ANNEX STANDARD CONTRACTUAL CLAUSES FOR BRAZIL

English | Português

SECTION 1 – GENERAL INFORMATION  

CLAUSE 1. Identification of the Parties

1.1. By this agreement, the Exporter and the Importer (hereinafter, “Parties”), identified below, have agreed to these standard contractual clauses (hereinafter, “Clauses”) approved by the National Data Protection Authority (ANPD), to govern the International Data Transfer described in Clause 2, in accordance with the provisions of the National Legislation.

( ) Exporter/Controller)  

( ) Importer/Processor)

CLAUSE 2. Object

2.1. This Clauses shall apply to International Transfers of Personal Data between Data Exporters and Data Importers, as described below.

Description of the international data transfer: As stated in the Approved Geography Terms

CLAUSE 3. Onward Transfers  

OPTION A. 3.1. The Importer may not carry out an Onward Transfer of Personal Data subject to the International Data Transfer governed by these Clauses, except in the cases provided for in item 18.3.

CLAUSE 4. Responsibilities of the Parties

4.1. Without prejudice to the duty of mutual assistance and the general obligations of the Parties, the Designated Party below, as Controller, shall be responsible for complying with the following obligations set out in these Clauses:  

a) Responsible for publishing the document provided in Clause 14;

( ) Exporter        

b) Responsible for responding to requests from Data Subjects dealt with in Clause 15:

( ) Exporter        

c) Responsible for notifying the security incident provided in Clause 16:

( ) Exporter        

4.2. For the purposes of these Clauses, if the Designated Party pursuant to item 4.1. is the Processor, the Controller remains responsible for:

a) compliance with the obligations provided in Clauses 14, 15 and 16 and other provisions established in the National Legislation, especially in case of omission or non-compliance with the obligations by the Designated Party;

b) compliance with ANPD’s determinations; and

c) guaranteeing the Data Subjects’ rights and repairing damages caused, subject to the provisions of Clause 17.

4.3. The Exporter shall be jointly liable for the damage caused by the International Data Transfer if it is carried out in breach of the obligations of the National Legislation or the lawful instructions of the Third-Party Controller, in which case the Exporter shall be deemed to be the Controller, subject to the provisions of Clause 17.

4.4. In the event of being deemed a Controlling Party as referred to in item 4.2, the Exporter shall be responsible for complying with the obligations set out in Clauses 14, 15 and 16.

4.5. With the exception of the provisions of items 4.2 and 4.3, the provisions of Clauses 14, 15 and 16 shall not apply to the Parties as Processors.

4.6. The Parties shall, in any event, provide all the information at their disposal that proves necessary for the Third-Party Controller to comply with ANPD’s determinations and to adequately fulfill the obligations provided for in the National Legislation relating to transparency, compliance with the rights of data subjects and the reporting of security incidents to ANPD.

4.7. The Parties shall promote mutual assistance in order to meet the requests of the Data Subject.

4.8. In the event of receiving a request from a Data Subject, the Party shall:

a) respond to the request when it has the necessary information;

b) inform the Data Subject of the service channel provided by the Third-Party Controller; or

c) forward the request to the Third-Party Controller as soon as possible, to enable a response within the period provided for in the National Legislation.

4.9. The Parties must keep a record of security incidents involving personal data, in accordance with national legislation.

SECTION II – MANDATORY CLAUSES

CLAUSE 1. Purpose

1.1. These Clauses are presented as a mechanism to enable the secure international flow of personal data, establish minimum guarantees and valid conditions for carrying out the International Data Transfer and aim to guarantee the adoption of adequate safeguards for compliance with the principles, the rights of the Data Subject and the data protection regime provided for in National Legislation.

CLAUSE 2. Definitions

2.1. For the purposes of these Clauses, the definitions in art. 5 of LGPD, and art. 3 of the Regulation on the International Transfer of Personal Data shall be considered, without prejudice to other normative acts issued by ANPD. The Parties also agree to consider the terms and their respective meanings as set out below:

a) Processing agents: the controller and the processor;

b) ANPD: National Data Protection Authority;

c) Clauses: the standard contractual clauses approved by ANPD, which are part of Sections I, II and III;

d) Related Contract: contractual instrument signed between the Parties or, at least, between one of them and a third-party, including a Third-Party Controller, which has a common purpose, link or dependency relationship with the contract that governs the International Data Transfer;

e) Controller: Party or third-party (“Third Controller”) responsible for decisions regarding the processing of Personal Data;

f) Personal Data: information related to an identified or identifiable natural person;

g) Sensitive Personal Data: personal data on racial or ethnic origin, religious belief, political opinion, affiliation to trade unions or to a religious, philosophical or political organization, data regarding health or sexual life, genetic or biometric data, whenever related to a natural person;

h) Erasure: exclusion of data or dataset from a database, regardless of the procedure used;

i) Exporter: processing agent, located in the national territory or in a foreign country, who transfers personal data to the Importer;

j) Importer: processing agent, located in a foreign country, who receives personal data from the Exporter;

k) National Legislation: set of Brazilian constitutional, legal and regulatory provisions regarding the protection of Personal Data, including the LGPD, the International Data Transfer Regulation and other normative acts issued by ANPD;

l) Arbitration Law: Law No. 9,307, of September 23, 1996;

m) Security Measures: technical and administrative measures able to protect Personal Data from unauthorized access and from accidental or unlawful events of destruction, loss, alteration, communication or dissemination;

n) Research Body: body or entity of the government bodies or associated entities or a non-profit private legal entity legally established under Brazilian laws, having their headquarter and jurisdiction in the Brazilian territory, which includes basic or applied research of historical, scientific, technological or statistical nature in its institutional mission or in its corporate or statutory purposes;

o) Processor: Party or third-party, including a Sub-processor, which processes Personal Data on behalf of the Controller;

p) Designated Party: Party or a Third-Party Controller, under the terms of Clause 4, designated to fulfill specific obligations regarding transparency, Data Subjects’ rights and notifying security incidents;

q) Parties: Exporter and Importer;

r) Access Request: request for mandatory compliance, by force of law, regulation or determination of public authority, to grant access to the Personal Data subject to the International Data Transfer governed by these Clauses;

s) Sub-processor: processing agent hired by the Importer, with no link with the Exporter, to process Personal Data after an International Data Transfer;

t) Third-Party Controller: Personal Data Controller who authorizes and provides written instructions for the carrying out of the International Data Transfer between Processors governed by these Clauses, on his behalf, pursuant to Clause 4 (“Option B”);

u) Data Subject: natural person to whom the Personal Data which are subject to the International Data Transfer governed by these Clauses relate;

v) Transfer: processing modality through which a processing agent transmits, shares or provides access to Personal Data to another processing agent;

w) International Data Transfer: transfer of Personal Data to a foreign country or to an international organization which Brazil is a member of; and

x) Onward Transfer: transfer of Personal Data, within the same country or to another country, by an Importer to a third-party, including a Sub-processor, provided that it does not constitute an Access Request.

