Portal de Privacidad

[DPA] Acuerdo de procesamiento de datos

[TCTD] Término de compromiso y procesamiento de datos personales

Política de Privacidad

Topaz está compuesta por las mayores empresas de tecnología bancaria del mercado, especializadas en soluciones financieras digitales, y también forma parte del Grupo Stefanini, que cuenta con la plataforma tecnológica más completa y que cumple con la normativa del mercado.

Topaz respeta la privacidad individual y valora la confianza de sus clientes, empleados, proveedores, consumidores, socios comerciales y demás personas. Topaz se esfuerza por recopilar, utilizar y proteger los datos personales de conformidad con las leyes de los países en los que opera.

La política de privacidad de Topaz tiene en cuenta los diversos requisitos normativos de los países en los que opera, incluidos, por ejemplo, el Reglamento General de Protección de Datos (RGPD) de la UE, la Ley de Protección de Datos del Reino Unido de 2018, el Marco de Privacidad de APEC, la Ley de Protección de Información Personal y Documentos Electrónicos de Canadá (PIPEDA), los Principios de Privacidad australianos en virtud de la Ley de Privacidad de 1988 y la Ley General de Protección de Datos (LGPD) de Brasil.

Además, cumplimos con las directrices internacionales ISO/IEC 27001:2022 sobre gestión de la seguridad de la información e ISO/IEC 27701:2019 sobre gestión de la privacidad de la información. Estas normas garantizan la implementación de controles adecuados para la confidencialidad, la integridad y la disponibilidad de los datos.

Declaración de privacidad de Topaz

Última actualización: abril de 2023.

Topaz participa en el Marco del Escudo de Privacidad UE-EE. UU. y en el Marco del Escudo de Privacidad Suiza-EE. UU., pero Topaz no se basa en el Marco del Escudo de Privacidad UE-EE. UU. como base jurídica para las transferencias de datos personales a la luz de la sentencia del Tribunal de Justicia de la UE en el resumen jurídico C-311/18.

Su privacidad es importante para nosotros. Esta declaración de privacidad describe la información que recopilamos en nuestros sitios web y en nuestras actividades de ventas y marketing fuera de línea. Explica qué datos personales recopilamos y cómo los utilizamos.

La sección Declaración de privacidad de productos y servicios de Topaz proporciona información adicional relevante para productos y servicios específicos de Topaz. Esta declaración se aplica a los productos de Topaz mencionados. Las referencias a productos de Topaz en esta declaración incluyen los servicios y soluciones de software de Topaz, así como otras tecnologías.

Datos personales que recopilamos

Topaz recopila datos para operar de manera eficaz y brindarle la mejor experiencia con nuestros productos y servicios. Al interactuar con nosotros, Topaz puede recopilar datos personales, es decir, información que identifica a una persona o se refiere a una persona identificable. Los datos personales pueden incluir, entre otros, su nombre, dirección postal, número de teléfono, dirección de correo electrónico, empresa a la que pertenece e intereses relacionados.

Si interactúa con nuestro equipo de reclutamiento, Topaz podría solicitarle cierta información, como su historial académico y profesional, información de contacto y preferencias, cualificaciones profesionales y los puestos a los que desea postularse. También puede optar por proporcionar a Topaz información adicional, como su currículum o expediente académico, referencias laborales e información relacionada, y sus preferencias salariales. Además, Topaz podría recopilar información de terceros, por ejemplo, para realizar una verificación de antecedentes o de referencias laborales.

Topaz también puede recopilar otra información a través de su interacción con nosotros y con sitios web que no pertenecen a Topaz, como los sitios web de sus clientes, proveedores y prestadores de servicios. Esta información puede incluir, entre otros datos, información sobre el navegador y el dispositivo, datos recopilados mediante interacciones electrónicas automatizadas, datos de uso de la aplicación, información demográfica, información geográfica o de ubicación, e información estadística y agregada.

La información estadística o agregada no identifica directamente a una persona específica, pero puede derivarse de la información personal. Por ejemplo, podemos agregar información personal para calcular el porcentaje de visitantes en una región determinada.

En algunos casos, podemos combinar otra información con información personal, como por ejemplo, una ubicación geográfica precisa con su nombre. Si combinamos otra información con información personal, trataremos la información combinada como información personal.

Usted tiene opciones respecto a los datos que recopilamos. Cuando se le soliciten datos personales, puede negarse. Sin embargo, si decide no proporcionar los datos necesarios para que podamos ofrecerle un producto o función en particular, es posible que no pueda utilizarlo.

Topaz solo recopilará datos que sean relevantes para su propósito previsto y tomará las medidas razonables para garantizar que estos datos sean relevantes, precisos, completos y estén actualizados para el uso previsto.

Cómo utilizamos los datos personales

Topaz utiliza los datos que recopilamos para dos propósitos básicos, que se describen con más detalle a continuación: (1) para operar nuestro negocio y proporcionar (incluyendo mejorar y personalizar) los productos y servicios que ofrecemos y (2) para enviar comunicaciones, incluidas comunicaciones promocionales.

Operaciones comerciales. Utilizamos datos para proporcionar y mejorar los productos y servicios que ofrecemos, así como para llevar a cabo operaciones comerciales esenciales. Los utilizamos para desarrollar análisis agregados e inteligencia empresarial que nos permiten operar, proteger, tomar decisiones informadas e informar sobre el rendimiento de nuestro negocio y los servicios que nuestros clientes desean.

Comunicaciones. Utilizamos los datos que recopilamos para enviarle comunicaciones personalizadas. Por ejemplo, podemos contactarle por correo electrónico u otros medios para invitarle a participar en una encuesta. Además, puede suscribirse a nuestro boletín informativo y elegir si desea recibir comunicaciones promocionales de Topaz. Para obtener información sobre cómo gestionar las suscripciones y las comunicaciones promocionales, consulte la sección «Sus preferencias de comunicación» de nuestra política de privacidad.

Reclutamiento. Utilizamos los datos que recopilamos para comunicarnos con usted, gestionar los procesos de reclutamiento y contratación de Topaz, y para cumplir con las normas de gobierno corporativo, así como con otros requisitos legales y reglamentarios. Si es contratado/a, la información podrá utilizarse en relación con su empleo y la gestión de la empresa.

Razones por las que compartimos datos personales

Compartimos sus datos personales con su consentimiento o cuando sea necesario para completar cualquier transacción o proporcionarle cualquier producto que haya solicitado o autorizado. Además, compartimos datos personales entre filiales y entidades controladas por el Grupo Stefanini, al que pertenece Topaz. También compartimos datos personales con proveedores o agentes que trabajan en nuestro nombre para los fines descritos en esta declaración. Por ejemplo, las empresas que contratamos para brindar soporte al cliente o ayudar a proteger y asegurar nuestros sistemas y servicios pueden necesitar acceso a datos personales para realizar estas funciones. En tales casos, estas empresas deben cumplir con nuestros requisitos de privacidad y seguridad de datos y no están autorizadas a utilizar los datos personales que reciben de nosotros para ningún otro fin. También podemos divulgar datos personales como parte de una transacción corporativa, como una fusión o venta de activos.

Finalmente, accederemos, transferiremos, divulgaremos y conservaremos los datos personales, incluido su contenido, cuando creamos de buena fe que es necesario para:

para cumplir con la ley aplicable o responder a procesos legales válidos, incluidos los de organismos encargados de hacer cumplir la ley u otros organismos gubernamentales;
Para proteger a nuestros clientes, por ejemplo, para prevenir el spam o los intentos de estafar a los usuarios de nuestros productos, o para ayudar a prevenir la pérdida de vidas o lesiones graves a cualquier persona;
Para operar y mantener la seguridad de nuestros productos, incluyendo la prevención o detención de ataques a nuestros sistemas informáticos o redes; o para proteger los derechos o la propiedad de Topaz, incluyendo el cumplimiento de los términos que rigen el uso de nuestros productos y servicios; sin embargo, si recibimos información que indique que alguien está utilizando nuestros servicios para traficar con propiedad intelectual o física robada de Topaz, no inspeccionaremos la propiedad privada de un cliente, pero podemos remitir el asunto a las autoridades policiales.

Cómo acceder y controlar sus datos personales

Puedes elegir cómo Topaz recopila y utiliza tus datos. Puedes controlar los datos personales que Topaz ha obtenido y ejercer tus derechos como titular de los datos contactando con Topaz. Esto puede incluir limitar el uso y la divulgación de tus datos personales.

Previa solicitud, Topaz otorgará a los interesados un acceso razonable a la información personal que posee sobre ellos. Además, Topaz tomará las medidas razonables para permitir que las personas corrijan, modifiquen o eliminen la información que resulte ser inexacta o incompleta.

Tus preferencias de comunicación

Puedes elegir si deseas recibir comunicaciones promocionales de Topaz por correo electrónico o por teléfono. Si recibes un correo electrónico promocional nuestro y deseas darte de baja, sigue las instrucciones del mensaje. Si no deseas recibir llamadas nuestras, no proporciones un número de teléfono.

Controles basados en el navegador

Controles de cookies. Los controles de cookies relevantes basados en el navegador se describen en la sección de Cookies del sitio web de Topaz.

seguridad de los datos personales

Topaz se compromete a proteger sus datos personales. Utilizamos diversas tecnologías y procedimientos de seguridad para proteger sus datos personales contra el acceso, uso o divulgación no autorizados. Por ejemplo, almacenamos los datos personales que usted proporciona en sistemas informáticos con acceso restringido y ubicados en instalaciones controladas. Cuando transmitimos datos altamente confidenciales a través de Internet (como una contraseña, por ejemplo), los protegemos mediante cifrado.

Las políticas y los procedimientos de seguridad de Topaz son revisados y supervisados por la Dirección de Seguridad de la Información y Tecnología de Topaz. Esta Dirección es responsable de la supervisión, el cumplimiento y la aplicación de la seguridad, la realización de evaluaciones de seguridad de la información y el liderazgo en el desarrollo de la política y la estrategia de seguridad de la información.

Topaz también se compromete a reducir los riesgos de error humano, robo, fraude y uso indebido de sus instalaciones. Entre sus iniciativas se incluyen la sensibilización de los empleados sobre las políticas de seguridad y su capacitación para su implementación. Los empleados de Topaz están obligados a mantener la confidencialidad de los datos. Sus obligaciones incluyen la firma de acuerdos de confidencialidad por escrito, la capacitación periódica en seguridad de la información a distintos niveles y el cumplimiento de las políticas de Topaz relativas a la protección de la información confidencial.

Topaz evalúa y responde con prontitud a los incidentes que generan sospechas de manipulación no autorizada de datos. La Dirección de Tecnología y Seguridad de la Información, el Departamento Jurídico y el Responsable de Protección de Datos de Topaz son informados de dichos incidentes y, según la naturaleza de la actividad, definen los protocolos de escalamiento y los equipos de respuesta para gestionarlos. Si Topaz determina que sus datos han sido objeto de apropiación indebida (incluso por parte de cualquier empleado de Topaz) o adquiridos indebidamente por terceros, Topaz le notificará de inmediato dicha apropiación indebida o adquisición.

Topaz realizará auditorías anuales de cumplimiento de sus prácticas de privacidad pertinentes para verificar el cumplimiento de esta declaración y la legislación aplicable. La auditoría podrá realizarse interna o externamente bajo la dirección de la Dirección de Tecnología y Seguridad de la Información, el Departamento Jurídico y el Responsable de Protección de Datos. Cualquier empleado que Topaz identifique como infractor de esta declaración de privacidad estará sujeto a medidas disciplinarias, que pueden incluir el despido. Cualquier agente o tercero que infrinja esta declaración de privacidad incurrirá en incumplimiento sustancial de todos los acuerdos con Topaz y deberá defender e indemnizar a Topaz frente a reclamaciones relacionadas con dichas infracciones.

