Adendo sobre Tratamento de Dados da Onde Ficar Hospedagens, Negócios e Serviços Ltda. 

Última atualização: 1o de fevereiro de 2025

Baixar o DPA

Aspectos do Adendo

A Onde Ficar Hospedagens, Negócios e Serviços Ltda., empresa do grupo Digital Arbitrage Inc., atuando como Cloudbeds (“Cloudbeds” ou “nós”), opera essencialmente por meio de um “software as a service”. Este Adendo sobre Tratamento de Dados (“Adendo”) suplementa os Termos de Serviços, ou outro acordo vigente entre você (“Cliente” ou “você”) e a Cloudbeds abrangendo a utilização dos Serviços pelo Cliente (o “Contrato”).  A não ser que definido de forma distinta neste Adendo ou no Contrato, todas as expressões em letras maiúsculas utilizadas neste Adendo possuem os significados estabelecidos na cláusula Definições  abaixo. 

Como Assinar este Adendo 

1. Nós pré-assinamos este Adendo, o qual contém o corpo principal do Adendo e o Anexo 4. A sua assinatura deverá ser aposta: 
   1. abaixo do texto do corpo principal deste Adendo [Pág. 6] 
   2. abaixo do texto do Anexo 4 [Pág. 16] 

2. Para que este Adendo entre você e a Cloudbeds entre em vigor, você deve:

• • Assinar eletronicamente ou imprimir, assinar e guardar uma cópia deste Adendo.
  • Certificar-se de que ele esteja assinado nos locais necessários: Na parte inferior do corpo principal deste Adendo [Página 6 do PDF] Na parte inferior do Anexo 4.

3. Ao assinar o Adendo, você confirma sua aceitação de seus termos e reconhece seu efeito vinculativo. 

1. Objeto e Prazo.

1.1. Funções das Partes.

(a) Dados Pessoais do Cliente. A Cloudbeds tratará os Dados Pessoais do Cliente de acordo com as instruções delineadas na Cláusula 2.3 (Instruções).

(b) Dados da Conta do Cliente. A Cloudbeds, enquanto Controladora, tratará os Dados da Conta do Cliente para as seguintes finalidades: (i) prestar e aperfeiçoar os Serviços; (ii) gerenciar as relações com o Cliente (comunicando com o Cliente e Usuários de acordo com as suas preferências de conta, responder perguntas do Cliente e prestando assistência técnica, etc.), (iii) para facilitar a segurança, prevenção de fraudes, monitoramento de desempenho, continuidade do negócio e recuperação de desastre; e (iv) conduzir as funções principais da atividade, tais como contabilidade, faturamento e declarações tributárias.

(c) Dados de Uso da Cloudbeds.  A Cloudbeds, enquanto Controladora, tratará os Dados de Uso da Cloudbeds para as seguintes finalidades: (i) prestar, otimizar, garantir e manter os Serviços da Cloudbeds; (ii) otimizar a experiência do usuário; e (iii) informar nossa estratégia de negócios. 

(d) Descrição do Tratamento. Detalhes sobre o Tratamento dos Dados Pessoais do Cliente pela Cloudbeds estão descritos no Anexo 1 (Descrição do Tratamento).

1.2. Prazo do Adendo. O prazo de vigência deste Adendo corresponde ao prazo do Contrato e expira na sua data de expiração ou na ocorrência da rescisão antecipada do Contrato (ou, se posterior, na data em que a Cloudbeds encerrar todo o Tratamento dos Dados Pessoais do Cliente).

1.3. Ordem de Prevalência. Na hipótese de conflito ou divergência entre os seguintes documentos, a ordem de prevalência será: (1) as cláusulas aplicáveis estabelecidas no Anexo 4 (Cláusulas Regionais Específicas inclusive quaisquer disposições versando sobre transferência); (2) o corpo principal deste Adendo; e (3) o Contrato.

2. Tratamento dos Dados Pessoais do Cliente.

2.1. Nomeação pelo Cliente. O Cliente nomeia a Cloudbeds como seu Operador de Dados (Prestador de Serviços) e reconhece que todos os Dados Pessoais do Cliente fornecidos à Cloudbeds sob o âmbito do Contrato e este Adendo cumprem os requisitos de coleta, transmissão e tratamento legal estabelecidos nas Leis de Proteção de Dados, inclusive o quanto disposto na Lei Geral de Proteção de Dados, nº 13.709/2019 (LGPD), para autorizar o Tratamento de Dados Pessoais.

2.2. Obrigações. A Cloudbeds se obriga a tratar os Dados Pessoais do Cliente como Informações Confidenciais do Cliente. Deste modo, a Cloudbeds se obriga a não:

(a) Tratar Dados Pessoais do Cliente de forma diferente do estabelecido neste Adendo e no Contrato, salvo mediante instruções adicionais por escrito do Cliente ou conforme determinado por uma Autoridade Supervisora; 

(b) vender Dados Pessoais do Cliente; ou 

(c) compartilhar, utilizar ou revelar os Dados Pessoais do Cliente, salvo se autorizada em conformidade com o Contrato, este Adendo, qualquer Pedido, mediante as instruções adicionais por escrito do Cliente ou conforme determinado por uma Autoridade Supervisora.

