1. OBJETIVO E APLICAÇÃO

1.1 A SEON Technologies US Inc., sociedade constituída segundo as leis do Estado de Delaware, com sede principal em 310 Comal Street, Suite 270, Austin, TX 78702 (“SEON”) celebrou um contrato de SaaS ou outro contrato (o “Acordo”) com seu cliente (“Cliente” ou “Controlador”), nos termos do qual a SEON presta determinados Serviços ao Cliente. No âmbito do Acordo, a SEON realizará o tratamento dos Dados do Cliente, para os quais o Cliente atua como controlador de dados e a SEON como operadora de dados (data processor), em conformidade com a Legislação de Proteção de Dados aplicável.

1.2 Este DPA integra e complementa as disposições do Acordo e regula o tratamento e a transferência dos Dados do Cliente no escopo especificado no Anexo 1 deste DPA. Quaisquer matérias não reguladas por este DPA serão regidas pelas disposições do Acordo. Ao assinar o Acordo, ao aceitar por meio do mecanismo de click-through implementado pela SEON em seon.io, ou ao manifestar sua concordância de qualquer outra forma, o Cliente concorda com este DPA, que passa a constituir um compromisso vinculante entre o Cliente e a SEON.

1.3 O objetivo deste DPA é cumprir os requisitos previstos na Legislação de Proteção de Dados para um acordo escrito entre controladores de dados e operadores de dados. 

1.4 As Partes declaram que as Cláusulas Contratuais Padrão especificadas no Anexo 3 serão aplicáveis à transferência, da SEON para o Cliente, de quaisquer Dados do Cliente (incluindo o respectivo tratamento) caso o Cliente esteja localizado fora do EEE e tal tratamento não se enquadre no âmbito da Legislação de Proteção de Dados; adicionalmente, as Cláusulas 14 e 15 das Cláusulas Contratuais Padrão do Anexo 3 serão aplicáveis a tal transferência desde que a SEON combine os Dados do Cliente recebidos do Cliente com Dados do Cliente coletados pela SEON no EEE. As Partes concordam que, quando as Cláusulas Contratuais Padrão do Anexo 3 forem aplicáveis ao tratamento e à transferência dos Dados do Cliente, as demais disposições deste DPA complementarão as Cláusulas Contratuais Padrão na máxima extensão permitida por lei e pelas próprias Cláusulas Contratuais Padrão. Na hipótese de conflito entre as demais disposições deste DPA e as Cláusulas Contratuais Padrão do Anexo 3, prevalecerão as Cláusulas Contratuais Padrão do Anexo 3.

1.5 Este DPA é incorporado ao Acordo. As interpretações e os termos definidos no Acordo aplicam-se à interpretação deste DPA. 

1.6 Quaisquer Anexos a este DPA integram o presente DPA e produzirão efeitos como se aqui estivessem integralmente transcritos. Qualquer referência a este DPA inclui seus Anexos. O DPA compreende os seguintes Anexos: Anexo 1: Detalhes do tratamento de dados pessoais; Anexo 2: Lista de Suboperadores; Anexo 3: Cláusulas Contratuais Padrão; Anexo 4: Redação de Consentimento e Aviso de Privacidade.

2. TRATAMENTO DE DADOS PESSOAIS

2.1 Papéis das Partes

2.2 O Cliente e a SEON reconhecem e concordam que, para os fins da Legislação de Proteção de Dados aplicável, a SEON trata os Dados Pessoais fornecidos pelo Cliente em relação ao uso dos Serviços pelo Cliente na qualidade de operadora. O Cliente é o controlador, determinando as finalidades e o escopo de tal tratamento e instruindo a SEON quanto à forma de tratar os Dados Pessoais. Especificamente, o Cliente deverá fornecer ou disponibilizar à SEON as finalidades específicas, a duração e a natureza das atividades de tratamento de dados, conforme descrito no Anexo A. O Cliente mantém o controle sobre os Dados Pessoais e permanece responsável pelo cumprimento de suas obrigações nos termos da Legislação de Proteção de Dados aplicável e pelas instruções de tratamento fornecidas à SEON, enquanto a SEON tratará os Dados Pessoais conforme descrito neste DPA (ou de acordo com as instruções do Cliente) e implementará medidas técnicas e organizacionais adequadas, conforme previsto na Cláusula 5 deste DPA.

2.3 Quando aplicável, a SEON é responsável pelo armazenamento das informações do Solicitante (Applicant), incluindo quaisquer Dados Pessoais, associadas ao nível de risco correspondente atribuído pelo Cliente. Nos casos em que haja suspeita ou indício razoavelmente elevado de fraude, o Cliente, para fins de prevenção ou mitigação de fraudes, autoriza a SEON a atribuir uma pontuação de risco às informações do solicitante. Quando a SEON atuar como operadora em nome do Cliente, as Partes também cumprirão as obrigações aplicáveis aos operadores estabelecidas neste DPA.

2.4 Em determinadas circunstâncias, a SEON poderá tratar e agregar determinados Dados Pessoais fornecidos pelo Cliente com dados obtidos de outras fontes (incluindo provedores de dados e outros clientes), na qualidade de controladora independente, para fins de desenvolvimento e aprimoramento dos Serviços. Isso pode incluir o uso de inteligência artificial (por exemplo, técnicas de aprendizado de máquina), a identificação de padrões potencialmente fraudulentos que possam indicar atividades ilícitas, o fornecimento aos clientes de pontuações de risco calculadas ou alertas relativos a risco elevado de fraude, bem como a manutenção de registros de auditoria apropriados. Tal tratamento somente será permitido se os objetivos de tratamento da SEON forem compatíveis com os do Cliente. A SEON garante que esse tratamento é realizado para prevenir e detectar fraudes e outras atividades ilícitas, no interesse público relevante, e o Cliente autoriza expressamente tal uso, incluindo a elaboração de perfis (profiling) de Dados Pessoais para essas finalidades.

2.5 Mesmo após o término do relacionamento do Cliente com a SEON, a SEON poderá continuar a reter os Dados Pessoais e quaisquer inferências a eles relacionadas quando houver base legal para tanto. Tais bases legais incluem os interesses legítimos da SEON em prestar serviços a todos os seus clientes, cumprir obrigações legais, resolver disputas, executar contratos ou, de outra forma, atender ao interesse público relevante. Quando a SEON atuar como controladora independente, cada Parte permanecerá individualmente responsável pelo seu próprio tratamento dos Dados Pessoais e pelo cumprimento da Legislação de Proteção de Dados aplicável, salvo disposição expressa em contrário neste instrumento.