Dónde almacenamos y procesamos datos personales.

Los datos personales recopilados por Topaz pueden almacenarse, procesarse y gestionarse en su región, en Estados Unidos o en cualquier otro país donde Topaz tenga instalaciones. Adoptamos medidas para garantizar que los datos que recopilamos conforme a esta declaración de privacidad se traten de acuerdo con sus disposiciones y la legislación aplicable, independientemente de su ubicación.

Si en algún momento transferimos datos personales del Espacio Económico Europeo o de Brasil a otros países, utilizamos diversos mecanismos legales, incluidos contratos, para garantizar sus derechos y protecciones durante la transferencia de sus datos.

Nuestra política de retención de datos personales

Topaz conserva los datos personales durante el tiempo necesario para proporcionar los productos y completar las transacciones solicitadas, o para otros fines esenciales, como el cumplimiento de nuestras obligaciones legales, la resolución de disputas y el cumplimiento de nuestros acuerdos. Los datos de reclutamiento se almacenan de acuerdo con los plazos máximos de retención permitidos según la ubicación del candidato. Los candidatos pueden solicitar la eliminación de sus datos en cualquier momento si ya no desean continuar con el proceso de solicitud, notificándolo a su reclutador o contactando al Responsable de Protección de Datos de Topaz.

Cuando se eliminan datos personales, estos se borran de los sistemas activos, pero pueden permanecer en formato de copia de seguridad hasta por un año. Los datos, ya sean en formato activo o de copia de seguridad, estarán protegidos según los mecanismos de seguridad de la información de Topaz.

Ley de privacidad del consumidor

California – CCPA

Topaz, como “Proveedor de Servicios” (según se define en la CCPA), confirma que procesará la información personal que conserve, utilice o divulgue en relación con el cumplimiento de cualquier contrato: (1) únicamente en nombre y para beneficio de la “Empresa” (según se define en la CCPA) de la que recibió la información personal; (2) únicamente de conformidad con el contrato y las instrucciones previas por escrito de la Empresa, si las hubiere; a menos que (3) lo exija la CCPA. Topaz confirma que no procesará información personal para ningún otro fin que no sea el específico de prestar los servicios estipulados en el contrato.

Cambios en esta Declaración de Privacidad

Actualizaremos esta declaración de privacidad según sea necesario para reflejar los comentarios de los clientes y los cambios en nuestros productos o servicios. Cuando publiquemos cambios en esta declaración, actualizaremos la fecha de “última actualización” que aparece al inicio. Si se producen cambios sustanciales en la declaración o en la forma en que Topaz utilizará sus datos personales, los publicaremos en el sitio web de Topaz antes de que entren en vigor. Le recomendamos que revise periódicamente esta declaración de privacidad para comprender cómo Topaz protege su información.

Cómo contactarnos

Si tiene alguna inquietud sobre la privacidad o alguna pregunta para el Responsable de Protección de Datos de Topaz, póngase en contacto con nosotros utilizando la información de contacto que aparece a continuación. Le responderemos en un plazo de 30 (treinta) días.

Solicitud de acceso del interesado a los datos

Nombre: Douglas Martins Silva (Responsable de Protección de Datos)

Dirección: Avenida Visconde de Indaiatuba, 1277, Indaiatuba/SP - Brasil – Código Postal 13338-010

Teléfono - Brasil: 0800 591 5929 > opción 6

Latinoamérica: +55 800 591 5929 > opción 6

Correo electrónico: dpo@topazevolution.com

En función de la situación, Topaz podrá actuar como responsable del tratamiento de los datos personales recibidos a través de los productos o servicios sujetos a esta declaración, o como encargado del tratamiento de los datos personales recibidos en virtud de contratos celebrados con nuestros clientes, en cuyo caso estos últimos, como responsables del tratamiento de los datos personales, se convierten en responsables de resolver cualquier duda de los interesados y de las autoridades competentes.

Para encontrar la entidad Topaz en su país o región, visite https://www.topazevolution.com

Declaración de privacidad de Topaz Services

Última actualización: abril de 2023.

La sección Declaración de privacidad de los servicios de Topaz proporciona información adicional relevante para productos y servicios específicos de Topaz. Esta declaración se aplica a todos los productos y servicios de Topaz y puede incluir servicios y soluciones de software de Topaz, así como otras tecnologías. Topaz ha establecido esta política de privacidad para aclarar que el uso de la información a la que puede tener acceso para la prestación de servicios es diferente del uso de la información cubierta por la declaración de privacidad de Topaz.

Algunos servicios tienen sus propios acuerdos de privacidad. En caso de conflicto entre la declaración de privacidad de Topaz y los términos de cualquier contrato entre un cliente y Topaz, prevalecerán los términos de dicho contrato.

Para consultar nuestra declaración de privacidad general, visite la Declaración de privacidad de Topaz que se encuentra al principio de este documento.

Información personal y datos de servicio que recopilamos

Topaz recopila datos para operar de manera eficaz y brindarle la mejor experiencia con nuestros productos. Al interactuar con nosotros, Topaz puede recopilar datos personales, es decir, datos que identifican a una persona o que se relacionan con una persona identificable. Los datos personales pueden incluir, entre otros, su nombre, dirección postal, número de teléfono, dirección de correo electrónico, empresa a la que pertenece e intereses relacionados. Estos datos se manejan de acuerdo con la declaración de privacidad general de Topaz.

Topaz también puede recopilar Datos del Servicio. Estos datos se encuentran en los sistemas de Topaz, en los sistemas de los clientes o en sistemas de terceros a los que Topaz tiene acceso para prestar servicios (incluidos entornos de prueba, desarrollo y producción a los que se puede acceder para realizar servicios de consultoría, implementación, mantenimiento y soporte de Topaz). Topaz trata los Datos del Servicio de acuerdo con los términos de esta declaración de privacidad y los considera confidenciales, conforme a los términos asociados al servicio.

Para ilustrar la diferencia entre datos personales y datos de servicio, cuando un cliente contrata los servicios de Topaz, proporciona información personal, como nombre, dirección, datos de facturación y algunos datos de contacto de empleados. Toda esta información es personal y se trata de acuerdo con la política de privacidad de Topaz.

A cambio, al contratar los servicios de Topaz, el cliente otorga a Topaz acceso a su entorno de producción, desarrollo o pruebas, que puede incluir datos personales de sus empleados, clientes, socios o proveedores (en adelante, «usuarios finales»). Esta información constituye datos personales y se gestiona de conformidad con la Declaración de Privacidad del Servicio de Topaz.

Topaz solo recopilará los datos esenciales para sus fines previstos. Topaz adoptará las medidas razonables para garantizar que estos datos se procesen en estricta conformidad con los principios establecidos por la ley y de acuerdo con su propósito.

Cómo recopilamos y utilizamos los datos del servicio

Topaz utiliza los datos de servicio que recopilamos para dos propósitos básicos, que se describen con más detalle a continuación: (1) para proporcionar los productos y servicios solicitados y (2) para cumplir con nuestras obligaciones contractuales.

Para prestar servicios y solucionar problemas. Se puede acceder a los datos del servicio y utilizarlos para prestar servicios de acuerdo con su contrato de servicio principal o el alcance del trabajo. Los datos que recopilamos dependen de los productos y funciones que utilice y pueden incluir lo siguiente:

Nombre e información de contacto. Recopilamos su nombre y apellido, dirección de correo electrónico, dirección postal, número de teléfono y otra información de contacto similar y necesaria durante la prestación de nuestros servicios.
Credenciales. Recopilamos contraseñas, pistas para recordar contraseñas e información de seguridad similar que se utiliza para la autenticación y el acceso a la cuenta.
Datos de soporte. Cuando contrata a Topaz para obtener soporte, recopilamos datos sobre usted y su hardware, software y otros detalles relacionados con el incidente de soporte. Estos datos incluyen información de contacto o autenticación, el contenido de sus chats y otras comunicaciones con el soporte de Topaz, información sobre el estado del equipo y la aplicación cuando se produjo la falla y durante el diagnóstico, así como datos del sistema y registros sobre instalaciones de software y configuraciones de hardware.
Datos del dispositivo. Recopilamos datos sobre su dispositivo y la red que utiliza para conectarse a él. Esto incluye información sobre el sistema operativo y otros programas instalados, como las claves de producto. También puede incluir la dirección IP, los identificadores del dispositivo (como el número IMEI en el caso de los teléfonos) y la configuración regional y de idioma.
Informes de errores y datos de rendimiento. Recopilamos datos sobre el rendimiento de los productos y cualquier problema que pueda tener con ellos. Estos datos nos ayudan a diagnosticar problemas en los productos que utiliza, mejorarlos y ofrecer soluciones. Según el producto y la configuración, los informes de errores pueden incluir datos como el tipo o la gravedad del problema, detalles del software o hardware relacionado con el error, el contenido de los archivos que estaba utilizando cuando se produjo el error y datos sobre otro software en su dispositivo. Las copias de datos de servicio creadas para estos fines se conservan únicamente durante el tiempo necesario para dichos fines.
Para cumplir con las obligaciones contractuales, es posible que Topaz deba conservar o proporcionar acceso a los datos del servicio para cumplir con los requisitos legales de información, divulgación u otros requisitos legales.

Topaz no utiliza los datos del servicio salvo en los casos indicados anteriormente o en su contrato de servicio principal o en el alcance del trabajo. Topaz puede procesar los datos del servicio, pero no controla sus prácticas de recopilación ni de uso de los mismos. Si usted proporciona datos del servicio a Topaz, será responsable de proporcionar las notificaciones y/o de obtener los consentimientos necesarios para que Topaz acceda, utilice, conserve y transfiera dichos datos según lo especificado en esta declaración y en su contrato de servicio principal o en el alcance del trabajo.

Razones por las que compartimos datos de servicio

Compartimos sus datos de servicio, con su consentimiento o cuando sea necesario, para completar cualquier transacción o proporcionarle cualquier producto que haya solicitado o autorizado. Además, podemos compartir datos de servicio entre filiales y entidades controladas por el Grupo Stefanini, al que pertenece Topaz. También podemos compartir datos de servicio con proveedores o agentes que trabajan en nuestro nombre para los fines descritos en esta declaración. Por ejemplo, las empresas que contratamos para brindar servicios de atención al cliente o para ayudar a proteger y asegurar nuestros sistemas y servicios pueden necesitar acceso a los datos de servicio para realizar dichas funciones. En estos casos, estas empresas deben cumplir con nuestros requisitos de privacidad y seguridad de datos y no están autorizadas a utilizar los datos de servicio que reciben de nosotros para ningún otro fin. También podemos divulgar datos de servicio como parte de una transacción corporativa, como una fusión o venta de activos.

Finalmente, accederemos, transferiremos, divulgaremos y conservaremos los datos del servicio, incluido su contenido, cuando creamos de buena fe que es necesario para:

para cumplir con la ley aplicable o responder a procesos legales válidos, incluidos los de organismos encargados de hacer cumplir la ley u otros organismos gubernamentales;
Para proteger a nuestros clientes, por ejemplo, para prevenir el spam o los intentos de estafar a los usuarios de nuestros productos, o para ayudar a prevenir la pérdida de vidas o lesiones graves a cualquier persona;
operar y mantener la seguridad de nuestros productos, incluyendo prevenir o detener un ataque a nuestros sistemas o redes informáticas; o

Para proteger los derechos o la propiedad de Topaz, incluido el cumplimiento de los términos que rigen el uso de los servicios, si recibimos información que indique que alguien está utilizando nuestros servicios para traficar con propiedad intelectual o física robada de Topaz, no inspeccionaremos la propiedad privada del cliente, pero podemos remitir el asunto a las autoridades policiales.