CLAUSE 3. Applicable legislation and ANPD supervision

3.1. The International Data Transfer subject to these Clauses shall subject to the National Legislation and to the supervision of ANPD, including the power to apply preventive measures and administrative sanctions to both Parties, as appropriate, as well as the power to limit, suspend or prohibit the international transfers arising from this agreement or a Related Contract.

CLAUSE 4. Interpretation

4.1. Any application of these Clauses shall occur in accordance with the following terms:

a) these Clauses shall always be interpreted more favorably to the Data Subject and in accordance with the provisions of the National Legislation;

b) in case of doubt about the meaning of any term in these Clauses, the meaning which is most in line with the National Legislation shall apply;

c) no item in these Clauses, including a Related Agreement and the provisions set forth in Section IV, shall be interpreted as limiting or excluding the liability of any of the Parties in relation to obligations set forth in the National Legislation; and

d) provisions of Sections I and II shall prevail in case of conflict of interpretation with additional clauses and other provisions set forth in Sections III and IV of this agreement or in Related Agreements.

CLAUSE 5. Docking Clause

5.1. By mutual agreement between the Parties, it shall be possible for a processing agent to adhere to these Clauses, either as a Data Exporter or as a Data Importer, by completing and signing a written document, which shall form part of this contract.

5.2. The acceding party shall have the same rights and obligations as the originating parties, according to the position assumed of Exporter or Importer and according to the corresponding category of treatment agent.

CLAUSE 6. General obligations of the Parties

6.1. The Parties undertake to adopt and, when necessary, demonstrate the implementation of effective measures capable of demonstrating observance of and compliance with the provisions of these Clauses and the National Legislation, as well as with the effectiveness of such measures and, in particular:

a) use the Personal Data only for the specific purposes described in Clause 2, with no possibility of subsequent processing incompatible with such purposes, subject to the limitations, guarantees and safeguards provided for in these Clauses;

b) guarantee the compatibility of the processing with the purposes informed to the Data Subject, according to the processing activity context;

c) limit the processing activity to the minimum required for the accomplishment of its purposes, encompassing pertinent, proportional and non- excessive data in relation to the Personal Data processing purposes;

d) guarantee to the Data Subjects, subject to the provisions of Clause 4:

(d.1.) clear, accurate and easily accessible information on the processing activities and the respective processing agents, with due regard for trade and industrial secrecy;

(d.2.) facilitated and free of charge consultation on the form and duration of the processing, as well as on the integrity of their Personal Data; and

(d.3.) accuracy, clarity, relevance and updating of the Personal Data, according to the necessity and for compliance with the purpose of their processing;

e) adopt the appropriate security measures compatible with the risks involved in the International Data Transfer governed by these Clauses;

f) not to process Personal Data for abusive or unlawful discriminatory purposes;

g) ensure that any person acting under their authority, including sub- processors or any agent who collaborates with them, whether for reward or free of charge, only processes data in compliance with their instructions and with the provisions of these Clauses;

h) keep a record of the Personal Data processing operations of the International Data Transfer governed by these Clauses, and submit the relevant documentation to ANPD, when requested.

CLAUSE 7. Sensitive personal data

7..1. If the International Data Transfer involves Sensitive Personal Data, the Parties shall apply additional safeguards, including specific Security Measures which are proportional to the risks of the processing activity, to the specific nature of the data and to the interests, rights and guarantees to be protected, as described in Section III.

CLAUSE 8. Personal data of children and adolescents

8.1. In case the International Data Transfer governed by these Clauses involves Personal Data concerning children and adolescents, the Parties shall implement measures to ensure that the processing is carried out in their best interest, under the terms of the National Legislation and relevant instruments of international law.

CLAUSE 9. Legal use of data

9.1. The Exporter guarantees that Personal Data has been collected, processed and transferred to the Importer in accordance with the National Legislation.

CLAUSE 10. Transparency

10.1. The Designated Party shall publish, on its website, a document containing easily accessible information written in simple, clear and accurate language on the conduction of the International Data Transfer, including at least information on:

a) the form, duration and specific purpose of the international transfer;

b) the destination country of the transferred data;

c) the Designated Party’s identification and contact details;

d) the shared use of data by the Parties and its purpose;

e) the responsibilities of the agents who shall conduct the processing;

f) the Data Subject’s rights and the means for exercising them, including an easily accessible channel made available to respond to their requests, and the right to file a petition against the Exporter and the Importer before ANPD; and

g) Onward Transfers, including those relating to recipients and to the purpose of such transfer.

10.2. The document referred to in item 14.1. shall be made available on a specific website page or integrated, in a prominent and easily accessible format, to the Privacy Policy or equivalent document.

10.3. Upon request, the Parties shall make a copy of these Clauses available to the Data Subject free of charge, complying with trade and industrial secrecy.

10.4. All information made available to Data Subjects, under the terms of these Clauses, shall be written in Portuguese.

CLAUSE 11. Rights of the data subject

11.1. The Data subject shall have the right to obtain from the Designated Party, as regards the Personal Data subject to the International Data Transfer governed by these Clauses, at any time, and upon request, under the terms of the National Legislation:

a) confirmation of the existence of processing;

b) access to data;

c) correction of incomplete, inaccurate or outdated data;

d) anonymization, blocking or erasure of unnecessary or excessive data or data processed in noncompliance with these Clauses and the provisions of National Legislation;

e) portability of data to another service or product provider, upon express request, in accordance with ANPD regulations, complying with trade and industrial secrecy;

f) erasure of Personal Data processed under the Data Subject’s consent, except for the events provided in Clause 20;

g) information on public and private entities with which the Parties have shared data;

h) information on the possibility of denying consent and on the consequences of the denial;

i) withdrawal of consent through a free of charge and facilitated procedure, remaining ratified the processing activities carried out before the request for elimination;

j) review of decisions taken solely on the basis of automated processing of personal data affecting their interests, including decisions aimed at defining their personal, professional, consumer and credit profile or aspects of their personality; and

k) information on the criteria and procedures adopted for the automated decision.

11.2. Data subject may oppose to the processing based on one of the events of waiver of consent, in case of noncompliance with the provisions of these Clauses or National Legislation.

11.3. The deadline for responding to the requests provided for in this Clause and in item 14.3 is 15 (fifteen) days from the date of the data subject’s request, except in the event of a different deadline established in specific ANPD regulations.

