1. Escopo e Vigência

Em vigor a partir de: 15 de julho de 2026
Estes termos foram traduzidos automaticamente do inglês e podem conter erros de tradução. Onde houver discrepâncias, a versão
original em inglês destes termos prevalecerá.

Este Aditivo de Processamento de Dados (APD) complementa os Termos do Cliente da OriginsNext, a Carta de Contratação ou outros acordos em vigor entre a OriginsNext e um Cliente (o 'Acordo'). Este APD abrange o uso da Plataforma da OriginsNext e dos Serviços relacionados por um Cliente, conforme definido nos Termos do Cliente. Salvo definição em contrário neste APD ou no Acordo, todos os termos em maiúsculas usados neste APD terão os significados que lhes foram atribuídos na Seção 9 deste APD.

1.1 Papéis das Partes.

(a) Dados Pessoais do Cliente. A OriginsNext processará os Dados Pessoais do Cliente na qualidade de Operadora em nome do Controlador (o Cliente), de acordo com as instruções do Controlador conforme descrito na Seção 2.1 (Instruções do Cliente).

(b) Dados da Conta OriginsNext. A OriginsNext processará os Dados da Conta OriginsNext na qualidade de Controladora para as seguintes finalidades:

(i) para fornecer e aprimorar a Plataforma;

(ii) para gerenciar o relacionamento do Controlador (comunicando-se com o Controlador e os Usuários de acordo com suas preferências de conta, respondendo às consultas do Controlador e fornecendo suporte técnico, etc.),

(iii) para facilitar a segurança, prevenção de fraudes, monitoramento de desempenho, continuidade de negócios e recuperação de desastres; e

(iv) para realizar funções comerciais essenciais, como contabilidade, faturamento e declaração de impostos.

(c) Dados de Uso da OriginsNext. A OriginsNext processará os Dados de Uso da OriginsNext na qualidade de Controladora para as seguintes finalidades:

(i) para fornecer, otimizar, proteger e manter a Plataforma;

(ii) para otimizar a experiência do usuário; e

(iii) para informar a estratégia de negócios da OriginsNext.

(d) Descrição do Tratamento. Detalhes sobre o Tratamento de Dados Pessoais pela OriginsNext estão estabelecidos no Anexo 1 (Descrição do Tratamento).

1.2 Prazo do DPA. O prazo deste DPA coincide com o prazo do Contrato e termina após a expiração ou rescisão antecipada do Contrato (ou, se posterior, na data em que a OriginsNext cessar todo o Tratamento de Dados Pessoais do Cliente).

1.3 Ordem de Precedência. Se houver qualquer conflito ou inconsistência entre os documentos a seguir, a ordem de precedência é:

(a) o corpo principal deste DPA;

(b) os termos aplicáveis estabelecidos no Anexo 2 (Termos Específicos por Região, incluindo quaisquer disposições de transferência); e

(c) o Contrato.

Este Aditivo de Processamento de Dados (DPA) complementa os Termos do Cliente da OriginsNext, a Carta de Engajamento ou outros contratos em vigor entre a OriginsNext e um Cliente (o "Contrato"). Este DPA abrange o uso da Plataforma da OriginsNext e Serviços relacionados por um Cliente, conforme definido nos Termos do Cliente. Salvo definição em contrário neste DPA ou no Contrato, todos os termos em maiúsculas usados neste DPA terão os significados atribuídos a eles na Seção 9 deste DPA.

(a) Dados Pessoais do Cliente. A OriginsNext processará os Dados Pessoais do Cliente como Operadora em nome do Controlador (o Cliente), de acordo com as instruções do Controlador conforme descrito na Seção 2.1 (Instruções do Cliente).

(b) Dados da Conta da OriginsNext. A OriginsNext processará os Dados da Conta da OriginsNext como Controladora para as seguintes finalidades:

(i) para fornecer e aprimorar a Plataforma;

(ii) para gerenciar o relacionamento com o Controlador (comunicando-se com o Controlador e os Usuários de acordo com suas preferências de conta, respondendo às consultas do Controlador e fornecendo suporte técnico, etc.),

(iii) para facilitar a segurança, prevenção de fraudes, monitoramento de desempenho, continuidade de negócios e recuperação de desastres; e

(iv) para realizar funções comerciais essenciais, como contabilidade, faturamento e declaração de impostos.

(c) Dados de Uso da OriginsNext. A OriginsNext processará os Dados de Uso da OriginsNext como Controladora para as seguintes finalidades:

(i) para fornecer, otimizar, proteger e manter a Plataforma;

(ii) para otimizar a experiência do usuário; e

(iii) para informar a estratégia de negócios da OriginsNext.

(d) Descrição do Processamento. Os detalhes relativos ao Processamento de Dados Pessoais pela OriginsNext estão estabelecidos no Anexo 1 (Descrição do Processamento).

1.2 Vigência do DPA. A vigência deste DPA coincide com a vigência do Contrato e termina com a expiração ou rescisão antecipada do Contrato (ou, se for posterior, na data em que a OriginsNext cessar todo o Processamento de Dados Pessoais do Cliente).

1.3 Ordem de Precedência. Em caso de conflito ou inconsistência entre os documentos a seguir, a ordem de precedência é:

(a) o corpo principal deste DPA;

(b) os termos aplicáveis estabelecidos no Anexo 2 (Termos Específicos da Região, incluindo quaisquer disposições de transferência); e

(c) o Contrato.

