Adendo de Proteção de Dados

Este Adendo de Proteção de Dados (“Adendo”) altera e faz parte do Contrato Master de Licenciamento e Prestação de Serviços entre a parte contratante identificada na Proposta Comercial (“Contratante”) e Tractian Tecnologia Ltda. (“Tractian”) (o “Contrato”). O Contratante e a Tractian são individualmente referidos como “Parte” e coletivamente como as “Partes”. 

Em caso de conflito entre o Contrato e este Adendo, os termos mais rigorosos prevalecerão. Todos os termos em maiúscula não especificamente definidos neste Adendo terão o significado atribuído a esses termos no Contrato. Em consideração às obrigações mútuas aqui estabelecidas, as Partes concordam que os termos e condições abaixo serão adicionados como Adendo ao Contrato.

1. Definições

1.1 “Lei(s) de Proteção de Dados Aplicável(is)” significa todas as leis e regulamentos internacionais, federais, estaduais e locais de privacidade e segurança de dados aplicáveis ao Tratamento de Informações Pessoais, incluindo, mas não se limitando a, Leis de Privacidade Abrangentes dos EUA (U.S. Omnibus Privacy Laws), Lei Geral de Proteção de Dados (LGPD), Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) e o Regulamento Geral sobre a Proteção de Dados (RGPD), incluindo todos os regulamentos de implementação aplicáveis, conforme adotados.

1.2 “Finalidade(s) Comercial(is)” terá o mesmo significado mesmo significado que o previsto nas Leis de Proteção de Dados Aplicáveis.

1.3 “CCPA” significa a Lei de Privacidade do Consumidor da Califórnia de 2018, Título 1.81.5 (a partir da Seção 1798.100) da Parte 4 da Divisão 3 do Código Civil, conforme alterada, e todos os regulamentos aplicáveis relacionados. 

1.4 “Dados do Contratante” Quaisquer dados fornecidos pelo Contratante à Tractian em conexão com os Serviços ou Finalidade Comercial, incluindo quaisquer Informações Pessoais neles contidas. 

1.5 “Controlador” terá o mesmo significado que o previsto nas Leis de Proteção de Dados Aplicáveis.

1.6 “Incidente de Segurança de Dados” significa o acesso não autorizado real, destruição, perda, alteração, exfiltração, furto ou divulgação de Informações Pessoais transmitidas, coletadas, armazenadas, controladas ou de outra forma em posse da Tractian e utilizadas para Tratamento nos termos do Contrato e deste Adendo.

1.7 “Titular dos Dados” terá o mesmo significado que o previsto nas Leis de Proteção de Dados Aplicáveis.

1.8 “Dados Desidentificados” terá o mesmo significado que o previsto nas Leis de Proteção de Dados Aplicáveis. 

1.9 “EU-SCCs” tem o significado estabelecido na Seção 8.2.1.

1.10 “GDPR” significa o Regulamento Geral de Proteção de Dados da UE 2016/679 com relação aos Titulares dos Dados no Espaço Econômico Europeu, a Lei Federal de Proteção de Dados com relação aos Titulares dos Dados na Suíça, e a Lei de Proteção de Dados de 2018 com relação aos Titulares dos Dados no Reino Unido. 

1.11 “Informações Pessoais” significa qualquer informação que identifique, se relacione, descreva, seja razoavelmente capaz de ser associada ou possa ser razoavelmente vinculada, direta ou indiretamente, a um Titular dos Dados específico e inclui “dados pessoais”ou termos definidos de forma semelhante nas Leis de Proteção de Dados Aplicáveis. 

1.12 “Tratar,” “Tratado,” ou “Tratamento” significa qualquer operação ou conjunto de operações realizadas sobre Informações Pessoais ou sobre conjuntos de Informações Pessoais, automatizadas ou manuais, incluindo, mas não se limitando a, coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou de outra forma tornando disponível, alinhamento ou combinação, restrição, exclusão ou destruição.

1.13 “Operador” terá o mesmo significado que o previsto nas Leis de Proteção de Dados Aplicáveis.

1.14 “Venda”, “Vender”, and “Compartilhamento” terá o mesmo mesmo significado que o previsto nas Leis de Proteção de Dados Aplicáveis.

1.15 “SCC” significa as CCPs do Reino Unido, ou o mecanismo de cláusulas contratuais padrão relacionado à Suíça conforme previsto neste Adendo, em cada caso conforme aplicável.