11.4. In case the Data Subject’s request is directed to the Party not designated as responsible for the obligations set forth in this Clause or in item 14.3., the referred Party shall:

a) inform the Data Subject of the service channel made available by the Designated Party; or

b) forward the request to the Designated Party as early as possible, to enable the response within the period provided in item 15.2.

11.5. The Parties shall immediately inform the Data Processing Agents with whom they have shared data with the correction, deletion, anonymization or blocking of the data, for them to follow the same procedure, except in cases where this communication is demonstrably impossible or involves a disproportionate effort.

11.6. The Parties shall promote mutual assistance to respond to the Data Subjects’ requests.

CLAUSE 12. Security Incident Reporting

12.1. The Designated Party shall notify ANPD and the Data Subject, within 3 (three) working days of the occurrence of a security incident that may entail a relevant risk or damage to the Data Subjects, according to the provisions of National Legislation.

12.2. The Importer must keep a record of security incidents in accordance with National Legislation.

CLAUSE 13. Liability and compensation for damages

13.1. The Party which, when performing Personal Data processing activities, causes patrimonial, moral, individual or collective damage, for violating the provisions of these Clauses and of the National Legislation, shall compensate for it.

13.2. Data Subject may claim compensation for damage caused by any of the Parties as a result of a breach of these Clauses.

13.3. The defense of Data Subjects’ interests and rights may be claimed in court, individually or collectively, in accordance with the provisions in relevant legislation regarding the instruments of individual and collective protection.

13.4. The Party acting as Processor shall be jointly and severally liable for damages caused by the processing activities when it fails to comply with these Clauses or when it has not followed the lawful instructions of the Controller, except for the provisions of item 17.6.

13.5. The Controllers directly involved in the processing activities which resulted in damage to the Data Subject shall be jointly and severally liable for these damages, except for the provisions of item 17.6.

13.6. Parties shall not be held liable if they have proven that:

a) they have not carried out the processing of Personal Data attributed to them;

b) although they did carry out the processing of Personal Data attributed to them, there was no violation of these Clauses or National Legislation; or

c) the damage results from the sole fault of the Data Subject or of a third- party which is not a recipient of the Onward Transfer or not subcontracted by the Parties.

13.7. Under the terms of the National Legislation, the judge may reverse the burden of proof in favor of the Data Subject whenever, in his judgement, the allegation is credible, there is a lack of sufficient evidence or when the Data Subject would be excessively burdened by the production of evidence.

13.8. Judicial proceedings for compensation for collective damages which intend to establish liability under the terms of this Clause may be collectively conducted in court, with due regard for the provisions in relevant legislation.

13.9 The Party which compensates the damage to the Data Subject shall have a right of recourse against the other responsible parties, to the extent of their participation in the damaging event.

CLAUSE 14. Safeguards for Onward Transfers

14.1. The Importer shall only carry out Onward Transfers of Personal Data subject to the International Data Transfer governed by these Clauses if expressly authorized, in accordance with the terms and conditions described in Clause 3.

14.2. In any case, the Importer:

a) shall ensure that the purpose of the Onward Transfer is compatible with the specific purposes described in Clause 2;

b) shall guarantee, by means of a written contractual instrument, that the safeguards provided in these Clauses shall be ensured by the third-party recipient of the Onward Transfer; and

c) for the purposes of these Clauses, and regarding the Personal Data transferred, shall be considered responsible for any eventual irregularities committed by the third-party recipient of the Onward Transfer.

14.3. The Onward Transfer shall also be carried out based on another valid modality of International Data Transfer provided in National Legislation, regardless of the authorization referred to in Clause 3.

CLAUSE 15. Access Request Notification

15.1. The Importer shall notify the Exporter and the Data Subject of any Access Request related to the Personal Data subject to the International Data Transfer governed by these Clauses, except in the event that notification is prohibited by the law of the country in which the data is processed.

15.2. The Importer shall implement the appropriate legal measures, including legal actions, to protect the rights of the Data Subjects whenever there is adequate legal basis to question the legality of the Access Request and, if applicable, the prohibition of issuing the notification referred to in item 19.1.

15.3. To comply with both the ANPD’s and the Exporter’s requests, the Importer shall keep a record of Access Requests, including date, requester, purpose of the request, type of data requested, number of requests received, and legal measures implemented.

CLAUSE 16. Termination of processing and erasure of data

16.1. Parties shall erase the personal data subject to the International Data Transfer governed by these Clauses after the ending of their processing, being their storage authorized only for the following purposes:

a) compliance with a legal or regulatory obligation by the Controller;

b) study by a Research Body, guaranteeing, whenever possible, the anonymization of personal data;

c) transfer to a third-party, upon compliance with requirements set forth in these Clauses and in the National Legislation; and

d) exclusive use of the Controller, being the access by a third-party prohibited, and provided data have been anonymized.

16.2. For the purposes of this Clause, processing of personal data shall cease when:

a) the purpose set forth in these Clauses has been achieved;

b) Personal Data are no longer necessary or pertinent to attain the intended specific purpose set forth in these Clauses;

c) at the termination of the treatment period;

d) Data Subject’s request is met; and

e) at the order of ANPD, upon violation of the provisions of these Clauses or National Legislation.

CLAUSE 17. Data processing security

17.1. Parties shall implement Security Measures which guarantee sufficient protection of the Personal Data subject to the International Data Transfer governed by these Clauses, even after its termination.

17.2. Parties shall inform, in Section III, the Security Measures implemented, considering the nature of the processed information, the specific characteristics and the purpose of the processing, the technology current state and the probability and severity of the risks to the Data Subjects’ rights, especially in the case of sensitive personal data and that of children and adolescents.

17.3. The Parties shall make the necessary efforts to implement periodic evaluation and review measures to maintain the appropriate level of data security.

CLAUSE 18. Legislation of country of destination

18.1. The Importer declares that it has not identified any laws or administrative practices of the country receiving the Personal Data that prevent it from fulfilling the obligations assumed in these Clauses.

18.2. In the event of a regulatory change which alters this situation, the Importer shall immediately notify the Exporter to assess the continuity of the contract.

CLAUSE 19. Non-compliance with the Clauses by the Importer

19.1. In the event of a breach in the safeguards and guarantees provided in these Clauses or being the Importer unable to comply with any of them, the Exporter shall be immediately notified, subject to the provisions in item 19.1.

19.2. Upon receiving the communication referred to in item 23.1 or upon verification of non-compliance with these Clauses by the Importer, the Exporter shall implement the relevant measures to ensure the protection of the Data Subjects’ rights and the compliance of the International Data Transfer with the National Legislation and these Clauses, and may, as appropriate:

a) suspend the International Data Transfer;

b) request the return of the Personal Data, its transfer to a third-party, or its erasure; and

c) terminate the contract.

