Políticas de Calidad y Seguridad de la Información

[DPA] Acuerdo de procesamiento de datos

[TCTD] Término de compromiso y procesamiento de datos personales

Política de Calidad Global

La Alta Administración de Topaz reconoce la importancia de identificar y proteger los activos de información de la organización, evitando la destrucción, divulgación indebida, modificación indebida o uso no autorizado de cualquier información y datos personales relacionados con sus clientes, colaboradores, proveedores, fijación de precios, estrategia, gestión u otros conceptos relacionados, así como información y datos personales relativos a terceros en general.

Por lo tanto, Topaz se compromete a desarrollar, implementar, mantener y mejorar continuamente el Sistema de Gestión de la Seguridad de la Información (SGSI) y el Sistema de Gestión de la Seguridad de la Privacidad de la Información (SGPI) para garantizar la confidencialidad, disponibilidad e integridad de la información y el tratamiento adecuado de los activos y datos personales sobre la base de las leyes, reglas y reglamentos donde mantiene sus actividades y operaciones. En caso de incumplimiento de la Política de Seguridad de la Información y Privacidad de la Información, Topaz tomará las medidas adecuadas para corregirlo.

Para lograr este objetivo, Topaz:

Establece objetivos anuales en relación a la Seguridad de la Información y privacidad de la información.
Garantiza la identificación y el cumplimiento de los requisitos del negocio, obligaciones contractuales, legales y regulatorias de seguridad.
Desarrolla un proceso de análisis de riesgo y, de acuerdo con sus resultados, implementa las acciones adecuadas para enfrentar riesgos considerados inaceptables sobre la base de criterios establecidos en el proceso de Identificación y Evaluación de Riesgos.

Controles de Seguridad de la Información implementados en la organización

Controles Organizacionales
Controles de Personas
Controles Físicos
Controles Tecnológicos

Política de Privacidad

Topaz está compuesto por las mayores empresas de tecnología bancaria del mercado, especializadas en soluciones financieras digitales, y también forma parte del Grupo Stefanini, que posee la plataforma tecnológica más completa y adecuada del mercado.

Topaz respeta la privacidad individual y valora la confianza de sus clientes, empleados, proveedores, consumidores, socios comerciales y otros. Topaz se esfuerza por recopilar, usar y proteger los datos personales de manera coherente con las leyes de los países en los que opera.

La política de privacidad de Topaz considera los diversos requisitos regulatorios de los países donde opera, incluyendo el Reglamento General de Protección de Datos de la UE (GDPR), la Ley de Protección de Datos del Reino Unido de 2018, el Marco de Privacidad de APEC, la Ley de Protección de Información Personal y Documentos Electrónicos de Canadá (PIPEDA), los Principios de Privacidad Australianos según la Ley de Privacidad de 1988 y la Ley General de Protección de Datos (LGPD) de Brasil, a modo de ejemplo.

Adicionalmente, cumplimos con las directrices internacionales de la Norma ISO/IEC 27001:2022 sobre gestión de la seguridad de la información y de la Norma ISO/IEC 27701:2019 sobre gestión de la privacidad de la información. Estos estándares garantizan la implementación de controles adecuados para la confidencialidad, integridad y disponibilidad de los datos.

Declaración de privacidad de Topaz

Última actualización: abril de 2023.

Topaz participa en el Marco de Privacidad UE-EE.UU. y en el Marco de Privacidad Suiza-EE.UU., pero Topaz no depende del Marco de Privacidad UE-EE.UU. como base legal para transferencias de datos personales a la luz de la sentencia del Tribunal de Justicia de la UE en la causa legal C-311/18.

Su privacidad es importante para nosotros. Esta declaración de privacidad aborda la información que recopilamos en nuestros sitios web y en actividades de ventas y marketing fuera de línea. Explica qué datos personales recopilamos de usted y cómo los utilizamos.

La sección Declaración de Privacidad de Productos y Servicios de Topaz proporciona información adicional relevante para productos y servicios específicos de Topaz. Esta declaración se aplica a los productos listados de Topaz. Las referencias a productos de Topaz en esta declaración incluyen servicios y soluciones de software y otras tecnologías de Topaz.

Datos personales que recopilamos

Topaz recopila datos para operar de manera eficaz y brindarle las mejores experiencias con nuestros productos y servicios. A través de su interacción con nosotros, Topaz puede recopilar datos personales, que son informaciones que identifican a un individuo o se refieren a un individuo identificable. Los datos personales pueden incluir, pero no se limitan a, su nombre, dirección física, número de teléfono, dirección de correo electrónico, afiliación a la empresa e intereses asociados.

En caso de que usted interactúe con nuestro equipo de reclutamiento, Topaz puede solicitar determinados datos, incluyendo historial educativo y profesional, información de contacto y preferencias, cualificaciones profesionales y vacantes a las que le gustaría postularse. También puede optar por proporcionar información adicional a Topaz, como su currículum o historial académico; referencias laborales e información relacionada; y solicitudes de compensación. Además, Topaz puede recopilar información de terceros, por ejemplo, en relación con una verificación de antecedentes o empleo y/o referencia laboral.

Topaz también puede recopilar otra información a través de su interacción con nosotros y con sitios que no sean de Topaz, como, por ejemplo, sitios de sus clientes, proveedores y prestadores de servicios. Otra información puede incluir, pero no se limita a, información del navegador y del dispositivo, datos recopilados mediante interacciones electrónicas automatizadas, datos de uso de aplicaciones, información demográfica, información geográfica o de localización geográfica, información estadística y agregada.

La información estadística o agregada no identifica directamente a una persona específica, pero puede derivarse de información personal. Por ejemplo, podemos agregar información personal para calcular el porcentaje de visitantes en una determinada región.

En algunos casos, podemos combinar otra información con información personal, como combinar una ubicación geográfica precisa con su nombre. Si combinamos otra información con información personal, trataremos la información combinada como información personal.

Usted tiene opciones sobre los datos que recopilamos. Cuando se le solicite que proporcione datos personales, puede negarse. Pero si decide no proporcionar los datos necesarios para que le proporcionemos determinado producto o función, es posible que no pueda utilizar ese producto o función.

Topaz recopilará únicamente los datos relevantes para los fines a los que están destinados y tomará medidas razonables para garantizar que dichos datos sean relevantes, precisos, completos y actualizados para el uso previsto.

Cómo usamos los datos personales

Topaz utiliza los datos que recopilamos para dos finalidades básicas, descritas con más detalle a continuación: (1) para operar nuestro negocio y proporcionar (incluyendo mejorar y personalizar) los productos y servicios que ofrecemos y (2) enviar comunicaciones, incluidas comunicaciones promocionales.

Operaciones comerciales. Utilizamos los datos para proporcionar y mejorar los productos y servicios que ofrecemos y realizar operaciones comerciales esenciales. Utilizamos los datos para desarrollar análisis agregados e inteligencia empresarial que nos permiten operar, proteger, tomar decisiones informadas e informar sobre el desempeño de nuestro negocio y los servicios que nuestros clientes desean.

Comunicaciones. Utilizamos los datos que recopilamos para entregar y personalizar nuestras comunicaciones con usted. Por ejemplo, podemos contactarlo por correo electrónico u otros medios para invitarlo a participar en una encuesta. Además, puede suscribirse a boletines electrónicos y elegir si desea recibir comunicaciones promocionales de Topaz. Para obtener información sobre cómo gestionar las suscripciones de correo electrónico y las comunicaciones promocionales, visite la sección “Sus Preferencias de Comunicación” de la declaración de privacidad.

Reclutamiento. Utilizamos los datos que recopilamos para comunicarnos con usted, para gestionar los procesos de reclutamiento y contratación de Topaz y para fines de cumplimiento con la gobernanza corporativa, así como otros requisitos legales y regulatorios. Si es contratado, la información puede utilizarse en relación con el empleo y la gestión corporativa.

Razones por las que compartimos datos personales

Compartimos sus datos personales con su consentimiento o según sea necesario para completar cualquier transacción o proporcionar cualquier producto que usted haya solicitado o autorizado. Además, compartimos datos personales entre afiliadas y entidades controladas por el Grupo Stefanini, grupo al que pertenece Topaz. También compartimos datos personales con proveedores o agentes que trabajan en nuestro nombre para los fines descritos en esta declaración. Por ejemplo, las empresas que eventualmente contratamos para proporcionar soporte de atención al cliente o ayudar en la protección y seguridad de nuestros sistemas y servicios pueden necesitar acceso a datos personales para cumplir esas funciones. En tales casos, estas empresas deben cumplir con nuestros requisitos de privacidad y seguridad de datos y no están autorizadas a utilizar los datos personales que reciben de nosotros para ningún otro propósito. También podemos divulgar datos personales como parte de una transacción corporativa, como una fusión o venta de activos.

Por último, accederemos, transferiremos, divulgaremos y preservaremos los datos personales, incluido su contenido, cuando creamos de buena fe que esto es necesario para:

Cumplir con la ley aplicable o responder a procesos legales válidos, incluidos los de organismos de aplicación de la ley u otras agencias gubernamentales;
Proteger a nuestros clientes, por ejemplo, para evitar spam o intentos de fraude a los usuarios de nuestros productos, o para ayudar a evitar la pérdida de vidas o lesiones graves a cualquier persona;
Operar y mantener la seguridad de nuestros productos, incluso para prevenir o impedir un ataque en nuestros sistemas o redes informáticas; o
Proteger los derechos o la propiedad de Topaz, incluido el cumplimiento de los términos que rigen el uso de nuestros productos y servicios - sin embargo, si recibimos información que indique que alguien está utilizando nuestros servicios para traficar con propiedad intelectual o física robada de Topaz, no inspeccionaremos la propiedad privada de un cliente, pero podemos remitir el asunto a las autoridades legales.

Cómo acceder y controlar sus datos personales

Usted puede tomar decisiones sobre la recopilación y el uso de sus datos por parte de Topaz. Puede controlar sus datos personales que Topaz ha obtenido y ejercer sus derechos como titular de los datos, poniéndose en contacto con Topaz. Esto puede incluir la limitación del uso y la divulgación de sus datos personales.

A solicitud, Topaz concederá a los titulares acceso razonable a la información personal que mantiene sobre ellos. Además, Topaz tomará medidas razonables para permitir que las personas corrijan, modifiquen o eliminen información que resulte inexacta o incompleta.

Sus preferencias de comunicación

Usted puede elegir si desea recibir comunicaciones promocionales de Topaz por correo electrónico o teléfono. Si recibe un correo electrónico promocional nuestro y desea cancelarlo, siga las instrucciones del mensaje. Si no desea recibir nuestras llamadas, no proporcione un número de teléfono de contacto.

Controles basados en el navegador

Controles de cookies. Los controles relevantes de cookies basados en el navegador se describen en la sección Cookies del sitio web de Topaz.

Seguridad de los datos personales

Topaz se compromete a proteger sus datos personales. Utilizamos una variedad de tecnologías y procedimientos de seguridad para ayudar a proteger sus datos personales contra el acceso, uso o divulgación no autorizados. Por ejemplo, almacenamos los datos personales que usted proporciona en sistemas informáticos con acceso limitado y en instalaciones controladas. Cuando transmitimos datos altamente confidenciales por Internet (como una contraseña, por ejemplo), los protegemos mediante el uso de cifrado.

Las políticas y procedimientos de seguridad de Topaz son revisados y supervisados por la Dirección de Tecnología y Seguridad de la Información de Topaz. Esta Dirección es responsable de la supervisión, el cumplimiento y la aplicación de la seguridad, de realizar evaluaciones de seguridad de la información y de liderar el desarrollo de la política y la estrategia de seguridad de la información.