Seguridad de los datos del servicio

Topaz se compromete a proteger la seguridad de sus datos de servicio. Utilizamos diversas tecnologías y procedimientos de seguridad para proteger sus datos de servicio contra el acceso, uso o divulgación no autorizados.

El acceso de Topaz a los datos del servicio se basa en la función/responsabilidad del puesto. Los datos del servicio alojados en sistemas de Topaz se gestionan mediante un sistema de administración de cuentas. Usted controla el acceso de sus usuarios finales a los datos del servicio; estos deben dirigirle a usted cualquier solicitud relacionada con su información personal.

Las políticas de seguridad de Topaz abarcan la gestión de la seguridad tanto de sus operaciones internas como de sus servicios. Estas políticas, alineadas con la norma ISO/IEC 27001:2013, rigen todas las áreas de seguridad aplicables a los servicios y se aplican a todos los empleados de Topaz.

Las políticas y los procedimientos de seguridad de Topaz son revisados y supervisados por la Dirección de Seguridad de la Información y Tecnología de Topaz. Esta Dirección también es responsable de la supervisión, el cumplimiento y la aplicación de la seguridad, la realización de evaluaciones de seguridad de la información y el liderazgo en el desarrollo de la política y la estrategia de seguridad de la información.

Topaz también se compromete a reducir los riesgos de error humano, robo, fraude y uso indebido de sus instalaciones. Entre sus iniciativas se incluyen la sensibilización de los empleados sobre las políticas de seguridad y su capacitación para su implementación. Los empleados de Topaz deben mantener la confidencialidad de los datos mediante un acuerdo de confidencialidad por escrito que firman al ser contratados. Además de estos acuerdos, sus obligaciones incluyen capacitación periódica sobre protección de la información y el cumplimiento de las políticas de la empresa en materia de protección de información confidencial.

Topaz evalúa y responde con prontitud a los incidentes que generan sospechas de manipulación no autorizada de datos. La Dirección de Tecnología y Seguridad de la Información, el Departamento Jurídico y el Responsable de Protección de Datos de Topaz son informados de dichos incidentes y, según la naturaleza de la actividad, definen los protocolos de escalamiento y los equipos de respuesta para gestionarlos. Si Topaz concluye que sus datos han sido objeto de apropiación indebida (incluso por parte de un empleado) o adquiridos indebidamente por terceros, Topaz le notificará de inmediato dicha apropiación indebida o adquisición.

Topaz realizará auditorías anuales de cumplimiento de sus prácticas de privacidad para verificar el cumplimiento de esta declaración y la legislación aplicable. La auditoría podrá realizarse interna o externamente bajo la dirección de la Dirección de Tecnología y Seguridad de la Información, el Departamento Jurídico y el Responsable de Protección de Datos. Cualquier empleado que Topaz determine que infringe esta declaración de privacidad estará sujeto a medidas disciplinarias, que pueden incluir el despido. Cualquier agente o tercero que infrinja esta declaración de privacidad incurrirá en un incumplimiento sustancial de todos los acuerdos con Topaz y deberá defender e indemnizar a Topaz frente a reclamaciones relacionadas con dichas infracciones.

Dónde almacenamos y procesamos datos personales.

Los datos personales recopilados por Topaz pueden almacenarse, procesarse y gestionarse en su región, en Estados Unidos o en cualquier otro país donde el Grupo Stefanini, al que pertenece Topaz, o sus proveedores de servicios tengan instalaciones. Adoptamos medidas para garantizar que los datos que recopilamos de acuerdo con esta declaración de privacidad se traten conforme a lo dispuesto en la misma y a la legislación aplicable, independientemente de su ubicación.

Nuestra política de retención de datos personales

Topaz conserva los datos personales durante el tiempo necesario para proporcionar los productos y completar las transacciones solicitadas, o para otros fines esenciales, como el cumplimiento de nuestras obligaciones legales, la resolución de disputas y el cumplimiento de nuestros acuerdos. Al eliminarse los datos personales, estos se borran de los sistemas activos, pero pueden permanecer en formato de copia de seguridad hasta por un año. Los datos, tanto en formato activo como en formato de copia de seguridad, estarán protegidos según los mecanismos de seguridad de la información descritos anteriormente.

Ley de Privacidad del Consumidor de California – CCPA

Cambios en esta Declaración de Privacidad

Cómo contactarnos

Solicitud de acceso del interesado a los datos

Nombre: Douglas Martins Silva (Responsable de Protección de Datos)

Dirección: Avenida Visconde de Indaiatuba, 1277, Indaiatuba/SP - Brasil – Código Postal 13338-010

Teléfono - Brasil: 0800 591 5929 > opción 6

Latinoamérica: +55 800 591 5929 > opción 6

Correo electrónico: dpo@topazevolution.com

Para encontrar la entidad Topaz en su país o región, consulte [enlace/referencia].

https://www.topazevolution.com

Un marco del Escudo de Privacidad UE-EE. UU. y un marco del Escudo de Privacidad Suiza-EE. UU.

Topaz no se basa en el Marco del Escudo de Privacidad UE-EE. UU. como base jurídica para la transferencia de datos personales, a la luz de la sentencia del Tribunal de Justicia de la UE en el resumen jurídico C-311/18.

Topaz cumple con el Marco del Escudo de Privacidad UE-EE. UU. y el Marco del Escudo de Privacidad Suiza-EE. UU., según lo establecido por el Departamento de Comercio de los Estados Unidos, en lo que respecta a la recopilación, el uso y la retención de información personal transferida desde la Unión Europea y Suiza a los Estados Unidos. Topaz, a través del Grupo Stefanini, al que pertenece, ha certificado ante el Departamento de Comercio que se adhiere a los Principios del Escudo de Privacidad. En caso de conflicto entre los términos de esta política de privacidad y los Principios del Escudo de Privacidad, prevalecerán estos últimos. Para obtener más información sobre el programa del Escudo de Privacidad y consultar nuestra certificación, visite https://www.privacyshield.gov/ .

La participación de Topaz en el Escudo de Privacidad se aplica a todos los datos personales sujetos a la Declaración de Privacidad del Grupo Stefanini y recibidos de la Unión Europea, el Espacio Económico Europeo y Suiza. El Grupo Stefanini, incluyendo Topaz y sus demás filiales, cumplirá con los Principios del Escudo de Privacidad en relación con estos datos personales.

La responsabilidad de Topaz respecto de los datos personales que recibe en virtud del Escudo de Privacidad y que posteriormente transfiere a terceros se describe en los Principios del Escudo de Privacidad. En particular, Topaz sigue siendo responsable conforme a dichos Principios si los terceros contratados para procesar datos personales en su nombre actúan de forma incompatible con los Principios, salvo que Topaz demuestre que no es responsable del hecho que originó el daño.

Tal como se explica en la sección «Cómo contactarnos» de esta Declaración de Privacidad de Topaz, le animamos a que se ponga en contacto con nosotros si tiene alguna queja relacionada con el Escudo de Privacidad (o con la privacidad en general). Si tiene alguna inquietud sobre la privacidad o alguna pregunta para el Responsable de Protección de Datos de Topaz, póngase en contacto con nosotros utilizando la información de contacto que aparece a continuación.

Nombre: Douglas Martins Silva (Responsable de Protección de Datos)

Dirección: Avenida Visconde de Indaiatuba, 1277, Indaiatuba/SP - Brasil – Código Postal 13338-010

Teléfono - Brasil: 0800 591 5929 > opción 6

Latinoamérica: +55 800 591 5929 > opción 6

Correo electrónico: dpo@topazevolution.com

Cualquier pregunta o inquietud relacionada con el uso o la divulgación de información personal debe dirigirse al Responsable de Protección de Datos. Topaz investigará e intentará resolver las quejas y disputas relacionadas con el uso y la divulgación de información personal de conformidad con los principios contenidos en la declaración de privacidad. Para las quejas que no puedan resolverse entre Topaz y el reclamante, Topaz, a través del Grupo Stefanini, al que pertenece, ha acordado participar en los procedimientos de resolución de disputas del Centro Internacional de Resolución de Disputas / Asociación Americana de Arbitraje (ICDR/AAA) de conformidad con sus normas comerciales aplicables, así como con los Principios del Escudo de Privacidad UE-EE. UU.; siempre que el árbitro sea un abogado o juez jubilado con amplia y reconocida experiencia y conocimientos en materia de privacidad y tecnología de la información. Para obtener más información, consulte el sitio web del ICDR/AAA: http://go.adr.org/privacyshield.html. Todas las decisiones del tribunal arbitral serán definitivas y vinculantes para las partes, quienes renuncian a cualquier derecho a apelar la decisión arbitral, en la medida en que la apelación pueda ser legalmente renunciada. Además, Topaz utilizará las Autoridades Europeas de Protección de Datos (APD) como mecanismo de apelación independiente en lo que respecta a los datos de recursos humanos de la Unión Europea. Topaz utilizará al Comisionado Federal Suizo para la Protección de Datos e Información como mecanismo de apelación independiente en lo que respecta a los datos de recursos humanos de Suiza.

Finalmente, en Brasil, Topaz se adherirá estrictamente a las disposiciones de la Ley General de Protección de Datos y a las recomendaciones de la Autoridad Nacional de Protección de Datos en materia administrativa, y también recurrirá al Tribunal Central del Distrito de São Paulo, Brasil, para cualquier eventual procedimiento legal.

Topaz también está sujeta a la jurisdicción de la Comisión Federal de Comercio de los Estados Unidos. Puede ponerse en contacto con la Comisión Federal de Comercio en la siguiente dirección:

Comisión Federal de Comercio

Centro de atención al consumidor

600 Avenida Pennsylvania NW

Washington, DC 20580

EE.UU

consumerline@ftc.gov

www.ftc.gov

ANEXO DE PROTECCIÓN DE DATOS

PERSONAL — DPA

Instrumento general aplicable a los clientes de Topaz

TOPAZ PARTICIPAÇÕES SA, registrada en el CNPJ/MF con el número 42.385.707/0001-03, con domicilio social en Av. Visconde de Indaiatuba, 1277, Indaiatuba/SP, Brasil, entendida como la entidad comercial y sus filiales y sucursales que mantienen relaciones contractuales con proveedores y prestadores de servicios, en adelante denominada "TOPAZ", emite este Anexo de Protección de Datos Personales (en adelante, "APD"), un instrumento general aplicable a sus relaciones contractuales con clientes (cada uno, en adelante, "CLIENTE"), bajo los siguientes términos.