3. DEFINIÇÕES

3.1 Os termos utilizados neste DPA terão o mesmo significado que lhes é atribuído abaixo e na Legislação de Proteção de Dados, o que, entre outros aspectos, implica que:

1. O termo “Informações do Candidato” significa quaisquer informações relativas ao Candidato, incluindo Dados Pessoais relacionados ao Candidato, marcações de aprovação, rejeição e reenvio, bem como informações de registro. 
2. O termo “Finalidades Comerciais” significa a execução do Acordo ou qualquer outra finalidade especificamente definida pelo Cliente no Anexo 1.
3. O termo “Endereço de E-mail do Controlador” significa qualquer endereço de e-mail fornecido para as contas de usuário do Controlador com função de “administrador”, criadas em seon.io nos termos do Acordo. Caso o Controlador acesse os Serviços sem ter criado uma conta, o Endereço de E-mail do Controlador significará qualquer endereço de e-mail que a SEON possua em seus registros referente ao Controlador;
4. O termo “Documentação” significa a documentação dos Serviços, conforme alterada periodicamente, disponível em: User Docs Dashboard (seon.io);
5. O termo “DPA” significa este acordo de processamento de dados, juntamente com seus Anexos, bem como quaisquer outros documentos explicitamente mencionados neste instrumento;
6. O termo “operador de dados” significa qualquer pessoa que trate dados pessoais em nome do controlador de dados; 
7. O termo “operador de dados” significa qualquer pessoa que trate dados pessoais em nome do controlador de dados.
8. O termo “Legislação de Proteção de Dados” significa a legislação aplicável em matéria de proteção de dados, incluindo: (i) o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados – “GDPR”); (ii) quando aplicável, a legislação nacional que implemente o GDPR; (iii) a Legislação de Proteção de Dados dos Estados Unidos; e (iv) o Regulamento Geral sobre a Proteção de Dados do Reino Unido (UK GDPR).
9. O termo “titular dos dados” significa a pessoa natural identificada ou identificável;
10. Os termos “Espaço Econômico Europeu” ou “EEE” significam a área econômica composta pelo território dos Estados-Membros da União Europeia e dos Estados-Membros da Associação Europeia de Livre Comércio (Islândia, Liechtenstein e Noruega), excluída a Suíça.
11. O termo “Estados-Membros da UE” significa os Estados-Membros da União Europeia vigentes à época.
12. O termo “dados pessoais” significa qualquer informação que, direta ou indiretamente, possa identificar uma pessoa natural viva;
13. O termo “Dados do Cliente” significa os dados pessoais tratados pela SEON em nome do Cliente;
14. O termo “Violação de Dados Pessoais” significa uma violação de segurança dos dados que resulte na destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado, acidental ou ilícito, a dados pessoais transmitidos, armazenados ou de outra forma tratados, conforme definido pelo GDPR;
15. O termo “tratamento” significa qualquer operação ou conjunto de operações realizadas com dados pessoais, por meios automatizados ou não, tais como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou qualquer outra forma de disponibilização, alinhamento ou combinação, restrição, eliminação ou destruição;
16. O termo “Serviços” significa os serviços de prevenção à fraude da SEON, conforme disponibilizados periodicamente;
17. O termo “Cláusulas Contratuais Padrão” significa o acordo padrão para transferências de Dados do Cliente (conforme definido na Legislação de Proteção de Dados), celebrado entre um exportador de dados e um importador de dados, que atenda aos requisitos do Artigo 46 do GDPR, em especial o acordo padrão adotado pela Comissão Europeia por meio de qualquer dos seguintes instrumentos:

1. Decisão da Comissão, de 5 de fevereiro de 2010, relativa às cláusulas contratuais padrão para a transferência de dados pessoais para responsáveis pelo tratamento estabelecidos em países terceiros, nos termos da Diretiva 95/46/CE; e
2. Decisão de Execução (UE) 2021/914 da Comissão, de 4 de junho de 2021, relativa às cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros nos termos do Regulamento (UE) 2016/679 (a “Decisão de Execução (UE) 2021/914”),

conforme aplicável à situação concreta, desde que o referido acordo padrão seja considerado como fornecendo salvaguardas adequadas na acepção do Artigo 46(1) do GDPR, nos termos do Artigo 4 da Decisão de Execução (UE) 2021/914. 

18. O termo “Adendo de Transferência do Reino Unido” (UK Transfer Addendum) significa o acordo padrão para transferências de Dados do Cliente (conforme definido na Legislação de Proteção de Dados), celebrado entre um exportador de dados e um importador de dados, que atenda aos requisitos do Artigo 46 da Lei de Proteção de Dados do Reino Unido (2018), em especial o acordo padrão adotado pelo Information Commissioner’s Office do Reino Unido (UK ICO), conforme aplicável à situação concreta, desde que tal acordo seja considerado como fornecendo salvaguardas adequadas nos termos do Artigo 46(1) da Lei de Proteção de Dados do Reino Unido (2018).
19. O termo “suboperador” significa um operador contratado pela SEON. O suboperador trata os Dados do Cliente em nome do Controlador, em conformidade com a obrigação do suboperador de prestar seus serviços à SEON;
20. O termo “Legislação de Proteção de Dados dos Estados Unidos” (US Data Protection Legislation) significa as leis, regras e regulamentos dos Estados Unidos da América relacionados à privacidade, segurança ou proteção de dados, incluindo, conforme aplicável, a California Consumer Privacy Act (CCPA) e sua substituta, a California Privacy Rights Act (CPRA), a Virginia Consumer Data Protection Act (VCDPA), a Colorado Privacy Act (CPA), a Utah Consumer Privacy Act (UCPA), a Illinois Biometric Information Privacy Act (BIPA), a Lei de Identificadores Biométricos do Estado de Washington (H.B. 1493), a Texas Capture or Use of Biometric Identifier Act (CUBI), bem como quaisquer outras leis que possam ser aplicáveis ao tratamento de dados pessoais nos termos do Acordo Principal e deste DPA.

