Políticas de Qualidade e Segurança da Informação

[DPA] Data Processing Agreement

[TCTD] Termo de Compromisso e Tratamento de Dados Pessoais

Política de Qualidade Global

A política global de qualidade da Topaz tem foco em: Devemos manter sempre nossos clientes satisfeitos, ter foco na gestão e buscar a melhoria contínua através da transformação digital.

Política de Segurança e Privacidade da Informação

A Alta Administração da Topaz reconhece a importância de identificar e proteger os ativos de informação da organização, evitando a destruição, divulgação indevida, modificação indevida ou uso não autorizado de quaisquer informações e dados pessoais relacionados a seus clientes, colaboradores, fornecedores, precificação, estratégia, gestão ou outros conceitos relacionados, bem como informações e dados pessoais relativos a terceiros em geral.

Portanto, a Topaz está comprometida em desenvolver, implementar, manter e melhorar continuamente o Sistema de Gestão de Segurança da Informação (SGSI) e o Sistema de Gestão de Segurança da Privacidade da Informação (SGPI) a fim de garantir a confidencialidade, disponibilidade e integridade das informações e o tratamento adequado dos ativos e dados pessoais com base nas leis, regras e regulamentos onde mantém suas atividades e operações. Em caso de descumprimento da Política de Segurança da Informação e Privacidade da Informação, a Topaz tomará as medidas adequadas para corrigir.

Para alcançar esse objetivo, Topaz:

Estabelece objetivos anuais em relação à Segurança da Informação e privacidade da informação.
Garante a identificação e o cumprimento dos requisitos do negócio, obrigações contratuais, legais e regulamentares de segurança.
Desenvolve um processo de análise de risco e, de acordo com seus resultados, implementa as ações adequadas para enfrentar riscos considerados inaceitáveis com base em critérios estabelecidos no processo de Identificação e Avaliação de Riscos.

Controles de Segurança da Informação implementados na organização

Controles Organizacionais
Controles de Pessoas
Controles Físicos
Controles Tecnológicos

Política de Privacidade

O Topaz é composto pelas maiores empresas de tecnologia bancária do mercado, especializadas em soluções financeiras digitais, e também integrante do Grupo Stefanini, que possui a mais completa e aderente plataforma tecnológica do mercado.

A Topaz, respeita a privacidade individual e valoriza a confiança de seus clientes, funcionários, fornecedores, consumidores, parceiros de negócios e outros. A Topaz esforça-se para coletar, usar e proteger dados pessoais de uma maneira consistente com as leis dos países nos quais fazem negócios.

A política de privacidade da Topaz considera os diversos requisitos regulatórios dos países onde opera, incluindo o Regulamento Geral de Proteção de Dados da UE (GDPR), a Lei de Proteção de Dados do Reino Unido de 2018, a Estrutura de Privacidade da APEC, a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos do Canadá (PIPEDA), os Princípios de Privacidade Australianos de acordo com a Lei de Privacidade de 1988 e a Lei Geral de Proteção de Dados (LGPD) do Brasil, exemplificativamente.

Adicionalmente, cumprimos com as diretrizes internacionais da Norma ISO/IEC 27001:2022 sobre gestão da segurança da informação e da Norma ISO/IEC 27701:2019 sobre gestão da privacidade da informação. Esses padrões garantem a implementação de controles adequados para a confidencialidade, integridade e disponibilidade dos dados.

Declaração de privacidade da Topaz

Última atualização: abril de 2023.

A Topaz participa da EU-U.S. Privacy Shield Framework e do Swiss-U.S. Privacy Shield Framework mas a Topaz não depende da EU-U.S. Privacy Shield Framework como base jurídica para transferências de dados pessoais à luz do acórdão do Tribunal de Justiça da UE na súmula legal C-311/18.

Sua privacidade é importante para nós. Esta declaração de privacidade aborda as informações que coletamos em nossos sites e em atividades de vendas e marketing off-line. Ele explica quais dados pessoais coletamos de você e como os usamos.

A seção Declaração de Privacidade dos Produtos e Serviços Topaz fornece informações adicionais relevantes para produtos e serviços específicos da Topaz. Esta declaração se aplica aos produtos listados da Topaz. As referências a produtos Topaz nesta declaração incluem serviços e soluções de software e outras tecnologias da Topaz.

Dados pessoais que coletamos

A Topaz coleta dados para operar de forma eficaz e proporcionar a você as melhores experiências com nossos produtos e serviços. Por meio de sua interação conosco, a Topaz pode coletar dados pessoais, que são informações que identificam um indivíduo ou se referem a um indivíduo identificável. Os dados pessoais podem incluir, mas não se limitam a seu nome, endereço físico, número de telefone, endereço de e-mail, afiliação da empresa e interesses associados.

Caso você interaja com nossa equipe de recrutamento, a Topaz pode solicitar determinados dados, incluindo histórico educacional e profissional, informações de contato e preferências, qualificações profissionais e vagas para as quais você gostaria de se inscrever. Você também pode optar por fornecer informações adicionais à Topaz, como seu currículo ou histórico escolar; referências de emprego e informações relacionadas; e pedidos de compensação. Além disso, a Topaz pode coletar informações de terceiros, por exemplo, em relação a uma verificação de antecedentes ou emprego e/ou referência de emprego.

A Topaz também pode coletar outras informações por meio de sua interação conosco e com sites que não sejam da Topaz, como, por exemplo, sites de seus clientes, de seus fornecedores e de seus prestadores de serviços. Outras informações podem incluir, mas não se limitam a informações do navegador e do dispositivo, dados coletados por meio de interações eletrônicas automatizadas, dados de uso de aplicativos, informações demográficas, informações geográficas ou de localização geográfica, informações estatísticas e agregadas.

Informações estatísticas ou agregadas não identificam diretamente uma pessoa específica, mas podem ser derivadas de Informações Pessoais. Por exemplo, podemos agregar Informações pessoais para calcular a porcentagem de visitantes em uma determinada região.

Em alguns casos, podemos combinar outras informações com informações pessoais, como combinar uma localização geográfica precisa com seu nome. Se combinarmos outras Informações com informações pessoais, trataremos as informações combinadas como informações pessoais.

Você tem opções sobre os dados que coletamos. Quando for solicitado que você forneça dados pessoais, você pode recusar. Mas se você optar por não fornecer os dados necessários a fim de que forneçamos determinado produto ou recurso, talvez você não consiga usar esse produto ou recurso.

A Topaz coletará apenas dados relevantes para os fins a que se destinam e, tomará medidas razoáveis para garantir que esses dados sejam relevantes, precisos, completos e atuais para o uso pretendido.

Como usamos dados pessoais

A Topaz utiliza os dados que coletamos para duas finalidades básicas, descritas com mais detalhes abaixo: (1) para operar nossos negócios e fornecer (incluindo melhorar e personalizar) os produtos e serviços que oferecemos e (2) enviar comunicações, incluindo comunicações promocionais.

Operações de negócio. Usamos dados para fornecer e melhorar os produtos e serviços que oferecemos e realizar operações comerciais essenciais. Usamos dados para desenvolver análises agregadas e inteligência de negócios que nos permitem operar, proteger, tomar decisões informadas e relatar o desempenho de nossos negócios e os serviços que nossos clientes desejam.

Comunicações. Usamos os dados que coletamos para entregar e personalizar nossas comunicações com você. Por exemplo, podemos contatá-lo por e-mail ou outros meios para convidá-lo a participar de uma pesquisa. Além disso, você pode se inscrever para assinaturas de e-mail e escolher se deseja receber comunicações promocionais da Topaz. Para obter informações sobre como gerenciar assinaturas de e-mail e comunicações promocionais, visite a seção “Suas Preferências de Comunicação” declaração de privacidade.

Recrutamento. Usamos os dados que coletamos para nos comunicarmos com você, para gerenciar os processos de recrutamento e contratação da Topaz e, para fins de conformidade para com a governança corporativa, bem como demais requisitos legais e regulatórios. Se você for contratado, as informações podem ser usadas em relação ao emprego e gestão corporativa.

Razões pelas quais compartilhamos dados pessoais

Compartilhamos seus dados pessoais com o seu consentimento ou conforme necessário para concluir qualquer transação ou fornecer qualquer produto que você tenha solicitado ou autorizado. Além disso, compartilhamos dados pessoais entre afiliadas e entidades controladas pelo Grupo Stefanini, grupo no qual a Topaz se insere. Também compartilhamos dados pessoais com fornecedores ou agentes que trabalham em nosso nome para os fins descritos nesta declaração. Por exemplo, empresas que eventualmente contratamos para fornecer suporte de atendimento ao cliente ou auxiliar na proteção e segurança de nossos sistemas e serviços podem precisar de acesso a dados pessoais para fornecer essas funções. Nesses casos, essas empresas devem obedecer aos nossos requisitos de privacidade e segurança de dados e não estão autorizadas a usar os dados pessoais que recebem de nós para qualquer outra finalidade. Também podemos divulgar dados pessoais como parte de uma transação corporativa, como uma fusão ou venda de ativos.

Por fim, acessaremos, transferiremos, divulgaremos e preservaremos os dados pessoais, incluindo o seu conteúdo, quando acreditarmos de boa-fé que isso é necessário para:

cumprir a lei aplicável ou responder a processos legais válidos, incluindo de órgãos de aplicação da lei ou outras agências governamentais;
proteger nossos clientes, por exemplo, para evitar spam ou tentativas de fraudar usuários de nossos produtos, ou para ajudar a evitar a perda de vidas ou ferimentos graves de qualquer pessoa;
operar e manter a segurança de nossos produtos, inclusive para prevenir ou impedir um ataque em nossos sistemas ou redes de computadores; ou proteger os direitos ou propriedade da Topaz, incluindo o cumprimento dos termos que regem o uso de nossos produtos e serviços – no entanto, se recebermos informações indicando que alguém está usando nossos serviços para traficar em propriedade intelectual ou física roubada da Topaz, não inspecionaremos a propriedade privada de um cliente, mas podemos encaminhar o assunto às autoridades legais.

Como acessar e controlar seus dados pessoais

Você pode fazer escolhas sobre a coleta e uso de seus dados pela Topaz. Você pode controlar seus dados pessoais que a Topaz obteve e exercer seus direitos de titular dos dados, entrando em contato com a Topaz. Isso pode incluir a limitação do uso e da divulgação de seus dados pessoais.

Mediante solicitação, a Topaz concederá aos titulares acesso razoável às informações pessoais que mantém sobre eles. Além disso, a Topaz tomará medidas razoáveis para permitir que as pessoas corrijam, alterem ou excluam informações que se demonstrem imprecisas ou incompletas.

Suas preferências de comunicação

Você pode escolher se deseja receber comunicações promocionais da Topaz por e-mail ou telefone. Se você receber um e-mail promocional nosso e quiser cancelar, siga as instruções da mensagem. Se você não deseja receber nossas ligações, não forneça um número de telefone para contato.

Controles baseados em navegador

Controles de cookies. Os controles relevantes de cookies baseados no navegador são descritos na seção Cookies do site da Topaz.

