Acordo de Processamento de Ultralytics

Última atualização: 26 de março de 2026

O presente Acordo de Tratamento de Dados («DPA») é incorporado e faz parte integrante (i) Ultralytics de Serviço Ultralytics e/ou (ii) de qualquer formulário de encomenda, contrato empresarial ou outro acordo escrito aplicável que faça referência ao presente DPA (cada um deles, o «Acordo») entre o cliente («Cliente», «você») e Ultralytics, Inc. (Ultralytics», “Empresa”, “nós”).

Este Acordo de Processo Penal (DPA) reflete o acordo entre as partes no que diz respeito a:

(A) Termos entre o Responsável pelo tratamento e o Subcontratante: o tratamento de Dados Pessoais do Cliente Ultralytics na qualidade de Subcontratante (ou sub-subcontratante, caso o Cliente seja um Subcontratante) em nome do Cliente no âmbito dos Serviços; e
(B) Condições entre responsáveis pelo tratamento: o tratamento, por cada parte, dos Dados Pessoais do Responsável pelo Tratamento na qualidade de responsável pelo tratamento independente, exclusivamente na medida descrita na Secção 10.

O presente Acordo de Tratamento de Dados (DPA) permanece em vigor durante a vigência do Contrato e enquanto Ultralytics os Dados Pessoais do Cliente em nome deste.

O presente Acordo de Tratamento de Dados (DPA) aplica-se exclusivamente ao tratamento de Dados Pessoais do Cliente pela Ultralytics da Ultralytics . Para evitar dúvidas, o presente DPA não se aplica à utilização, implementação ou operação, por parte do Cliente, dos modelosYOLO Ultralytics fora da Ultralytics , as quais são realizadas sob a exclusiva responsabilidade do Cliente.

Ultralytics atualizar o presente Acordo de Tratamento de Dados (DPA) periodicamente, a fim de refletir alterações na legislação, nas orientações regulamentares ou nos Serviços, com efeito a partir da data de publicação, desde que as atualizações não reduzam significativamente as proteções de privacidade dos Dados Pessoais do Cliente sem o consentimento deste (exceto quando exigido pela legislação aplicável).

1. Definições

Por «afiliada» entende-se qualquer entidade que, direta ou indiretamente, controle, seja controlada por ou esteja sob controlo comum com uma parte, sendo que «controlo» significa a detenção de mais de 50 % dos direitos de voto.

Por «medidas de salvaguarda adequadas» entende-se os mecanismos juridicamente vinculativos para a transferência de dados pessoais que sejam permitidos ao abrigo da legislação aplicável em matéria de proteção de dados, nomeadamente, mas não exclusivamente, o artigo 46.º do RGPD.

Por «Subcontratante» entende-se qualquer Subcontratante contratado pela Ultralytics pelas suas Afiliadas para tratar os Dados Pessoais dos Clientes em nome Ultralytics no âmbito dos Serviços.

Por «Dados da Conta da Empresa» entende-se os dados pessoais relacionados com a relação da Empresa com o Cliente, incluindo os nomes ou informações de contacto das pessoas autorizadas pelo Cliente a aceder à conta deste, bem como as informações de faturação das pessoas que o Cliente tenha associado à sua conta. Os Dados da Conta da Empresa incluem também quaisquer dados que a Empresa possa necessitar de recolher para efeitos de gestão da sua relação com o Cliente, verificação de identidade ou conforme exigido pelas leis e regulamentos aplicáveis.

Por «Dados de Utilização da Empresa» entende-se os dados de utilização do Serviço recolhidos e tratados pela Empresa no âmbito da prestação dos Serviços, incluindo, entre outros, dados utilizados para identificar a origem e o destino de uma comunicação, registos de atividade e dados utilizados para otimizar e manter o desempenho dos Serviços, bem como para investigar e prevenir abusos do sistema.

Por «Dados do Cliente» entende-se quaisquer dados, conteúdos, materiais, ficheiros ou informações (incluindo conjuntos de dados, imagens, vídeos, anotações, etiquetas, metadados, entradas e saídas de modelos e outros conteúdos) que o Cliente ou os seus utilizadores autorizados carreguem, enviem, transmitam ou de outra forma disponibilizem para Processamento no âmbito dos Serviços, incluindo quaisquer dados gerados para o Cliente através da utilização dos Serviços por parte do Cliente.

«Violação de Dados Pessoais do Cliente» significa uma violação de segurança que conduza à destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais do Cliente tratados pela Ultralytics pelos seus subcontratantes no âmbito dos Serviços. A Violação de Dados Pessoais do Cliente não inclui tentativas mal sucedidas ou atividades que não comprometam os Dados Pessoais do Cliente (por exemplo, tentativas de início de sessão mal sucedidas, varreduras de portas, ataques de negação de serviço ou outros ataques a firewalls ou sistemas em rede).

Por «Leis de Proteção de Dados» entende-se todas as leis aplicáveis em matéria de privacidade e proteção de dados que se aplicam ao Tratamento de Dados Pessoais por uma das partes ao abrigo do Contrato, incluindo (conforme aplicável) o RGPD, o RGPD do Reino Unido, a FADP suíça, a ePrivacy/PECR, a CCPA/CPRA e outras leis estaduais dos EUA aplicáveis em matéria de privacidade.

«RGPD» significa o Regulamento (UE) 2016/679; «RGPD do Reino Unido» significa o RGPD tal como incorporado na legislação do Reino Unido; «FADP suíça» significa a Lei Federal Suíça sobre a Proteção de Dados (na sua versão revista). «Instruções» significa as instruções documentadas do Cliente à Ultralytics Tratamento dos Dados Pessoais do Cliente, tal como descrito na Secção 2.2.

«SCC» significa as cláusulas contratuais-tipo da UE (Decisão 2021/914); «Adenda do Reino Unido» significa a Adenda relativa à Transferência Internacional de Dados da ICO. Os restantes termos em maiúsculas têm os significados que lhes são atribuídos nas Leis de Proteção de Dados e/ou no Acordo.

Por «Serviços» entende-se os serviços e funcionalidades disponibilizados pela Ultralytics Cliente ao abrigo do Contrato, incluindo a Ultralytics e qualquer apoio, administração e documentação relacionados, conforme descrito em pormenor no Contrato.

PorUltralytics entende-se o ambiente de software como serviço (SaaS) baseado na nuvem Ultralytics, através do qual os Clientes podem carregar, gerir, anotar e controlar as versões de conjuntos de dados; treinar, avaliar, comparar, exportar e implementar modelos de visão computacional; gerir projetos e utilizadores; e aceder a funcionalidades e assistência relacionadas, e através do qual Ultralytics os Dados Pessoais do Cliente em nome deste, em conformidade com o presente DPA.

Por «ModelosYOLO Ultralytics » entende-se os modelos de visão computacional de código aberto e o código-fonte relacionado disponibilizados pela Ultralytics das licenças de código aberto aplicáveis, que os Clientes podem descarregar, implementar, alojar e operar de forma independente nos seus próprios ambientes. Para maior clareza, quando os Clientes implementam ou utilizam os ModelosYOLO Ultralytics fora da Ultralytics , Ultralytics Dados Pessoais em nome do Cliente ao abrigo do presente DPA.

2. Responsabilidades do cliente

2.1 Cumprimento da legislação. O Cliente é responsável pelo cumprimento da legislação em matéria de proteção de dados no que diz respeito ao tratamento de dados pessoais e à utilização dos Serviços, incluindo a prestação dos avisos necessários e a obtenção de quaisquer consentimentos e autorizações exigidos.