1.16 “Serviços” significará os serviços prestados pela Tractian ao Contratante nos termos do Contrato.

1.17 “Suboperador” significa qualquer pessoa (incluindo qualquer terceiro, mas excluindo funcionário da Tractian) nomeada em nome da Tractian para Tratar Informações Pessoais.

1.18 “UK-SCCs” tem o significado estabelecido na Seção 8.2.3.

1.19 “U.S. Omnibus Privacy Laws” significará, quando aplicável, qualquer lei de privacidade dos EUA aplicável, incluindo a CCPA, Colorado Privacy Act, Connecticut Data Privacy Act, Indiana Consumer Data Protection Act, Iowa Consumer Data Protection Act, Montana Consumer Data Privacy Act, New Hampshire Consumer Data Privacy Act, New Jersey Consumer Data Privacy Act, Oregon Consumer Privacy Act, Tennessee Information Protection Act, Texas Data Privacy and Security Act, Utah Consumer Privacy Act e Virginia Consumer Data Protection Act, e todos os regulamentos aplicáveis. 

2. Serviços Prestados / Escopo do Adendo

2.1 No curso da prestação de Serviços ao Contratante, a Tractian poderá ser solicitada de tempos em tempos pelo Contratante, ou em nome do Contratante, a Tratar Informações Pessoais. As Informações Pessoais poderão ser fornecidas à Tractian pelo Contratante, afiliadas ou parceiros do Contratante, clientes do Contratante ou outros terceiros em nome do Contratante para as Finalidades Comerciais limitadas e específicas estabelecidas no Contrato entre a Tractian e o Contratante. 

2.2 Cada Parte deverá cumprir os requisitos estabelecidos na Lei de Proteção de Dados Aplicável para o tratamento de dados Desidentificados, incluindo:  

i. Não tentar reidentificar tais dados, exceto que uma Parte poderá tentar reidentificar as informações exclusivamente com o propósito de determinar se seus processos de desidentificação satisfazem os requisitos da Lei de Proteção de Dados Aplicável; 

ii. Utilizar Controles de Segurança e Privacidade para evitar qualquer reidentificação ou reassociação de tais dados;  

iii. Comprometer-se publicamente a manter e utilizar os dados Desidentificados em forma desidentificada e a não tentar reidentificar tais dados. 

3. Papéis das Partes

3.1 No curso da prestação de Serviços ao Contratante, a Tractian poderá ser solicitada de tempos em tempos pelo Contratante, ou em nome do Contratante, a Tratar Informações Pessoais. As Informações Pessoais poderão ser fornecidas à Tractian pelo Contratante, afiliadas ou parceiros do Contratante, ou outros terceiros em nome do Contratante para os propósitos limitados e específicos estabelecidos no Contrato.  

3.2 As Partes reconhecem e concordam que o Contratante operará como Controlador ou Operador principal para as Informações Pessoais fornecidas ou disponibilizadas à Tractian nos termos deste Contrato, e a Tractian em todos os casos operará como Operador para o Contratante ou como Suboperador para o Contratante. O Contratante está e permanecerá em todos os momentos relevantes devidamente e efetivamente autorizado a dar instruções à Tractian relativas ao Tratamento de Informações Pessoais nos termos do Contrato e deste Adendo. A Tractian concorda expressamente em seguir as instruções do Contratante ao Tratar Informações Pessoais, o que incluirá o tratamento necessário para a prestação dos Serviços.

4. Conformidade com a Lei de Proteção de Dados

4.1 A Tractian concorda em cumprir todas as Leis de Proteção de Dados Aplicáveis no que se refere ao seu Tratamento de Informações Pessoais nos termos do Contrato e deste Adendo. Para evitar dúvidas, e na medida aplicável, a Tractian concorda em cumprir todas as obrigações aplicáveis sob a CCPA, LFPDPPP, RGPD e LGPD e fornecer o mesmo nível de proteções de privacidade às Informações Pessoais aplicáveis conforme exigido pela CCPA.

4.2 A Tractian deverá notificar prontamente e sem atraso indevido o Contratante sobre sua incapacidade de cumprir suas obrigações nos termos das Leis de Proteção de Dados Aplicáveis.

