Introdução ao Contrato de Tratamento de Dados da Uber

A Uber exige que seus fornecedores concordem com os termos estabelecidos em seu Contrato de Tratamento de Dados, que rege o tratamento das Informações Confidenciais da Uber, incluindo os Dados Pessoais da Uber.

Estes termos têm como objetivo proteger a confidencialidade e a segurança das Informações Confidenciais da Uber e permitir que a Uber cumpra com exigências de leis globais de proteção de dados, incluindo, conforme aplicável (a depender do tratamento de Dados Pessoais da Uber realizado pelos fornecedores), a Lei Geral de Proteção de Dados do Brasil (“LGPD”) e a Lei Federal de Proteção de Dados Pessoais Retidos por Partes Privadas do México (LFPDPPP).

O Contrato de Tratamento de Dados aborda especificamente:

1. Exigências e limitações gerais relacionadas ao tratamento das Informações Confidenciais da Uber pelos fornecedores, inclusive no que diz respeito à segurança de dados, incidentes de segurança de dados, avaliações e auditorias de risco, retenção e exclusão de dados e uso de Suboperadores.
   
2. A designação dos papeis desempenhados pela Uber e pelos fornecedores com relação ao tratamento dos Dados Pessoais da Uber.
   1. O Contrato exige especificamente que as partes indiquem se estão agindo como um “Controlador” ou “Operador” de Informações Confidenciais da Uber, conforme a definição desses termos na LGPD.
   2. O Contrato também especifica as responsabilidades de cada parte com base nas designações acima.

Notifique seu contato da Uber se tiver dúvidas sobre o Contrato de Tratamento de Dados da Uber.

CONTRATO DE TRATAMENTO DE DADOS DA UBER

Este Contrato de Tratamento de Dados ("Contrato") integra os demais acordos (coletivamente, "Contrato Principal") celebrados entre a Uber e o Fornecedor (doravante designadas individualmente como "Parte" e, em conjunto, "Partes"), e estabelece os requisitos aplicáveis ao tratamento de Informações Confidenciais da Uber pelo Fornecedor, incluindo (1) Informações Confidenciais da Uber (consulte a Seção 2 abaixo); e (2) Dados Pessoais da Uber (consulte a seção 3 abaixo).

DEFINIÇÕES

Além dos termos definidos abaixo, as seguintes definições devem ser consideradas para fins deste Contrato:

1. os termos “Controlador”, “Titular de Dados”, “Dados Pessoais", "Transferência Internacional", "Tratamento" e “Operador” terão o mesmo significado dos termos definidos na LGPD;
2. os termos “Fornecedor” e “Serviços” terão os mesmos significados que os estabelecidos no Contrato Principal;
3. a classificação de uma Parte como “Business” sob o CCPA/CPRA será considerada equivalente a “Controlador”, assim como a classificação de “Third Party", caso a Parte trate Dados Pessoais da Uber de forma independente;
4. a classificação de uma Parte como “Service Provider” e “Contractor” sob o CCPA/CPRA será considerada equivalente a “Operador”;
   1. Leis de Proteção de Dados: todas as leis e regulamentos aplicáveis ao Tratamento de Dados Pessoais da Uber de acordo com este Contrato, incluindo, conforme aplicável, o Regulamento Geral de Proteção de Dados da UE [EU General Data Protection Regulation] (2016/679), a Lei Geral de Proteção de Dados (LGPD) e a Lei Federal de Proteção de Dados Pessoais Retidos por Partes Privadas (LFPDPPP).
   2. Incidente de Segurança de Dados: qualquer acesso não autorizado, aquisição ou Tratamento ilícito de Informações Confidenciais da Uber, ou comprometimento da segurança ou integridade dessas Informações Confidenciais da Uber ou de qualquer Sistema usado pelo Fornecedor, seus representantes ou Suboperadores para Tratar tais dados.
   3. Excluir ou Exclusão: destruir física ou logicamente as Informações Confidenciais da Uber de modo que elas não possam ser recuperadas.
   4. Descoberta: qualquer caso em que o Fornecedor descubra um Incidente de Segurança de Dados, seja notificado sobre um Incidente de Segurança de Dados, ou teria meios de descobrir um Incidente de Segurança de Dados se tivesse realizado diligência razoável.
   5. Suboperador: um Operador contratado pelo Fornecedor para Tratar Informações Confidenciais da Uber.
   6. Sistema: qualquer sistema de arquivos, sistema de computação, banco de dados, dispositivo, equipamento, servidor, site, aplicativo, software, mídia de armazenamento, rede, infraestrutura, ambiente ou domínio de rede, incluindo, sem limitação, todos os ambientes de desenvolvimento, garantia de qualidade, preparação e produção.
   7. Uber: Uber Technologies, Inc. e qualquer subsidiária ou afiliada da Uber.
   8. Titular dos Dados da Uber: Qualquer Titular de Dados cujos Dados Pessoais da Uber são, ou serão, Tratados pelo Fornecedor.
   9. Dados pessoais da Uber: Dados Pessoais do Titular da Uber que são Tratados pelo Fornecedor para os fins deste Contrato.