Topaz también está comprometida a reducir los riesgos de error humano, robo, fraude y uso indebido de sus instalaciones. Los esfuerzos de Topaz incluyen la concienciación de su personal sobre las políticas de seguridad y su capacitación para implementar estas políticas. Los empleados de Topaz están obligados a mantener la confidencialidad de los datos. Las obligaciones de los empleados incluyen acuerdos de confidencialidad por escrito, capacitación regular sobre seguridad de la información en diversos niveles y cumplimiento de las políticas de Topaz relativas a la protección de información confidencial.

Topaz evalúa y responde rápidamente a incidentes que generan sospechas de manipulación no autorizada de datos. La Dirección de Tecnología y Seguridad de la Información, el Departamento Jurídico y el Encargado del Tratamiento de Datos de Topaz son informados sobre tales incidentes y, dependiendo de la naturaleza de la actividad, definen caminos de escalamiento y equipos de respuesta para gestionar los incidentes. Si Topaz determina que sus datos han sido apropiados indebidamente (incluso por cualquier empleado de Topaz) o adquiridos indebidamente por terceros, Topaz le informará prontamente sobre dicha apropiación o adquisición.

Topaz realizará auditorías anuales de cumplimiento de sus prácticas de privacidad relevantes para verificar el cumplimiento de esta declaración y de la legislación vigente correspondiente. La auditoría podrá ser realizada interna o externamente bajo la dirección de la Dirección de Tecnología y Seguridad de la Información, del Departamento Jurídico y del Encargado del Tratamiento de Datos Personales. Cualquier empleado que Topaz identifique que esté violando esta declaración de privacidad estará sujeto a acciones disciplinarias que pueden incluir el despido. Cualquier agente o tercero que viole esta declaración de privacidad infringirá materialmente todos los acuerdos con Topaz y deberá defender e indemnizar a Topaz por reclamaciones relacionadas con tales violaciones.

Dónde almacenamos y procesamos los datos personales

Los datos personales recopilados por Topaz pueden ser almacenados, procesados y tratados en su región, en los Estados Unidos o en cualquier otro país donde Topaz mantenga instalaciones. Tomamos medidas para garantizar que los datos que recopilamos de acuerdo con esta declaración de privacidad sean tratados conforme a las disposiciones de esta declaración y a los requisitos de la ley aplicable, dondequiera que se encuentren los datos.

Si eventualmente transferimos datos personales del Espacio Económico Europeo o de Brasil a otros países, utilizamos una variedad de mecanismos legales, incluidos contratos, para ayudar a garantizar sus derechos y protecciones al transferir sus datos.

Nuestra retención de datos personales

Topaz retiene los datos personales durante el tiempo necesario para proporcionar los productos y cumplir con las transacciones que usted ha solicitado, o para otros fines esenciales, como cumplir con nuestras obligaciones legales, resolver disputas y hacer cumplir nuestros acuerdos. Los datos de reclutamiento se almacenan de acuerdo con los períodos máximos de retención permitidos según la ubicación del candidato. Los candidatos pueden solicitar la eliminación de sus datos en cualquier momento, si no desean continuar con la inscripción, notificando a su reclutador o poniéndose en contacto con el Encargado del Tratamiento de Datos Personales de Topaz.

Cuando los datos personales son eliminados, se eliminan de los sistemas activos, pero pueden permanecer en formato de copia de seguridad hasta por un año. Los datos, ya sea en formato activo o de respaldo, serán protegidos siguiendo los mecanismos de Seguridad de la Información de Topaz.

Ley de Privacidad del Consumidor de California – CCPA

Topaz, como “Proveedor de Servicios” (según lo definido en la CCPA), confirma que procesará la información personal que retiene, utiliza o divulga en relación con su desempeño bajo cualquier contrato: (1) únicamente en nombre y para beneficio del “Negocio” (según lo definido en la CCPA) del cual recibió la información personal; (2) únicamente de acuerdo con el contrato y las instrucciones previas por escrito de la Empresa, si las hubiera; a menos que (3) sea requerido por la CCPA. Topaz confirma que no procesará información personal para ningún propósito que no sea el propósito específico de realizar los servicios especificados en el contrato.

Cambios en esta Declaración de Privacidad

Actualizaremos esta declaración de privacidad cuando sea necesario para reflejar los comentarios de los clientes y los cambios en nuestros productos o servicios. Cuando publiquemos cambios en esta declaración, revisaremos la fecha de la “última actualización” en la parte superior de la declaración. Si hay cambios materiales en la declaración o en la forma en que Topaz utilizará sus datos personales, haremos pública dicha información a través del sitio web de Topaz antes de que entren en vigor. Recomendamos que revise periódicamente esta declaración de privacidad para saber cómo Topaz está protegiendo su información.

Cómo contactarnos

Si tiene una inquietud sobre privacidad o una pregunta para el Encargado del Tratamiento de Datos de Topaz, contáctenos utilizando la siguiente información de contacto. Responderemos a preguntas o inquietudes dentro de 30 (treinta) días.

Solicitud de acceso del titular de los datos

Nombre: Douglas Martins Silva (Encargado del Tratamiento de Protección de Datos)
Dirección: Avenida Visconde de Indaiatuba, 1277, Indaiatuba/SP - Brasil – CEP 13338-010

Teléfonos:

América Latina: +55 800 591 5929 > opción 6.
Brasil: 0800 591 5929 > opción 6.

Correo electrónico: dpo@topazevolution.com

Dependiendo de la situación, Topaz podrá actuar como responsable del tratamiento de los datos personales recibidos a través de los productos o servicios sujetos a esta declaración, o como encargada del tratamiento de los datos personales recibidos en virtud de contratos celebrados con nuestros clientes, en cuyo caso estos, en calidad de responsables de los datos personales, se convierten en responsables de resolver eventuales dudas a los titulares de los datos personales y a las autoridades competentes.

Para encontrar la entidad Topaz en su país o región, consulte https://www.topazevolution.com

Declaración de privacidad de los servicios Topaz

Última actualización: abril de 2023.

Topaz participa en el EU-U.S. Privacy Shield Framework y en el Swiss-U.S. Privacy Shield Framework, pero Topaz no depende del EU-U.S. Privacy Shield Framework como base jurídica para transferencias de datos personales a la luz de la sentencia del Tribunal de Justicia de la UE en la sumaria legal C-311/18.

La sección Declaración de Privacidad de los Servicios Topaz proporciona información adicional relevante para productos y servicios específicos de Topaz. Esta declaración se aplica a los productos y servicios de Topaz y puede incluir los servicios y soluciones de software y otras tecnologías de Topaz. Topaz ha establecido esta política de privacidad con el objetivo de aclarar que el uso de la información a la que puede tener acceso para la prestación de servicios es diferente del uso de la información cubierta por la declaración de privacidad general de Topaz.

Algunos servicios tienen sus propios acuerdos de privacidad separados. En caso de conflicto entre una declaración de privacidad de Topaz y los términos de cualquier contrato(s) entre un cliente y Topaz, prevalecerán los términos de dicho(s) contrato(s).

Para ver nuestra declaración de privacidad general, visite la Declaración de Privacidad de Topaz, al inicio de este documento.

Información personal y datos de servicios que recopilamos

Topaz recopila datos para operar de manera eficaz y ofrecerle las mejores experiencias con nuestros productos. A través de su interacción con nosotros, Topaz puede recopilar datos personales, que son datos que identifican a un individuo o se relacionan con un individuo identificable. Los datos personales pueden incluir, pero no se limitan a, su nombre, dirección física, número de teléfono, dirección de correo electrónico, afiliación a la empresa e intereses asociados. Estos datos se tratan según la declaración general de privacidad de Topaz.

Topaz también puede recopilar Datos de Servicios. Son datos que residen en Topaz, en sistemas de clientes o terceros a los que Topaz tenga acceso para realizar servicios (incluyendo entornos de prueba, desarrollo y producción que pueden ser accedidos para realizar servicios de consultoría, implementación, mantenimiento y soporte de Topaz). Topaz trata los datos de los servicios de acuerdo con los términos de esta declaración de privacidad y los datos de los servicios como confidenciales, conforme a los términos asociados al servicio.

Para ilustrar la diferencia entre datos personales y datos de servicios, cuando un cliente contrata a Topaz para servicios, el cliente proporciona información sobre sí mismo, incluyendo nombre, dirección, información de facturación y algunos datos de contacto de empleados. Toda esta información es personal y se trata de acuerdo con la declaración de privacidad de Topaz.

En cambio, al contratar los servicios de Topaz, el cliente proporciona a Topaz acceso a su entorno de producción, desarrollo o prueba, que puede incluir datos personales sobre sus empleados, clientes, socios o proveedores (colectivamente “usuarios finales”). Esta información son datos personales y se trata de acuerdo con la Declaración de Privacidad de Servicios de Topaz.

Topaz recopilará únicamente los datos esenciales para los fines a los que están destinados. Topaz tomará medidas razonables para garantizar que estos datos sean tratados en estricta observancia de los principios previstos en la ley y coherentes con su finalidad.

Cómo recopilamos y usamos los datos de servicios

Topaz utiliza los datos de servicios que recopilamos para dos finalidades básicas, descritas con más detalle a continuación: (1) para proporcionar los productos y prestar los servicios solicitados y (2) para cumplir con nuestras obligaciones contractuales.

Para prestar servicios y resolver problemas. Los datos de servicios pueden ser accedidos y utilizados para ejecutar servicios de acuerdo con su contrato principal de servicios o alcance de trabajo. Los datos que recopilamos dependen de los productos y funciones que usted utiliza y pueden incluir lo siguiente:

Nombre y datos de contacto. Recopilamos su nombre y apellido, dirección de correo electrónico, dirección postal, número de teléfono y otros datos de contacto similares y necesarios durante la prestación de los servicios.

Credenciales. Recopilamos contraseñas, pistas de contraseñas e información de seguridad similar utilizada para la autenticación y el acceso a la cuenta.
Datos de soporte. Cuando usted contrata a Topaz para soporte, recopilamos datos sobre usted y su hardware, software y otros detalles relacionados con el incidente de soporte. Estos datos incluyen datos de contacto o autenticación, el contenido de sus chats y otras comunicaciones con el soporte de Topaz, datos sobre el estado de la máquina y la aplicación cuando ocurrió la falla y durante los diagnósticos, y datos de sistema y registro sobre instalaciones de software y configuraciones de hardware.
Datos del dispositivo. Recopilamos datos sobre su dispositivo y la red que utiliza para conectarse. Esto incluye datos sobre los sistemas operativos y otros programas instalados en su dispositivo, incluidas las claves de producto. También puede incluir dirección IP, identificadores de dispositivo (como el número IMEI para teléfonos), configuraciones regionales y de idioma.
Informes de errores y datos de rendimiento. Recopilamos datos sobre el rendimiento de los productos y cualquier problema que tenga con ellos. Estos datos nos ayudan a diagnosticar problemas en los productos que utiliza y a mejorar nuestros productos y proporcionar soluciones. Dependiendo del producto y la configuración, los informes de errores pueden incluir datos como el tipo o gravedad del problema, detalles del software o hardware relacionados con un error, contenido de los archivos que estaba utilizando cuando ocurrió un error y datos sobre otro software en su dispositivo. Cualquier copia de datos de servicios creada para estos fines se mantiene solo durante el tiempo necesario para estos fines.
Para cumplir con las obligaciones contractuales. Topaz puede estar obligada a retener o proporcionar acceso a los datos de servicios para cumplir con los requisitos legales de informes, divulgación u otros requisitos legales.

Topaz no utiliza los datos de servicios, excepto según lo declarado anteriormente o en su contrato principal de servicios o alcance de trabajo. Topaz puede procesar datos de servicios, pero no controla su recopilación ni las prácticas de uso de datos de servicios. Si usted proporciona cualquier dato de servicios a Topaz, será responsable de proporcionar cualquier notificación y/o obtener los consentimientos necesarios para que Topaz acceda, use, retenga y transfiera los datos de servicios según lo especificado en esta declaración y en su contrato principal de servicios o alcance de trabajo.