2.2 Instruções. O Contrato (incluindo o presente DPA), juntamente com a configuração e a utilização dos Serviços pelo Cliente em conformidade com o Contrato, constituem as Instruções completas do Cliente à Ultralytics o Tratamento dos Dados Pessoais do Cliente. O Cliente poderá fornecer Instruções adicionais durante a vigência do contrato, desde que estas sejam compatíveis com o Contrato e os Serviços. Se Ultralytics considerar, Ultralytics , que as Instruções adicionais exigem alterações ou encargos significativos, as partes debaterão a questão de boa-fé.

2.3 Dados Proibidos. A menos que expressamente acordado por escrito pelas partes (incluindo um acordo sobre as salvaguardas adicionais exigidas pelas leis de proteção de dados aplicáveis), o Cliente não deverá fornecer, enviar através da Ultralytics nem, de qualquer outra forma, disponibilizar à Ultralytics categorias especiais de dados pessoais nos termos do artigo 9.º do RGPD (ou equivalente), nem dados relativos a condenações penais ou infrações nos termos do artigo 10.º do RGPD.

A título de exemplo e sem carácter limitativo, os Dados Proibidos incluem:

números de identificação emitidos pelo governo (tais como números de passaporte, números de identificação nacional ou números de segurança social);
informações de saúde ou médicas, incluindo identificadores biométricos utilizados para identificar de forma única uma pessoa singular;
informações relativas à origem racial ou étnica de uma pessoa, às suas opiniões políticas, às suas convicções religiosas ou filosóficas ou à sua filiação sindical;
dados genéticos ou dados biométricos tratados com o objetivo de identificar de forma única uma pessoa singular;
dados pessoais relativos a crianças, nos casos em que tal seja restringido pelas leis de proteção de dados aplicáveis;
e dados relativos a condenações penais, condutas criminosas alegadas ou atividades de aplicação da lei.

Além disso, os Serviços também não se destinam a tratar outros dados que exijam proteção reforçada ao abrigo das leis de proteção de dados aplicáveis, tais como dados de cartões de pagamento, números de contas bancárias ou geolocalização precisa. O Cliente é o único responsável por garantir que os conjuntos de dados, imagens, vídeos, anotações, etiquetas, metadados ou outros conteúdos carregados ou tratados através dos Serviços não incluam Dados Proibidos. Qualquer tratamento de Dados Proibidos que viole a presente secção constitui uma violação grave do presente DPA.

2.4 Dados inadequados; Indemnização. O Cliente é o único responsável pela legalidade dos Dados Pessoais do Cliente fornecidos à Ultralytics por garantir que estes sejam adequados para os Serviços. O Cliente defenderá e indemnizará Ultralytics quaisquer reclamações de terceiros decorrentes do fornecimento de Dados Pessoais pelo Cliente aos Serviços, em violação do Contrato, do presente DPA ou das Leis de Proteção de Dados aplicáveis.

3. Ultralytics na qualidade de subcontratante

3.1 Limitação da finalidade. Ultralytics os Dados Pessoais do Cliente apenas (a) para prestar os Serviços em conformidade com o Contrato e o Anexo A, (b) de acordo com as Instruções do Cliente e (c) conforme exigido pela legislação aplicável. Ultralytics não Ultralytics os Dados Pessoais do Cliente nem os Dados do Cliente para treinar, melhorar ou desenvolver os modelos gerais ou comercialmente disponíveis Ultralytics, salvo quando expressamente instruída pelo Cliente por escrito ou através dos Serviços.

3.2 Conflito de leis. Se Ultralytics conhecimento de que não pode tratar os Dados Pessoais do Cliente de acordo com as Instruções devido a um requisito legal, Ultralytics (na medida do permitido por lei) o Cliente e, se necessário, suspenderá o tratamento afetado (exceto o armazenamento seguro) até que o Cliente emita Instruções conformes.

3.3 Confidencialidade do pessoal. Ultralytics as pessoas autorizadas a tratar os Dados Pessoais do Cliente estejam sujeitas a obrigações de confidencialidade. O Cliente concorda que Ultralytics divulgar os Dados Pessoais do Cliente aos seus consultores profissionais e auditores, na medida do razoavelmente necessário para a execução do Contrato/DPA, sujeito a obrigações de confidencialidade.

3.4 Subcontratação. Ultralytics recorrer a subcontratantes, em conformidade com a Secção 5, e continua a ser responsável pelo cumprimento das obrigações equivalentes por parte destes.

3.5 Eliminação / Devolução. Após a rescisão dos Serviços, Ultralytics ou devolverá os Dados Pessoais do Cliente em conformidade com o Contrato e o Anexo A, a menos que a conservação seja exigida por lei. Será fornecido um certificado de eliminação ao abrigo das Cláusulas Contratuais Típicas (SCC) mediante pedido do Cliente.

4. Direitos do titular dos dados (ou do consumidor)

4.1 Pedido do Titular dos Dados (ou Consumidor). Ultralytics Ultralytics , na medida do legalmente permitido, notificar o Cliente através do contacto principal da conta, sem demora injustificada, caso Ultralytics um pedido de um Titular dos Dados (ou Consumidor) para exercer o direito de acesso (ou divulgação), o direito de retificação, a restrição do Tratamento, o apagamento (ou eliminação ou o «direito ao esquecimento»), portabilidade dos dados, oposição ao Tratamento ou o seu direito de não ser sujeito a uma tomada de decisão individual automatizada («Pedido do Titular dos Dados (ou Consumidor)»).

4.2 Assistência. Tendo em conta a natureza do Tratamento, Ultralytics assistência razoável ao Cliente para responder a pedidos de exercício dos direitos dos Titulares dos Dados ao abrigo das Leis de Proteção de Dados, na medida em que o Cliente não consiga satisfazer o pedido utilizando as funcionalidades disponíveis do Serviço.

4.3 Avaliação de Impacto sobre a Proteção de Dados (DPIA); Consulta Prévia. Tendo em conta a natureza do Tratamento e as informações de que Ultralytics dispõe, Ultralytics assistência razoável ao Cliente no que diz respeito a (i) avaliações de impacto sobre a proteção de dados e (ii) à consulta e/ou cooperação do Cliente com as autoridades de controlo, sempre que tal seja exigido pelas Leis de Proteção de Dados e sempre que o Cliente não tenha acesso a informações relevantes. Exceto quando exigido pelas Leis de Proteção de Dados ou em relação a uma Violação de Dados Pessoais do Cliente, o Cliente não deverá solicitar tal assistência mais do que uma vez em qualquer período de doze (12) meses. O Cliente reembolsará os custos e despesas razoáveis incorridos Ultralytics na prestação de tal assistência, quando permitido por lei.

5. Subcontratantes

5.1 Autorização geral. O Cliente concede Ultralytics autorização geral por escrito para contratar subcontratantes para o tratamento dos Dados Pessoais do Cliente no âmbito dos Serviços.