Segurança de dados pessoais

A Topaz tem o compromisso de proteger os seus dados pessoais. Usamos uma variedade de tecnologias e procedimentos de segurança para ajudar a proteger seus dados pessoais contra acesso, uso ou divulgação não autorizados. Por exemplo, armazenamos os dados pessoais que você fornece em sistemas de computador que têm acesso limitado e estão em instalações controladas. Quando transmitimos dados altamente confidenciais pela Internet (como uma senha, por exemplo), os protegemos por meio do uso de criptografia.

As políticas e procedimentos de segurança da Topaz são revisados e supervisionados pela Diretoria de Tecnologia e Segurança da Informação da Topaz. Esta Diretoria é responsável pela supervisão, conformidade e aplicação da segurança, por conduzir avaliações de segurança da informação e liderar o desenvolvimento da política e estratégia de segurança da informação.

A Topaz também está comprometida em reduzir os riscos de erro humano, roubo, fraude e uso indevido das suas instalações. Os esforços da Topaz incluem a conscientização de seu pessoal sobre as políticas de segurança e treiná-los para implementar estas políticas. Os empregados da Topaz são obrigados a manter a confidencialidade dos dados. As obrigações dos empregados incluem acordos de confidencialidade por escrito, treinamento regular sobre segurança da informação, em diversos níveis, e conformidade com as políticas da Topaz relativas à proteção de informações confidenciais.

A Topaz avalia e responde prontamente a incidentes que geram suspeitas de manipulação não autorizada de dados. A Diretoria de Tecnologia e Segurança da Informação, o Departamento Jurídico e o Encarregado pelo Tratamento de Dados da Topaz são informados sobre tais incidentes e, dependendo da natureza da atividade, definem caminhos de escalonamento e equipes de resposta para lidar com os incidentes. Se a Topaz determinar que seus dados foram apropriados indevidamente (inclusive por qualquer empregado da Topaz) ou adquiridos indevidamente por terceiros, a Topaz prontamente relatará tal apropriação ou aquisição a você.

A Topaz conduzirá auditorias anuais de conformidade de suas práticas de privacidade relevantes para verificar a conformidade com esta declaração e com a legislação correspondente vigente. A auditoria poderá ser conduzida interna ou externamente sob a direção da Diretoria de Tecnologia e Segurança da Informação, do Departamento Jurídico e do Encarregado pelo Tratamento de Dados Pessoais. Qualquer empregado que a Topaz identifique que esteja violandoesta declaração de privacidade estará sujeito a ações disciplinares que podem incluir demissão. Qualquer agente ou terceiro que violar esta declaração de privacidade violará materialmente todos os acordos com a Topaz e deverá defender e indenizar a Topaz de reclamações relacionadas a tais violações.

Onde armazenamos e processamos dados pessoais

Os dados pessoais coletados pela Topaz podem ser armazenados, processados e tratados em sua região, nos Estados Unidos ou em qualquer outro país onde a Topaz mantenha instalações. Tomamos medidas para garantir que os dados que coletamos de acordo com esta declaração de privacidade sejam tratados de acordo com as disposições desta declaração e os requisitos da lei aplicável, onde quer que os dados estejam localizados.

Se eventualmente transferirmos dados pessoais do Espaço Econômico Europeu ou do Brasil para outros países, usamos uma variedade de mecanismos legais, incluindo contratos, para ajudar a garantir seus direitos e proteções ao transferir seus dados.

Nossa retenção de dados pessoais

A Topaz retém os dados pessoais pelo tempo necessário para fornecer os produtos e cumprir as transações que você solicitou, ou para outros fins essenciais, como cumprir nossas obrigações legais, resolver disputas e fazer cumprir nossos acordos. Os dados de recrutamento são armazenados de acordo com os períodos máximos de retenção permitidos de acordo com a localização do candidato. Os candidatos podem solicitar a exclusão de seus dados a qualquer momento, caso não desejem dar continuidade à inscrição, notificando seu recrutador ou entrando em contato com o Encarregado pelo Tratamento de Dados Pessoais da Topaz.

Quando os dados pessoais são excluídos, eles são removidos dos sistemas ativos, mas podem permanecer em formato de backup por até um ano. Os dados, sejam em formato ao vivo ou backup, serão protegidos seguindo os mecanismos de Segurança da Informação da Topaz.

Lei de Privacidade do Consumidor da

Califórnia – CCPA

A Topaz, como “Provedora de Serviços” (conforme definido no CCPA) confirma que processará as informações pessoais que retém, usa ou divulga em relação com o seu desempenho sob qualquer contrato: (1) apenas em nome e para o benefício de o “Negócio” (conforme definido na CCPA) do qual recebeu as informações pessoais; (2) apenas de acordo com o contrato e as instruções anteriores por escrito da Empresa, se houver; a menos que (3) conforme exigido pela CCPA. A Topaz confirma que não processará informações pessoais para nenhum propósito que não seja o propósito específico de realizar os serviços especificados no contrato.

Alterações nesta Declaração de Privacidade

Atualizaremos esta declaração de privacidade quando necessário para refletir o feedback do cliente e as alterações em nossos produtos ou serviços. Quando publicarmos alterações nesta declaração, revisaremos a data da “última atualização” na parte superior da declaração. Se houver alterações materiais na declaração ou na forma como a Topaz usará seus dados pessoais, tornaremos tais informações públicas por meio do site da Topaz, antes que elas entrem em vigor. Recomendamos que você revise periodicamente esta declaração de privacidade para saber como a Topaz está protegendo suas informações.

Como entrar em contato conosco

Se você tiver uma preocupação com privacidade ou uma pergunta para o Encarregado pelo Tratamento de Dados da Topaz, entre em contato conosco usando as informações de contato a seguir. Responderemos a perguntas ou preocupações dentro de 30 (trinta) dias.

Solicitação de acesso do titular dos dados

Nome: Douglas Martins Silva (Encarregado pelo Tratamento de Proteção de Dados)

Endereço: Avenida Visconde de Indaiatuba, 1277, Indaiatuba/SP - Brasil – CEP 13338-010

Telefone - Brasil : 0800 591 5929 > opção 6

América Latina : +55 800 591 5929 > opção 6

e-mail: dpo@topazevolution.com

A depender da situação, a Topaz poderá atuar como controladora de dados pessoais recebidos por meio dos produtos ou serviços sujeitos a esta declaração, ou operadora de dados pessoais recebidos por força de contratos celebrados com nossos clientes, hipótese em que estes, na condição de controladores dos dados pessoais, tornam-se responsáveis por sanar eventuais dúvidas aos titulares dos dados pessoais e às autoridades competentes.

Para encontrar a entidade Topaz em seu país ou região, consulte https://www.topazevolution.com

Declaração de privacidade dos serviços Topaz

Última atualização: abril de 2023.

A Topaz participa da EU-U.S. Privacy Shield Framework e do Swiss-U.S. Privacy Shield Framework, mas a Topaz não depende da EU-U.S. Privacy Shield Framework como base jurídica para transferências de dados pessoais à luz do acórdão do Tribunal de Justiça da UE na súmula legal C-311/18.

A seção Declaração de Privacidade dos Serviços Topaz fornece informações adicionais relevantes para produtos e serviços específicos da Topaz. Esta declaração se aplica aos produtos e serviços da Topaz e pode incluir os serviços e soluções de software e outras tecnologias da Topaz. A Topaz estabeleceu esta política de privacidade com o objetivo de esclarecer que o uso das informações às quais ela pode ter acesso para a prestação de serviços é diferente do uso das informações cobertas pela declaração de privacidade da Topaz.

Alguns serviços têm seus próprios acordos de privacidade separados. No caso de um conflito entre uma declaração de privacidade da Topaz e os termos de qualquer contrato(s) entre um cliente e a Topaz, os termos deste(s) contrato(s) prevalecerão.

Para ver nossa declaração de privacidade geral, visite a Declaração de Privacidade da Topaz, no início deste documento.

Informações pessoais e dados de serviços que coletamos

A Topaz coleta dados para operar de forma eficaz e oferecer a você as melhores experiências com nossos produtos. Por meio de sua interação conosco, a Topaz pode coletar dados pessoais, que são dados que identificam um indivíduo ou se relacionam a um indivíduo identificável. Os dados pessoais podem incluir, mas não se limitam a seu nome, endereço físico, número de telefone, endereço de e-mail, afiliação à empresa e interesses associados. Esses dados são tratados segundo a declaração geral de privacidade da Topaz.

A Topaz também pode coletar Dados de Serviços. São dados que residem na Topaz, em sistemas de clientes ou terceiros aos quais a Topaz tenha acesso para realizar serviços (incluindo ambientes de teste, desenvolvimento e produção que podem ser acessados para realizar serviços de consultoria, implantação, manutenção e suporte da Topaz). A Topaz trata os dados dos serviços de acordo com os termos desta declaração de privacidade e os dados dos serviços como confidenciais, de acordo com os termos associados ao serviço.

Para ilustrar a diferença entre dados pessoais e dados de serviços, quando um cliente contrata a Topaz para serviços, o cliente fornece informações sobre si mesmo, incluindo nome, endereço, informações de faturamento e algumas informações de contato do empregado. Todas essas informações são pessoais e são tratadas de acordo com a declaração de privacidade da Topaz.

Em contrapartida, tendo contratado os serviços da Topaz, o cliente fornece à Topaz acesso ao seu ambiente de produção, desenvolvimento ou teste, que pode incluir dados pessoais sobre seus empregados, clientes, parceiros ou fornecedores (coletivamente “usuários finais”). Essas informações são dados pessoais e são tratadas de acordo com a Declaração de Privacidade de Serviços da Topaz.

A Topaz coletará apenas dados essenciais para os fins a que se destinam. A Topaz tomará medidas razoáveis para garantir que esses dados sejam tratados em estrita observância aos princípios previstos em lei e coerentes com a sua finalidade.

Como coletamos e usamos dados de serviços

A Topaz utiliza os dados de serviço que coletamos para duas finalidades básicas, descritas com mais detalhes abaixo: (1) para fornecer os produtos e prestar os serviços solicitados e (2) para cumprir nossas obrigações contratuais.

Para prestar serviços e corrigir problemas. Os dados de serviços podem ser acessados e usados para executar serviços em conformidade com seu contrato principal de serviços ou escopo de trabalho. Os dados que coletamos dependem dos produtos e recursos que você usa e podem incluir o seguinte:

Nome e dados de contato. Coletamos seu nome e sobrenome, endereço de e-mail, endereço postal, número de telefone e outros dados de contato semelhantes e necessários, durante a prestação dos serviços.
Credenciais. Coletamos senhas, dicas de senha e informações de segurança semelhantes usadas para autenticação e acesso à conta.
Dados de suporte. Quando você contrata a Topaz para suporte, coletamos dados sobre você e seu hardware, software e outros detalhes relacionados ao incidente de suporte. Esses dados incluem dados de contato ou autenticação, o conteúdo de seus chats e outras comunicações com o suporte da Topaz, dados sobre a condição da máquina e do aplicativo quando a falha ocorreu e durante os diagnósticos, e dados de sistema e registro sobre instalações de software e configurações de hardware.
Dados do dispositivo. Coletamos dados sobre seu dispositivo e a rede que você usa para se conectar. Inclui dados sobre os sistemas operacionais e outros softwares instalados em seu dispositivo, incluindo chaves do produto. Também pode incluir endereço IP, identificadores de dispositivo (como o número IMEI para telefones), configurações regionais e de idioma.
Relatórios de erros e dados de desempenho. Coletamos dados sobre o desempenho dos produtos e quaisquer problemas que você tenha com eles. Esses dados nos ajudam a diagnosticar problemas nos produtos que você usa e a melhorar nossos produtos e fornecer soluções. Dependendo do produto e das configurações, os relatórios de erro podem incluir dados como o tipo ou gravidade do problema, detalhes do software ou hardware relacionados a um erro, conteúdo dos arquivos que você estava usando quando ocorreu um erro e dados sobre outro software em seu dispositivo. Quaisquer cópias de dados de serviços criados para esses fins são mantidas apenas por períodos de tempo necessários para estes fins.
Para cumprir as obrigações contratuais. A Topaz pode ser obrigada a reter ou fornecer acesso aos dados dos serviços para cumprir os requisitos legais de relatórios, divulgação ou outros requisitos legais.