4. COMPROMISSO E INSTRUÇÕES

4.1 A SEON se compromete a:

1. tratar e transferir os Dados do Cliente em conformidade com a Legislação de Proteção de Dados, com o Acordo e conforme adicionalmente documentado em quaisquer outras instruções escritas fornecidas pelo Controlador e reconhecidas pela SEON como constituindo instruções para os fins deste DPA; 
2. informar o Controlador, antes do tratamento, caso a SEON seja obrigada, em razão das leis da União Europeia ou dos Estados-Membros da União Europeia às quais esteja sujeita, a tratar os Dados do Cliente, desde que a SEON não esteja proibida de fornecer tal informação por razões relevantes de interesse público;
3. informar imediatamente o Controlador caso, em sua opinião, uma instrução do Controlador infrinja a Legislação de Proteção de Dados aplicável. A SEON não estará obrigada a cumprir tal instrução até que a questão seja resolvida de boa-fé entre as Partes;
4. manter os Dados do Cliente em caráter confidencial e assegurar que as pessoas autorizadas a tratar os Dados do Cliente tenham assumido compromisso de confidencialidade ou estejam sujeitas a uma obrigação legal apropriada de confidencialidade;
5. implementar todas as medidas técnicas e organizacionais apropriadas necessárias para garantir um nível de segurança conforme exigido pela Legislação de Proteção de Dados, bem como aquelas necessárias para que a SEON cumpra os requisitos de segurança estabelecidos no Anexo 1 deste DPA. A SEON deverá notificar o Controlador acerca de alterações nas medidas técnicas e organizacionais de segurança adotadas que afetem significativamente a segurança do tratamento dos Dados do Cliente;
6. auxiliar o Controlador no cumprimento de sua obrigação de responder e atender às solicitações dos titulares de dados que exerçam seus direitos previstos na Legislação de Proteção de Dados, levando em consideração a natureza do tratamento, por meio da implementação de medidas técnicas e organizacionais apropriadas, na medida do possível. A SEON deverá notificar o Controlador, sem demora indevida, caso receba uma solicitação para o exercício de direitos dos titulares nos termos da Legislação de Proteção de Dados, devendo cooperar de forma razoável com o Controlador no tratamento de tal solicitação. Salvo instrução em contrário do Controlador, a notificação será enviada ao Endereço de E-mail do Controlador. Caso o Controlador tenha fornecido mais de um Endereço de E-mail, o envio da notificação para pelo menos um deles será suficiente para fins de cumprimento desta cláusula. A SEON não é responsável nem responde diretamente pelo atendimento ao titular dos dados;
7. auxiliar o Controlador na implementação de medidas técnicas e organizacionais apropriadas, na notificação de Violação de Dados Pessoais às autoridades supervisoras de proteção de dados e aos titulares afetados, na elaboração de relatórios de impacto à proteção de dados e na consulta prévia às autoridades supervisoras competentes. A SEON disponibilizará ao Controlador todas as informações necessárias para demonstrar conformidade com a Legislação de Proteção de Dados aplicável, na medida em que tais informações não estejam de outra forma acessíveis ao Controlador e estejam disponíveis à SEON. Excetuados custos insignificantes, a SEON reserva-se o direito de solicitar o reembolso dos custos e despesas incorridos na prestação de assistência ao Controlador nos termos deste DPA;
8. informar e consultar o Controlador, sem demora indevida, caso uma autoridade supervisora de proteção de dados inicie ou adote qualquer medida em relação à SEON no que diz respeito ao tratamento dos Dados do Cliente; e
9. tratar os Dados do Cliente apenas até que as finalidades do tratamento para as quais os dados foram coletados tenham sido cumpridas e, em qualquer caso, no máximo até 1 (um) ano contado da conclusão da consulta à qual os Dados do Cliente se referem. Após o término desse período, a SEON deverá excluir ou anonimizar os Dados do Cliente, salvo se a legislação da União Europeia ou dos Estados-Membros da União Europeia exigir a conservação dos Dados do Cliente por período superior, ou se o Controlador tiver instruído a SEON de forma diversa.

5. AUDITORIA 

5.1 A SEON deverá facilitar e participar de auditorias, incluindo inspeções, realizadas pelo Controlador ou por terceiro autorizado pelo Controlador. Caso o Controlador utilize um terceiro para realizar a auditoria, tal terceiro deverá ser um prestador de serviços internacionalmente reconhecido e que não seja concorrente da SEON. O Controlador e o terceiro por ele autorizado deverão assumir compromisso de confidencialidade em relação às informações confidenciais da SEON antes da realização da auditoria. Os detalhes das auditorias estarão sujeitos à aprovação prévia da SEON. As auditorias serão realizadas às expensas exclusivas do Controlador.

5.2 A SEON poderá cumprir a obrigação de auditoria prevista nesta seção mediante o fornecimento ao Cliente de atestados, certificações e resumos de relatórios de auditoria realizados por auditores independentes terceiros. 

6. CONTRATAÇÃO DE SUBOPERADORES 

6.1 O Controlador concede autorização geral à SEON para contratar ou substituir suboperadores para o desempenho de suas funções e responsabilidades nos termos deste DPA, em conformidade com as disposições desta seção. 

6.2 A lista dos suboperadores atualmente contratados encontra-se anexada como Anexo 2 a este DPA. O Controlador concede, por meio deste instrumento, autorização escrita para a utilização dos suboperadores listados no Anexo 2. 

6.3 A SEON atualizará regularmente o Anexo 2. O Controlador poderá se opor a novos suboperadores no prazo de 14 (quatorze) dias a contar da atualização vigente do Anexo 2. Qualquer objeção apresentada pelo Controlador deverá ser razoável. A SEON envidará, a seu critério, todos os esforços razoáveis para acomodar as solicitações do Controlador. Caso seja comercialmente viável, a SEON avaliará a possibilidade de encontrar um suboperador equivalente alternativo.

6.4 A SEON e o suboperador celebrarão um acordo escrito de tratamento de dados que imponha ao suboperador obrigações substancialmente equivalentes àquelas previstas neste DPA, e a SEON assegurará que o suboperador forneça um nível adequado de proteção aos Dados do Cliente, conforme exigido pela Legislação de Proteção de Dados. 

6.5 O Controlador autoriza a SEON a contratar suboperadores que tratem os Dados do Cliente em país localizado fora do Espaço Econômico Europeu (EEE). Caso a Comissão Europeia não tenha determinado, nos termos da Legislação de Proteção de Dados, que tal país assegura um nível adequado de proteção ao tratamento dos Dados do Cliente, a SEON compromete-se a fornecer salvaguardas adequadas na transferência dos Dados do Cliente a tais suboperadores, em especial mediante a celebração das Cláusulas Contratuais Padrão, adotando todas as medidas necessárias para garantir que a transferência seja lícita nos termos da Legislação de Proteção de Dados. 

7. BASES DE DADOS PÚBLICAS E DADOS PESSOAIS DISPONÍVEIS PUBLICAMENTE

7.1 O Controlador reconhece que a realização de consultas em tempo real a bases de dados públicas e a coleta de informações disponíveis publicamente junto a provedores de redes sociais constituem parte inerente de determinadas funcionalidades dos Serviços. O Controlador reconhece e autoriza a SEON a utilizar provedores de bases de dados públicas (em especial, provedores de DNSBL, provedores de bases de dados de violações de dados) e provedores de redes sociais, estabelecidos dentro ou fora do Espaço Econômico Europeu (EEE), para realizar consultas com base nos Dados do Cliente e coletar dados pessoais disponíveis publicamente, a fim de viabilizar a prestação dos Serviços ao Controlador. As Partes concordam que, para fins de sua avaliação, os provedores de bases de dados públicas e os provedores de redes sociais serão considerados controladores de dados ou terceiros, nos termos da Legislação de Proteção de Dados.

8. ELIMINAÇÃO DE DADOS PESSOAIS

8.1 Mediante solicitação escrita do Cliente, a SEON deverá fornecer prontamente ao Cliente uma cópia de, ou acesso a, todo ou parte dos Dados Pessoais do Cliente que estejam em sua posse ou sob seu controle, no formato e no meio razoavelmente especificados pelo Cliente.

8.2 Mediante instrução escrita do Cliente, a SEON deverá cessar o tratamento e excluir e/ou devolver prontamente todos ou parte dos Dados Pessoais abrangidos por este DPA, incluindo: (i) mediante instrução do Cliente no âmbito dos Serviços; ou (ii) mediante solicitação escrita do Cliente em decorrência da rescisão ou expiração do Acordo Principal, por qualquer motivo. Esta cláusula não se aplica a qualquer tratamento de Dados Pessoais realizado em conformidade com a Cláusula 2.4 deste DPA.