5.2 Lista e Notificação. Está disponível uma lista dos Subcontratantes atuais em ultralytics (a «Lista»). Ultralytics um mecanismo para subscrever notificações sobre atualizações da Lista e notificará os novos Subcontratantes pelo menos dez (10) dias antes de os autorizar a tratar os Dados Pessoais do Cliente. O Cliente é responsável por subscrever essas notificações, quando disponíveis; caso o Cliente não as subscreva, reconhece que poderá não receber aviso prévio através desse mecanismo. Em todos os casos, as atualizações da Lista constituirão notificação de alterações aos Subprocessadores. O Cliente reconhece que determinados Subprocessadores são essenciais para a prestação dos Serviços e que a oposição à utilização de um subprocessador poderá impedir a Empresa de oferecer os Serviços ao Cliente.

Para maior clareza, Ultralytics envolvidas na prestação dos Serviços, incluindo Ultralytics (Reino Unido) e Ultralytics Spain, S.L., podem atuar como subcontratantes intragrupo quando tratam Dados Pessoais dos Clientes em nome da Ultralytics . no âmbito dos Serviços.

5.3 Objeção à contratação de novos subcontratantes. O Cliente pode opor-se por escrito à contratação de um novo subcontratante com base em motivos razoáveis de proteção de dados, nos termos da Secção 5.2. Se Ultralytics responder de forma razoável à objeção do Cliente, este poderá interromper o Serviço afetado mediante notificação por escrito, sem que tal o isente do pagamento de quaisquer taxas acumuladas antes dessa interrupção.

5.4 Transferência para subcontratantes. Ultralytics só Ultralytics subcontratantes após realizar uma verificação prévia razoável e baseada no risco, a fim de avaliar se o subcontratante é capaz de proporcionar um nível adequado de proteção aos Dados Pessoais do Cliente, em conformidade com as Leis de Proteção de Dados aplicáveis, e monitorizará periodicamente os subcontratantes no âmbito do seu programa de gestão de fornecedores. Ultralytics que os seus Subcontratantes estejam sujeitos a obrigações de proteção de dados que sejam substancialmente equivalentes ou mais rigorosas do que as estabelecidas no presente DPA. Mediante solicitação do Cliente, Ultralytics cópias (que poderão ser expurgadas por motivos de confidencialidade) dos termos de proteção de dados relevantes dos Subcontratantes, conforme exigido pelas SCCs.

6. Segurança

6.1 Medidas. Tendo em conta o estado da técnica, a natureza, o âmbito, o contexto e as finalidades do Tratamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares, Ultralytics implementar e manter medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado a esse risco, em conformidade com a legislação aplicável em matéria de proteção de dados, incluindo o artigo 32.º do RGPD. Estas medidas estão descritas no Anexo C, que Ultralytics atualizar periodicamente, desde que tal atualização não reduza significativamente o nível global de proteção dos Dados Pessoais do Cliente.

6.2 Responsabilidades do Cliente. Não obstante o acima exposto, o Cliente reconhece que, salvo disposição expressa em contrário no presente DPA, é responsável pela utilização segura dos Serviços, incluindo a proteção das credenciais de autenticação da sua conta, a configuração adequada dos controlos de acesso e a garantia de que os seus utilizadores acedem e utilizam os Serviços de forma compatível com a legislação aplicável em matéria de proteção de dados e com as funcionalidades de segurança disponibilizadas pela Ultralytics.

7. Auditorias aos clientes e demonstração de conformidade

7.1 Documentação. Mediante pedido razoável, Ultralytics as informações razoavelmente necessárias para demonstrar o cumprimento do presente DPA (incluindo relatórios de auditoria ou certificações de terceiros atuais, quando disponíveis). Ultralytics registos suficientes para demonstrar o cumprimento do presente DPA e conservará esses registos por um período razoável após a rescisão (por exemplo, três (3) anos), a menos que a lei exija um período mais longo.

7.2 Auditoria. Nos casos em que as Leis de Proteção de Dados o exijam e a documentação seja insuficiente, o Cliente poderá, mediante aviso prévio por escrito razoável e a expensas do Cliente, solicitar uma auditoria ou inspeção dos sistemas e processos relevantes Ultralytics. Qualquer auditoria ou inspeção deste tipo só será realizada após acordo mútuo por escrito entre as partes sobre o âmbito, o calendário e a duração da auditoria, bem como sobre qualquer taxa de reembolso razoável pelo tempo e recursos Ultralytics despendidos em relação à auditoria. Qualquer auditoria realizada nos termos desta Secção deverá:

(a) não ocorram mais do que uma vez em qualquer período de doze (12) meses;
(b) decorrer durante o horário normal de funcionamento Ultralytics;
c) estar sujeitas a controlos razoáveis em matéria de confidencialidade, segurança e proteção; e
(d) limitar-se aos sistemas e registos razoavelmente relevantes para o tratamento dos dados pessoais dos clientes.

O cliente deverá notificar imediatamente Ultralytics qualquer incumprimento relevante identificado durante uma auditoria, a fim de proporcionar Ultralytics oportunidade razoável para resolver tais questões.

8. Violações de dados pessoais

8.1 Notificação. Ultralytics o Cliente sem demora injustificada, mas o mais tardar 72 horas após ter tomado conhecimento de uma violação dos Dados Pessoais do Cliente.

8.2 Assistência. Ultralytics assistência razoável ao Cliente nas notificações que este tenha de enviar às entidades reguladoras e aos titulares de dados afetados, tendo em conta as informações de que Ultralytics dispõe.

8.3 Ausência de admissão. A notificação de violação não constitui uma admissão de culpa ou responsabilidade. A obrigação de notificação de violação não se aplica na medida em que uma violação de dados pessoais do Cliente seja causada por ações ou omissões do Cliente ou dos seus utilizadores.

9. Transferências (UE/Reino Unido/Suíça)

9.1 Transferências internacionais. O Cliente reconhece que as principais operações de tratamento de dados Ultralytics podem ocorrer nos Estados Unidos e noutros locais, conforme necessário para a prestação dos Serviços.

Para maior clareza, os Dados Pessoais do Cliente também podem ser transferidos entre Ultralytics . e as suas Afiliadas (incluindo Ultralytics (Reino Unido) e Ultralytics Spain, S.L.) quando essas Afiliadas atuam como Subcontratantes no âmbito dos Serviços. Quando essas transferências se qualificarem como transferências internacionais ao abrigo das Leis de Proteção de Dados aplicáveis, estarão sujeitas a Salvaguardas Adequadas, incluindo as SCCs (Módulo 3, quando aplicável) ou outros mecanismos de transferência válidos.

Sempre que seja necessária a transferência de Dados Pessoais do Cliente para um país que não tenha sido reconhecido como oferecendo um nível adequado de proteção de dados, tais transferências serão realizadas sujeitas a Garantias Adequadas, em conformidade com a Legislação de Proteção de Dados aplicável, incluindo, quando aplicável, as Cláusulas Contratuais Típicas (SCCs) e o Adendo do Reino Unido, tal como incorporados no presente Acordo de Tratamento de Dados (DPA).

9.2 Cláusulas Contratuais Típicas da UE. No que diz respeito às transferências de Dados Pessoais do Cliente sujeitas ao RGPD para um país terceiro sem decisão de adequação, as partes incorporam as Cláusulas Contratuais Típicas da UE. O Módulo Dois (Responsável pelo Tratamento → Subcontratante) aplica-se quando o Cliente é o Responsável pelo Tratamento; o Módulo Três (Subcontratante → Sub-subcontratante) aplica-se quando o Cliente é o Subcontratante. Os anexos das Cláusulas Contratuais Típicas da UE são preenchidos utilizando o Anexo B (Anexo I/III) e o Anexo C (Anexo II).