2. Processamento de Dados Pessoais

2.1 Instruções do Cliente. A OriginsNext deve processar os Dados Pessoais do Cliente de acordo com as instruções legais documentadas do Controlador, conforme estabelecido no Contrato (incluindo este DPA) e nas respectivas Cartas de Engajamento, conforme necessário para:

(a) fornecer a Plataforma e os Serviços relacionados ao Cliente e permitir o uso de vários recursos e funcionalidades de acordo com a Documentação (incluindo conforme direcionado pelos Usuários através da Plataforma),

(b) investigar incidentes de segurança e aplicar os Termos do Usuário Final; ou

(c) cumprir suas obrigações legais. A OriginsNext notificará o Controlador se tomar conhecimento, ou acreditar razoavelmente, que as instruções do Controlador violam a Lei de Proteção de Dados Aplicável.

2.2 Confidencialidade. A OriginsNext deve tratar os Dados Pessoais do Cliente como Informações Confidenciais do Controlador sob o Contrato. A OriginsNext deve garantir que o pessoal autorizado a processar Dados Pessoais esteja vinculado a obrigações de confidencialidade por escrito ou estatutárias.

2.3 Proibição de Venda de Dados Pessoais. A OriginsNext não venderá, alugará ou comercializará de outra forma os Dados Pessoais do Cliente, e processará os Dados Pessoais do Cliente apenas para os fins estabelecidos neste DPA e no Contrato.

3. Segurança

3.1 Medidas de Segurança. A OriginsNext implementou e manterá medidas técnicas e organizacionais apropriadas projetadas para proteger a segurança, confidencialidade, integridade e disponibilidade dos Dados Pessoais do Cliente e proteger contra Incidentes de Segurança. O Cliente é responsável por configurar a Plataforma e usar os recursos e funcionalidades disponibilizados pela OriginsNext para manter a segurança apropriada relevante à natureza dos Dados do Cliente. O Cliente reconhece que as Medidas de Segurança estão sujeitas ao progresso e desenvolvimento técnico e que a OriginsNext pode atualizar ou modificar as Medidas de Segurança periodicamente, desde que tais atualizações e modificações não diminuam materialmente a segurança geral da Plataforma durante um Prazo de Assinatura.

3.2 Incidentes de Segurança. A OriginsNext deve notificar o Cliente sem atraso indevido após tomar conhecimento de um Incidente de Segurança. A OriginsNext deve envidar esforços razoáveis para identificar a causa do Incidente de Segurança, mitigar os efeitos e remediar a causa na medida em que estiver sob o controle razoável da OriginsNext. Mediante solicitação do Cliente e levando em conta a natureza do Tratamento e as informações disponíveis à OriginsNext, a OriginsNext deve auxiliar o Cliente fornecendo as informações razoavelmente necessárias para que o Cliente cumpra suas obrigações de notificação de Incidente de Segurança sob a Lei de Proteção de Dados Aplicável. A notificação de um Incidente de Segurança pela OriginsNext não constitui reconhecimento de culpa ou responsabilidade por parte da OriginsNext.

4. Subprocessamento

4.1 Autorização Geral. Ao celebrar este DPA, o Controlador fornece autorização geral para que a OriginsNext contrate Subprocessadores para processar Dados Pessoais do Cliente. A OriginsNext deve:

(a) celebrar um contrato por escrito com cada Subprocessador, garantindo que existam termos de proteção de dados que exijam que o Subprocessador proteja os Dados Pessoais do Cliente de acordo com o padrão exigido pela Lei de Proteção de Dados Aplicável e com o mesmo padrão fornecido por este DPA; e

(b) permanecer responsável perante o Controlador caso tal Subprocessador deixe de cumprir suas obrigações de proteção de dados com relação às atividades de Tratamento relevantes sob o Contrato.

4.2 Notificação de Novos Subprocessadores. A OriginsNext mantém uma lista atualizada de seus Subprocessadores no Anexo 3. A OriginsNext atualizará esta lista pelo menos quatorze (14) dias antes de permitir que qualquer novo Subprocessador processe Dados Pessoais do Cliente (o Período de Notificação de Subprocessador). O Controlador é responsável por revisar esta lista regularmente.

4.3 Oposição a Novos Subprocessadores. O Controlador pode opor-se à nomeação de um novo Subprocessador pela OriginsNext durante o Período de Notificação de Subprocessador. Caso o Controlador se oponha, a OriginsNext trabalhará com o Controlador para encontrar uma solução adequada, mas se nenhuma solução for alcançada, o Controlador, como seu único e exclusivo recurso, poderá rescindir a Carta de Engajamento ou o Contrato aplicável de acordo com as disposições de rescisão nele descritas.

5. Obrigações de Assistência e Cooperação

5.1 Direitos dos Titulares dos Dados. Levando em conta a natureza do Tratamento, a OriginsNext deve fornecer assistência razoável e oportuna ao Controlador para permitir que este responda a solicitações de exercício dos direitos dos titulares dos dados (incluindo direitos de acesso, retificação, exclusão, restrição, oposição e portabilidade de dados) em relação aos Dados Pessoais do Cliente.

5.2 Obrigações de Cooperação. Mediante solicitação razoável do Controlador, e levando em consideração a natureza do Tratamento, a OriginsNext fornecerá assistência razoável ao Controlador no cumprimento das obrigações do Controlador sob a Lei de Proteção de Dados Aplicável (incluindo avaliações de impacto de proteção de dados e consultas com autoridades reguladoras), desde que o Controlador não possa cumprir razoavelmente tais obrigações de forma independente com a ajuda da Documentação disponível. Quando tal assistência for considerada extraordinária ou excessiva, a OriginsNext reserva-se o direito de cobrar uma taxa razoável pela prestação de tal assistência, sujeita a acordo prévio por escrito com o Controlador.