MIENTRAS QUE:

(i) TOPAZ mantiene relaciones contractuales con varios clientes, formalizadas mediante instrumentos contractuales específicos, que incluyen, sin limitación, acuerdos de servicio de software como servicio (SaaS), licencias, mantenimiento, soporte y servicios relacionados (cada uno, en adelante, el "Acuerdo Principal");

(ii) la ejecución de los Contratos Principales implica, directa o indirectamente, el Tratamiento, por parte de TOPAZ, de Datos Personales cuya titularidad para la toma de decisiones pertenece al CLIENTE o a los titulares atendidos por el CLIENTE;

(iii) una parte relevante de los Contratos Principales vigentes no incluye cláusulas específicas y adecuadas en materia de privacidad y protección de Datos Personales, o las incluye de manera incompleta a la luz de la legislación aplicable;

(iv) la Ley General de Protección de Datos (Ley n.º 13.709/2018 — «LGPD»), el Reglamento General de Protección de Datos de la Unión Europea (Reglamento UE 2016/679 — «RGPD») y demás legislación aplicable imponen la obligación de regular contractualmente las condiciones para el tratamiento de datos personales entre responsables y encargados del tratamiento;

(v) TOPAZ está certificada según las normas ISO/IEC 27001 e ISO/IEC 27701 y mantiene un sólido programa de gobernanza en materia de privacidad y seguridad de la información, comprometiéndose a ofrecer a sus clientes estándares compatibles con dichas certificaciones;

(vi) TOPAZ promoverá, en los próximos meses, la formalización de adendas contractuales específicas con sus clientes cuyos Contratos Principales no incluyan cláusulas adecuadas en materia de protección de Datos Personales, si bien es necesario un instrumento general para regular, a partir de ahora, el Tratamiento de Datos Personales en el ámbito de dichas relaciones contractuales;

Al continuar utilizando los servicios contratados con TOPAZ después de recibir este DPA (Documento de Acuerdo Previo), el CLIENTE se adhiere plena e incondicionalmente a sus disposiciones, que pasan a formar parte del Contrato Principal por adhesión resultante de la continuación de la relación contractual, sin perjuicio de la posterior formalización de un anexo contractual específico, bajo las siguientes cláusulas y condiciones:

CLÁUSULA 1 — DEFINICIONES

1.1. A los efectos del presente Acuerdo de Protección de Datos, los términos que figuran a continuación, siempre que aparezcan en mayúscula, tendrán los siguientes significados:

(a) "Autoridad Competente": la Autoridad Nacional de Protección de Datos — ANPD, en Brasil, y cualquier otra autoridad nacional o supranacional con competencia de supervisión en materia de protección de datos personales;

(b) "CLIENTE": cualquier persona, física o jurídica, que mantenga una relación contractual vigente con TOPAZ, como receptor de servicios o licenciatario de software proporcionado por TOPAZ;

(c) "Contrato Principal": el instrumento contractual o conjunto de instrumentos contractuales vigentes entre TOPAZ y el CLIENTE, mediante los cuales TOPAZ presta servicios o licencia software al CLIENTE;

(d) "Datos Personales": cualquier información relativa a una persona física identificada o identificable, según lo define la Ley Aplicable, que sea procesada por TOPAZ en virtud del Acuerdo Principal;

(e) "Datos personales sensibles": datos personales relativos al origen racial o étnico, creencias religiosas, opiniones políticas, afiliación sindical o pertenencia a una organización religiosa, filosófica o política, datos relativos a la salud o la vida sexual, datos genéticos o biométricos, cuando estén vinculados a una persona física;

f) «Oficial de Protección de Datos» o «OPD»: persona designada para actuar como canal de comunicación con los interesados y la Autoridad Competente, de conformidad con la Legislación Aplicable;

(g) "Incidente": cualquier evento, confirmado o sospechado, que pueda resultar en acceso no autorizado, pérdida, alteración, comunicación, destrucción o cualquier otra forma de procesamiento indebido o ilícito de Datos Personales;

(h) "Instrucciones documentadas": las instrucciones del CLIENTE con respecto al Tratamiento de Datos Personales, contenidas en el Contrato Principal, sus anexos, la documentación técnica del servicio o comunicaciones formales posteriores;

(i) "Legislación Aplicable": el conjunto de leyes, reglamentos, normas, directrices y decisiones vinculantes sobre privacidad y protección de Datos Personales aplicables a la ejecución del Acuerdo Principal, incluyendo, sin limitación, la LGPD, el RGPD y la legislación nacional específica de los países involucrados en el Tratamiento;

(j) "Partes": TOPAZ y CLIENTE, conjuntamente;

(k) "Portal de Privacidad": portal mantenido por TOPAZ, accesible en [dirección], donde están disponibles sus políticas, avisos y canales de contacto en relación con la privacidad y la protección de Datos Personales;

(l) "Suboperador": cualquier tercero contratado por TOPAZ para procesar Datos Personales en su nombre, dentro del ámbito de la ejecución del Contrato Principal;

(m) "Interesado": persona física a la que se refieren los Datos Personales que se están Tratando;

(n) "TOPAZ": la entidad comercial [nombre corporativo] y sus filiales que mantienen una relación contractual con el CLIENTE;

(o) "Tratamiento": cualquier operación realizada con Datos Personales, según lo define la Ley Aplicable.

1.2. Los demás términos utilizados en este Acuerdo de Protección de Datos, a menos que se definan expresamente, tendrán el significado que les asigne la Legislación Aplicable.

CLÁUSULA 2 — OBJETO, NATURALEZA JURÍDICA Y ADHESIÓN

2.1. El propósito de este DPA es establecer, de manera general y uniforme, las condiciones, obligaciones y responsabilidades aplicables al Tratamiento de Datos Personales llevado a cabo por TOPAZ dentro del ámbito del Contrato Principal, de conformidad con la Ley Aplicable.

2.2. Este DPA constituye un instrumento de adhesión general, aplicable a todos los clientes de TOPAZ cuyos Contratos Principales vigentes no incluyan cláusulas específicas y adecuadas en materia de protección de Datos Personales, e integra el Contrato Principal por adhesión resultante del uso continuado de los servicios por parte del CLIENTE después de su disponibilidad por parte de TOPAZ.

2.3. El uso continuado de los servicios por parte del CLIENTE tras la entrega de este Acuerdo de Protección de Datos (APD) constituye la aceptación plena e incondicional de sus disposiciones, de conformidad con el artículo 111 del Código Civil brasileño y las prácticas comerciales establecidas, sin perjuicio de la posterior formalización de un anexo contractual específico, según lo previsto en el punto 5 de la comunicación institucional de TOPAZ. 2.4. Este APD no se aplica a los Contratos Principales que ya incluyan cláusulas específicas y adecuadas en materia de protección de Datos Personales, salvo que sea complementario y no entre en conflicto con las disposiciones existentes.

2.5. En caso de conflicto entre las disposiciones del Contrato Principal, este DPA y la Ley Aplicable, prevalecerá el siguiente orden jerárquico: (a) la Ley Aplicable; (b) este DPA; y (c) el Contrato Principal, excepto según lo dispuesto en la Cláusula 2.4.

2.6. En caso de promulgación o modificación de cualquier ley o reglamento aplicable al Tratamiento de Datos Personales, TOPAZ podrá adaptar este DPA publicando una nueva versión en su Portal de Privacidad.

CLÁUSULA 3 — ROLES DE LAS PARTES

3.1. Las Partes reconocen que, dentro del ámbito del Contrato Principal:

(a) por regla general, el CLIENTE actúa como responsable del tratamiento de los Datos Personales, siendo responsable de las decisiones relativas a los fines y los medios esenciales del Tratamiento, y TOPAZ actúa como encargado del tratamiento, llevando a cabo el Tratamiento en nombre y por cuenta del CLIENTE, dentro de los límites de las Instrucciones Documentadas;

(b) excepcionalmente, en casos específicos previstos en la Propuesta Comercial, en anexos al Contrato Principal o en comunicaciones formales entre las Partes, TOPAZ y el CLIENTE podrán actuar como controladores independientes, un caso regulado por la Cláusula 13;

(c) cualquier caso de control conjunto dependerá de una disposición expresa y formalización por escrito entre las Partes, con una indicación clara de sus respectivas responsabilidades.

3.2. La clasificación específica de cada operación de Tratamiento se determinará por su naturaleza, propósito y elementos fácticos verificables, independientemente de cualquier designación contractual que se le pueda asignar.

3.3. TOPAZ procesará los Datos Personales exclusivamente de acuerdo con las Instrucciones Documentadas del CLIENTE. Si TOPAZ considera que alguna instrucción recibida infringe la Legislación Aplicable, lo notificará de inmediato al CLIENTE, quien podrá, a su discreción, modificar la instrucción o rescindir el Contrato Principal sin penalización alguna.

CLÁUSULA 4 — DATOS PROCESADOS, FINALIDADES Y DURACIÓN

4.1. TOPAZ procesará únicamente los Datos Personales necesarios para la ejecución del objeto del Contrato Principal, observando los principios de finalidad, adecuación y necesidad.

4.2. Las categorías de Datos Personales tratados, las categorías de Interesados involucrados y los fines específicos del Tratamiento corresponden a los que se derivan del objeto del Contrato Principal, y pueden detallarse en un documento complementario o en la documentación técnica del servicio.

4.3. La duración del Tratamiento corresponderá al plazo del Contrato Principal, sin perjuicio de las obligaciones que, por su naturaleza, deban subsistir tras su terminación, de conformidad con la Cláusula 14.

4.4. El CLIENTE declara y garantiza a TOPAZ que tiene una base legal adecuada para la recopilación y el intercambio de Datos Personales con TOPAZ, así como para los fines de Procesamiento establecidos en el Contrato Principal, y es responsable del cumplimiento de su propio Procesamiento con los Interesados y la Autoridad Competente.

CLÁUSULA 5 — DECLARACIONES Y GARANTÍAS DE TOPAZ

5.1. TOPAZ declara y garantiza al CLIENTE que:

(a) cumple plenamente con la Ley Aplicable en todas las operaciones de Tratamiento que realiza en virtud del Contrato Principal, incluyendo la Constitución Federal, el Código de Protección al Consumidor, el Código Civil, el Marco Civil da Internet (Ley No. 12.965/2014), la LGPD, el RGPD y otras normas sectoriales o generales sobre protección de datos personales que estén en vigor o puedan entrar en vigor durante la vigencia del Contrato Principal;

b) adopta y mantiene medidas técnicas, físicas y administrativas apropiadas para la protección de Datos Personales, alineadas con las mejores prácticas del mercado y compatibles con su certificación bajo las normas ISO/IEC 27001 e ISO/IEC 27701;

c) mantiene un programa de gobernanza de la privacidad que sea compatible con la naturaleza, el volumen y la sensibilidad de los Datos Personales procesados, incluyendo una política de privacidad, capacitación continua de los empleados, controles de acceso y un plan de respuesta a incidentes;

(d) cuenta con un Responsable de Protección de Datos designado formalmente, cuyos datos de contacto están disponibles en su Portal de Privacidad.

5.2. TOPAZ se compromete a modificar el Contrato Principal, según corresponda, para adaptarlo a los cambios en la Legislación Aplicable que puedan producirse durante su vigencia.