Para os fins deste Contrato, os Dados Pessoais da Uber não incluem o nome e as informações de contato dos funcionários da Uber responsáveis pela interação com o Fornecedor no curso da execução do Contrato Principal, e quaisquer Dados Pessoais recebidos de forma incidental pelo Fornecedor como resultado dessas interações.

• 1. Informações Confidenciais da Uber: todos os dados, registros ou informações, inclusive Dados Pessoais da Uber, que sejam de propriedade de ou controlados pela Uber e divulgados, fornecidos ou disponibilizados ao Fornecedor pela Uber ou em nome da Uber, ou coletados, criados, mantidos ou usados pelo Fornecedor em nome da Uber, em conexão com os Serviços, conforme descrito no Contrato Principal.
  2. Sistema da Uber: qualquer Sistema que seja de propriedade de, licenciado, operado ou controlado pela Uber, ou ao qual a Uber tenha concedido acesso ao Fornecedor.

REQUISITOS: INFORMAÇÕES CONFIDENCIAIS DA UBER

• 1. Segurança de Dados: O Fornecedor manterá salvaguardas físicas, administrativas, organizacionais e técnicas adequadas, além de outras medidas de segurança, para manter a integridade, segurança e confidencialidade das Informações Confidenciais da Uber. As medidas incluirão, no mínimo, as estabelecidas no Anexo 1 deste Contrato.
  2. Gerente de Segurança: O Fornecedor designará uma pessoa responsável por gerenciar e coordenar o desempenho das obrigações do Fornecedor previstas neste Contrato, garantindo sua disponibilidade para a Uber durante a vigência do Contrato Principal.
  3. Incidentes de Segurança de Dados
     1. Investigação. Quando da Descoberta de um Incidente de Segurança de Dados, o Fornecedor tomará, às suas próprias custas, todas as medidas razoáveis para: investigar completa e minuciosamente a causa, a natureza e o escopo do comprometimento de tal Incidente de Segurança de Dados; remediar e mitigar os efeitos do Incidente de Segurança de Dados; e disponibilizar à Uber todas as informações necessárias ou solicitadas para que a Uber cumpra com as leis aplicáveis e os processos internos de resposta a Incidentes de Segurança de Dados. Mediante solicitação da Uber, o Fornecedor apresentará relatórios complementares detalhados sobre a investigação e as suas conclusões. O Fornecedor deverá, às suas próprias custas, cooperar integralmente com a Uber na investigação e resposta a cada Incidente de Segurança de Dados, inclusive permitindo o pronto acesso aos seus Sistemas e/ou instalações pela Uber e/ou pelo investigador da Uber.
     2. Notificação à Uber. O Fornecedor notificará a Uber, no prazo de 48 (quarenta e oito) horas após a Descoberta, por meio do colaborador ou da equipe da Uber designada para receber notificações conforme o Contrato Principal, e por e-mail para vendorsecurity@uber.com. O Fornecedor deverá incluir nesta notificação, e complementá-la com, conforme necessário:

1. uma descrição do Incidente de Segurança de Dados, inclusive causa principal (se identificável), local, data e hora e detalhes da sua Descoberta;
2. uma descrição das medidas que o Fornecedor tomou ou que tomará para investigar e mitigar o impacto do Incidente de Segurança de Dados;
3. os tipos e o volume das Informações Confidenciais da Uber afetadas, incluindo se os dados foram criptografados ou suprimidos;
4. o número, localização (estado/país) e identificação de todos os Titulares de Dados da Uber afetados – se aplicável –, incluindo a quantidade de crianças, adolescentes ou idosos impactados;
5. as consequências previstas do Incidente de Segurança de Dados, incluindo possíveis danos e se o Incidente de Segurança de Dados pode impedir os Titulares de Dados da Uber afetados de: (i) exercerem seus direitos; e/ou (ii) acessarem ou utilizarem serviços;
6. uma descrição das medidas que o Fornecedor tomou, ou planeja tomar, para mitigar tais consequências e proteger as Informações Confidenciais da Uber; e
7. Planos do Fornecedor para ações corretivas em resposta ao Incidente de Segurança de Dados.
   • 1. Notificações para Terceiros. O Fornecedor auxiliará a Uber a enviar as notificações exigidas por lei a qualquer titular de dados, órgão regulador ou terceiro (“Notificações para Terceiros"). Nesse caso, (i) a Uber terá controle exclusivo sobre o conteúdo, o cronograma e o método de distribuição de tal notificação, salvo se exigido de outra forma por lei; (ii) O Fornecedor poderá realizar uma Notificação para Terceiros somente mediante aprovação e instruções prévias por escrito da Uber, a menos que seja exigido de outra forma por lei aplicável (caso no qual o Fornecedor fornecerá à Uber, com a maior brevidade possível e sempre anteriormente à notificação, cópia de tal notificação para qualquer regulador, Titular dos Dados ou outro terceiro, a menos que exigido de outra forma pela lei aplicável); e (iii) o Fornecedor reembolsará a Uber por todas despesas razoáveis incorridas pela Uber com relação a qualquer notificação relacionada ao Incidente de Segurança de Dados pelo qual o Fornecedor seja total ou parcialmente responsável.
     2. Confidencialidade. O Fornecedor se absterá de divulgar a ocorrência de ou informações sobre o Incidente de Segurança de Dados no que diz respeito à Uber ou quaisquer Informações Confidenciais da Uber, Titular de Dados da Uber ou Sistema da Uber, inclusive a qualquer autoridade governamental, sem o consentimento prévio por escrito da Uber.
     3. Mitigação e remediação. O Fornecedor deverá, imediatamente e sem atrasos injustificados, (i) conter todas as vulnerabilidades, atividades e outras circunstâncias que causaram ou deram origem ao Incidente de Segurança de Dados; (ii) adotar todas as medidas corretivas necessárias e apropriadas e cooperar com a Uber de forma razoável para mitigar e retificar tal Incidente de Segurança de Dados.
     4. Pedidos de Informação Pública. O Fornecedor será responsável por gerenciar e responder a consultas, perguntas ou outras solicitações da mídia, da imprensa ou de outros membros do público ("Pedidos de Informação Pública") relacionadas a um Incidente de Segurança de Dados. O Fornecedor designará uma ou mais pessoas responsáveis por gerenciar e responder aos Pedidos de Informação Pública e fornecerá os nomes e as informações de contato de todas essas pessoas à Uber, mediante solicitação.
   1. Retenção e exclusão de dados: O Fornecedor deverá Excluir ou devolver à Uber imediatamente, a critério da Uber, todas as Informações Confidenciais da Uber que estiverem na sua posse, custódia e controle: (i) com a rescisão ou término do Contrato Principal; (ii) com a dissolução ou insolvência dos negócios do Fornecedor; (iii) quando o Tratamento não for mais necessário para o cumprimento de suas obrigações sob o Contrato Principal; ou (iv) mediante solicitação da Uber.
   2. Avaliações de Risco
      