5.3 Solicitações de Terceiros. Salvo se proibido por Lei, a OriginsNext notificará prontamente o Controlador sobre qualquer intimação, mandado ou ordem judicial válida e exequível de autoridades policiais ou públicas que obrigue a OriginsNext a divulgar Dados Pessoais do Cliente. No caso de a OriginsNext receber uma consulta ou solicitação de informações de qualquer outro terceiro (como um regulador ou titular de dados) referente ao Tratamento de Dados Pessoais do Cliente, a OriginsNext redirecionará tais consultas ao Controlador e não fornecerá nenhuma informação, a menos que seja obrigada a fazê-lo sob a Lei aplicável.

5.4 Obrigações Adicionais. A OriginsNext confirma que, ao processar Dados Pessoais sob este DPA, ela: (a) processa Dados Pessoais com base legal válida sob a Lei de Proteção de Dados Aplicável; (b) auxiliará o Controlador no atendimento a solicitações dos titulares dos dados; (c) mantém medidas técnicas e administrativas adequadas para prevenir violações de Dados Pessoais e para garantir a segurança da informação apropriada às suas atividades e ao Tratamento; e (d) quando transfere Dados Pessoais internacionalmente, o faz usando mecanismos que são legalmente válidos sob a Lei de Proteção de Dados Aplicável.

6. Eliminação e Devolução de Dados Pessoais do Cliente

6.1 Durante o Prazo de Assinatura. Durante o Prazo de Assinatura, o Cliente e seus Usuários podem, por meio dos recursos disponíveis da Plataforma ou por instrução por escrito à OriginsNext, acessar, recuperar ou excluir Dados Pessoais do Cliente.

6.2 Pós-Término. Após a expiração ou rescisão do Contrato, a OriginsNext excluirá todos os Dados Pessoais do Cliente mediante solicitação do Cliente. Não obstante o disposto acima, a OriginsNext poderá reter Dados Pessoais do Cliente

(a) conforme exigido pela Lei de Proteção de Dados Aplicável ou

(b) de acordo com suas políticas padrão de backup ou retenção de registros, desde que, em qualquer um dos casos, a OriginsNext mantenha a confidencialidade e, de outra forma, cumpra as disposições aplicáveis deste DPA com relação aos Dados Pessoais do Cliente retidos e não os processe posteriormente, exceto conforme exigido pela Lei de Proteção de Dados Aplicável.

6.3 Dados Imutáveis e Permissíveis. O Controlador reconhece que, devido à natureza imutável da tecnologia de registro distribuído subjacente à Plataforma, e no caso de Dados Permissíveis que tenham sido compartilhados com outros Usuários ou Participantes, a OriginsNext pode ser incapaz de alterar ou excluir alguns Dados Pessoais do Cliente. Nesses casos, a OriginsNext continuará a manter a confidencialidade desses dados e a aplicar as proteções deste DPA a eles.

7. Auditoria

7.1 Relatórios de Auditoria. A OriginsNext realiza auditorias periódicas de segurança e vulnerabilidade por auditores terceiros independentes e/ou auditores internos. Mediante solicitação, e sob a condição de que o Cliente tenha celebrado um acordo de confidencialidade aplicável com a OriginsNext, a OriginsNext fornecerá uma cópia resumida do(s) relatório(s) de auditoria relevante(s) (Relatório) ao Cliente, para que o Cliente possa verificar a conformidade da OriginsNext com os padrões de auditoria contra os quais foi avaliada, e com este DPA. Se o Cliente não puder verificar razoavelmente a conformidade da OriginsNext com os termos deste DPA, a OriginsNext fornecerá respostas por escrito (em caráter confidencial) a todas as solicitações razoáveis de informações feitas pelo Cliente relacionadas ao seu Tratamento de Dados Pessoais do Cliente, desde que tal direito possa ser exercido não mais do que uma vez a cada doze (12) meses.

7.2 Auditorias no Local. Somente na medida em que o Cliente não possa satisfazer razoavelmente a conformidade da OriginsNext com este DPA por meio do exercício de seus direitos sob a Seção 7.1 acima, a OriginsNext fornecerá ao Cliente, mediante aviso prévio razoável, informações ou documentação adicionais conforme razoavelmente solicitado. Auditorias no local só podem ser realizadas quando exigido por uma autoridade reguladora relevante e estarão sujeitas a acordo mútuo sobre escopo, cronograma e controles de confidencialidade. Qualquer auditoria desse tipo deve ser realizada às custas do Cliente, durante o horário comercial regular da OriginsNext, com pelo menos sessenta (60) dias corridos de aviso prévio por escrito, e ocorrer não mais do que uma vez a cada doze (12) meses.

8. Disposições Internacionais

8.1 Na medida em que a OriginsNext processe Dados Pessoais protegidos por Leis de Proteção de Dados Aplicáveis em uma das regiões listadas no Anexo 2 (Termos Específicos da Região), os termos especificados para as regiões aplicáveis também se aplicarão, incluindo as disposições relevantes para transferências internacionais de Dados Pessoais (diretamente ou via transferência subsequente).

9. Definições

Lei de Proteção de Dados Aplicável significa todas as Leis aplicáveis ao Tratamento de Dados Pessoais sob o Contrato.

Dados da Conta OriginsNext significa Dados Pessoais relacionados ao relacionamento do Cliente com a OriginsNext, incluindo: (i) informações da conta dos Usuários (por exemplo, nome, endereço de e-mail);

(ii) informações de faturamento e contato do(s) indivíduo(s) associado(s) à conta da OriginsNext do Cliente (por exemplo, endereço de cobrança, endereço de e-mail ou nome);

(iii) informações de dispositivo e conexão dos Usuários (por exemplo, endereço IP); e

(iv) conteúdo/descrição de solicitações de suporte técnico (excluindo anexos).