9.3 Adenda do Reino Unido. No que diz respeito às transferências sujeitas ao RGPD do Reino Unido, as partes incorporam a Adenda do Reino Unido, preenchida com base no Anexo B/C e na seleção do mecanismo de transferência aplicável.

9.4 Suíça. No que diz respeito às transferências para a Suíça, aplicam-se as Cláusulas Contratuais Típicas da UE com as alterações suíças habituais (as referências ao RGPD incluem a FADP suíça; o FDPIC como autoridade competente, etc.), complementadas por referência aos anexos.

9.5 Pedidos de acesso por parte das autoridades. Ultralytics os pedidos juridicamente vinculativos relativos aos Dados Pessoais do Cliente em conformidade com a legislação aplicável e as Cláusulas Contratuais Tipo (SCC), incluindo (quando legalmente permitido) a notificação ao Cliente e a cooperação razoável.

10. Termos entre responsáveis pelo tratamento (Ultralytics / Utilização / Operações de segurança)

10.1 Âmbito de aplicação. A presente secção aplica-se ao tratamento de dados pessoais pelo responsável pelo tratamento por cada uma das partes na qualidade de responsável pelo tratamento independente (e não de responsáveis conjuntos), incluindo o tratamento Ultralytics dos dados da conta da empresa e dos dados de utilização da empresa.

10.2 Obrigações do Responsável pelo Tratamento Independente. Cada parte deverá:

(a) Tratar os dados pessoais do responsável pelo tratamento em conformidade com a legislação em matéria de proteção de dados;
b) implementar medidas de segurança adequadas; e
c) responder às comunicações regulamentares relacionadas com o seu próprio tratamento de dados.

10.3 Tratamento Ultralytics . Ultralytics os Dados da Conta da Empresa e os Dados de Utilização da Empresa na qualidade de responsável pelo tratamento para: administração de contas, faturação, monitorização de segurança e prevenção de abusos, verificação de identidade, conformidade legal, auditorias/contabilidade e operações de serviço (incluindo desempenho e fiabilidade). Esse tratamento é descrito na Política Ultralytics . Nada no presente DPA deve ser interpretado como criando uma relação de responsáveis conjuntos pelo tratamento entre as partes.

Para evitar dúvidas, Ultralytics as suas afiliadas podem tratar dados de contacto comerciais limitados (tais como nomes, endereços de e-mail corporativos e dados de contacto profissionais) no âmbito de ações de divulgação comercial, demonstrações, parcerias e atividades de gestão de relações com os clientes, na qualidade de responsáveis pelo tratamento independentes.

11. Termos da Califórnia (CCPA/CPRA)

11.1 Prestador de serviços / Subcontratante. Na medida em que a CCPA/CPRA seja aplicável e Ultralytics os Dados Pessoais do Cliente em nome deste, Ultralytics como «prestador de serviços» e/ou «subcontratante», e não «venderá» nem «partilhará» essas informações pessoais.

11.2 Utilização limitada. Ultralytics não Ultralytics , utilizará nem divulgará os Dados Pessoais do Cliente para além da finalidade comercial direta de prestação dos Serviços, salvo nos casos permitidos pela CCPA/CPRA.

11.3 Discriminação. As Partes não devem discriminar um Consumidor pelo facto de este ter exercido os seus direitos.

12. Disposições gerais

12.1 Limitação de responsabilidade. As limitações e exclusões previstas no Contrato aplicam-se ao presente DPA, salvo na medida em que tal seja proibido por lei ou pelas SCCs/Adenda do Reino Unido.

12.2 Divisibilidade. Caso qualquer disposição do presente DPA seja inválida ou inexequível, o restante do presente DPA permanecerá válido e em vigor. A disposição inválida ou inexequível deverá ser (i) alterada conforme necessário para garantir a sua validade e exequibilidade, preservando, tanto quanto possível, as intenções das Partes ou, caso tal não seja possível, (ii) interpretada de forma a que a parte inválida ou inexequível nunca tenha sido incluída no presente DPA.

12.3 Execução do presente DPA. O presente DPA é incorporado no Contrato e faz parte integrante do mesmo. O Cliente celebra o presente DPA (incluindo, quando aplicável, as Cláusulas Contratuais Típicas da UE e o Adenda do Reino Unido) mediante:

(a) aceitar ou concordar em ficar vinculado ao Acordo (incluindo clicando em «Concordo» ou num mecanismo semelhante aos Termos de Serviço),
(b) celebrar um formulário de encomenda, um caderno de encargos ou outro acordo escrito que incorpore ou faça referência ao Contrato, ou
(c) utilizar ou continuar a utilizar os Serviços após a Empresa ter disponibilizado o presente DPA.

O Cliente declara e garante que a pessoa que aceita o Contrato e/ou utiliza os Serviços em nome do Cliente tem autoridade para vincular o Cliente e, quando aplicável, as suas Afiliadas.

12.4 Contacto. Pedidos relativos à privacidade: ultralytics; Encarregado da Proteção de Dados (DPO): ultralytics; avisos legais: ultralytics.

13. Partes; Afiliadas

O Cliente celebra o presente Acordo de Tratamento de Dados (DPA) em seu próprio nome e em nome das suas Afiliadas que sejam utilizadores autorizados dos Serviços ao abrigo do Contrato e que sejam Responsáveis pelo Tratamento/Subcontratantes dos Dados Pessoais do Cliente («Afiliadas Autorizadas»). O Cliente declara ter autoridade para vincular as Afiliadas Autorizadas.

Anexo A: Detalhes do tratamento de dados pessoais

Natureza: Ultralytics um software baseado na nuvem e serviços conexos que permitem aos Clientes aceder e utilizar Ultralytics e funcionalidades Ultralytics , incluindo treino de modelos, inferência, gestão de conjuntos de dados, fluxos de trabalho de implementação e o suporte e a administração conexos («Serviços»), conforme descrito no Contrato.

Para maior clareza, os Serviços incluem a Ultralytics , através da qual Ultralytics os Dados Pessoais do Cliente em nome deste, em conformidade com o presente DPA. Separadamente, Ultralytics disponibiliza modelosYOLO Ultralytics YOLO , que os Clientes podem implementar e operar de forma independente nos seus próprios ambientes. Quando os Clientes implementam ou utilizamYOLO Ultralytics YOLO fora da Ultralytics , Ultralytics trata Dados Pessoais em nome do Cliente, e os Clientes são os únicos responsáveis pela implementação de medidas técnicas e organizacionais adequadas, pela determinação das finalidades e meios de tratamento e pela garantia do cumprimento das Leis de Proteção de Dados aplicáveis em relação a tal implementação e utilização.

Finalidade: Ultralytics os dados pessoais do cliente em nome deste para os seguintes fins:

fornecer, operar, proteger e prestar assistência aos Serviços, em conformidade com o Contrato e com as Instruções documentadas do Cliente;
cumprir outras instruções razoáveis e documentadas fornecidas pelo Cliente, desde que tais instruções sejam compatíveis com o Contrato e com o presente DPA;
para responder a pedidos iniciados pelo Cliente ou pelos seus utilizadores autorizados no âmbito da utilização dos Serviços (incluindo pedidos de apoio ao cliente);
para monitorizar, prevenir e detect incidentes detect , fraudes, abusos e utilização indevida dos serviços; e
para cumprir as obrigações legais aplicáveis.

