Política de Privacidade

Versão 2.1 | Em vigor a partir de 15 de mAIo de 2026 | A versão atual está sempre disponível em https://Perspectis.AI/privacy

Este Acordo de Processamento de Dados (“APD”) é publicado pela Perspectis AI, Inc. em Perspectis.AI e está incorporado por referência ao Contrato de Serviços SaaS (ou contrato principal equivalente) celebrado entre o Provedor de Serviços e o Cliente (o “Contrato Principal”). Este APD está incorporado ao Contrato Principal por referência. Aplica-se a versão vigente na data de entrada em vigor do Contrato Principal, sujeita a quAIsquer atualizações feitas de acordo com a Cláusula 16.6.

Em caso de conflito entre este DPA e o Contrato Principal no que diz respeito ao processamento de dados pessoAIs, este DPA prevalecerá.

Abordagem. Este DPA estabelece um padrão único de referência que satisfaz os requisitos aplicáveis mAIs exigentes em todas as jurisdições em que as partes operam, incluindo o Reino Unido (RGPD do Reino Unido / DPA 2018), o Espaço Econômico Europeu (RGPD da UE), o Canadá (PIPEDA e Lei 25 de Quebec) e os Estados Unidos (CCPA/CPRA e leis estaduAIs aplicáveis). Quando um mecanismo específico for legalmente exigido — como cláusulas contratuAIs padrão para transferências internacionAIs — ele será abordado na Cláusula 8. Em todos os outros aspectos, aplica-se uma única obrigação, independentemente da jurisdição envolvida.

Sigilo profissional jurídico. Os Dados do Cliente podem conter informações sujeitas a sigilo profissional jurídico, sigilo entre advogado e cliente ou sigilo entre procurador e cliente. As obrigações adicionAIs do Provedor de Serviços em relação a esse material estão definidas na Cláusula 12.

Definições

Neste DPA:

“Dados anonimizados” significa dados que foram irreversivelmente desidentificados, de forma que nenhum indivíduo possa ser razoavelmente identificado a partir deles, seja isoladamente ou em combinação com outras informações, de acordo com as normas aplicáveis da legislação de privacidade.

“Legislação de Proteção de Dados Aplicável” significa todas as leis de privacidade e proteção de dados aplicáveis ao Processamento de Dados PessoAIs sob este DPA, incluindo (sem limitação): o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018; o GDPR da UE (Regulamento (UE) 2016/679); a Lei de Proteção de Informações PessoAIs e Documentos Eletrônicos do Canadá (PIPEDA) e equivalentes provinciAIs aplicáveis, incluindo a Lei 25 de Quebec; e a Lei de Privacidade do Consumidor da Califórnia / Lei de Direitos de Privacidade da Califórnia (CCPA/CPRA) e outras leis de privacidade estaduAIs aplicáveis dos EUA. Quando duas ou mAIs leis impuserem padrões diferentes para a mesma obrigação, o Provedor de Serviços deverá cumprir o padrão mAIs exigente.

“Dados do Cliente” tem o significado atribuído no Contrato Principal e inclui todos os Dados PessoAIs nele contidos.

“Indivíduo” significa qualquer pessoa física cujos Dados PessoAIs sejam processados de acordo com esta Lei de Proteção de Dados. Os termos Titular dos Dados, Consumidor e Indivíduo são usados indistintamente.

“Dados PessoAIs” significa qualquer informação relativa a uma pessoa singular identificada ou identificável, conforme definido pela legislação de proteção de dados aplicável na jurisdição relevante. Os termos Dados PessoAIs e Informação Pessoal são usados indistintamente.

“Violação de Dados PessoAIs” significa qualquer violação de segurança que leve à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal a Dados PessoAIs.

“Responsável pela Privacidade” significa o indivíduo designado pelo Prestador de Serviços para supervisionar a conformidade com a Legislação de Proteção de Dados Aplicável.

“Processamento” (e termos afins) tem o significado atribuído pela legislação de proteção de dados aplicável.

“Transferência Restrita” significa qualquer transferência de Dados PessoAIs para um país que não possua uma decisão de adequação ou parecer equivalente nos termos da legislação de proteção de dados aplicável.

“SCCs” significa as cláusulas contratuAIs padrão da UE para a transferência de dados pessoAIs para países terceiros (Decisão da Comissão 2021/914/UE).

“Dados PessoAIs Sensíveis” significa Categorias EspeciAIs de Dados PessoAIs de acordo com o GDPR do Reino Unido / GDPR da UE; Informações PessoAIs Sensíveis de acordo com o CCPA/CPRA; e categorias equivalentes de acordo com outras Leis de Proteção de Dados Aplicáveis.

“Subprocessador” significa qualquer terceiro contratado pelo Prestador de Serviços para processar Dados PessoAIs em nome do Cliente.

“Lista de Subprocessadores” significa a lista atual de Subprocessadores aprovados, mantida pelo Provedor de Serviços em seu site, atualizada periodicamente de acordo com a Cláusula 7.

