controladoras dos Dados Pessoais, nos termos da legislação aplicável. As atribuições de cada Parte estão definidas no Contrato e devem ser interpretadas, no que se refere ao tratamento de Dados Pessoais, de acordo com as disposições do Contrato, especialmente em vista das obrigações específicas de cada Parte sob o Contrato.

1.9. Base Legal. As Partes garantem que todo e qualquer tratamento de Dados Pessoais realizado no âmbito do Contrato será feito sempre utilizando uma base legal válida, legítima e adequada ao tratamento realizado, na forma autorizada pela legislação aplicável. Cada Parte será responsável pelo tratamento que realizar com os Dados Pessoais direta ou indiretamente relacionados a este Contrato, sendo sua própria responsabilidade atribuir uma base legal ao tratamento almejado no contexto de suas atividades.

As Partes reconhecem que, com relação ao Tratamento de Dados Pessoais referentes à saúde, no âmbito deste Contrato (i) é vedada a comunicação ou o uso compartilhado de Dados Pessoais referentes à saúde com objetivo de obter vantagem econômica, exceto se (a) em benefício do Titular; (b) em se tratando de prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde (incluídos os serviços auxiliares de diagnose e terapia); (c) para permitir a portabilidade dos Dados Pessoais quando solicitada pelo Titular; ou (d) para possibilitar as transações financeiras e administrativas provenientes da prestação dos serviços de saúde; e (ii) é vedada a prática de seleção de riscos na contratação de planos privados de assistência, assim como na contratação e exclusão de beneficiários.

1.10. Transparência. As Partes concordam em incluir em seus respectivos avisos e políticas de privacidade ou outros instrumentos disponibilizados aos titulares dos Dados Pessoais tratados no âmbito deste Contrato.

1.11. Segurança e Governança. As Partes se comprometem a aplicar medidas técnicas e organizacionais de segurança da informação e governança corporativa aptas a proteger os Dados Pessoais tratados no  âmbito do Contrato. Para tanto, as Partes declaram e garantem que dispõem de medidas, processos, controles e políticas de segurança e governança apropriadas à proteção dos Dados Pessoais tratados em razão deste Contrato e compatíveis com a legislação aplicável, incluindo, sem limitação, a adoção de apropriadas salvaguardas administrativas, técnicas e físicas para a proteção dos Dados Pessoais contra Incidentes (conforme definição abaixo) de qualquer natureza. Declaram as partes que os sistemas que servirão de base para armazenamento dos dados pessoais coletados, seguem um conjunto de premissas, políticas, especificações técnicas, devendo estar alinhados com a legislação vigente e as melhores práticas de mercado; e que os dados obtidos em razão deste contrato serão armazenados em um banco de dados seguro, com garantia de registro das transações realizadas na aplicação de acesso (log), adequado controle baseado em função (role based access control) e com transparente identificação do perfil dos credenciados, tudo estabelecido como forma de garantir inclusive a rastreabilidade de cada transação e a franca apuração, a qualquer momento, de desvios e falhas.