      1. O Fornecedor deverá concluir e ser aprovado em uma avaliação de riscos à segurança da informação ("Avaliação de Risco") conduzida pela Uber antes da Data de entrada em vigor.
         
         Após a Avaliação de Risco inicial, o Fornecedor deve completar Avaliações de Risco conduzidas pela equipe de Gerenciamento de Riscos de Terceiros da Uber periodicamente (não mais do que uma vez ao ano), ou caso: (i) o Fornecedor passe a oferecer produtos ou serviços adicionais à Uber que não estavam no escopo da Avaliação de Risco inicial ou da última Avaliação de Risco realizada; (ii) a natureza ou as finalidades para o Tratamento das Informações Confidenciais da Uber mudem; (iii) o Fornecedor passe a transferir Dados Pessoais da Uber para um país que não estava no escopo da Avaliação de Risco inicial ou da última Avaliação de Risco realizada; (iv) o Fornecedor promova mudanças significativas ao Tratamento de Informações Confidenciais da Uber que possam afetar a segurança dos dados ou a capacidade de o Fornecedor cumprir com este Contrato; (v) uma Avaliação de Risco for razoavelmente necessária para que a Uber cumpra com as Leis de Proteção de Dados ou outras obrigações relacionadas a segurança de dados; (vi) uma Avaliação de Risco for razoavelmente necessária para que a Uber cumpra com uma solicitação, ordem ou acordo com um regulador, ou com alguma outra obrigação legal; ou (vii) ocorra um Incidente de Segurança dos Dados.
      2. Requisitos. O Fornecedor fornecerá à Uber todas as informações razoavelmente necessárias para a conclusão da Avaliação de Risco. Essas informações podem incluir, entre outras, questionários de avaliação de risco; políticas e procedimentos de segurança de dados; políticas e procedimentos de classificação e manuseio de dados; relatórios de conformidade ou auditorias de segurança de dados que avaliem a efetividade do programa de segurança de informações, sistema(s), controles internos e processos relacionados ao Tratamento de Dados Pessoais da Uber pelo Fornecedor, em face de frameworks aceitos pela indústria, como ISO, SSAE16, SOC ou NIST; e outras informações solicitadas pela Uber para avaliar o programa de segurança da informação do Fornecedor, seus controles e o Tratamento das Informações Confidenciais da Uber. Cópias das políticas, processos e outros documentos do Fornecedor poderão ser fornecidos à Uber ou apresentados por meio de um aplicativo de compartilhamento de tela, conforme acordado pelas Partes.
      3. Logs de auditoria. O Fornecedor deverá manter registros e logs de auditoria dos Sistemas de Informação, incluindo logs de aplicações, logs de acesso, logs de autenticação, logs de rede, logs de dispositivos de usuários finais, e logs de sistemas de segurança, na medida necessária para permitir o monitoramento, a análise, a investigação e o reporte de atividades ilegais, não autorizadas ou inadequadas no Sistema. Além disso, deverá garantir que as ações de usuários individuais dos Sistemas de Informação possam ser rastreadas de forma exclusiva até esses usuários, de modo que possam ser responsabilizados por suas ações e que investigações adequadas de Incidentes de Segurança de Dados possam ser conduzidas.
   3. Auditorias.
      