A Topaz não usa dados de serviços, exceto conforme declarado acima ou em seu contrato de serviços principal ou escopo de trabalho. A Topaz pode processar dados de serviços, mas não controla sua coleta ou práticas de uso de dados de serviços. Se você fornecer quaisquer dados de serviços para a Topaz, você será responsável por fornecer quaisquer notificações e / ou obter quaisquer consentimentos necessários para que a Topaz acesse, use, retenha e transfira dados de serviços conforme especificado nesta declaração e em seu contrato de serviços principal ou escopo de trabalho.

Razões pelas quais compartilhamos dados de serviços

Compartilhamos seus dados de serviços, com seu consentimento ou conforme necessário, para concluir qualquer transação ou fornecer qualquer produto que você solicitou ou autorizou. Além disso, podemos compartilhar dados de serviços entre afiliadas e entidades controladas pelo Grupo Stefanini, no qual a Topaz se insere. Também podemos compartilhar dados de serviços com fornecedores ou agentes que trabalham em nosso nome para os fins descritos nesta declaração. Por exemplo, as empresas que contratamos para prestar serviços de suporte de atendimento ao cliente ou auxiliar na proteção e segurança de nossos sistemas e serviços, podem precisar de acesso a dados de serviços para exercer tais funções. Nesses casos, essas empresas devem cumprir nossos requisitos de privacidade e segurança de dados e não têm permissão para usar os dados de serviços que recebem de nós para qualquer outra finalidade. Também podemos divulgar dados de serviços como parte de uma transação corporativa, como uma fusão ou venda de ativos.

Por fim, acessaremos, transferiremos, divulgaremos e preservaremos os dados dos serviços, incluindo seu conteúdo, quando acreditarmos de boa-fé que isso é necessário para:

cumprir a lei aplicável ou responder a processos legais válidos, incluindo de órgãos de aplicação da lei ou outras agências governamentais;
proteger nossos clientes, por exemplo, para evitar spam ou tentativas de fraudar usuários de nossos produtos, ou para ajudar a evitar a perda de vidas ou ferimentos graves de qualquer pessoa;
operar e manter a segurança de nossos produtos, inclusive para prevenir ou impedir um ataque em nossos sistemas ou redes de computadores; ou

proteger os direitos ou propriedade da Topaz, incluindo o cumprimento dos termos que regem o uso dos serviços – no entanto, se recebermos informações indicando que alguém está usando nossos serviços para traficar propriedade intelectual ou física roubada da Topaz, não inspecionaremos a propriedade privada de um cliente, mas podemos encaminhar o assunto às autoridades legais.

Segurança de dados de serviços

A Topaz tem o compromisso de proteger a segurança dos dados de seus serviços. Usamos uma variedade de tecnologias e procedimentos de segurança para ajudar a proteger os dados de seus serviços contra acesso, uso ou divulgação não autorizados.

O acesso da Topaz aos dados dos serviços é baseado na função/responsabilidade do cargo. Os dados dos serviços que residem nos sistemas hospedados pela Topaz são controlados por meio de uma estrutura de gerenciamento de contas. Você controla o acesso aos dados dos serviços por seus usuários finais; os usuários finais devem direcionar quaisquer solicitações relacionadas a suas informações pessoais a você.

As políticas de segurança da Topaz cobrem o gerenciamento da segurança tanto de suas operações internas quanto dos serviços. Essas políticas, alinhadas com a norma ISO / IEC 27001: 2013, regem todas as áreas de segurança aplicáveis aos serviços e se aplicam a todos os empregados da Topaz.

As políticas e procedimentos de segurança da Topaz são revisados e supervisionados pela Diretoria de Tecnologia e Segurança da Informação da Topaz. Esta Diretoria é ainda responsável pela supervisão, conformidade e aplicação da segurança, e por conduzir avaliações de segurança da informação, bem como liderar o desenvolvimento da política e estratégia de segurança da informação.

A Topaz também está comprometida em reduzir os riscos de erro humano, roubo, fraude e uso indevido das suas instalações. Os esforços da Topaz incluem a conscientização do seu pessoal sobre as políticas de segurança, além de treiná-los para implementar as políticas de segurança. Os empregados da Topaz são obrigados a manter a confidencialidade dos dados, por meio de termo firmado no ato de contratação. Além destes acordos de confidencialidade por escrito, as obrigações incluem treinamento regular sobre proteção de informações e conformidade com as políticas da empresa relativas à proteção de informações confidenciais.

A Topaz avalia e responde prontamente a incidentes que geram suspeitas de manipulação não autorizada de dados. A Diretoria de Tecnologia e de Segurança da Informação, o Departamento Jurídico e o Encarregado pelo Tratamento de Dados Pessoais da Topaz são informados sobre tais incidentes e, dependendo da natureza da atividade, definem caminhos de escalonamento e equipes de resposta para lidar com os incidentes. Se a Topaz concluir que seus dados foram apropriados indevidamente (inclusive por um empregado) ou adquiridos indevidamente por terceiros, a Topaz prontamente relatará tal apropriação ou aquisição a você.

A Topaz conduzirá auditorias anuais de conformidade de suas práticas de privacidade a fim de verificar a conformidade com esta declaração e com a legislação correspondente vigente. A auditoria poderá ser conduzida interna ou externamente sob a direção da Diretoria de Tecnologia e Segurança da Informação, do Departamento Jurídico e do Encarregado pelo Tratamento de Dados Pessoais. Qualquer empregado que a Topaz determinar que esteja violando esta declaração de privacidade estará sujeito a ações disciplinares que podem incluir demissão. Qualquer agente ou terceiro que violar esta declaração de privacidade violará materialmente todos os acordos com a Topaz, e deverá defender e indenizar a Topaz de reclamações relacionadas a tais violações.

Onde armazenamos e processamos dados pessoais

Os dados pessoais coletados pela Topaz podem ser armazenados, processados e tratados em sua região, nos Estados Unidos ou em qualquer outro país onde o Grupo Stefanini, no qual a Topaz se insere, ou seus prestadores de serviços mantenham instalações. Tomamos medidas para garantir que os dados que coletamos de acordo com esta declaração de privacidade sejam tratados de acordo com as disposições desta declaração e os requisitos da lei aplicável, onde quer que os dados estejam localizados.

Nossa retenção de dados pessoais

A Topaz retém os dados pessoais pelo tempo necessário para fornecer os produtos e cumprir as transações que você solicitou, ou para outros fins essenciais, como cumprir nossas obrigações legais, resolver disputas e fazer cumprir nossos acordos. Quando os dados pessoais são excluídos, eles são removidos dos sistemas ativos, mas podem permanecer em formato de backup por até um ano. Os dados, sejam em formato ao vivo ou backup, serão protegidos seguindo os mecanismos de Segurança da Informação já descritos acima.

Lei de Privacidade do Consumidor da Califórnia – CCPA

Alterações nesta Declaração de Privacidade

Como entrar em contato conosco

Solicitação de acesso do titular dos dados

Nome: Douglas Martins Silva (Encarregado pelo Tratamento de Proteção de Dados)

Endereço: Avenida Visconde de Indaiatuba, 1277, Indaiatuba/SP - Brasil – CEP 13338-010

Telefone - Brasil : 0800 591 5929 > opção 6

América Latina : +55 800 591 5929 > opção 6

e-mail: dpo@topazevolution.com

Para encontrar a entidade Topaz em seu país ou região, consulte

https://www.topazevolution.com

A EU-U.S. Privacy Shield Framework e a Swiss-U.S. Privacy Shield Framework

A Topaz não depende da EU-U.S. Privacy Shield Framework como base jurídica para transferências de dados pessoais à luz do acórdão do Tribunal de Justiça da UE na súmula legal C-311/18.

A Topaz está em conformidade com a EU-U.S. Privacy Shield Framework e ao Swiss-U.S. Privacy Shield Framework conforme estabelecido pelo Departamento de Comércio dos EUA em relação à coleta, uso e retenção de informações pessoais transferidas da União Europeia e da Suíça para os Estados Unidos. A Topaz, por meio do Grupo Stefanini, o qual ela se insere, certificou ao Departamento de Comércio que segue os Princípios do Privacy Shield. Se houver qualquer conflito entre os termos desta política de privacidade e os Princípios do Privacy Shield, os Princípios do Privacy Shield prevalecerão. Para saber mais sobre o programa Privacy Shield e ver nossa certificação, visite https://www.privacyshield.gov/.

A participação da Topaz no Privacy Shield se aplica a todos os dados pessoais que estão sujeitos à Declaração de Privacidade do Grupo Stefanini e são recebidos da União Europeia, Espaço Econômico Europeu e Suíça. O Grupo Stefanini, incluindo Topaz e as suas demais subsidiárias, cumprirá os Princípios do Privacy Shield em relação a esses dados pessoais.

A responsabilidade da Topaz pelos dados pessoais que recebe no Privacy Shield e, subsequentemente, transfere para terceiros é descrita nos Princípios do Privacy Shield. Em particular, a Topaz permanece responsável sob os Princípios do Privacy Shield se terceiros contratados para processar os dados pessoais em seu nome o fizerem de maneira inconsistente com os Princípios, a menos que a Topaz comprove que não é responsável pelo fato gerador do dano.

Conforme explicado na seção “Como entrar em contato conosco” desta Declaração de Privacidade da Topaz, encorajamos você a nos contatar caso tenha uma reclamação relacionada ao Privacy Shield (ou à privacidade geral). Se você tiver uma preocupação com privacidade ou uma pergunta para o Encarregado pelo Tratamento de Dados da Topaz, entre em contato conosco usando as informações de contato a seguir.