2.3. Instruções. O Cliente, por si e em nome de cada Afiliada do Cliente, na qualidade de Controlador de Dados Pessoais, determinará à Cloudbeds: 

(a) Tratar os Dados Pessoais de acordo com as instruções legais documentadas do Cliente conforme estabelecido no Contrato (inclusive este Adendo) e os respectivos Pedidos, conforme necessário para (i) possibilitar a utilização de diversos recursos e funções em conformidade com a Documentação (inclusive conforme instruído pelos Usuários através dos Serviços) ou (ii) cumprir suas obrigações legais. A Cloudbeds notificará o Cliente caso venha a ter conhecimento, ou razoavelmente considerar, que as instruções do Cliente viole a legislação; e 

(b) Sujeito aos requisitos de transferência estabelecidos no Anexo 4 (Cláusulas Regionais Específicas), transferir Dados Pessoais do Cliente a qualquer país ou território, em cada caso conforme razoavelmente necessário para a prestação dos Serviços e em conformidade com este Adendo. 

2.4. Descrição do Tratamento. O Anexo 1  estabelece o objeto e outros detalhes acerca do Tratamento dos Dados Pessoais do Cliente contemplado como parte dos Serviços, inclusive Titulares dos Dados, categorias de Dados Pessoais, categorias especiais de Dados Pessoais, Suboperadores e descrição do Tratamento.

2.5. Confidencialidade. A Cloudbeds tratará os Dados Pessoais do Cliente como informações confidenciais sob o Contrato. A Cloudbeds garantirá que o seu pessoal autorizado a Tratar os Dados Pessoais do Cliente estarão sujeitos a obrigações escritas ou legalmente vinculantes de confidencialidade.

3. Segurança.

3.1. Segurança. A Cloudbeds adotou e manterá medidas técnicas e organizacionais apropriadas que visam proteger a segurança, confidencialidade, integridade e disponibilidade dos Dados Pessoais do Cliente e proteção contra Incidentes de Segurança. O Cliente é responsável pela configuração dos Serviços e utilização de recursos e funções disponibilizados pela Cloudbeds para manter segurança apropriada considerando a natureza dos Dados do Cliente. Nossas atuais medidas técnicas e organizacionais estão descritas no Anexo 2 deste Adendo. O Cliente reconhece que tais medidas estão sujeitas à evolução técnica e desenvolvimento e que a Cloudbeds poderá atualizar ou modificá-las periodicamente, desde que tais atualizações e modificações não diminuam materialmente a segurança geral dos Serviços no curso do Contrato.

3.2. Incidente de Segurança. A Cloudbeds notificará o Cliente sem morosidade indevida, e em nenhuma hipótese por mais de 72 horas após ter conhecimento de um Incidente de Segurança. A Cloudbeds adotará esforços comerciais razoáveis para identificar a causa do Incidente de Segurança, mitigar os efeitos e sanar a causa na medida do possível sob o nosso razoável controle. Mediante solicitação escrita do Cliente e considerando a natureza do Tratamento de Dados e as informações então disponibilizadas à Cloudbeds, colaboraremos razoavelmente contigo e lhe forneceremos as informações razoavelmente necessárias para você cumprir a sua notificação de Incidente de Segurança e outras obrigações sob a Lei Geral de Proteção de Dados. Ressalvado conforme determinado na lei, a Cloudbeds não praticará atos para notificar aos Seus Usuários um Incidente de Segurança. A notificação pela Cloudbeds de um Incidente de Segurança não constitui uma declaração ou confissão pela Cloudbeds de falha ou responsabilidade relativamente a tal Incidente de Segurança.

4. Suboperadores. 

4.1. Autorização Geral. No curso da prestação dos nossos Serviços, poderemos ser compelidos a contratar Suboperadores para prestar uma parte dos Serviços. Nós incluímos como Anexo 3 uma lista dos nossos atuais Suboperadores. Ao assinar este Adendo, o Cliente autoriza a Cloudbeds a engajar os Suboperadores para Tratar Dados Pessoais do Cliente. A Cloudbeds (i) celebrará um contrato escrito com cada Suboperador estabelecendo cláusulas de proteção de dados determinando que o Suboperador proteja os Dados Pessoais do Cliente nos níveis determinados nas legislações aplicáveis a nos mesmos níveis estabelecidos neste Adendo; e (ii) continuará responsável junto ao Cliente caso tal Suboperador falhar em cumprir suas obrigações de proteção de dados relativamente às atividades de Tratamento correspondentes sob o Contrato.

4.2. Notificação de novos Suboperadores. A Cloudbeds poderá contratar novos Suboperadores para o Tratamento de Dados Pessoais do Cliente, sempre cumprindo os requisitos aplicáveis previstos na legislação vigente e, sempre que possível, informará aos terceiros envolvidos condições de proteção de Dados Pessoais e segurança da informação que sejam no mínimo equivalentes às condições presentes neste Adendo ou no Contrato, sempre visando o cumprimento da legislação vigente. A lista atualizada de Suboperadores estará sempre disponível aqui (página em Inglês). Caso o Cliente deseje ser informado sobre atualizações da lista atualizada de Suboperadores, poderá solicitar a inscrição na lista de emails via Canal de Privacidade da Cloudbeds no formulário junto à lista. Demais informações podem ser solicitadas via canal de suporte da Cloudbeds no email support@cloudbeds.com. 