Ultralytics não Ultralytics os Dados Pessoais do Cliente para treinar ou melhorar os modelos gerais Ultralytics, salvo se tal for expressamente indicado pelo Cliente por escrito ou através dos Serviços. Para maior clareza, Ultralytics utilizar os Dados de Utilização da Empresa e dados agregados ou anonimizados (quando permitido) para operar, proteger e melhorar os Serviços.

Caso o Cliente opte por partilhar conjuntos de dados, modelos ou outros conteúdos através das funcionalidades comunitárias ou públicas dos Serviços, essa partilha constitui uma instrução documentada do Cliente. O Cliente é o único responsável por garantir que possui todos os direitos e fundamentos legais necessários para disponibilizar esses dados a outros utilizadores.

Duração do Tratamento: Ultralytics os Dados Pessoais do Cliente durante a vigência do Contrato e enquanto for necessário para prestar os Serviços, em conformidade com as Instruções do Cliente. Após a rescisão ou o termo do Contrato, Ultralytics ou devolverá os Dados Pessoais do Cliente, em conformidade com o Contrato e o presente DPA, a menos que a legislação aplicável exija uma retenção mais prolongada. Para maior clareza, nos casos em que Ultralytics Dados Pessoais do Responsável pelo Tratamento (incluindo Dados da Conta da Empresa e Dados de Utilização da Empresa) na qualidade de Responsável pelo Tratamento independente nos termos da Secção 10, esse tratamento ocorrerá durante os períodos estabelecidos na Política Ultralytics .

Categorias de titulares de dados: Os dados pessoais do Cliente podem dizer respeito às seguintes categorias de titulares de dados, conforme determinado e controlado pelo Cliente:

Colaboradores, contratados, agentes e representantes do cliente;
Utilizadores autorizados e administradores do cliente;
e os utilizadores finais do Cliente, os clientes deste ou outras pessoas cujos Dados Pessoais o Cliente decida enviar para os Serviços.

Categorias de dados pessoais: Os dados pessoais do Cliente podem incluir as seguintes categorias de dados pessoais, na medida em que sejam enviados ou disponibilizados de outra forma através dos Serviços pelo Cliente ou em seu nome:

Dados de identidade da conta e do utilizador, tais como nome, endereço de e-mail, nome de utilizador/ID de utilizador, nome da organização e função/permissões do utilizador (por exemplo, administrador/utilizador).
Dados de utilização e dados técnicos/do dispositivo, tais como endereço IP, identificadores do dispositivo e atributos do sistema (por exemplo, tipo de dispositivo, sistema operativo, tipo de navegador), ficheiros de registo, registos de data e hora, eventos de autenticação, histórico de acesso e (quando aplicável) aplicações instaladas ou detalhes de configuração recolhidos no âmbito dos fluxos de trabalho empresariais relativos a dispositivos ou segurança.
Conteúdos e contributos fornecidos pelo Cliente, tais como prompts gerados pelo utilizador, comentários, anotações, metadados ou etiquetas de conjuntos de dados, e quaisquer outros conteúdos que o Cliente carregue ou envie através dos Serviços (incluindo imagens, vídeos, áudio ou outros ficheiros), mas apenas na medida em que esses conteúdos contenham Dados Pessoais.
Dados de assistência e comunicação, tais como comunicações de apoio ao cliente, relatórios de problemas, informações de resolução de problemas e dados de contacto administrativos.

As categorias de dados pessoais tratados podem incluir, além disso, as descritas na Política Ultralytics da Ultralytics .

Dados sensíveis ou categorias especiais de dados: Os Serviços não foram concebidos nem se destinam a tratar categorias especiais de dados pessoais (conforme definido no artigo 9.º do RGPD ou equivalente ao abrigo da legislação aplicável em matéria de proteção de dados) nem dados pessoais relativos a condenações penais e infrações (artigo 10.º do RGPD), sendo proibido ao Cliente fornecer tais dados, salvo se tal for expressamente acordado por escrito com Ultralytics sujeito a salvaguardas adicionais.

Anexo B: Informações dos Anexos I e III (Cláusulas Contratuais Padrão da UE e Adenda do Reino Unido)

O que se segue inclui as informações exigidas pelos Anexos I e III das Cláusulas Contratuais Padrão da UE, bem como pela Tabela 1, pelo Anexo 1A e pelo Anexo 1B do Aditamento do Reino Unido.

1. As Partes

Exportador(es) de dados:

Nome: Nome da entidade jurídica do cliente
Nome comercial (se diferente): [Opcional]
Endereço: Endereço de residência do cliente
Número de registo oficial (se houver): [Opcional]
Nome, cargo e dados de contacto da pessoa de contacto: Nome, Cargo, E-mail
Atividades relevantes para os dados transferidos ao abrigo destas Cláusulas: Utilização dos Serviços nos termos do Contrato, incluindo a transferência de Dados Pessoais do Cliente para Ultralytics Tratamento no âmbito dos Serviços, tal como descrito no Contrato, no presente DPA e no Anexo A.
Assinatura e data: Mediante a assinatura/aceitação do Acordo/DPA
Função (responsável pelo tratamento/subcontratante): Responsável pelo tratamento

Importador(es) de dados:

Nome: Ultralytics .
Nome comercial (se diferente): N/A
Endereço e informações de contacto: 5001 Judicial Way, Frederick, MD, 21703, Estados Unidos; ultralytics
Número de registo oficial (se aplicável): 6755919
Atividades relevantes para os dados transferidos ao abrigo das presentes Cláusulas: Tratamento de Dados Pessoais do Cliente em nome do Cliente para prestar, operar, proteger, manter e prestar assistência aos Serviços, bem como conforme descrito no Contrato, no presente DPA e no Anexo A.
Assinatura e data: Mediante a assinatura/aceitação do Acordo/DPA
Função (responsável pelo tratamento/subcontratante): Conforme descrito na secção 3 da Lei de Proteção de Dados.

2. Descrição da transferência

Campo	Detalhes
Titulares dos dados	Conforme descrito no Anexo A do Acordo de Dados Pessoais (DPA)
Categorias de dados pessoais	Conforme descrito no Anexo A do Acordo de Dados Pessoais (DPA)
Dados pessoais de categorias especiais (se aplicável)	Conforme descrito no Anexo A do Acordo de Dados Pessoais (DPA)
Natureza do tratamento	Conforme descrito no Anexo A do Acordo de Dados Pessoais (DPA)
Finalidades do tratamento	Conforme descrito no Anexo A do Acordo de Dados Pessoais (DPA)
Duração do tratamento e da conservação (ou os critérios para determinar esse período)	Conforme descrito no Anexo A do Acordo de Dados Pessoais (DPA)
Frequência da transferência	Na medida do necessário para assegurar e cumprir todas as obrigações e exercer todos os direitos relativos aos Dados Pessoais, tal como previsto no Contrato ou no Acordo de Tratamento de Dados (DPA)
Destinatários dos dados pessoais transferidos para o importador de dados	A empresa manterá uma lista de subcontratantes em: ultralytics Subcontratantes intragrupo: Ultralytics (Reino Unido) - apoio técnico, apoio ao cliente, assistência na integração e interações comerciais (incluindo demonstrações e parcerias) Ultralytics Spain, S.L. (Espanha) - apoio técnico, interações comerciais e atividades de contacto com o cliente, envolvendo o tratamento limitado de dados de contacto comerciais

3. Autoridade de controlo competente

A autoridade de controlo será a autoridade de controlo do Exportador de Dados, conforme determinado nos termos da Cláusula 13 das Cláusulas Contratuais Típicas da UE. A autoridade de controlo para efeitos do Aditamento do Reino Unido será o Gabinete do Comissário de Informação do Reino Unido.