4.3 O Contratante terá o direito de tomar medidas razoáveis e apropriadas para garantir que a Tractian e qualquer Suboperador esteja tratando as Informações Pessoais de forma consistente com as obrigações do Contratante nos termos das Leis de Proteção de Dados Aplicáveis. Mediante notificação escrita razoável, o Contratante terá permissão para tomar medidas razoáveis e apropriadas para interromper e remediar qualquer Tratamento não autorizado ou ilegal de Informações Pessoais. 

5. Tratamento de Informações Pessoais

5.1 Instruções

5.1.1 A Tractian somente Tratará Informações Pessoais com a finalidade de cumprir as Finalidades Comerciais estabelecidas no Contrato e de acordo com as instruções documentadas do Contratante. Os tipos de Informações Pessoais tratadas pela Tractian estão listados no Anexo de Tratamento 1 deste Adendo. 

5.1.2 O Contratante instrui a Tractian a Tratar Informações Pessoais de acordo com o Contrato e este Adendo a fim de cumprir as Finalidades Comerciais declaradas, e a cumprir todas as instruções documentadas fornecidas pelo Contratante quando tais instruções forem consistentes com os termos do Contrato, deste Adendo e das Leis de Proteção de Dados Aplicáveis.

5.1.3 Na medida em que a Tractian considere que uma instrução do Contratante infrinja qualquer Lei de Proteção de Dados Aplicável, a Tractian deverá notificar imediatamente o Contratante.

5.2 Detalhes do Tratamento e Limitações Expressas de Tratamento

5.2.1 Os detalhes do tratamento exigidos pelas Leis de Proteção de Dados Aplicáveis, incluindo as categorias de Titulares dos Dados e Dados Pessoais, a natureza do Tratamento e a finalidade do Tratamento, são fornecidos no Anexo 1 deste Adendo.  

5.2.2 As Partes concordam que qualquer transferência, divulgação ou disponibilização de Informações Pessoais pelo Contratante à Tractian nos termos do Contrato e deste Adendo não se destina a ser uma Venda ou Compartilhamento de Informações Pessoais.

5.2.3 A Tractian está proibida de Vender ou Compartilhar Informações Pessoais que receba ou às quais tenha acesso nos termos do Contrato e deste Adendo. A Tractian está ainda proibida de reter, usar, divulgar ou compartilhar Informações Pessoais que receba do Contratante para qualquer finalidade que não seja a prestação dos Serviços e o cumprimento das Finalidades Comerciais ou o cumprimento de obrigações legais às quais a Tractian esteja sujeita.

5.2.4 A Tractian está proibida de combinar quaisquer Informações Pessoais que receba ou às quais tenha acesso nos termos do Contrato e deste Adendo com quaisquer outras Informações Pessoais recebidas de fontes de terceiros ou coletadas diretamente de indivíduos. Não obstante esta restrição, a Tractian poderá combinar Informações Pessoais com outras formas de Informações Pessoais se a Tractian for obrigada a fazê-lo para prestar os Serviços nos termos do Contrato e cumprir as Finalidades Comerciais estabelecidas no Contrato.

5.2.5 A Tractian certifica que compreende e cumprirá as restrições estabelecidas nesta seção.

5.3 Suboperadores

5.3.1 A Tractian poderá contratar Suboperadores em conexão com a prestação dos Serviços, incluindo, mas não se limitando ao Tratamento de Informações Pessoais. A Tractian celebrou ou celebrará um contrato com cada Suboperador contendo obrigações não menos protetivas do que as deste Adendo. 

5.3.2 Na medida exigida por uma Lei de Proteção de Dados Aplicável, a Tractian informará o Contratante sobre quaisquer alterações pretendidas relativas à adição ou substituição de outros operadores, dando ao Contratante a oportunidade de se opor razoavelmente a tal alteração. No caso de o Contratante se opor à alteração, as partes cooperarão para buscar uma resolução sem o uso do respectivo Suboperador rejeitado pelo Contratante. 

7. Medidas de Segurança

7.1 A Tractian manterá e aplicará salvaguardas administrativas, técnicas e físicas apropriadas para prevenir o acesso, aquisição ou divulgação não autorizados, destruição, alteração, perda acidental, uso indevido ou dano aos Dados do Contratante. 