5. Obrigações de Assistência e Colaboração

5.1. Direitos dos Titulares dos Dados Pessoais. Considerando a natureza do Tratamento de Dados Pessoais, a Cloudbeds proverá razoável e tempestiva assistência ao Cliente para que você possa (1) responder às solicitações de exercício de direitos do titular dos dados (inclusive direitos de acesso, correção, eliminar, restrição, objeção, e portabilidade de dados) relativamente aos Dados Pessoais do Cliente. Se quaisquer tais solicitações ou correspondência forem recebidas diretamente por nós, nós lhe enviaremos a solicitação ou correspondência e aguardaremos suas instruções antes de praticar qualquer ato. Nós não nos comunicaremos com autoridades ou Seus Usuários sem receber antes sua autorização prévia, exceto conforme determinado na lei aplicável. Mediante sua solicitação documentada, nós corrigiremos, suplementaremos, modificaremos ou eliminaremos quaisquer Dados Pessoais do Cliente, exceto conforme determinado na lei aplicável. 

5.2. Obrigações de Colaboração. Mediante razoável solicitação do Cliente e considerando a natureza do Tratamento aplicável, a Cloudbeds proverá razoável assistência ao Cliente no cumprimento das obrigações do Cliente sob a Lei de Proteção de Dados (inclusive análises de impacto da proteção de dados e consultas às autoridades reguladoras), quando o Cliente não puder razoavelmente cumprir tais obrigações independentemente com o auxílio da Documentação disponível.

5.3. Exigências de Autoridades Reguladoras. Exceto se vedado por Lei, a Cloudbeds prontamente notificará ao Cliente qualquer intimação, ordem ou decisão judicial válida e exequível, emanada da aplicação da lei ou autoridades públicas compelindo a Cloudbeds a revelar Dados Pessoais do Cliente. A Cloudbeds observará suas regras de aplicação da lei em sua resposta a tais exigências. Na hipótese da Cloudbeds receber indagações ou solicitação de informações de qualquer outro terceiro (tais como um regulador ou titular dos dados) sobre o Tratamento dos Dados Pessoais do Cliente, a Cloudbeds encaminhará tais indagações ao Cliente, e não fornecerá quaisquer informações, exceto se for compelida a fazê-lo sob a lei aplicável. 

6. Apagamento e Devolução dos Dados Pessoais do Cliente.

6.1. Durante o Prazo. Durante o prazo do Contrato o Cliente e seus Usuários poderão, através dos recursos dos Serviços, acessar, resgatar ou apagar Dados Pessoais do Cliente. 

6.2. Pós-Rescisão. Ato contínuo à expiração do prazo ou rescisão do Contrato, a Cloudbeds se obriga a, em conformidade com a Documentação, apagar todos os Dados Pessoais do Cliente. E, ainda, a Cloudbeds poderá reter Dados Pessoais do Cliente (i) conforme determinado na Lei Geral de Proteção de Dados ou (ii) em conformidade com suas políticas padrão de backup ou retenção de registros, sendo que, em qualquer hipótese, a Cloudbeds manterá a confidencialidade dos, e cumprirá as cláusulas aplicáveis deste Adendo referentes aos Dados Pessoais do Cliente retidos, e não dará continuidade ao Tratamento dos Dados Pessoais do Cliente, exceto conforme determinado na Lei de Proteção de Dados.

7. Direitos de Revisão, Auditoria e Inspeção.

7.1. Relatórios de Auditoria. O provedor de serviços de central de dados da Cloudbeds é regularmente auditado por terceiros auditores independentes e/ou auditores internos, inclusive conforme descrito em https://aws.amazon.com/compliance/soc-faqs /. Se o Cliente não puder razoavelmente verificar o cumprimento pela Cloudbeds das cláusulas deste Adendo, a Cloudbeds fornecerá respostas escritas (em regime de confidencialidade) a todas as razoáveis solicitações de informações do Cliente referentes ao seu Tratamento de Dados do Cliente, sendo que tal direito somente poderá ser exercido no máximo uma vez a cada 12 (doze) meses.

7.2. Auditorias On-site. Somente quando o Cliente não puder satisfatoriamente atender o cumprimento pela Cloudbeds deste Adendo através do exercício dos seus direitos sob a Cláusula 7.1 acima, ou onde exigido pela Lei de Proteção de Dados ou pela autoridade reguladora, o Cliente, ou seus representantes autorizados, poderá, às custas do Cliente, realizar auditorias (inclusive vistorias) durante o prazo do Contrato para verificar o cumprimento pela Cloudbeds das cláusulas deste Adendo. A auditoria deverá (i) ser realizada durante o horário normal de expediente da Cloudbeds, mediante razoável aviso prévio de no mínimo 60 (sessenta) dias consecutivos (exceto se a Lei de Proteção de Dados Aplicável ou a autoridade reguladora determina um prazo de aviso prévio mais curto); (ii) sujeitar-se a razoáveis controles de confidencialidade obrigando o Cliente (e seus representantes autorizados) a manter em confidencialidade quaisquer informações reveladas que, por sua natureza, devem ser tratadas como confidenciais; (iii) ocorrer não mais do que uma única vez a cada 12 (doze) meses; e (iv) limitar suas conclusões apenas às informações relevantes para o Cliente. 