Razones por las que compartimos datos de servicios

Compartimos sus datos de servicios, con su consentimiento o según sea necesario, para completar cualquier transacción o proporcionar cualquier producto que usted haya solicitado o autorizado. Además, podemos compartir datos de servicios entre afiliadas y entidades controladas por el Grupo Stefanini, al que pertenece Topaz. También podemos compartir datos de servicios con proveedores o agentes que trabajan en nuestro nombre para los fines descritos en esta declaración. Por ejemplo, las empresas que contratamos para prestar servicios de soporte de atención al cliente o para ayudar en la protección y seguridad de nuestros sistemas y servicios pueden necesitar acceso a datos de servicios para desempeñar tales funciones. En estos casos, dichas empresas deben cumplir con nuestros requisitos de privacidad y seguridad de datos y no tienen permiso para utilizar los datos de servicios que reciben de nosotros para ningún otro propósito. También podemos divulgar datos de servicios como parte de una transacción corporativa, como una fusión o venta de activos.

Por último, accederemos, transferiremos, divulgaremos y preservaremos los datos de servicios, incluido su contenido, cuando creamos de buena fe que esto es necesario para:

Cumplir con la ley aplicable o responder a procesos legales válidos, incluidos los de organismos de aplicación de la ley u otras agencias gubernamentales;
Proteger a nuestros clientes, por ejemplo, para evitar spam o intentos de fraude a los usuarios de nuestros productos, o para ayudar a evitar la pérdida de vidas o lesiones graves a cualquier persona;
Operar y mantener la seguridad de nuestros productos, incluso para prevenir o impedir un ataque en nuestros sistemas o redes informáticas; o
Proteger los derechos o la propiedad de Topaz, incluido el cumplimiento de los términos que rigen el uso de los servicios; sin embargo, si recibimos información que indique que alguien está utilizando nuestros servicios para traficar con propiedad intelectual o física robada de Topaz, no inspeccionaremos la propiedad privada de un cliente, pero podemos remitir el asunto a las autoridades legales.

Seguridad de los datos de servicios

Topaz se compromete a proteger la seguridad de los datos de sus servicios. Utilizamos una variedad de tecnologías y procedimientos de seguridad para ayudar a proteger los datos de sus servicios contra el acceso, uso o divulgación no autorizados.

El acceso de Topaz a los datos de los servicios se basa en la función o responsabilidad del cargo. Los datos de los servicios que residen en los sistemas alojados por Topaz son controlados mediante una estructura de gestión de cuentas. Usted controla el acceso a los datos de los servicios por parte de sus usuarios finales; los usuarios finales deben dirigir cualquier solicitud relacionada con su información personal a usted.

Las políticas de seguridad de Topaz cubren la gestión de la seguridad tanto de sus operaciones internas como de los servicios. Estas políticas, alineadas con la norma ISO/IEC 27001:2013, rigen todas las áreas de seguridad aplicables a los servicios y se aplican a todos los empleados de Topaz.

Las políticas y procedimientos de seguridad de Topaz son revisados y supervisados por la Dirección de Tecnología y Seguridad de la Información de Topaz. Esta Dirección también es responsable de la supervisión, el cumplimiento y la aplicación de la seguridad, así como de realizar evaluaciones de seguridad de la información y liderar el desarrollo de la política y la estrategia de seguridad de la información.

Topaz también está comprometida a reducir los riesgos de error humano, robo, fraude y uso indebido de sus instalaciones. Los esfuerzos de Topaz incluyen la concienciación de su personal sobre las políticas de seguridad, además de capacitarlos para implementar dichas políticas. Los empleados de Topaz están obligados a mantener la confidencialidad de los datos, mediante un acuerdo firmado en el momento de la contratación. Además de estos acuerdos de confidencialidad por escrito, las obligaciones incluyen capacitación regular sobre protección de la información y cumplimiento de las políticas de la empresa relativas a la protección de información confidencial.

Topaz evalúa y responde rápidamente a incidentes que generan sospechas de manipulación no autorizada de datos. La Dirección de Tecnología y Seguridad de la Información, el Departamento Jurídico y el Encargado del Tratamiento de Datos Personales de Topaz son informados sobre tales incidentes y, dependiendo de la naturaleza de la actividad, definen caminos de escalamiento y equipos de respuesta para gestionar los incidentes. Si Topaz determina que sus datos han sido apropiados indebidamente (incluso por un empleado) o adquiridos indebidamente por terceros, Topaz le informará prontamente sobre dicha apropiación o adquisición.

Topaz realizará auditorías anuales de cumplimiento de sus prácticas de privacidad para verificar el cumplimiento de esta declaración y de la legislación vigente correspondiente. La auditoría podrá ser realizada interna o externamente bajo la dirección de la Dirección de Tecnología y Seguridad de la Información, del Departamento Jurídico y del Encargado del Tratamiento de Datos Personales. Cualquier empleado que Topaz determine que está violando esta declaración de privacidad estará sujeto a acciones disciplinarias que pueden incluir el despido. Cualquier agente o tercero que viole esta declaración de privacidad infringirá materialmente todos los acuerdos con Topaz y deberá defender e indemnizar a Topaz por reclamaciones relacionadas con tales violaciones.

Dónde almacenamos y procesamos los datos personales

Los datos personales recopilados por Topaz pueden ser almacenados, procesados y tratados en su región, en los Estados Unidos o en cualquier otro país donde el Grupo Stefanini, al que pertenece Topaz, o sus proveedores de servicios mantengan instalaciones. Tomamos medidas para garantizar que los datos que recopilamos de acuerdo con esta declaración de privacidad sean tratados conforme a las disposiciones de esta declaración y a los requisitos de la ley aplicable, dondequiera que se encuentren los datos.

Nuestra retención de datos personales

Topaz retiene los datos personales durante el tiempo necesario para proporcionar los productos y cumplir con las transacciones que usted ha solicitado, o para otros fines esenciales, como cumplir con nuestras obligaciones legales, resolver disputas y hacer cumplir nuestros acuerdos. Cuando los datos personales son eliminados, se eliminan de los sistemas activos, pero pueden permanecer en formato de copia de seguridad hasta por un año. Los datos, ya sea en formato activo o de respaldo, serán protegidos siguiendo los mecanismos de Seguridad de la Información ya descritos anteriormente.

Ley de Privacidad del Consumidor de California – CCPA

Cambios en esta Declaración de Privacidad

Cómo contactarnos

Solicitud de acceso del titular de los datos

Nombre: Douglas Martins Silva (Encargado del Tratamiento de Protección de Datos)
Dirección: Avenida Visconde de Indaiatuba, 1277, Indaiatuba/SP - Brasil – CEP 13338-010

Teléfonos:

América Latina: +55 800 591 5929 > opción 6.
Brasil: 0800 591 5929 > opción 6.

Correo electrónico: dpo@topazevolution.com

Para encontrar la entidad Topaz en su país o región, consulte https://www.topazevolution.com

Declaración de privacidad de los servicios Topaz

Última actualización: abril de 2023.

Para ver nuestra declaración de privacidad general, visite la Declaración de Privacidad de Topaz, al inicio de este documento.

Información personal y datos de servicios que recopilamos

Cómo recopilamos y usamos los datos de servicios

Nombre y datos de contacto. Recopilamos su nombre y apellido, dirección de correo electrónico, dirección postal, número de teléfono y otros datos de contacto similares y necesarios durante la prestación de los servicios.
Credenciales. Recopilamos contraseñas, pistas de contraseñas e información de seguridad similar utilizada para la autenticación y el acceso a la cuenta.
Datos de soporte. Cuando usted contrata a Topaz para soporte, recopilamos datos sobre usted y su hardware, software y otros detalles relacionados con el incidente de soporte. Estos datos incluyen datos de contacto o autenticación, el contenido de sus chats y otras comunicaciones con el soporte de Topaz, datos sobre el estado de la máquina y la aplicación cuando ocurrió la falla y durante los diagnósticos, y datos de sistema y registro sobre instalaciones de software y configuraciones de hardware.
Datos del dispositivo. Recopilamos datos sobre su dispositivo y la red que utiliza para conectarse. Esto incluye datos sobre los sistemas operativos y otros programas instalados en su dispositivo, incluidas las claves de producto. También puede incluir dirección IP, identificadores de dispositivo (como el número IMEI para teléfonos), configuraciones regionales y de idioma.
Informes de errores y datos de rendimiento. Recopilamos datos sobre el rendimiento de los productos y cualquier problema que tenga con ellos. Estos datos nos ayudan a diagnosticar problemas en los productos que utiliza y a mejorar nuestros productos y proporcionar soluciones. Dependiendo del producto y la configuración, los informes de errores pueden incluir datos como el tipo o gravedad del problema, detalles del software o hardware relacionados con un error, contenido de los archivos que estaba utilizando cuando ocurrió un error y datos sobre otro software en su dispositivo. Cualquier copia de datos de servicios creada para estos fines se mantiene solo durante el tiempo necesario para estos fines.
Para cumplir con las obligaciones contractuales. Topaz puede estar obligada a retener o proporcionar acceso a los datos de servicios para cumplir con los requisitos legales de informes, divulgación u otros requisitos legales.

Razones por las que compartimos datos de servicios

Por último, accederemos, transferiremos, divulgaremos y preservaremos los datos de servicios, incluido su contenido, cuando creamos de buena fe que esto es necesario para:

Cumplir con la ley aplicable o responder a procesos legales válidos, incluidos los de organismos de aplicación de la ley u otras agencias gubernamentales;
Proteger a nuestros clientes, por ejemplo, para evitar spam o intentos de fraude a los usuarios de nuestros productos, o para ayudar a evitar la pérdida de vidas o lesiones graves a cualquier persona;
Operar y mantener la seguridad de nuestros productos, incluso para prevenir o impedir un ataque en nuestros sistemas o redes informáticas; o
Proteger los derechos o la propiedad de Topaz, incluido el cumplimiento de los términos que rigen el uso de los servicios; sin embargo, si recibimos información que indique que alguien está utilizando nuestros servicios para traficar con propiedad intelectual o física robada de Topaz, no inspeccionaremos la propiedad privada de un cliente, pero podemos remitir el asunto a las autoridades legales.

Seguridad de los datos de servicios

Topaz también está comprometida a reducir los riesgos de error humano, robo, fraude y uso indebido de sus instalaciones. Los esfuerzos de Topaz incluyen la concienciación de su personal sobre las políticas de seguridad, además de capacitarlos para implementar dichas políticas. Los empleados de Topaz están obligados a mantener la confidencialidad de los datos, mediante un acuerdo firmado en el momento de la contratación. Además de estos acuerdos de confidencialidad por escrito, las obligaciones incluyen capacitación regular sobre protección de la información y cumplimiento de las políticas de la empresa relativas a la protección de información confidencial.

Topaz evalúa y responde rápidamente a incidentes que generan sospechas de manipulación no autorizada de datos. La Dirección de Tecnología y Seguridad de la Información, el Departamento Jurídico y el Encargado del Tratamiento de Datos Personales de Topaz son informados sobre tales incidentes y, dependiendo de la naturaleza de la actividad, definen caminos de escalamiento y equipos de respuesta para gestionar los incidentes. Si Topaz determina que sus datos han sido apropiados indebidamente (incluso por un empleado) o adquiridos indebidamente por terceros, Topaz le informará prontamente sobre dicha apropiación o adquisición.

Dónde almacenamos y procesamos los datos personales

Nuestra retención de datos personales

Topaz retiene los datos personales durante el tiempo necesario para proporcionar los productos y cumplir con las transacciones que usted ha solicitado, o para otros fines esenciales, como cumplir con nuestras obligaciones legales, resolver disputas y hacer cumplir nuestros acuerdos. Cuando los datos personales son eliminados, se eliminan de los sistemas activos, pero pueden permanecer en formato de copia de seguridad hasta por un año. Los datos, ya sea en formato activo o de respaldo, serán protegidos siguiendo los mecanismos de Seguridad de la Información ya descritos anteriormente.