CLAUSE 20. Choice of forum and jurisdiction

20.1. Brazilian legislation applies to these Clauses and any controversy between the Parties arising from these Clauses shall be resolved before the competent courts in Brazil, observing, if applicable, the forum chosen by the Parties in Section IV.

20.2. Data Subjects may file lawsuits against the Exporter or the Importer, as they choose, before the competent courts in Brazil, including those in their place of residence.

20.3. By mutual agreement, Parties may use arbitration to resolve conflicts arising from these Clauses, provided that the procedure is carried out in Brazil and in accordance with the provisions of the Arbitration Law.

 SECTION III – Security Measures

As stated in Exhibit A below

EXHIBIT A
LIVERAMP SECURITY POLICY

This Exhibit describes the Information Security measures used by LiveRamp in providing Services under this Agreement.

1. General. LiveRamp shall use industry-standard security measures designed to protect against unauthorised access, loss and misuse of hashed or encrypted IDs, including encryption of stored information behind a secured server network and organisational, contractual, technological and managerial safeguards as more thoroughly described herein. LiveRamp security measures may be subject to change at LiveRamp’s sole discretion, however any such changes shall not diminish or reduce the requirements provided herein. All capitalised terms that are not expressly defined herein shall have the meanings given to them in the Agreement.

2. Shared Processing Environment. To provide its Products and Services LiveRamp may perform the Services from a facility that is owned by a third party, a portion of which is available for use by LiveRamp or its Affiliates through a cloud hosting arrangement, or a similar environment that is managed by LiveRamp Personnel. Any such facility, location, or environment must meet, in all material respects, the applicable requirements established herein.

3. Safeguards.  LiveRamp shall maintain reasonable administrative, technical and physical controls designed to ensure the privacy, security, and confidentiality of Partner or Client Data (“Safeguards”), that comply with this Attachment, applicable industry standards, and Laws, including:

• Physical Access. LiveRamp and, as applicable, its cloud hosting provider(s) shall maintain physical access controls designed to secure relevant facilities, infrastructure, data centres, servers, backup systems, and equipment  used to access Partner or Client Data, including controls to prevent, detect, and respond to attacks, intrusions, or other system failures.  LiveRamp and, as applicable, its cloud hosting provider(s) shall log physical access, conduct regular reviews, and require visitors to sign in and out of facilities housing systems that process, store, or transmit Confidential Information.
• User Authentication. LiveRamp shall maintain user authentication and access controls within operating systems, applications, equipment, and media.
• Personnel Security. LiveRamp shall maintain personnel security policies and practices restricting access to Partner or Client Data, including written confidentiality agreements and background checks consistent with applicable law for all personnel with access to Partner or Client Data or who maintain, implement, or administer LiveRamp’s information security program and Safeguards.
• Logging and Monitoring.  LiveRamp will log and monitor the details of access to Confidential Information on networks, systems, and devices operated by LiveRamp.  LiveRamp logging and monitoring systems must meet applicable industry standards. 
• Malware Controls.  LiveRamp will maintain reasonable and up-to-date controls to protect networks, systems, and devices that access Partner or Client Data from malware and unauthorised software.
• Security Patches. LiveRamp will maintain controls and processes designed to ensure that networks, systems, and devices (including operating systems and applications) that access Partner or Client Data  are up-to-date, including application of security updates and patches to systems and applications that process Partner or Client Data at least according to the manufacturers’ best practice recommendations or guidelines. LiveRamp must test patches, service packs, and hot fixes before installing them, according to LiveRamp’s operational change management program.
• User Account Management.  LiveRamp shall implement reasonable user account management procedures to securely create, amend, and delete user accounts on LiveRamp networks, systems, and devices, including monitoring redundant accounts and ensuring that information owners properly authorise user account requests. LiveRamp shall continually manage its user accounts. User account management shall include unique user IDs for access, a review of user access rights every 6 months at most, a review of privileged user access rights quarterly, and allow limited and controlled access to LiveRamps’s internal network.
• Password Requirements. LiveRamp shall maintain a password policy for systems and applications that process Confidential Information that, at a minimum, requires passwords to: (i) be a minimum of ten (10) characters in length; (ii) contain a mix of upper and lower case letters and at least one number and one special character; (iii) not be the username; (iv) expire at least every 90 days; (v) not be the same as any previous 6 passwords; (vi) be changed at the first logon after initial password; (vii) be encrypted at rest and in transit; (viii) be masked when entered into a system or application; (ix) lock accounts after 5 invalid login attempts; (x) not be a PIN or secret question that is any less secure than the primary authentication password or mechanism; and (xi) have a minimum password age.

4. Encryption Requirements.  Using a reasonable encryption standard, LiveRamp will encrypt all Partner or Client Data that is stored at rest within LiveRamp’s environment(s) or transferred across any network other than an internal company network owned and managed by LiveRamp.

5. Access Controls. LiveRamp shall: (a) maintain reasonable controls to ensure that only individuals who have a legitimate need to access Partner or Client Data under the Agreement will have such Access; (b)  promptly terminate an individual’s Access to Partner or Client Data when such access is no longer required for performance under the Agreement; and (c) log the appropriate details of access to Partner or Client Data on its systems and equipment.

6. Training and Supervision.   LiveRamp shall provide ongoing security, privacy, and information protection training and supervise its personnel who access Partner or Client Data.