8. Cláusulas Regionais Específicas. Na medida em que o Tratamento de Dados do Cliente pela Cloudbeds é protegido pela Legislação de Proteção de Dados em uma das regiões específicas listadas no Anexo 4 (Cláusulas Regionais Específicas), as cláusulas especificadas para as regiões aplicáveis também serão aplicáveis, inclusive as cláusulas relevantes referentes à transferência internacional de Dados Pessoais (diretamente ou transferência adiante).

9. Definições.

“Dados de Conta da Cloudbeds” significam Dados Pessoais relativos às relações do Cliente com a Cloudbeds, inclusive: (i) informações de conta dos Usuários (e.g. nome, e-mail ou número de identificação de conta da Cloudbeds); (ii) informações de faturamento e de contato de pessoas relacionadas com a conta de Cliente da Cloudbeds (e.g. endereço para faturamento, e-mail ou nome); (iii) informações de dispositivo e conexão do Usuário (e.g. endereço IP); e (iv) conteúdo/descrição das solicitações de assistência técnica (excluídos anexos). 

“Dados de Uso da Cloudbeds” significam Dados Pessoais referentes a ou obtidos relativamente à utilização, desempenho, operação, suporte ou utilização dos Serviços. Os Dados de Uso da Cloudbeds poderão incluir nome de evento (i.e. quais ações foram executadas pelos Usuários), registro de data/hora de evento, informações de navegador e dados de diagnósticos. Para fins de esclarecimento, os Dados de Uso da Cloudbeds não incluem Dados Pessoais do Cliente.

“Controlador” significa a pessoa física ou jurídica, autoridade pública, agência ou outra organização que, separadamente ou em conjunto com outros, determina as finalidades e os meios de Tratamento dos Dados Pessoais.

“Dados Pessoais do Cliente” significam os Dados Pessoais contidos nos Dados do Cliente e/ou quaisquer Materiais do Cliente que a Cloudbeds trata sob o Contrato exclusivamente em nome do Cliente. Para fins de esclarecimento, os Dados Pessoais do Cliente incluem quaisquer Dados Pessoais inclusos nos anexos fornecidos pelo Cliente ou seus Usuários em quaisquer solicitações de assistência técnica. 

“Legislação de Proteção de Dados” significa todas as leis aplicáveis ao Tratamento dos Dados Pessoais sob o Contrato.

“Dados Pessoais” significa informações sobre uma pessoa física identificada ou identificável, ou que constitui “dados pessoais”, “informações pessoais”, “informações pessoalmente identificáveis” ou expressões semelhantes conforme definido nas Leis de Proteção de Dados.

“Tratamento” (e “Tratar”) significa qualquer operação ou conjunto de operações executadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, por meios automatizados ou não, tais como coleta, gravação, organização, estruturação, armazenamento, adaptação ou alteração, resgate, consulta, utilização, revelação via transmissão, disseminação ou disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.

“Operador” significa a entidade que trata Dados Pessoais em nome do Controlador.

“Incidente de Segurança” significa qualquer violação de segurança que enseje a destruição, perda, alteração, revelação não autorizada, ou acesso, acidental ou ilegal, aos Dados do Cliente tratados pela Cloudbeds e/ou seus Suboperadores. 

“Subpoperador” significa qualquer terceiro (inclusive Afiliadas da Cloudbeds) contratado pela Cloudbeds para auxiliar no tratamento de Dados Pessoais do Cliente em nome do Controlador.

“Usuários” significa qualquer pessoa que autorizada pelo Cliente a utilizar os Serviços. Usuários poderão incluir: (i) empregados, consultores, contratados e agentes do Cliente e suas Afiliadas (ii) terceiros com os quais o Cliente ou suas Afiliadas fazem negócios (iii) pessoas convidadas pelos usuários do Cliente (iv) pessoas sob contratos gerenciados, ou (v) pessoas interagindo com os Serviços como cliente do Cliente.

Anexo 1 – Descrição do Tratamento

Este Anexo é parte integral do Adendo e as Cláusulas e deverá ser inteiramente preenchido e assinado pelas partes.  

Categorias de titulares dos dados

• Potenciais, clientes, parceiros de negócios e vendedores do Controlador (pessoas físicas) 
• Empregados ou contatos dos potenciais, clientes, parceiros de negócios e vendedores do Controlador 
• Empregados, agentes, consultores, freelancers do Controlador (pessoas físicas) 
• Usuários do Cliente autorizados pelo Cliente a utilizar os Serviços  

Categorias de dados 

Os dados pessoais que poderão ser tratados pela Cloudbeds incluem as seguintes categorias de dados:  

• Nome e Sobrenome  
• Cargo  
• Ocupação  
• Empregador
• Informações de contato (Empresa, e-mail, telefone, endereço residencial)  
• Dados de Identificação (RG)
• Dados de carreira profissional
• Dados de conexão de Internet 
• Dados financeiros (cartões de crédito, dados bancários)  
• Dados de localização  

Categorias especiais de dados – Dados Sensíveis (se necessário)  

Nenhum dado pessoal sensível será exigido para os Serviços (e.g., informações que revelam origem racial ou de etnia, opiniões políticas, crença religiosa ou filosófica, filiação sindical, e o tratamento de dados relativos à saúde ou vida sexual). O Cliente concorda com não submeter tais dados exceto se explicitamente solicitado e avençado com antecedência.  

