ANEXO V – CIBERSEGURANÇA

1. A CONTRATADA deverá se organizar apropriadamente e adotar as medidas técnicas que garantam a

confidencialidade, autenticidade, integridade e disponibilidade das Operações da CONTRATADA, bem
como, de seus produtos e serviços. Essas medidas deverão estar de acordo com a boa prática industrial e
deverão incluir um sistema de gestão de segurança da informação de acordo com os padrões como ISO/IEC
27001 ou IEC 62443 (no que for aplicável).
1.1. “Operações da CONTRATADA” significa todos os ativos, processos e sistemas (incluindo sistemas de
informação), dados (incluindo dados da CONTRATANTE), pessoal, localidades e sites, usados ou
processados pela CONTRATADA de tempos em tempos na execução desse contrato.
2. Caso os produtos ou serviços contenham software, firmware (software embarcado) ou chipsets (conjunto de
chips ou circuitos integrados):
(i) A CONTRATADA deverá implementar padrões, processos e métodos para prevenir, identificar, validar e
reparar quaisquer vulnerabilidades, códigos maliciosos e incidentes de segurança nos produtos e serviços,
que deverão ser adequados e em conformidade com a boa prática industrial e de acordo com os padrões
como ISO/IEC 27001 ou IEC 62443 (no que for aplicável);
(ii) A CONTRATADA deverá, pelo tempo de vida útil razoável dos produtos e serviços, continuar a prestar
suporte, bem como serviços de reparo, update, upgrade e manutenção dos produtos e serviços, incluindo o
fornecimento de patches (soluções) à CONTRATANTE, para remediar vulnerabilidades;
(iii) A CONTRATADA deverá fornecer à CONTRATANTE uma lista de materiais identificando todos os
componentes de software de terceiros contidos nos produtos. Os softwares de terceiros deverão estar
atualizados no momento da entrega à CONTRATANTE;
(iv) A CONTRATADA concederá à CONTRATANTE o direito, porém não será uma obrigação da
CONTRATANTE, de, a qualquer tempo, testar ou fazer testar se os produtos estão livres de códigos
maliciosos e/ou vulnerabilidades, devendo prestar o devido suporte à CONTRATANTE;
(v) A CONTRATADA deve informar à CONTRATANTE um contato para todos os problemas relacionados à
segurança da informação, que deverá estar disponível durante o horário comercial.
3. A CONTRATADA deve informar imediatamente à CONTRATANTE quaisquer incidentes de segurança da
informação relevantes ocorridos ou suspeitos de terem ocorrido, como também vulnerabilidades descobertas
em quaisquer Operações da CONTRATADA, serviços ou produtos, se e na medida em que a
CONTRATANTE seja ou possa vir a ser afetada materialmente.
4. A CONTRATADA deve tomar as medidas apropriadas para garantir que seus subcontratados e
fornecedores, dentro de um prazo razoável, estejam sujeitos a obrigações similares às contidas nas
cláusulas deste Anexo.
5. Mediante solicitação da CONTRATANTE, a CONTRATADA deverá fornecer evidências por escrito de que
está em conformidade com este Anexo, incluindo os relatórios de auditoria geralmente aceitos (e.g., SSAE-
16 SOC 2 Tipo II).
6. Se a CONTRATADA desenvolver software, a CONTRATADA cumprirá no mínimo os métodos seguros de
desenvolvimento de software, aderindo às normas e diretrizes de codificação seguras de última geração (por
exemplo, as normas OWASP atuais, se aplicável ou outras normas semelhantes).
7. A CONTRATANTE tem o direito de avaliar o cumprimento do parceiro de negócios com as disposições deste
Anexo.
8. As medidas técnicas e organizacionais do ANEXO VI - Anexo de Tratamento de Dados Pessoais ("DPA")
aplicam-se a quaisquer dados da CONTRATANTE (ou em seu nome) fornecidos à CONTRADA.