Nome: Douglas Martins Silva (Encarregado pelo Tratamento de Proteção de Dados)

Endereço: Avenida Visconde de Indaiatuba, 1277, Indaiatuba/SP - Brasil – CEP 13338-010

Telefone - Brasil : 0800 591 5929 > opção 6

América Latina : +55 800 591 5929 > opção 6

e-mail: dpo@topazevolution.com

Qualquer dúvida ou preocupação com relação ao uso ou divulgação de informações pessoais deve ser dirigida ao Encarregado pelo Tratamento de Proteção de Dados. A Topaz investigará e tentará resolver reclamações e disputas relacionadas ao uso e divulgação de informações pessoais de acordo com os princípios contidos na declaração de privacidade. Para reclamações que não podem ser resolvidas entre a Topaz e o reclamante, a Topaz, por meio do Grupo Stefanini, no qual a Topaz se insere, concordou em participar dos procedimentos de resolução de disputas do International Center for Dispute Resolution / American Arbitration Association (“ICDR / AAA”) de acordo com suas regras comerciais aplicáveis também como a Princípios do EU-U.S. Privacy Shield; desde que qualquer árbitro seja um advogado ou juiz aposentado com experiência significativa e reconhecida e conhecimento de questões de privacidade e tecnologia da informação. Consulte o site do ICDR / AAA para obter mais informações: http://go.adr.org/privacyshield.html. Todas as decisões do painel de arbitragem serão definitivas e vinculativas para as partes, que renunciam a qualquer direito de recorrer da decisão arbitral, na medida em que o recurso possa ser legalmente renunciado. Além disso, a Topaz usará as Autoridades Europeias de Proteção de Dados (DPA) como seu mecanismo de recurso independente com relação aos dados de recursos humanos da União Europeia. A Topaz usará o Comissário Federal Suíço de Proteção de Dados e Informações como seu mecanismo de recurso independente com relação aos dados de recursos humanos da Suíça.

Por fim, no Brasil, a Topaz seguirá estritamente o previsto na Lei Geral de Proteção de Dados e o recomendado pela Autoridade Nacional de Proteção de Dados, em âmbito administrativo, além de recorrer ao Foro Central da Comarca de São Paulo, Brasil, para eventuais demandas em âmbito judicial.

A Topaz também está sujeita à jurisdição da Comissão Federal de Comércio dos EUA. A Comissão Federal de Comércio pode ser contatada no seguinte endereço:

Comissão Federal de Comércio

A/C: Consumer Response Center

600 Pennsylvania Avenue NW

Washington, DC 20580

EUA

consumerline@ftc.gov

www.ftc.gov

ADENDO DE PROTEÇÃO DE DADOS

PESSOAIS — DPA

Instrumento Geral Aplicável aos Clientes da Topaz

A TOPAZ PARTICIPAÇÕES S.A., inscrita no CNPJ/MF sob nº 42.385.707/0001-03, sediada na Av. Visconde de Indaiatuba, 1277, Indaiatuba/SP, Brasil, assim entendida a sociedade empresária e suas a liadas e sucursais que mantenham relações contratuais com fornecedores e prestadores de serviços, doravante denominada "TOPAZ", edita o presente Adendo de Proteção de Dados Pessoais (doravante, "DPA"), instrumento geral aplicável às suas relações contratuais com clientes (cada um, doravante, "CLIENTE"), nos termos a seguir.

CONSIDERANDO QUE:

(i) a TOPAZ mantém relações contratuais com diversos clientes, formalizadas por instrumentos contratuais especí cos, incluindo, sem limitação, contratos de prestação de serviços de so ware como serviço (SaaS), licenciamento, manutenção, suporte e correlatos (cada um, doravante, o "Contrato Principal");

(ii) a execução dos Contratos Principais envolve, direta ou indiretamente, o Tratamento, pela TOPAZ, de Dados Pessoais cuja tularidade decisória pertence ao CLIENTE ou aos tulares por este atendidos;

(iii) parte relevante dos Contratos Principais vigentes não contempla cláusulas especí cas e adequadas em matéria de privacidade e proteção de Dados Pessoais, ou as contempla de forma incompleta diante da legislação aplicável;

(iv) a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — "LGPD"), o Regulamento Geral sobre a Proteção de Dados da União Europeia (Regulamento UE 2016/679 — "GDPR") e demais legislações aplicáveis impõem o dever de regular contratualmente as condições de Tratamento de Dados Pessoais entre controladores e operadores;

(v) a TOPAZ é cer cada nas normas ISO/IEC 27001 e ISO/IEC 27701 e mantém programa robusto de governança em privacidade e segurança da informação, comprometendo-se a oferecer aos seus clientes padrões compa veis com tais cer cações;

(vi) a TOPAZ promoverá, nos próximos meses, a formalização de adi vos contratuais especí cos com seus clientes cujos Contratos Principais não contemplem cláusulas adequadas em matéria de proteção de Dados Pessoais, sendo necessário, no entanto, instrumento geral que regule, desde já, o Tratamento de Dados Pessoais no âmbito de tais relações contratuais;

O CLIENTE, ao dar con nuidade à u lização dos serviços contratados junto à TOPAZ após a disponibilização deste DPA, adere integral e incondicionalmente às suas disposições, que passam a integrar o Contrato Principal por adesão decorrente da con nuidade da relação contratual, sem prejuízo da posterior formalização de adi vo contratual especí co, mediante as cláusulas e condições seguintes:

CLÁUSULA 1 — DEFINIÇÕES

1.1. Para os ns deste DPA, os termos abaixo, sempre que iniciados em maiúscula, terão os seguintes signi cados:

(a) "Autoridade Competente": a Autoridade Nacional de Proteção de Dados — ANPD, no Brasil, e quaisquer outras autoridades nacionais ou supranacionais com competência scalizatória em matéria de proteção de Dados Pessoais;

(b) "CLIENTE": qualquer pessoa, sica ou jurídica, que mantenha relação contratual vigente com a TOPAZ, na condição de tomadora de serviços ou licenciada de soware fornecido pela TOPAZ;

(c) "Contrato Principal": o instrumento contratual ou conjunto de instrumentos contratuais vigentes entre a TOPAZ e o CLIENTE, por meio dos quais a TOPAZ presta serviços ou licencia so ware ao CLIENTE;

(d) "Dados Pessoais": qualquer informação relacionada a pessoa natural iden cada ou iden cável, nos termos da Legislação Aplicável, que seja objeto de Tratamento pela TOPAZ no âmbito do Contrato Principal;

(e) "Dados Pessoais Sensíveis": dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião polí ca, liação sindical ou a organização de caráter religioso, losó co ou polí co, dado referente à saúde ou à vida sexual, dado gené co ou biométrico, quando vinculado a uma pessoa natural;

(f) "Encarregado" ou "DPO": pessoa indicada para atuar como canal de comunicação com Titulares e Autoridade Competente, nos termos da Legislação Aplicável;

(g) "Incidente": qualquer evento, con rmado ou suspeito, que possa acarretar acesso não autorizado, perda, alteração, comunicação, destruição ou qualquer outra forma de Tratamento inadequado ou ilícito de Dados Pessoais;

(h) "Instruções Documentadas": as instruções do CLIENTE rela vas ao Tratamento de Dados Pessoais, con das no Contrato Principal, em seus anexos, na documentação técnica do serviço ou em comunicações formais subsequentes;

(i) "Legislação Aplicável": o conjunto de leis, regulamentos, normas, orientações e decisões vinculantes em matéria de privacidade e proteção de Dados Pessoais aplicáveis à execução do Contrato Principal, incluindo, sem limitação, a LGPD, o GDPR e legislações nacionais especí cas dos países envolvidos no Tratamento;

(j) "Partes": TOPAZ e CLIENTE, em conjunto;

(k) "Portal de Privacidade": portal man do pela TOPAZ, acessível em [endereço], onde estão disponibilizadas suas polí cas, avisos e canais de contato em matéria de privacidade e proteção de Dados Pessoais;

(l) "Suboperador": qualquer terceiro contratado pela TOPAZ para tratar Dados Pessoais em seu nome, no âmbito da execução do Contrato Principal;

(m) "Titular": pessoa natural a quem se referem os Dados Pessoais objeto de Tratamento;

(n) "TOPAZ": a sociedade empresária [denominação social] e suas a liadas que mantenham relação contratual com o CLIENTE;

(o) "Tratamento": toda operação realizada com Dados Pessoais, conforme de nido pela Legislação Aplicável.

1.2. Os demais termos u lizados neste DPA, quando não de nidos expressamente, terão o signi cado a eles atribuído pela Legislação Aplicável.

CLÁUSULA 2 — OBJETO, NATUREZA JURÍDICA E ADESÃO

2.1. O presente DPA tem por objeto estabelecer, de forma geral e uniforme, as condições, obrigações e responsabilidades aplicáveis ao Tratamento de Dados Pessoais realizado pela TOPAZ no âmbito do Contrato Principal, em conformidade com a Legislação Aplicável.

2.2. Este DPA cons tui instrumento geral de adesão, aplicável a todos os clientes da TOPAZ cujos Contratos Principais vigentes não contemplem cláusulas especí cas e adequadas em matéria de proteção de Dados Pessoais, e integra o Contrato Principal por adesão decorrente da con nuidade da u lização dos serviços pelo CLIENTE após a sua disponibilização pela TOPAZ.

2.3. A con nuidade da u lização dos serviços pelo CLIENTE, após a disponibilização deste DPA, con gura aceitação integral e incondicional de suas disposições, nos termos do art. 111 do Código Civil brasileiro e dos usos consagrados em relações empresariais, sem prejuízo da posterior formalização de adi vo contratual especí co, conforme previsto no item 5 do comunicado ins tucional da TOPAZ. 2.4. Este DPA não se aplica aos Contratos Principais que já contemplem cláusulas especí cas e adequadas em matéria de proteção de Dados Pessoais, salvo no que for complementar e não con itante com as disposições já existentes.

2.5. Em caso de con ito entre as disposições do Contrato Principal, deste DPA e da Legislação Aplicável, prevalecerá a seguinte ordem hierárquica: (a) a Legislação Aplicável; (b) este DPA; e (c) o Contrato Principal, ressalvada a hipótese da Cláusula 2.4.

2.6. Em caso de promulgação ou alteração de qualquer lei ou regulamento aplicável ao Tratamento de Dados Pessoais, a TOPAZ poderá adaptar este DPA, mediante publicação de nova versão em seu Portal de Privacidade.

CLÁUSULA 3 — PAPÉIS DAS PARTES

3.1. As Partes reconhecem que, no âmbito do Contrato Principal:

(a) em regra, o CLIENTE atua como controlador dos Dados Pessoais, sendo-lhe atribuídas as decisões referentes às nalidades e aos meios essenciais do Tratamento, e a TOPAZ atua como operadora, realizando o Tratamento em nome e por conta do CLIENTE, nos limites das Instruções Documentadas;

(b) excepcionalmente, em hipóteses especí cas previstas na Proposta Comercial, em anexos do Contrato Principal ou em comunicações formais entre as Partes, a TOPAZ e o CLIENTE poderão atuar como controladores independentes, hipótese regulada pela Cláusula 13;

(c) eventuais hipóteses de cocontroladoria dependerão de previsão expressa e formalização por escrito entre as Partes, com indicação clara das respec vas responsabilidades.

3.2. A quali cação concreta de cada operação de Tratamento será determinada pela sua natureza, nalidade e pelos elementos fá cos veri cáveis, independentemente da denominação contratual eventualmente atribuída.

3.3. A TOPAZ tratará os Dados Pessoais exclusivamente conforme as Instruções Documentadas do CLIENTE. Caso a TOPAZ entenda que qualquer instrução recebida viole a Legislação Aplicável, comunicará prontamente o CLIENTE, podendo este, a seu critério, ajustar a instrução ou rescindir o Contrato Principal sem ônus.