8.3 Caso a SEON seja obrigada, por força de lei, regulamento ou determinação de autoridade governamental ou regulatória aplicável, a reter quaisquer documentos ou materiais que, de outra forma, devesse devolver ou destruir nos termos deste DPA, a SEON deverá notificar prontamente o Cliente por escrito. Tal notificação deverá especificar o fundamento legal da obrigação de retenção, identificar os documentos ou materiais específicos a serem retidos e indicar o prazo para sua destruição, uma vez cessada a obrigação de retenção.

8.4 Quando o Cliente instruir a SEON a excluir quaisquer Dados Pessoais, a SEON deverá, no prazo de 30 (trinta) dias após a conclusão da exclusão, fornecer ao Cliente uma declaração escrita certificando que os Dados Pessoais pertinentes foram devidamente destruídos.

9. COMUNICAÇÃO DE VIOLAÇÃO DE DADOS PESSOAIS

9.1 Caso a SEON tome conhecimento de qualquer Violação de Dados Pessoais, a SEON deverá notificar o Controlador sem demora indevida e cooperar plenamente para, de forma razoável, mitigar e solucionar o incidente. A notificação deverá incluir todas as informações relevantes disponíveis acerca das circunstâncias da Violação de Dados Pessoais.

9.2 A notificação de Violação de Dados Pessoais deverá ser enviada ao Endereço de E-mail do Controlador. Caso o Controlador tenha fornecido mais de um Endereço de E-mail, o envio da notificação para pelo menos um deles será suficiente para o cumprimento desta seção.

9.3 A SEON não é responsável nem responde pela notificação às autoridades supervisoras de proteção de dados nem pela comunicação aos titulares dos dados acerca de qualquer Violação de Dados Pessoais.

10. RESPONSABILIDADES DO CONTROLADOR

10.1 O Controlador será o único responsável pela exatidão, qualidade e legalidade dos Dados do Cliente, pelos meios pelos quais o Controlador adquiriu tais dados, bem como por todas as demais obrigações que lhe sejam impostas pela Legislação de Proteção de Dados.

10.2 Considerando a natureza, o escopo, o contexto e as finalidades do tratamento, bem como os riscos de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas naturais, o Controlador deverá implementar medidas técnicas e organizacionais apropriadas para assegurar e demonstrar que o tratamento é realizado em conformidade com a Legislação de Proteção de Dados. Tais medidas deverão ser revisadas e atualizadas sempre que necessário. Quando proporcional em relação ao tratamento, tais medidas deverão incluir a implementação de políticas adequadas de proteção de dados pelo Controlador.

10.3 O Controlador deverá informar os titulares dos dados em conformidade com os Artigos 13 e 14 do GDPR. 

10.4 O Controlador deverá obter todas as autorizações, permissões e consentimentos necessários para o tratamento dos Dados do Cliente e assegurar que tal tratamento esteja fundamentado em uma base legal válida, conforme previsto na Legislação de Proteção de Dados. 

10.5 Quando estiver previsto o tratamento de dados biométricos ou de categorias de dados pessoais sujeitas a regulamentação semelhante, o Controlador deverá assegurar que os titulares dos dados sejam devidamente informados e que tenham fornecido, quando exigido, consentimento válido, explícito e informado para o tratamento desses dados. Em especial, o Controlador deverá incorporar ou, de outra forma, disponibilizar aos titulares dos dados o texto de aviso e consentimento previsto no Aviso de Consentimento e Privacidade (Anexo 4) antes de iniciar quaisquer atividades de tratamento relevantes.

10.6 Em particular, o Controlador deverá: 

1. assegurar que todos os avisos e consentimentos exigidos em matéria de proteção de dados estejam em conformidade com as diretrizes estabelecidas no Aviso de Consentimento e Privacidade, 
2. fornecer aos titulares dos dados acesso direto (por meio de hiperlink ou outro meio) ao aviso de privacidade da SEON; e 
3. implementar os mecanismos técnicos ou baseados em API pertinentes para capturar e documentar que os titulares dos dados receberam e concordaram com as informações e condições acima referidas.

O descumprimento desses requisitos poderá resultar em violação da Legislação de Proteção de Dados, pela qual o Controlador permanecerá exclusivamente responsável.

10.6 O Controlador deverá cumprir as disposições das Seções 10.1 a 10.6 apenas na medida em que esteja sujeito ao âmbito de aplicação da Legislação de Proteção de Dados.

11. LIMITAÇÃO DE RESPONSABILIDADE

11.1 Sujeito às Seções 11.2 e 11.3, nenhuma das Partes será responsável ou responderá, nos termos deste DPA, perante a outra Parte:

1. por quaisquer danos indiretos, exemplares, incidentais, punitivos, especiais ou consequenciais; ou 
2. por quaisquer valores que excedam as taxas efetivamente pagas ou devidas pelo Controlador à SEON nos termos do Acordo, nos 12 (doze) meses anteriores ao ato que deu origem à respectiva reclamação. 

11.2 As disposições de limitação de responsabilidade previstas no Acordo prevalecerão sobre a Seção 11.1 e serão aplicadas mutatis mutandis no contexto deste DPA.

11.3 Para evitar qualquer dúvida, as Partes concordam que a limitação de responsabilidade prevista na Seção 11.1 deverá ser interpretada de acordo com as leis aplicáveis, em especial a Legislação de Proteção de Dados e as disposições aplicáveis do direito civil.

12. INFORMAÇÕES DE CONTATO

12.1 A SEON e o Cliente concordam em designar um ponto de contato para questões urgentes de segurança (um “POC Designado”). Os POCs Designados de ambas as Partes são: 

POC Designado da SEON: [email protected]

POC Designado do Cliente: [***]

13. PRAZO E RESCISÃO

13.1 Este DPA entra em vigor a partir da data em que a SEON iniciar o tratamento dos Dados do Cliente e permanecerá vigente enquanto a SEON tratar tais Dados do Cliente. 

13.2 As Partes poderão rescindir este DPA a qualquer momento e por qualquer motivo, mediante aviso prévio por escrito de 30 (trinta) dias à outra Parte. O Controlador reconhece que a SEON não estará obrigada a prestar os Serviços enquanto não for celebrado entre as Partes um acordo de tratamento de dados em conformidade com a Legislação de Proteção de Dados.

13.3 No prazo de 30 (trinta) dias a contar da expiração do Acordo ou do recebimento do aviso de rescisão, a SEON deverá excluir (ou anonimizar) ou, conforme instrução do Controlador, devolver ao Controlador todos os Dados do Cliente, bem como excluir (ou anonimizar) quaisquer cópias existentes, salvo se a conservação dos Dados do Cliente for exigida por lei da União Europeia ou de Estado-Membro da União Europeia.