7.2 A Tractian não reterá quaisquer Dados do Contratante por período superior ao necessário para que a Tractian cumpra suas obrigações nos termos deste Contrato. Exceto quando a retenção for exigida ou permitida pelas Leis de Proteção de Dados Aplicáveis, assim que a Tractian não precisar mais reter tais Dados do Contratante para cumprir suas obrigações nos termos deste Contrato, a Tractian devolverá ou destruirá ou apagará prontamente todos os originais e cópias de tais Dados do Contratante.

8. Transferências Internacionais de Dados

8.1 Obrigações de Transferência de Dados. A Tractian poderá acessar e Tratar Informações Pessoais em base global conforme necessário para prestar os Serviços de acordo com o Contrato, e em particular que as Informações Pessoais poderão ser transferidas e Tratadas nos Estados Unidos e em outras jurisdições onde os Suboperadores da Tractian tenham operações. Sempre que as Informações Pessoais forem transferidas para fora de seu país de origem, cada parte garantirá que tais transferências sejam realizadas em conformidade com os requisitos das Leis de Proteção de Dados.

8.2 Cláusulas Contratuais Padrão 

8.2.1 Transferências do EEE. Se o Contratante transferir Informações Pessoais originadas no Espaço Econômico Europeu (EEE) para a Tractian em um país que não tenha sido considerado como fornecendo um nível adequado de proteção nos termos das Leis de Proteção de Dados Aplicáveis, as Partes concordam que a transferência será regida pelas CCPs promulgadas pela Decisão de Implementação da Comissão (UE) 2021/914, Módulo Dois (Transferência de Controlador para Operador), conforme pode ser encontrado em: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN) (“EU-SCCs”), sujeito às seguintes alterações:

(a) O Contratante é o “exportador de dados” e a Tractian é o “importador de dados”; 

(b) os termos do Módulo Dois se aplicam na medida em que a Tractian também é Controladora e os termos do Módulo Três se aplicam na medida em que o Contratante é Operador; 

(c) na Cláusula 7, a cláusula de adesão opcional se aplica; 

(d) na Cláusula 9, a Opção 2 se aplica e as alterações nos Suboperadores serão notificadas de acordo com a seção ‘Suboperadores’ deste DPA; 

(e) na Cláusula 11, a linguagem opcional é excluída; 

(f) nas Cláusulas 17 e 18, as partes concordam que a lei aplicável e o foro para disputas das CCPs da UE serão determinados de acordo com a seção de lei aplicável no Contrato, ou, se tal seção não especificar um Estado-Membro da UE, a República da Irlanda; 

(g) os Anexos das Cláusulas Contratuais Padrão serão considerados preenchidos com as informações estabelecidas neste DPA; 

(h) a autoridade supervisora que atuará como autoridade supervisora competente será determinada de acordo com o RGPD; e 

(i) se e na medida em que as CCPs da UE conflitem com qualquer disposição deste DPA, as Cláusulas Contratuais Padrão prevalecerão na extensão de tal conflito.

8.2.2 Transferências da Suíça. Se o Contratante transferir Informações Pessoais originadas na Suíça para a Tractian em um país que não tenha sido considerado como fornecendo um nível adequado de proteção nos termos das Leis de Proteção de Dados Aplicáveis, as Partes concordam que a transferência será regida pelas CCPs da UE, conforme alteradas da seguinte forma: uma nova Cláusula 1(e) é adicionada às CCPs da UE que deverá dispor: “Na medida aplicável nos termos deste instrumento, estas Cláusulas também se aplicam mutatis mutandis ao tratamento de dados pessoais pelas partes que esteja sujeito às leis de proteção de dados aplicáveis da Suíça. Quando aplicável, (i) referências ao "Regulamento (UE) 2016/679" serão interpretadas como referências à Lei Federal de Proteção de Dados da Suíça e sua Portaria; (ii) referências a "UE", "União" e "legislação de Estado-Membro" serão interpretadas como referências à legislação suíça; e (iii) referências à "autoridade supervisora competente" e "tribunais competentes" serão substituídas por "Comissário Federal de Proteção de Dados e Informação da Suíça" e os "tribunais relevantes na Suíça".