CONFIDENCIAL Página 1 de 9
 ANEXO VI - Anexo de Tratamento de Dados Pessoais ("DPA")
Este Anexo de Tratamento de Dados Pessoais ("DPA") é parte integrante do CONTRATO Nº 4272 ("Contrato").
Todos os termos usados, mas não definidos neste DPA, terão os mesmos significados fornecidos no Contrato. Se
houver conflito entre qualquer disposição deste DPA e qualquer disposição do Contrato, este DPA deverá
prevalecer.
1. Definições
“Afiliada da CONTRATANTE” deve significar qualquer
sociedade que (i) controla, direta ou indiretamente, a
CONTRATANTE; (ii) é controlada, direta ou
indiretamente, pela CONTRATANTE; ou (iii) é direta ou
indiretamente controlada por uma sociedade ou pessoa
jurídica que controla, direta ou indiretamente, a
CONTRATANTE. O termo "controle", tal como
empregado acima, significa o direito de exercer a
maioria dos votos nas deliberações dos sócios e o
poder de eleger a maioria dos administradores da
sociedade em questão, ou o poder de orientar ou fazer
com que sejam orientadas a administração e as
políticas dessa sociedade, por contrato ou de outra
forma;
“Dados Pessoais” significa qualquer informação
relativa a uma pessoa física identificada ou
identificável; incluindo dados que possam ser
combinados com outras informações para identificar
um indivíduo, ou que se relacionem com a identidade,
características ou comportamento de um indivíduo ou
influenciem na maneira como esse indivíduo é tratado
ou avaliado, inclusive Dados Pessoais Sensíveis.
“Dados Pessoais Sensíveis” significa dados
referentes à origem racial e étnica, convicção, religiosa,
opinião política, filiação a sindicato ou a organização
de caráter religioso, filosófico ou político, dado
referente à saúde ou à vida sexual, dado genético ou
biométrico, quando vinculado a uma pessoa natural, ou
qualquer dado que, quando combinado com outras
informações, possa permitir inferir um Dado Pessoal
Sensível ou influenciar na forma como o Titular é
tratado de forma discriminatória vedada pela
legislação.
“Tratamento” entende-se qualquer operação ou
conjunto de operações efetuadas sobre Dados
Pessoais ou conjuntos de Dados Pessoais, por meios
automatizados ou não, tais como a compilação,
registro, organização, estruturação, armazenamento,
adaptação ou alteração, recuperação, consulta,
utilização, divulgação por transmissão, difusão ou
qualquer outra forma de disponibilização, alinhamento
ou combinação, restrição, deleção ou destruição.
“Lei Aplicável de Proteção de Dados Pessoais”
significa toda a legislação aplicável relativa ao
Tratamento de Dados Pessoais, incluindo, mas não se
limitando, a Lei nº 13.709/18 (“LGPD”).
“Violação de Dados Pessoais” significa acessos não
autorizados a Dados Pessoais ou situações acidentais
ou ilícitas de destruição, perda, alteração, comunicação
ou qualquer forma de Tratamento inadequado ou ilícito.
“Controlador” significa a pessoa física ou jurídica que,
sozinha ou em conjunto com outras pessoas,
CONFIDENCIAL
determina os propósitos e os meios do Tratamento de
Dados Pessoais.
“Operador” significa uma pessoa física ou jurídica, de
direito público ou privado, que faça o Tratamento de
Dados Pessoais em nome de um Controlador.
“Sub-Operador” significa um terceiro contratado pelo
Operador e que também realizará o Tratamento de
Dados Pessoais fornecidos nos termos do presente
DPA.
“Titular dos Dados Pessoais” ou “Titular”: pessoa
física a quem se referem os Dados Pessoais que são
objeto de Tratamento.
2. Cumprimento da Lei Aplicável de Proteção de
Dados Pessoais
As Partes devem observar a Lei Aplicável de Proteção
de Dados Pessoais na medida em que se apliquem às
Partes, e conforme estabelecido neste documento. As
Partes concordam que, no âmbito da execução deste
DPA e do Contrato, a CONTRATANTE atuará como
Controladora dos Dados Pessoais, enquanto a
CONTRATADA atuará como Operador dos Dados
Pessoais. A CONTRATADA cumprirá especialmente
com as disposições da Lei Aplicável de Proteção de
Dados Pessoais em relação ao Tratamento de Dados
Pessoais como Operador.
3. Escopo do Tratamento
A CONTRATADA Tratará os Dados Pessoais somente
(i) de acordo com os termos deste DPA e do Contrato;
e (ii) de acordo com outras instruções e orientações da
CONTRATANTE. A CONTRATADA não Tratará Dados