Dados de Uso da OriginsNext significa Dados Pessoais relacionados ou obtidos em conexão com o uso, desempenho, operação, suporte ou utilização da Plataforma, inclusive por meio de sua conexão com Softwares de Terceiros. Os Dados de Uso da OriginsNext podem incluir nome do evento (ou seja, qual ação os Usuários realizaram), carimbos de data/hora do evento, informações do navegador, dados de diagnóstico, tipos de dados, tamanhos de arquivo e informações semelhantes associadas a dados da Plataforma e Softwares de Terceiros que o Cliente conecta à Plataforma. Para fins de clareza, Dados de Uso da OriginsNext não incluem Dados Pessoais do Cliente.

Controlador significa a pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, individualmente ou em conjunto com outros, determina as finalidades e os meios de Tratamento de Dados Pessoais.

Dados do Cliente significa todos os dados, informações ou materiais eletrônicos, incluindo, mas não se limitando a, Dados Pessoais do Cliente, enviados à Plataforma pelo Cliente ou por seus Usuários, ou em nome deles.

Dados Pessoais do Cliente significa Dados Pessoais contidos nos Dados do Cliente e/ou Materiais do Cliente que a OriginsNext processa sob o Contrato exclusivamente em nome do Controlador.

Termos do Cliente significa os Termos e Condições do Cliente da OriginsNext disponíveis em https://www.originsnext.com/client-terms

Documentação significa os manuais, políticas, guias, instruções ou outros materiais escritos disponibilizados pela OriginsNext para descrever a funcionalidade, operação e utilização dos Serviços ou da Plataforma.

Termos do Utilizador Final significa os termos localizados em www.originsnext.com/terms, conforme atualizados periodicamente.

Contratação significa o acordo sob o qual o Cliente acede ou utiliza os Serviços, conforme descrito numa Carta de Contratação aplicável.

Carta de Contratação significa o documento que regista o acordo comercial entre o Cliente e a OriginsNext para a prestação de Serviços. Isto pode incluir uma carta formal, contrato ou qualquer outro documento que incorpore ou faça referência aos Termos do Cliente e estabeleça o âmbito, duração, taxas ou outros detalhes da contratação acordados.

Dados Pessoais significa informações sobre uma pessoa natural identificada ou identificável, ou que de outra forma constitua dados pessoais, informações pessoais, informações de identificação pessoal ou termos semelhantes, conforme definido na Legislação de Proteção de Dados Aplicável.

Plataforma significa a plataforma de software como serviço (SaaS) da OriginsNext e todos os sistemas, APIs, interfaces, módulos, funcionalidades, documentação associados, bem como quaisquer atualizações ou melhorias fornecidas por nós que permitam a rastreabilidade, conformidade e gestão de dados entre Clientes e/ou cadeias de abastecimento.

Tratamento (e Tratar) significa qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, por meios automatizados ou não, tais como a recolha, registo, organização, estruturação, conservação, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, comparação ou interconexão, limitação, apagamento ou destruição.

Processador significa a entidade que Trata Dados Pessoais em nome do Controlador.

Incidente de Segurança significa qualquer violação de segurança que leve à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal a Dados do Cliente Tratados pela OriginsNext e/ou pelos seus Subprocessadores.

Serviços significa os serviços e Entregáveis que fornecemos ao Cliente em conexão com a Carta de Contratação, e inclui o acesso e a utilização da Plataforma, quando aplicável.

Subprocessador significa qualquer terceiro, incluindo Afiliadas da OriginsNext e Partes Auxiliares, contratado pela OriginsNext para Tratar Dados Pessoais do Cliente em nome do Cliente. Isto inclui quaisquer parceiros de entrega terceiros, contratantes, fornecedores e prestadores de serviços de computação em nuvem que auxiliem a OriginsNext na execução dos Serviços, conforme definido nos Termos do Cliente.

10. Anexo 1

10.1 Descrição do Tratamento

(a) Categorias de titulares dos dados cujos Dados Pessoais são Tratados: O Cliente e os seus respetivos Utilizadores.

(b) Categorias de Dados Pessoais Tratados: Dados da Conta OriginsNext, Dados de Utilização da OriginsNext e Dados Pessoais do Cliente.

(c) Dados sensíveis transferidos: Nenhum. Os Dados da Conta OriginsNext e os Dados de Utilização da OriginsNext não contêm dados

(i) que revelem origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, ou filiação sindical,

(ii) dados genéticos, dados biométricos Tratados com o objetivo de identificar uma pessoa natural de forma única, dados relativos à saúde, ou dados relativos à vida sexual ou orientação sexual de uma pessoa natural, ou

(iii) relacionados a condenações e infrações penais (coletivamente, Dados Sensíveis).

(d) Frequência da transferência: Contínua.

(e) Natureza do Tratamento: A OriginsNext tratará Dados Pessoais para fornecer a Plataforma e os Serviços relacionados em conformidade com o Contrato, incluindo este DPA. Informações adicionais sobre a natureza do tratamento (incluindo transferência) podem ser descritas nas respetivas Cartas de Compromisso para a Plataforma e na Documentação referente a capacidades e funcionalidades técnicas, incluindo, mas não se limitando a, recolha, estruturação, armazenamento, transmissão ou disponibilização de Dados Pessoais por meios automatizados.

10.2 Finalidade(s) do Tratamento:

(a) Dados Pessoais do Cliente: A OriginsNext tratará os Dados Pessoais do Cliente na qualidade de Operador, de acordo com as instruções do Responsável pelo Tratamento, conforme estabelecido na Secção 2.1 (Instruções do Cliente).