1.11.1. No caso de haver transferência internacional de dados pessoais pela CONTRATADA, para atender ao acima, esta garante que: (i) caso a legislação do país para o qual os dados foram transferidos, não possuírem o mesmo nível de proteção que a legislação brasileira em termos de privacidade e proteção de dados, sob pena de encerramento da relação contratual, aplicação as suas próprias espessas o nível compatível para fins de adequação; (ii) que os dados transferidos serão tratados em ambiente seguro, mantendo-se os mais elevados níveis de boas práticas quanto ao tema; (iii) que o tratamento dos dados pessoais, incluindo a própria transferência, foi e continuará a ser feito de acordo com as disposições pertinentes da legislação sobre proteção de dados aplicável e que não viola as disposições pertinentes do Brasil; (iv) sempre que necessário, orientará a CONTRATADA durante o período de tratamento de dados pessoais, também em relação aos dados transferidos para país estrangeiro, para que ocorra em conformidade com a legislação sobre proteção de dados aplicável e com as cláusulas do contrato; (v) informará sobre as medidas de segurança técnicas e organizacionais; (vi) as medidas de segurança são e serão adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a divulgação ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito e que estas medidas asseguram um nível de segurança adequado em relação aos riscos que o tratamento representa e à natureza dos dados a proteger, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação; (vii) que zelará pelo cumprimento das medidas de segurança; (viii) que tratará os dados pessoais em conformidade com as exigências do objeto deste contrato; (ix) que no caso de não poder cumprir estas obrigações por qualquer razão, concorda em informar imediatamente a CONTRATADA, que neste caso poderá suspender a transferência de dados e/ou de rescindir o contrato; (x) que se houver uma alteração na legislação que possa ter efeito adverso substancial nas garantias e obrigações conferidas pelas cláusulas deste contrato, comunicará imediatamente essa alteração à CONTRATANTE, que neste caso, discutirá com a CONTRATADA esta alteração e juntos irão definir os próximos passos, sempre objetivando a manutenção do respectivo contrato; ( xi) notificará imediatamente a CONTRATANTE sobre qualquer solicitação juridicamente vinculativa de divulgação de dados pessoais por uma autoridade fiscalizadora responsável pela aplicação da lei, a menos que seja proibido de outra forma, como uma proibição da lei penal de preservar a confidencialidade de uma investigação policial e qualquer acesso acidental ou não autorizado; (xii) que responderá rápida e adequadamente todas as solicitações de informação da CONTRATADA, relacionadas ao tratamento dos dados pessoais objeto da transferência que eventualmente ocorram em razão do presente instrumento, e que se submeterá aos conselhos da autoridade fiscalizadora no que diz respeito ao processamento dos dados transferidos; (xiii) a pedido da CONTRATANTE, apresentará as informações necessárias sobre o tratamento relacionado com os dados pessoais objeto da transferência ou as informações solicitadas pela Autoridade fiscalizadora; (xiv) em caso de subcontratação, informará previamente a CONTRATANTE que deverá poderá anuir por escrito;(xv) garantir que os serviços de processamento pelo subcontratado, serão executados de acordo com o disposto neste contrato; (xvi) que enviará imediatamente à CONTRATANTE uma cópia de qualquer acordo de subcontratação que celebrar sobre o objeto deste contrato.

1.12. Incidentes. Caso uma das Partes tenha conhecimento da ocorrência ou mera suspeita de qualquer tratamento de Dados Pessoais não autorizado, indevido e/ou incompatível com a legislação aplicável ou com os termos deste Contrato, acidental ou doloso, incluindo, sem limitação, acessos ou compartilhamentos não autorizados e quaisquer tipos de incidentes de segurança da informação (qualquer destes eventos será considerado, para os fins deste contrato, um “Incidente”), ela deverá, em prazo não superior a 24 (vinte e quatro) horas contadas da ciência da ocorrência ou suspeita do Incidente, notificar a outra Parte por escrito e de forma detalhada sobre tal Incidente, com a apresentação de todas as informações e detalhes disponíveis sobre tal Incidente.

1.12.1. O Encarregado da CONTRATADA manterá contato formal com o Encarregado do CONTRATANTE, no prazo de 24 (vinte e quatro) horas da ciência da ocorrência de qualquer incidente que implique violação ou risco de violação de dados pessoais de que venha a ter conhecimento ou suspeita, devendo a parte responsável, em até 10 (dez) dias corridos, tomar as medidas necessárias.

1.12.2. A critério de uma ou outra parte, se provocados os Encarregados de Proteção de Dados, deverão colaborar na elaboração do relatório de impacto à proteção de dados pessoais (RIPD), conforme a sensibilidade e o risco inerente dos serviços objeto deste contrato, no tocante a dados pessoais.

1.13. Propriedade de Resultados. Nada neste Contrato deve ser considerado como cessão ou transferência da propriedade da base de dados de qualquer das Partes à outra, sendo certo que todas e quaisquer informações resultantes do tratamento de Dados Pessoais realizado pelas Partes sob este Contrato, incluindo quaisquer inferências geradas a partir de um Dado Pessoal, serão de propriedade exclusiva da Parte responsável pelo tratamento, em estrita conformidade com o objeto do Contrato, bem como as atribuições, deveres, direitos e obrigações de cada Parte definida no Contrato.