CLÁUSULA 4 — DADOS TRATADOS, FINALIDADES E DURAÇÃO

4.1. A TOPAZ tratará exclusivamente os Dados Pessoais necessários à execução do objeto do Contrato Principal, observados os princípios da nalidade, adequação e necessidade.

4.2. As categorias de Dados Pessoais tratados, as categorias de Titulares envolvidos e as nalidades especí cas do Tratamento correspondem àquelas decorrentes do objeto do Contrato Principal, podendo ser detalhadas em documento complementar ou na documentação técnica do serviço.

4.3. A duração do Tratamento corresponderá ao prazo de vigência do Contrato Principal, sem prejuízo das obrigações que, por sua natureza, devam subsis r após o seu término, nos termos da Cláusula 14.

4.4. O CLIENTE declara e garante à TOPAZ que dispõe de base legal adequada para a coleta e o compar lhamento dos Dados Pessoais com a TOPAZ, bem como para as nalidades de Tratamento previstas no Contrato Principal, respondendo pela conformidade de seu próprio Tratamento perante Titulares e Autoridade Competente.

CLÁUSULA 5 — DECLARAÇÕES E GARANTIAS DA TOPAZ

5.1. A TOPAZ declara e garante ao CLIENTE que:

(a) cumpre integralmente a Legislação Aplicável em todas as operações de Tratamento que realiza no âmbito do Contrato Principal, incluindo a Cons tuição Federal, o Código de Defesa do Consumidor, o Código Civil, o Marco Civil da Internet (Lei nº 12.965/2014), a LGPD, o GDPR e demais normas setoriais ou gerais sobre proteção de Dados Pessoais que estejam em vigor ou venham a vigorar no período do Contrato Principal;

(b) adota e mantém medidas técnicas, sicas e administra vas adequadas à proteção dos Dados Pessoais, alinhadas às melhores prá cas de mercado e compa veis com sua cer cação nas normas ISO/IEC 27001 e ISO/IEC 27701;

(c) mantém programa de governança em privacidade compa vel com a natureza, o volume e a sensibilidade dos Dados Pessoais tratados, incluindo polí ca de privacidade, treinamento con nuo de empregados, controles de acesso e plano de resposta a Incidentes;

(d) dispõe de Encarregado formalmente designado, cujos dados de contato estão disponibilizados em seu Portal de Privacidade.

5.2. A TOPAZ obriga-se a, conforme o caso, aditar o Contrato Principal no sen do de adequá-lo às alterações da Legislação Aplicável que venham a ocorrer durante sua vigência.

CLÁUSULA 6 — OBRIGAÇÕES ESPECÍFICAS DA TOPAZ COMO OPERADORA

6.1. Na qualidade de operadora, a TOPAZ obriga-se a:

(a) tratar os Dados Pessoais exclusivamente conforme as Instruções Documentadas do CLIENTE e no limite estritamente necessário à execução do Contrato Principal;

(b) não ler, copiar, modi car, transferir ou remover Dados Pessoais sem autorização expressa e por escrito do CLIENTE, ressalvadas as operações inerentes à execução normal do Contrato Principal;

(c) não tratar os Dados Pessoais para nalidades próprias ou para nalidades diversas das estabelecidas pelo CLIENTE, ressalvadas as hipóteses de Tratamento de dados esta s cos agregados, anonimizados e desvinculados de qualquer Titular, para ns de aprimoramento dos serviços e da segurança da plataforma;

(d) assegurar a condencialidade dos Dados Pessoais por seus empregados, prepostos e Suboperadores autorizados, mediante termos de condencialidade cuja e cácia subsista após o término do respec vo vínculo;

(e) treinar e orientar seus empregados e prepostos quanto às disposições legais aplicáveis e às polí cas internas de privacidade e segurança;

(f) assegurar que o acesso aos Dados Pessoais se dê com base no princípio do mínimo necessário, restringindo se aos empregados, prepostos e Suboperadores cuja atuação seja indispensável à execução do Contrato Principal;

(g) manter registros completos e precisos das operações de Tratamento que realizar, nos termos do art. 37 da LGPD e do art. 30 do GDPR, disponibilizando-os ao CLIENTE mediante solicitação fundamentada;

(h) cooperar com o CLIENTE em auditorias, inves gações e no cações eventualmente necessárias à Autoridade Competente e aos Titulares, observado o disposto nas Cláusulas 10 e 12;

(i) informar previamente o CLIENTE em caso de ordem judicial, administra va ou regulatória que determine a entrega ou divulgação de Dados Pessoais, salvo vedação expressa em lei;

(j) no car o CLIENTE caso entenda que qualquer Instrução Documentada viole a Legislação Aplicável, conforme Cláusula

3.3. CLÁUSULA 7 — MEDIDAS DE SEGURANÇA TÉCNICAS E ORGANIZACIONAIS

7.1. A TOPAZ adota e mantém medidas técnicas, sicas e administra vas adequadas à proteção dos Dados Pessoais contra acesso não autorizado, destruição, perda, alteração, comunicação ou divulgação indevida, observando, no mínimo:

(a) mecanismos de auten cação para acesso aos sistemas e bases, incluindo, sempre que tecnicamente viável, auten cação mul fator;

(b) medidas de anonimização, pseudonimização ou criptogra a, conforme aplicável à natureza dos Dados Pessoais;

(c) recursos que permitam a restauração da disponibilidade e do acesso aos Dados Pessoais em tempo hábil, em caso de Incidente;

(d) processos con nuos de veri cação, teste e avaliação da e cácia das medidas adotadas;

(e) manutenção de inventário e logs de acesso, contendo data, hora, duração, iden dade do agente e iden cação do recurso acessado, pelo prazo mínimo de 6 (seis) meses ou pelo prazo legal aplicável, o que for maior;

(f) segregação lógica dos Dados Pessoais de cada CLIENTE, de modo a impedir acesso cruzado não autorizado;

(g) realização periódica de análises de risco, testes de vulnerabilidade e auditorias internas, com adoção de medidas adequadas de mi gação;

(h) manutenção das cer cações ISO/IEC 27001 e ISO/IEC 27701, ou de cer cações equivalentes que venham a subs tuí-las.

7.2. A TOPAZ disponibilizará ao CLIENTE, mediante solicitação fundamentada, resumos de suas medidas técnicas e organizacionais, das cer cações vigentes e dos relatórios de auditoria externa, observadas as regras de condencialidade aplicáveis.

CLÁUSULA 8 — SUBOPERADORES

8.1. O CLIENTE autoriza, de forma geral, a TOPAZ a envolver Suboperadores no Tratamento de Dados Pessoais, desde que vinculados por instrumento escrito que imponha obrigações no mínimo equivalentes às previstas neste DPA.

8.2. A TOPAZ mantém, em seu Portal de Privacidade, lista atualizada de Suboperadores autorizados envolvidos no Tratamento de Dados Pessoais.

8.3. A TOPAZ comunicará o CLIENTE, com antecedência mínima de 30 (trinta) dias, sobre alterações na lista de Suboperadores, permi ndo-lhe objetar fundamentadamente dentro desse prazo. Caso a objeção do CLIENTE seja considerada legí ma pela TOPAZ e a contratação do Suboperador seja indispensável à execução do Contrato Principal, as Partes negociarão de boa-fé alterna vas; persis ndo o impasse, o CLIENTE poderá rescindir o Contrato Principal sem ônus.

8.4. A TOPAZ permanece integralmente responsável, perante o CLIENTE, pelos atos e omissões de seus Suboperadores em matéria de proteção de Dados Pessoais.

CLÁUSULA 9 — TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS

9.1. A TOPAZ poderá realizar transferências internacionais de Dados Pessoais, inclusive para ns de armazenamento em nuvem ou contratação de Suboperadores, observadas rigorosamente as hipóteses legais previstas no art. 33 da LGPD, no Capítulo V do GDPR e nas demais regulamentações da Autoridade Competente, incluindo, conforme o caso, cláusulas-padrão contratuais, normas corpora vas vinculantes (BCRs) ou outros mecanismos reconhecidos.

9.2. A TOPAZ documentará todas as transferências internacionais realizadas, disponibilizando ao CLIENTE, mediante solicitação fundamentada, informações sobre os países de des no, as bases legais u lizadas e as salvaguardas adotadas.

9.3. O CLIENTE poderá, mediante no cação fundamentada, opor-se a transferências internacionais especí cas que entenda comprometer a adequada proteção dos Dados Pessoais, hipótese em que se aplica, no que couber, o procedimento da Cláusula 8.3.

CLÁUSULA 10 — DIREITOS DOS TITULARES E COOPERAÇÃO

10.1. O CLIENTE, na condição de controlador, é o responsável primário pelo atendimento às solicitações de Titulares e às requisições da Autoridade Competente.

10.2. A TOPAZ prestará ao CLIENTE todo o suporte técnico e operacional necessário ao atendimento de tais solicitações, observados os seguintes prazos máximos de resposta, contados do recebimento da solicitação do CLIENTE:

(a) imediatamente, em casos urgentes ou envolvendo Incidentes;

(b) em até 72 (setenta e duas) horas, em casos rela vos ao exercício de direitos por Titulares ou a requisições de Autoridade Competente;

10.3. É vedado à TOPAZ responder diretamente a Titulares ou à Autoridade Competente sem prévia e expressa autorização do CLIENTE, ressalvadas as hipóteses em que a Legislação Aplicável determine atuação diversa ou em que a solicitação se re ra a Dados Pessoais cujo controle pertença à própria TOPAZ.

10.4. A TOPAZ no cará prontamente o CLIENTE sobre (i) qualquer pedido juridicamente vinculante de divulgação de Dados Pessoais formulado por autoridade, ressalvada vedação legal de comunicação; e (ii) qualquer solicitação recebida diretamente de Titulares rela va aos Dados Pessoais sob controle do CLIENTE.

CLÁUSULA 11 — RESPOSTA A INCIDENTES

11.1. A TOPAZ no cará o CLIENTE, por escrito, sobre qualquer Incidente que possa afetar Dados Pessoais tratados no âmbito do Contrato Principal, em prazo não superior a 24 (vinte e quatro) horas contadas do conhecimento do Incidente. 11.2. A no cação conterá, no mínimo: (a) data, hora e local do Incidente, ou de seu primeiro indício; (b) data e hora do conhecimento do Incidente pela TOPAZ; (c) descrição da natureza e do contexto do Incidente; (d) categorias e volume aproximado de Dados Pessoais e de Titulares afetados; (e) descrição das possíveis consequências do Incidente; (f) medidas adotadas ou propostas para contenção, mi gação e remediação; (g) dados de contato do Encarregado ou da pessoa responsável pelas informações.

11.3. A TOPAZ adotará imediatamente as medidas adequadas de correção, contenção e mi gação do Incidente, cooperando plenamente com o CLIENTE na inves gação, remediação e eventual no cação a Titulares e Autoridade Competente.

11.4. A TOPAZ manterá registros detalhados de todos os Incidentes, disponibilizando-os ao CLIENTE mediante solicitação fundamentada.