Ley de Privacidad del Consumidor de California – CCPA

Cambios en esta Declaración de Privacidad

Cómo contactarnos

Solicitud de acceso del titular de los datos

Nombre: Douglas Martins Silva (Encargado del Tratamiento de Protección de Datos)
Dirección: Avenida Visconde de Indaiatuba, 1277, Indaiatuba/SP - Brasil – CEP 13338-010

Teléfonos:

América Latina: +55 800 591 5929 > opción 6.
Brasil: 0800 591 5929 > opción 6.

Correo electrónico: dpo@topazevolution.com

Para encontrar la entidad Topaz en su país o región, consulte https://www.topazevolution.com

EU-U.S. Privacy Shield Framework y Swiss-U.S. Privacy Shield Framework

Topaz no depende del EU-U.S. Privacy Shield Framework como base jurídica para transferencias de datos personales a la luz de la sentencia del Tribunal de Justicia de la UE en la sumaria legal C-311/18.

Topaz cumple con el EU-U.S. Privacy Shield Framework y el Swiss-U.S. Privacy Shield Framework según lo establecido por el Departamento de Comercio de los EE. UU. en relación con la recopilación, uso y retención de información personal transferida desde la Unión Europea y Suiza a los Estados Unidos. Topaz, a través del Grupo Stefanini al que pertenece, ha certificado ante el Departamento de Comercio que sigue los Principios del Privacy Shield. Si existe algún conflicto entre los términos de esta política de privacidad y los Principios del Privacy Shield, prevalecerán los Principios del Privacy Shield. Para obtener más información sobre el programa Privacy Shield y ver nuestra certificación, visite https://www.privacyshield.gov/

La participación de Topaz en el Privacy Shield se aplica a todos los datos personales que están sujetos a la Declaración de Privacidad del Grupo Stefanini y que son recibidos de la Unión Europea, el Espacio Económico Europeo y Suiza. El Grupo Stefanini, incluyendo Topaz y sus demás subsidiarias, cumplirá con los Principios del Privacy Shield en relación con esos datos personales.

La responsabilidad de Topaz por los datos personales que recibe bajo el Privacy Shield y, posteriormente, transfiere a terceros está descrita en los Principios del Privacy Shield. En particular, Topaz sigue siendo responsable bajo los Principios del Privacy Shield si los terceros contratados para procesar los datos personales en su nombre lo hacen de manera inconsistente con los Principios, a menos que Topaz demuestre que no es responsable por el hecho que dio origen al daño.

Como se explica en la sección “Cómo contactarnos” de esta Declaración de Privacidad de Topaz, le animamos a que se comunique con nosotros si tiene una queja relacionada con el Privacy Shield (o con la privacidad en general). Si tiene una inquietud sobre privacidad o una pregunta para el Encargado del Tratamiento de Datos de Topaz, contáctenos utilizando la siguiente información de contacto.

Nombre: Douglas Martins Silva (Encargado del Tratamiento de Protección de Datos)
Dirección: Avenida Visconde de Indaiatuba, 1277, Indaiatuba/SP - Brasil – CEP 13338-010

Teléfonos:

América Latina: +55 800 591 5929 > opción 6.
Brasil: 0800 591 5929 > opción 6.

Correo electrónico: dpo@topazevolution.com

Cualquier duda o inquietud relacionada con el uso o divulgación de información personal debe dirigirse al Encargado del Tratamiento de Protección de Datos. Topaz investigará e intentará resolver reclamaciones y disputas relacionadas con el uso y divulgación de información personal de acuerdo con los principios contenidos en la declaración de privacidad. Para reclamaciones que no puedan resolverse entre Topaz y el reclamante, Topaz, a través del Grupo Stefanini al que pertenece, ha acordado participar en los procedimientos de resolución de disputas del International Center for Dispute Resolution / American Arbitration Association (“ICDR / AAA”) de acuerdo con sus reglas comerciales aplicables, así como con los Principios del EU-U.S. Privacy Shield; siempre que cualquier árbitro sea un abogado o juez jubilado con experiencia significativa y reconocida y conocimiento en cuestiones de privacidad y tecnología de la información. Consulte el sitio web del ICDR / AAA para obtener más información: http://go.adr.org/privacyshield.html. Todas las decisiones del panel de arbitraje serán definitivas y vinculantes para las partes, que renuncian a cualquier derecho de apelar la decisión arbitral, en la medida en que la apelación pueda ser legalmente renunciada. Además, Topaz utilizará a las Autoridades Europeas de Protección de Datos (DPA) como su mecanismo de recurso independiente con respecto a los datos de recursos humanos de la Unión Europea. Topaz utilizará al Comisionado Federal Suizo de Protección de Datos e Información como su mecanismo de recurso independiente con respecto a los datos de recursos humanos de Suiza.

Por último, en Brasil, Topaz seguirá estrictamente lo dispuesto en la Ley General de Protección de Datos y lo recomendado por la Autoridad Nacional de Protección de Datos, en el ámbito administrativo, además de recurrir al Foro Central de la Comarca de São Paulo, Brasil, para eventuales demandas en el ámbito judicial.

Topaz también está sujeta a la jurisdicción de la Comisión Federal de Comercio de los EE. UU. La Comisión Federal de Comercio puede ser contactada en la siguiente dirección:

Comisión Federal de Comercio
A/C: Consumer Response Center
600 Pennsylvania Avenue NW
Washington, DC 20580
EE. UU.
consumerline@ftc.gov
www.ftc.gov

APÉNDICE DE PROTECCIÓN DE DATOS

PERSONALES — DPA

Instrumento General Aplicable a los Clientes de Topaz

TOPAZ PARTICIPAÇÕES S.A., registrada en el CNPJ/MF bajo el número 42.385.707/0001-03, con sede en Av. El Vizconde de Indaiatuba, 1277, Indaiatuba/SP, Brasil, entendido como la empresa empresarial y sus filiales y sucursales que mantienen relaciones contractuales con proveedores y proveedores de servicios, en adelante denominados "TOPAZ", publica por la presente este Adenda de Protección de Datos Personales (en adelante, "DPA"), un instrumento general aplicable a sus relaciones contractuales con los clientes (cada uno, en adelante, "CLIENTE"), bajo los siguientes términos.

CONSIDERANDO QUE:

(i) TOPAZ mantiene relaciones contractuales con diversos clientes, formalizadas mediante instrumentos contractuales específicos, incluyendo, sin limitación, acuerdos de software como servicio (SaaS), licencias, mantenimiento, soporte y acuerdos relacionados (cada uno, en adelante, el "Acuerdo Maestro");

(ii) la ejecución de los Acuerdos Principales implica, directa o indirectamente, el Tratamiento, por parte de TOPAZ, de Datos Personales cuya propiedad de toma de decisiones pertenezca al CLIENTE o a los titulares que él atenda;

(iii) una parte relevante de los Acuerdos Marcos vigentes no incluye cláusulas específicas y adecuadas sobre la privacidad y protección de los datos personales, o las incompleta según la legislación aplicable;

(iv) la Ley General de Protección de Datos (Ley nº 13.709/2018 – "LGPD"), el Reglamento General de Protección de Datos de la Unión Europea (Reglamento de la UE 2016/679 – "RGPD") y otras leyes aplicables imponen el deber de regular contractualmente las condiciones de Tratamiento de Datos Personales entre responsables y tratadores;

(v) TOPAZ está certificada en las normas ISO/IEC 27001 e ISO/IEC 27701 y mantiene un sólido programa de gobernanza en privacidad y seguridad de la información, comprometiéndose a ofrecer a sus clientes estándares compatibles con dichas certificaciones;

(vi) TOPAZ promoverá, en los próximos meses, la formalización de modificaciones contractuales específicas con sus clientes cuyos Contratos Principales no incluyan cláusulas adecuadas relativas a la protección de los Datos Personales; sin embargo, es necesario contar con un instrumento general que regule, a partir de ahora, el Tratamiento de Datos Personales dentro del marco de dichas relaciones contractuales;

El CLIENTE, al continuar utilizando los servicios contratados con TOPAZ tras la disponibilidad de esta DPA, se adhiere plena e incondicionalmente a sus disposiciones, que pasan a formar parte del Acuerdo Principal por la adherencia resultante de la continuidad de la relación contractual, sin perjuicio de la posterior formalización de una enmienda contractual específica, mediante las siguientes cláusulas y condiciones:

CLÁUSULA 1 — DEFINICIONES

1.1. A efectos de esta DPA, los términos a continuación, siempre que estén en mayúscula, tendrán los siguientes significados:

(a) "Autoridad Competente": la Autoridad Nacional de Protección de Datos (ANPD) en Brasil y cualquier otra autoridad nacional o supranacional con competencia supervisora en materia de protección de datos personales;

(b) "CLIENTE": cualquier persona, persona física o jurídica, que mantenga una relación contractual vigente con TOPAZ, como tomador de servicios o licenciatario de software proporcionado por TOPAZ;

(c) "Acuerdo Maestro": el instrumento contractual o conjunto de instrumentos contractuales vigentes entre TOPAZ y el CLIENTE, a través del cual TOPAZ proporciona servicios o licencia software al CLIENTE;

(d) "Datos Personales": cualquier información relacionada con una persona física identificada o identificable, conforme a la Ley Aplicable, que esté sujeta a Tratamiento por parte de TOPAZ en el marco del Acuerdo Principal;

(e) "Datos personales sensibles": datos personales sobre origen racial o étnico, creencias religiosas, opiniones políticas, afiliación sindical u organización religiosa, filosófica o política, datos relacionados con la salud o vida sexual, datos genéticos o biométricos, cuando están vinculados a una persona física;

(f) "Persona Responsable" o "DPO": persona designada para actuar como canal de comunicación con los Titulares de Datos y la Autoridad Competente, conforme a la Legislación Aplicable;

(g) "Incidente": cualquier evento, confirmado o sospechoso, que pueda conducir a acceso, pérdida, alteración, comunicación, destrucción o cualquier otra forma de tratamiento inapropiado o ilegal de datos personales;

(h) "Instrucciones Documentadas": las instrucciones del CLIENTE relativas al Tratamiento de Datos Personales, contenidas en el Acuerdo Maestro, sus anexos, la documentación técnica del servicio o comunicaciones formales posteriores;

(i) "Ley aplicable": el conjunto de leyes, reglamentos, normas, directrices y decisiones vinculantes relativas a la privacidad y protección de los datos personales aplicables al cumplimiento del Acuerdo Marco, incluyendo, sin limitación, la LGPD, el RGPD y las leyes nacionales específicas de cada país implicadas en el Tratamiento;

(j) "Partes": TOPAZ y CLIENTE, conjuntamente;

(k) "Portal de Privacidad": portal mantenido por TOPAZ, accesible en [dirección], donde están disponibles sus políticas, avisos y canales de contacto sobre privacidad y protección de datos personales;

(l) "Subprocesador": cualquier tercero contratado por TOPAZ para procesar Datos Personales en su nombre, dentro del alcance del cumplimiento del Acuerdo Marco;

(m) "Persona Sujeta": persona física a la que se refieren los Datos Personales Titulares a Tratamiento;

(n) "TOPAZ": la empresa [nombre corporativo] y sus filiales que mantienen una relación contractual con el CLIENTE;

(o) "Procesamiento": cualquier operación realizada con Datos Personales, según lo definido por la Ley Aplicable.

1.2. Otros términos utilizados en esta DPA, cuando no estén expresamente definidos, tendrán el significado que les otorga la Ley Aplicable.

CLÁUSULA 2 — OBJETO, NATURALEZA JURÍDICA Y ADHESIÓN

2.1. El propósito de esta APD es establecer, de manera general y uniforme, las condiciones, obligaciones y responsabilidades aplicables al Tratamiento de Datos Personales llevado a cabo por TOPAZ bajo el Acuerdo Técnico, conforme a la Ley Aplicable.