1.14. Exercício de Direitos por Titulares. As Partes se comprometem a tomar todas as medidas técnicas e organizacionais disponíveis para cooperar entre si visando ao atendimento requisições de exercício de direitos de proteção de dados apresentadas por Titulares. Uma parte deverá informar à outra, sempre que receber uma solicitação de um Titular de Dados, a respeito de Dados Pessoais da outra Parte, abstendo-se de responder qualquer solicitação, exceto nas instruções documentadas ou conforme exigido pela LGPD e Leis e Regulamentos de Proteção de Dados em vigor. Em especial, as Partes se comprometem a fornecer, uma à outra, na medida necessária para o atendimento de uma requisição de exercício de direitos de proteção de dados de um Titular e mediante requisição por escrito da outra Parte, sem demora injustificada: (i) todos os Dados Pessoais referentes ao Titular solicitante acessíveis à Parte e relacionados direta ou indiretamente ao objeto do Contrato; e (ii) toda e qualquer confirmação por escrito razoavelmente requerida para atestar que Dados Pessoais tenham sido eliminados, quando cabível.

1.14.1. As partes cooperarão entre si no cumprimento das obrigações referentes ao exercício dos direitos dos Titulares previstos na LGPD e nas Leis e Regula mentos de Proteção de Dados em vigor e também no atendimento de requisições e determinações do Poder Judiciário, Ministério Público, Órgãos de controle administrativo.

1.15. Exclusão dos Dados. As Partes deverão manter políticas internas de retenção e descarte de Dados Pessoais que estabeleçam com clareza o ciclo de vida dos Dados Pessoais no contexto de sua operação, em especial com relação aos Dados Pessoais tratados sob o Contrato. Mediante solicitação escrita de uma Parte, a outra Parte deverá apresentar toda e qualquer confirmação por escrito razoavelmente requerida para atestar que, com relação aos Dados Pessoais tratados sob este Contrato, estes foram descartados ou serão retidos por um prazo determinado, conforme o caso, prazo este que também deverá ser informado e justificado em referida confirmação escrita.

1.16. Conhecimento amplo. As partes darão conhecimento formal aos seus empregados das obrigações e condições acordadas nesta cláusula.

1.17. Encerramento das atividades. Encerrada a vigência do contrato ou não havendo mais necessidade de utilização dos dados pessoais, sensíveis ou não, a CONTRATADA interromperá o tratamento e, em no máximo (30) dias, sob instruções e na medida do determinado pela CONTRATANTE, e eliminará completamente os Dados Pessoais e todas as cópias porventura existentes (em formato digital, físico ou outro qualquer), salvo quando necessite mantê-los para cumprimento de obrigação legal ou outra hipótese legal prevista na LGPD, salvo em relação as demais informações confidenciais, que atenderão o disposto acima.

1.18. Responsabilização. As Partes serão responsáveis, por si e por seus prepostos, colaboradores, consultores e terceiros contratados, pelo tratamento de Dados Pessoais realizado no âmbito do Contrato bem como em decorrência dele, devendo manter a outra Parte livre de quaisquer responsabilidades, danos ou prejuízos, diretos e indiretos, decorrentes de qualquer operação de tratamento de Dados Pessoais realizada em desacordo com o Contrato ou com a legislação aplicável, sem prejuízo das penalidades previstas neste Contrato por inadimplemento. As Partes acordam que eventual limitação de responsabilidade aplicável à PARCEIRA prevista no Contrato não se aplica a qualquer violação das obrigações relacionadas à proteção de Dados Pessoais assumidas neste Contrato ou previstas na legislação aplicável e serão apuradas conforme estabelecido neste contrato e de acordo com o que dispõe a Seção III, Capítulo VI da LGPD.

1.1. These "Terms and Conditions of App Use and Privacy Policy" ("TERMS AND CONDITIONS") are a legal agreement between the licensee (individual or legal entity) ("LICENSEE") and FILHO SEM FILA SOFTWARE LTDA. (SCHOOL GUARDIAN), hereinafter referred to simply as "FILHO SEM FILA," the sole and exclusive owner of the application focused on notifying guardians of student arrivals for pickup, among other additional services, under the brands, names, and associated domain of FILHO SEM FILA and SCHOOL GUARDIAN.

1.1.1 The terms apply to the following applications: School Guardian, QRCode School Guardian, and School Guardian - School Bus.