Operações de tratamento  

Os dados pessoais transferidos estarão sujeitos às seguintes atividades básicas de tratamento (favor especificar):  

• Dados Pessoais do Cliente: Cloudbeds tratará os Dados Pessoais do Cliente como Operador de acordo com as instruções do Cliente estabelecidas na Cláusula 2.3 (Instruções do Cliente).
• Dados de Conta da Cloudbeds e Dados de Uso da Cloudbeds: a Cloudbeds tratará os Dados de Conta da Cloudbeds e os Dados de Uso da Cloudbeds para as finalidades limitadas e especificadas na Cláusula 1.1 (Funções das Partes).

Natureza do Tratamento  

A Cloudbeds tratará as informações pessoais mediante o manuseio, armazenamento, compartilhamento com Suboperadores, acessando e analisando as Informações Pessoais para os fins de tratamento estabelecidos no Contrato, Pedidos e este Adendo. Informações adicionais sobre a natureza do tratamento (inclusive transferência) estão descritas nos respectivos Pedidos dos Serviços correspondentes e Documentação referente às capacidades e características técnicas, inclusive, sem limitação, a coleta, estruturação, armazenamento, transmissão ou disponibilização dos Dados Pessoais através de meios automatizados.

Duração do Tratamento

A Cloudbeds tratará as informações pessoais pelo período que for necessário para as finalidades descritas neste Adendo, exceto se a lei determinar sua retenção por um prazo maior.  

Transferência para (Sub-)Operadores

A Cloudbeds transferirá os Dados Pessoais do Cliente para Suboperadores conforme autorizado na Cláusula 4 (Suboperadores).

Anexo 2 – Medidas de Segurança 

A Cloudbeds utiliza Amazon Web Services (“AWS”) e confia substancialmente nas medidas técnicas de segurança adotadas pelo AWS. Além das medidas de segurança adotadas pelo AWS, e na medida em que as atividades de tratamento de dados ocorrem fora do sistema do AWS, a Cloudbeds adotou as seguintes medidas técnicas e organizacionais para garantir a segurança dos Dados Pessoais do Cliente:  

1. Cloudbeds adotou processos padrão do ramo que visam garantir que pessoas não autorizadas sejam impedidas de obter acesso físico às nossas instalações e às salas onde os sistemas de processamento de dados estão localizados.  
2. Os empregados são permitidos acesso somente às tarefas designadas a eles.  
3. Nós utilizamos monitoramento por vídeo e dispositivos de alarme relativamente às áreas de acesso.  
4. Pessoal que não possui autorização de acesso (e.g. técnicos, pessoal da limpeza) é acompanhado continuamente. 
5. A Cloudbeds possui processos e requisitos que visam garantir que todos os computadores que processam dados pessoais (inclusive computadores remotamente acessados) estão protegidos por senhas, tanto após a inicialização e quando inativos, mesmo que por pouco tempo.  
6. Nós designamos senhas individuais de usuário para autenticação.  
7. Nós somente concedemos acesso ao sistema ao nosso pessoal autorizado e limitamos estritamente o seu acesso aos aplicativos necessários para tal pessoal cumprir suas responsabilidades específicas. 
8. Nós adotamos uma política de senha que veda o compartilhamento das senhas, estabelece procedimentos a serem observados após a revelação de uma senha, e requer que a senha seja alterada periodicamente. 
9. Nós garantimos que as senhas são sempre armazenadas criptografadas.
10. Nós adotamos procedimentos para desativar contas do usuário quando um empregado, agente ou administrador for desligado da Cloudbeds ou passa para outra função interna na empresa.  
11. Nós utilizamos tecnologias padrão do ramo para prevenir a instalação e utilização de hardware e software não autorizados nas nossas instalações. 
12. Nós estabelecemos regras para a destruição segura e definitiva dos dados que deixam de ser necessárias.  
13. Exceto conforme necessário para a prestação dos Serviços, os Dados Pessoais do Cliente não podem ser lidos, copiados, modificados ou removidos sem autorização durante a transferência ou armazenamento. 
14. Nós criptografamos dados durante qualquer transmissão. 
15. Nós podemos retrospectivamente examinar e determinar se e por quem os Dados Pessoais do Cliente foram lançados nos sistemas de processamento de dados, alterados ou removidos.  
16. Nós registramos (log) atividades do administrador e usuário.  
17. Nós tratamos os dados pessoais recebidos de variados clientes de modo que em cada etapa do tratamento o Controlador pode ser identificado e de modo que os dados são sempre fisicamente ou logicamente segregados. 
18. Nós criamos cópias de back-up armazenadas em ambientes protegidos. 
19. Nós conduzimos regularmente testes de restauração nos nossos backups. 
20. Nós criamos estratégias de recuperação de negócios. 
21. Nós não utilizamos dados pessoais para qualquer finalidade que não seja aquela para a qual fomos contratados para fazer. 
22. Nós não removemos Dados Pessoais do Cliente dos nossos computadores de trabalho ou instalações por qualquer motivo (exceto se você especificamente autorizou tal remoção para fins de negócios).  
23. Quando um usuário deixar a sua mesa vaga durante o dia e antes de sair do escritório ao final do dia, o usuário deverá colocar quaisquer documentos contendo Dados Pessoais do Cliente em um ambiente seguro, tal como uma gaveta de mesa trancada, estante de arquivos ou outra área de arquivamento seguro.  
24. Nós garantimos que cada sistema de computador executa uma solução antivírus atualizada. 
25. Nós designamos uma pessoa responsável para exercer as atribuições de um data protection officer. 
26. Nós obtivemos o compromisso por escrito de nossos empregados para manter em confidencialidade e cumprir nossos requisitos sob o Adendo e a Lei Geral de Proteção de Dados (LGPD).  
27. Nós treinamos regularmente a nossa equipe sobre a confidencialidade e segurança dos dados.  