      1. Auditorias: O Fornecedor permitirá que a Uber, mediante notificação por escrito e com antecedência razoável, audite, durante o horário comercial e às suas próprias custas, as instalações, redes, sistemas e procedimentos, o Tratamento das Informações Confidenciais da Uber e a conformidade com este Contrato. A Uber poderá exercer esse direito uma vez por ano, exceto nos casos em que um Incidente de Segurança de Dados tenha ocorrido ou quando for necessário para cumprir com Leis de Proteção de Dados ou outras obrigações legais.
      2. Requisitos de auditoria. O Fornecedor cooperará de forma razoável com as auditorias descritas no parágrafo anterior, fornecendo acesso a pessoal qualificado, instalações físicas, conforme aplicável, documentação, infraestrutura e qualquer software ou aplicação que Trate Informações Confidenciais da Uber ou tenha acesso às instalações, redes, sistemas e procedimentos da Uber. A Uber será responsável pelos custos e despesas relacionados a essa auditoria (ou pelos honorários e custos do terceiro que realizar a auditoria), salvo se essa auditoria revelar, ou seja iniciada devido a, uma violação material do Contrato Principal, incluindo este Contrato. Nesse caso, o Fornecedor reembolsará a Uber por tais custos e despesas. O Fornecedor deverá analisar e corrigir prontamente todas as deficiências identificadas em qualquer auditoria.
   4. Suboperadores
      
      1. Suboperadores Autorizados. O Fornecedor NÃO deverá permitir que qualquer Suboperador trate Informações Confidenciais da Uber, exceto aqueles identificados durante uma Avaliação de Risco. Caso o Fornecedor deseje contratar qualquer outro Suboperador, deverá notificar a Uber, incluindo os propósitos para os quais o Suboperador tratará as Informações Confidenciais da Uber, com pelo menos 30 dias de antecedência antes do início de tal tratamento. Caso a Uber não apresente objeção a essa contratação, será considerado que a Uber aprovou a contratação do Suboperador.
      2. Obrigações do Suboperador. O Fornecedor deverá firmar um contrato com cada Suboperador, antes do início do tratamento das Informações Confidenciais da Uber, que imponha obrigações que não sejam menos restritivas e que ofereçam, no mínimo, o mesmo nível de proteção às Informações Confidenciais da Uber que as obrigações impostas ao Fornecedor sob este Contrato. A Uber poderá solicitar uma cópia desse contrato e poderá negar a autorização para o uso desse Suboperador caso o Fornecedor não forneça o contrato ou caso o contrato não contenha proteções adequadas para as Informações Confidenciais da Uber. O Fornecedor poderá suprimir trechos do contrato antes de compartilhá-lo com a Uber, na medida necessária para proteger seus segredos comerciais ou informações confidenciais.
      3. Conformidade do Suboperador com as Leis de Proteção de Dados. O Fornecedor é responsável por garantir que os Suboperadores cumpram as Leis de Proteção de Dados aplicáveis no que diz respeito ao Tratamento de Dados Pessoais da Uber pelos Suboperadores.
      4. Suboperador. O uso de Suboperadores pelo Fornecedor não afeta nem limita a responsabilidade do Fornecedor nos termos deste Contrato.
   5. Indenização: As disposições de Indenização no Contrato Principal prevalecerão.

REQUISITOS: DADOS PESSOAIS DA UBER

• 1. Papel das Partes: Salvo disposição em contrário no Contrato Principal, as Partes reconhecem e concordam que a Uber é a Controladora dos Dados Pessoais da Uber Tratados em conexão com o Contrato Principal¹, e que o Fornecedor é um Operador em conexão com tal Tratamento.
  2. Requisitos gerais: O Fornecedor reconhece e concorda que:
     
     1. Entende e cumprirá todas as exigências das Leis de Proteção de Dados aplicáveis relacionadas ao Tratamento de Dados Pessoais da Uber.
     2. Notificará a Uber se determinar que não pode mais cumprir suas obrigações sob as Leis de Proteção de Dados aplicáveis, a menos que exigido de outra forma por lei. Ao receber tal notificação, a Uber poderá tomar medidas razoáveis e apropriadas para interromper o Tratamento dos Dados Pessoais da Uber pelo Fornecedor e remediar quaisquer riscos aos Titulares dos Dados da Uber resultantes de tal Tratamento. O Fornecedor deverá auxiliar a Uber, na medida do razoável, em relação a tais medidas (incluindo, se aplicável, a cessação do Tratamento).
     3. Não alugará, venderá, compartilhará, divulgará, combinará com outros dados ou tratará de qualquer outra forma os Dados Pessoais da Uber para qualquer finalidade, exceto quando necessário para cumprir suas obrigações nos termos do Contrato Principal, salvo acordado em contrário entre as Partes por escrito.
     4. Não tentará reidentificar nenhum Titular de Dados da Uber utilizando quaisquer dados desidentificados fornecidos para ou coletados pelo Fornecedor.
     5. Não permitirá que nenhum funcionário do Fornecedor Trate Dados Pessoais da Uber, exceto nos casos em que o funcionário tenha concordado em manter a confidencialidade dos Dados Pessoais da Uber ou quando for legalmente obrigado a fazê-lo. O Fornecedor é exclusivamente responsável pelas ações e omissões de seus funcionários.
  3. Requisitos do Operador: Se o Fornecedor Tratar Dados Pessoais da Uber na qualidade de Operador, deverá, em conexão com quaisquer Dados Pessoais da Uber Tratados de acordo com essa designação:
     