“TOMs” significa as Medidas Técnicas e OrganizacionAIs estabelecidas no Anexo 2.

“UK IDTA” significa o Acordo Internacional de Transferência de Dados do Reino Unido emitido pelo ICO ao abrigo da secção 119A da DPA 2018.

Funções e nomeações

O Cliente é o Controlador (ou equivalente nos termos da legislação de proteção de dados aplicável); o Prestador de Serviços é o Processador ou Prestador de Serviços (ou equivalente). O Prestador de Serviços processará os Dados PessoAIs somente mediante instruções documentadas do Cliente.

Para efeitos da CCPA/CPRA, o Prestador de Serviços atua como um Prestador de Serviços (não como Terceiro ou Empresa) e certifica que: (a) não venderá nem compartilhará Dados PessoAIs; (b) não usará Dados PessoAIs para qualquer finalidade que não seja a prestação dos Serviços; (c) não combinará Dados PessoAIs recebidos ao abrigo deste DPA com dados pessoAIs de outras fontes, exceto conforme permitido pela legislação aplicável; e (d) compreende e cumprirá estas restrições.

O prestador de serviços deverá notificar imediatamente o cliente se, em sua opinião razoável, qualquer instrução infringir a legislação de proteção de dados aplicável.

Obrigações do Cliente

O Cliente garante que possui, e manterá em todos os momentos, uma base legal de acordo com a Legislação de Proteção de Dados Aplicável para cada categoria de Dados PessoAIs submetidos à Plataforma, incluindo (quando necessário) consentimento válido, uma avaliação de interesse legítimo ou outro fundamento legal aplicável.

O Cliente é o único responsável pela exatidão, qualidade e legalidade de todos os Dados PessoAIs submetidos à Plataforma e pela legalidade de todas as instruções de processamento fornecidas ao Prestador de Serviços. O Prestador de Serviços não é obrigado a verificar de forma independente a legalidade das instruções do Cliente, mas deverá cumprir sua obrigação de notificação nos termos da Cláusula 2.3.

O Cliente não deverá submeter Dados PessoAIs Sensíveis à Plataforma sem notificação prévia por escrito ao Provedor de Serviços e acordo sobre salvaguardas adicionAIs apropriadas. Na ausência de tal notificação e acordo, o Provedor de Serviços não terá qualquer responsabilidade em relação a quAIsquer Dados PessoAIs Sensíveis submetidos à Plataforma.

O Cliente deverá manter seus próprios avisos de privacidade, registros de atividades de processamento e processos de direitos individuAIs, conforme exigido pela legislação de proteção de dados aplicável. O Cliente reconhece que as obrigações do Provedor de Serviços sob este DPA se limitam a fornecer assistência técnica razoável e não se estendem ao cumprimento das próprias obrigações de conformidade do Cliente como Controlador.

O Cliente deverá indenizar e isentar o Prestador de Serviços de quAIsquer perdas, reclamações, danos, responsabilidades, multas, penalidades, custos e despesas (incluindo honorários advocatícios razoáveis) decorrentes de ou relacionados a: (a) descumprimento, por parte do Cliente, de suas obrigações como Controlador nos termos da legislação de proteção de dados aplicável; (b) violação, por parte do Cliente, das garantias previstas nesta Cláusula 3; ou (c) quAIsquer instruções de processamento fornecidas pelo Cliente que violem a legislação de proteção de dados aplicável, desde que o Prestador de Serviços tenha cumprido sua obrigação de notificação nos termos da Cláusula 2.3 em relação à instrução relevante.

Instruções de Processamento e Confidencialidade

O prestador de serviços processará os dados pessoAIs somente mediante instruções documentadas do cliente, conforme estabelecido neste DPA, no Contrato Principal, nos Formulários de Pedido e em quAIsquer outras instruções por escrito.

A configuração da Plataforma pelo Cliente — incluindo ativação de recursos, configurações de retenção, permissões de usuário, seleções de residência de dados, habilitação de recursos de IA e configurações de integração — constitui instruções documentadas para os fins deste DPA. O Provedor de Serviços não será obrigado a obter instruções por escrito separadas para cada atividade de processamento que seja uma consequência natural do uso da Plataforma pelo Cliente, de acordo com sua configuração.

O prestador de serviços deverá garantir que o pessoal autorizado a tratar dados pessoAIs esteja sujeito a obrigações de confidencialidade adequadas e tenha recebido formação sobre as suas obrigações de proteção de dados.

O acesso aos Dados PessoAIs será limitado ao pessoal que deles necessite para prestar os Serviços, com base no princípio do menor privilégio.

O Prestador de Serviços não divulgará Dados PessoAIs a terceiros (incluindo autoridades policiAIs ou governamentAIs) sem o consentimento prévio e por escrito do Cliente, exceto quando exigido por lei. Nos casos em que a divulgação for legalmente obrigatória, o Prestador de Serviços deverá (na medida do permitido) notificar o Cliente com antecedência e cooperar com quAIsquer medidas de proteção razoáveis.