7. Assessments; Audits; Corrections.

• Partner or Client Audits and Assessments.  Upon Partner or Client’s written request, to confirm compliance with this Attachment, LiveRamp will once annually, promptly and accurately complete Partner or Client’s written information privacy and security questionnaire regarding LiveRamp’s  information privacy and security practices in relation to all Partner or Client Data that LiveRamp receives in order to provide the Services.  Furthermore, and no more than once annually, upon written request which must be given at least ten (10) business days in advance, Partner or Client or its designated representative may assess and audit  LiveRamp’s compliance with this Attachment, LiveRamp’s responses to Partner or Client’s information privacy and security questionnaire, or LiveRamp’s compliance with privacy Laws to determine if it is adequate to protect Partner or Client Information and may, request improvements of the security controls to prevent malicious or inappropriate access to source code, data, graphics or audio/visual material used to perform services for Partner or Client.  Notwithstanding the foregoing, or anything  to the contrary in the Agreement, LiveRamp shall have no obligation to provide Partner or Client access to its systems, or provide Partner or Client certain information from its shared processing environments, including, but not limited to, records of internal vulnerability scans and penetration tests, systems logs, detailed network diagrams, and application code.
• LiveRamp Audits and Assessments.  LiveRamp will continuously monitor risk to Partner or Client Data  to ensure that the Safeguards are properly designed and maintained to prevent unauthorised access to Partner or Client Data  and will periodically (but no less than once per year) assess and document the effectiveness of its Safeguards across its networks, systems, and devices (including infrastructure, applications, and services) used to access Partner or Client Data and update its Safeguards as needed. In addition to any internal audits, LiveRamp shall conduct an annual privacy and security audit of its Safeguards covering all relevant networks, systems, devices, and media used to access Partner or Client Data using a recognized third party audit firm and a reasonable audit standard. Upon Partner or Client’s written request, LiveRamp shall provide Partner or Client a SOC 2 Report or ISO 27001 certificate as may be applicable,, or equivalent audit completed by such firm.
• Penetration Testing. LiveRamp shall periodically (but at least once per year) perform penetration testing on in-scope assets used to access Partner or Client Data. Upon written request from Partner or Client, LiveRamp shall provide evidence of such testing, which shall include an executive summary. Partner or Client shall have no right to perform vulnerability or penetration testing on LiveRamp networks or systems.
• LiveRamp Response to Audits.  Upon Partner or Client’s written request, the Parties may meet promptly upon the completion of any audit conducted pursuant to this Attachment  and/or the issuance of an interim or final report following such an audit.  The Parties shall review and escalate such audit findings as and to the extent necessary.  LiveRamp shall respond to each exit interview and/or audit report in writing within thirty (30) days, unless a shorter response time is specified in such report, and agreed upon by LiveRamp. The Parties shall develop and agree upon an action plan to promptly address and resolve any deficiencies, concerns and/or recommendations identified in such exit interview or audit report.  LiveRamp, shall then undertake remedial action in accordance with such action plan, at the dates specified in such action plan to the extent necessary to comply with LiveRamp’s obligations under this Attachment.

8. Security Breach Response. LiveRamp shall maintain policies and procedures for responding to Security Breaches, including without limitation, assigning and training a Security Coordinator, training employees, subcontractors, suppliers, vendors, agents and representatives having access to Partner or Client Data on the policies and procedures to recognize Security Breaches and escalate and notify the Security Coordinator of any Security Breach. “Security Breach”  shall mean any actual:  (1) unauthorised access to or theft of Partner or Client Data;  (2) unauthorised use of Partner or Client Data by a person with authorised access to the information for purposes of actual or reasonably suspected theft, fraud or identity theft; (3) unauthorised disclosure or alteration of Partner or Client Data ; or (4) loss of Partner or Client Data, including without limitation, any of the foregoing described in (1) – (3) caused by or resulting from a failure, lack of or inadequacy of security, physical intrusion of facilities, theft or loss of documents, laptops or storage media, or employee or contractor malfeasance. If LiveRamp has a Security Breach it shall handle such breach in accordance with its Security Incident Response Guide and:

• Notify Partner or Client within 72 hours after the discovery of the Security Breach;
• Use commercially reasonable efforts and take all necessary actions to prevent, contain, and mitigate the impact of the Security Breach;
• Promptly and in no event more than 7 business days after the Security Breach provide a written status report;
• Collect and preserve all evidence concerning the discovery, cause, vulnerability, exploit, remedial actions and impact related to the Security Breach, which shall be forensically admissible in legal proceedings; and
• Document incident response and remedial actions taken in detail, which shall be forensically admissible in legal proceedings.

0. PARTNER OR CLIENT OBLIGATIONS. Partner or Client shall have the following obligations pertaining to information security under the Agreement.

• Partner or Client shall not introduce any viruses, trojans, worms, spyware, adware, or other malware and malicious code to LiveRamp systems.
• In the event that Partner or Client becomes aware of a security incident impacting LiveRamp (whether directly on LiveRamp’s systems, or on Partner or Client’s systems with impact to LiveRamp), Partner or Client shall notify LiveRamp within 72 hours of the discovery of such incident.

ANEXO
CLÁUSULAS-PADRÃO CONTRATUAIS PARA O BRASIL

Para transferências internacionais de dados pessoais sujeitas à Lei Geral de Proteção de Dados brasileira (Lei No. 13.709/18 – “LGPD”)

SEÇÃO I – Informações Gerais

CLÁUSULA 1. Identificação das Partes

1.1. Pelo presente instrumento contratual, o Exportador e o Importador (doravante, Partes), abaixo identificados, resolvem adotar as cláusulas-padrão contratuais (doravante Cláusulas) aprovadas pela Autoridade Nacional de Proteção de Dados (ANPD), para reger a Transferência Internacional de Dados descrita na Cláusula 2, em conformidade com as disposições da Legislação Nacional.

( ) Exportador/Controlador)  

( ) Importador/Operador

CLÁUSULA 2. Objeto

2.1. Estas Cláusulas se aplicam às Transferências Internacionais de Dados do Exportador para o Importador, conforme a descrição abaixo.

Descrição da transferência internacional de dados: Conforme declarado nos Termos de Geografia Aprovados

CLÁUSULA 3. Transferências Posteriores

OPÇÃO A. 3.1. O Importador não poderá realizar Transferência Posterior dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, salvo nas hipóteses previstas no item 18.3.

CLÁUSULA 4. Responsabilidades das Partes

4.1. Sem prejuízo do dever de assistência mútua e das obrigações gerais das Partes, caberá à Parte Designada abaixo, na condição de Controlador, a responsabilidade pelo cumprimento das seguintes obrigações previstas nestas Cláusulas:
  

a) Responsável por publicar o documento previsto na Cláusula 14;

( ) Exportador

b) Responsável por atender às solicitações de titulares de que trata a CLÁUSULA 15:

( ) Exportador

c) Responsável por realizar a comunicação de incidente de segurança prevista na Cláusula 16:

( ) Exportador

4.2. Para os fins destas Cláusulas, verificado, posteriormente, que a Parte Designada na forma do item 4.1. atua como Operador, o Controlador permanecerá responsável:

a) pelo cumprimento das obrigações previstas nas Cláusulas 14, 15 e 16 e demais disposições estabelecidas na Legislação Nacional, especialmente em caso de omissão ou descumprimento das obrigações pela Parte Designada;

b) pelo atendimento às determinações da ANPD; e

c) pela garantia dos direitos dos Titulares e pela reparação dos danos causados, observado o disposto na Cláusula 17.

4.3. O Exportador responde, solidariamente, pelos danos causados pela Transferência Internacional de Dados caso está seja realizada em desconformidade com as obrigações da Legislação Nacional ou com as instruções lícitas do Terceiro Controlador, hipótese em que o Exportador se equipara a Controlador, observado o disposto na Cláusula 17.

4.4. Caso verificada a equiparação a Controlador de que trata o item 4.2, caberá ao Exportador o cumprimento das obrigações previstas nas Cláusulas 14, 15 e 16.