CLÁUSULA 6 — OBLIGACIONES ESPECÍFICAS DE TOPAZ COMO OPERADOR

6.1. Como operador, TOPAZ se compromete a:

(a) procesar los Datos Personales exclusivamente de acuerdo con las Instrucciones Documentadas del CLIENTE y en la medida estrictamente necesaria para la ejecución del Contrato Principal;

(b) no leer, copiar, modificar, transferir o eliminar Datos Personales sin la autorización expresa por escrito del CLIENTE, excepto para operaciones inherentes a la ejecución normal del Contrato Principal;

(c) no procesar Datos Personales para sus propios fines o para fines distintos de los establecidos por el CLIENTE, excepto en los casos de procesamiento de datos agregados y anonimizados que no estén vinculados a ningún Titular de Datos, con el fin de mejorar los servicios y la seguridad de la plataforma;

d) garantizar la confidencialidad de los Datos Personales por parte de sus empleados, agentes y suboperadores autorizados, mediante acuerdos de confidencialidad cuya efectividad subsiste después de la terminación de la relación respectiva;

e) capacitar y orientar a sus empleados y agentes sobre las disposiciones legales aplicables y las políticas internas de privacidad y seguridad;

f) garantizar que el acceso a los Datos Personales se base en el principio del acceso mínimo necesario, restringiéndolo a los empleados, agentes y suboperadores cuyas acciones sean esenciales para la ejecución del Contrato Principal;

g) mantener registros completos y exactos de las operaciones de tratamiento que realiza, de conformidad con el artículo 37 de la LGPD y el artículo 30 del RGPD, poniéndolos a disposición del CLIENTE previa solicitud motivada;

h) cooperar con el CLIENTE en las auditorías, investigaciones y notificaciones que puedan requerir la Autoridad Competente y los Titulares, de conformidad con lo dispuesto en las Cláusulas 10 y 12;

(i) informar al CLIENTE con antelación en caso de una orden judicial, administrativa o reglamentaria que requiera la entrega o divulgación de Datos Personales, a menos que esté expresamente prohibido por la ley;

(j) el CLIENTE no podrá ponerse en contacto con la empresa si cree que alguna Instrucción Documentada infringe la Ley Aplicable, según la Cláusula

3.3. CLÁUSULA 7 — MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZACIONALES

7.1. TOPAZ adopta y mantiene medidas técnicas, físicas y administrativas apropiadas para proteger los Datos Personales contra el acceso no autorizado, la destrucción, la pérdida, la alteración, la comunicación o la divulgación indebida, observando, como mínimo:

(a) mecanismos de autenticación para acceder a sistemas y bases de datos, incluyendo, cuando sea técnicamente factible, la autenticación multifactor;

b) medidas de anonimización, pseudonimización o cifrado, según corresponda a la naturaleza de los Datos Personales;

c) recursos que permitan el restablecimiento oportuno de la disponibilidad y el acceso a los Datos Personales en caso de un Incidente;

d) procesos continuos de verificación, prueba y evaluación de la eficacia de las medidas adoptadas;

(e) mantenimiento de inventario y registros de acceso, que contengan fecha, hora, duración, identidad del agente e identificación del recurso al que se accedió, por un período mínimo de 6 (seis) meses o por el período legal aplicable, el que sea más largo;

f) segregación lógica de los Datos Personales de cada CLIENTE, con el fin de evitar el acceso cruzado no autorizado;

g) la realización periódica de análisis de riesgos, pruebas de vulnerabilidad y auditorías internas, con la adopción de medidas de mitigación apropiadas;

h) mantenimiento de las certificaciones ISO/IEC 27001 e ISO/IEC 27701, o certificaciones equivalentes que puedan reemplazarlas.

7.2. TOPAZ proporcionará al CLIENTE, previa solicitud justificada, resúmenes de sus medidas técnicas y organizativas, certificaciones vigentes e informes de auditoría externa, de conformidad con las normas de confidencialidad aplicables.

CLÁUSULA 8 — SUBOPERADORES

8.1. El CLIENTE autoriza generalmente a TOPAZ a involucrar a suboperadores en el procesamiento de datos personales, siempre que estén sujetos a un instrumento escrito que les imponga obligaciones al menos equivalentes a las establecidas en este DPA.

8.2. TOPAZ mantiene una lista actualizada de suboperadores autorizados que participan en el procesamiento de datos personales en su portal de privacidad.

8.3. TOPAZ notificará al CLIENTE con al menos 30 (treinta) días de antelación sobre cualquier cambio en la lista de suboperadores, otorgándole al CLIENTE la oportunidad de presentar objeciones justificadas dentro de dicho plazo. Si TOPAZ considera legítima la objeción del CLIENTE y la contratación del suboperador es esencial para la ejecución del Contrato Principal, las Partes negociarán alternativas de buena fe; si el desacuerdo persiste, el CLIENTE podrá rescindir el Contrato Principal sin penalización alguna.

8.4. TOPAZ sigue siendo plenamente responsable ante el CLIENTE por los actos y omisiones de sus Suboperadores en lo que respecta a la protección de Datos Personales.

CLÁUSULA 9 — TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES

9.1. TOPAZ podrá realizar transferencias internacionales de Datos Personales, incluso a sitios de almacenamiento en la nube o mediante la contratación de Suboperadores, observando estrictamente las hipótesis legales previstas en el Artículo 33 de la LGPD, en el Capítulo V del RGPD y en otras regulaciones de la Autoridad Competente, incluyendo, según sea el caso, cláusulas contractuales estándar, reglas corporativas vinculantes (RCV) u otros mecanismos reconocidos.

9.2. TOPAZ documentará todas las transferencias internacionales realizadas, proporcionando al CLIENTE, previa solicitud justificada, información sobre los países de destino, las bases legales utilizadas y las salvaguardias adoptadas.

9.3. El CLIENTE podrá, mediante una objeción motivada, oponerse a determinadas transferencias internacionales que considere que comprometen la protección adecuada de los Datos Personales, en cuyo caso se aplicará el procedimiento de la Cláusula 8.3, cuando proceda.

CLÁUSULA 10 — DERECHOS DE LOS TITULARES Y COOPERACIÓN

10.1. El CLIENTE, en su calidad de responsable del tratamiento, es el principal responsable de responder a las solicitudes de los interesados y a las solicitudes de la Autoridad Competente.

10.2. TOPAZ proporcionará al CLIENTE todo el soporte técnico y operativo necesario para atender dichas solicitudes, respetando los siguientes tiempos máximos de respuesta, contados a partir de la recepción de la solicitud del CLIENTE:

(a) inmediatamente, en casos urgentes o que involucren incidentes;

b) dentro de las 72 (setenta y dos) horas, en los casos relacionados con el ejercicio de derechos por los Titulares o solicitudes de una Autoridad Competente;

10.3. TOPAZ tiene prohibido responder directamente a los interesados o a la Autoridad Competente sin la autorización previa y expresa del CLIENTE, excepto en los casos en que la Ley Aplicable dicte lo contrario o cuando la solicitud se refiera a Datos Personales controlados por la propia TOPAZ.

10.4. TOPAZ notificará de inmediato al CLIENTE sobre (i) cualquier solicitud legalmente vinculante de divulgación de Datos Personales realizada por una autoridad, excepto cuando dicha divulgación esté prohibida por ley; y (ii) cualquier solicitud recibida directamente de los Interesados en relación con los Datos Personales bajo el control del CLIENTE.

CLÁUSULA 11 — RESPUESTA ANTE INCIDENTES

11.1. TOPAZ notificará al CLIENTE, por escrito, de cualquier Incidente que pueda afectar a los Datos Personales tratados en virtud del Contrato Principal, dentro de un plazo que no exceda las 24 (veinticuatro) horas desde que tenga conocimiento del Incidente. 11.2. La notificación deberá contener, como mínimo: (a) fecha, hora y lugar del Incidente, o de su primera indicación; (b) fecha y hora en que TOPAZ tenga conocimiento del Incidente; (c) descripción de la naturaleza y el contexto del Incidente; (d) categorías y volumen aproximado de Datos Personales y Titulares de Datos afectados; (e) descripción de las posibles consecuencias del Incidente; (f) medidas adoptadas o propuestas para la contención, mitigación y remediación; (g) datos de contacto del Responsable de Protección de Datos o de la persona responsable de la información.

11.3. TOPAZ adoptará de inmediato las medidas apropiadas para corregir, contener y mitigar el Incidente, cooperando plenamente con el CLIENTE en la investigación, remediación y eventual notificación a los Responsables del Tratamiento de Datos y a la Autoridad Competente.

11.4. TOPAZ mantendrá registros detallados de todos los Incidentes, poniéndolos a disposición del CLIENTE previa solicitud justificada.

CLÁUSULA 12 — AUDITORÍA Y VERIFICACIÓN DEL CUMPLIMIENTO

12.1. El CLIENTE podrá verificar el cumplimiento por parte de TOPAZ de las obligaciones establecidas en este DPA, preferiblemente a través de los siguientes mecanismos:

(a) análisis de los informes de auditoría externa de las certificaciones ISO/IEC 27001 e ISO/IEC 27701 proporcionados por TOPAZ;

b) responder a los cuestionarios de cumplimiento presentados por el CLIENTE, a intervalos razonables;

c) análisis de las políticas, manuales y procedimientos publicados por TOPAZ en su Portal de Privacidad.

12.2. Si el CLIENTE considera insuficientes los mecanismos previstos en la Cláusula 12.1 en situaciones justificadas —en particular en caso de un Incidente relevante o determinación por parte de una Autoridad Competente— el CLIENTE podrá realizar una auditoría in situ o remota, directamente o a través de terceros contratados bajo un acuerdo de confidencialidad, sujeto a las siguientes condiciones: (a) notificación previa de al menos 15 (quince) días hábiles, excepto en casos de urgencia; (b) realización durante el horario laboral y de manera que se minimice la interferencia con las actividades regulares de TOPAZ; (c) límite de un máximo de 1 (una) auditoría por año, excepto en casos de Incidente o requerimiento de una Autoridad Competente; (d) prohibición de acceso a datos de otros clientes de TOPAZ o a información cubierta por confidencialidad comercial no relacionada con el Contrato Principal; (e) costos a cargo del CLIENTE, excepto en caso de un incumplimiento relevante, en cuyo caso los costos serán asumidos por TOPAZ.

CLÁUSULA 13 — CONTROL INDEPENDIENTE

13.1. En las circunstancias excepcionales en las que, dentro del ámbito del Contrato Principal, ambas Partes actúan como responsables independientes del tratamiento de Datos Personales:

(a) Cada Parte será responsable del cumplimiento de su propio Procesamiento, incluyendo la definición de bases legales apropiadas, el mantenimiento de sus propios avisos de privacidad y el respeto de los derechos de los Interesados;

b) cada Parte será responsable de los actos y omisiones de sus respectivos operadores;

(c) Las Partes informarán de manera clara y transparente a los Interesados de cualquier transferencia, divulgación o intercambio de Datos Personales entre ellas, obteniendo, cuando lo exija la Ley Aplicable, las bases legales pertinentes;

(d) Las Partes cooperarán de buena fe para responder a los Incidentes que les afecten a ambas, coordinando las comunicaciones con los Interesados y la Autoridad Competente siempre que sea posible.

13.2. Las demás disposiciones de este PAD se aplicarán subsidiariamente, cuando proceda, al caso de control independiente.

CLÁUSULA 14 — TERMINACIÓN DEL TRATAMIENTO

14.1. Al finalizar el Tratamiento estipulado en el Contrato Principal, por cualquier motivo, TOPAZ, según las instrucciones del CLIENTE:

(a) devolverá todos los Datos Personales al CLIENTE, en un formato estructurado e interoperable y dentro de un plazo razonable; o

b) transferirá los Datos Personales a un nuevo proveedor indicado por el CLIENTE, respetando la forma y el plazo especificados por el CLIENTE; y

(c) eliminará irreversiblemente todas las copias y copias de seguridad en su infraestructura y en la de sus suboperadores autorizados, excepto las que sean legalmente requeridas.

14.2. En ausencia de instrucciones expresas del CLIENTE dentro de los 60 (sesenta) días siguientes a la terminación del Contrato Principal, TOPAZ procederá a la eliminación de los Datos Personales, de conformidad con lo dispuesto en la Cláusula 14.1(c).

14.3. Las obligaciones de este DPA permanecerán vigentes mientras TOPAZ tenga acceso a, posesión de o capacidad para realizar operaciones de procesamiento que involucren los Datos Personales del CLIENTE, incluso después de la terminación del Acuerdo Principal.