13.14 Todas as disposições deste DPA que, expressa ou implicitamente, se destinem a ser cumpridas ou a permanecer em vigor após a rescisão deste DPA continuarão plenamente vigentes após a sua rescisão, em especial: Seção 3 (Definições), Seção 10 (Responsabilidades do Controlador), Seção 11 (Limitação de Responsabilidade), Seção 13 (Prazo e Rescisão) e Seção 14 (Disposições Gerais).

14. DISPOSIÇÕES GERAIS

14.1 Lei Aplicável e Resolução de Conflitos. Este DPA será regido e interpretado de acordo com as leis da Hungria, e os tribunais da Hungria terão jurisdição para dirimir quaisquer disputas ou reclamações decorrentes deste DPA ou a ele relacionadas, inclusive quanto à sua formação. As controvérsias relativas à interpretação e aplicação deste DPA serão resolvidas de acordo com as disposições sobre resolução de disputas previstas no Acordo. 

14.2 Alterações. Este DPA poderá ser alterado em conformidade com as disposições do Acordo relativas a alterações. 

14.3 Divisibilidade. Caso qualquer disposição deste DPA seja considerada inválida ou inexequível, as demais disposições permanecerão válidas e em pleno vigor. A disposição inválida ou inexequível deverá ser: (i) alterada na medida necessária para assegurar sua validade e exequibilidade, preservando-se, tanto quanto possível, a intenção das Partes; ou, se isso não for possível, (ii) interpretada como se a parte inválida ou inexequível jamais tivesse integrado este DPA.

14.4 Acordo Integral. Este DPA, juntamente com seus Anexos, substitui e revoga todos os compromissos, declarações, acordos ou comunicações, orais ou escritos, atuais ou anteriores, em especial quaisquer acordos de tratamento de dados anteriormente celebrados entre o Controlador e a SEON, no que se refere ao objeto deste DPA. Em caso de conflito entre qualquer disposição deste DPA e qualquer disposição constante de seus Anexos, prevalecerá a disposição deste DPA. Em caso de conflito entre qualquer disposição deste DPA e as disposições do Contrato de Assinatura, prevalecerão as disposições deste DPA.

ANEXO 1

DETALHES DO TRATAMENTO DE DADOS PESSOAIS

1. OBJETO DO TRATAMENTO

Prestação dos Serviços da SEON.

2. NATUREZA E FINALIDADE DO TRATAMENTO

2.1 Serviço de Prevenção à Fraude (quando aplicável): Realização de medidas de detecção de fraude baseadas em dados para o Cliente (Controlador), o que envolve a execução dos procedimentos de tratamento descritos na documentação da SEON (disponível em: https://docs.seon.io/), incluindo suporte de TI e atividades de depuração (debugging), por exemplo, durante testes beta ou assistência à integração. Tal tratamento pode envolver a coleta, pelo Controlador, de dados relacionados a usuários ou transações (por exemplo, endereço IP, endereço de e-mail, número de telefone, impressões digitais de dispositivo/navegador) em seus próprios sistemas, bem como a transmissão desses dados às APIs da SEON para análise de risco em tempo real ou quase em tempo real. A finalidade desse tratamento é gerar uma pontuação de risco de fraude e informações relevantes associadas, que são então devolvidas ao Cliente (Controlador) para análise e adoção de medidas subsequentes. Ao identificar atividades potencialmente fraudulentas ou de alto risco, os serviços da SEON permitem que o Cliente (Controlador) tome decisões informadas, reforce suas medidas de segurança e reduza comportamentos fraudulentos.

2.2 Serviços de Verificação de Identidade (quando aplicável): 

a) Verificação Remota de Identidade. Realização, pela SEON, de sessões de verificação remota de identidade (verificação de documentos + prova de vida (liveness check)) para o Cliente (Controlador), o que envolve a execução dos procedimentos de tratamento descritos na documentação fornecida pela SEON ao Cliente (Controlador), bem como a prestação de suporte de TI e assistência de depuração (por exemplo, durante testes beta ou apoio à integração). Verificação de Comprovante de Endereço Adicionalmente, os serviços de verificação de identidade (IDV) da SEON incluem a verificação de comprovante de endereço como componente essencial, conforme descrito na documentação fornecida pela SEON ao Cliente (Controlador). Esse processo confirma o endereço residencial de um indivíduo por meio da validação de documentos como contas de serviços públicos, extratos bancários ou comunicações oficiais emitidas por órgãos governamentais que contenham o nome e o endereço do indivíduo. A verificação de comprovante de endereço reforça a segurança e a confiabilidade de transações e serviços financeiros, assegura a conformidade com requisitos regulatórios, previne fraudes e contribui para a manutenção de registros precisos de clientes. Este submódulo também inclui a prestação de suporte de TI e assistência de depuração (por exemplo, durante testes beta ou apoio à integração).

b) eKYC. No âmbito dos serviços de eKYC da SEON, e conforme descrito na documentação fornecida pela SEON ao Cliente (Controlador), a SEON pode verificar se o número de identificação fornecido pelo usuário final é válido e existe nas bases de dados governamentais ou regulatórias relevantes. Para tanto, são realizados controles e verificações específicas em relação ao número informado. Este submódulo abrange as seguintes jurisdições:

• SSN – Estados Unidos,
• Aadhaar – Índia,
• CPF (Cadastro de Pessoas Físicas) – Brasil;
• CURP (Clave Única de Registro de Población) – México.

O submódulo de eKYC também inclui a prestação de suporte de TI e assistência de depuração (por exemplo, durante testes beta ou apoio à integração).

Dessa forma, a natureza e a finalidade do tratamento realizado pela SEON no âmbito dos Serviços de Verificação de Identidade consistem na execução dos serviços acima descritos, incluindo, entre outros, Customer Due Diligence (CDD), Know Your Customer (KYC), Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo (AML/CFT) e finalidades correlatas.

2.3 Serviço de AML (quando aplicável): Realização de determinadas verificações (tais como PEP & RCA, listas de sanções, listas de observação (watchlists), listas de crimes e mídia negativa (adverse media)) com o objetivo de identificar indivíduos de alto risco, bloquear entidades suspeitas e assegurar a conformidade com a legislação aplicável de Prevenção à Lavagem de Dinheiro (AML), incluindo, entre outras, a 6ª Diretiva Antilavagem de Dinheiro da União Europeia (6AMLD) e demais leis relevantes em matéria de AML. Esse tratamento envolve a execução dos procedimentos de tratamento descritos na documentação fornecida pela SEON ao Cliente (Controlador), bem como a prestação de assistência de depuração (debugging). O tratamento é realizado para apoiar o Cliente (Controlador) no cumprimento de suas obrigações regulatórias, aprimorando tanto as medidas de segurança quanto a conformidade com regulamentações globais de AML. Este submódulo também inclui a prestação de suporte de TI e assistência de depuração (por exemplo, durante testes beta ou apoio à integração).

3. CATEGORIAS DE TITULARES DOS DADOS 

Os usuários e clientes dos serviços do Controlador.