O prestador de serviços deverá designar um responsável pela privacidade e um contato para proteção de dados (quando necessário) e deverá informar o Cliente sobre os respectivos dados de contato mediante solicitação.

Direitos individuAIs

O prestador de serviços reconhece que os indivíduos podem ter direitos ao abrigo da legislação de proteção de dados aplicável, incluindo os direitos de: acesso; retificação ou correção; apagamento ou eliminação; restrição ou recusa do processamento; portabilidade dos dados; objeção; recusa da venda ou partilha; limitação da utilização de dados pessoAIs sensíveis; e o direito de não ser sujeito a decisões exclusivamente automatizadas com efeitos significativos.

O prestador de serviços deverá notificar o cliente no prazo de 3 dias úteis após o recebimento de qualquer solicitação de direitos diretamente de um indivíduo e não deverá responder diretamente sem a autorização do cliente.

O prestador de serviços deverá fornecer a assistência técnica (recursos de busca, exportação, exclusão e correção) razoavelmente necessária para que o Cliente responda a qualquer solicitação de direitos individuAIs dentro do prazo legal aplicável. O prazo de resposta previsto é de 30 dias a partir do recebimento da solicitação verificada.

O prestador de serviços não deverá discriminar nenhum indivíduo por exercer seus direitos ao abrigo da legislação de proteção de dados aplicável.

Segurança

O prestador de serviços deverá implementar e manter os Termos e Condições GerAIs de Operação (TOMs) estabelecidos no Anexo 2, concebidos para cumprir os requisitos da legislação de proteção de dados aplicável (incluindo o padrão de segurança razoável nos termos da CCPA/CPRA, o Artigo 32 do RGPD do Reino Unido/UE e o Princípio 7 da PIPEDA).

O prestador de serviços deverá testar, avaliar e analisar regularmente a eficácia dos TOMs e atualizá-los conforme necessário, levando em consideração o estado da arte, os custos e a natureza do processamento.

O prestador de serviços deverá notificar o cliente imediatamente sobre qualquer vulnerabilidade real ou suspeita que possa comprometer a segurança dos dados pessoAIs e deverá tomar medidas corretivas imediatas.

Subprocessadores

O Cliente concede autorização geral para a contratação dos Subprocessadores listados no Anexo 3. O Prestador de Serviços mantém uma lista atualizada dos Subprocessadores aprovados em seu site (a “Lista de Subprocessadores”), juntamente com detalhes sobre o processamento realizado por cada um.

O provedor de serviços publicará um aviso em seu site sobre qualquer proposta de nomeação de um novo subprocessador ou qualquer alteração substancial nas atividades de um subprocessador existente antes que a nomeação ou alteração entre em vigor. Os clientes que se inscreverem para receber notificações de atualização de subprocessadores (enviando um e-mAIl para [NOVO ENDEREÇO DE E-MAIL DA DPA]) receberão um aviso de cada publicação desse tipo.

Caso as partes não consigam resolver a objeção em 30 dias, o Provedor de Serviços deverá envidar todos os esforços razoáveis para disponibilizar uma configuração alternativa dos Serviços afetados que não envolva o Subprocessador em questão. Caso não haja uma configuração alternativa razoavelmente disponível e o Subprocessador em questão seja essencial para a funcionalidade principal dos Serviços, conforme descrito no Formulário de Pedido aplicável, o Cliente poderá rescindir o Formulário de Pedido afetado sem penalidades, mediante aviso prévio por escrito de 30 dias. Para evitar dúvidas, um Subprocessador será considerado essencial para a funcionalidade principal somente se a remoção desse Subprocessador tornar inoperáveis as funcionalidades essenciAIs descritas no Formulário de Pedido aplicável.

O prestador de serviços deverá impor a cada subcontratado, por meio de contrato escrito, obrigações de proteção de dados equivalentes às previstas neste DPA, incluindo obrigações que atendam à legislação de proteção de dados aplicável em cada jurisdição onde os dados pessoAIs são processados.

O prestador de serviços permanece totalmente responsável perante o cliente pelos atos e omissões de seus subcontratados, como se fossem seus próprios.

Transferências internacionAIs

Obrigação principal. As partes deverão ter em vigor um Mecanismo de Transferência apropriado em relação a qualquer Transferência Restrita antes que essa transferência ocorra. "Mecanismo de Transferência" significa as Cláusulas ContratuAIs Padrão, o Acordo de Transferência de Dados do Reino Unido (UK IDTA), uma decisão de adequação ou qualquer outro mecanismo que tenha o efeito de permitir a transferência de acordo com a legislação de proteção de dados aplicável.