2.2. Esta DPA es un instrumento general de adhesión, aplicable a todos los clientes de TOPAZ cuyos Acuerdos Marcos vigentes no incluyan cláusulas específicas y adecuadas sobre la protección de los Datos Personales, y forma parte del Acuerdo Marco por adhesión resultante de la continuidad del uso de los servicios por parte del CLIENTE tras su disponibilidad por parte de TOPAZ.

2.3. La continuidad del uso de los servicios por parte del CLIENTE, tras la disponibilidad de esta APD, constituye la aceptación plena e incondicional de sus disposiciones, conforme al artículo 111 del Código Civil brasileño y de los usos establecidos en las relaciones comerciales, sin perjuicio de la posterior formalización de una enmienda contractual específica, tal y como se dispone en el punto 5 de la comunicación institucional de TOPACI.

2.4. Esta APD no se aplica a los Acuerdos Marcos que ya contienen cláusulas específicas y adecuadas sobre la protección de los Datos Personales, salvo en lo que sea complementario y no entre en conflicto con las disposiciones existentes.

2.5. En caso de conflicto entre las disposiciones del Acuerdo Maestro, esta DPA y la Ley Aplicable, prevalecerá el siguiente orden jerárquico: (a) la Ley Aplicable; (b) esta DPA; y (c) el Acuerdo Marco, excepto en el caso de la Cláusula 2.4.

2.6. En caso de promulgación o modificación de cualquier ley o reglamento aplicable al Tratamiento de Datos Personales, TOPAZ podrá adaptar esta APD publicando una nueva versión en su Portal de Privacidad.

CLÁUSULA 3 — ROLES DE LAS PARTES

3.1. Las Partes reconocen que, en virtud del Acuerdo Marco:

(a) por regla general, el CLIENTE actúa como responsable de los Datos Personales, siendo asignado a las decisiones sobre los propósitos y medios esenciales del Tratamiento, y TOPAZ actúa como operador, realizando el Tratamiento en nombre y en nombre del CLIENTE, dentro de los límites de las Instrucciones Documentadas;

(b) excepcionalmente, en casos específicos previstos en la Propuesta Comercial, en anexos del Acuerdo Marco o en comunicaciones formales entre las Partes, TOPAZ y el CLIENTE pueden actuar como controladores independientes, en cuyo caso el

(c) cualquier hipótesis de co-control dependerá de una disposición expresa y formalización por escrito entre las Partes, con una clara indicación de sus respectivas responsabilidades.

3.2. La clasificación específica de cada operación de procesamiento se determinará por su naturaleza, propósito y elementos fácticos verificables, independientemente del nombre contractual que finalmente se asigne.

3.3. TOPAZ tratará exclusivamente los Datos Personales de acuerdo con las Instrucciones Documentadas del CLIENTE. Si TOPAZ entiende que cualquier instrucción recibida viola la Ley Aplicable, notificará rápidamente al CLIENTE, quien podrá, a su discreción, ajustar la instrucción o rescindir el Acuerdo Principal sin coste adicional.

CLÁUSULA 4 — DATOS PROCESADOS, PROPÓSITOS Y DURACIÓN

4.1. TOPAZ solo tratará los Datos Personales necesarios para la ejecución del objeto del Acuerdo Principal, respetando los principios de propósito, adecuación y necesidad.

4.2. Las categorías de Datos Personales tratados, las categorías de Titulares de Datos implicadas y los fines específicos del Tratamiento corresponden a los derivados del objeto del Acuerdo Principal, y pueden detallarse en un documento complementario o en la documentación técnica del servicio.

4.3. La duración del Tramitación corresponderá a la duración del Acuerdo Principal, sin perjuicio de las obligaciones que, por su naturaleza, deben subsistir tras su finalización, conforme a los términos de la Cláusula 14.

4.4. El CLIENTE declara y garantiza a TOPAZ que cuenta con una base legal adecuada para la recopilación y el intercambio de Datos Personales con TOPAZ, así como para los fines de Tratamiento previstos en el Acuerdo Principal, siendo responsable del cumplimiento de su propio Tratamiento ante los Titulares de los Datos y la Autoridad Competente.

CLÁUSULA 5 — REPRESENTACIONES Y GARANTÍAS DE TOPAZ

5.1. TOPAZ declara y garantiza al CLIENTE que:

(a) cumple plenamente con la Legislación Aplicable en todas las operaciones de tratamiento realizadas bajo el Acuerdo Principal, incluyendo la Constitución Federal, el Código de Protección al Consumidor, el Código Civil, el Marco de Derechos Civiles para Internet (Ley nº 12.965/2014), la LGPD, el RGPD y otras normas sectoriales o generales sobre la protección de los Datos Personales que estén vigentes o estarán vigentes durante el periodo del Acuerdo Principal;

(b) adopta y mantiene las medidas técnicas, físicas y administrativas adecuadas para la protección de los Datos Personales, en línea con las mejores prácticas del mercado y compatibles con su certificación en las normas ISO/IEC 27001 e ISO/IEC 27701;

(c) mantiene un programa de gobernanza de privacidad compatible con la naturaleza, volumen y sensibilidad de los Datos Personales tratados, incluyendo política de privacidad, formación continua de empleados, controles de acceso y plan de respuesta a incidentes;

(d) tiene una Persona Responsable formalmente designada, cuyos datos de contacto están disponibles en su Portal de Privacidad.

5.2. TOPAZ se compromete, según sea el caso, a modificar el Acuerdo Principal para adaptarlo a los cambios en la Legislación Aplicable que puedan ocurrir durante su vigencia.

CLÁUSULA 6 — OBLIGACIONES ESPECÍFICAS DE TOPAZ COMO TRANSPORTISTA

6.1. Como operador, TOPAZ se compromete a:

(a) procesar los Datos Personales únicamente conforme a las Instrucciones Documentadas del CLIENTE y en la medida estrictamente necesaria para el cumplimiento del Acuerdo Marco;

(b) no leer, copiar, modificar, transferir ni eliminar Datos Personales sin la autorización expresa por escrito del CLIENTE, salvo en las operaciones inherentes a la ejecución normal del Acuerdo Maestro;

(c) no tratar Datos Personales para fines propios ni para fines distintos a los establecidos por el CLIENTE, salvo en casos de Tratamiento de datos estadísticos agregados, anonimizados y no vinculados de cualquier Sujeto de datos, con el fin de mejorar los servicios y la seguridad de la plataforma;

(d) garantizar la confidencialidad de los Datos Personales por parte de sus empleados, agentes y subprocesadores autorizados, mediante términos de confidencialidad cuya eficacia persista tras la finalización de la relación respectiva;

(e) formar y orientar a sus empleados y agentes sobre las disposiciones legales aplicables y las políticas internas de privacidad y seguridad;

(f) garantizar que el acceso a los Datos Personales se base en el principio del mínimo necesario, restringido a empleados, agentes y subprocesadores cuyo desempeño sea indispensable para el cumplimiento del Acuerdo Principal;

(g) mantener registros completos y precisos de las operaciones de procesamiento que realiza, conforme al artículo 37 de la LGPD y al artículo 30 del RGPD, poniéndolas a disposición del CLIENTE a solicitud razonada;

(h) cooperar con el CLIENTE en auditorías, investigaciones y notificaciones que puedan ser necesarias para la Autoridad Competente y los Titulares de Datos, Titulares a lo dispuesto en las Cláusulas 10 y 12;

(i) informar al CLIENTE con antelación en caso de una orden judicial, administrativa o regulatoria que determine la entrega o divulgación de Datos Personales, salvo que la ley lo esté expresamente prohibido;

(j) notificar al CLIENTE si considera que alguna Instrucción Documentada viola la Ley Aplicable, según la Sección 3.3.

CLÁUSULA 7 — MEDIDAS TÉCNICAS Y ORGANIZATIVAS DE SEGURIDAD

7.1. TOPAZ adopta y mantiene las medidas técnicas, físicas y administrativas adecuadas para proteger los Datos Personales frente al acceso no autorizado, destrucción, pérdida, alteración, comunicación o divulgación indebida, al menos:

(a) mecanismos de autenticación para el acceso a sistemas y bases de datos, incluyendo, cuando sea técnicamente factible, la autenticación multifactor;

(b) medidas de anonimización, seudónimo o cifrado, según corresponda a la naturaleza de los datos personales;

(c) recursos que permitan la restauración de la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente;

(d) procesos continuos de verificación, prueba y evaluación de la efectividad de las medidas adoptadas;

(e) mantenimiento de inventario y registros de acceso, que contengan fecha, hora, duración, identidad del agente e identificación del recurso al que se accede, por un periodo mínimo de seis (6) meses o por el periodo legal aplicable, lo que sea más largo;

(f) segregación lógica de los datos personales de cada CLIENTE, para evitar accesos cruzados no autorizados;

(g) análisis periódicos de riesgos, pruebas de vulnerabilidad y auditorías internas, con la adopción de medidas de mitigación adecuadas;

(h) mantenimiento de las certificaciones ISO/IEC 27001 e ISO/IEC 27701, o certificaciones equivalentes que puedan reemplazarlas.

7.2. TOPAZ pondrá a disposición del CLIENTE, previa solicitud fundamentada, resúmenes de sus medidas técnicas y organizativas, certificaciones vigentes e informes de auditoría externa, en cumplimiento de las normas de confidencialidad aplicables.

CLÁUSULA 8 — SUBPROCESADORES

8.1. El CLIENTE autoriza, en general, a TOPAZ a involucrar a los Subprocesadores en el Tratamiento de Datos Personales, siempre que estén obligados por un instrumento escrito que imponga obligaciones al menos equivalentes a las previstas en esta DPA.

8.2. TOPAZ mantiene, en su Portal de Privacidad, una lista actualizada de subprocesadores autorizados implicados en el Tratamiento de Datos Personales.

8.3. TOPAZ notificará al CLIENTE, al menos treinta (30) días antes, sobre cambios en la lista de Suboperadores, permitiéndole objetar con motivos dentro de este periodo. En caso de que la objeción del CLIENTE sea considerada legítima por TOPAZ y la contratación del Subprocesador sea indispensable para la ejecución del Acuerdo Principal, las Partes negociarán alternativas de buena fe; si el estancamiento persiste, el CLIENTE podrá rescindir el Acuerdo Principal sin coste adicional.

8.4. TOPAZ sigue siendo plenamente responsable ante el CLIENTE de los actos y omisiones de sus Subprocesadores en materia de protección de datos personales.

CLÁUSULA 9 — TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES

9.1. TOPAZ podrá llevar a cabo transferencias internacionales de Datos Personales, incluyendo para fines de almacenamiento en la nube o de contratación de subprocesadores, en estricta conformidad con las hipótesis legales previstas en el artículo 33 del LGPD, el Capítulo V del RGPD y otras normativas de la Autoridad Competente, incluyendo, según el caso, cláusulas contractuales estándar, normas corporativas vinculantes (BCRs) u otros mecanismos reconocidos.

9.2. TOPAZ documentará todas las transferencias internacionales realizadas, poniendo a disposición del CLIENTE, previa solicitud fundamentada, información sobre los países de destino, las bases legales utilizadas y las salvaguardas adoptadas.

9.3. El CLIENTE puede, mediante una notificación fundamentada, oponerse a transferencias internacionales específicas que considere comprometer la protección adecuada de los Datos Personales, en cuyo caso se aplica el procedimiento de la Cláusula 8.3, según corresponda.

CLÁUSULA 10 — DERECHOS DE LOS TITULARES DE DATOS Y COOPERACIÓN

10.1. El CLIENTE, como responsable, es principalmente responsable de atender las solicitudes de los Titulares de los Datos y las solicitudes de la Autoridad Competente.