1.2.The parties declare and guarantee that they understand and will respect the provisions of the Marco Civil da Internet, Law 12.965/14, the General Data Protection Law (“LGDP”), Law 13.709/18 and subsequent amendments, and the General Data Protection Regulation laws (“GDPR”) of the European Union and the California Consumer Privacy Act of 2018 (“CCPA”) of the United States of America.

1.3. Even with the above statement, the parties further undertake to protect the fundamental rights of freedom and privacy and the free development of the personality of the natural person, related to the processing of personal data, including in digital media, ensuring that:

1.4. Processing of Personal Data. The Parties acknowledge that, due to the purpose of this Agreement, they will carry out information processing activities related to identified or identifiable natural persons and declare that, in the context of the performance of their contractual obligations, they will comply with all legislation applicable to such treatment, including, but not limited to the aforementioned Laws, being certain that the processing of personal data will take place in accordance with the legal bases provided for in the hypotheses of arts. 7, 11 and/or 14 of Law 13.709/18 to which the services will be subject, and for legitimate, specific, explicit and informed purposes to the holder; and that the treatment is limited to the activities necessary to achieve the purposes of the contracted service or, when applicable, to comply with a legal or regulatory obligation, in the regular exercise of the right, by court order or by request of the ANPD; and that in case of need to collect personal data of the holders through consent, essential for the provision of the service, this will be carried out after prior approval by the CONTRACTING PARTY, being the CONTRACTED PARTY responsible for obtaining and managing it. The data thus collected may only be used in the performance of the services specified in this contract, and under no circumstances may they be shared or used for other purposes and, eventually, the parties may agree that the CONTRACTING PARTY is responsible for obtaining the consent of the holders.

1.4.1. LIST OF CHARTERED DATA

The personal data collected and processed by School Guardian is available in the personal data protection impact report which can be obtained at: https://bit.ly/SG_RIDP

1.5. Treatment Purposes. The Parties may only process the Personal Data to which they have access due to their attributions under the Contract with the sole purpose of achieving the purposes directly related to the execution of its object and the fulfillment of the respective rights, duties and/or contractual obligations, and must the Parties respect the limits of their respective attributions defined in the Contract.

1.5.1. LIST OF SPECIFIC PURPOSES

The list of specific purposes of personal data collected and processed by School Guardian are available in the personal data protection impact report which can be obtained at: https://bit.ly/SG_RIDP 

1.6. Excesses. Any processing of Personal Data carried out by the Parties that goes beyond the purposes set forth in this Agreement will be the sole responsibility of the Party that carries it out, and such Party undertakes to indemnify the other Party for all damages and losses that may be caused as a result of such treatment not authorized.

1.7. Notification duty. Each Party shall promptly notify the other Party in writing if: (i) there is any specific fact or situation that reasonably prevents it from fulfilling any of its obligations under the Contract and/or the applicable Law in the context of the processing of Personal Data under this Contract; and (ii) if it is sued judicially or administratively in relation to the processing of Personal Data carried out under this Agreement.

1.8. Treatment Agents. The Parties agree that, within the scope of the performance of the Contract, both will act as controllers of the Personal Data, under the terms of the applicable legislation. The powers of each Party are defined in the Contract and must be interpreted, with regard to the processing of Personal Data, in accordance with the provisions of the Contract, especially in view of the specific obligations of each Party under the Contract.

1.9. Legal base. The Parties guarantee that all processing of Personal Data carried out under the Contract will always be carried out using a valid, legitimate and adequate legal basis for the treatment carried out, in the manner authorized by the applicable legislation. Each Party will be responsible for the processing it carries out with Personal Data directly or indirectly related to this Agreement, and it is its own responsibility to assign a legal basis to the intended treatment in the context of its activities.

The Parties acknowledge that, with respect to the Processing of Personal Data relating to health, within the scope of this Agreement (i) the communication or shared use of Personal Data relating to health for the purpose of obtaining economic advantage is prohibited, except if (a) in holder's benefit; (b) in the case of provision of health services, pharmaceutical assistance and health assistance (including auxiliary services for diagnosis and therapy); (c) to allow the portability of Personal Data when requested by the Holder; or (d) to facilitate the financial and administrative transactions arising from the provision of health services; and (ii) the practice of risk selection in contracting is prohibited of private assistance plans, as well as in hiring and excluding beneficiaries.