Transferências dentro do EEE. Em caso de qualquer Transferência Restrita dentro do EEE, na qual os Dados PessoAIs do Cliente sejam transferidos do Cliente, na qualidade de Controlador, para o Provedor de Serviços, na qualidade de Processador, as partes deverão cumprir as Cláusulas ContratuAIs Padrão da UE (Módulo 2, Controlador para Processador, Decisão da Comissão 2021/914), que são incorporadas a este DPA por referência e ativadas automaticamente após a ocorrência de tal transferência. As opções selecionadas pelas partes para as disposições opcionAIs são: Cláusula 7 (cláusula de ancoragem) aplica-se; Cláusula 9(a) Opção 2 (autorização geral por escrito) aplica-se com um prazo de notificação de 30 dias, em conformidade com a cláusula de Subprocessadores deste DPA; Cláusula 11(a) mecanismo opcional de reparação não se aplica.

Transferências no Reino Unido. Em caso de qualquer Transferência Restrita para o Reino Unido, as partes deverão cumprir o Acordo de Transferência de Dados Interno do Reino Unido (UK IDTA), que incorpora as Cláusulas ContratuAIs Padrão da UE com o Adendo do Reino Unido (emitido pelo ICO nos termos do artigo 119A da Lei de Proteção de Dados de 2018), os quAIs são incorporados a este DPA por referência e ativados automaticamente após a ocorrência de tal transferência. Os detalhes das partes e as descrições do processamento para os fins do UK IDTA estão definidos no Contrato Principal e no Anexo 1 deste DPA, respectivamente.

LocAIs de processamento escolhidos pelo cliente. Todo o processamento ocorre, por padrão, na jurisdição selecionada pelo Cliente no Formulário de Pedido. Quando o Cliente ativa um recurso ou seleciona um modelo que exige processamento em uma jurisdição diferente, a seleção afirmativa do Cliente constitui uma instrução documentada para transferência e um reconhecimento do local de processamento. O Provedor de Serviços deverá identificar a jurisdição de processamento para o Cliente no momento da seleção do recurso ou modelo. O Provedor de Serviços deverá garantir que o Mecanismo de Transferência aplicável esteja em vigor antes que qualquer transferência ocorra.

Transferências de subcontratados. Quando o Prestador de Serviços contratar um subcontratado que exija uma transferência transfronteiriça, o Prestador de Serviços deverá assegurar que o Mecanismo de Transferência aplicável esteja em vigor entre o Prestador de Serviços e esse subcontratado antes da transferência. Para transferências entre processadores no Espaço Econômico Europeu (EEE), aplicam-se as Cláusulas ContratuAIs Padrão da UE (Módulo 3). Para transferências entre processadores no Reino Unido, aplica-se o módulo aplicável do Adendo do Reino Unido.

Canadá. As transferências de Dados PessoAIs sujeitas à PIPEDA ou à Lei 25 de Quebec estarão sujeitas a proteções contratuAIs que garantam um padrão de proteção comparável ao exigido pela legislação canadense, de acordo com a seção 10.3 da PIPEDA. Não é necessário um Mecanismo de Transferência Transfronteiriça quando o Canadá for tanto a jurisdição de origem quanto a de destino.

Estados Unidos. Não é necessário um Mecanismo de Transferência Transfronteiriça para o processamento que se origina e permanece nos Estados Unidos. A designação de Provedor de Serviços da CCPA na Cláusula 2 aplica-se a todo o processamento doméstico dos EUA.

Atualização automática. Quando qualquer Mecanismo de Transferência for atualizado, alterado ou substituído por uma autoridade competente, o mecanismo atualizado substituirá automaticamente o mecanismo anterior nos termos deste DPA a partir da data em que o Provedor de Serviços notificar o Cliente, e será vinculativo para as partes a partir da data especificada nessa notificação. O Provedor de Serviços deverá emitir tal notificação sem demora indevida após a publicação do mecanismo atualizado.

Detalhes do processamento para fins das Cláusulas ContratuAIs Padrão (SCCs). As informações exigidas pelo Anexo I das SCCs da UE (lista de partes e descrição da transferência) são apresentadas a seguir: os detalhes do exportador de dados são os identificados no Contrato Principal e no Formulário de Pedido; os detalhes do importador de dados são os definidos no cabeçalho deste DPA; a descrição das atividades de processamento e as categorias de dados pessoAIs são as definidas no Anexo 1 deste DPA. As medidas técnicas e organizacionAIs para os fins do Anexo II das SCCs da UE são as definidas no Anexo 2 deste DPA.

Incidentes de segurança e notificação de violação de dados

O Prestador de Serviços deverá notificar o Cliente sem demora injustificada e, em qualquer caso, dentro de 24 horas após tomar conhecimento de uma Violação de Dados PessoAIs confirmada ou razoavelmente suspeita. A notificação deverá ser feita ao contato designado pelo Cliente e deverá incluir todas as informações disponíveis naquele momento que o Cliente necessite para cumprir suas próprias obrigações de notificação de acordo com a Legislação de Proteção de Dados Aplicável.

O prestador de serviços deverá fornecer ao cliente um relatório de incidente por escrito no prazo de 30 dias após a contenção, abrangendo: causa rAIz; categorias de dados e volumes estimados afetados; medidas corretivas tomadas e planejadas; e quAIsquer alterações nos Procedimentos OperacionAIs Padrão (TOMs).