CLÁUSULA 12 — AUDITORIA E VERIFICAÇÃO DE CONFORMIDADE

12.1. O CLIENTE poderá veri car o cumprimento, pela TOPAZ, das obrigações previstas neste DPA, preferencialmente por meio dos seguintes mecanismos:

(a) análise de relatórios de auditoria externa das cer cações ISO/IEC 27001 e ISO/IEC 27701 disponibilizados pela TOPAZ;

(b) resposta a ques onários de conformidade encaminhados pelo CLIENTE, em periodicidade razoável;

12.2. Caso os mecanismos previstos na Cláusula 12.1 sejam considerados insu cientes pelo CLIENTE em situações jus cadas — notadamente diante de Incidente relevante ou determinação de Autoridade Competente —, poderá ele realizar auditoria presencial ou remota, diretamente ou por terceiros contratados sob compromisso de sigilo, observadas as seguintes condições: (a) aviso prévio de, no mínimo, 15 (quinze) dias úteis, ressalvadas hipóteses de urgência; (b) realização durante o horário comercial e de modo a minimizar interferência nas a vidades regulares da TOPAZ; (c) limite de, no máximo, 1 (uma) auditoria por ano, salvo em hipóteses de Incidente ou exigência de Autoridade Competente; (d) vedação de acesso a dados de outros clientes da TOPAZ ou a informações cobertas por sigilo comercial não relacionadas ao Contrato Principal; (e) custos suportados pelo CLIENTE, ressalvada a hipótese de constatação de descumprimento relevante, em que os custos serão suportados pela TOPAZ.

CLÁUSULA 13 — CONTROLADORIA INDEPENDENTE

13.1. Nas hipóteses excepcionais em que, no âmbito do Contrato Principal, ambas as Partes atuem como controladores independentes de Dados Pessoais:

(a) cada Parte será responsável pela conformidade de seu próprio Tratamento, incluindo a de nição de bases legais adequadas, a manutenção de avisos de privacidade próprios e a observância dos direitos dos Titulares;

(b) cada Parte responderá pelos atos e omissões de seus respec vos operadores;

(c) as Partes informarão de forma clara e transparente aos Titulares eventuais transferências, divulgações ou compar lhamentos de Dados Pessoais entre si, obtendo, quando exigido pela Legislação Aplicável, as bases legais cabíveis;

(d) as Partes cooperarão de boa-fé na resposta a Incidentes que afetem ambas, coordenando, sempre que possível, comunicações a Titulares e a Autoridade Competente.

13.2. Aplicam-se subsidiariamente, no que couber, as demais disposições deste DPA à hipótese de controladoria independente.

CLÁUSULA 14 — TÉRMINO DO TRATAMENTO

14.1. Encerrado o Tratamento previsto no Contrato Principal, por qualquer causa, a TOPAZ, conforme instrução do CLIENTE:

(a) devolverá todos os Dados Pessoais ao CLIENTE, em formato estruturado, interoperável e em prazo razoável; ou

(b) transferirá os Dados Pessoais a novo prestador indicado pelo CLIENTE, observados forma e prazo por este especi cados; e

(c) eliminará, de forma irreversível, todas as cópias e salvaguardas em sua infraestrutura e na de seus Suboperadores autorizados, ressalvada a retenção legalmente exigida.

14.2. Na ausência de instrução expressa do CLIENTE no prazo de 60 (sessenta) dias contados do término do Contrato Principal, a TOPAZ procederá à eliminação dos Dados Pessoais, observado o disposto na Cláusula 14.1(c).

14.3. As obrigações deste DPA subsis rão enquanto a TOPAZ ver acesso, posse ou capacidade de realizar operações de Tratamento envolvendo Dados Pessoais do CLIENTE, ainda que após a rescisão do Contrato Principal.

14.4. A TOPAZ manterá registros e evidências da devolução ou eliminação dos Dados Pessoais, disponibilizando os ao CLIENTE mediante solicitação.

CLÁUSULA 15 — RESPONSABILIDADE E INDENIZAÇÃO

15.1. Sem prejuízo do regime de responsabilidade civil estabelecido pela Legislação Aplicável, notadamente os arts. 42 a 45 da LGPD, cada Parte responderá, na medida de sua respec va conduta, por perdas e danos — incluindo danos morais e materiais, lucros cessantes, multas administra vas e demais sanções aplicadas por Autoridade Competente — decorrentes do descumprimento das obrigações previstas neste DPA, no Contrato Principal e na Legislação Aplicável.

15.2. A Parte que, em razão da Legislação Aplicável, for solidariamente responsabilizada perante Titular ou Autoridade Competente por evento imputável à conduta da outra Parte, terá direito de regresso integral contra esta, na proporção da respec va responsabilidade apurada, incluindo honorários advoca cios, custas e demais despesas relacionadas.

15.3. A indenização prevista nesta Cláusula abrange, sem limitação: (i) multas administra vas e sanções aplicadas por Autoridade Competente; (ii) condenações judiciais e acordos; (iii) honorários advoca cios, periciais e notariais; (iv) custos de no cação a Titulares e a Autoridade Competente; e (v) demais despesas necessárias à reparação do evento.

15.4. As obrigações de indenização previstas nesta Cláusula não estão sujeitas a qualquer limitação de responsabilidade eventualmente estabelecida no Contrato Principal, no que se refere a eventos decorrentes de dolo ou culpa grave da Parte responsável, ou de descumprimento doloso de obrigação substancial deste DPA.

CLÁUSULA 16 — VIGÊNCIA E ATUALIZAÇÕES

16.1. Este DPA entra em vigor em [data] e produz efeitos por prazo indeterminado, observado o prazo de vigência de cada Contrato Principal, bem como o período subsequente em que subsis rem obrigações rela vas aos Dados Pessoais, conforme Cláusula 14.

16.2. A con nuidade da u lização dos serviços pelo CLIENTE, após a disponibilização deste DPA, con gura adesão integral e incondicional às suas disposições.

16.3. A TOPAZ poderá, a qualquer tempo, publicar nova versão deste DPA em seu Portal de Privacidade, em decorrência de alterações na Legislação Aplicável, em melhores prá cas de mercado ou em sua polí ca interna de privacidade. A TOPAZ comunicará o CLIENTE, por escrito, sobre qualquer atualização substancial, com antecedência mínima de 30 (trinta) dias de sua vigência, durante os quais o CLIENTE poderá manifestar-se ou rescindir o Contrato Principal sem ônus, caso entenda que a nova versão comprometa seus interesses legí mos.

16.4. Este DPA poderá ser subs tuído, para CLIENTE especí co, por adi vo contratual rmado entre as Partes, hipótese em que prevalecerão, em relação àquele CLIENTE, as disposições do novo instrumento. Conforme item 5 do comunicado ins tucional da TOPAZ, a TOPAZ entrará em contato com o CLIENTE nos próximos meses para formalizar a atualização contratual cabível, mediante adi vo específico.

CLÁUSULA 17 — DISPOSIÇÕES GERAIS

17.1. Este DPA será regido pelas leis da República Federa va do Brasil, sendo competente, para a solução de quaisquer controvérsias decorrentes de sua aplicação, o foro indicado no Contrato Principal, com renúncia expressa a qualquer outro, por mais privilegiado que seja.

17.2. A eventual invalidade ou ine cácia de qualquer disposição deste DPA não afetará as demais, que permanecerão plenamente válidas e e cazes.

17.3. A tolerância ou a inércia de qualquer Parte quanto ao descumprimento de obrigações pela outra não con gurará renúncia, novação ou alteração das disposições deste DPA.

17.4. Quaisquer no cações decorrentes deste DPA serão enviadas às pessoas de contato indicadas no Contrato Principal ou, na ausência destas, ao Encarregado de cada Parte, sendo o canal o cial da TOPAZ aquele disponibilizado em seu Portal de Privacidade.

17.5. Em caso de divergência entre versões deste DPA em diferentes idiomas, prevalecerá a versão em língua portuguesa.

TOPAZ PARTICIPAÇÕES S.A.

Documento publicado em 22 de maio de 2026 e disponibilizado em https://www.topazevolution.com/portal-de-privacidade

A continuidade da utilização dos serviços pelo CLIENTE após esta data con gura adesão integral e incondicional ao presente DPA, sem prejuízo da posterior formalização de adi vo contratual especí co, conforme cronograma comunicado pela TOPAZ.

TERMO DE COMPROMISSO E TRATAMENTO DE DADOS PESSOAIS

Instrumento Geral Aplicável a Fornecedores e Prestadores de Serviços da Topaz

A TOPAZ PARTICIPAÇÕES S.A., inscrita no CNPJ/MF sob nº 42.385.707/0001-03, sediada na Av. Visconde de Indaiatuba, 1277, Indaiatuba/SP, Brasil, assim entendida a sociedade empresária e suas afiliadas e sucursais que mantenham relações contratuais com fornecedores e prestadores de serviços, doravante denominada "TOPAZ", edita o presente Termo de Compromisso e Tratamento de Dados Pessoais (doravante, "TCTD"), instrumento geral aplicável às suas relações com fornecedores e prestadores de serviços (cada um, doravante, "FORNECEDOR"), nos termos a seguir.

CONSIDERANDO QUE:

(i) as Partes mantêm relação contratual vigente, formalizada por um ou mais instrumentos contratuais (doravante, o "Contrato Principal"), por meio dos quais o FORNECEDOR presta serviços ou fornece produtos à TOPAZ;

(ii) a execução do Contrato Principal envolve, direta ou indiretamente, o tratamento de dados pessoais sob responsabilidade da TOPAZ ou de seus clientes;

(iii) o Contrato Principal, em sua redação vigente, não contempla cláusulas específicas e adequadas em matéria de privacidade e proteção de dados pessoais, ou as contempla de forma incompleta diante da legislação aplicável;

(iv) a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — "LGPD"), o Regulamento Geral sobre a Proteção de Dados da União Europeia (Regulamento UE 2016/679 — "GDPR") e demais legislações aplicáveis impõem às Partes o dever de regular contratualmente as condições de tratamento de dados pessoais;

(v) a TOPAZ é certificada nas normas ISO/IEC 27001 e ISO/IEC 27701, sendo-lhe exigido estender controles equivalentes a seus fornecedores e prestadores de serviços;

(vi) a TOPAZ promoverá, nos próximos meses, a formalização de aditivos contratuais específicos com seus fornecedores, sendo necessário, no entanto, instrumento provisório que regule, desde já, o tratamento de dados pessoais no âmbito da relação contratual vigente;

O FORNECEDOR, ao dar continuidade à prestação dos serviços ou ao fornecimento de produtos à TOPAZ após a disponibilização deste TCTD, adere integral e incondicionalmente às suas disposições, que passam a integrar o Contrato Principal por adesão decorrente da continuidade da relação contratual, mediante as cláusulas e condições seguintes:

CLÁUSULA 1 — DEFINIÇÕES

1.1. Para os fins deste TCTD, os termos abaixo, sempre que iniciados em maiúscula, terão os seguintes significados:

(a) "Autoridade Competente": a Autoridade Nacional de Proteção de Dados — ANPD, no Brasil, e quaisquer outras autoridades nacionais ou supranacionais com competência fiscalizatória em matéria de proteção de dados pessoais;

(b) "Dados Pessoais": qualquer informação relacionada a pessoa natural identificada ou identificável, nos termos da legislação aplicável;

(c) "Dados Pessoais Sensíveis": dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

(d) "Encarregado" ou "DPO": pessoa indicada pelas Partes para atuar como canal de comunicação com Titulares e Autoridade Competente, nos termos da legislação aplicável;

(e) "Incidente": qualquer evento, confirmado ou suspeito, que possa acarretar acesso não autorizado, perda, alteração, comunicação, destruição ou qualquer outra forma de tratamento inadequado ou ilícito de Dados Pessoais;

(f) "Legislação Aplicável": o conjunto de leis, regulamentos, normas, orientações e decisões vinculantes em matéria de privacidade e proteção de dados pessoais aplicáveis à execução do Contrato Principal, incluindo, sem limitação, a LGPD, o GDPR e legislações nacionais específicas dos países envolvidos no tratamento;

(g) "Suboperador": qualquer terceiro contratado pelo FORNECEDOR para tratar Dados Pessoais em seu nome, no âmbito da execução do Contrato Principal;

(h) "Titular": pessoa natural a quem se referem os Dados Pessoais objeto de tratamento;

(i) "TOPAZ": a sociedade empresária [denominação social] e suas afiliadas que mantenham relação contratual com o FORNECEDOR;

(m) "Tratamento": toda operação realizada com Dados Pessoais, conforme definido pela Legislação Aplicável.