(b) Dados da Conta da OriginsNext e Dados de Utilização da OriginsNext: A OriginsNext tratará os Dados da Conta da OriginsNext e os Dados de Utilização da OriginsNext para os fins limitados e específicos descritos na Secção 1.1 (Funções das Partes).

10.3 Duração do Tratamento:

(a) Dados Pessoais do Cliente: A OriginsNext tratará os Dados Pessoais do Cliente durante a vigência do Contrato, conforme descrito na Secção 6 (Eliminação e Devolução de Dados Pessoais do Cliente).

(b) Dados da Conta da OriginsNext e Dados de Utilização da OriginsNext: A OriginsNext tratará os Dados da Conta da OriginsNext e os Dados de Utilização da OriginsNext apenas durante o tempo necessário (a) para fornecer a Plataforma e os Serviços relacionados ao Responsável pelo Tratamento em conformidade com o Contrato; (b) para fins comerciais legítimos da OriginsNext descritos na Secção 1.1 (Funções das Partes); ou (c) por Lei(s) aplicável(eis).

10.4 Transferências para Suboperadores:

(a) A OriginsNext transferirá Dados Pessoais do Cliente para Suboperadores conforme permitido na Secção 4 (Subtratamento).

11. Anexo 2

11.1 Termos Específicos por Região

Salvo definição em contrário neste DPA ou no Contrato, todos os termos em maiúsculas utilizados neste Anexo terão os significados que lhes são atribuídos na Secção 4 deste Anexo.

11.2 Europa, Reino Unido e Suíça.

(a) Instruções do Cliente. Além da Secção 2.1 (Instruções do Cliente) do DPA acima, a OriginsNext tratará os Dados Pessoais do Cliente apenas mediante instruções documentadas do Responsável pelo Tratamento, incluindo no que diz respeito a transferências desses Dados Pessoais do Cliente para um país terceiro ou uma organização internacional, exceto se exigido pela Legislação de Proteção de Dados Aplicável à qual a OriginsNext esteja sujeita; nesse caso, a OriginsNext informará o Responsável pelo Tratamento desse requisito legal antes do tratamento, a menos que essa lei proíba tal informação por motivos importantes de interesse público. A OriginsNext informará prontamente o Responsável pelo Tratamento se tomar conhecimento de que as instruções de tratamento do Responsável pelo Tratamento infringem a Legislação de Proteção de Dados Aplicável.

(b) Transferências Europeias. Quando Dados Pessoais protegidos pela Legislação de Proteção de Dados da UE forem transferidos, direta ou indiretamente, para um país fora da Europa que não esteja sujeito a uma decisão de adequação, aplica-se o seguinte:

(i) As SCCs da UE são aqui incorporadas neste DPA por referência da seguinte forma:

(A) O Responsável pelo Tratamento (o Cliente) é o exportador de dados e a OriginsNext é o importador de dados.

(B) O Módulo Um (Responsável pelo Tratamento para Responsável pelo Tratamento) aplica-se quando a OriginsNext está a tratar Dados da Conta da OriginsNext ou Dados de Utilização da OriginsNext.

(C) O Módulo Dois (Responsável pelo Tratamento para Operador) aplica-se quando o Cliente é o Responsável pelo Tratamento de Dados Pessoais do Cliente e a OriginsNext está a tratar Dados Pessoais do Cliente na qualidade de Operador.

(D) O Módulo Três (Operador para Operador) aplica-se quando o Cliente é um Operador de Dados Pessoais do Cliente e a OriginsNext está a tratar Dados Pessoais do Cliente na qualidade de outro Operador.

(E) Ao celebrar este DPA, considera-se que cada parte assinou as SCCs da UE a partir da data de início do Contrato.

(ii) Para cada Módulo, quando aplicável:

(A) Na Cláusula 7, a cláusula de adesão opcional não se aplica.

(B) Na Cláusula 9, aplica-se a Opção 2, e o prazo para notificação prévia de alterações de Subprocessadores está indicado na Secção 4 (Subtratamento) deste DPA.

(C) Na Cláusula 11, a redação opcional não se aplica.

(D) Na Cláusula 17, aplica-se a Opção 1, e as Cláusulas Contratuais-Tipo da UE são regidas pela lei do Estado-Membro da UE em que o Responsável pelo Tratamento esteja estabelecido.

(E) Na Cláusula 18(b), os litígios serão resolvidos perante os tribunais do Estado-Membro da UE em que o Responsável pelo Tratamento esteja estabelecido.

(F) O Apêndice das Cláusulas Contratuais-Tipo da UE é preenchido da seguinte forma:

  • As informações necessárias para o Anexo I(A) encontram-se no Contrato e/ou nas Cartas de Contratação relevantes.
  • As informações necessárias para o Anexo I(B) encontram-se no Anexo 1 (Descrição do Tratamento) deste DPA.
  • A autoridade de controlo competente no Anexo I(C) será determinada de acordo com a Lei de Proteção de Dados Aplicável; e
  • As informações necessárias para o Anexo II encontram-se no Anexo 4 (Medidas de Segurança Técnicas e Organizacionais).

(c) Transferências Suíças. Quando Dados Pessoais protegidos pela LPD suíça forem transferidos, direta ou indiretamente, para qualquer outro país que não esteja sujeito a uma decisão de adequação, as Cláusulas Contratuais-Tipo da UE aplicam-se conforme estabelecido na Secção 11.2(b) (Transferências Europeias) acima, com as seguintes modificações:

(i) Todas as referências nas Cláusulas Contratuais-Tipo da UE ao Regulamento (UE) 2016/679 serão interpretadas como referências à LPD suíça, e as referências a artigos específicos do Regulamento (UE) 2016/679 serão substituídas pelo artigo ou secção equivalente da LPD suíça; todas as referências à Lei de Proteção de Dados da UE neste DPA serão interpretadas como referências à LPD.