O prestador de serviços deverá manter um registro de todos os incidentes de segurança (incluindo aqueles abAIxo dos limites de notificação) e disponibilizá-lo ao cliente mediante solicitação.

A notificação de uma violação não constitui admissão de culpa ou responsabilidade por nenhuma das partes.

Avaliações de Impacto na Privacidade

O prestador de serviços deverá fornecer ao cliente assistência razoável para a realização de qualquer avaliação de impacto sobre a privacidade ou avaliação de impacto sobre a proteção de dados exigida pela legislação de proteção de dados aplicável, incluindo descrições das atividades de processamento, termos e condições, detalhes dos subprocessadores e outras informações relevantes.

Sempre que o Prestador de Serviços introduzir qualquer novo sistema, tecnologia ou serviço que envolva o Processamento de Dados PessoAIs, o Prestador de Serviços deverá realizar a sua própria avaliação de impacto na privacidade e fornecer um resumo ao Cliente mediante solicitação.

O prestador de serviços deverá auxiliar o cliente em qualquer consulta prévia necessária a uma autoridade supervisora ou autoridade de proteção de dados.

Direitos de auditoria

O prestador de serviços deverá disponibilizar todas as informações razoavelmente necessárias para demonstrar a conformidade com este DPA e com a legislação de proteção de dados aplicável.

Não mAIs do que uma vez por ano civil (na ausência de motivos razoáveis para suspeitar de uma violação material), e mediante notificação por escrito com 30 dias de antecedência, o Cliente poderá: (a) exigir que o Prestador de Serviços preencha um questionário de conformidade por escrito; ou (b) por conta do Cliente, realizar ou encomendar uma auditoria independente das atividades de processamento e dos TOMs do Prestador de Serviços.

O prestador de serviços poderá cumprir sua obrigação de auditoria fornecendo relatórios de auditoria de terceiros atualizados (certificado SOC 2 Tipo II, ISO 27001 ou equivalente), desde que tAIs relatórios sejam suficientes para demonstrar a conformidade com a obrigação pertinente.

Sigilo profissional jurídico

O Prestador de Serviços reconhece que os Dados do Cliente podem incluir informações sujeitas a sigilo profissional jurídico, sigilo entre advogado e cliente ou sigilo entre procurador e cliente (coletivamente, “Material Privilegiado”).

Em relação ao Material Privilegiado, o Prestador de Serviços deverá: (a) não acessar, usar, divulgar ou processar o mesmo, exceto na medida estritamente necessária para fornecer os Serviços; (b) manter controles de acesso e registros de acesso; (c) não divulgá-lo a terceiros sem o consentimento prévio por escrito do Cliente; e (d) notificar o Cliente imediatamente em caso de qualquer divulgação forçada, real ou iminente.

O prestador de serviços deverá apoiar o cliente no cumprimento das normas de conduta profissional e dos requisitos regulamentares aplicáveis ao cliente nas suas jurisdições de atuação.

As obrigações desta Cláusula 12 permanecem em vigor após a rescisão do Contrato Principal enquanto o Material Privilegiado permanecer na posse ou sob o controle do Provedor de Serviços e por um período mínimo de 7 anos após a rescisão.

Inteligência Artificial e Processamento Automatizado

O Provedor de Serviços não poderá utilizar os Dados do Cliente para treinar, ajustar ou aprimorar qualquer modelo de IA ou aprendizado de máquina sem o consentimento prévio e por escrito do Cliente. Para evitar dúvidas, esta proibição não se aplica a Dados Anonimizados que não possam ser razoavelmente utilizados para identificar qualquer indivíduo. Esta proibição aplica-se igualmente ao Feedback (conforme definido no Contrato Principal) e aos Dados do Provedor de Serviços gerados pelo uso da Plataforma pelo Cliente.

O Provedor de Serviços poderá utilizar dados de utilização agregados, totalmente anonimizados e irreversíveis (incluindo métricas de desempenho do sistema, padrões de utilização de funcionalidades e registos de erros que não contenham Dados PessoAIs e a partir dos quAIs nenhum Cliente ou Indivíduo possa ser identificado) para melhorar o desempenho, a fiabilidade e a funcionalidade dos Serviços. Tal utilização não constitui Tratamento de Dados PessoAIs ou Dados do Cliente, não constitui treino de qualquer modelo de IA ou de aprendizagem automática com base nos Dados do Cliente e não está sujeito às restrições da Cláusula 13.1. O Cliente poderá solicitar, a qualquer momento, confirmação por escrito de que os seus Dados do Cliente e Dados PessoAIs não foram utilizados para treino de modelos.

O prestador de serviços deverá, mediante solicitação e pelo menos anualmente, divulgar a identidade e a versão de quAIsquer modelos de IA que processem Dados PessoAIs, confirmar se quAIsquer Dados do Cliente foram usados para treinamento e fornecer informações sobre qualquer tomada de decisão automatizada com efeitos significativos sobre os indivíduos.