     1. Tratar apenas os Dados Pessoais da Uber de acordo com as instruções escritas da Uber, exceto se de outra forma exigido por lei.
     2. Auxiliar a Uber, na medida do razoável e apropriado, a:
        1. Cumprir as obrigações da Uber nos termos dos Artigos 38, 46 a 50, todos da LGPD, conforme aplicável, ou obrigações análogas previstas nas Leis de Proteção de Dados aplicáveis; e
        2. Ajudar a Uber a demonstrar conformidade com as Leis de Proteção de Dados aplicáveis, incluindo, quando aplicável, o Artigo 39 da LGPD ou obrigações análogas previstas nas Leis de Proteção de Dados aplicáveis;
     3. O Fornecedor deverá permitir que a Uber tome medidas razoáveis e apropriadas para garantir que o uso dos Dados Pessoais da Uber pelo Fornecedor esteja alinhado com as obrigações da Uber sob as Leis de Proteção de Dados aplicáveis, bem como para interromper e corrigir qualquer uso não autorizado dos Dados Pessoais da Uber;
     4. Salvo exigência legal em contrário, o Fornecedor deverá notificar prontamente a Uber sobre qualquer solicitação feita por um Titular de Dados da Uber ou por um órgão governamental ou regulatório com autoridade sobre o Fornecedor ou a Uber, relacionada ao Tratamento de Dados Pessoais da Uber pelo Fornecedor, e cooperar com a Uber na resposta a tal solicitação ou exigência.
  4. Requisitos do Controlador: se o Fornecedor for configurado como Controlador no Contrato Principal, ele reconhece e concorda que:
     