10.2. TOPAZ proporcionará al CLIENTE todo el soporte técnico y operativo necesario para cumplir dichas solicitudes, respetando los siguientes plazos máximos de respuesta, contados desde la recepción de la solicitud del CLIENTE:

(a) inmediatamente, en casos urgentes o que impliquen Incidentes;

(b) en un plazo de setenta y dos (72) horas, en casos relacionados con el ejercicio de derechos por parte de los TItulares de Datos o solicitudes de la Autoridad Competente;

10.3. TOPAZ tiene prohibido responder directamente a los Titulares de Datos o a la Autoridad Competente sin autorización previa y expresa del CLIENTE, salvo en los casos en que la Legislación Aplicable determine una acción diferente o en que la solicitud se refiera a Datos Personales cuyo control pertenezca a la propia TOPAZ.

10.4. TOPAZ notificará prontamente al CLIENTE sobre (i) cualquier solicitud legalmente vinculante de divulgación de datos personales realizada por una autoridad, salvo una prohibición legal de comunicación; y (ii) cualquier solicitud recibida directamente de los Titulares de Datos respecto a los Datos Personales bajo el control del CLIENTE.

CLÁUSULA 11 – RESPUESTA A INCIDENTES

11.1. TOPAZ notificará por escrito al CLIENTE cualquier Incidente que pueda afectar a los Datos Personales tratados bajo el Acuerdo Principal, en un plazo no superior a 24 (veinticuatro) horas desde el conocimiento del Incidente.

11.2. La notificación deberá contener al menos:

(a) la fecha, hora y lugar del Incidente, o su primera indicación;

(b) fecha y hora del conocimiento del incidente por parte de TOPAZ;

(d) categorías y volumen aproximado de Datos Personales y Datos de los Titulares de Datos afectados;

(e) descripción de las posibles consecuencias del Incidente;

(f) medidas adoptadas o propuestas para la contención, mitigación y remediación;

(g) datos de contacto de la persona responsable o de la persona responsable de la información.

11.3. TOPAZ adoptará inmediatamente las medidas adecuadas para corregir, contener y mitigar el Incidente, cooperando plenamente con el CLIENTE en la investigación, remediación y notificación eventual a los Titulares y Autoridad Competente.

11.4. TOPAZ mantendrá registros detallados de todos los Incidentes, poniéndolos a disposición del CLIENTE a solicitud razonada.

CLÁUSULA 12 – AUDITORÍA Y VERIFICACIÓN DEL CUMPLIMIENTO

12.1. El CLIENTE puede verificar el cumplimiento de TOPAZ con las obligaciones establecidas en esta DPA, preferentemente a través de los siguientes mecanismos:

(a) análisis de informes de auditoría externa de las certificaciones ISO/IEC 27001 e ISO/IEC 27701 disponibles por TOPAZ;

(b) respuesta a los cuestionarios de cumplimiento enviados por el CLIENTE, a intervalos razonables;

12.2. Si los mecanismos previstos en la Cláusula 12.1 son considerados insuficientes por el CLIENTE en situaciones justificadas — especialmente ante un Incidente relevante o determinación de la Autoridad Competente — podrá realizar una auditoría presencial o remota, directamente o por terceros contratados bajo un acuerdo de confidencialidad, sujeto a las siguientes condiciones:

(a) aviso previo de al menos quince (15) días hábiles, salvo en casos de urgencia;

(b) el desempeño durante el horario laboral y para minimizar la interferencia en las actividades habituales de TOPAZ;

(d) prohibición del acceso a datos de otros clientes de TOPAZ o a información cubierta por secretos comerciales no relacionados con el Acuerdo Marco;

(e) costes asumidos por el CLIENTE, salvo en caso de que se encuentre un incumplimiento relevante, en el que los costes serán asumidos por TOPAZ.

CLÁUSULA 13 — CONTROL INDEPENDIENTE

13.1. En los casos excepcionales en los que, según el Acuerdo Marco, ambas partes actúen como responsables independientes de los datos personales:

(a) cada Parte será responsable del cumplimiento de su propio Tratamiento, incluyendo la definición de las bases legales adecuadas, el mantenimiento de sus propios avisos de privacidad y el respeto de los derechos de los Titulares de Datos;

(b) cada Parte será responsable de los actos y omisiones de sus respectivos operadores;

(c) las Partes informarán de forma clara y transparente a los Titulares de Datos de cualquier transferencia, divulgación o intercambio de Datos Personales entre sí, obteniendo, cuando lo requiera la Ley Aplicable, las bases legales aplicables;

(d) las Partes cooperarán de buena fe para responder a incidentes que afecten a ambos, coordinando, siempre que sea posible, las comunicaciones con los Titulares de los Datos y la Autoridad Competente.

13.2. Las demás disposiciones de esta APD se aplicarán alternativamente, según corresponda, a la hipótesis de la responsabilidad independiente.

CLÁUSULA 14 — TERMINACIÓN DEL PROCESAMIENTO

14.1. Una vez que el Procesamiento previsto en el Acuerdo Principal sea terminado, por cualquier motivo, TOPAZ, según las instrucciones del CLIENTE:

(a) devolver todos los datos personales al CLIENTE, en un formato estructurado e interoperable y dentro de un plazo razonable; o

(b) transferir los datos personales a un nuevo proveedor designado por el CLIENTE, de acuerdo con la forma y el plazo especificados por el CLIENTE; e

(c) eliminar irreversiblemente todas las copias y salvaguardas en su infraestructura y en la de sus Subprocesadores autorizados, salvo las retenciones legalmente requeridas.

14.2. En ausencia de instrucción expresa del CLIENTE en un plazo de 60 (sesenta) días desde la finalización del Acuerdo Principal, TOPAZ procederá a la eliminación de los Datos Personales, respetando las disposiciones de la Cláusula 14.1(c).

14.3. Las obligaciones de esta DPA subsistirán mientras TOPAZ tenga acceso, posesión o capacidad para llevar a cabo operaciones de tratamiento relacionadas con los Datos Personales del CLIENTE, incluso después de la finalización del Acuerdo Marco.

14.4. TOPAZ conservará registros y pruebas de la devolución o eliminación de datos personales, poniéndolos a disposición del CLIENTE a petición.

CLÁUSULA 15 — RESPONSABILIDAD E INDEMNIZACIÓN

15.1. Sin perjuicio del régimen de responsabilidad civil establecido por la Legislación Aplicable, en particular los art. 42 a 45 de la LGPD, cada Parte será responsable, en la medida de su conducta respectiva, por pérdidas y daños — incluidos daños morales y materiales, pérdidas de beneficios, multas administrativas y otras sanciones impuestas por la Autoridad Competente — derivados del incumplimiento de las obligaciones establecidas en este DPA, el Acuerdo Marco y la Legislación Aplicable.

15.2. La Parte que, en virtud de la Ley Aplicable, sea solidariamente responsable ante el Sujeto de los Datos o la Autoridad Competente por un hecho atribuible a la conducta de la otra Parte, tendrá derecho a plena recurrencia contra esta última, en función de la responsabilidad correspondiente establecida, incluyendo honorarios de abogado, costes y otros gastos relacionados.

15.3. La indemnización prevista en esta Cláusula abarca, sin limitación: (i) multas administrativas y sanciones impuestas por la Autoridad Competente; (ii) condenas y acuerdos judiciales; (iii) honorarios de abogados, peritos y notariales; (iv) los costes de notificación a los Titulares de Datos y a la Autoridad Competente; y (v) otros gastos necesarios para reparar el evento.

15.4. Las obligaciones de indemnización conforme a esta Sección no están sujetas a ninguna limitación de responsabilidad que pueda establecerse en el Acuerdo Marco, respecto a eventos derivados de la intención o negligencia grave de la Parte responsable, o del incumplimiento intencionado de una obligación material bajo esta DPA.

CLÁUSULA 16 — TÉRMINOS Y ACTUALIZACIONES

16.1. Esta DPA entrará en vigor en la [fecha] y será efectiva por un periodo indefinido, sujeto al plazo de cada Acuerdo Marco, así como al periodo posterior en el que permanezcan las obligaciones relativas a los datos personales, según la Cláusula 14.

16.2. El uso continuado de los servicios por parte del CLIENTE, tras la disponibilidad de esta DPA, constituye una adhesión plena e incondicional a sus disposiciones.

16.3. TOPAZ puede, en cualquier momento, publicar una nueva versión de esta DPA en su Portal de Privacidad, como resultado de cambios en la Legislación Aplicable, en las mejores prácticas del mercado o en su política interna de privacidad. TOPAZ notificará al CLIENTE, por escrito, cualquier actualización sustancial, al menos treinta (30) días antes de su entrada en vigor, durante la cual el CLIENTE podrá manifestarse o rescindir el Acuerdo Principal sin coste alguno, si entiende que la nueva versión compromete sus intereses legítimos.

16.4. Esta DPA puede ser sustituida, para un CLIENTE específico, por una enmienda contractual firmada entre las Partes, en cuyo caso prevalecerán las disposiciones del nuevo instrumento en relación con ese CLIENTE. Según el punto 5 de la comunicación institucional de TOPACI, TOPAZ contactará con el CLIENTE en los próximos meses para formalizar la actualización contractual correspondiente, mediante una enmienda específica.

CLÁUSULA 17 — DISPOSICIONES GENERALES

17.1. Esta APD estará regida por las leyes de la República Federativa de Brasil, y la jurisdicción indicada en el Acuerdo Principal será competente para la resolución de cualquier disputa derivada de su aplicación, con exención expresa de cualquier otra, por privilegiada que sea.

17.2. La eventual invalidez o ineficacia de cualquier disposición de esta DPA no afectará a las demás, que permanecerán plenamente válidas y efectivas.

17.3. La tolerancia o inercia de cualquiera de las partes respecto al incumplimiento de las obligaciones por parte de la otra no constituirá una renuncia, novación o enmienda de las disposiciones de esta DPA.

17.4. Cualquier notificación derivada de esta DPA será enviada a las personas de contacto indicadas en el Acuerdo Marco o, en su ausencia, a la persona responsable de cada Parte, siendo el canal oficial de TOPAZ el que se pone a disposición en su Portal de Privacidad.

17.5. En caso de discrepancia entre las diferentes versiones lingüísticas de esta DPA, prevalecerá la versión en portugués.

TOPAZ PARTICIPAÇÕES S.A.

Documento publicado el 22 de mayo de 2026 y puesto a disposición en https://www.topazevolution.com/portal-de-privacidade.

La continuidad del uso de los servicios por parte del CLIENTE después de esta fecha constituye una adhesión plena e incondicional a esta DPA, sin perjuicio de la posterior formalización de una enmienda contractual específica, según el calendario comunicado por TOPAZ.

TÉRMINO DE COMPROMISO Y TRATAMIENTO DE DATOS PERSONALES

Instrumento General Aplicable a Proveedores y Proveedores de Servicios de Topaz

TOPAZ PARTICIPAÇÕES S.A., registrado en el CNPJ/MF bajo el número 42.385.707/0001-03, con sede en Av. Vizconde de Indaiatuba, 1277, Indaiatuba/SP, Brasil, entendida como la empresa y sus filiales y sucursales que mantienen relaciones contractuales con proveedores y proveedores de servicios, en adelante denominados "TOPAZ", emite por la presente este Plazo de Compromiso y Tratamiento de Datos Personales (en adelante, "TCTD"), un instrumento general aplicable a sus relaciones con proveedores y proveedores de servicios (cada uno, en adelante, "PROVEEDOR"), como sigue.