Anexo C: Medidas de segurança técnicas e organizacionais

O que se segue inclui as informações exigidas pelo Anexo II das Cláusulas Contratuais Padrão da UE e pelo Anexo II do Adenda do Reino Unido.

Medidas de segurança técnicas e organizacionais	Detalhes
Medidas de pseudonimização e encriptação de dados pessoais	Os dados pessoais dos clientes são protegidos através de encriptação durante a transmissão, utilizando ligações seguras conformes com os padrões da indústria (TLS) entre os componentes da plataforma e os terminais externos. Os dados armazenados em serviços na nuvem beneficiam de encriptação em repouso gerida pelo fornecedor de serviços na nuvem e de controlos seguros de gestão de chaves.
Medidas destinadas a garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de tratamento	Ultralytics compromissos de segurança, confidencialidade e disponibilidade relativamente aos seus serviços, incluindo uma configuração do sistema concebida para restringir o acesso não autorizado, deteção e monitorização de intrusões, análise de vulnerabilidades e testes de penetração, encriptação em trânsito e em repouso, bem como controlos de retenção e eliminação de dados. A Ultralytics opera utilizando serviços de nuvem geridos com garantia de disponibilidade. Os nossos fornecedores de infraestrutura como serviço (IaaS) garantem a resiliência da base de dados através da replicação e da alta disponibilidade. Ultralytics assegura Ultralytics que as medidas técnicas e organizacionais (TOMs) dos subcontratantes a jusante cumprem ou excedem as normas estabelecidas no presente acordo.
Medidas destinadas a garantir a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais em tempo útil, em caso de incidente físico ou técnico	Os dados dos clientes na Ultralytics são copiados para cópias de segurança utilizando serviços nativos do fornecedor de serviços na nuvem. As cópias de segurança são monitorizadas e as anomalias são investigadas e corrigidas. Os dados das cópias de segurança são encriptados tanto em repouso como em trânsito, e o acesso é restrito ao pessoal autorizado. O planeamento da continuidade de negócios e da recuperação de desastres inclui objetivos de ponto de recuperação (RPOs), objetivos de tempo de recuperação (RTOs) e funções e responsabilidades definidas.
Processos destinados a testar, analisar e avaliar regularmente a eficácia das medidas técnicas e organizacionais, a fim de garantir a segurança do tratamento	Ultralytics análises regulares de vulnerabilidades no sistema e na rede, bem como testes de penetração no ambiente de produção. A gestão de vulnerabilidades inclui a análise de dependências e práticas de desenvolvimento seguro integradas nos pipelines de CI/CD, sendo que as vulnerabilidades identificadas são priorizadas e corrigidas com base na gravidade e no risco. Além disso, Ultralytics uma avaliação anual de riscos e uma revisão da gestão, como parte das práticas padrão do SGSI.
Medidas para a identificação e autorização dos utilizadores	A Ultralytics utiliza um provedor de autenticação e identidade, que suporta a autenticação de utilizadores e a gestão de sessões. O acesso aos sistemas de engenharia (incluindo repositórios de código-fonte) é restrito ao pessoal autorizado e regido por permissões baseadas em funções, proteções de ramificações e revisões obrigatórias. O acesso interno segue um modelo de privilégios mínimos e controlos de acesso baseados em funções.
Medidas para a proteção dos dados durante a transmissão	O acesso à Ultralytics está restrito a ligações HTTPS (TLS) seguras através de pontos de extremidade front-end designados. As comunicações internas entre os componentes da plataforma e os serviços de armazenamento são encriptadas durante a transmissão utilizando TLS.
Medidas para a proteção dos dados durante o armazenamento	Na Ultralytics , os dados dos clientes são armazenados em serviços de nuvem geridos e encriptados, com redundância e suporte para cópias de segurança. Os serviços de nuvem geridos oferecem encriptação integrada, cópias de segurança automatizadas, armazenamento redundante e alta disponibilidade. A encriptação gerida pelo fornecedor de serviços de nuvem é aplicada aos dados em repouso.
Medidas destinadas a garantir a segurança física dos locais onde são tratados dados pessoais	A Ultralytics é alojada através de prestadores de serviços na nuvem externos. As medidas de proteção física e ambiental dos centros de dados de alojamento são geridas pelas organizações subcontratadas relevantes. Ultralytics os relatórios de certificação das organizações subcontratadas e realiza análises de risco, pelo menos uma vez por ano.
Medidas para garantir o registo de eventos	Ultralytics registos nativos da nuvem para monitorização, resolução de problemas e investigação de incidentes. Os alertas relacionados com a disponibilidade da plataforma e a segurança são comunicados internamente através de canais de comunicação internos e por e-mail, e externamente através de uma página de estado hospedada. Além disso, Ultralytics revê Ultralytics o acesso a aplicações, ferramentas e recursos que processam ou armazenam Dados do Cliente.
Medidas para garantir a configuração do sistema, incluindo a configuração padrão	Ultralytics processos documentados de gestão de alterações que regem as alterações à Ultralytics e ao código-fonteYOLO Ultralytics YOLO , incluindo o início do processo de alteração, a documentação, as normas de desenvolvimento, os testes, a revisão e a aprovação antes do lançamento ou da implementação. As alterações são acompanhadas através do controlo de versões, com revisão por pares e validação no pipeline de CI/CD.
Medidas relativas à governação e gestão internas das tecnologias da informação e da segurança informática	Ultralytics políticas e procedimentos de segurança alinhados com os compromissos de serviço e os requisitos internos de conformidade, com uma revisão anual das principais políticas e procedimentos. Os colaboradores devem confirmar o conhecimento das políticas através de uma ferramenta específica de Governança, Risco e Conformidade (GRC) e são obrigados a realizar formação anual sobre sensibilização para a segurança e sobre privacidade, bem como formação em programação segura para funções de engenharia. Os riscos são documentados num registo de riscos centralizado e revistos formalmente pelo menos uma vez por ano.
Medidas para a certificação/garantia de processos e produtos	Ultralytics a serviços geridos por terceiros (incluindo organizações prestadoras de serviços secundários) e analisa anualmente os seus relatórios SOC 2 no âmbito dos controlos de monitorização. A due diligence dos fornecedores é baseada no risco, sendo estes classificados em níveis (Crítico/Elevado/Médio/Baixo), com salvaguardas contratuais e reavaliações periódicas.
Medidas destinadas a garantir a minimização dos dados	Ultralytics os dados dos clientes em conformidade com os acordos celebrados com os mesmos e com os requisitos de proteção de dados aplicáveis, limitando o tratamento ao estritamente necessário para a prestação e o suporte dos Serviços (incluindo a gestão de conjuntos de dados, a anotação, o treino de modelos, a avaliação e as funcionalidades relacionadas da plataforma). A utilizaçãoYOLO Ultralytics é gerida pelos clientes, Ultralytics pelo tratamento de cargas de trabalho de inferência para os clientes nesse contexto.
Medidas para garantir a qualidade dos dados	Ultralytics práticas controladas de desenvolvimento e implementação concebidas para garantir a integridade e a fiabilidade, incluindo revisão por pares, testes automatizados, fluxos de trabalho de CI/CD e gestão controlada de alterações para a Plataforma e para as versões de código aberto.
Medidas destinadas a garantir uma retenção limitada de dados	Ultralytics os compromissos relativos à retenção e eliminação de dados como parte dos seus compromissos de serviço. Os dados dos clientes da Plataforma são copiados para cópias de segurança através de serviços geridos, e a eliminação/devolução é tratada em conformidade com os acordos celebrados com os clientes e com a legislação aplicável.
Medidas destinadas a garantir a responsabilização	Ultralytics um plano de resposta a incidentes e procedimentos documentados para identificar, comunicar, gerir e acompanhar incidentes de segurança e privacidade, incluindo comunicações para a notificação de vulnerabilidades externas atravésultralytics. Os incidentes são documentados e tratados com o envolvimento das equipas de Engenharia, Jurídica e da direção executiva, conforme exigido pela gravidade do caso.
Medidas destinadas a permitir a portabilidade dos dados e a garantir o apagamento	Os Dados Pessoais do Cliente enviados para Ultralytics podem ser eliminados pelo Cliente e/ou a pedido do Cliente, em conformidade com o Contrato e o presente DPA. Caso seja necessária a eliminação, Ultralytics de acordo com as instruções do Cliente e os requisitos legais aplicáveis. (A portabilidade é suportada na medida em que o Cliente possa exportar ou recuperar os seus Dados do Cliente dos Serviços, conforme aplicável.) Os modelosYOLO Ultralytics são implementados pelo Cliente no seu ambiente dedicado, garantindo o controlo total da governança de dados.
Medidas técnicas e organizacionais dos subcontratantes	Ultralytics um programa de gestão de fornecedores baseado no risco para a integração e monitorização de prestadores de serviços externos, incluindo a análise de declarações de conformidade e de requisitos contratuais em matéria de segurança e proteção de dados. Ultralytics monitoriza as Organizações de Subcontratação e analisa anualmente os seus relatórios SOC 2. Ultralytics celebra Ultralytics Acordos de Tratamento de Dados com os seus subcontratantes, com obrigações de proteção de dados substancialmente semelhantes às contidas no presente DPA.