(ii) Na Cláusula 13, a autoridade de controlo competente é o Comissário Federal para a Proteção de Dados e Informação da Suíça.

(iii) Na Cláusula 17, as Cláusulas Contratuais-Tipo da UE são regidas pelas leis da Suíça.

(iv) Na Cláusula 18(b), os litígios serão resolvidos perante os tribunais da Suíça.

(v) Todas as referências a Estado-Membro serão interpretadas de forma a incluir a Suíça, e os Titulares dos Dados na Suíça não estão impedidos de exercer os seus direitos no seu local de residência habitual, de acordo com a Cláusula 18(c).

(d) Transferências do Reino Unido. Quando Dados Pessoais protegidos pela Lei de Proteção de Dados do Reino Unido forem transferidos, direta ou indiretamente, para um país fora do Reino Unido que não esteja sujeito a uma decisão de adequação, aplica-se o seguinte:

(i) As Cláusulas Contratuais-Tipo da UE aplicam-se conforme estabelecido na Secção 11.2(b) (Transferências Europeias) acima, com as seguintes modificações:

(A) Considera-se que cada parte assinou o Adendo do Reino Unido.

(B) Para a Tabela 1 do Adendo do Reino Unido, as informações de contato principais das partes encontram-se no Contrato e/ou nas Cartas de Engajamento relevantes.

(C) Para a Tabela 2 do Adendo do Reino Unido, as informações relevantes sobre a versão das SCCs da UE, módulos e cláusulas selecionadas às quais este Adendo do Reino Unido está anexado encontram-se acima na Seção 1.2 (Transferências Europeias) deste Anexo.

(D) Para a Tabela 3 do Adendo do Reino Unido:

  • As informações exigidas para o Anexo 1A encontram-se no Contrato e/ou nas Cartas de Engajamento relevantes.
  • As informações exigidas para o Anexo 1B encontram-se no Anexo 1 (Descrição do Tratamento) deste DPA.
  • As informações exigidas para o Anexo II encontram-se no Anexo 4 (Medidas de Segurança Técnicas e Organizacionais).
  • As informações exigidas para o Anexo III encontram-se na Seção 4 (Subprocessamento) deste DPA.

(ii) Na Tabela 4 do Adendo do Reino Unido, tanto o importador de dados quanto o exportador de dados podem rescindir o Adendo do Reino Unido.

11.3 Estados Unidos da América. Os seguintes termos aplicam-se quando a OriginsNext Processa Dados Pessoais sujeitos às Leis de Privacidade Estaduais dos EUA:

(a) Na medida em que os Dados Pessoais do Cliente incluam informações pessoais protegidas pelas Leis de Privacidade Estaduais dos EUA que a OriginsNext Processa como Prestadora de Serviços ou Processadora, em nome do Cliente, a OriginsNext Processará tais Dados Pessoais do Cliente de acordo com as Leis de Privacidade Estaduais dos EUA, incluindo o cumprimento das seções aplicáveis das Leis de Privacidade Estaduais dos EUA e o fornecimento do mesmo nível de proteção de privacidade exigido pelas Leis de Privacidade Estaduais dos EUA, e de acordo com as instruções por escrito do Cliente, conforme necessário para os fins limitados e especificados identificados na Seção 1.1(a) (Dados Pessoais do Cliente) e no Anexo 1 (Descrição do Tratamento) deste DPA. A OriginsNext não irá:

(i) reter, usar, divulgar ou de outra forma Processar tais Dados Pessoais do Cliente para fins comerciais que não sejam os fins limitados e especificados identificados neste DPA, no Contrato e/ou em qualquer Carta de Engajamento relacionada, ou conforme permitido pelas Leis de Privacidade Estaduais dos EUA;

(ii) vender ou compartilhar tais Dados Pessoais do Cliente conforme o significado das Leis de Privacidade Estaduais dos EUA; e

(iii) reter, usar, divulgar ou de outra forma Processar tais Dados Pessoais do Cliente fora do relacionamento comercial direto com o Cliente e não combinar tais Dados Pessoais do Cliente com informações pessoais recebidas de outras fontes, exceto conforme permitido pelas Leis de Privacidade Estaduais dos EUA.

(b) A OriginsNext deve informar o Cliente caso determine que não pode mais cumprir suas obrigações sob as Leis de Privacidade Estaduais dos EUA dentro do prazo especificado por tais leis, caso em que o Cliente poderá tomar medidas razoáveis e apropriadas para prevenir, interromper ou remediar qualquer Tratamento não autorizado de tais Dados Pessoais do Cliente.

(c) Na medida em que o Cliente divulgue ou disponibilize Dados Desidentificados à OriginsNext, ou na medida em que a OriginsNext crie Dados Desidentificados a partir de Dados Pessoais do Cliente, em cada caso na sua qualidade de Prestadora de Serviços, a OriginsNext deverá:

(i) adotar medidas razoáveis para evitar que tais Dados Desidentificados sejam usados para inferir informações sobre, ou de outra forma vinculados a, uma pessoa física ou domicílio específico;

(ii) comprometer-se publicamente a manter e utilizar tais Dados Desidentificados em uma forma desidentificada e a não tentar reidentificar os Dados Desidentificados, exceto pelo fato de que a OriginsNext pode tentar reidentificar tais dados exclusivamente com o propósito de determinar se seus processos de desidentificação estão em conformidade com as Leis de Privacidade Estaduais dos EUA; e

(iii) antes de compartilhar Dados Desidentificados com qualquer outra parte, incluindo Subprocessadores, contratados ou quaisquer outras pessoas (Destinatários), obrigar contratualmente tais Destinatários a cumprir todos os requisitos desta Seção 2.3 (incluindo a imposição deste requisito a quaisquer outros Destinatários subsequentes).