CONSIDERANDO QUE:

(i) las Partes mantienen una relación contractual vigente, formalizada por uno o más instrumentos contractuales (en adelante, el "Acuerdo Maestro"), mediante la cual el PROVEEDOR presta servicios o productos a TOPAZ;

(ii) la ejecución del Acuerdo Marco implica, directa o indirectamente, el tratamiento de datos personales bajo la responsabilidad de TOPAZ o sus clientes;

(iii) el Acuerdo Principal, en su redacción actual, no incluye cláusulas específicas y adecuadas sobre la privacidad y protección de los datos personales, o las incompleta conforme a la legislación aplicable;

(iv) la Ley General de Protección de Datos (Ley nº 13.709/2018 – "LGPD"), el Reglamento General de Protección de Datos de la Unión Europea (Reglamento de la UE 2016/679 – "RGPD") y otra legislación aplicable imponen a las Partes el deber de regular contractualmente las condiciones para el tratamiento de datos personales;

(v) TOPAZ está certificada según ISO/IEC 27001 e ISO/IEC 27701 y debe extender controles equivalentes a sus proveedores y proveedores de servicios;

(vi) TOPAZ promoverá en los próximos meses la formalización de modificaciones contractuales específicas con sus proveedores, sin embargo, es necesario disponer de un instrumento provisional que regule, a partir de ahora, el tratamiento de datos personales dentro del marco de la relación contractual vigente;

El PROVEEDOR, al continuar prestando servicios o suministrando productos a TOPAZ tras la disponibilidad de este TCTD, cumple total e incondicionalmente con sus disposiciones, que pasan a formar parte del Acuerdo Principal por adhesión resultante de la continuidad de la relación contractual, mediante las siguientes cláusulas y condiciones:

CLÁUSULA 1 — DEFINICIONES

1.1. A efectos de este TCTD, los términos a continuación, siempre que estén en mayúscula, tendrán los siguientes significados:

(a) "Autoridad competente": la Autoridad Nacional de Protección de Datos (ANPD) en Brasil y cualquier otra autoridad nacional o supranacional con competencia supervisora en materia de protección de datos personales;

(b) "Datos Personales": cualquier información relacionada con una persona física identificada o identificable, según los términos de la legislación aplicable;

(c) "Datos personales sensibles": datos personales sobre origen racial o étnico, creencias religiosas, opiniones políticas, pertenencia sindical u organización religiosa, filosófica o política, datos relacionados con la salud o la vida sexual, datos genéticos o biométricos, cuando están vinculados a una persona natural;

(d) "Persona responsable" o "DPO": persona designada por las Partes para actuar como canal de comunicación con los Sujetos de Datos y la Autoridad Competente, conforme a la legislación aplicable;

(e) "Incidente": cualquier evento, confirmado o sospechado, que pueda conducir a acceso, pérdida, alteración, comunicación, destrucción o cualquier otra forma de tratamiento inapropiado o ilegal de Datos Personales;

(f) "Ley aplicable": el conjunto de leyes, reglamentos, normas, directrices y decisiones vinculantes sobre privacidad y protección de los datos personales aplicables al cumplimiento del Acuerdo Marco, incluyendo, sin limitación, la LGPD, el RGPD y las leyes nacionales específicas de cada país implicadas en el tratamiento;

(g) "Subprocesador": cualquier tercero contratado por el PROVEEDOR para procesar Datos Personales en su nombre, dentro del alcance del cumplimiento del Acuerdo Marco;

(h) "Sujeto de los datos": persona física a la que se refieren los datos personales sujetos a tratamiento;

(i) "TOPAZ": la empresa [nombre corporativo] y sus filiales que mantienen una relación contractual con el PROVEEDOR;

(m) "Procesamiento": cualquier operación realizada con Datos Personales, según lo definido por la Ley Aplicable.

1.2. Los demás términos utilizados en este TCTD, cuando no estén expresamente definidos, tendrán el significado que les atribuirá la Ley Aplicable.

CLÁUSULA 2 — OBJETO Y NATURALEZA JURÍDICA

2.1. El propósito de este TCTD es establecer las condiciones, obligaciones y responsabilidades de las Partes en relación con el Tratamiento de Datos Personales realizado bajo el Acuerdo Marco, conforme a la Ley Aplicable.

2.2. Esta TCTD forma parte del Contrato Principal por adhesión resultante de la continuidad de la prestación de servicios tras su disponibilidad por parte de TOPAZ al PROVEEDOR, sin perjuicio de la posterior formalización de una enmienda contractual específica.

2.3. La continuidad de la prestación de servicios o el suministro de productos por parte del PROVEEDOR a TOPAZ, tras la disponibilidad de este TCTD, constituye una aceptación plena e incondicional de sus disposiciones, bajo los términos del artículo 111 del Código Civil brasileño y los usos establecidos en las relaciones comerciales.

2.4. En caso de conflicto entre las disposiciones del Acuerdo Marco, este TCTD y la Ley Aplicable, prevalecerá el siguiente orden jerárquico: (a) la Ley Aplicable; (b) este TCTD; y (c) el Acuerdo Maestro.

2.5. En caso de promulgación o modificación de cualquier ley o reglamento aplicable al Tratamiento de Datos Personales, las Partes se comprometen a adaptar, de buena fe, el Acuerdo Principal y este TCTD, para garantizar el cumplimiento continuado de la Ley Aplicable.

CLÁUSULA 3 — ROLES DE LAS PARTES

3.1. A efectos de este TCTD, las Partes reconocen que, dependiendo de la naturaleza específica de cada operación de Procesamiento realizada dentro del alcance del Acuerdo Principal, la relación entre ellas puede establecer una de las siguientes hipótesis:

(a) TOPAZ como responsable y PROVEEDOR como procesador, hipótesis regulada por las Cláusulas 4 a 12 y 14 a 18 de este TCTD;

(b) TOPAZ y PROVEEDOR como controladores independientes, una hipótesis regulada por la Cláusula 13 de este TCTD, sin perjuicio de la aplicación subsidiaria de otras disposiciones compatibles.

CLÁUSULA 4 — DATOS PROCESADOS, PROPÓSITOS Y DURACIÓN

4.1. El PROVEEDOR tratará exclusivamente los Datos Personales necesarios para la ejecución del objeto del Acuerdo Principal, respetando los principios de propósito, adecuación y necesidad.

4.2. Las categorías de Datos Personales tratados, las categorías de Titulares de los Datos implicadas y los fines específicos del Tratamiento corresponden a los derivados del objeto del Acuerdo Principal, y pueden detallarse en un documento complementario firmado entre las Partes, siempre que sea necesario.

CLÁUSULA 5 — DECLARACIONES Y GARANTÍAS

5.1. Las partes declaran y justifican mutuamente que:

(a) cumplirán plenamente con la Ley Aplicable en todas las operaciones de procesamiento realizadas bajo el Acuerdo Marco;

(b) adoptar y mantener medidas técnicas y organizativas adecuadas para proteger los datos personales;

(c) mantener un programa de gobernanza de privacidad compatible con la naturaleza, volumen y sensibilidad de los Datos Personales tratados;

(d) deberá disponer de un plan de respuesta a incidentes y procedimientos para identificar, contener y remediar dichos eventos.

5.2. TOPAZ declara y garantiza específicamente que:

(a) el tratamiento de datos personales realizado por él, desde la recogida hasta su posterior compartición con el PROVEEDOR, cumple con la Legislación aplicable;

(b) las instrucciones proporcionadas al PROVEEDOR para el Tratamiento de Datos Personales son compatibles con la Legislación Aplicable;

(c) compartir con el PROVEEDOR solo aquellos Datos Personales que sean estrictamente necesarios para el cumplimiento del Acuerdo Marco.

5.3. El PROVEEDOR declara y garantiza específicamente que:

(a) mantendrá la absoluta confidencialidad sobre los Datos Personales a los que tiene acceso, extendiendo dicha obligación a sus empleados, agentes y subprocesadores autorizados, responsables civil, administrativa y penalmente por divulgación o uso indebido no autorizado;

(b) respetará estrictamente los derechos de los Titulares de los Datos y las instrucciones de TOPAZ en el Tratamiento de Datos Personales;

(c) notificar inmediatamente a TOPAZ si considera que cualquier instrucción proporcionada por TOPAZ viola la Ley Aplicable, en cuyo caso TOPAZ puede suspender la transferencia de datos personales y/o rescindir el Acuerdo Marco sin ningún cargo adicional;

(d) mantener registros completos y precisos de las operaciones de procesamiento que realiza conforme a la Cláusula 7;

(e) deberá cumplir con las políticas de privacidad de TOPAZ disponibles en su Portal de Privacidad, haciéndolas cumplir por sus empleados, agentes y subprocesadores autorizados.

CLÁUSULA 6 – OBLIGACIONES ESPECÍFICAS DEL PROVEEDOR COMO COMERCIANTE

6.1. El PROVEEDOR tiene prohibido tratar Datos Personales para cualquier propósito distinto a los establecidos en el Acuerdo Marco o en las instrucciones documentadas de TOPAZ.

6.2. Cualquier incumplimiento de las disposiciones de la Cláusula 6.1 constituirá un incumplimiento grave del contrato, que autoriza a TOPAZ a rescindir inmediatamente el Acuerdo Principal, sin perjuicio de las indemnizaciones aplicables y de la aplicación de la multa no compensatoria prevista en la Cláusula 15.

6.3. El PROVEEDOR no rectificará, eliminará ni restringirá el Tratamiento de Datos Personales por iniciativa propia, actuando únicamente sobre instrucciones documentadas de TOPAZ, salvo en los casos en que la Legislación Aplicable determine lo contrario.

CLÁUSULA 7 — MEDIDAS TÉCNICAS Y ORGANIZATIVAS DE SEGURIDAD

7.1. El PROVEEDOR adoptará y mantendrá las medidas de seguridad técnicas y organizativas adecuadas, en línea con las mejores prácticas del mercado y compatibles con la naturaleza, volumen y sensibilidad de los Datos Personales procesados, observando, al menos:

(a) mecanismos de autenticación para el acceso a sistemas y bases de datos, incluyendo, cuando sea técnicamente factible, la autenticación multifactor;

(b) medidas de anonimización, seudónimo o cifrado, según corresponda a la naturaleza de los datos personales;

(c) recursos que permitan la restauración de la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente;

(d) procesos continuos de verificación, prueba y evaluación de la efectividad de las medidas adoptadas;

(e) mantenimiento de inventarios detallados y registros de acceso, que contengan fecha, hora, duración, identidad del agente e identificación del recurso al que accede, por un periodo mínimo de seis (6) meses o por el periodo legal aplicable, lo que sea más largo;

(f) restricción del acceso a Datos Personales solo a empleados, agentes y subprocesadores autorizados, sujetos a términos de confidencialidad cuya efectividad sobrevivirá a la finalización de la relación con el PROVEEDOR;

(g) formación continua de empleados y agentes sobre sus responsabilidades en materia de protección de datos personales;

(h) registro de actividades que impliquen el intercambio de Datos Personales con terceros o transferencia internacional, sujeto a las disposiciones de la Cláusula 9;

(i) análisis periódicos de riesgos y pruebas de vulnerabilidad, con la adopción de medidas de mitigación adecuadas.

7.2. El PROVEEDOR solo procesará Datos Personales Sensibles cuando sea estrictamente necesario para la ejecución del Acuerdo Principal, sujeto a salvaguardas técnicas adicionales compatibles con el mayor rigor legal aplicable a esta categoría.

7.3. El PROVEEDOR responderá de manera oportuna a las solicitudes de TOPAZ sobre autoevaluaciones, cuestionarios de seguridad, diligencia debida y otros procedimientos de verificación de cumplimiento, siendo responsable de la veracidad de la información proporcionada.

7.4. En las visitas presenciales a las instalaciones de TOPAZ, se puede solicitar a empleados y agentes del PROVEEDOR que firmen términos específicos de confidencialidad y que proporcionen los datos personales necesarios para el control de acceso, incluidos los datos personales sensibles (como datos biométricos). Cualquier rechazo implicará la sustitución del empleado o representante por parte del PROVEEDOR, quien asumirá los costes resultantes.