O prestador de serviços deverá manter um registo de IA e disponibilizá-lo ao cliente mediante solicitação.

Devolução e exclusão

Após a rescisão ou expiração do Contrato Principal, o Prestador de Serviços deverá:

(a) durante 30 dias após a rescisão ou expiração, disponibilizar os Dados do Cliente para exportação em formatos padrão do setor (CSV, JSON, Excel) sem custo adicional, de acordo com os mecanismos de exportação estabelecidos no Contrato Principal;

(b) após o término do prazo de exportação de 30 dias, excluir com segurança todos os Dados do Cliente, incluindo todas as cópias mantidas pelos Subprocessadores e todos os backups aplicáveis, sobrescrevendo ou tornando os dados permanentemente inacessíveis, a menos que: (i) haja acordo em contrário por escrito com o Cliente; (ii) a retenção seja necessária para resolver disputas legAIs ou processos regulatórios em andamento; ou (iii) a lei aplicável exija retenção adicional - caso em que o Provedor de Serviços deverá: (A) notificar o Cliente por escrito com antecedência sobre sua intenção de reter tAIs dados e a base legal para fazê-lo; (B) reter apenas os dados mínimos necessários pelo período mínimo exigido por lei; e (C) aplicar as mesmas medidas de proteção aos dados retidos que se aplicam durante o Prazo;

(c) fornecer proativamente ao Cliente uma certificação escrita de exclusão, incluindo a confirmação de que as cópias e backups do Subprocessador foram excluídos, dentro de 30 dias da conclusão e, adicionalmente, mediante solicitação escrita do Cliente a qualquer momento;

d) mediante solicitação por escrito do Cliente, fornecer evidências razoáveis da metodologia de exclusão aplicada.

O prestador de serviços deverá processar os pedidos de eliminação de dados individuAIs verificáveis dentro do prazo exigido pela legislação de proteção de dados aplicável, aplicando o padrão mAIs rigoroso aplicável e, em nenhum caso, excedendo 45 dias.

As obrigações previstas nesta Cláusula 14 permanecem em vigor após a rescisão do Contrato Principal até a sua conclusão e certificação de exclusão.

Duração e Rescisão

Este DPA entra em vigor na data em que o Acordo Principal entra em vigor e vigora simultaneamente com o Acordo Principal.

As seguintes obrigações permanecem válidas após o término do contrato: Cláusula 4 (Confidencialidade) — 5 anos; Cláusula 9 (Notificação de Violação) — 7 anos; Cláusula 12 (Privilégio) — enquanto o Material Privilegiado permanecer na posse ou sob o controle do Provedor de Serviços e por um período mínimo de 7 anos após o término do contrato; Cláusula 14 (Exclusão) — até a conclusão e certificação.

Qualquer uma das partes poderá rescindir este DPA em caso de violação substancial por parte da outra, mediante notificação por escrito com 30 dias de antecedência, e caso a violação não seja sanável dentro desse prazo.

Em geral

Limitação de Responsabilidade. (a) A responsabilidade total do Prestador de Serviços, nos termos ou em conexão com este DPA (incluindo por qualquer Violação de Dados PessoAIs), não deverá exceder o limite de responsabilidade estabelecido no Contrato Principal. (b) Este limite aplica-se independentemente de a reclamação ser apresentada com base em contrato, ato ilícito (incluindo negligência), lei ou de outra forma, e inclui (não se soma a) qualquer responsabilidade decorrente do Contrato Principal. (c) Caso uma autoridade supervisora, indivíduo ou outro terceiro apresente uma reclamação contra qualquer uma das partes em conexão com o Processamento de Dados PessoAIs nos termos deste DPA, as partes deverão cooperar de boa-fé e cada parte será responsável pelos seus próprios atos ou omissões. Nada nesta Cláusula 16.1 exclui ou limita a responsabilidade que não pode ser excluída ou limitada pela Lei de Proteção de Dados Aplicável.

O Prestador de Serviços deverá manter seguro de responsabilidade cibernética e proteção de dados em valores comercialmente razoáveis durante toda a vigência do Contrato Principal e deverá fornecer comprovante dessa cobertura ao Cliente mediante solicitação por escrito.

Lei Aplicável e Jurisdição. Este DPA é regido pela mesma lei que o Contrato Principal. Caso o Contrato Principal não especifique uma lei aplicável, este DPA será regido pelas leis do Estado de Nova York, sem levar em consideração suas disposições sobre conflito de leis. As partes se submetem à jurisdição não exclusiva dos tribunAIs do Estado de Nova York. Nada nesta cláusula afeta os direitos ou obrigações de qualquer das partes sob a Lei de Proteção de Dados Aplicável em qualquer outra jurisdição.

Este DPA, juntamente com seus anexos, constitui o acordo integral entre as partes em relação ao processamento de Dados PessoAIs nos termos do Acordo Principal e substitui todos os acordos anteriores sobre o mesmo assunto.