Pessoais para seus próprios fins ou irá transferi-los a
terceiros, a menos que expressamente permitido por
este DPA, salvo quando o Tratamento for necessário
para cumprir com alguma obrigação legal ou
regulatória.
4. Detalhes das operações de Tratamento de
responsabilidade da CONTRATADA
Os detalhes das operações de Tratamento de
responsabilidade da CONTRATADA – especialmente
em relação ao Tratamento, à sua natureza e propósito,
tipos de Dados Pessoais Tratados e às categorias de
Titulares afetados – estão especificados no Anexo I
deste DPA.
5. Medidas técnicas e organizacionais
Considerando a tecnologia disponível, os custos de
implementação e a natureza, escopo, contexto e
objetivos do Tratamento, bem como as variáveis de
risco de probabilidade e gravidade em relação aos
direitos e liberdades das pessoas físicas, a
CONTRATADA implementará medidas técnicas e
Página 2 de 9
organizacionais adequadas para garantir um nível de
segurança adequado ao risco, incluindo, entre outros,
conforme adequado: (i) a anonimização, sempre que
possível, e criptografia dos Dados Pessoais; (ii) a
capacidade de garantir a confidencialidade,
integridade, disponibilidade e resiliência permanentes
dos sistemas e serviços de Tratamento; (iii) a
capacidade de reestabelecer a disponibilidade e o
acesso aos Dados Pessoais em tempo útil em caso de
Violação de Dados Pessoais; (iv) a criação de um
processo que teste, analise e avalie regularmente a
eficácia das medidas técnicas e organizacionais para
garantir a segurança do Tratamento. Não obstante o
caráter genérico do parágrafo anterior, a
CONTRATADA implementará, em qualquer momento,
pelo menos as medidas técnicas e organizacionais
descritas no Anexo 2 deste DPA.
6. Compromisso de confidencialidade
A CONTRATADA limitará e controlará o acesso dos
seus colaboradores aos Dados Pessoais com base na
necessidade de conhecimento. A CONTRATADA
informará, de forma detalhada, seus colaboradores
sobre as disposições legais e contratuais aplicáveis em
matéria de proteção de Dados Pessoais. A
CONTRATADA exigirá que seus colaboradores
cumpram tais disposições e, em particular, mantenham
absoluto sigilo sobre os Dados Pessoais e não
realizem o Tratamento de Dados Pessoais de forma
diversa daquela determinada nas instruções da
CONTRATANTE. A obrigação de sigilo continuará a
aplicar-se após o término do presente Contrato e da
relação contratual com a CONTRATADA A
CONTRATADA apresentará provas do cumprimento de
tal obrigação se solicitado.
7. Sub-Operadores
a) A CONTRATADA somente poderá engajar Sub-
Operadores mediante o consentimento prévio por
escrito da CONTRATANTE. A CONTRATANTE, desde
já, autoriza a contratação dos Sub-Operadores listados
no Anexo 3 deste DPA. Em caso de contratação pela
CONTRATADA de um Sub-Operador, a particular, auxiliando a CONTRATANTE da seguinte
CONTRATADA deverá:
(i) celebrar um contrato escrito com o Sub-Operador
aprovado que contenha obrigações que garantam o
mesmo nível de proteção aos Dados Pessoais
estabelecido neste DPA; tal contrato deve também
incluir uma descrição dos serviços subcontratados e
das medidas técnicas e organizacionais que o Sub-
Operador implementará e o direito da CONTRATANTE
(como beneficiária de terceiros) de exercer controles e
direitos de auditoria diretamente perante o Sub-
Operador;
(ii) a pedido da CONTRATANTE, dar a ela acesso
aos documentos contratuais pertinentes; e
(iii) auditar adequada e regularmente o Sub-Operador
no que diz respeito ao cumprimento destes requisitos e
documentar os resultados de tais auditorias.
b) Em qualquer hipótese, a CONTRATADA
permanecerá totalmente responsável perante a
CONFIDENCIAL
CONTRATANTE pelo cumprimento das obrigações do
Sub-Operador.
8. Transferência Internacional de Dados
a) Caso os Dados Pessoais sejam originários da
CONTRATANTE ou de uma Afiliada da
CONTRATANTE localizada no Brasil, EEE, Argentina,
Israel, Suíça ou Reino Unido, e a CONTRATADA ou
qualquer de Sub-Operadores (i) realize o Tratamento
desses Dados Pessoais fora do EEE ou do Brasil (cada
uma considerada "Transferência Restrita"), a
CONTRATADA será obrigada a garantir, sem custo ou
taxas adicionais para a CONTRATANTE, que essa
Transferência Restrita seja permitida: (i) de acordo com
o Art. 45 do GDPR ou esteja protegida por