1.10.Transparency. The Parties agree to include in their respective notices and privacy policies or other instruments made available to the holders of Personal Data processed under this Agreement.

1.11. Security and Governance. The Parties undertake to apply technical and organizational information security and corporate governance measures capable of protecting the Personal Data processed under the Agreement. To this end, the Parties declare and guarantee that they have measures, processes, controls and security and governance policies appropriate for the protection of Personal Data processed under this Agreement and compatible with the applicable legislation, including, without limitation, the adoption of appropriate safeguards administrative, technical and physical measures for the protection of Personal Data against Incidents (as defined below) of any nature. The parties declare that the systems that will serve as the basis for storing the personal data collected, follow a set of assumptions, policies, technical specifications, and must be in line with current legislation and best market practices; and that the data obtained under this contract will be stored in a secure database, with a guarantee of recording the transactions carried out in the access application (log), adequate role-based control (role based access control) and with transparent profile identification accredited, all established as a way of guaranteeing the traceability of each transaction and the frank verification, at any time, of deviations and failures.

1.11.1. In the event of an international transfer of personal data by the CONTRACTED PARTY, to comply with the above, it guarantees that: (i) if the legislation of the country to which the data was transferred, do not have the same level of protection as the Brazilian legislation in terms of of privacy and data protection, under penalty of termination of the contractual relationship, application of its own thick the compatible level for adequacy purposes; (ii) that the transferred data will be treated in a safe environment, maintaining the highest levels of good practices on the subject; (iii) that the processing of personal data, including the transfer itself, has been and will continue to be done in accordance with the relevant provisions of the applicable data protection legislation and that it does not violate the relevant provisions of Brazil; (iv) whenever necessary, it will guide the CONTRACTED PARTY during the period of processing of personal data, also in relation to data transferred to a foreign country, so that it occurs in compliance with the applicable data protection legislation and with the clauses of the contract; (v) inform about technical and organizational security measures; (vi) the security measures are and will be adequate to protect personal data against accidental or unlawful destruction, accidental loss, alteration, unauthorized disclosure or access, in particular when the processing involves transmission over a network, and against any other form of unlawful processing and that these measures ensure an adequate level of security in relation to the risks that the processing represents and the nature of the data to be protected, taking into account the technical knowledge available and the costs resulting from their application; (vii) that it will ensure compliance with security measures; (viii) that it will treat personal data in accordance with the requirements of the object of this contract; (ix) that in the event of being unable to fulfill these obligations for any reason, it agrees to immediately inform the CONTRACTED PARTY, which in this case may suspend the transfer of data and/or terminate the contract; (x) that if there is a change in legislation that may have a substantial adverse effect on the guarantees and obligations conferred by the clauses of this contract, it will immediately communicate this change to the CONTRACTING PARTY, who, in this case, will discuss this change with the CONTRACTED PARTY and together they will define the next steps , always aiming at maintaining the respective contract; (xi) immediately notify the CONTRACTING PARTY of any legally binding request for the disclosure of personal data by a supervisory authority responsible for law enforcement, unless otherwise prohibited, such as a prohibition by criminal law to preserve the confidentiality of a police investigation and any accidental or unauthorized access; (xii) that it will respond quickly and adequately to all requests for information from the CONTRACTED PARTY, related to the processing of personal data subject to the transfer that may occur due to this instrument, and that it will submit to the advice of the supervisory authority with regard to the processing of transferred data; (xiii) at the request of the CONTRACTING PARTY, it will present the necessary information on the treatment related to the personal data object of the transfer or the information requested by the supervisory authority; (xiv) in case of subcontracting, it shall previously inform the CONTRACTING PARTY that it must be able to consent in writing; (xv) guarantee that the processing services by the subcontracted party will be performed in accordance with the provisions of this contract; (x vi) that it will immediately send the CONTRACTING PARTY a copy of any subcontracting agreement that it enters into regarding the object of this contract.