Anexo 3- Lista de Suboperadores

Anexo 4 – Cláusulas Regionais Específicas

Definições adicionais estão estabelecidas na Cláusula 4.

1. Europa, Reino Unido e Suíça.

1.1 Instruções do Cliente. Adicionalmente à Cláusula 2.3 (Instruções do Cliente) do Adendo acima, a Cloudbeds tratará os Dados Pessoais do Cliente mediante instruções documentadas do Cliente, inclusive relativamente às transferências de tais Dados Pessoais do Cliente para um terceiro país ou organização internacional, exceto se isso for determinado nas Leis de Proteção de Dados à qual a Cloudbeds está sujeita; nesta hipótese a Cloudbeds informará ao Cliente tal exigência legal antes do Tratamento, exceto se aquela lei veda tal comunicação sob um importante fundamento de interesse público. A Cloudbeds prontamente informará o Cliente caso tenha conhecimento de que o Tratamento das instruções do Cliente viola a Legislação de Proteção de Dados.

1.2 Transferências Europeias. No caso de transferência de Dados Pessoais protegido pela Legislação de Proteção de Dados da UE, diretamente ou via transferência adiante, para um país fora da Europa que não está sujeito a uma decisão de adequação, os seguintes itens se aplicam:

(a) Os EU SCCs são ora incorporados a este Adendo por referência conforme segue:
(i) Cliente é o “exportador dos dados”

(ii) Digital Arbitrage, Inc., (atuando como Cloudbeds) é o “importador dos dados”. Cloudbeds é um serviço de gerenciamento de hospitalidade onde os Serviços armazenam e processam informações pessoais, informações do hóspede, informações dos negócios, e informações do empregado para os fins de centralizar dados do negócio de hospitalidade e serviços para a organização de acordo com as cláusulas do Contrato.
(iii) Módulo Um (Controlador para Controlador) se aplica quando a Cloudbeds trata Dados de Conta da Cloudbeds ou Dados de Uso da Cloudbeds.
(iv) Módulo Dois (Controlador para Operador) se aplica quando o Cliente é o Controlador dos Dados Pessoais do Cliente e a Cloudbeds trata os Dados Pessoais do Cliente como Operador.
(v) Módulo Três (Operador para Operador) se aplica quando o Cliente é o Operador dos Dados Pessoais do Cliente e a Cloudbeds trata os Dados Pessoais do Cliente como Operador adicional.
(vi) Ao celebrar este Adendo e assiná-lo abaixo, cada parte é considerada como tendo assinado os EU SCCs na data do início de vigência do Contrato.

(b) Para cada Módulo, onde aplicável:

(i) Na Cláusula 7, a cláusula de ancoragem opcional não é aplicável.
(ii) Na Cláusula 9, a Opção 2 é aplicável, e o prazo do aviso prévio de mudança de Suboperador está estabelecido na Cláusula 4 (Suboperadores) deste Adendo.
(iii) Na Cláusula 11, o idioma opcional não é aplicável.
(iv) Na Cláusula 17, a Opção 1 é aplicável, e os EU SCCs são regidos pela lei irlandesa.
(v) Na Cláusula 18(b), controvérsias serão dirimidas pelo judiciário da Irlanda.
(vi) O Apêndice dos EU SCCs é povoado conforme segue:

• • • As informações necessárias para o Anexo I(A) estão localizadas no Contrato e/ou os Pedidos correspondentes.
    • As informações necessárias para o Anexo I(B) estão localizadas no Suplemento (Schedule) 1 (Descrição do Tratamento) deste Adendo. 
    • A autoridade supervisora competente no Anexo I(C) será determinada de acordo com a Legislação de Proteção de Dados; e
    • As informações necessárias para o Anexo II estão localizadas no Suplemento (Schedule) 3 (Medidas Técnicas e Organizacionais) deste Adendo.

1.3 Transferências Suíças. Nos casos de transferência de Dados Pessoais protegidos pelo FADP Suíço diretamente ou via transferência adiante, a qualquer outro país não sujeito a uma decisão de adequação, os EU SCCs são aplicáveis conforme estabelecido na Cláusula 1.2 (Transferências Europeias) acima, com as seguintes alterações:
(a) Todas as referências nos EU SCCs ao “Regulamento (EU) 2016/679” serão interpretadas como referências ao FADP Suíço, e as referências aos Artigos específicos do “Regulamento (EU) 2016/679” serão substituídas pelo artigo ou cláusula correspondente do FADP Suíço; todas as referências à Lei de Proteção de Dados da UE neste Adendo serão interpretadas como referências ao FADP.