     1. É um controlador singular dos Dados Pessoais da Uber, de acordo com as Leis de Proteção de Dados.
     2. Determinará os propósitos e os meios do Tratamento dos Dados Pessoais da Uber.
     3. É responsável por seu próprio cumprimento das Leis de Proteção de Dados aplicáveis, inclusive no que diz respeito à notificação dos Titulares dos Dados a respeito do Tratamento dos seus Dados Pessoais e de como os Titulares dos Dados Pessoais podem exercer seus direitos, bem como à obtenção dos consentimentos necessários.
     4. Cumprirá as obrigações que lhe são aplicáveis de acordo com as Leis de Proteção de Dados com relação ao Tratamento de Dados Pessoais da Uber.
  5. Transferências Internacionais: Se o Tratamento de Dados Pessoais pelo Fornecedor envolver a transferência internacional de Dados Pessoais de Titulares dos Dados da Uber:
     1. O Fornecedor cumprirá todas as Leis de Proteção de Dados aplicáveis a tais transferências.
     2. Se tal transferência envolver a transferência de Dados Pessoais da Uber de Titulares de Dados no EEE e/ou na Suíça para um país ou território fora dessas regiões que não tenha sido reconhecido pela Comissão Europeia como oferecendo um nível adequado de proteção de dados, as Partes incorporarão a este Contrato e concordarão em cumprir as Cláusulas Contratuais Padrão de 4 de junho de 2021 (“SCCs"). Neste caso:
        1. O Módulo 1 (Controlador para Controlador) aplica-se, se o Fornecedor for designado como Controlador;
        2. O Módulo 2 (Controlador para Operador) aplica-se, se o Fornecedor for designado como Operador;
        3. A Cláusula opcional 7 não se aplicará;
        4. Os termos contidos na Cláusula opcional 11 não se aplicarão;
        5. A lei aplicável para os fins da Cláusula 17 será a dos Países Baixos;
        6. Os tribunais de que trata a Cláusula 18 são os tribunais da Holanda, salvo acordo em contrário entre as partes no Contrato Principal; e
        7. A autoridade supervisora competente para os fins da Cláusula 13 é a Autoridade de Proteção de Dados Holandesa (Autoriteit Persoonsgegevens), salvo acordo em contrário entre as partes no Contrato Principal.
        8. As Partes declaram que não acreditam que as leis e práticas de nenhum país para o qual os Dados Pessoais da Uber são transferidos para os fins do Contrato Principal impeçam o Fornecedor de cumprir suas obrigações previstas nas SCCs.
        9. Em vez do Anexo 1 das SCC, as Partes concordam que:
           1. A identidade e as informações de contato da Uber, como exportadora de dados, e do Fornecedor, como importador de dados, são as especificadas no Contrato Principal e neste Contrato.
           2. A natureza e a finalidade do Tratamento destinam-se para os Serviços ou conforme especificado no Contrato Principal ou neste Contrato.
           3. Os Dados Pessoais da Uber transferidos serão retidos pelo Fornecedor conforme especificado no Contrato Principal ou neste Contrato.
           4. As categorias de Titulares de Dados da Uber e dos Dados Pessoais da Uber transferidos são aquelas documentadas na Avaliação de Risco realizada antes do Tratamento de Dados Pessoais da Uber.
        10. Em vez do Anexo 2 das SCC, as Partes concordam em cumprir o Anexo 1 do presente Contrato.
        11. Em vez do Anexo 3 das SCCs, as Partes concordam que os Suboperadores autorizados de Dados Pessoais da Uber são aqueles identificados na Avaliação de Risco realizada antes do Tratamento dos Dados Pessoais da Uber ou conforme especificado neste Contrato ou o Contrato Principal.
     3. Se o Tratamento de Dados Pessoais pelo Fornecedor envolver a transferência de Dados Pessoais de Titulares dos Dados da Uber no Reino Unido para uma jurisdição não reconhecida como oferecendo um nível adequado de proteção de dados, as SCCs serão aplicadas, sujeitas aos termos do “UK Addendum to the EU Standard Contractual Clauses”, emitido pelo Information Commissioner's Office (“ICO”) nos termos do artigo s.119A do United Kingdom Data Protection Act 2018 (“Adendo do Reino Unido"). Esse Adendo do Reino Unido será considerado celebrado entre o Fornecedor e a Uber, e está sujeito à Seção 3.5.2 deste Contrato, conforme apropriado.
     4. Caso o Tratamento de Dados Pessoais pelo Fornecedor envolva a transferência internacional de Dados Pessoais de Titulares de Dados da Uber no Brasil para um país ou território que não tenha sido reconhecido pela autoridade competente como apto a proporcionar grau de proteção de dados adequado, as Partes neste ato incorporam e concordam em cumprir as Cláusulas-Padrão Contratuais Brasileiras contidas no Anexo II da Resolução CD/ANPD n. 19, de 23 de agosto de 2024 ("SCCs Brasil"). Neste caso:
        1. A Seção I – Informações Gerais das SCCs Brasil é preenchida conforme a seguir.
           1. Os quadros descritivos contidos na Cláusula 1.1 das SCCs Brasil são substituídos pelas informações de qualificação e contato das Partes contidas no Contrato Principal e neste Contrato, considerando que a Uber é Exportadora e Controladora dos Dados Pessoais de Titulares de Dados da Uber, enquanto o Fornecedor é Importador dos Dados Pessoais de Titulares de Dados da Uber e desempenha o papel indicado na Cláusula 3.1 ("Papel das Partes") deste Contrato ou conforme estabelecido no Contrato Principal.
           2. As caixas de seleção contidas na Cláusula 1.1 das SCCs Brasil relativas aos papeis desempenhados pelas Partes são assinaladas conforme as informações do item 3.5.4.1.1 acima, ou seja, para a Uber considera-se assinalada a caixa de “Exportador/Controlador” e, para o Fornecedor, a caixa de “Importador” que esteja acompanhada da classificação correspondente àquela assinalada para o Fornecedor (Controlador ou Operador) na Cláusula 3.1 - Papel das Partes deste Contrato, ou conforme estabelecido no Contrato Principal.
           3. As Partes concordam que: (i) as principais finalidades do Tratamento destinam-se para os Serviços ou conforme especificado no Contrato Principal ou neste Contrato; (ii) os Dados Pessoais da Uber transferidos serão retidos pelo Fornecedor conforme especificado no Contrato Principal ou neste Contrato; e (iii) as categorias de Titulares de Dados da Uber e dos Dados Pessoais da Uber transferidos são aquelas documentadas na Avaliação de Risco realizada antes do Tratamento de Dados Pessoais da Uber. Essas informações substituem o quadro de descrição da transferência internacional de dados contido na Cláusula 2.1 das SCCs Brasil.
           4. Caso o Fornecedor atue como Operador, adota-se a Opção B da Cláusula 3.1 das SCCs Brasil, que trata de Transferências Posteriores. O quadro descritivo da Cláusula 3.1 das SCCs Brasil é, então, substituído pela Avaliação de Risco realizada antes do tratamento de Dados Pessoais da Uber pelo Fornecedor ou conforme estabelecido no Contrato Principal. Caso o Fornecedor atue como Controlador, adota-se a Opção A da Cláusula 3.1 das SCCs Brasil, que trata de Transferências Posteriores.
           5. Adota-se a Opção A da Cláusula 4.1 das SCCs Brasil, que trata de Responsabilidades das Partes, assinalando, em qualquer caso, todas as caixas de "Exportador" contidas nos itens 'a', 'b' e 'c'. As caixas de "Importador" dos referidos itens são também assinaladas, todas elas, apenas caso o Fornecedor atue como Controlador de Dados Pessoais, ficando em branco caso o Fornecedor atue como Operador de Dados Pessoais, conforme a Cláusula 3.1 - Papel das Partes deste Contrato de Tratamento de Dados da Uber, ou conforme estabelecido no Contrato Principal.
        2. As Partes incorporam e se obrigam a cumprir, na integralidade, todas as Cláusulas Mandatórias contidas na Seção II das SCCs Brasil, disponíveis para consulta aqui.
        3. O quadro contido na Seção III das SCCs Brasil é substituído pelo Anexo 1 deste Contrato de Tratamento de Dados da Uber, que contém as Medidas Organizacionais/Administrativas de Segurança, com o qual as Partes concordam.