1.2. Os demais termos utilizados neste TCTD, quando não definidos expressamente, terão o significado a eles atribuído pela Legislação Aplicável.

CLÁUSULA 2 — OBJETO E NATUREZA JURÍDICA

2.1. O presente TCTD tem por objeto estabelecer as condições, obrigações e responsabilidades das Partes em relação ao Tratamento de Dados Pessoais realizado no âmbito do Contrato Principal, em conformidade com a Legislação Aplicável.

2.2. Este TCTD integra o Contrato Principal por adesão decorrente da continuidade da prestação dos serviços após sua disponibilização pela TOPAZ ao FORNECEDOR, sem prejuízo da posterior formalização de aditivo contratual específico.

2.3. A continuidade da prestação dos serviços ou do fornecimento de produtos pelo FORNECEDOR à TOPAZ, após a disponibilização deste TCTD, configura aceitação integral e incondicional de suas disposições, nos termos do art. 111 do Código Civil brasileiro e dos usos consagrados em relações empresariais.

2.4. Em caso de conflito entre as disposições do Contrato Principal, deste TCTD e da Legislação Aplicável, prevalecerá a seguinte ordem hierárquica: (a) a Legislação Aplicável; (b) este TCTD; e (c) o Contrato Principal.

2.5. Em caso de promulgação ou alteração de qualquer lei ou regulamento aplicável ao Tratamento de Dados Pessoais, as Partes comprometem-se a adaptar, de boa-fé, o Contrato Principal e este TCTD, de modo a assegurar a contínua observância da Legislação Aplicável.

CLÁUSULA 3 — PAPÉIS DAS PARTES

3.1. Para fins deste TCTD, as Partes reconhecem que, conforme a natureza específica de cada operação de Tratamento realizada no âmbito do Contrato Principal, a relação entre elas poderá configurar uma das seguintes hipóteses:

(a) TOPAZ como controladora e FORNECEDOR como operador, hipótese regulada pelas Cláusulas 4 a 12 e 14 a 18 deste TCTD;

(b) TOPAZ e FORNECEDOR como controladores independentes, hipótese regulada pela Cláusula 13 deste TCTD, sem prejuízo da aplicação subsidiária das demais disposições compatíveis.

3.2. A qualificação concreta de cada operação de Tratamento será determinada pela sua natureza, finalidade e pelos elementos fáticos verificáveis, independentemente da denominação contratual eventualmente atribuída.

CLÁUSULA 4 — DADOS TRATADOS, FINALIDADES E DURAÇÃO

4.1. O FORNECEDOR tratará exclusivamente os Dados Pessoais necessários à execução do objeto do Contrato Principal, observados os princípios da finalidade, adequação e necessidade.

4.2. As categorias de Dados Pessoais tratados, as categorias de Titulares envolvidos e as finalidades específicas do Tratamento correspondem àquelas decorrentes do objeto do Contrato Principal, podendo ser detalhadas em documento complementar firmado entre as Partes, sempre que necessário.

4.3. A duração do Tratamento corresponderá ao prazo de vigência do Contrato Principal, sem prejuízo das obrigações que, por sua natureza, devam subsistir após o seu término, nos termos da Cláusula 14.

CLÁUSULA 5 — DECLARAÇÕES E GARANTIAS

5.1. As Partes declaram e garantem, mutuamente, que:

(a) observarão integralmente a Legislação Aplicável em todas as operações de Tratamento realizadas no âmbito do Contrato Principal;

(b) adotarão e manterão medidas técnicas e organizacionais adequadas à proteção dos Dados Pessoais;

(c) manterão programa de governança em privacidade compatível com a natureza, o volume e a sensibilidade dos Dados Pessoais tratados;

(d) disporão de plano de resposta a Incidentes e de procedimentos para identificação, contenção e remediação de tais eventos.

5.2. A TOPAZ declara e garante, especificamente, que:

(a) o Tratamento de Dados Pessoais por ela realizado, desde a coleta até o eventual compartilhamento com o FORNECEDOR, observa a Legislação Aplicável;

(b) as instruções fornecidas ao FORNECEDOR para Tratamento dos Dados Pessoais são compatíveis com a Legislação Aplicável;

5.3. O FORNECEDOR declara e garante, especificamente, que:

(a) manterá absoluta confidencialidade sobre os Dados Pessoais a que tiver acesso, estendendo tal obrigação a seus empregados, prepostos e Suboperadores autorizados, respondendo civil, administrativa e penalmente por divulgação não autorizada ou uso indevido;

(b) observará rigorosamente os direitos dos Titulares e as instruções da TOPAZ no Tratamento dos Dados Pessoais;

(c) notificará imediatamente a TOPAZ caso entenda que qualquer instrução por esta fornecida viole a Legislação Aplicável, hipótese em que a TOPAZ poderá suspender a transferência de Dados Pessoais e/ou rescindir o Contrato Principal sem qualquer ônus adicional;

(d) manterá registros completos e precisos das operações de Tratamento que realizar, nos termos da Cláusula 7;

(e) observará as políticas de privacidade da TOPAZ disponibilizadas em seu Portal de Privacidade, fazendo-as cumprir por seus empregados, prepostos e Suboperadores autorizados.

CLÁUSULA 6 — OBRIGAÇÕES ESPECÍFICAS DO FORNECEDOR COMO OPERADOR

6.1. É vedado ao FORNECEDOR tratar Dados Pessoais para qualquer finalidade diversa daquelas estabelecidas no Contrato Principal ou nas instruções documentadas da TOPAZ.

6.2. Qualquer descumprimento do disposto na Cláusula 6.1 constituirá infração contratual grave, autorizando a TOPAZ a rescindir o Contrato Principal de forma imediata, sem prejuízo das indenizações cabíveis e da aplicação da multa não compensatória prevista na Cláusula 15.

6.3. O FORNECEDOR não retificará, eliminará ou restringirá o Tratamento de Dados Pessoais por iniciativa própria, atuando somente mediante instruções documentadas da TOPAZ, ressalvadas as hipóteses em que a Legislação Aplicável determine atuação diversa.

CLÁUSULA 7 — MEDIDAS DE SEGURANÇA TÉCNICAS E ORGANIZACIONAIS

7.1. O FORNECEDOR adotará e manterá medidas de segurança técnicas e organizacionais adequadas, alinhadas às melhores práticas de mercado e compatíveis com a natureza, o volume e a sensibilidade dos Dados Pessoais tratados, observando, no mínimo:

(a) mecanismos de autenticação para acesso aos sistemas e bases, incluindo, sempre que tecnicamente viável, autenticação multifator;

(b) medidas de anonimização, pseudonimização ou criptografia, conforme aplicável à natureza dos Dados Pessoais;

(c) recursos que permitam a restauração da disponibilidade e do acesso aos Dados Pessoais em tempo hábil, em caso de Incidente;

(d) processos contínuos de verificação, teste e avaliação da eficácia das medidas adotadas;

(e) manutenção de inventário detalhado e logs de acesso, contendo data, hora, duração, identidade do agente e identificação do recurso acessado, pelo prazo mínimo de 6 (seis) meses ou pelo prazo legal aplicável, o que for maior;

(f) restrição de acesso aos Dados Pessoais apenas a empregados, prepostos e Suboperadores autorizados, sujeitos a termos de confidencialidade cuja eficácia subsista após o término do vínculo com o FORNECEDOR;

(g) treinamento contínuo de empregados e prepostos sobre suas responsabilidades em matéria de proteção de Dados Pessoais;

(h) registro das atividades que envolvam troca de Dados Pessoais com terceiros ou transferência internacional, observado o disposto na Cláusula 9;

(i) realização periódica de análises de risco e testes de vulnerabilidade, com adoção de medidas adequadas de mitigação.

7.2. O FORNECEDOR somente realizará Tratamento de Dados Pessoais Sensíveis quando estritamente necessário à execução do Contrato Principal, observadas salvaguardas técnicas adicionais compatíveis com o maior rigor legal aplicável a essa categoria.

7.3. O FORNECEDOR responderá tempestivamente a solicitações da TOPAZ relativas a autoavaliações, questionários de segurança, due diligencie e demais procedimentos de verificação de conformidade, respondendo pela veracidade das informações prestadas.

7.4. Em visitas presenciais a instalações da TOPAZ, empregados e prepostos do FORNECEDOR poderão ser solicitados a assinar termos específicos de confidencialidade e a fornecer Dados Pessoais necessários ao controle de acesso, inclusive Dados Pessoais Sensíveis (a exemplo de dados biométricos). A eventual recusa implicará substituição do empregado ou preposto pelo FORNECEDOR, que arcará com os custos decorrentes.

CLÁUSULA 8 — SUBCONTRATAÇÃO E SUBOPERADORES

8.1. O FORNECEDOR somente poderá envolver Suboperadores no Tratamento de Dados Pessoais mediante autorização prévia, expressa e por escrito da TOPAZ.

8.2. A TOPAZ poderá conceder autorização geral para determinadas categorias de Suboperadores (a exemplo de provedores de infraestrutura em nuvem essenciais à operação), hipótese em que o FORNECEDOR notificará a TOPAZ sobre alterações na lista de Suboperadores com antecedência mínima de 30 (trinta) dias, permitindo-lhe objetar fundamentadamente.

8.3. Em qualquer hipótese de subcontratação autorizada, o FORNECEDOR exigirá do Suboperador, por meio de instrumento escrito, a observância de obrigações no mínimo equivalentes às previstas neste TCTD, permanecendo o FORNECEDOR integralmente responsável perante a TOPAZ pelos atos e omissões do Suboperador.

8.4. É vedado ao FORNECEDOR armazenar Dados Pessoais em plataformas, ambientes ou estruturas externas que não estejam sob seu controle direto ou de Suboperador autorizado.