Anexo D: Adenda relativa ao Reino Unido

Anexo relativo à transferência internacional de dados às Cláusulas Contratuais Padrão da Comissão Europeia

Parte 1: Tabelas

Tabela 1: Partes

Campo	Exportador	Importador
Data de início	O presente Aditamento do Reino Unido terá a mesma data de entrada em vigor que o DPA
Dados das partes	Cliente	Empresa
Pessoa de contacto	Ver o Anexo B do presente Acordo de Resolução de Acusações	Ver o Anexo B do presente Acordo de Resolução de Acusações

Tabela 2: SCCs, módulos e cláusulas selecionados

Campo	Detalhes
Cláusulas Contratuais Padrão da UE	A versão das Cláusulas Contratuais Típicas da UE aprovadas à qual este Aditamento do Reino Unido se refere, tal como definida na DPA e complementada pelas secções 6.2 e 6.3 da DPA.

Tabela 3: Informações do apêndice

Por «Informações do Apêndice» entende-se as informações que devem ser fornecidas relativamente aos módulos selecionados, tal como estabelecido no Apêndice das Cláusulas Contratuais Típicas da UE aprovadas (para além das Partes), e que, no presente Aditamento do Reino Unido, se encontram definidas em:

Anexo	Referência
Anexo 1A: Lista das Partes	Conforme a Tabela 1 acima
Anexo 2B: Descrição da transferência	Ver o Anexo B do presente Acordo de Resolução de Acusações
Anexo II: Medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais destinadas a garantir a segurança dos dados	Ver Anexo C do presente Acordo de Resolução de Litígios
Anexo III: Lista de subcontratantes (apenas Módulos 2 e 3)	Ver o Anexo B do presente Acordo de Resolução de Acusações

Tabela 4: Encerramento deste Aditamento do Reino Unido quando o Aditamento do Reino Unido Aprovado for alterado

Nota: Esta disposição permite que a parte selecionada (se houver) rescinda o Aditamento do Reino Unido caso a ICO altere o Aditamento do Reino Unido aprovado, o que resulte diretamente num aumento substancial, desproporcionado e demonstrável (a) dos seus custos diretos com o cumprimento das suas obrigações ao abrigo do Aditamento do Reino Unido ou (b) do seu risco ao abrigo do Aditamento do Reino Unido.

Campo	Seleção
Encerramento deste Aditamento do Reino Unido quando o Aditamento do Reino Unido aprovado for alterado	x Importador x Exportador ☐ Nenhuma das partes

Adesão ao presente Aditamento do Reino Unido

Cada uma das partes concorda em ficar vinculada aos termos e condições estabelecidos no presente Aditamento para o Reino Unido, em troca do compromisso da outra parte em ficar igualmente vinculada ao presente Aditamento para o Reino Unido.

Embora o Anexo 1A e a Cláusula 7 das CCT da UE Aprovadas exijam a assinatura das Partes, para efeitos de transferências a partir do Reino Unido, as Partes podem celebrar o presente Aditamento do Reino Unido de qualquer forma que o torne juridicamente vinculativo para as Partes e permita aos titulares dos dados fazer valer os seus direitos, tal como estabelecido no presente Aditamento do Reino Unido. A celebração deste Aditamento do Reino Unido terá o mesmo efeito que a assinatura das CCT da UE Aprovadas e de qualquer parte das CCT da UE Aprovadas.

Interpretação deste Aditamento do Reino Unido

Sempre que o presente Aditamento do Reino Unido utilize termos definidos nas Cláusulas Contratuais Padrão da UE Aprovadas, esses termos terão o mesmo significado que lhes é atribuído nas Cláusulas Contratuais Padrão da UE Aprovadas. Além disso, os termos a seguir têm os seguintes significados:

Período	Definição
Anexo do Reino Unido	refere-se ao presente Aditamento relativo à Transferência Internacional de Dados, que incorpora as Cláusulas Contratuais Típicas da UE, anexado ao Acordo de Tratamento de Dados como Anexo D.
Cláusulas Contratuais Padrão da UE	refere-se à(s) versão(ões) das Cláusulas Contratuais Típicas da UE Aprovadas às quais este Aditamento do Reino Unido está anexado, conforme indicado na Tabela 2, incluindo as Informações do Apêndice
Informações do apêndice	será conforme indicado na Tabela 3
Medidas de segurança adequadas	refere-se ao nível de proteção dos dados pessoais e dos direitos dos titulares dos dados exigido pela legislação britânica em matéria de proteção de dados quando se efetua uma transferência para fora do Reino Unido com base nas cláusulas-tipo de proteção de dados previstas na alínea d) do n.º 2 do artigo 46.º do RGPD do Reino Unido.
Adenda aprovada para o Reino Unido	refere-se ao modelo de adenda emitido pela ICO e apresentado ao Parlamento em conformidade com o artigo 119.º-A da Lei de Proteção de Dados de 2018, em 2 de fevereiro de 2022, tal como possa vir a ser revisto nos termos do artigo 18.º da Adenda do Reino Unido.
Cláusulas Contratuais Padrão da UE aprovadas	refere-se às cláusulas contratuais-tipo aprovadas pela Comissão Europeia na Decisão 2021/914 da Comissão, de 4 de junho de 2021, para transferências de dados pessoais para países que não sejam reconhecidos pela Comissão Europeia como oferecendo um nível adequado de proteção de dados pessoais (conforme alteradas e atualizadas periodicamente).
ICO	refere-se ao Gabinete do Comissário para a Informação.
Transferência do Reino Unido	terá a mesma definição que a estabelecida na DPA.
Reino Unido	significa o Reino Unido da Grã-Bretanha e da Irlanda do Norte
Leis de proteção de dados do Reino Unido	refere-se a todas as leis relativas à proteção de dados, ao tratamento de dados pessoais, à privacidade e/ou às comunicações eletrónicas em vigor no Reino Unido, incluindo o RGPD do Reino Unido e a Lei de Proteção de Dados de 2018.
RGPD no Reino Unido	terá a definição estabelecida na DPA.