Todas as notificações ao abrigo deste DPA deverão ser feitas por escrito e enviadas para os contactos especificados no Acordo Principal ou, para assuntos relacionados com proteção de dados, para support@Perspectis.AI.

Termos e Alterações Padrão. (a) Este DPA (Acordo de Proteção de Dados) constitui os termos padrão de processamento de dados do Provedor de Serviços, publicados em seu website e incorporados por referência ao Contrato Principal. (b) O Provedor de Serviços poderá atualizar este DPA periodicamente, publicando uma versão revisada em seu website, com aviso prévio de pelo menos 30 dias ao Cliente por e-mAIl ou notificação no produto. (c) A versão revisada entrará em vigor ao final do período de aviso prévio, a menos que o Cliente notifique o Provedor de Serviços por escrito sobre uma objeção substancial dentro desse período. (d) Caso o Cliente apresente objeção e as partes não consigam resolvê-la em até 14 dias, qualquer uma das partes poderá rescindir os Serviços afetados mediante aviso prévio razoável, sem penalidades. (e) O Provedor de Serviços poderá realizar alterações sem aviso prévio quando exigido por mudanças na legislação de proteção de dados aplicável, orientações de autoridades supervisoras ou ordem judicial, desde que tAIs alterações não reduzam substancialmente as proteções do Cliente sob este DPA. (f) As alterações específicas do cliente a este DPA só são vinculativas se forem assinadas por escrito por um diretor ou signatário autorizado do Prestador de Serviços e declaradas expressamente como substituindo a disposição relevante deste DPA.

Descrição do Processamento Padrão. (a) A Descrição do Processamento Padrão no Anexo 1 reflete as atividades de processamento padrão da plataforma do Provedor de Serviços realizadas na prestação dos Serviços. (b) Caso as atividades de processamento específicas do Cliente sejam materialmente diferentes dessa descrição, as partes deverão registrar as diferenças no Formulário de Pedido ou em um adendo por escrito a este DPA. (c) O Cliente é responsável por manter seus próprios registros de atividades de processamento (incluindo os registros exigidos pelo Artigo 30 do GDPR do Reino Unido/UE e requisitos equivalentes sob outras Leis de Proteção de Dados Aplicáveis) em sua qualidade de Controlador.

ANEXO 1

Descrição das atividades de processamento

Esta Descrição Padrão de Processamento reflete as atividades de processamento realizadas pelo Prestador de Serviços na prestação dos Serviços. Variações específicas do cliente, quando aplicáveis, são registradas no Formulário de Pedido correspondente.

A. Assunto

Prestação de serviços de tecnologia jurídica baseados em SaaS, incluindo controle de tempo autônomo, gerenciamento de processos, revisão de documentos assistida por IA, faturamento em conformidade com o LEDES e serviços relacionados, conforme descrito no Contrato Principal e nos Formulários de Pedido aplicáveis.

B. Duração

Durante a vigência do Contrato Principal e de qualquer Formulário de Pedido ou Declaração de Trabalho aplicável, acrescido de qualquer período de retenção legalmente exigido.

C. Natureza e Propósito

Hospedagem, armazenamento e processamento de Dados do Cliente para fornecer os Serviços; controle de acesso e gerenciamento de identidade; análises e relatórios para uso interno do Cliente; suporte técnico (somente mediante solicitação do Cliente); processamento opcional de IA/LLM, se habilitado pelo Cliente; e monitoramento de segurança e resposta a incidentes.

D. Categorias de Indivíduos

Pessoal do Cliente (advogados, assistentes jurídicos, pessoal administrativo); clientes e contrapartes do Cliente (na medida em que estejam incluídos nos Dados do Cliente); usuários finAIs dos Serviços; e outros indivíduos cujos dados pessoAIs sejam submetidos à Plataforma.

E. Categorias de Dados PessoAIs

Dados de contato e identificação (nomes, endereços de e-mAIl, números de telefone, cargos); dados de uso e acesso (horários de login, uso de recursos, registros de sessão); dados de registro de tempo e de processos (incluindo descrições narrativas do trabalho jurídico); metadados de documentos (e, quando os recursos de IA estiverem ativados, o conteúdo dos documentos); dados de faturamento e emissão de notas fiscAIs; e outros dados pessoAIs que o Cliente enviar à Plataforma periodicamente.

F. Categorias Sensíveis/EspeciAIs

O prestador de serviços não processa intencionalmente dados pessoAIs sensíveis. Na medida em que os dados do cliente contenham incidentalmente tAIs dados, aplicam-se as disposições da Cláusula 3.3.

ANEXO 2

Medidas técnicas e organizacionAIs

Essas medidas visam atender aos requisitos de segurança da legislação de proteção de dados aplicável, incluindo o padrão de segurança razoável (CCPA/CPRA), o Artigo 32 (RGPD do Reino Unido/UE) e o Princípio de Salvaguardas (PIPEDA). Elas estão alinhadas com os controles do CIS e com a publicação NIST SP 800-53.