(b) na Cláusula 13, a autoridade supervisora correspondente é o Comissário Federal Suíço para Proteção de Dados e Informações.

(c) Na Cláusula 17, os EU SCCs são regidos pela lei suíça.

(d) Na Cláusula 18(b), controvérsias serão dirimidas pelo judiciário da Suíça.
(e) Todas as referências a Estado Membro serão interpretadas para incluir a Suíça e os Titulares dos Dados na Suíça não estão excluídos da possibilidade de exercerem seus direitos no foro de sua residência de acordo com a Cláusula 18(c).

1.4 Transferências no Reino Unido (UK). Nos casos de transferência de Dados Pessoais protegidos pela Legislação de Proteção de Dados do Reino Unido, diretamente ou via transferência adiante, para um país fora do Reino Unido que não está sujeito a uma decisão de adequação, os seguintes itens são aplicáveis:

(a) Os EU SCCs são aplicáveis de acordo com a Cláusula 1.2 (Transferências Europeias) acima, alterada conforme segue:

(i) Mediante a assinatura abaixo, cada parte será considerada signatária do Adendo Reino Unido.
(ii) Para os fins da Tabela 1 do Adendo Reino Unido, as informações do contato principal das partes estão localizadas no Contrato e/ou os Pedidos correspondentes.
(iii) Para os fins da Tabela 2 do Adendo Reino Unido, as informações relevantes sobre a versão dos EU SCCs, módulos, e cláusulas selecionadas aos quais o Adendo Reino Unido é um apêndice, estão localizadas acima na Cláusula 1.2 (Transferências Europeias) deste Suplemento (Schedule).
(iv) Para os fins da Tabela 3 do Adendo Reino Unido:

• • • • As informações necessárias para o Anexo 1A estão localizadas no Contrato e/ou nos respectivos Pedidos.
      • As informações necessárias para o Anexo 1B estão localizadas no Suplemento (Schedule) 1 (Descrição do Tratamento) deste Adendo.
      • As informações necessárias para o Anexo II estão localizadas no Suplemento (Schedule) 3 (Medidas Técnicas e Organizacionais).

• • • • As informações necessárias para o Anexo III estão localizadas na Cláusula 4 (Sub-operadores) deste Adendo.

(b) Na Tabela 4 do Adendo Reino Unido, tanto o importador dos dados e o exportador dos dados poderão rescindir o Adendo Reino Unido.

2. Leis Estaduais de Privacidade dos EUA

As seguintes disposições se aplicam quando a Cloudbeds trata Dados Pessoais sujeito às Leis Estaduais de Privacidade dos EUA:

2.1. Quando os Dados Pessoais do Cliente inclui informações pessoais protegidas pelas Leis Estaduais de Privacidade dos EUA que a Cloudbeds trata como Fornecedor de Serviços (conforme definido nas Leis Estaduais de Privacidade dos EUA) ou Operador, em nome do Cliente, a Cloudbeds tratará tais Dados Pessoais do Cliente em conformidade com as Leis Estaduais de Privacidade dos EUA, inclusive cumprindo as cláusulas aplicáveis das Leis Estaduais de Privacidade dos EUA e adotando o mesmo nível de proteção à privacidade determinado nas Leis Estaduais de Privacidade dos EUA, e de acordo com as instruções escritas do Cliente, conforme necessário para as finalidades limitadas e especificadas na Cláusula 1.1(a) (Dados Pessoais do Cliente) e Anexo (Schedule) 1 (Descrição do Tratamento) deste Adendo. A Cloudbeds se obriga a não: 

(a) reter, utilizar, revelar ou tratar tais Dados Pessoais do Cliente para uma finalidade comercial que não seja as finalidades limitadas e específicas estabelecidas neste Contrato de Tratamento de Dados (DPA), o Contrato e/ou qualquer Pedido correspondente, ou conforme autorizado sob as Leis Estaduais de Privacidade dos EUA; 

(b) “vender” ou “compartilhar” tais Dados Pessoais do Cliente conforme definido nas Leis Estaduais de Privacidade dos EUA; e 

(c) reter, utilizar, revelar ou tratar tais Dados Pessoais do Cliente externamente à relação de negócio mantida diretamente com o Cliente e não conjugar tais Dados Pessoais do Cliente com informações pessoais recebidas de outras fontes, exceto como permitido sob as Leis Estaduais de Privacidade dos EUA. 

2.2. A Cloudbeds informará o Cliente se a Cloudbeds determinar que ela não poderá continuar a cumprir suas obrigações sob as Leis Estaduais de Privacidade dos EUA nos prazos estabelecidos em tais leis e nesta hipótese o Cliente poderá adotar medidas razoáveis e apropriadas para prevenir, cessar ou corrigir qualquer tratamento não autorizado de tais Dados Pessoais do Cliente.