salvaguardas apropriadas, conforme definido no artigo
46 do GDPR, no caso dos Dados Pessoais serem
originários da CONTRATANTE ou de uma Afiliada da
CONTRATANTE localizada no EEE, Argentina, Israel,
Suíça ou Reino Unido; ou (ii) de acordo com os artigos
33 a 36 da LGPD, no caso dos Dados Pessoais serem
originários da CONTRATANTE ou de uma Afiliada da
CONTRATANTE localizada no Brasil. Para atender
atender salvaguardas apropriadas, conforme definido
no artigo 46 do GDPR, é possível anexar as Cláusulas
Contratuais Padrão da UE para Processadores
2010/87/UE) como Anexo ao Contrato.
b) A CONTRATADA concorda e entende que a Lei
Aplicável de Proteção de Dados de jurisdições
diferentes daquelas tratadas no item “a” acima, pode
conter restrições de transferência similares ou
adicionais. Nesse caso, a CONTRATADA concorda em
fazer tudo que estiver ao seu alcance e em cooperar
de boa-fé com a CONTRATANTE para atender a esses
requisitos.
9. Assistência da CONTRATADA
A CONTRATADA prestará assistência razoável para a
CONTRATANTE para garantir o cumprimento das
obrigações, tanto da CONTRATANTE quanto das
Afiliadas da CONTRATANTE, nos termos da Lei
Aplicável de Proteção de Dados Pessoais, em
forma:
a) Correção, Deleção ou Restrição do Tratamento.
A CONTRATADA deverá (i) oferecer à
CONTRATANTE a habilidade de retificar, apagar ou
restringir o Tratamento de Dados Pessoais através das
funcionalidades dos serviços objeto do Contrato, ou (ii)
retificar, apagar ou restringir o Tratamento de Dados
Pessoais conforme instruído pela CONTRATANTE.
b) Acesso aos Dados Pessoais. A CONTRATADA
deverá auxiliar e disponibilizar tais informações à
CONTRATANTE, caso seja necessário para que a
CONTRATANTE e as Afiliadas da CONTRATANTE
cumpram suas obrigações nos termos da Lei Aplicável
de Proteção de Dados Pessoais.
c) Solicitações de Titulares e de autoridades. A
CONTRATADA notificará imediatamente a
CONTRATANTE em relação à: (i) uma solicitação,
reclamação recebida ou qualquer notificação de
Página 3 de 9
investigação por uma autoridade em cumprimento da
lei, ou agência governamental ou reguladora; e (ii)
qualquer pedido ou reclamação recebido de qualquer
Titular sobre seus Dados Pessoais, como, por
exemplo, mas não se limitando à solicitação de acesso,
correção, portabilidade ou exclusão de seus Dados
Pessoais. Em relação aos itens (i) e (ii) acima, a
CONTRATADA não responderá as solicitações antes
de obter instruções da CONTRATANTE. Se instruído
de tal maneira, a CONTRATADA auxiliará a
CONTRATANTE a responder tais solicitações.
d) Portabilidade dos Dados Pessoais. A pedido da
CONTRATANTE e/ou se exigido pela Lei Aplicável de
Proteção de Dados Pessoais, a CONTRATADA
cooperará para que a CONTRATANTE e as empresas
afiliadas da CONTRATANTE cumpram com as
obrigações de portabilidade de Dados Pessoais,
disponibilizando os Dados Pessoais à CONTRATANTE
em um formato estruturado, interoperável e
comumente utilizado.
e) Relatórios de impacto de proteção de Dados
Pessoais. Se solicitado pela CONTRATANTE, a
CONTRATADA disponibilizará à CONTRATANTE
informações e suporte razoável para a elaboração de
relatórios de impacto de proteção de Dados Pessoais
nos termos da Lei Aplicável de Proteção de Dados.
Fica desde já estabelecido que a CONTRATADA
deverá esclarecer, no mínimo, o seguinte: (i) descrição
dos tipos de Dados Pessoais tratados; (ii) descrição
dos processos de Tratamento de Dados Pessoais; (iii)
medidas, salvaguardas e mecanismos de mitigação de
risco; e (iv) metodologia utilizada para a coleta e para a
garantia da segurança das informações.
10. Término da relação de Tratamento de Dados
Pessoais
Atingida a finalidade de Tratamento de Dados Pessoais
ou expirada a vigência do Contrato ou mediante seu
término antecipado, seja por rescisão ou distrato,
exceto se instruídos de outra maneira por escrito pela
CONTRATANTE ou conforme aqui estabelecido, a
CONTRATADA devolverá à CONTRATANTE todos os
Dados Pessoais que lhes foram disponibilizados ou
obtidos ou gerados pela CONTRATADA em conexão
com os serviços contratualmente acordados e deverá,
de maneira irrevogável, apagar ou destruir quaisquer
Dados Pessoais restantes, inclusive de backup, salvo
se tiver que mantê-los para cumprir uma obrigação ou
regulatória, a qual deve ser informada à