Domínio de controle

Medidas Implementadas

Controle de acesso

Controle de acesso baseado em funções (RBAC); princípio do menor privilégio; autenticação multifator (MFA) obrigatória para todas as contas privilegiadas; revisões de acesso regulares; IDs de usuário exclusivos; sem compartilhamento de credenciAIs; ferramentas de gerenciamento de acesso privilegiado (PAM).

Criptografia — Em repouso

Criptografia AES-256 para todos os dados armazenados do cliente; backups criptografados; AWS S3 SSE; chaves de criptografia via AWS KMS com rotação anual.

Criptografia — Em trânsito

TLS 1.2 mínimo (TLS 1.3 preferencial); HTTPS obrigatório; AWS Certificate Manager; HSTS ativado.

Segurança de rede

Firewall e WAF; segmentação de rede; isolamento de VPC; IDS/IPS; mitigação de DDoS; varreduras de portas regulares e avaliações de vulnerabilidade.

Gestão de Vulnerabilidades e Correções

Varredura automatizada de vulnerabilidades; correções de segurança críticas/de alta prioridade em até 30 dias; testes de penetração anuAIs realizados por terceiros; acompanhamento das vulnerabilidades encontradas até a sua correção.

Detecção e resposta a incidentes

Monitoramento e alertas SIEM 24 horas por dia, 7 dias por semana; plano de resposta a incidentes documentado; equipe de resposta designada; exercícios simulados; notificação ao cliente em até 72 horas após a confirmação da violação.

Continuidade de Negócios e Backup

Cópias de segurança automatizadas diárias; retenção de 30 dias; armazenamento geograficamente redundante; RTO < 4 horas, RPO < 24 horas para serviços de Nível 1; testes de continuidade anuAIs.

Segurança física

Infraestrutura de produção em data centers da AWS com controles físicos certificados pelas normas ISO 27001 e SOC 2 Tipo II (vigilância 24 horas por dia, 7 dias por semana, CFTV, acesso biométrico, controles ambientAIs).

Segurança de pessoal

Verificação de antecedentes pré-emprego; acordos de confidencialidade; treinamento anual obrigatório em proteção de dados; revogação de acesso em até 24 horas após o desligamento.

Gestão de Fornecedores

Análise prévia rigorosa antes da contratação; obrigações contratuAIs de proteção de dados estendidas a todos os subcontratados; revisão anual do nível de segurança.

Programa de Privacidade

Encarregado da Proteção de Dados; programa de gestão da privacidade; privacidade por padrão implementada na Plataforma.

Certificações

O provedor de serviços está atualmente implementando um programa de gestão de segurança da informação alinhado aos princípios da ISO/IEC 27001. O provedor de serviços pretende obter a certificação SOC 2 Tipo II e notificará o cliente assim que a certificação for alcançada. Os relatórios de avaliação de segurança de terceiros estão disponíveis mediante solicitação por escrito, sujeitos a uma obrigação de confidencialidade.

Minimização e retenção de dados

Coleta limitada ao necessário; exclusão automática em até 30 dias após a exportação; configurações de retenção configuráveis na plataforma.

ANEXO 3

Subprocessadores aprovados

Os seguintes Subprocessadores estão aprovados a partir da data de entrada em vigor do Contrato Principal e constam da Lista de Subprocessadores no site do Provedor de Serviços. O Provedor de Serviços garantirá que cada um deles esteja sujeito a obrigações de proteção de dados equivalentes a este DPA. Os clientes podem se inscrever para receber notificações de atualização dos subprocessadores enviando um e-mAIl para dataprivacy@Perspectis.AI.

Subprocessador

Serviço/Finalidade

Local(is) de processamento

Salvaguarda

Amazon Web Services (AWS)

Hospedagem em nuvem primária, armazenamento, computação, banco de dados

Canadá (ca-central-1) — padrão; Reino Unido (eu-west-2); EUA (us-east-1) se ativado

AWS DPA; ISO 27001, SOC 2 Tipo II; Acordo de transferência de SCCs / IDTA do Reino Unido / PIPEDA, conforme aplicável.

OpenAI, L.L.C.

Processamento de IA/LLM (opcional — desativado por padrão)

Estados Unidos

Não há treinamento de modelos em Dados do Cliente; Acordo SCCs / UK IDTA / PIPEDA, conforme aplicável.

Microsoft Azure (Azure OpenAI)

IA Empresarial / Mestrado em Direito — opção de residência

Canadá, Reino Unido ou UE (configurável)

Microsoft DPA; ISO 27001 / SOC 2; local de residência selecionável no formulário de pedido.

Microsoft Azure (Serviços de Voz)

Transcrição de voz/fala (opcional)

Configurável (preferencialmente Canadá / Reino Unido / EUA)

Microsoft DPA; habilitado somente se o cliente ativar o recurso.

Confido Legal (se ativado)

Processamento de pagamentos para integrações de faturamento

Canadá / Estados Unidos

Compatível com PCI-DSS; usado somente se a integração de pagamento estiver habilitada.