1.12. Incidents. If one of the Parties is aware of the occurrence or mere suspicion of any processing of Personal Data that is unauthorized, undue and/or incompatible with applicable law or with the terms of this Agreement, accidental or intentional, including, without limitation, unauthorized access or sharing and any types of information security incidents (any of these events will be considered, for the purposes of this contract, an "Incident"), it must, within a period not exceeding 24 (twenty-four) hours counted from the knowledge of the occurrence or suspicion of the Incident, notify the other Party in writing and in detail about such Incident, with the presentation of all available information and details about such Incident.

1.12.1. The CONTRACTED PARTY Person in Charge will maintain formal contact with the CONTRACTING PARTY's Person in Charge, within 24 (twenty-four) hours of becoming aware of the occurrence of any incident that implies a violation or risk of violation of personal data that he/she becomes aware of or suspects, and must the responsible party, within 10 (ten) calendar days, take the necessary measures.

1.12.2. At the discretion of one or the other party, if provoked, the Data Protection Officers shall collaborate in the preparation of the impact report on the protection of personal data (RIPD), according to the sensitivity and inherent risk of the services object of this contract, with regard to personal data.

1.13. Results property. Nothing in this Agreement shall be considered as an assignment or transfer of ownership of the database from either Party to the other, provided that any and all information resulting from the processing of Personal Data carried out by the Parties under this Agreement, including any inferences generated from a Personal Data, will be the exclusive property of the Party responsible for the treatment, in strict accordance with the object of the Contract, as well as the attributions, duties, rights and obligations of each Party defined in the Contract.

1.14. Exercise of Rights by Holders. The Parties undertake to take all available technical and organizational measures to cooperate with each other in order to comply with requests for the exercise of data protection rights presented by Data Subjects. One party shall inform the other, whenever it receives a request from a Data Subject, regarding the Personal Data of the other Party, refraining from responding to any request, except in the documented instructions or as required by the LGPD and Protection Laws and Regulations Data in force. In particular, the Parties undertake to provide each other, to the extent necessary to comply with a request for the exercise of data protection rights by a Data Subject and upon written request by the other Party, without undue delay: (i) all Personal Data relating to the requesting Holder accessible to the Party and related directly or indirectly to the object of the Contract; and (ii) any and all written confirmation reasonably required to attest that Personal Data has been deleted, where applicable.

1.14.1. The parties will cooperate with each other in fulfilling the obligations regarding the exercise of the Holders' rights provided for in the LGPD and in the Data Protection Laws and Regulations in force and also in complying with requests and determinations of the Judiciary, Public Ministry, Administrative Control Bodies .

1.15. Deletion of Data. The Parties shall maintain internal policies for the retention and disposal of Personal Data that clearly establish the life cycle of Personal Data in the context of their operation, in particular with regard to Personal Data processed under the Agreement. Upon written request by one Party, the other Party shall submit any and all written confirmation reasonably required to attest that, with respect to the Personal Data processed under this Agreement, these have been discarded or will be retained for a specified period, as the case may be, period this must also be informed and justified in said written confirmation.

1.16. Broad knowledge. The Parties will give its employees formal knowledge of the obligations and conditions agreed in this clause.

1.17. Closure of activities. Once the term of the contract has ended or if there is no longer any need to use personal data, whether sensitive or not, the CONTRACTED PARTY will interrupt the treatment and, within a maximum of (30) days, under instructions and to the extent determined by the CONTRACTING PARTY, and will completely eliminate the Data Personal data and all copies that may exist (in digital, physical or any other format), except when you need to keep them to comply with a legal obligation or other legal hypothesis provided for in the LGPD, except in relation to other confidential information, which will comply with the provisions above .

1.18. Responsibilities. The Parties will be responsible, by themselves and their agents, collaborators, consultants and contracted third parties, for the processing of Personal Data carried out under the Contract as well as a result of it, and shall keep the other Party free from any direct liability, damages or losses and indirect, resulting from any Personal Data processing operation carried out in violation of the Contract or the applicable legislation, without prejudice to the penalties provided for in this Contract for non-compliance. The Parties agree that any limitation of liability applicable to the PARTNER provided for in the Agreement does not apply to any breach of obligations related to the protection of Personal Data assumed in this Agreement or provided for in the applicable legislation and will be determined as established in this agreement and in accordance with the provisions Section III, Chapter VI of the LGPD.