4. CATEGORIAS DE DADOS PESSOAIS 

O presente item constitui um resumo não exaustivo das categorias de dados pessoais que podem ser tratados pela SEON no âmbito de seus Serviços. As categorias exatas de dados pessoais dependem: (i) dos serviços específicos utilizados; (ii) das opções de configuração e personalização escolhidas pelo Cliente (Controlador); e (iii) dos dados fornecidos pelo Cliente à SEON para viabilizar a prestação dos Serviços. A lista completa das categorias de dados pessoais encontra-se disponível na documentação da SEON (disponível em: https://docs.seon.io/).

4.1 Serviço de Prevenção à Fraude (quando aplicável): Dados de contato e identificação; Endereço de e-mail; Número de telefone; Dados on-line e técnicos; Endereço IP; Informações do dispositivo, incluindo impressões digitais de dispositivo/navegador (device/browser fingerprints), sistema operacional, versão do navegador e identificadores únicos do dispositivo; Informações de sessão, como identificadores de sessão (session IDs) e carimbos de data e hora (timestamps); Metadados relacionados ao método e ao contexto de acesso ao sistema ou site do Cliente (por exemplo, URL de referência); Dados comportamentais e transacionais, incluindo: detalhes de transações (por exemplo, horário da transação, valor, método de pagamento); padrões de comportamento do usuário na plataforma do Cliente (por exemplo, frequência ou horário de transações ou de acessos à conta); Dados de localização, incluindo informações de geolocalização; Dados derivados ou gerados automaticamente, tais como pontuações de risco e informações analíticas geradas pelos sistemas da SEON (por exemplo, avaliações ou sinalizações de risco de fraude).

4.2 Serviço de Verificação de Identidade (quando aplicável): (i) Dados pessoais constantes do documento de identificação ou dados pessoais extraídos do documento de identificação, tais como: nome, sexo, número de identificação pessoal ou equivalente nacional, data de nascimento, idade estimada, capacidade legal, nacionalidade, cidadania, cor dos olhos, peso e altura, endereço, bem como dados históricos do Usuário Final que possam ter sido armazenados pela SEON durante interações anteriores, dentro dos períodos de retenção e sempre no âmbito do respectivo Cliente (Controlador); (ii) Dados de contato, tais como endereço, endereço de e-mail, números de telefone, endereço IP e, quando aplicável, tipo de documento apresentado (por exemplo, extrato bancário ou conta de serviços públicos); (iii) Número de conta bancária; (iv) Detalhes do documento de identificação, tais como nome do documento, país emissor, número do documento, data de validade, dados codificados nos códigos de barras do documento (que podem variar conforme o tipo de documento) e elementos de segurança; (v) Dados de verificação de identidade, tais como imagens (fotografias) e gravações (vídeos) do Usuário Final e de seu documento de identificação, bem como gravações em vídeo do processo de verificação, incluindo os resultados das verificações realizadas; (vi) Identificadores biométricos, entendidos como dados gerados a partir da medição de características biológicas do Usuário Final, tais como varreduras faciais (geometria do rosto), varreduras de retina ou íris e outras medições, extraídas de imagens (por exemplo, selfies) e/ou vídeos, utilizadas para verificar o Usuário Final ou comparar seu rosto com as fotografias constantes no documento de identificação por meio de reconhecimento facial ou tecnologias similares; informações biométricas baseadas em identificadores biométricos que permitam identificar o Usuário Final; bem como quaisquer dados pessoais resultantes de tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa natural que permitam ou confirmem sua identificação única, tais como imagens faciais ou dados dactiloscópicos (Art. 4º, inciso 14, do GDPR). Parte desses dados pode ser considerada dados biométricos nos termos da legislação aplicável de proteção de dados (doravante denominados “Dados Pessoais Biométricos”); (vii) Dados técnicos, incluindo, entre outros, informações como data, hora e atividade do Usuário Final dentro dos Serviços, endereço IP e nome de domínio, informações sobre software e hardware utilizados, bem como sua localização geográfica geral (por exemplo, cidade, estado e país); (viii) Metadados de sessão, consistentes em dados técnicos, tais como informações de login e dados do dispositivo.

4.3 Serviços de AML (quando aplicável): Dados pessoais gerais, incluindo: nome completo; data de nascimento; local de nascimento; número de documento de identificação com foto; nacionalidade; dados de nacionalidade/residência; identificador único do usuário; vínculo com organizações; e informações de mídia negativa (adverse media), que podem incluir notícias ou relatórios negativos sobre indivíduos, identificando potenciais riscos reputacionais relacionados a crimes financeiros ou atividades ilícitas; Dados de documentos de identificação, tais como tipo de documento, país emissor, número do documento, data de validade, MRZ (Machine Readable Zone), informações incorporadas em códigos de barras do documento (que podem variar conforme o tipo de documento) e elementos de segurança; Dados públicos relevantes, incluindo informações sobre a condição de Pessoa Politicamente Exposta (PEP) ou inclusão em listas de sanções, listas de monitoramento (watchlists) ou listas criminais.

5. DURAÇÃO DO TRATAMENTO

A SEON continuará a tratar os Dados do Cliente relacionados a quaisquer consultas por um período de 1 (um) ano contado a partir da conclusão da consulta relevante, salvo se o Cliente (Controlador) instruir a SEON de forma diversa, por meio da configuração de um período personalizado de retenção de dados, conforme descrito abaixo (“Período de Retenção de Dados”). 

O Cliente (Controlador) tem o direito de configurar Períodos de Retenção de Dados distintos para cada domínio ou produto da SEON, conforme aplicável dentro da plataforma da SEON. O Cliente é o único responsável por assegurar que os Períodos de Retenção de Dados configurados estejam em conformidade com a Legislação de Proteção de Dados aplicável, bem como por atualizar as configurações de retenção sempre que necessário.

Caso a SEON trate Dados do Cliente relacionados a testes dos Serviços realizados pelo Cliente, a SEON deverá excluir todos os Dados do Cliente tratados durante o período de testes no prazo de 30 (trinta) dias após a conclusão do período de testes.

6. MEDIDAS TÉCNICAS E ORGANIZACIONAIS DE SEGURANÇA 

A SEON implementa todas as medidas técnicas e organizacionais de segurança exigidas pela norma ISO/IEC 27001 e cumpre os requisitos do SOC 2 Tipo II.