11.4 Definições Específicas por Região

(a) Quando os Dados Pessoais estiverem sujeitos às leis de uma das seguintes regiões, a definição de Lei de Proteção de Dados Aplicável inclui:

(i) Argentina: A Lei de Proteção de Dados Pessoais;

(ii) Austrália: a Lei de Privacidade da Austrália;

(iii) Brasil: a Lei Geral de Proteção de Dados Pessoais brasileira (Lei Nº 13.709/2018);

(iv) Canadá: a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos do Canadá;

(v) Chile: Projeto de Lei de Proteção de Dados Pessoais;

(vi) Colômbia: Lei 1581 de 2012;

(vii) Europa: (i) o Regulamento 2016/679 do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao Tratamento de Dados Pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados, ou GDPR) e (ii) a Diretiva de e-Privacidade da UE (Diretiva 2002/58/CE), conforme alterada, substituída ou renovada periodicamente (Lei de Proteção de Dados da UE);

(viii) Japão: a Lei Japonesa sobre a Proteção de Informações Pessoais;

(ix) Singapura: a Lei de Proteção de Dados Pessoais de Singapura;

(x) Suíça: a Lei Federal Suíça sobre Proteção de Dados e seus regulamentos de implementação, conforme alterados, substituídos ou renovados periodicamente (FADP Suíça);

(xi) Reino Unido: a Lei de Proteção de Dados de 2018 e o GDPR conforme incorporado à legislação do Reino Unido em virtude da Seção 3 da Lei da União Europeia (Retirada) de 2018 do Reino Unido, conforme alterado, substituído ou renovado periodicamente (Lei de Proteção de Dados do Reino Unido); e

(xii) Estados Unidos: todas as leis estaduais relacionadas à proteção e ao Tratamento de Dados Pessoais em vigor nos Estados Unidos da América, que podem incluir, sem limitação, a Lei de Privacidade do Consumidor da Califórnia, conforme alterada pela Lei de Direitos de Privacidade da Califórnia, e seus regulamentos de implementação (CCPA), a Lei de Privacidade do Colorado, a Lei de Privacidade de Dados de Connecticut, a Lei de Privacidade do Consumidor de Utah e a Lei de Proteção de Dados do Consumidor da Virgínia (Leis Estaduais de Privacidade dos EUA).

(xiii) Uruguai: Lei Nº 18.331 sobre a Proteção de Dados Pessoais e a Ação de Habeas Data.

(b) Dados Desidentificados significam dados que não podem ser razoavelmente usados para inferir informações sobre, ou de outra forma vinculados a, um titular de dados.

(c) Estrutura de Privacidade de Dados significa o programa de autocertificação da Estrutura de Privacidade de Dados UE-EUA, a Extensão do Reino Unido à Estrutura de Privacidade de Dados UE-EUA e a Estrutura de Privacidade de Dados Suíça-EUA, operado pelo Departamento de Comércio dos EUA.

(d) Europa inclui, para os fins deste DPA, os Estados-Membros da União Europeia e do Espaço Econômico Europeu.

(e) SCCs da UE significam as cláusulas contratuais anexas à Decisão de Execução 2021/914 da Comissão Europeia, de 4 de junho de 2021, sobre cláusulas contratuais padrão para a transferência de Dados Pessoais para países terceiros nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, conforme alterado, substituído ou renovado periodicamente.

(f) Provedor de Serviços tem o mesmo significado atribuído na CCPA.

(g) Adendo do Reino Unido significa o Adendo de Transferência Internacional de Dados às Cláusulas Contratuais Padrão da Comissão Europeia emitido pelo Comissário de Informação do Reino Unido, Versão B1.0, em vigor desde 21 de março de 2022, conforme alterado, substituído ou renovado periodicamente.

12. Anexo 3

12.1 Subprocessadores

(a) Em vigor a partir de 15 de julho de 2026

12.2 Subprocessadores Terceiros

(a) A OriginsNext utiliza as entidades terceiras listadas abaixo (cada uma, um “Subprocessador”) para processar Dados Pessoais do Cliente em nome dos Clientes da OriginsNext, de acordo com os contratos entre a OriginsNext e o Subprocessador, para cumprir os compromissos da OriginsNext no Adendo de Processamento de Dados da OriginsNext. Termos definidos, como “Dados Pessoais”, “Dados Pessoais do Cliente”, “Subprocessador”, “Plataforma” ou “Dados Pessoais do Usuário Final” têm o mesmo significado que no Adendo de Processamento de Dados da OriginsNext ou no Contrato de Termos do Cliente da OriginsNext, conforme o caso.

(b) A OriginsNext realiza revisões periódicas de conformidade de seus Subprocessadores e, quando a contratação de um Subprocessador exige a transferência transfronteiriça de Dados Pessoais, a OriginsNext conduz Avaliações de Impacto de Transferência de acordo com a Lei de Proteção de Dados Aplicável para essas transferências de dados. A OriginsNext impõe obrigações aos seus Subprocessadores para implementar medidas técnicas e organizacionais apropriadas, garantindo que o subprocessamento de Dados Pessoais seja protegido de acordo com os padrões exigidos pela Lei de Proteção de Dados Aplicável e o mesmo padrão fornecido pelo Adendo de Processamento de Dados da OriginsNext.