CONTRATANTE. Se solicitado, a eliminação ou
destruição deverá ser confirmada pela CONTRATADA
por escrito.
11. Obrigações de Notificação e Indenização
a) A CONTRATADA notificará a CONTRATANTE
imediatamente, até o prazo máximo de 24 (vinte e
quatro) horas, caso descubra ou suspeite de qualquer
Violação de Dados Pessoais envolvendo o Tratamento
de Dados Pessoais realizado sob este DPA e o
Contrato.
CONFIDENCIAL
b) Na notificação à CONTRATANTE, a
CONTRATADA informará o seguinte: (i) a data e a
hora do incidente; (ii) uma descrição do evento e, se
conhecido, a causa; (iii) uma descrição das medidas
tomadas ou propostas pela CONTRATADA para tratar
a Violação de Dados, incluindo medidas para atenuar
seus possíveis efeitos adversos; (iv) o nome e o
contato de um colaborador que irá, em nome da
CONTRATADA, estar disponível para a
CONTRATANTE como contato principal de segurança
a fim de fornecer informações e responder perguntas
sobre a Violação de Dados; (v) se razoavelmente
disponível para a CONTRATADA, as categorias e o
número aproximado de Titulares em questão e as
categorias e o número aproximado de registros de
Dados Pessoais em questão, os nomes dos Titulares
cujos Dados Pessoais podem ter se tornado objeto do
incidente, bem como uma descrição das prováveis
consequências da Violação de Dados; e (vi) qualquer
informação adicional que sirva para facilitar o
entendimento do Incidente, suas causas e
consequências e/ou que venham a ser exigidas pela
Autoridade Nacional de Proteção de Dados Pessoais
ou outras autoridades.
c) quaisquer notificações nos termos desta Cláusula 11
devem (i) ser feitas ao respectivo ponto de contato
identificado no Contrato e também (ii) encaminhadas
para protecaodedados@siemens-energy.com;
e) A CONTRATADA deverá, a seu custo e despesa,
(i) cooperar plenamente com a CONTRATANTE na
investigação de uma Violação de Dados, (ii) auxiliar e
cooperar com a CONTRATANTE em relação a
qualquer exigência legal, e (iii) qualquer outra ação que
a CONTRATANTE considere necessária em relação a
tal Violação de Dados.
f) Qualquer Violação de Dados Pessoais deve ser
mantida em absoluto sigilo pela CONTRATADA,
ficando expressamente proibido à CONTRATADA
divulgar, tornar público, notificar às autoridades ou aos
Titulares quaisquer informações sobre a Violação de
Dados Pessoais, a menos que a Lei Aplicável de
Proteção de Dados Pessoais ou uma ordem de
autoridade regulatória competente exija o contrário. A
comunicação de uma Violação de Dados Pessoais aos
Titulares e autoridades públicas, incluindo a Autoridade
Nacional de Proteção de Dados, deve ser previamente
avaliada e autorizada por escrito pela CONTRATANTE,
sendo certo que a CONTRATANTE determinará, a seu
exclusivo critério, (i) se uma Violação de Dados
Pessoais requer notificação e (ii) a forma da
notificação.
g) A CONTRATADA mitigará, na maior extensão
possível e a seus exclusivos custos e expensas,
quaisquer efeitos prejudiciais de uma Violação de
Dados Pessoais (incluindo medidas para proteger o
ambiente operacional). A CONTRATADA também
deverá tomar medidas imediatas para evitar a
recorrência de uma Violação de Dados Pessoais,
incluindo qualquer ação exigida pela Lei Aplicável de
Proteção de Dados Pessoais.
Página 4 de 9
h) A CONTRATADA deverá reembolsar
CONTRATANTE e as Afiliadas da CONTRATANTE
todos os custos, despesas, perdas e danos diretos e
indiretos incorridos pela CONTRATANTE e/ou por
qualquer Afiliada da CONTRATANTE por tal Violação
de Dados Pessoais causada pela CONTRATADA ou
por seus Sub-Operadores ou pelos sistemas
empregados pela CONTRATADA ou por seus Sub-
Operadores. O reembolso deverá incluir, entre outros,
honorários advocatícios, custas judiciais e os custos de
monitoramento de relatórios de crédito para aqueles
cujos Dados Pessoais foram afetados pela Violação de
Dados Pessoais, bem como multas, penalidades,
custos, danos e despesas judiciais ou extrajudiciais
decorrentes de uma Violação de Dados Pessoais.
Eventuais exclusões ou limitações de responsabilidade
em favor da CONTRATADA nos termos do Contrato
não se aplicarão em hipótese alguma aos casos de
Violação de Dados Pessoais.
i) Fica desde já estabelecido que caso a
CONTRATANTE ou Afiliadas da CONTRATANTE
sejam demandadas por qualquer pessoa (física ou