14.4. TOPAZ mantendrá registros y evidencia de la devolución o eliminación de Datos Personales, poniéndolos a disposición del CLIENTE previa solicitud.

CLÁUSULA 15 — RESPONSABILIDAD E INDEMNIZACIÓN

15.1. Sin perjuicio del régimen de responsabilidad civil establecido por la Ley Aplicable, en particular los artículos 42 a 45 de la LGPD (Ley General de Protección de Datos de Brasil), cada Parte será responsable, en la medida de su respectiva conducta, por las pérdidas y daños —incluidos los daños morales y materiales, el lucro cesante, las multas administrativas y otras sanciones aplicadas por la Autoridad Competente— que surjan del incumplimiento de las obligaciones establecidas en este Acuerdo de Protección de Datos (APD), el Contrato Principal y la Ley Aplicable.

15.2. La Parte que, conforme a la Ley Aplicable, sea responsable solidariamente ante el Titular o la Autoridad Competente por un evento atribuible a la conducta de la otra Parte, tendrá derecho a ejercer pleno recurso contra esta última, en proporción a su respectiva responsabilidad determinada, incluidos los honorarios de abogados, los costos y otros gastos relacionados.

15.3. La compensación prevista en esta Cláusula incluye, sin limitación: (i) multas y sanciones administrativas aplicadas por la Autoridad Competente; (ii) sentencias y acuerdos judiciales; (iii) honorarios legales, periciales y notariales; (iv) costos de notificación a los Titulares y a la Autoridad Competente; y (v) otros gastos necesarios para la reparación del evento.

15.4. Las obligaciones de indemnización establecidas en esta Cláusula no están sujetas a ninguna limitación de responsabilidad que pueda establecerse en el Contrato Principal, con respecto a eventos que surjan de mala conducta intencional o negligencia grave por parte de la Parte responsable, o de incumplimiento intencional de una obligación sustancial en virtud de este DPA.

CLÁUSULA 16 — FECHA DE ENTRADA EN VIGOR Y ACTUALIZACIONES

16.1. Este DPA entra en vigor el [fecha] y permanece vigente indefinidamente, sujeto a la duración de cada Contrato Principal, así como al período posterior durante el cual las obligaciones relacionadas con los Datos Personales permanecen vigentes, según la Cláusula 14.

16.2. El uso continuado de los servicios por parte del CLIENTE después de que este DPA haya estado disponible constituye la aceptación plena e incondicional de sus disposiciones.

16.3. TOPAZ podrá, en cualquier momento, publicar una nueva versión de este Acuerdo de Protección de Datos en su Portal de Privacidad, debido a cambios en la Legislación Aplicable, las mejores prácticas del mercado o su política interna de privacidad. TOPAZ notificará al CLIENTE por escrito cualquier actualización sustancial con al menos 30 (treinta) días de antelación a su entrada en vigor, durante cuyo plazo el CLIENTE podrá expresar su opinión o rescindir el Contrato Principal sin penalización alguna, si considera que la nueva versión compromete sus intereses legítimos.

16.4. Este Acuerdo de Protección de Datos podrá ser sustituido, para un CLIENTE específico, por una adenda contractual firmada entre las Partes, en cuyo caso las disposiciones del nuevo instrumento prevalecerán con respecto a dicho CLIENTE. De conformidad con el punto 5 de la comunicación institucional de TOPAZ, TOPAZ se pondrá en contacto con el CLIENTE en los próximos meses para formalizar la actualización contractual correspondiente mediante una adenda específica.

CLÁUSULA 17 — DISPOSICIONES GENERALES

17.1. Este DPA se regirá por las leyes de la República Federativa de Brasil, y el tribunal competente para la resolución de cualquier controversia que surja de su aplicación será el indicado en el Contrato Principal, con renuncia expresa a cualquier otro, por muy privilegiado que sea.

17.2. La eventual invalidez o ineficacia de cualquier disposición de este DPA no afectará a las demás disposiciones, que seguirán siendo plenamente válidas y efectivas.

17.3. La tolerancia o inacción de cualquiera de las Partes con respecto al incumplimiento de las obligaciones de la otra Parte no constituirá una renuncia, novación o alteración de las disposiciones de este DPA.

17.4. Cualquier notificación derivada de este Acuerdo de Protección de Datos se enviará a las personas de contacto indicadas en el Contrato Principal o, en su ausencia, al Responsable de Protección de Datos de cada Parte, siendo el canal oficial de TOPAZ el que se encuentra disponible en su Portal de Privacidad.

17.5. En caso de discrepancias entre versiones de este Acuerdo de Protección de Datos en diferentes idiomas, prevalecerá la versión en portugués.

TOPAZ PARTICIPAÇÕES SA

Documento publicado el 22 de mayo de 2026 y disponible en https://www.topazevolution.com/portal-de-privacidade

El uso continuado de los servicios por parte del CLIENTE después de esta fecha constituye la aceptación plena e incondicional de este Acuerdo de Protección de Datos, sin perjuicio de la posterior formalización de un anexo contractual específico, de acuerdo con el calendario comunicado por TOPAZ.

CONDICIONES DE COMPROMISO Y TRATAMIENTO DE DATOS PERSONALES

Instrumento general aplicable a los proveedores y prestadores de servicios de Topaz

TOPAZ PARTICIPAÇÕES SA , registrada en el CNPJ/MF con el número 42.385.707/0001-03, con domicilio social en Av. Visconde de Indaiatuba, 1277, Indaiatuba/SP, Brasil, entendida como la entidad comercial y sus filiales y sucursales que mantienen relaciones contractuales con proveedores y prestadores de servicios, en adelante denominada "TOPAZ", emite este Compromiso y Acuerdo de Tratamiento de Datos Personales (en adelante, "TCTD"), un instrumento general aplicable a sus relaciones con proveedores y prestadores de servicios (cada uno, en adelante, "PROVEEDOR"), bajo los siguientes términos.

MIENTRAS QUE:

(i) Las Partes mantienen una relación contractual vigente, formalizada mediante uno o más instrumentos contractuales (en adelante, el "Contrato Principal"), a través de la cual el PROVEEDOR presta servicios o suministra productos a TOPAZ;

(ii) la ejecución del Contrato Principal implica, directa o indirectamente, el tratamiento de datos personales bajo la responsabilidad de TOPAZ o sus clientes;

(iii) el Contrato Principal, en su redacción actual, no incluye cláusulas específicas y adecuadas en materia de privacidad y protección de datos personales, o las incluye de forma incompleta a la luz de la legislación aplicable;

(iv) la Ley General de Protección de Datos (Ley n.º 13.709/2018 — «LGPD»), el Reglamento General de Protección de Datos de la Unión Europea (Reglamento UE 2016/679 — «RGPD») y demás legislación aplicable imponen a las Partes el deber de regular contractualmente las condiciones para el tratamiento de datos personales;

(v) TOPAZ está certificada según las normas ISO/IEC 27001 e ISO/IEC 27701 y está obligada a extender controles equivalentes a sus proveedores y prestadores de servicios;

(vi) TOPAZ promoverá, en los próximos meses, la formalización de adendas contractuales específicas con sus proveedores, sin embargo, es necesario un instrumento provisional para regular, a partir de ahora, el tratamiento de datos personales dentro del ámbito de la relación contractual actual;

Al continuar prestando servicios o suministrando productos a TOPAZ después de la disponibilidad de estos Términos y Condiciones, el PROVEEDOR se adhiere plena e incondicionalmente a sus disposiciones, que pasan a formar parte del Contrato Principal por adhesión resultante de la continuación de la relación contractual, bajo las siguientes cláusulas y condiciones:

CLÁUSULA 1 — DEFINICIONES

1.1. A los efectos de este TCTD, los términos que figuran a continuación, siempre que aparezcan en mayúscula, tendrán los siguientes significados:

b) "Datos personales": cualquier información relativa a una persona física identificada o identificable, según lo define la ley aplicable;

(c) "Datos personales sensibles": datos personales relativos al origen racial o étnico, creencias religiosas, opiniones políticas, afiliación sindical o pertenencia a una organización religiosa, filosófica o política, datos relativos a la salud o la vida sexual, datos genéticos o biométricos, cuando estén vinculados a una persona física;

(d) "Oficial de Protección de Datos" o "OPD": persona designada por las Partes para actuar como canal de comunicación con los interesados y la Autoridad Competente, de conformidad con la legislación aplicable;

(e) "Incidente": cualquier evento, confirmado o sospechado, que pueda resultar en acceso no autorizado, pérdida, alteración, comunicación, destrucción o cualquier otra forma de procesamiento indebido o ilícito de Datos Personales;

f) "Legislación aplicable": el conjunto de leyes, reglamentos, normas, directrices y decisiones vinculantes sobre privacidad y protección de datos personales aplicables a la ejecución del Acuerdo Principal, incluyendo, sin limitación, la LGPD, el RGPD y la legislación nacional específica de los países involucrados en el tratamiento;

(g) "Suboperador": cualquier tercero contratado por el PROVEEDOR para procesar Datos Personales en su nombre, dentro del ámbito de la ejecución del Contrato Principal;

h) "Interesado": la persona física a la que se refieren los Datos Personales que se están tratando;

(i) "TOPAZ": la entidad comercial [nombre corporativo] y sus filiales que tienen una relación contractual con el PROVEEDOR;

(m) "Tratamiento": cualquier operación realizada sobre Datos Personales, según lo define la Ley Aplicable.

1.2. Los demás términos utilizados en este TCTD, a menos que se definan expresamente, tendrán el significado que les asigne la Legislación Aplicable.

CLÁUSULA 2 — OBJETO Y NATURALEZA JURÍDICA

2.1. El propósito del presente Acuerdo de Procesamiento de Datos es establecer las condiciones, obligaciones y responsabilidades de las Partes en relación con el Procesamiento de Datos Personales realizado dentro del ámbito del Contrato Principal, de conformidad con la Ley Aplicable.

2.2. Este TCTD (Plazo de Compromiso con el Contrato) forma parte del Contrato Principal por adhesión resultante de la continuidad de la prestación del servicio después de su disponibilidad por parte de TOPAZ para el PROVEEDOR, sin perjuicio de la posterior formalización de un anexo contractual específico.

2.3. La prestación continua de servicios o el suministro de productos por parte del PROVEEDOR a TOPAZ, después de la disponibilidad de este TCTD, constituye la aceptación plena e incondicional de sus disposiciones, de conformidad con el Artículo 111 del Código Civil Brasileño y las prácticas establecidas en las relaciones comerciales.

2.4. En caso de conflicto entre las disposiciones del Contrato Principal, el presente TCTD y la Legislación Aplicable, prevalecerá el siguiente orden jerárquico: (a) la Legislación Aplicable; (b) el presente TCTD; y (c) el Contrato Principal.

2.5. En caso de promulgación o modificación de cualquier ley o reglamento aplicable al Tratamiento de Datos Personales, las Partes se comprometen a adaptar, de buena fe, el Contrato Principal y este Acuerdo de Tratamiento de Datos, para garantizar el cumplimiento continuo de la Legislación Aplicable.

CLÁUSULA 3 — ROLES DE LAS PARTES

3.1. A los efectos del presente Acuerdo de Tratamiento de Datos, las Partes reconocen que, dependiendo de la naturaleza específica de cada operación de tratamiento llevada a cabo en virtud del Acuerdo Principal, la relación entre ellas puede encuadrarse en uno de los siguientes escenarios:

(a) TOPAZ como entidad controladora y PROVEEDOR como operador, una situación regida por las Cláusulas 4 a 12 y 14 a 18 de este TCTD;

b) TOPAZ y PROVEEDOR como controladores independientes, una situación regulada por la Cláusula 13 de este TCTD, sin perjuicio de la aplicación subsidiaria de otras disposiciones compatibles.