(c) A lista abaixo contém os Subprocessadores para cada Plataforma e Serviços relacionados da OriginsNext. Para cada Subprocessador abaixo, o processamento de Dados Pessoais ocorrerá durante a vigência do uso do(s) serviço(s) aplicável(is) pelo Controlador e pelos períodos de retenção estabelecidos nos Termos do Cliente, Carta de Engajamento ou qualquer documentação do produto. Mais informações sobre as medidas de segurança dos Subprocessadores podem ser encontradas nos links externos abaixo.

Sub-Processor Nature And Purpose Of Processing Categories Of Personal Data Location Of Processing Security Measures
Microsoft Corporation Cloud hosting provider OriginsNext Account Data, OriginsNext Usage Data, and Client Personal DataAustraliaMicrosoft Trust Centre
IntercomClient Help Centre and support ticketing providerOriginsNext Account Data, and Client Personal DataUSA Intercom Security & Privacy
Google Analytics Analytics to help us improve your Platform experienceOriginsNext Usage DataUSA Privacy Controls in Google Analytics
HarnessFeature access and release managementOriginsNext Account Data, and Client Personal DataUSAHarness Trust Centre
PipedriveCustomer Relationship Management (CRM) solutionOriginsNext Account Data, and Client Personal DataAustraliaPipedrive Privacy
WebflowPublic website and contact form hosting service OriginsNext Account Data, and Client Personal DataUSAWebflow Global Privacy

13. Anexo 4

13.1 Medidas de Segurança Técnicas e Organizacionais

A OriginsNext mantém uma Política de Segurança da Informação formal para proteger a confidencialidade, integridade e disponibilidade das informações em todas as suas operações. A política estabelece uma estrutura para gerenciar riscos de segurança e garantir a conformidade com as leis e regulamentos aplicáveis. Uma cópia abrangente desta política está disponível para o Controlador mediante solicitação e sob um acordo de confidencialidade.

13.2 Governança e Programa de Segurança

(a) O Diretor de Tecnologia (CTO) é a autoridade designada responsável pela liderança geral e direção estratégica dos esforços de segurança da informação da empresa.

(b) O CTO supervisiona o desenvolvimento, a implementação e a aplicação da Política de Segurança da Informação e lidera a estrutura de gestão de riscos para identificar e mitigar riscos.

(c) A equipe de entrega da OriginsNext segue rigorosamente os princípios de segregação de funções, privilégio mínimo, revisão obrigatória de código por pares e processos de aprovação de mudanças.

(d) É realizada uma revisão anual dos controles e procedimentos de segurança com base na estrutura NIST SP 800-53.

(e) Testes de intrusão anuais para a aplicação e infraestrutura são realizados por uma equipe de cibersegurança externa credenciada.

(f) A OriginsNext está comprometida em manter a conformidade com padrões nacionais e internacionais, e auditorias internas e externas periódicas são realizadas para garantir essa conformidade.

13.3 Classificação de Informações e Manuseio de Dados

(a) As informações são classificadas com base em sua sensibilidade, com procedimentos de manuseio específicos para cada classificação.

(b) As classificações de dados incluem informações Públicas, Internas, Confidenciais e Restritas. As classificações de dados incluem informações Públicas, Internas, Confidenciais e Restritas.

(c) Informações Confidenciais e Restritas devem ser criptografadas em repouso e em trânsito. Informações Confidenciais e Restritas devem ser criptografadas em repouso e em trânsito.

(d) Políticas de retenção de dados são aplicadas para garantir que dados sensíveis sejam retidos apenas pelo tempo necessário e excluídos de forma segura quando não forem mais exigidos.

13.4 Controle de Acesso

(a) O OriginsNext adere ao princípio do privilégio mínimo, garantindo que os usuários recebam apenas o acesso necessário para suas funções.

(b) O provisionamento de acesso segue um processo formal de solicitação com aprovação do gerente.

(c) O acesso aos sistemas requer a devida autenticação do usuário.

(d) A autenticação multifator (MFA) é implementada para sistemas que contêm dados confidenciais ou restritos.

(e) O OriginsNext utiliza o Azure Active Directory B2C para o Ciclo de Vida de Identidade e Gestão de Acesso. O logon único (SSO) é suportado por meio do protocolo OIDC.

(f) O controle de acesso baseado em função (RBAC) é utilizado para gerenciar as permissões dos usuários dentro de seu tenant.

13.5 Criptografia e Proteção de Dados

(a) Todos os dados confidenciais são protegidos por criptografia, tanto em repouso quanto em trânsito.

(b) A criptografia robusta em repouso é ativada por padrão (256 bits, compatível com FIPS 140-2).

(c) Os dados em trânsito são protegidos por, no mínimo, TLS 1.2 com cifras robustas.

(d) O Azure Key Vault é utilizado para proteger chaves criptográficas e segredos.

13.6 Resposta e Gestão de Incidentes

(a) Todos os funcionários devem relatar prontamente quaisquer incidentes de segurança, incluindo atividades suspeitas ou possíveis violações.

(b) O CTO garante que um procedimento formal de notificação de incidentes esteja em vigor, e que todos os incidentes sejam documentados, investigados e mitigados.

(c) Uma Equipe de Resposta a Incidentes (IRT) é estabelecida para gerenciar e coordenar as respostas a incidentes significativos.

(d) Uma análise de causa raiz é realizada após cada incidente para aprimorar as práticas de segurança.

13.7 Continuidade de Negócios e Recuperação de Desastres

(a) Dados e configurações críticos são copiados regularmente e armazenados com segurança fora do local. Os backups são protegidos por criptografia AES de 256 bits para dados em repouso.

(b) Os dados são copiados em várias regiões australianas para garantir redundância.

(c) A continuidade é alcançada por meio de uma combinação de backups automatizados, recuperação automática, zonas de disponibilidade, georredundância e automação para o provisionamento de componentes na nuvem.