8.2.3 Transferências do Reino Unido. Na medida em que as Leis de Proteção de Dados Aplicáveis se apliquem à transferência de Informações Pessoais do Reino Unido para países que não garantam um nível adequado de proteção de dados nos termos de tais Leis de Proteção de Dados Aplicáveis, a Tractian e o Contratante incorporam o Adendo não modificado às Cláusulas Contratuais Padrão da Comissão da UE emitido pelo Comissário nos termos da S119A(1) da Lei de Proteção de Dados de 2018 e anexado como Anexo 2 (“UK-SCCs”). As CCPs do Reino Unido, conforme aplicável, serão incorporadas por referência e farão parte do Contrato da seguinte forma:

(a) as Cláusulas Contratuais Padrão serão modificadas e interpretadas de acordo com o Adendo do Reino Unido, que será incorporado por referência e formará parte integrante do Contrato; 

(b) As Tabelas 1, 2 e 3 do Adendo do Reino Unido serão consideradas preenchidas com as informações estabelecidas nos Anexos deste DPA e a Tabela 4 será considerada preenchida selecionando “nenhuma das partes”; e 

(c) qualquer conflito entre os termos das Cláusulas Contratuais Padrão e o Adendo do Reino Unido será resolvido de acordo com a Seção 10 e a Seção 11 do Adendo do Reino Unido.

9. Incidente de Segurança de Dados

A Tractian notificará prontamente o Contratante por escrito sobre qualquer Incidente de Segurança. Para evitar dúvidas, as partes reconhecem que a Tractian não é obrigada a fornecer notificação ao Contratante sobre pings, ataques de broadcast em firewalls, varreduras de portas, tentativas de login malsucedidas, sondagens e varreduras de reconhecimento que não resultem em acesso, uso ou divulgação não autorizados dos Dados do Contratante. A Tractian fornecerá ao Contratante informações sobre o Incidente de Segurança mediante solicitação escrita razoável do Contratante, e sujeito à lei aplicável e proteções. 

10. Avaliação de Impacto à Proteção de Dados

Mediante solicitação escrita razoável, a Tractian fornecerá cooperação e assistência plena e imediata ao Contratante com relação a qualquer obrigação legal em conexão com o Tratamento de Informações Pessoais, incluindo, mas não se limitando à realização pelo Contratante de quaisquer avaliações de impacto à proteção de dados conforme exigido pelas Leis de Proteção de Dados Aplicáveis. 

11. Auditoria

11.1 Direito de Auditoria. A Tractian manterá registro escrito de todo Tratamento de Informações Pessoais realizado em nome do Contratante nos termos deste Adendo e permitirá e contribuirá para auditorias e inspeções razoáveis pelo Contratante ou pelo auditor designado do Contratante para demonstrar a conformidade da Tractian com este Adendo, uma vez por ano, salvo se de outra forma exigido pelas Leis de Proteção de Dados Aplicáveis.  

11.2 Custos de Auditoria. O Contratante será integralmente responsável por quaisquer custos e/ou honorários associados a qualquer auditor designado pelo Contratante para realizar uma auditoria nos termos desta seção.

11.3 Resultados da Auditoria. O Contratante notificará prontamente a Tractian, e no máximo quatorze (14) dias corridos após o encerramento de uma auditoria nos termos desta seção, sobre qualquer suposta não conformidade com o Contrato e/ou este Adendo descoberta durante o curso da auditoria.

11.4 Certificações Alternativas de Terceiros. Se o escopo da auditoria solicitada for abordado em uma auditoria ou certificação de terceiros da Tractian relativa aos controles de privacidade e segurança da Tractian’ razoavelmente aceitável para o Contratante (“Auditoria de Terceiros”) emitida nos doze (12) meses anteriores e a Tractian fornecer tal relatório ao Contratante confirmando que não há alterações materiais conhecidas nos controles auditados, o Contratante concorda em aceitar as conclusões apresentadas na Auditoria de Terceiros em vez de solicitar uma auditoria dos mesmos controles cobertos pela Auditoria de Terceiros. Qualquer Auditoria de Terceiros constituirá informação confidencial de acordo com o Contrato e este Adendo.

11.5 Limitações da Auditoria. (i) as auditorias somente poderão ser realizadas mediante notificação prévia por escrito razoável; (ii) o escopo das auditorias deve ser limitado ao necessário para verificar a conformidade com este Adendo; (iii) as auditorias serão realizadas exclusivamente durante o horário comercial normal da Tractian e de forma que não interfira de forma irrazoável em suas operações; e (iv) tanto o Contratante quanto quaisquer auditores designados estarão vinculados por obrigações de confidencialidade apropriadas. Estas limitações garantem previsibilidade, mitigam impactos operacionais e mantêm a proporcionalidade no exercício dos direitos de auditoria, preservando assim a continuidade dos negócios e a segurança operacional da Tractian.