CLÁUSULA 8 — SUBCONTRATACIÓN Y SUBPROCESADORES

8.1. El PROVEEDOR solo puede involucrar a subprocesadores en el Tratamiento de Datos Personales con la autorización previa, expresa y escrita de TOPAZ.

8.2. TOPAZ puede conceder autorización general a ciertas categorías de subprocesadores (como proveedores de infraestructura en la nube esenciales para la operación), en cuyo caso el PROVEEDOR notificará a TOPAZ sobre cambios en la lista de subprocesadores con al menos treinta (30) días de antelación, permitiéndole objetar con motivos.

8.3. En cualquier caso de subcontratación autorizada, el PROVEEDOR deberá exigir al Subprocesador, mediante un instrumento escrito, que cumpla con obligaciones al menos equivalentes a las establecidas en este TCTD, y el PROVEEDOR permanecerá plenamente responsable ante TOPAZ por los actos y omisiones del Subprocesador.

8.4. El PROVEEDOR tiene prohibido almacenar Datos Personales en plataformas, entornos o estructuras externas que no estén bajo su control directo o bajo el de un Suboperador autorizado.

CLÁUSULA 9 — TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES

9.1. El PROVEEDOR no transferirá Datos Personales relacionados con el Acuerdo Marco fuera del territorio nacional, incluyendo para fines de almacenamiento en la nube, sin autorización previa, expresa y por escrito de TOPAZ.

9.2. Cualquier transferencia internacional autorizada cumplirá estrictamente con las hipótesis legales previstas en el artículo 33 del LGPD, el Capítulo V del RGPD y otras normativas de la Autoridad Competente, incluyendo,

según el caso, cláusulas contractuales estándar, normas corporativas vinculantes (BCRs) u otros mecanismos reconocidos.

9.3. El PROVEEDOR documentará todas las transferencias internacionales realizadas, manteniendo un registro accesible a TOPAZ bajo solicitud.

CLÁUSULA 10 — DERECHOS DE LOS TITULARES DE DATOS Y COOPERACIÓN

10.1. TOPAZ es responsable de responder a las solicitudes de los Titulares de los Datos y a las solicitudes de la Autoridad Competente respecto a los Datos Personales tratados bajo el Acuerdo Maestro.

10.2. El PROVEEDOR tiene prohibido responder directamente a los Titulares de Datos o a la Autoridad Competente sin autorización previa y expresa de TOPAZ, salvo en los casos en que la Legislación Aplicable determine una acción diferente.

10.3. El PROVEEDOR proporcionará a TOPAZ todo el apoyo necesario para atender dichas solicitudes, respondiendo a cualquier solicitud de información de TOPAZ:

(a) inmediatamente, en casos urgentes o que impliquen Incidentes;

(b) en un plazo de setenta y dos (72) horas, en casos relacionados con el ejercicio de derechos por parte de los Titulares de Datos o solicitudes de la Autoridad Competente;

10.4. El PROVEEDOR notificará inmediatamente a TOPAZ de (i) cualquier solicitud legalmente vinculante de divulgación de datos personales realizada por una autoridad, salvo una prohibición legal de comunicación; (ii) cualquier incidente; y (iii) cualquier solicitud recibida directamente de Titulares de Datos o de una Autoridad Competente.

CLÁUSULA 11 – RESPUESTA A INCIDENTES

11.1. El PROVEEDOR notificará por escrito a TOPAZ cualquier Incidente que pueda afectar a los Datos Personales tratados bajo el Acuerdo Principal, en un plazo no superior a 24 (veinticuatro) horas desde el conocimiento del Incidente.

11.2. La notificación deberá contener al menos:

(a) la fecha, hora y lugar del Incidente, o su primera indicación;

(b) fecha y hora en que el PROVEEDOR tiene conocimiento del Incidente;

(d) categorías y volumen aproximado de Datos Personales y Datos de los Titulares de Datos afectados;

(e) descripción de las posibles consecuencias del Incidente;

(f) medidas adoptadas o propuestas para la contención, mitigación y remediación;

(g) datos de contacto de la persona responsable o de la persona responsable de la información.

11.3. El PROVEEDOR cooperará plenamente con TOPAZ en la investigación, mitigación, remediación y eventual notificación a los Titulares de Datos y a la Autoridad Competente, siguiendo las instrucciones de TOPAZ.

CLÁUSULA 12 — AUDITORÍA Y SUPERVISIÓN

12.1. TOPAZ, directamente o a través de terceros contratados bajo un acuerdo de confidencialidad, podrá realizar auditorías e inspecciones al PROVEEDOR para verificar el cumplimiento de este TCTD y la Legislación Aplicable.

12.2. Las auditorías se realizarán con aviso previo de al menos 10 (diez) días hábiles, durante el horario laboral y para minimizar la interferencia en las actividades habituales del PROVEEDOR, salvo en casos de incidente o necesidad de la Autoridad competente, en los que el plazo pueda reducirse.

12.3. Los costes ordinarios de la auditoría serán asumidos por TOPAZ. Si la auditoría encuentra un incumplimiento sustancial de este TCTD o de la Legislación Aplicable por parte del PROVEEDOR, los costes de la auditoría, incluidas las auditorías adicionales para verificar la remediación, serán asumidos íntegramente por el PROVEEDOR.

12.4. Las auditorías pueden incluir, sin limitación, la inspección de registros, sistemas, instalaciones físicas y entornos virtuales, así como entrevistas con empleados y agentes del PROVEEDOR.

CLÁUSULA 13 — CONTROL INDEPENDIENTE

13.1. En el caso de que, dentro del alcance del Acuerdo Maestro, ambas partes actúen como responsables independientes de los Datos Personales:

(b) cada Parte será responsable de los actos y omisiones de sus respectivos operadores;

13.2. Las demás disposiciones de este TCTD se aplicarán alternativamente, según corresponda, a la hipótesis de control independiente.

CLÁUSULA 14 — TERMINACIÓN DEL PROCESAMIENTO

14.1. Una vez que el procesamiento previsto en el Acuerdo Principal sea terminado, por cualquier motivo, el PROVEEDOR, según las instrucciones de TOPAZ:

(a) devolver todos los datos personales a TOPAZ, en un formato estructurado e interoperable y dentro de un plazo razonable; o

(b) transferir los datos personales a un nuevo proveedor designado por TOPAZ, de acuerdo con la forma y el plazo especificados por TOPAZ; e

(c) eliminar irreversiblemente todas las copias y salvaguardas en su infraestructura y en la de sus Subprocesadores autorizados, salvo las retenciones legalmente requeridas.

14.2. Las obligaciones de este TCTD subsistirán mientras el PROVEEDOR tenga acceso, posesión o capacidad para llevar a cabo operaciones de tratamiento relacionadas con los Datos Personales proporcionados por TOPAZ, incluso después de la finalización del Acuerdo Marco.

14.3. El PROVEEDOR deberá conservar registros y pruebas de la devolución o eliminación de Datos Personales, poniéndolos a disposición de TOPAZ bajo solicitud.

CLÁUSULA 15 — RESPONSABILIDAD E INDEMNIZACIÓN

15.1. El PROVEEDOR es plenamente responsable de las pérdidas, daños, pérdidas de beneficios e indemnizaciones derivadas de eventos relacionados con los Datos Personales tratados por él, por propia acción u omisión, de sus empleados, agentes u Subprocesadores, y está obligado a indemnizar a TOPAZ o a terceros perjudicados, incluyendo, sin limitación, (i) multas administrativas y sanciones impuestas por la Autoridad Competente; (ii) condenas y acuerdos judiciales; (iii) honorarios de abogados, peritos y notariales; (iv) los costes de notificación a los Titulares de Datos y a la Autoridad Competente; (v) notas de prensa y medidas de gestión reputacional; y (vi) otros gastos necesarios para la reparación del evento.

15.2. Sin perjuicio de las indemnizaciones aplicables, el incumplimiento de las obligaciones materiales previstas en este TCTD someterá al PROVEEDOR al pago de una multa no compensatoria equivalente al 10% del diez por ciento de las últimas doce cuotas mensuales del Acuerdo Principal, sin perjuicio de otras sanciones legales y contractuales aplicables.

15.3. TOPAZ podrá retener los pagos debidos al PROVEEDOR hasta el límite necesario para cubrir las indemnizaciones y multas previstas en esta Cláusula.

15.4. Las obligaciones de indemnización bajo esta Cláusula no están sujetas a ninguna limitación de responsabilidad que pueda estar establecida en el Acuerdo Marco.

15.5. TOPAZ será responsable exclusiva por los hechos que resulten, directa y probablemente, de su propia conducta en violación de esta TCTD o de la Ley Aplicable, sujeto a los principios generales de responsabilidad civil.

CLÁUSULA 16 — PLAZO

16.1. Este TCTD entra en vigor en la fecha de su disponibilidad para el PROVEEDOR por parte de TOPAZ y entra en vigor durante el plazo del Acuerdo Principal, así como en el periodo posterior en el que permanezcan las obligaciones relativas a los datos personales, conforme a la Cláusula 14.

16.2. La continuidad de la prestación de servicios por parte del PROVEEDOR tras la disponibilidad de este TCTD constituye su plena adhesión a las disposiciones aquí establecidas.

16.3. TOPAZ puede, en cualquier momento, publicar una nueva versión de este TCTD en su Portal de Privacidad, como resultado de cambios en la Legislación Aplicable, en las mejores prácticas del mercado o en su política interna de privacidad. La nueva versión entrará en vigor a partir de la fecha indicada en ella, y la continuidad de la prestación de servicios o el suministro de productos después de dicha fecha constituirá adhesión a la versión actualizada.

16.4. Este TCTD puede ser reemplazado, para un PROVEEDOR específico, en cualquier momento, por una enmienda contractual concreta firmada entre las Partes, en cuyo caso prevalecerán las disposiciones del nuevo instrumento.

CLÁUSULA 17 — TRANSACCIONES CORPORATIVAS Y SUCESIÓN

17.1. El PROVEEDOR deberá notificar a TOPAZ, al menos treinta (30) días antes, cualquier transacción corporativa — incluyendo fusión, constitución, escisión, adquisición de control o transferencia sustancial de activos — que pueda afectar el Tratamiento de Datos Personales sujetos a este TCTD.

17.2. TOPAZ puede, por motivos razonables, (i) exigir garantías adicionales respecto al mantenimiento de los estándares de protección de datos personales; o (ii) rescindir el Acuerdo Principal sin coste alguno, si entiende que la transacción corporativa compromete la protección adecuada de los Datos Personales.

17.3. Las obligaciones de este TCTD son vinculantes para los sucesores y cesionarios del PROVEEDOR en cualquier capacidad.

CLÁUSULA 18 — DISPOSICIONES GENERALES

18.1. Este TCTD se regirá e interpretará conforme a la ley aplicable al Acuerdo Marco, y la jurisdicción indicada en él será competente para la resolución de cualquier disputa.

18.2. La eventual invalidez o ineficacia de cualquier disposición de este TCTD no afectará a las demás, que permanecerán plenamente válidas y efectivas.

18.3. La tolerancia o inercia de cualquiera de las partes respecto al incumplimiento de las obligaciones por parte de la otra no constituirá renuncia, novación o enmienda de las disposiciones de este TCTD.

18.4. Cualquier aviso derivado de este TCTD deberá enviarse a las personas de contacto indicadas en el Acuerdo Marco o, en ausencia de este, a la Persona Responsable de cada Parte.

18.5. En caso de divergencia entre versiones de este TCTD en diferentes idiomas, prevalecerá la versión en portugués.

TOPAZ PARTICIPAÇÕES S.A.

Documento publicado el 22 de mayo de 2026 y disponible mediante mensaje directo enviado a todos los PROVEEDORES y el https://www.topazevolution.com/portal-de-privacidade.

La continuidad de la prestación de servicios o el suministro de productos por parte del PROVEEDOR a TOPAZ después de esta fecha constituye una adhesión total e incondicional a este TCTD.