2.3. Na medida em que a revelação ou disponibilização de Dados De-identificados pelo Cliente à Cloudbeds ou  na medida em que a Cloudbeds cria Dados De-identificados a partir dos Dados Pessoais do Cliente, em cada hipótese na sua qualidade de Fornecedor de Serviços, a Cloudbeds: 

(a) adotará medidas razoáveis para prevenir a utilização de tais Dados De-identificados para inferir informações sobre, ou ser vinculado a, uma pessoa física ou casa específica; 

(b) se comprometerá publicamente a manter e utilizar tais Dados De-identificados de modo de-identificado e a não tentar re-identificar os Dados De-identificados, com a ressalva de que a Cloudbeds poderá tentar re-identificar tais dados somente para a finalidade de determinar se seus processos de de-identificação cumprem as Leis Estaduais de Privacidade dos EUA; e 

(c) antes de compartilhar Dados De-identificados com qualquer outra parte, inclusive Suboperadores, contratados ou qualquer outra pessoa (“Receptores”), obrigará contratualmente quaisquer tais Receptores a cumprirem todos os requisitos desta Cláusula 2.3 (inclusive impondo essa exigência a quaisquer outros Receptores).

3. Coréia do Sul

3.1. O Cliente declara que notificou e obteve todas as autorizações e direitos necessários sob a Legislação de Proteção de Dados para a Cloudbeds tratar Dados de Conta da Cloudbeds e Dados de Uso da Cloudbeds de acordo com o Contrato (inclusive este Contrato de Tratamento de Dados – DPA).

3.2. Na medida em que o Cliente revela ou disponibiliza Dados De-identificados à Cloudbeds, a Cloudbeds:

(a) manterá e utilizará tais Dados De-identificados de uma forma de-identificada e não tentará re-identicar os Dados De-identificados; e

(b) antes de compartilhar Dados De-identificados com qualquer outra parte, inclusive Sub-operadores, contratados ou qualquer outra pessoa (“Receptores”), obrigará contratualmente tais Receptores a cumprirem todos os requisitos desta Cláusula 3.2 (inclusive impondo esta exigência a quaisquer outros Receptores).

4. Definições.

4.1 Onde os Dados Pessoais estão sujeitos às leis de uma das seguintes localidades, as definições de “Leis de Proteção de Dados” incluem:

(a) Austrália: a Lei de Privacidade da Austrália;

(b) Brasil: a Lei Geral de Proteção de Dados, do Brasil LGPD);

(c) Canadá: a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos, do Canadá;

(d) Europa: (i) o Regulamento 2016/679 do Parlamento Europeu e do Conselho sobre a proteção de pessoas físicas relativamente ao Tratamento de Dados Pessoais e sobre a livre movimentação de tais dados (Regulamento Geral de Proteção de Dados – GDPR) e (ii) a Instrução de e-Privacy da UE (Instrução 2002/58/EC) conforme alterada ou substituída de tempos em tempos (“Lei de Proteção de Dados da UE”);

(e) Japão: a Lei de Proteção de Informações Pessoais do Japão;

(f) Cingapura: a Lei de Proteção de Dados Pessoais de Cingapura;

(g) Coréia do Sul: a Lei de Proteção de Informações Pessoais da Coréia do Sul (“PIPA”) e os Decretos Regulamentadores do PIPA;

(h) Suíça: a Lei Federal de Proteção de Dados da Suíça e seus regulamentos regulatórios conforme alterados ou substituídos de tempos em tempos (“FADP Suíço”);

(i) Reino Unido: a Lei de Proteção de Dados de 2018 e o regulamento GDPR conforme incorporado à lei do Reino Unido por força da Cláusula 3 da Lei de Saída do Reino Unido da União Europeia de 2018 conforme alterada ou substituída de tempos em tempos (“Lei de Proteção de Dados do Reino Unido”); e

(j) EUA: todas as leis estaduais referentes à proteção e Tratamento de Dados Pessoais vigentes nos EUA, podendo incluir, sem limitação, a Lei de Privacidade do Consumidor do Estado da Califórnia, conforme alterada pela Lei de Direitos de Privacidade da Califórnia, e seus regulamentos regulatórios (“CCPA”), a Lei de Proteção de Dados do Consumidor do Estado da Virgínia, a Lei de Privacidade do Estado de Colorado, a Lei de Privacidade de Dados do Estado de Connecticut, e a Lei de Privacidade do Consumidor do Estado de Utah (“Leis Estaduais de Privacidade dos EUA”).

4.2. “Dados De-identificados” significa dados que não podem ser usados razoavelmente para inferir informações sobre ou vinculador a, um titular dos dados.

4.3. “Europa” inclui, para os fins deste DPA, os Estados Membros da União Europeia e da Área Econômica Europeia. 

4.4. “EU SCCs” significa as cláusulas contratuais anexadas à Decisão Implementadora da Comissão Europeia No. 2021/914 de 04 de junho de 2021 sobre cláusulas contratuais básicas para a transferência de Dados Pessoais a terceiros países sob o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, conforme alterado ou substituído de tempos em tempos. 

4.5. “Fornecedor de Serviços” possui o mesmo significado atribuído no CCPA.

4.6. “Adendo Reino Unido” significa o Adendo de Transferência Internacional de Dados às Cláusulas Contratuais Básicas da Comissão da UE de autoria do Comissário de Informações do Reino Unido, Versão B1.0, vigente em 21 de março de 2022, conforme alterado ou substituído de tempos em tempos.