DISPOSIÇÕES GERAIS

• 1. Data de entrada em vigor: Este Contrato entra em vigor na data de assinatura do Contrato Principal.
  2. Rescisão e subsistência: Não obstante qualquer disposição em contrário no Contrato Principal, este Contrato e todas as suas disposições subsistirão enquanto, e na medida em que, o Fornecedor Tratar ou reter Informações Confidenciais da Uber.
  3. Inadimplemento. O Fornecedor deverá informar imediatamente à Uber caso não possa cumprir este Contrato. Se o Fornecedor não puder cumprir dentro de um período razoável ou se o Fornecedor descumprir substancialmente ou de forma persistente este Contrato ou suas obrigações decorrentes deste Contrato, a Uber terá o direito de rescindir este Contrato e o Contrato Principal no que diz respeito ao Tratamento das Informações Confidenciais da Uber.
  4. Cláusula nula. Se disposições individuais deste Contrato forem ou se tornarem nulas, a validade das demais disposições não será afetada. As Partes deverão substituir a cláusula nula por uma cláusula juridicamente permitida que atenda, da forma mais próxima possível, à intenção comercial originalmente prevista.
  5. Conflitos. Em caso de conflito entre este Contrato: (i) e o Contrato Principal, este Contrato prevalecerá; (ii) um Business Associate Agreement (“BAA”) nos termos da HIPAA entre a Uber e o Fornecedor, o BAA prevalecerá.
  6. Lei aplicável e jurisdição. A lei e o foro aplicáveis estabelecidos no Contrato Principal se aplicam a este Contrato.