4.5. Ressalvado o disposto nos itens 4.2. e 4.3, não se aplica às Partes, na condição de Operadores, o disposto nas Cláusulas 14, 15 e 16.

4.6. As Partes fornecerão, em qualquer hipótese, todas as informações de que dispuserem e que se demonstrarem necessárias para que o Terceiro Controlador possa atender a determinações da ANPD e cumprir adequadamente obrigações previstas na Legislação Nacional relacionadas à transparência, ao atendimento a direitos dos titulares e à comunicação de incidentes de segurança à ANPD.

4.7. As Partes devem promover assistência mútua com a finalidade de atender às solicitações dos Titulares.

4.8. Em caso de recebimento de solicitação de Titular, a Parte deverá:

a) atender à solicitação, quando dispuser das informações necessárias;

b) informar ao Titular o canal de atendimento disponibilizado pelo Terceiro Controlador; ou

c) encaminhar a solicitação para o Terceiro Controlador o quanto antes, a fim de viabilizar a resposta no prazo previsto na Legislação Nacional.

4.9. As Partes devem manter o registro de incidentes de segurança com dados pessoais, nos termos da Legislação Nacional.

SEÇÃO II – Cláusulas Mandatórias

CLÁUSULA 1. Finalidade

1.1. Estas Cláusulas se apresentam como mecanismo viabilizador do fluxo internacional seguro de dados pessoais, estabelecem garantias mínimas e condições válidas para a realização de Transferência Internacional de Dados e visam garantir a adoção das salvaguardas adequadas para o cumprimento dos princípios, dos direitos do Titular e do regime de proteção de dados previstos na Legislação Nacional.

CLÁUSULA 2. Definições

2.1. Para os fins destas Cláusulas, serão consideradas as definições do art. 5° da Lei nº 13.709, de 14 de agosto de 2018, e do art. 3º do Regulamento de Transferência Internacional de Dados Pessoais, sem prejuízo de outros atos normativos expedidos pela ANPD. As Partes concordam, ainda, em considerar os termos e seus respectivos significados, conforme exposto a seguir:

a) Agentes de tratamento: o controlador e o operador;

b) ANPD: Autoridade Nacional de Proteção de Dados;

c) Cláusulas: as cláusulas-padrão contratuais aprovadas pela ANPD, que integram as Seções I, II e III;

d) Contrato Coligado: instrumento contratual firmado entre as Partes ou, pelo menos, entre uma destas e um terceiro, incluindo um Terceiro Controlador, que possua propósito comum, vinculação ou relação de dependência com o contrato que rege a Transferência Internacional de Dados;

e) Controlador: Parte ou terceiro (“Terceiro Controlador”) a quem compete as decisões referentes ao tratamento de Dados Pessoais;

f) Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;

g) Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

h) Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

i) Exportador: agente de tratamento, localizado no território nacional ou em país estrangeiro, que transfere dados pessoais para Importador;

j) Importador: agente de tratamento, localizado em país estrangeiro ou que seja organismo internacional, que recebe dados pessoais transferidos por Exportador;

k) Legislação Nacional: conjunto de dispositivos constitucionais, legais e regulamentares brasileiros a respeito da proteção de Dados Pessoais, incluindo a Lei nº 13.709, de 14 de agosto de 2018, o Regulamento de Transferência Internacional de Dados e outros atos normativos expedidos pela ANPD;

l) Lei de Arbitragem: Lei nº 9.307, de 23 de setembro de 1996;

m) Medidas de Segurança: medidas técnicas e administrativas adotadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

n) Órgão de Pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;

o) Operador: Parte ou terceiro, incluindo um Subcontratado, que realiza o tratamento de Dados Pessoais em nome do Controlador;

p) Parte Designada: Parte do contrato designada, nos termos da Cláusula 4 (“Opção A”), para cumprir, na condição de Controlador, obrigações específicas relativas à transparência, direitos dos Titulares e comunicação de incidentes de segurança;

q) Partes: Exportador e Importador;

r) Solicitação de Acesso: solicitação de atendimento obrigatório, por força de lei, regulamento ou determinação de autoridade pública, para conceder acesso aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas;

s) Subcontratado: agente de tratamento contratado pelo Importador, sem vínculo com o Exportador, para realizar tratamento de Dados Pessoais após uma Transferência Internacional de Dados;

t) Terceiro Controlador: Controlador dos Dados Pessoais que fornece instruções por escrito para a realização, em seu nome, da Transferência Internacional de Dados entre Operadores regida por estas Cláusulas, na forma da Cláusula 4 (“Opção B”);

u) Titular: pessoa natural a quem se referem os Dados Pessoais que são objeto da Transferência Internacional de Dados regida por estas Cláusulas;

v) Transferência: modalidade de tratamento por meio da qual um agente de tratamento transmite, compartilha ou disponibiliza acesso a Dados Pessoais a outro agente de tratamento;

w) Transferência Internacional de Dados: transferência de Dados Pessoais para país estrangeiro ou organismo internacional do qual o país seja membro; e

x) Transferência Posterior: transferência Internacional de Dados, originada de um Importador, e destinada a um terceiro, incluindo um Subcontratado, desde que não configure Solicitação de Acesso.

CLÁUSULA 3. Legislação aplicável e fiscalização da ANPD

3.1. A Transferência Internacional de Dados objeto das presentes Cláusulas submete-se à Legislação Nacional e à fiscalização da ANPD, incluindo o poder de aplicar medidas preventivas e sanções administrativas a ambas as Partes, conforme o caso, bem como o de limitar, suspender ou proibir as transferências internacionais decorrentes destas Cláusulas ou de um Contrato Coligado.

CLÁUSULA 4. Interpretação

4.1. Qualquer aplicação destas Cláusulas deve ocorrer de acordo com os seguintes termos:

a) estas Cláusulas devem sempre ser interpretadas de forma mais favorável ao Titular e de acordo com as disposições da Legislação Nacional;

b) em caso de dúvida sobre o significado de termos destas Cláusulas, aplica-se o significado que mais se alinha com a Legislação Nacional;

c) nenhum item destas Cláusulas, incluindo-se aqui um Contrato Coligado e as disposições previstas na Seção IV, poderá ser interpretado com o objetivo de limitar ou excluir a responsabilidade de qualquer uma das Partes em relação a obrigações previstas na Legislação Nacional; e

d) as disposições das Seções I e II prevalecem em caso de conflito de interpretação com Cláusulas adicionais e demais disposições previstas nas Seções III e IV deste instrumento ou em Contratos Coligados.