Informações adicionais sobre o framework de segurança e as práticas de privacidade da SEON estão disponíveis no Whitepaper de Privacidade e Segurança da SEON, acessível em: https://seon.io/legal-and-security/seon-privacy-and-security-whitepaper/

ANEXO 2

Nome jurídico e nome comercial do Subprocessador	Natureza das atividades do Subprocessador e duração	Localização dos servidores	Local de execução das atividades do Subprocessador (endereço completo)	Salvaguardas implementadas para transferência de dados fora do EEE
Amazon Web Services EMEA SARL (“AWS Europe”)	Hospedagem e computação em nuvem	Irlanda (ou EUA, conforme opção do Controlador)	38 avenue John F. Kennedy, L-1855 Luxemburgo	Standard Contractual Clauses, quando aplicável
Elasticsearch B.V	Hospedagem e computação em nuvem	Irlanda	Keizersgracht 281, Amsterdã, 1016 ED, Países Baixos	Standard Contractual Clauses, quando aplicável
Snowflake Computing Netherlands B.V.	Serviço SaaS de banco de dados	Irlanda	FOZ Building, Gustav Mahlerlaan 300–314, 1082 ME, Amsterdã, Países Baixos; 1-844-SNOWFLK (1-844-766-9355)	Standard Contractual Clauses, quando aplicável
COMPLYADVANTAGE	Provedor de dados para a oferta de Mídia Adversa AML da SEON. Subprocessador utilizado exclusivamente no contexto da API de AML	Irlanda	IVXS UK LIMITED, 86–90 Paul Street, EC2A 4NE, Londres, Reino Unido	Standard Contractual Clauses, quando aplicável
ClickHouse	Serviço SaaS de banco de dados	Irlanda  (ou EUA, conforme opção do Controlador)	650 Castro St., Suite 120 #92426, Mountain View, CA 94041, EUA	Standard Contractual Clauses, quando aplicável
ShuftiPro	Provedor de dados para serviços de Comprovação de Endereço	EEE	Inglaterra, Reino Unido, com escritório localizado em Coppergate House, 10 Whites Row, E1 7NF, Londres, Inglaterra	Standard Contractual Clauses, quando aplicável
Signzy	Provedor de dados que dá suporte aos serviços de eKYC, utilizado exclusivamente para verificações específicas de bases de dados de números de identificação.	Índia	Delaware, com escritório corporativo em 4320 Winfield Road, Cornerstone @ Cantera, Suite 200, Warrenville, Illinois, EUA	Standard Contractual Clauses, quando aplicável

LISTA DE SUBPROCESSADORES

ANEXO 3

CLÁUSULAS CONTRATUAIS PADRÃO – PROCESSADOR PARA CONTROLADOR

AS PARTES CONCORDAM QUE AS CLÁUSULAS CONTRATUAIS PADRÃO DA UE E O ADENDO DE TRANSFERÊNCIA DO REINO UNIDO SÃO INCORPORADOS AO PRESENTE INSTRUMENTO POR REFERÊNCIA E QUE, AO EXECUTAR O CONTRATO, CADA PARTE É CONSIDERADA COMO TENDO EXECUTADO AS CLÁUSULAS CONTRATUAIS PADRÃO DA UE E O ADENDO DE TRANSFERÊNCIA DO REINO UNIDO.

Cláusulas Contratuais Padrão (SCC)	GDPR	UK Data Protection Law
Módulo dois (controlador → processador) e módulo três (processador → sub-processador)
Cláusula 7 – Cláusula de Adesão	Uma entidade que não seja parte destas Cláusulas Contratuais Padrão poderá, mediante acordo das Partes, aderir a estas Cláusulas Contratuais Padrão a qualquer momento, seja na qualidade de exportador de dados ou de importador de dados, mediante o preenchimento do Anexo e a assinatura do Anexo 1.A das Cláusulas Contratuais Padrão.
Cláusula 9(a) – Utilização de Subprocessadores	AUTORIZAÇÃO GERAL POR ESCRITO: O importador de dados dispõe de autorização geral do exportador de dados para a contratação de subprocessador(es) a partir de uma lista acordada. O importador de dados deverá informar especificamente o exportador de dados, por escrito, de qualquer alteração pretendida dessa lista, seja por adição ou substituição de subprocessadores, com pelo menos 30 (trinta) dias corridos de antecedência, conferindo ao exportador de dados tempo suficiente para exercer o seu direito de objeção antes da contratação do(s) subprocessador(es). O importador de dados fornecerá ao exportador de dados as informações necessárias para permitir o exercício desse direito de objeção.
Cláusula 11 – Direito de Reparação (Redress)	A redação opcional prevista na Cláusula 11 não se aplica.
Cláusula 17 – Lei Aplicável	Estas Cláusulas serão regidas pela lei de um dos Estados-Membros da União Europeia, desde que essa lei permita direitos de terceiros beneficiários. As Partes acordam que a lei aplicável será a lei da Hungria.	Estas Cláusulas serão regidas pelas leis da Inglaterra e do País de Gales.
Cláusula 18 – Foro e Jurisdição	As Partes acordam que o foro competente será o dos tribunais da Hungria.	As Partes acordam que o foro competente será o dos tribunais da Inglaterra e do País de Gales.
Anexo 1A – Lista das Partes	O nome, endereço, nome do responsável de contato, cargo e dados de contato, bem como o papel de cada Parte no tratamento dos Dados Pessoais do Cliente, estão descritos nas Seções 1, 2 e 3 do Anexo 1.
Anexo 1B – Descrição da Transferência	As informações correspondentes encontram-se na Seção 4 do Anexo 1.
Cláusula 13 e Anexo 1C – Autoridade Supervisora Competente	Identificar a(s) autoridade(s) supervisora(s) competente(s) de acordo com a Cláusula 13:Autoridade Nacional Húngara para Proteção de Dados e Liberdade de Informação (Nemzeti Adatvédelmi és Információszabadság Hatóság – NAIH)	Identificar a(s) autoridade(s) supervisora(s) competente(s) de acordo com a Cláusula 13:Autoridade de Proteção de Dados do Reino Unido – Information Commissioner’s Office (ICO)
Anexo II – Medidas Técnicas e Organizacionais	Ver Seção 6 do Anexo 1 do DPA.
Anexo III – Lista de Subprocessadores	Ver Anexo 2 do DPA.
Encerramento do UK Transfer Addendum em caso de alteração do Addendum aprovado	Não aplicável.	Partes que podem rescindir este Aditivo, conforme a Seção 19:☒Importador☒Exportador☐Nenhuma das Partes

Anexo I. 

ao Anexo 3 – CLÁUSULAS CONTRATUAIS PADRÃO (PROCESSADOR → CONTROLADOR)

A. LISTA DAS PARTES

Exportador(es) de dados:

Controlador, conforme definido no DPA.

Nome, cargo e dados de contato da pessoa de contato: Endereço de e-mail do Controlador, conforme definido no DPA.

Atividades relevantes relacionadas aos dados transferidos nos termos destas Cláusulas: Conforme definido no Anexo 1 do DPA.

Assinatura e data: Nos termos da Seção 1.2 do DPA.

Função (controlador/processador): Controlador.

Importador(es) de dados:

Nome: SEON Technologies Kft.

Endereço: Rákóczi út 42, 1072 Budapeste, Hungria

Nome, cargo e dados de contato da pessoa de contato: [email protected].

Atividades relevantes relacionadas aos dados transferidos nos termos destas Cláusulas: Conforme definido no Anexo 1 do DPA.

Assinatura e data: Nos termos da Seção 1.2 do DPA.

Função (controlador/processador): Processador.