3.2. La clasificación específica de cada operación de procesamiento se determinará por su naturaleza, propósito y elementos fácticos verificables, independientemente de cualquier designación contractual que se le pueda asignar.

CLÁUSULA 4 — DATOS PROCESADOS, FINALIDADES Y DURACIÓN

4.1. El PROVEEDOR tratará únicamente los Datos Personales necesarios para la ejecución del objeto del Contrato Principal, observando los principios de finalidad, adecuación y necesidad.

4.2. Las categorías de Datos Personales tratados, las categorías de Interesados involucrados y los fines específicos del Tratamiento corresponden a los que se derivan del objeto del Contrato Principal, y podrán detallarse en un documento suplementario firmado entre las Partes, cuando sea necesario.

4.3. La duración del Tratamiento corresponderá al plazo del Contrato Principal, sin perjuicio de las obligaciones que, por su naturaleza, deban permanecer vigentes después de su terminación, de conformidad con la Cláusula 14.

CLÁUSULA 5 — DECLARACIONES Y GARANTÍAS

5.1. Las Partes declaran y garantizan mutuamente que:

(a) cumplirá plenamente con la Legislación Aplicable en todas las operaciones de Procesamiento llevadas a cabo dentro del ámbito del Acuerdo Principal;

b) Adoptarán y mantendrán medidas técnicas y organizativas apropiadas para la protección de los Datos Personales;

c) mantendrá un programa de gobernanza de la privacidad compatible con la naturaleza, el volumen y la sensibilidad de los Datos Personales procesados;

(d) Contarán con un Plan de Respuesta ante Incidentes y procedimientos para identificar, contener y remediar dichos eventos.

5.2. TOPAZ declara y garantiza específicamente que:

(a) el Tratamiento de Datos Personales llevado a cabo por ella, desde la recogida hasta su eventual intercambio con el PROVEEDOR, cumple con la Legislación Aplicable;

b) las instrucciones proporcionadas al PROVEEDOR para el Tratamiento de Datos Personales son compatibles con la Legislación Aplicable;

(c) compartirá con el PROVEEDOR únicamente los Datos Personales estrictamente necesarios para la ejecución del Contrato Principal.

5.3. El PROVEEDOR declara y garantiza específicamente que:

(a) mantendrá absoluta confidencialidad respecto de los Datos Personales a los que tenga acceso, extendiendo esta obligación a sus empleados, agentes y suboperadores autorizados, siendo responsable civil, administrativa y penalmente por la divulgación o el uso indebido no autorizados;

b) observará estrictamente los derechos de los interesados y las instrucciones de TOPAZ con respecto al tratamiento de datos personales;

(c) notificará inmediatamente a TOPAZ si cree que alguna instrucción proporcionada por TOPAZ viola la Ley Aplicable, en cuyo caso TOPAZ podrá suspender la transferencia de Datos Personales y/o rescindir el Acuerdo Principal sin ningún cargo adicional;

(d) mantendrá registros completos y precisos de las operaciones de procesamiento que realice, de conformidad con la cláusula 7;

(e) observará las políticas de privacidad de TOPAZ disponibles en su Portal de Privacidad, asegurándose de que sus empleados, agentes y suboperadores autorizados las cumplan.

CLÁUSULA 6 — OBLIGACIONES ESPECÍFICAS DEL PROVEEDOR COMO OPERADOR

6.1. El PROVEEDOR tiene prohibido procesar Datos Personales para cualquier propósito que no sea el establecido en el Contrato Principal o en las instrucciones documentadas de TOPAZ.

6.2. Cualquier incumplimiento de las disposiciones de la Cláusula 6.1 constituirá un incumplimiento grave del contrato, autorizando a TOPAZ a rescindir el Contrato Principal de inmediato, sin perjuicio de las indemnizaciones aplicables y la aplicación de la penalización no compensatoria prevista en la Cláusula 15.

6.3. El PROVEEDOR no rectificará, eliminará ni restringirá el Tratamiento de Datos Personales por iniciativa propia, actuando únicamente sobre instrucciones documentadas de TOPAZ, excepto en los casos en que la Ley Aplicable dicte lo contrario.

CLÁUSULA 7 — MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZACIONALES

7.1. El PROVEEDOR deberá adoptar y mantener medidas de seguridad técnicas y organizativas adecuadas, alineadas con las mejores prácticas del mercado y compatibles con la naturaleza, el volumen y la sensibilidad de los Datos Personales tratados, observando, como mínimo:

(a) mecanismos de autenticación para el acceso a sistemas y bases de datos, incluyendo, siempre que sea técnicamente factible, la autenticación multifactor;

b) medidas de anonimización, pseudonimización o cifrado, según corresponda a la naturaleza de los Datos Personales;

c) recursos que permitan el restablecimiento oportuno de la disponibilidad y el acceso a los Datos Personales en caso de un Incidente;

d) procesos continuos para verificar, probar y evaluar la eficacia de las medidas adoptadas;

(e) el mantenimiento de un inventario detallado y registros de acceso, que contengan fecha, hora, duración, identidad del agente e identificación del recurso al que se accedió, durante un período mínimo de 6 (seis) meses o durante el período legal aplicable, el que sea más largo;

(f) restricción del acceso a los Datos Personales únicamente a los empleados, agentes y suboperadores autorizados, sujetos a términos de confidencialidad cuya efectividad permanece después de la terminación de la relación con el PROVEEDOR;

g) la formación continua de los empleados y agentes sobre sus responsabilidades en materia de protección de datos personales;

h) registro de actividades que impliquen el intercambio de Datos Personales con terceros o transferencia internacional, sujeto a lo dispuesto en la Cláusula 9;

(i) análisis periódicos de riesgos y pruebas de vulnerabilidad, con la adopción de medidas de mitigación apropiadas.

7.2. El PROVEEDOR solo procesará Datos Personales Sensibles cuando sea estrictamente necesario para la ejecución del Contrato Principal, observando salvaguardas técnicas adicionales compatibles con los requisitos legales más estrictos aplicables a esta categoría.

7.3. El PROVEEDOR deberá responder con prontitud a las solicitudes de TOPAZ relacionadas con autoevaluaciones, cuestionarios de seguridad, debida diligencia y otros procedimientos de verificación de cumplimiento, siendo responsable de la veracidad de la información proporcionada.

7.4. Durante las visitas a las instalaciones de TOPAZ, los empleados y representantes del PROVEEDOR podrían tener que firmar acuerdos de confidencialidad específicos y proporcionar los Datos Personales necesarios para el control de acceso, incluidos los Datos Personales Sensibles (como datos biométricos). En caso de negativa, el PROVEEDOR sustituirá al empleado o representante, asumiendo los costes correspondientes.

CLÁUSULA 8 — SUBCONTRATACIÓN Y SUBOPERADORES

8.1. El PROVEEDOR solo podrá involucrar a suboperadores en el procesamiento de datos personales con la autorización previa, expresa y por escrito de TOPAZ.

8.2. TOPAZ podrá otorgar autorización general para ciertas categorías de Suboperadores (como proveedores de infraestructura en la nube esenciales para la operación), en cuyo caso el PROVEEDOR deberá notificar a TOPAZ los cambios en la lista de Suboperadores con al menos 30 (treinta) días de anticipación, lo que le permitirá objetar con justificación.

8.3. En cualquier caso de subcontratación autorizada, el PROVEEDOR exigirá al Suboperador, mediante un instrumento escrito, que observe obligaciones al menos equivalentes a las previstas en este TCTD, y el PROVEEDOR seguirá siendo plenamente responsable ante TOPAZ por los actos y omisiones del Suboperador.

8.4. El PROVEEDOR tiene prohibido almacenar Datos Personales en plataformas, entornos o estructuras externas que no estén bajo su control directo o el de un Suboperador autorizado.

CLÁUSULA 9 — TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES

9.1. El PROVEEDOR no transferirá Datos Personales relacionados con el Contrato Principal fuera del territorio nacional, incluso para fines de almacenamiento en la nube, sin la autorización previa, expresa y por escrito de TOPAZ.

9.2. Cualquier transferencia internacional autorizada cumplirá estrictamente con las disposiciones legales establecidas en el Artículo 33 de la LGPD, el Capítulo V del RGPD y otras regulaciones de la Autoridad Competente, incluidas, cuando corresponda, las cláusulas contractuales estándar, las reglas corporativas vinculantes (RCV) u otros mecanismos reconocidos.

9.3. El PROVEEDOR deberá documentar todas las transferencias internacionales realizadas, manteniendo un registro accesible a TOPAZ cuando se le solicite.

CLÁUSULA 10 — DERECHOS DE LOS TITULARES Y COOPERACIÓN

10.1. TOPAZ es responsable de responder a las solicitudes de los interesados y de las autoridades competentes en relación con los datos personales tratados en virtud del Acuerdo Principal.

10.2. El PROVEEDOR tiene prohibido responder directamente a los interesados o a la Autoridad Competente sin la autorización previa y expresa de TOPAZ, excepto en los casos en que la Ley Aplicable dicte lo contrario.

10.3. El PROVEEDOR proporcionará a TOPAZ todo el apoyo necesario para cumplir con dichas solicitudes, respondiendo a cualquier solicitud de información de TOPAZ:

(a) inmediatamente, en casos urgentes o que involucren incidentes;

b) dentro de las 72 (setenta y dos) horas, en los casos relacionados con el ejercicio de derechos por los Titulares o solicitudes de una Autoridad Competente;

10.4. El PROVEEDOR deberá notificar inmediatamente a TOPAZ sobre (i) cualquier solicitud legalmente vinculante de divulgación de Datos Personales realizada por una autoridad, excepto cuando dicha comunicación esté prohibida por ley; (ii) cualquier Incidente; y (iii) cualquier solicitud recibida directamente de los Interesados o una Autoridad Competente.

CLÁUSULA 11 — RESPUESTA ANTE INCIDENTES

11.1. El PROVEEDOR deberá notificar a TOPAZ por escrito cualquier Incidente que pueda afectar a los Datos Personales tratados en virtud del Contrato Principal, dentro de un plazo no superior a 24 (veinticuatro) horas desde que tenga conocimiento del Incidente.

11.2. La notificación deberá contener, como mínimo:

(a) fecha, hora y lugar del Incidente, o de su primera indicación; (b) fecha y hora en que el PROVEEDOR tuvo conocimiento del Incidente; (c) descripción de la naturaleza y el contexto del Incidente; (d) categorías y volumen aproximado de Datos Personales y Titulares de Datos afectados; (e) descripción de las posibles consecuencias del Incidente; (f) medidas adoptadas o propuestas para la contención, mitigación y remediación; (g) datos de contacto del Responsable de Protección de Datos o de la persona responsable de la información.

11.3. El PROVEEDOR cooperará plenamente con TOPAZ en la investigación, mitigación, remediación y eventual notificación a los interesados y a la Autoridad Competente, siguiendo las instrucciones de TOPAZ.

CLÁUSULA 12 — AUDITORÍA E INSPECCIÓN

12.1. TOPAZ, directamente o a través de terceros contratados bajo un acuerdo de confidencialidad, podrá realizar auditorías e inspecciones en el PROVEEDOR para verificar el cumplimiento de este TCTD y la Legislación Aplicable.