CLÁUSULA 5. Possibilidade de adesão de terceiros

5.1. Em comum acordo entre as Partes, é possível a um agente de tratamento aderir a estas Cláusulas na condição de Exportador ou de Importador, por meio do preenchimento e assinatura de documento escrito, que integrará o presente instrumento.

5.2. A parte aderente terá os mesmos direitos e obrigações das Partes originárias, conforme a posição assumida de Exportador ou Importador e de acordo com a categoria de agente de tratamento correspondente.

CLÁUSULA 6. Obrigações gerais das Partes

6.1. As Partes se comprometem a adotar e, quando necessário, demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das disposições destas Cláusulas e da Legislação Nacional e, inclusive, da eficácia dessas medidas e, em especial:

a) utilizar os Dados Pessoais somente para as finalidades específicas descritas na Cláusula 2, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, observadas, em qualquer caso, as limitações, garantias e salvaguardas previstas nestas Cláusulas;

b) garantir a compatibilidade do tratamento com as finalidades informadas ao Titular, de acordo com o contexto do tratamento;

c) limitar o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de Dados Pessoais;

d) garantir aos Titulares, observado o disposto na Cláusula 4.

(d.1.) informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

(d.2.) consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus Dados Pessoais; e

(d.3.) a exatidão, clareza, relevância e atualização dos Dados Pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

e) adotar as medidas de segurança apropriadas e compatíveis com os riscos envolvidos na Transferência Internacional de Dados regida por estas Cláusulas;

f) não realizar tratamento de Dados Pessoais para fins discriminatórios ilícitos ou abusivos;

g) assegurar que qualquer pessoa que atue sob sua autoridade, inclusive subcontratados ou qualquer agente que com ele colabore, de forma gratuita ou onerosa, realize tratamento de dados apenas em conformidade com suas instruções e com o disposto nestas Cláusulas; e

h) manter registro das operações de tratamento dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, e apresentar a documentação pertinente à ANPD, quando solicitado.

CLÁUSULA 7. Dados pessoais sensíveis

7.1. Caso a Transferência Internacional de Dados envolva Dados Pessoais sensíveis, as Partes aplicarão salvaguardas adicionais, incluindo medidas de segurança específicas e proporcionais aos riscos da atividade de tratamento, à natureza específica dos dados e aos interesses, direitos e garantias a serem protegidos, conforme descrito na Seção III.

CLÁUSULA 8. Dados pessoais de crianças e adolescentes

8.1. Caso a Transferência Internacional de Dados envolva Dados Pessoais de crianças e adolescentes, as Partes aplicarão salvaguardas adicionais, incluindo medidas que assegurem que o tratamento seja realizado em seu melhor interesse, nos termos da Legislação Nacional e dos instrumentos pertinentes de direito internacional.

CLÁUSULA 9. Uso legal dos dados

9.1. O Exportador garante que os Dados Pessoais foram coletados, tratados e transferidos para o Importador de acordo com a Legislação Nacional.

CLÁUSULA 10. Transparência

10.1. A Parte Designada publicará, em sua página na Internet, documento contendo informações facilmente acessíveis redigidas em linguagem simples, clara e precisa sobre a realização da Transferência Internacional de Dados, incluindo, pelo menos, informações sobre:

a) a forma, a duração e a finalidade específica da transferência internacional;

b) o país de destino dos dados transferidos;

c) a identificação e os contatos da Parte Designada;

d) o uso compartilhado de dados pelas Partes e a finalidade;

e) as responsabilidades dos agentes que realizarão o tratamento;

f ) os direitos do Titular e os meios para o seu exercício, incluindo canal de fácil acesso disponibilizado para atendimento às suas solicitações e o direito de peticionar contra o Controlador perante a ANPD; e

g) Transferências Posteriores, incluindo as relativas aos destinatários e à finalidade da transferência.

10.2. O documento referido no item 14.1. poderá ser disponibilizado em página específica ou integrado, de forma destacada e de fácil acesso, à Política de Privacidade ou documento equivalente.

10.3. A pedido, as Partes devem disponibilizar, gratuitamente, ao Titular uma cópia destas Cláusulas, observados os segredos comercial e industrial.

10.4. Todas as informações disponibilizadas aos titulares, nos termos destas Cláusulas, deverão ser redigidas na língua portuguesa.

CLÁUSULA 11. Direitos do Titular

11.1. O Titular tem direito a obter da Parte Designada, em relação aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, a qualquer momento, e mediante requisição, nos termos da Legislação Nacional:

a) confirmação da existência de tratamento;

b) acesso aos dados;

c) correção de dados incompletos, inexatos ou desatualizados;

d) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com estas Cláusulas e com o disposto na Legislação Nacional;

e) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da ANPD, observados os segredos comercial e industrial;

f) eliminação dos Dados Pessoais tratados com o consentimento do Titular, exceto nas hipóteses previstas na Cláusula 20;

g) informação das entidades públicas e privadas com as quais as Partes realizaram uso compartilhado de dados;

h) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

i) revogação do consentimento mediante procedimento gratuito e facilitado, ratificados os tratamentos realizados antes do requerimento de eliminação;

j) revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; e

k) informações a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

11.2. O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nestas Cláusulas ou na Legislação Nacional.

11.3. O prazo para atendimento às solicitações previstas nesta Cláusula e no item 14.3. é de 15 (quinze) dias contados da data do requerimento do titular, ressalvada a hipótese de prazo distinto estabelecido em regulamentação específica da ANPD.

11.4. Caso a solicitação do Titular seja direcionada à Parte não designada como responsável pelas obrigações previstas nesta Cláusula ou no item 14.3., a Parte deverá:

a) informar ao Titular o canal de atendimento disponibilizado pela Parte Designada; ou

b) encaminhar a solicitação para a Parte Designada o quanto antes, a fim de viabilizar a resposta no prazo previsto no item 15.2.

11.5. As Partes deverão informar, imediatamente, aos Agentes de Tratamento com os quais tenham realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.

11.6. As Partes devem promover assistência mútua com a finalidade de atender às solicitações dos Titulares.

CLÁUSULA 12. Comunicação de Incidente de Segurança

12.1. A Parte Designada deverá comunicar à ANPD e aos Titulares, no prazo de 3 (três) dias úteis, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante para os Titulares, observado o disposto na Legislação Nacional.

12.2. O Importador deve manter o registro de incidentes de segurança nos termos da Legislação Nacional.

CLÁUSULA 13. Responsabilidade e ressarcimento de danos

13.1. A Parte que, em razão do exercício da atividade de tratamento de Dados Pessoais, causar dano patrimonial, moral, individual ou coletivo, em violação às disposições destas Cláusulas e da Legislação Nacional, é obrigada a repará-lo.

13.2. O Titular poderá pleitear a reparação do dano causado por quaisquer das Partes em razão da violação destas Cláusulas.