ANEXO 1
Medidas Organizacionais/Administrativas, Físicas e Técnicas

1. Medidas de segurança organizacionais/administrativas: O Fornecedor implementou, manterá e atualizará, conforme apropriado, ao longo do Tratamento das Informações Confidenciais da Uber (desde que tais atualizações não reduzam ou enfraqueçam as salvaguardas adotadas para proteger as Informações Confidenciais da Uber):
   1. Um programa abrangente de segurança de informações e redes, composto por políticas, práticas e procedimentos que regem os Serviços (coletivamente, o “Programa de Segurança de Dados”), que: (i) atenda às melhores práticas atuais; (ii) cumpra todas as Leis de Proteção de Dados aplicáveis; (iii) quando aplicável, cumpra os Padrões de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS); e (iv) cumpra ou esteja alinhado com os padrões de segurança ISO 27000, NIST 800-53, CIS Top 20 ou HITRUST. Mediante solicitação da Uber, o Fornecedor deve disponibilizar a documentação relacionada ao seu Programa de Segurança de Dados.
   2. Um programa documentado de prevenção contra perda de dados, projetado para detectar, prevenir e mitigar o risco de Incidentes de Segurança de Dados, que deve incluir, no mínimo:
      1. políticas apropriadas e controles técnicos projetados para evitar a perda de Informações Confidenciais da Uber; e
      2. um plano de continuidade de negócios/recuperação de desastres, documentados e testados regularmente para garantir a continuidade operacional (na medida necessária para suas operações), que aborda o acesso contínuo, manutenção e armazenamento de Informações Confidenciais da Uber, bem como necessidades de segurança para locais de backup e redes de comunicação alternativas.
   3. Políticas e procedimentos para limitar o acesso às Informações Confidenciais da Uber às pessoas que precisam de tal acesso para desempenhar suas funções e responsabilidades relacionadas ao Contrato Principal.
   4. Procedimentos para verificar todos os direitos de acesso por meio de métodos de autenticação eficazes.
   5. Um processo para realizar avaliações de risco de segurança da informação, pelo menos uma vez a cada dois anos, de quaisquer Operadores ou Suboperadores do Fornecedor com acesso a Informações Confidenciais da Uber. Esses Operadores/Suboperadores deverão possuir controles de segurança da informação que não sejam menos protetivos das Informações Confidenciais da Uber do que os requisitos estabelecidos neste Contrato. A Uber pode solicitar uma cópia da avaliação de risco realizada pelo Fornecedor em qualquer Suboperador, e pode suspender a autorização para o uso de tal Suboperador se a avaliação revelar que o Suboperador não possui controles de segurança da informação suficientes para proteger as Informações Confidenciais da Uber.
   6. Programa de conscientização em segurança para a equipe do Fornecedor, incluindo treinamentos regulares sobre manuseio seguro de dados, proteção de senhas e credenciais, engenharia social e identificação e notificação de potenciais incidentes de segurança.
   7. Programa contínuo de gerenciamento de vulnerabilidades, utilizando um processo de classificação de risco baseado em padrões da indústria para priorizar a correção de vulnerabilidades identificadas. Se uma vulnerabilidade for detectada e possa impactar a confidencialidade, disponibilidade ou integridade das Informações Confidenciais da Uber, o Fornecedor deverá fornecer, mediante solicitação, evidências suficientes a demonstrar que a vulnerabilidade tenha sido remediada, ou permitir que a Uber determine se um Incidente de Segurança de Dados tenha ocorrido.
   8. Programa de gerenciamento seguro de ativos, garantindo um padrão de segurança alinhado à indústria, incluindo classificação de ativos e inventário de dispositivos e Sistemas onde as Informações Confidenciais da Uber são Tratadas.
   9. Processos formais e documentados por escrito para detectar, identificar, relatar, responder, mitigar e corrigir Incidentes de Segurança de Dados de maneira oportuna, que devem incluir processos para a equipe do Fornecedor, incluindo administradores de Sistema, reportar eventos anômalos para a equipe de gerenciamento de incidentes, e para o Fornecedor notificar indivíduos e empresas impactadas, reguladores, e outros membros do público quando necessário ou solicitado.
   10. Simulações de incidentes, como exercícios de tabletop ou testes de intrusão, planejados e realizados regularmente.
   11. Programa estabelecido para testes de penetração, abrangendo uma ampla gama de ataques, incluindo ataques baseados em clientes e aplicações web.
   12. Programa de governança e gerenciamento de riscos para serviços em nuvem, garantindo que as configurações e proteções de segurança essenciais estejam ativadas.
   13. Práticas seguras de codificação, adequadas à linguagem de programação utilizada, com treinamentos para a equipe sobre escrita de código seguro.
   14. Política de acesso a dados por agências governamentais que recuse o acesso governamental a dados, exceto quando o acesso for exigido por lei ou em caso de risco iminente de dano grave a indivíduos.
   15. Políticas e procedimentos para avaliar a base legal e responder a solicitações de dados feitas por agências governamentais.
   16. Treinamento específico para os funcionários responsáveis por gerenciar solicitações de acesso a dados feitas por agências governamentais, incluindo requisitos previstos nas Leis de Proteção de Dados aplicáveis.
   17. Processos para documentar e registrar solicitações de acesso feitas por agências governamentais, as respostas fornecidas e as autoridades envolvidas.
   18. Procedimentos para notificar a Uber sobre qualquer solicitação ou exigência de acesso a dados por parte de agências governamentais, salvo se legalmente proibido.
2. Medidas de segurança física
   1. O Fornecedor implementou, manterá e atualizará, conforme apropriado, durante o Tratamento das Informações Confidenciais da Uber, medidas de segurança física apropriadas para qualquer instalação usada para Tratar as Informações Confidenciais da Uber, e monitorará continuamente quaisquer alterações na infraestrutura física, nos negócios e nas ameaças conhecidas.
3. Medidas técnicas de segurança: Durante o Tratamento das Informações Confidenciais da Uber, o Fornecedor deverá:
   1. Realizar verificações e avaliações de vulnerabilidade nas aplicações e na infraestrutura usadas para Tratar Informações Confidenciais da Uber.
   2. Proteger suas redes de computadores usando várias camadas de controles de acesso, incluindo autenticação de múltiplos fatores, para se proteger contra acessos não autorizados.
   3. Restringir o acesso por meio de mecanismos como, entre outros, aprovações da gerência, controles robustos, registro e monitoramento de eventos de acesso e auditorias subsequentes.
   4. Implementar e manter registros de logs em todos os Sistemas que Tratam Informações Confidenciais da Uber com detalhes suficientes para permitir que o Fornecedor determine se um Incidente de Segurança de Dados ocorreu e as prováveis consequências do Incidente de Segurança de Dados, incluindo, entre outros, se as Informações Confidenciais da Uber foram acessadas, adquiridas, modificadas ou excluídas. Esses logs de eventos devem ser mantidos por pelo menos 13 (treze) meses e disponibilizados à Uber mediante solicitação em até 7 (sete) dias corridos a partir da solicitação. Se os logs contiverem informações de eventos relacionados a outras empresas ou clientes, o Fornecedor irá segregar os dados do registro de eventos da Uber quando solicitado.
   5. Identificar outros Sistemas e aplicações que exijam monitoramento e registro de eventos de segurança e manter registros de logs de forma adequada.
   6. Revisar e analisar logs de eventos utilizando monitoramento contínuo e automatizado, com processos de alerta para detectar, responder e investigar eventos e atividades anômalas.
   7. Utilizar software comercial de verificação de vírus/malware atualizado e baseado em padrões da indústria, capaz de identificar código malicioso em todos os Sistemas que Tratam Informações Confidenciais da Uber.
   8. Aplicar proteções de limites de rede e segurança entre redes.
   9. Criptografar as Informações Confidenciais da Uber em trânsito.
   10. Criptografar as Informações Confidenciais da Uber em repouso e gerenciar e proteger todas as chaves de criptografia de forma exclusiva (isto é, nenhum terceiro, incluindo Operadores ou Suboperadores, deverá ter acesso a essas chaves).

Consulte o Aviso de Privacidade da Uber para saber quem são os controladores das Informações Confidenciais da Uber na sua região. Quando uma outra pessoa jurídica que não seja o Controlador designado celebra este Contrato em nome da Uber, essa pessoa jurídica é autorizada a fazê-lo pelo(s) controlador(es) correspondente(s). A Uber se reserva o direito de designar outra afiliada como Controladora para os fins deste Contrato.