12. Solicitações de Titulares dos Dados

12.1 A Tractian concorda em cooperar razoavelmente com o Contratante mediante solicitação escrita, para responder a qualquer solicitação de um Titular dos Dados, na medida e dentro dos prazos exigidos pela(s) Lei(s) de Proteção de Dados Aplicável(is). 

12.2 A Tractian não responderá diretamente a qualquer solicitação de um Titular dos Dados relativa ao exercício de direitos de proteção de dados, exceto com a autorização prévia por escrito do Contratante ou quando exigido pelas Leis de Proteção de Dados Aplicáveis.

13. Vigência e Rescisão 

13.1 Mediante solicitação do Contratante, ou, no mais tardar, após a rescisão ou expiração do Contrato, a Tractian deverá, a critério do Contratante, respeitando as medidas de proteção de dados e segurança, excluir ou devolver ao Contratante todos os Dados do Contratante e excluir todas as cópias existentes, salvo se as leis do país ao qual a Tractian está sujeita exigirem um período de retenção mais longo.

Anexo 1 - Descrição da Transferência

Categorias de Titulares dos Dados cujos Dados Pessoais são Transferidos Os Dados Pessoais transferidos referem-se às seguintes categorias de Titulares de Dados:

• Funcionários autorizados, agentes, contratados ou outro pessoal do Cliente (que é pessoa jurídica) designados para acessar e utilizar a plataforma baseada em nuvem da Tractian;
• Indivíduos que atuam em nome do Cliente em funções administrativas, operacionais ou técnicas, incluindo administradores da plataforma e contatos de suporte.

Tais Titulares de Dados estão registrados exclusivamente em sua capacidade profissional, com a finalidade de possibilitar o acesso aos Serviços nos termos do Contrato de Prestação de Serviços (Contrato). 

Categorias de Dados Pessoais Transferidos

Os Dados Pessoais transferidos estão limitados às informações de contato corporativas necessárias para identificação do usuário, gestão de contas e prestação dos Serviços, incluindo:

• Nome completo (primeiro nome e sobrenome);
• Endereço de e-mail corporativo;
• Telefone corporativo ou número de celular corporativo;
• Identificadores de conta, credenciais de autenticação e informações de acesso baseadas em função associadas à plataforma Tractian. 

A Tractian aplica princípios de minimização de dados e não exige informações pessoais adicionais além daquelas estritamente necessárias para a execução contratual.

Dados Sensíveis transferidos e restrições ou salvaguardas aplicadas

Não se pretende processar ou transferir quaisquer Categorias Especiais de Dados Pessoais (conforme definido no Artigo 9º do GDPR), nem quaisquer dados pessoais sensíveis nos termos da LGPD, no âmbito deste Contrato.

O Cliente não deve fornecer tais dados à Tractian. No caso excepcional em que Categorias Especiais de Dados Pessoais sejam incluídas inadvertidamente, a Tractian aplicará medidas de proteção aprimoradas, incluindo:

• Restrição de acesso estritamente no regime de necessidade de conhecimento (need-to-know);
• Criptografia durante a transmissão e em repouso;
• Procedimentos de resposta a incidentes e contenção;
• Notificação imediata ao Cliente, quando exigido pela legislação aplicável.

Frequência da transferência

As transferências ocorrem de forma contínua e permanente, conforme necessário para fornecer os Serviços, incluindo:

• Registro inicial de usuários e integração (onboarding);
• Acesso contínuo à plataforma, autenticação e autorização;
• Gestão de serviços, interações de suporte técnico e comunicações operacionais;
• Manutenção do sistema, monitoramento e atividades de segurança.

As transferências estão limitadas ao que é necessário para a operação segura e eficaz da plataforma. 

Natureza do Tratamento

As atividades de processamento realizadas pela Tractian como Processadora incluem:

• Coleta, registro, estruturação e armazenamento de Dados Pessoais;
• Criação de contas de usuário, autenticação e aplicação de controles de acesso;
• Hospedagem e processamento na infraestrutura de nuvem AWS;
• Prestação de suporte técnico e funções de atendimento ao Cliente;
• Implementação de monitoramento de segurança, registro de auditoria, backup e medidas de continuidade de negócios;
• Conformidade com obrigações contratuais e legais relacionadas à prestação dos Serviços.