13.3. A defesa dos interesses e dos direitos dos Titulares poderá ser pleiteada em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente acerca dos instrumentos de tutela individual e coletiva.

13.4. A Parte que atuar como Operador responde, solidariamente, pelos danos causados pelo tratamento quando descumprir as presentes Cláusulas ou quando não tiver seguido as instruções lícitas do Controlador, ressalvado o disposto no item 17.6.

13.5. Os Controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao Titular respondem, solidariamente, por estes danos, ressalvado o disposto no item 17.6.

13.6. Não caberá responsabilização das Partes se comprovado que:

a) não realizaram o tratamento de Dados Pessoais que lhes é atribuído;

b) embora tenham realizado o tratamento de Dados Pessoais que lhes é atribuído, não houve violação a estas Cláusulas ou à Legislação Nacional; ou

c) o dano é decorrente de culpa exclusiva do Titular ou de terceiro que não seja destinatário de Transferência Posterior ou subcontratado pelas Partes.

13.7. Nos termos da Legislação Nacional, o juiz poderá inverter o ônus da prova a favor do Titular quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo Titular resultar-lhe excessivamente onerosa.

13.8. As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos desta Cláusula podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.

13.9. A Parte que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.

CLÁUSULA 14. Salvaguardas para Transferência Posterior

14.1. O Importador somente poderá realizar Transferências Posteriores dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas se expressamente autorizado, conforme as hipóteses e condições descritas na Cláusula 3.

14.2. Em qualquer caso, o Importador:

a) deve assegurar que a finalidade da Transferência Posterior é compatível com as finalidades específicas descritas na Cláusula 2;

b) deve garantir, mediante instrumento contratual escrito, que as salvaguardas previstas nestas Cláusulas serão observadas pelo terceiro destinatário da Transferência Posterior; e

c) para fins destas Cláusulas, e em relação aos Dados Pessoais transferidos, será considerado o responsável por eventuais irregularidades praticadas pelo terceiro destinatário da Transferência Posterior.

14.3. A Transferência Posterior poderá, ainda, ser realizada com base em outro mecanismo válido de Transferência Internacional de Dados previsto na Legislação Nacional, independentemente da autorização de que trata a Cláusula 3.

CLÁUSULA 15. Notificação de Solicitação de Acesso

15.1. O Importador notificará o Exportador e o Titular sobre Solicitação de Acesso relacionada aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, ressalvada a hipótese de vedação de notificação pela lei do país de tratamento dos dados.

15.2. O Importador adotará as medidas legais cabíveis, incluindo ações judiciais, para proteger os direitos dos Titulares sempre que houver fundamento jurídico adequado para questionar a legalidade da Solicitação de Acesso e, se for o caso, a vedação de realizar a notificação referida no item 19.1.

15.3. Para atender às solicitações da ANPD e do Exportador, o Importador deve manter registro de Solicitações de Acesso, incluindo data, solicitante, finalidade da solicitação, tipo de dados solicitados, número de solicitações recebidas e medidas legais adotadas.

CLÁUSULA 16. Término do tratamento e eliminação dos dados

16.1. As Partes deverão eliminar os Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas após o término do tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação apenas para as seguintes finalidades:

a) cumprimento de obrigação legal ou regulatória pelo Controlador;

b) estudo por Órgão de Pesquisa, garantida, sempre que possível, a anonimização dos Dados Pessoais;

c) transferência a terceiro, desde que respeitados os requisitos previstos nestas Cláusulas e na Legislação Nacional; e

d) uso exclusivo do Controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

16.2. Para fins desta Cláusula, considera-se que o término do tratamento ocorrerá quando:

a) alcançada a finalidade prevista nestas Cláusulas;

b) os Dados Pessoais deixarem de ser necessários ou pertinentes ao alcance da finalidade específica prevista nestas Cláusulas;

c) finalizado o período de tratamento;

d) atendida solicitação do Titular; e

e) determinado pela ANPD, quando houver violação ao disposto nestas Cláusulas ou na Legislação Nacional.

CLÁUSULA 17. Segurança no tratamento dos dados

17.1. As Partes deverão adotar medidas de segurança que garantam proteção aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, mesmo após o seu término.

17.2. As Partes informarão, na Seção III, as Medidas de Segurança adotadas, considerando a natureza das informações tratadas, as características específicas e a finalidade do tratamento, o estado atual da tecnologia e os riscos para os direitos dos Titulares, especialmente no caso de dados pessoais sensíveis e de crianças e adolescentes.

17.3. As Partes deverão realizar os esforços necessários para adotar medidas periódicas de avaliação e revisão visando manter nível de segurança adequado às características do tratamento de dados.

CLÁUSULA 18. Legislação do país destinatário dos dados

18.1. O Importador declara que não identificou leis ou práticas administrativas do país destinatário dos Dados Pessoais que o impeçam de cumprir as obrigações assumidas nestas Cláusulas.

18.2. Sobrevindo alteração normativa que altere esta situação, o Importador notificará, de imediato, o Exportador para avaliação da continuidade do contrato.

CLÁUSULA 19. Descumprimento das Cláusulas pelo Importador

19.1. Havendo violação das salvaguardas e garantias previstas nestas Cláusulas ou a impossibilidade de seu cumprimento pelo Importador, o Exportador deverá ser comunicado imediatamente, ressalvado o disposto no item 19.1.

19.2. Recebida a comunicação de que trata o item 23.1 ou verificado o descumprimento destas Cláusulas pelo Importador, o Exportador adotará as providências pertinentes para assegurar a proteção aos direitos dos Titulares e a conformidade da Transferência Internacional de Dados com a Legislação Nacional e as presentes Cláusulas, podendo, conforme o caso:

a)suspender a Transferência Internacional de Dados;

b) solicitar a devolução dos Dados Pessoais, sua transferência a um terceiro, ou a sua eliminação; e

c) rescindir o contrato.

CLÁUSULA 20. Eleição do foro e jurisdição

20.1. Aplica-se a estas Cláusulas a legislação brasileira e qualquer controvérsia entre as Partes decorrente destas Cláusulas será resolvida perante os tribunais competentes do Brasil, observado, se for o caso, o foro eleito pelas Partes na Seção IV.

20.2. Os Titulares podem ajuizar ações judiciais contra o Exportador ou o Importador, conforme sua escolha, perante os tribunais competentes no Brasil, inclusive naqueles localizados no local de sua residência.

20.3. Em comum acordo, as Partes poderão se valer da arbitragem para resolver os conflitos decorrentes destas Cláusulas, desde que realizada no Brasil e conforme as disposições da Lei de Arbitragem.

SEÇÃO III – Medidas De Segurança