CLÁUSULA 9 — TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS

9.1. O FORNECEDOR não transferirá Dados Pessoais relacionados ao Contrato Principal para fora do território nacional, inclusive para fins de armazenamento em nuvem, sem autorização prévia, expressa e por escrito da TOPAZ.

9.2. Eventual transferência internacional autorizada observará rigorosamente as hipóteses legais previstas no art. 33 da LGPD, no Capítulo V do GDPR e nas demais regulamentações da Autoridade Competente, incluindo, conforme o caso, cláusulas-padrão contratuais, normas corporativas vinculantes (BCRs) ou outros mecanismos reconhecidos.

9.3. O FORNECEDOR documentará todas as transferências internacionais realizadas, mantendo registro acessível à TOPAZ mediante solicitação.

CLÁUSULA 10 — DIREITOS DOS TITULARES E COOPERAÇÃO

10.1. A TOPAZ é responsável pelo atendimento a solicitações de Titulares e a requisições de Autoridade Competente relativas aos Dados Pessoais tratados no âmbito do Contrato Principal.

10.2. É vedado ao FORNECEDOR responder diretamente a Titulares ou a Autoridade Competente sem prévia e expressa autorização da TOPAZ, ressalvadas as hipóteses em que a Legislação Aplicável determine atuação diversa.

10.3. O FORNECEDOR prestará à TOPAZ todo o suporte necessário ao atendimento de tais solicitações, respondendo a quaisquer pedidos de informação da TOPAZ:

(a) imediatamente, em casos urgentes ou envolvendo Incidentes;

(b) em até 72 (setenta e duas) horas, em casos relativos ao exercício de direitos por Titulares ou a requisições de Autoridade Competente;

10.4. O FORNECEDOR notificará imediatamente a TOPAZ sobre (i) qualquer pedido juridicamente vinculante de divulgação de Dados Pessoais formulado por autoridade, ressalvada vedação legal de comunicação; (ii) qualquer Incidente; e (iii) qualquer solicitação recebida diretamente de Titulares ou de Autoridade Competente.

CLÁUSULA 11 — RESPOSTA A INCIDENTES

11.1. O FORNECEDOR notificará a TOPAZ, por escrito, sobre qualquer Incidente que possa afetar Dados Pessoais tratados no âmbito do Contrato Principal, em prazo não superior a 24 (vinte e quatro) horas contadas do conhecimento do Incidente.

11.2. A notificação conterá, no mínimo:

(a) data, hora e local do Incidente, ou de seu primeiro indício; (b) data e hora do conhecimento do Incidente pelo FORNECEDOR; (c) descrição da natureza e do contexto do Incidente; (d) categorias e volume aproximado de Dados Pessoais e de Titulares afetados; (e) descrição das possíveis consequências do Incidente; (f) medidas adotadas ou propostas para contenção, mitigação e remediação; (g) dados de contato do Encarregado ou da pessoa responsável pelas informações.

11.3. O FORNECEDOR cooperará plenamente com a TOPAZ na investigação, mitigação, remediação e eventual notificação a Titulares e Autoridade Competente, seguindo as instruções da TOPAZ.

CLÁUSULA 12 — AUDITORIA E FISCALIZAÇÃO

12.1. A TOPAZ, diretamente ou por terceiros contratados sob compromisso de sigilo, poderá realizar auditorias e inspeções no FORNECEDOR para verificação do cumprimento deste TCTD e da Legislação Aplicável.

12.2. As auditorias serão realizadas mediante aviso prévio de, no mínimo, 10 (dez) dias úteis, durante o horário comercial e de modo a minimizar interferência nas atividades regulares do FORNECEDOR, ressalvadas hipóteses de Incidente ou de exigência de Autoridade Competente, em que o prazo poderá ser reduzido.

12.3. Os custos ordinários da auditoria serão suportados pela TOPAZ. Caso a auditoria constate descumprimento relevante deste TCTD ou da Legislação Aplicável pelo FORNECEDOR, os custos da auditoria, incluindo eventuais auditorias adicionais de verificação de remediação, serão integralmente suportados pelo FORNECEDOR.

12.4. As auditorias poderão incluir, sem limitação, inspeção de registros, sistemas, instalações físicas e ambientes virtuais, bem como entrevistas com empregados e prepostos do FORNECEDOR.

CLÁUSULA 13 — CONTROLADORIA INDEPENDENTE

13.1. Nas hipóteses em que, no âmbito do Contrato Principal, ambas as Partes atuem como controladoras independentes de Dados Pessoais:

(a) cada Parte será responsável pela conformidade de seu próprio Tratamento, incluindo a definição de bases legais adequadas, a manutenção de avisos de privacidade próprios e a observância dos direitos dos Titulares;

(b) cada Parte responderá pelos atos e omissões de seus respectivos operadores;

(c) as Partes informarão de forma clara e transparente aos Titulares eventuais transferências, divulgações ou compartilhamentos de Dados Pessoais entre si, obtendo, quando exigido pela Legislação Aplicável, as bases legais cabíveis;

(d) as Partes cooperarão de boa-fé na resposta a Incidentes que afetem ambas, coordenando, sempre que possível, comunicações a Titulares e a Autoridade Competente.

13.2. Aplicam-se subsidiariamente, no que couber, as demais disposições deste TCTD à hipótese de controladoria independente.

CLÁUSULA 14 — TÉRMINO DO TRATAMENTO

14.1. Encerrado o Tratamento previsto no Contrato Principal, por qualquer causa, o FORNECEDOR, conforme instrução da TOPAZ:

(a) devolverá todos os Dados Pessoais à TOPAZ, em formato estruturado, interoperável e em prazo razoável; ou

(b) transferirá os Dados Pessoais a novo prestador indicado pela TOPAZ, observados forma e prazo por esta especificados; e

(c) eliminará, de forma irreversível, todas as cópias e salvaguardas em sua infraestrutura e na de seus Suboperadores autorizados, ressalvada a retenção legalmente exigida.

14.2. As obrigações deste TCTD subsistirão enquanto o FORNECEDOR tiver acesso, posse ou capacidade de realizar operações de Tratamento envolvendo Dados Pessoais fornecidos pela TOPAZ, ainda que após a rescisão do Contrato Principal.

14.3. O FORNECEDOR manterá registros e evidências da devolução ou eliminação dos Dados Pessoais, disponibilizando-os à TOPAZ mediante solicitação.

CLÁUSULA 15 — RESPONSABILIDADE E INDENIZAÇÃO

15.1. O FORNECEDOR é integralmente responsável por perdas, danos, lucros cessantes e indenizações decorrentes de eventos relacionados aos Dados Pessoais por ele tratados, por ação ou omissão própria, de seus empregados, prepostos ou Suboperadores, obrigando-se a indenizar a TOPAZ ou terceiros lesados, incluindo, sem limitação, (i) multas administrativas e sanções aplicadas por Autoridade Competente; (ii) condenações judiciais e acordos; (iii) honorários advocatícios, periciais e notariais; (iv) custos de notificação a Titulares e a Autoridade Competente; (v) comunicações à imprensa e medidas de gestão reputacional; e (vi) demais despesas necessárias à reparação do evento.

15.2. Sem prejuízo das indenizações cabíveis, o descumprimento de obrigações materiais previstas neste TCTD sujeitará o FORNECEDOR ao pagamento de multa não compensatória equivalente a 10% dez por cento das últimas doze mensalidades do Contrato Principal, sem prejuízo das demais sanções legais e contratuais aplicáveis.

15.3. A TOPAZ poderá reter pagamentos devidos ao FORNECEDOR até o limite necessário para a cobertura das indenizações e multas previstas nesta Cláusula.

15.4. As obrigações de indenização previstas nesta Cláusula não estão sujeitas a qualquer limitação de responsabilidade eventualmente estabelecida no Contrato Principal.

15.5. A TOPAZ responderá exclusivamente pelos eventos que decorram, de forma direta e comprovada, de sua própria conduta em violação a este TCTD ou à Legislação Aplicável, observados os princípios gerais de responsabilidade civil.

CLÁUSULA 16 — VIGÊNCIA

16.1. Este TCTD entra em vigor na data de sua disponibilização ao FORNECEDOR pela TOPAZ e produz efeitos pelo prazo de vigência do Contrato Principal, bem como pelo período subsequente em que subsistirem obrigações relativas aos Dados Pessoais, conforme Cláusula 14.

16.2. A continuidade da prestação dos serviços pelo FORNECEDOR após a disponibilização deste TCTD configura sua adesão integral às disposições aqui previstas.

16.3. A TOPAZ poderá, a qualquer tempo, publicar nova versão deste TCTD em seu Portal de Privacidade, em decorrência de alterações na Legislação Aplicável, em melhores práticas de mercado ou em sua política interna de privacidade. A nova versão produzirá efeitos a partir da data nela indicada, e a continuidade da prestação dos serviços ou do fornecimento de produtos após tal data configurará adesão à versão atualizada.

16.4. Este TCTD poderá ser substituído, para FORNECEDOR específico, a qualquer tempo, por aditivo contratual específico firmado entre as Partes, hipótese em que prevalecerão as disposições do novo instrumento.

CLÁUSULA 17 — OPERAÇÕES SOCIETÁRIAS E SUCESSÃO

17.1. O FORNECEDOR comunicará à TOPAZ, com antecedência mínima de 30 (trinta) dias, qualquer operação societária — incluindo fusão, incorporação, cisão, aquisição de controle ou transferência substancial de ativos — que possa afetar o Tratamento dos Dados Pessoais objeto deste TCTD.

17.2. A TOPAZ poderá, fundamentadamente, (i) exigir garantias adicionais quanto à manutenção dos padrões de proteção de Dados Pessoais; ou (ii) rescindir o Contrato Principal sem ônus, caso entenda que a operação societária comprometa a adequada proteção dos Dados Pessoais.

17.3. As obrigações deste TCTD vinculam sucessores e cessionários do FORNECEDOR a qualquer título.

CLÁUSULA 18 — DISPOSIÇÕES GERAIS

18.1. Este TCTD será regido e interpretado de acordo com a lei aplicável ao Contrato Principal, sendo competente o foro nele indicado para a solução de quaisquer controvérsias.

18.2. A eventual invalidade ou ineficácia de qualquer disposição deste TCTD não afetará as demais, que permanecerão plenamente válidas e eficazes.

18.3. A tolerância ou a inércia de qualquer das Partes quanto ao descumprimento de obrigações pela outra não configurará renúncia, novação ou alteração das disposições deste TCTD.

18.4. Quaisquer notificações decorrentes deste TCTD serão enviadas às pessoas de contato indicadas no Contrato Principal ou, na ausência destas, ao Encarregado de cada Parte.

18.5. Em caso de divergência entre versões deste TCTD em diferentes idiomas, prevalecerá a versão em língua portuguesa.

TOPAZ PARTICIPAÇÕES S.A.

Documento publicado em 22 de maio de 2026 e disponibilizado via mensagem direta remetida a todos os FORNECEDORES, e em https://www.topazevolution.com/portal-de-privacidade.

A continuidade da prestação dos serviços ou do fornecimento de produtos pelo FORNECEDOR à TOPAZ após esta data configura adesão integral e incondicional ao presente TCTD.