O processamento é realizado estritamente de acordo com as instruções documentadas do Cliente e os termos do Contrato. 

Finalidade da transferência e tratamento adicional

A transferência e o processamento de Dados Pessoais são realizados exclusivamente para as seguintes finalidades:

• Cumprimento das obrigações da Tractian e prestação dos Serviços nos termos do Contrato de Prestação de Serviços (MAS);
• Permitir que usuários autorizados pelo Cliente acessem e administrem a plataforma de forma segura;
• Fornecer comunicações operacionais e suporte técnico solicitado pelo Cliente;
• Manter a segurança, integridade, disponibilidade e resiliência dos Serviços.

A Tractian não processa Dados Pessoais para publicidade, perfis ou quaisquer finalidades comerciais independentes, e não vende Dados Pessoais conforme definido nas leis de privacidade aplicáveis dos EUA. 

Período pelo qual os Dados Pessoais serão retidos

Os Dados Pessoais serão retidos apenas pelo período mínimo necessário para cumprir as finalidades estabelecidas neste Anexo, ou seja, a prestação dos Serviços nos termos do Contrato de Prestação de Serviços (MSA), e em conformidade com as leis de proteção de dados aplicáveis, incluindo GDPR, LGPD e regulamentos de privacidade dos EUA relevantes.

A Tractian processará e armazenará os Dados Pessoais durante a vigência da relação contratual com o Cliente, salvo:

• Caso um período de retenção mais longo seja exigido para cumprir obrigações legais, regulatórias, contábeis ou contratuais aplicáveis; ou
• Caso os dados precisem ser retidos para o estabelecimento, exercício ou defesa de direitos legais.

Após a rescisão ou expiração dos Serviços, a Tractian, a critério do Cliente e de acordo com os termos do Contrato, excluirá ou devolverá todos os Dados Pessoais em prazo razoável, salvo se o armazenamento contínuo for exigido por lei aplicável.

Quaisquer Dados Pessoais retidos permanecerão sujeitos às medidas de proteção e segurança estabelecidas neste Adendo até sua exclusão. 

Anexo 2 - Medidas de Segurança

Atualmente, implementamos as seguintes Medidas de Segurança:

a) Controle de Acesso

• Autenticação individual de usuários: O acesso à plataforma é concedido por meio de contas individuais de login (credenciais únicas de usuário).
• Autenticação forte: O acesso do usuário é protegido por senhas de uso único (OTP) como fator adicional de autenticação e, quando habilitado, pelo Single Sign-On (SSO).
• Segregação por cliente (tenant): A plataforma aplica segregação lógica de acesso por cliente, garantindo que os usuários acessem apenas dados associados ao seu próprio ambiente.
• Revisões de acesso são realizadas periodicamente.

b) Controle de Transmissão

• Os dados transmitidos entre usuários, ambientes do Cliente e serviços da Tractian são protegidos por criptografia padrão do setor durante a transmissão (ex.: TLS/HTTPS).
• O banco de dados em nuvem que armazena os dados da plataforma é criptografado em repouso.
• Canais seguros são utilizados para comunicações e integrações via API.

c) Controle de Entrada (Input Control)

• Registro de acessos: A plataforma mantém registros de acesso para documentar eventos de autenticação e acessos de usuários, apoiando rastreabilidade e investigações.

d) Controle de Disponibilidade

• A Tractian aplica medidas para manter a disponibilidade do serviço, incluindo redundância, monitoramento, alertas e gestão de capacidade.
• Backups regulares são mantidos para possibilitar restauração e apoiar a continuidade e disponibilidade dos negócios.
• A infraestrutura é projetada para suportar tolerância a falhas na região AWS selecionada, e processos de resposta a incidentes estão em vigor para detectar, responder e remediar eventos que impactem a disponibilidade.

Anexo 3 - Suboperadores 

• A lista atualizada de nossos suboperadores pode ser encontrada em https://trust.tractian.com/subprocessors 

ANEXO DE TRATAMENTO 1

Informações de Tratamento 

Informações Pessoais Tratadas

•	Nome completo, e-mail corporativo e número de telefone corporativo

Lista de Suboperadores

•	https://trust.tractian.com/subprocessors