jurídica), em razão de Violação de Dados Pessoais,
fica garantido à CONTRATANTE e às Afiliadas da
CONTRATANTE o direito de denunciação da lide, nos
termos do artigo 125, II, do Código de Processo Civil
do Brasil, sem prejuízo do reembolso, pela
CONTRATADA à CONTRATANTE e às Afiliadas da
CONTRATANTE, de todas as perdas e danos
incorridos pela CONTRATANTE e pela Afiliadas da
CONTRATANTE, sem qualquer limitação ou exclusão.
12. Documentação e Auditorias
a) Durante a vigência do Contrato e por 10 (dez) anos
após o seu término, será facultado à CONTRATANTE,
a seu exclusivo critério (i) solicitar que a
CONTRATADA apresente, no prazo determinado pela
CONTRATANTE, relatórios de auditoria (“Relatórios”)
referentes às suas operações (incluindo eventual
documentação) e ao seu ambiente de controle de
segurança da informação (físico e digital), incluindo
seus sistemas e infraestrutura ("Ambiente de
Controle”), que estejam relacionados ao Tratamento
de Dados Pessoais realizado em virtude do Contrato,
ou (ii) realizar auditorias, por si ou mediante terceiros
por ela indicado, nos documentos ou Ambiente de
Controle da CONTRATADA para verificar as medidas e
controles de segurança da informação aplicados pela
CONTRATADA, desde que haja comunicação prévia
com pelo menos 7 (sete) dias de antecedência. Para
tanto, a CONTRATADA disponibilizará
CONTRATANTE toda documentação e acesso
necessários para demonstrar cumprimento às
obrigações previstas no Contrato e nas Leis Proteção
de Dados Pessoais Aplicáveis. Fica garantido à
CONTRATANTE o direito à realização de pelo menos 2
(duas) auditorias anuais nas instalações da
Contratada.
b) Caso a auditoria realizada pela CONTRATANTE ou
o Relatório entregue pela Contratada
CONTRATANTE revele alguma inadequação, como
CONFIDENCIAL
a por exemplo, sem limitação, o uso e compartilhamento
indevido de Dados Pessoais, a CONTRATANTE
poderá rescindir o Contrato, sem prejuízo (i) da
aplicação à CONTRATADA das penalidades previstas
no Contrato e do pagamento de indenização
suplementar por todas perdas e danos diretos e
indiretos sofridos pela CONTRATANTE, suas
empresas afiliadas e por terceiros; e (ii) de a
CONTRATADA arcar com todos os custos incorridos
na realização da auditoria, sejam os vícios sanáveis ou
não. Caso a CONTRATANTE opte pela continuidade
do Contrato, a CONTRATADA compromete-se a, além
de arcar com todos os custos incorridos na realização
da auditoria, desenvolver e fornecer à CONTRATANTE
em prazo razoável definido pela CONTRATANTE um
plano de ação corretivo e um cronograma de
execução, sob pena de imediata rescisão do Contrato
e pagamento das penalidades e indenizações cabíveis,
conforme previsto neste DPA e no Contrato.
13. Disposições Gerais
A CONTRATADA entende e concorda que as
exigências contidas neste DPA são parte integrante do
Contrato e que qualquer violação de qualquer uma
dessas exigências será considerada uma violação
material pela CONTRATADA do Contrato, dando à
CONTRATANTE o direito a soluções relacionadas com
a violação material contidas no Contrato, o que inclui,
mas não se limita a: (i) a obrigação da CONTRATADA
de indenizar, defender e isentar a CONTRATANTE e
suas empresas afiliadas de responsabilidades e perdas
e danos diretos e indiretos, multas, penalidades,
custos, danos e despesas judiciais ou extrajudiciais
decorrentes de uma violação material deste DPA; e (ii)
a rescisão do Contrato.
14. Requisitos adicionais relativos aos dados das
empresas americanas da CONTRATANTE
Se, e na medida em que a CONTRATADA acessar
Dados Pessoais recebidos de uma empresa do grupo
CONTRATANTE estabelecida nos Estados Unidos da
América ("Siemens Energy US Company") ou de um
Titular de Dados Pessoais residente nos Estados
Unidos da América, a CONTRATADA deverá cumprir
as leis federais, estaduais e locais dos Estados Unidos
da América relativas a Dados Pessoais que sejam
aplicáveis à CONTRATADA, a qualquer empresa
CONTRATANTE dos Estados Unidos da América e/ou
a tais Dados Pessoais. Se as disposições anteriores
forem aplicáveis, o termo "Lei Aplicável de Proteção de
à Dados Pessoais", conforme utilizado neste documento,
deverá incluir as leis supramencionadas.
à
Página 5 de 9
 Anexo 1 ao DPA - Descrição dos Serviços de Tratamento de Dados Pessoais