B. DESCRIÇÃO DA TRANSFERÊNCIA

Categorias de titulares dos dados cujos dados pessoais são transferidos	Conforme especificado na Seção 3 do Anexo 1 do DPA.
Categorias de dados pessoais transferidos	Conforme especificado na Seção 4 do Anexo 1 do DPA.
Dados pessoais sensíveis transferidos	Não aplicável.
Frequência da transferência	Os dados são transferidos de forma contínua.
Natureza e finalidade da transferência de dados e do tratamento subsequente	Conforme especificado na Seção 2 do Anexo 1 do DPA.
Período durante o qual os dados pessoais serão conservados ou critérios utilizados para determinar esse período	Conforme especificado na Seção 5 do Anexo 1 do DPA.
Transferências para suboperadores – objeto, natureza e duração do tratamento	Conforme descrito no Contrato, no Anexo 2, nas Cláusulas Contratuais-Padrão da UE (EU SCCs) e no Aditamento de Transferência do Reino Unido, se aplicável.

ANEXO 4

TEXTO DE AVISO DE PRIVACIDADE E CONSENTIMENTO

1. Obrigação de Obtenção de Consentimento

O Cliente deverá assegurar que, sempre que exigido pela Legislação de Proteção de Dados aplicável (incluindo, sem limitação, a legislação pertinente dos Estados Unidos), obtenha de cada Titular dos Dados um consentimento válido, explícito e informado para o tratamento de Dados Pessoais Biométricos por ambas as Partes, conforme previsto neste Acordo e no Contrato de Assinatura, em conformidade com os requisitos destacados abaixo.

2. Texto de Aviso e Consentimento

O texto de aviso e consentimento a seguir (ou versão funcionalmente equivalente) deverá ser integrado à interface do usuário do Cliente para qualquer indivíduo que utilize os serviços do Cliente nos quais a tecnologia e os Serviços da SEON sejam utilizados, antes de o Titular dos Dados ser redirecionado para prosseguir com o processo de cadastro:

2.2 Consentimento para o Tratamento de Dados Biométricos e Outros Dados Pessoais

“Declaro que compreendo e concordo voluntariamente que minhas informações de identificação pessoal (“Dados Pessoais”), incluindo informações biométricas, poderão ser tratadas por:

1. a organização para a qual estou realizando o processo de verificação de identidade (a “Empresa”); e
2. a SEON Technologies Kft. (“SEON” ou o “Prestador de Serviços”), cada uma atuando em conformidade com as leis aplicáveis de privacidade e proteção de dados.

Para mais informações sobre a SEON e sobre a forma como ela trata seus Dados Pessoais, incluindo seus dados societários e informações de contato, consulte o Aviso de Privacidade da SEON, disponível em: https://seon.io/legal-and-security/privacy/identity-verification-services/].

Reconheço e concordo que:

1. (Categorias de Dados Biométricos) meus dados biométricos que poderão ser tratados incluem, entre outros, características faciais ou varreduras faciais, para confirmar minha identidade e/ou verificar se o documento de identificação apresentado me pertence legitimamente.
2. (Finalidades do Tratamento de Dados Biométricos) meus dados biométricos serão tratados para as finalidades da Empresa, que podem incluir o cumprimento de obrigações de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo (AML/CFT), prevenção à fraude, verificação de idade e demais obrigações legais ou requisitos comerciais relacionados.
3. (Finalidades do Tratamento de Dados Biométricos) a SEON poderá tratar os dados biométricos de forma independente para finalidades compatíveis, tais como desenvolvimento de serviços, prevenção de fraudes ou atividades criminosas, retenção para fins de litígios (litigation holds) e outros requisitos legais ou regulatórios, conforme descrito mais detalhadamente no Aviso de Privacidade da SEON disponível em: https://seon.io/legal-and-security/privacy/identity-verification-services/
4. (Tomada de decisão automatizada) a Empresa e a SEON poderão tratar meus dados biométricos por meio de técnicas automatizadas — tais como varreduras faciais, verificações de prova de vida (liveness checks), video-selfies, correspondência facial com documentos de identidade e tecnologias correlatas — para verificar minha identidade, detectar o uso de identidades múltiplas ou fraudulentas e auxiliar na prevenção de atividades ilegais ou fraudulentas.
5. (Compartilhamento de Dados Pessoais) meus Dados Pessoais, incluindo dados biométricos, poderão ser compartilhados com empresas afiliadas da SEON, quando necessário para atingir as finalidades acima descritas. A SEON utiliza a Amazon Web Services (AWS) como suboperadora, para o armazenamento de dados biométricos.
6. (Período de retenção) meus Dados Pessoais, incluindo dados biométricos, serão mantidos pela Empresa e pela SEON apenas pelo tempo necessário para cumprir as finalidades para as quais foram coletados ou para atender às exigências legais aplicáveis. Os dados biométricos serão permanentemente eliminados assim que deixarem de ser necessários ou após o término do prazo legal de retenção aplicável.

Para residentes do Texas, a eliminação ocorrerá no prazo de 1 (um) ano a partir da data em que a finalidade da coleta dos dados tiver sido atingida.

Para residentes de Illinois, a eliminação ocorrerá no prazo de 3 (três) anos a partir da data em que os dados foram inicialmente fornecidos à SEON.

Em todos os demais casos, a eliminação ocorrerá no máximo em 5 (cinco) anos a contar do recebimento dos dados pela SEON, ou antes, se exigido por lei ou mediante instrução da Empresa. Informações adicionais sobre a eliminação e destruição de dados estão disponíveis no Aviso de Privacidade da SEON em: https://seon.io/legal-and-security/privacy/identity-verification-services/ ).”

Reconhecimento e Consentimento

“Confirmo que li, compreendi e concordo voluntariamente com os termos acima, e consinto com o tratamento dos meus dados biométricos e de outros Dados Pessoais pela Empresa e pela SEON para as finalidades aqui descritas.”

3. Hiperlinks para o Aviso de Privacidade da SEON

O Cliente deverá assegurar que o aviso e o consentimento incluam hiperlinks diretos para o Aviso de Privacidade da SEON, disponível em: https://seon.io/legal-and-security/privacy/identity-verification-services/.

4. Requisitos Adicionais na Documentação do Cliente

Além de incorporar o texto de aviso e consentimento acima, o Cliente deverá assegurar que suas próprias políticas, avisos e contratos celebrados com os Titulares dos Dados contenham quaisquer outros termos necessários para cumprir a Legislação de Proteção de Dados aplicável. Esses termos deverão abordar, entre outros aspectos:

• o tratamento de Dados Pessoais, incluindo dados biométricos, no momento da captura facial,
• as finalidades específicas para as quais os dados biométricos são tratados,
• a utilização, pelo Cliente, de prestadores de serviços terceiros (como a SEON) para a realização de verificação de identidade e serviços correlatos,
• o armazenamento, os prazos de retenção, as transferências internacionais (quando aplicáveis) e quaisquer outras divulgações legalmente exigidas.

5. Parâmetro de Consentimento via API 

Quando for utilizada uma integração via API nos termos do Contrato de Assinatura, o Cliente deverá implementar um parâmetro de consentimento na API, tal como privacy_notices_read_consent_given (ou outro parâmetro equivalente especificado pela SEON), para permitir que a SEON registre e confirme que os Titulares dos Dados foram devidamente informados e manifestaram concordância com as disposições descritas neste Anexo.