12.2. Las auditorías se realizarán con al menos 10 (diez) días hábiles de aviso previo, durante el horario comercial y de manera que se minimice la interferencia con las actividades regulares del PROVEEDOR, excepto en casos de Incidente o requerimiento de una Autoridad Competente, en cuyo caso el plazo podrá reducirse.

12.3. TOPAZ sufragará los gastos ordinarios de la auditoría. Si la auditoría detecta un incumplimiento relevante de este TCTD o de la legislación aplicable por parte del PROVEEDOR, el PROVEEDOR sufragará íntegramente los gastos de la auditoría, incluidas las auditorías adicionales de verificación de subsanación.

12.4. Las auditorías pueden incluir, sin limitación, la inspección de registros, sistemas, instalaciones físicas y entornos virtuales, así como entrevistas con empleados y representantes del PROVEEDOR.

CLÁUSULA 13 — CONTROL INDEPENDIENTE

13.1. En los casos en que, dentro del ámbito del Contrato Principal, ambas Partes actúen como responsables independientes del tratamiento de Datos Personales:

(a) cada Parte será responsable del cumplimiento de su propio Tratamiento, incluyendo la definición de bases legales apropiadas, el mantenimiento de sus propios avisos de privacidad y el respeto de los derechos de los Interesados;

b) cada Parte será responsable de los actos y omisiones de sus respectivos operadores;

(d) Las Partes cooperarán de buena fe para responder a los Incidentes que les afecten a ambas, coordinando las comunicaciones con los Interesados y la Autoridad Competente siempre que sea posible.

13.2. Las demás disposiciones de este TCTD se aplicarán subsidiariamente, cuando corresponda, al caso de auditoría independiente.

CLÁUSULA 14 — TERMINACIÓN DEL TRATAMIENTO

14.1. Al finalizar el Tratamiento estipulado en el Contrato Principal, por cualquier motivo, el PROVEEDOR, según las instrucciones de TOPAZ:

(a) devolverá todos los Datos Personales a TOPAZ, en un formato estructurado e interoperable y dentro de un plazo razonable; o

b) transferirá los Datos Personales a un nuevo proveedor indicado por TOPAZ, respetando la forma y el plazo especificados por TOPAZ; y

(c) eliminará irreversiblemente todas las copias y copias de seguridad en su infraestructura y en la de sus suboperadores autorizados, excepto las que sean legalmente requeridas.

14.2. Las obligaciones de este Acuerdo de Procesamiento de Datos permanecerán vigentes mientras el PROVEEDOR tenga acceso a, posea o tenga la capacidad de realizar operaciones de procesamiento que involucren Datos Personales proporcionados por TOPAZ, incluso después de la terminación del Acuerdo Principal.

14.3. El PROVEEDOR mantendrá registros y evidencia de la devolución o eliminación de Datos Personales, poniéndolos a disposición de TOPAZ cuando se le solicite.

CLÁUSULA 15 — RESPONSABILIDAD E INDEMNIZACIÓN

15.1. El PROVEEDOR es plenamente responsable de las pérdidas, daños, lucro cesante e indemnizaciones derivadas de eventos relacionados con los Datos Personales procesados por él, debido a su propia acción u omisión, o la de sus empleados, agentes o suboperadores, y se compromete a indemnizar a TOPAZ o a terceros perjudicados, incluyendo, sin limitación, (i) multas y sanciones administrativas aplicadas por la Autoridad Competente; (ii) sentencias y acuerdos judiciales; (iii) honorarios de abogados, peritos y notarios; (iv) costos de notificación a los Titulares de Datos y a la Autoridad Competente; (v) comunicaciones a la prensa y medidas de gestión de reputación; y (vi) otros gastos necesarios para remediar el evento.

15.2. Sin perjuicio de las indemnizaciones aplicables, el incumplimiento de las obligaciones materiales establecidas en este TCTD someterá al PROVEEDOR al pago de una multa no compensatoria equivalente al 10% (diez por ciento) de los últimos doce pagos mensuales del Contrato Principal, sin perjuicio de otras sanciones legales y contractuales aplicables.

15.3. TOPAZ podrá retener los pagos adeudados al PROVEEDOR hasta el límite necesario para cubrir las indemnizaciones y penalizaciones estipuladas en esta Cláusula.

15.4. Las obligaciones de indemnización establecidas en esta Cláusula no están sujetas a ninguna limitación de responsabilidad que pueda establecerse en el Contrato Principal.

15.5. TOPAZ será el único responsable de los hechos que resulten directa y demostrablemente de su propia conducta en violación de este TCTD o la legislación aplicable, de acuerdo con los principios generales de responsabilidad civil.

CLÁUSULA 16 — FECHA DE ENTRADA EN VIGOR

16.1. Este TCTD entra en vigor en la fecha en que TOPAZ lo pone a disposición del PROVEEDOR y permanece vigente durante la vigencia del Contrato Principal, así como durante el período posterior durante el cual subsisten obligaciones relacionadas con los Datos Personales, según la Cláusula 14.

16.2. La prestación continuada de servicios por parte del PROVEEDOR después de la disponibilidad de este TCTD constituye su plena adhesión a las disposiciones aquí contenidas.

16.3. TOPAZ podrá, en cualquier momento, publicar una nueva versión de este TCTD en su Portal de Privacidad, debido a cambios en la Legislación Aplicable, las mejores prácticas del mercado o su política interna de privacidad. La nueva versión entrará en vigor a partir de la fecha indicada en la misma, y la prestación continuada de servicios o el suministro de productos después de dicha fecha constituirá la aceptación de la versión actualizada.

16.4. Este TCTD podrá ser sustituido, para un PROVEEDOR específico, en cualquier momento, por un anexo contractual específico firmado entre las Partes, en cuyo caso prevalecerán las disposiciones del nuevo instrumento.

CLÁUSULA 17 — TRANSACCIONES CORPORATIVAS Y SUCESIÓN

17.1. El PROVEEDOR deberá notificar a TOPAZ, con al menos 30 (treinta) días de anticipación, cualquier transacción corporativa, incluyendo fusión, incorporación, escisión, adquisición de control o transferencia sustancial de activos, que pueda afectar el Procesamiento de Datos Personales cubierto por este TCTD.

17.2. TOPAZ podrá, con la debida justificación, (i) exigir garantías adicionales en cuanto al mantenimiento de los estándares de protección de Datos Personales; o (ii) rescindir el Contrato Principal sin penalización, si considera que la transacción corporativa compromete la protección adecuada de los Datos Personales.

17.3. Las obligaciones de este TCTD vinculan a los sucesores y cesionarios del PROVEEDOR en cualquier capacidad.

CLÁUSULA 18 — DISPOSICIONES GENERALES

18.1. Este TCTD se regirá e interpretará de conformidad con la ley aplicable al Contrato Principal, y el tribunal aquí indicado tendrá jurisdicción para resolver cualquier disputa.

18.2. La eventual invalidez o ineficacia de cualquier disposición de este TCTD no afectará a las demás disposiciones, que seguirán siendo plenamente válidas y efectivas.

18.3. La tolerancia o inacción de cualquiera de las Partes con respecto al incumplimiento de las obligaciones por parte de la otra no constituirá una renuncia, novación o alteración de las disposiciones de este TCTD.

18.4. Cualquier notificación derivada de este TCTD se enviará a las personas de contacto indicadas en el Contrato Principal o, en su ausencia, al Responsable de Protección de Datos de cada Parte.

18.5. En caso de discrepancias entre versiones de este TCTD en diferentes idiomas, prevalecerá la versión en portugués.

TOPAZ PARTICIPAÇÕES SA

Documento publicado el 22 de mayo de 2026 y puesto a disposición mediante mensaje directo enviado a todos los PROVEEDORES, y en https://www.topazevolution.com/portal-de-privacidade .

La prestación continuada de servicios o el suministro de productos por parte del PROVEEDOR a TOPAZ después de esta fecha constituye la aceptación plena e incondicional de este TCTD.

Portal de Privacidad

Política de Privacidad

Declaración de privacidad de Topaz

Datos personales que recopilamos

Cómo utilizamos los datos personales

Razones por las que compartimos datos personales

Cómo acceder y controlar sus datos personales

Tus preferencias de comunicación

Controles basados ​​en el navegador

seguridad de los datos personales

Dónde almacenamos y procesamos datos personales.

Nuestra política de retención de datos personales

Ley de privacidad del consumidor

California – CCPA

Cambios en esta Declaración de Privacidad

Cómo contactarnos

Solicitud de acceso del interesado a los datos

Declaración de privacidad de Topaz Services

Información personal y datos de servicio que recopilamos

Cómo recopilamos y utilizamos los datos del servicio

Razones por las que compartimos datos de servicio

Seguridad de los datos del servicio

Dónde almacenamos y procesamos datos personales.

Nuestra política de retención de datos personales

Ley de Privacidad del Consumidor de California – CCPA

Cambios en esta Declaración de Privacidad

Cómo contactarnos

Solicitud de acceso del interesado a los datos

ANEXO DE PROTECCIÓN DE DATOS

PERSONAL — DPA

Instrumento general aplicable a los clientes de Topaz

MIENTRAS QUE:

CLÁUSULA 1 — DEFINICIONES

CLÁUSULA 2 — OBJETO, NATURALEZA JURÍDICA Y ADHESIÓN

CLÁUSULA 3 — ROLES DE LAS PARTES

CLÁUSULA 4 — DATOS PROCESADOS, FINALIDADES Y DURACIÓN

CLÁUSULA 5 — DECLARACIONES Y GARANTÍAS DE TOPAZ

CLÁUSULA 6 — OBLIGACIONES ESPECÍFICAS DE TOPAZ COMO OPERADOR

3.3. CLÁUSULA 7 — MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZACIONALES

CLÁUSULA 8 — SUBOPERADORES

CLÁUSULA 9 — TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES

CLÁUSULA 10 — DERECHOS DE LOS TITULARES Y COOPERACIÓN

CLÁUSULA 11 — RESPUESTA ANTE INCIDENTES

CLÁUSULA 12 — AUDITORÍA Y VERIFICACIÓN DEL CUMPLIMIENTO

CLÁUSULA 13 — CONTROL INDEPENDIENTE

CLÁUSULA 14 — TERMINACIÓN DEL TRATAMIENTO

CLÁUSULA 15 — RESPONSABILIDAD E INDEMNIZACIÓN

CLÁUSULA 16 — FECHA DE ENTRADA EN VIGOR Y ACTUALIZACIONES

CLÁUSULA 17 — DISPOSICIONES GENERALES

CONDICIONES DE COMPROMISO Y TRATAMIENTO DE DATOS PERSONALES

Instrumento general aplicable a los proveedores y prestadores de servicios de Topaz

CLÁUSULA 1 — DEFINICIONES

CLÁUSULA 2 — OBJETO Y NATURALEZA JURÍDICA

CLÁUSULA 3 — ROLES DE LAS PARTES

CLÁUSULA 4 — DATOS PROCESADOS, FINALIDADES Y DURACIÓN

CLÁUSULA 5 — DECLARACIONES Y GARANTÍAS

CLÁUSULA 6 — OBLIGACIONES ESPECÍFICAS DEL PROVEEDOR COMO OPERADOR

CLÁUSULA 7 — MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZACIONALES

CLÁUSULA 8 — SUBCONTRATACIÓN Y SUBOPERADORES

CLÁUSULA 9 — TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES

CLÁUSULA 10 — DERECHOS DE LOS TITULARES Y COOPERACIÓN

CLÁUSULA 11 — RESPUESTA ANTE INCIDENTES

Controles basados en el navegador