Nota: este anexo deve ser preenchido e revisado pelos especialistas de proteção de Dados Pessoais da
CONTRATADA.

Titulares dos Dados Pessoais

Os Dados Pessoais tratados se referem às seguintes categorias de Titulares dos Dados Pessoais:

☐ Colaboradores, ex-colaboradores e pensionistas: [descreva]

☐ Fornecedores e/ou funcionários de fornecedores: [descreva]
☐ Clientes e/ou funcionários de clientes: [descreva]
☐ Consumidores finais ou usuários dos produtos e/ou serviços: [descreva]
☐ Membros da diretoria, acionistas ou sócios: [descreva]
☐ Dependentes associados ao titular: [descreva]
☐ Conselheiros, consultores e outros profissionais e especialistas: [descreva]
☐ Outros: _____________________________________________________________

Categorias de Dados Pessoais

Os Dados Pessoais Tratados se referem às seguintes categorias de Dados Pessoais:

☐ Dados cadastrais (por exemplo: nome, endereço de e-mail, endereço, idade, número de telefone, cargo, data
de nascimento): [descreva]
☐ Dados relativo às relações de trabalho (por exemplo: currículo, salário, avaliação de desempenho, horário de
trabalho, férias): [descreva]
☐ Perfis de consumidores (por exemplo, hobbies, profissão, preferências, condição financeira, nacionalidade):
[descreva]
☐ Dados de comportamento do usuário ou consumidores (por exemplo, sites, aplicativos, aplicativos de
publicidade, produtos): [descreva]
☐ Arquivos de log (IP, hora e data de acesso): [descreva]
☐ Dados da vigilância por vídeo: [descreva]
☐ Fotos: [descreva]
☐ Dados de comunicação (por exemplo, telefone, videoconferências, e-mails): [descreva]
☐ Informações de pagamento (por exemplo, valores, dados do cartão de crédito, data de vencimento, CCV,
informações da conta bancária): [descreva]
☐ Outros: _____________________________________________________________

Dados Pessoais sensíveis (se aplicável)

Os Dados Pessoais tratados se referem às seguintes categorias de Dados Pessoais sensíveis (especifique):

☐ Não são Tratados esses tipos de dados.

☐ Sim, são Tratados esses tipos de dados, mais especificamente:
☐ Dados de saúde (são dados que revelam o estado de saúde do Titular, por exemplo: dados sobre
doenças, acidentes de trabalho): [descreva]
☐ Dados biométricos (por exemplo, impressões digitais, padrão de veias, digitalização da íris): [descreva]
☐ Dados sobre origem racial ou étnica: [descreva]
☐ Dados sobre opiniões políticas: [descreva]
☐ Dados sobre crenças religiosas ou filosóficas: [descreva]
☐ Dados sobre associações ou filiações sindicais: [descreva]
☐ Dados sobre a vida sexual ou orientação sexual: [descreva]
☐ Dados genéticos: [descreva]

Operações de Tratamento
Os Dados Pessoais tratados estarão sujeitos às seguintes atividades básicas de Tratamento:

☐ Administração e gerenciamento dos colaboradores, o que inclui admissão, demissão, remuneração, atos
disciplinares, aposentadoria, concessão de benefícios, gerenciamento de pessoal e outros assuntos que
envolvem a relação de trabalho: [descreva]

CONFIDENCIAL Página 6 de 9
 TERMO ADITIVO AO CONTRATO Nº 4272

☐ Publicidade, marketing e relações públicas de produtos e/ou serviços: [descreva]

☐ Realização de auditorias: [descreva]
☐ Administração e gerenciamento de processos judiciais ou administrativos: [descreva]
☐ Administração e gerenciamento de fornecedores e prestadores de serviços, inclusive negociação de
contratos, cobranças, manutenção e armazenamento de contratos, elaboração de notas fiscais e recibos:
[descreva]
☐ Realização de pesquisas em qualquer campo, incluindo mercado, saúde, estilo de vida, pesquisa científica
ou técnica: [descreva]
☐ Elaboração de atos e/ou documentos societários: [descreva]
☐ Treinamentos, incluindo o fornecimento de programas de educação, treinamentos e conscientização:
[descreva]
☐ Apoio e suporte em TI, serviços de hospedagem, serviços ou software de nuvem e de suporte: [descreva]
☐ Serviços jurídicos, incluindo consultoria e representação: [descreva]
☐ Análise de dados e elaboração de relatórios estatísticos para melhoria dos produtos e serviços: [descreva]
☐ Investigações e administração de denúncias no ambiente de trabalho: [descreva]
☐ Segurança de pessoas e bens, incluindo o uso de sistemas de CFTV para essa finalidade: [descreva]
☐ Outras finalidades _________________________________________________________

CONFIDENCIAL Página 7 de 9
 TERMO ADITIVO AO CONTRATO Nº 4272

Anexo 2 ao DPA - Medidas de Segurança Técnica e Organizacional

Nota: este anexo deve ser preenchido e revisado pelos especialistas de Cibersegurança, Segurança da Informação e
proteção de Dados Pessoais da CONTRATADA.

Descrição das medidas de segurança técnica e organizacional implementadas pela CONTRATADA

[A ser inserido]
Nota: os seguintes aspectos devem estar refletidos na descrição das medidas técnicas e organizacionais:
 Medidas para assegurar a confidencialidade, integridade, disponibilidade e recuperação dos sistemas de
tratamento de Dados Pessoais e serviços (por exemplo, controle de acesso / segurança técnica do edifício;
detecção e prevenção de invasões; sistemas de autorização; obrigação da equipe em tratar Dados Pessoais
somente mediante instrução etc.)
 Anonimização, Pseudoanonimização e criptografia de Dados Pessoais
 Medidas para restaurar a disponibilidade e o acesso aos Dados Pessoais em tempo hábil caso ocorra um
incidente físico ou técnico (por exemplo, back-ups regulares)
 Um processo para testar, avaliar e analisar regularmente a eficácia das medidas técnicas e organizacionais a
fim de garantir a segurança do Tratamento

CONFIDENCIAL Página 8 de 9
 TERMO ADITIVO AO CONTRATO Nº 4272

Anexo 3 ao DPA – Sub-Operadores pré-aprovados

Nota: este anexo deve ser preenchido e revisado pelos especialistas de Cibersegurança, Segurança da Informação e
proteção de Dados Pessoais da CONTRATADA.

[Nota: listar os Sub-Operadores que realizarão tratamento de Dados Pessoais. Isto inclui o provedor de serviços de
nuvem.]

Razão social completa País em (ou do) Escopo dos Se o tratamento ocorre em um país
da empresa e endereço qual o Tratamento serviços países que não proporcionem grau de
ocorre prestados pelo proteção de Dados Pessoais adequado
Sub-Operador conforme previsto nas Leis Aplicáveis
de Proteção de Dados:
 salvaguardas apropriadas de
acordo com o DPA, inclusive art.
46 do GDPR e arts. 33 a 36 da
LGPD.
[…] […] […] […]

CONFIDENCIAL Página 9 de 9