O Aditamento do Reino Unido deve ser sempre interpretado de forma coerente com a legislação britânica em matéria de proteção de dados e de modo a cumprir a obrigação das Partes de fornecer as garantias adequadas.

Se as disposições incluídas no Aditamento do Reino Unido alterarem as CCP aprovadas da UE de alguma forma que não seja permitida ao abrigo das CCP aprovadas da UE ou do Aditamento do Reino Unido aprovado, tais alterações não serão incorporadas no Aditamento do Reino Unido, sendo substituídas pela disposição equivalente das CCP aprovadas da UE.

Caso exista alguma inconsistência ou conflito entre as leis de proteção de dados do Reino Unido e o Adendo do Reino Unido, prevalecerão as leis de proteção de dados do Reino Unido.

Se o significado do Adendo do Reino Unido não for claro ou se houver mais do que um significado, aplica-se o significado que melhor se coaduna com as leis de proteção de dados do Reino Unido.

Quaisquer referências à legislação (ou a disposições específicas da legislação) referem-se a essa legislação (ou disposição específica) tal como possa vir a ser alterada ao longo do tempo. Isto inclui os casos em que essa legislação (ou disposição específica) tenha sido consolidada, reeditada e/ou substituída após a celebração do Aditamento do Reino Unido.

Hierarquia

Embora a Cláusula 5 das CCT da UE Aprovadas estabeleça que estas prevalecem sobre todos os acordos conexos entre as partes, as partes concordam que, no que diz respeito às transferências a partir do Reino Unido, prevalecerá a hierarquia prevista na Secção 10 abaixo.

Em caso de inconsistência ou conflito entre o Adenda Aprovada do Reino Unido e as Cláusulas Contratuais Padrão da UE (conforme aplicável), a Adenda Aprovada do Reino Unido prevalece sobre as Cláusulas Contratuais Padrão da UE, exceto quando (e na medida em que) os termos inconsistentes ou conflitantes das Cláusulas Contratuais Padrão da UE ofereçam maior proteção aos titulares dos dados, caso em que esses termos prevalecerão sobre a Adenda Aprovada do Reino Unido.

Na medida em que o presente Aditamento do Reino Unido incorpore as Cláusulas Contratuais Típicas da UE (SCC) celebradas para proteger as transferências para fora da UE sujeitas ao RGPD, as partes reconhecem que nenhuma disposição do Aditamento do Reino Unido afeta essas SCC.

Incorporação e alterações às Cláusulas Contratuais Padrão da UE

Esta Adenda do Reino Unido incorpora as Cláusulas Contratuais Padrão da UE, que foram alteradas na medida do necessário para que:

em conjunto, aplicam-se às transferências de dados efetuadas pelo exportador de dados para o importador de dados, na medida em que a legislação britânica em matéria de proteção de dados se aplique ao tratamento de dados pelo exportador de dados aquando dessa transferência, e proporcionam garantias adequadas para essas transferências de dados;
As secções 9 a 11 supra prevalecem sobre a cláusula 5 (Hierarquia) das Cláusulas Contratuais Padrão da UE; e
O Adendo do Reino Unido (incluindo as Cláusulas Contratuais Padrão da UE nele incorporadas) é (1) regido pela legislação da Inglaterra e do País de Gales e (2) qualquer litígio dele decorrente será resolvido pelos tribunais da Inglaterra e do País de Gales.

A menos que as partes tenham acordado alterações alternativas que cumpram os requisitos da Secção 12 do presente Aditamento do Reino Unido, aplicar-se-ão as disposições da Secção 15 do presente Aditamento do Reino Unido.

Não podem ser introduzidas quaisquer alterações às Cláusulas Contratuais Padrão da UE aprovadas, exceto para cumprir os requisitos da Secção 12 do presente Aditamento do Reino Unido.

São introduzidas as seguintes alterações às Cláusulas Contratuais Padrão da UE (para efeitos da Secção 12 do presente Aditamento do Reino Unido):

As referências às «Cláusulas» referem-se ao presente Aditamento do Reino Unido, que incorpora as Cláusulas Contratuais Padrão da UE;
Na cláusula 2, suprimir as palavras: «e, no que diz respeito às transferências de dados de responsáveis pelo tratamento para subcontratantes e/ou de subcontratantes para subcontratantes, cláusulas contratuais-tipo nos termos do artigo 28.º, n.º 7, do Regulamento (UE) 2016/679»;
A cláusula 6 (Descrição da(s) transferência(s)) passa a ter a seguinte redação: «Os pormenores da(s) transferência(s) e, em particular, as categorias de dados pessoais que são transferidos e a(s) finalidade(s) para a(s) qual(is) são transferidos são os especificados no Anexo I.B, nos casos em que a legislação do Reino Unido em matéria de proteção de dados se aplique ao tratamento efetuado pelo exportador de dados aquando dessa transferência.»;
A cláusula 8.7(i) do Módulo 1 é substituída pelo seguinte: «se destinar-se a um país que beneficie de regulamentação de adequação nos termos da Secção 17A do RGPD do Reino Unido, que abranja a transferência posterior»;
A cláusula 8.8(i) dos Módulos 2 e 3 passa a ter a seguinte redação: «a transferência posterior é destinada a um país que beneficie de regulamentação de adequação nos termos da Secção 17A do RGPD do Reino Unido que abranja a transferência posterior;»
Referências ao «Regulamento (UE) n.º 2016/679», «Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados)» e «esse regulamento» são substituídas por «Leis de Proteção de Dados do Reino Unido». As referências a artigos específicos do «Regulamento (UE) 2016/679» são substituídas pelo artigo ou secção equivalente das Leis de Proteção de Dados do Reino Unido;
São suprimidas as referências ao Regulamento (UE) n.º 2018/1725;
As referências à «União Europeia», «União», «UE», «Estado-Membro da UE», «Estado-Membro» e «UE ou Estado-Membro» são todas substituídas por «Reino Unido»;
A referência à «Alínea c), subalínea i), da Cláusula 12» na Alínea b), subalínea i), da Cláusula 10 do Módulo um é substituída por «Alínea c), subalínea i), da Cláusula 11»;
A alínea a) do artigo 13.º e a Parte C do Anexo I não são aplicáveis;
As expressões «autoridade de controlo competente» e «autoridade de controlo» são ambas substituídas por «Comissário para a Informação»;
Na Cláusula 16, alínea e), a subalínea i) passa a ter a seguinte redação: «o Secretário de Estado elabore regulamentos, nos termos da Secção 17A da Lei de Proteção de Dados de 2018, que abranjam a transferência de dados pessoais a que estas cláusulas se aplicam;»
A cláusula 17 passa a ter a seguinte redação: «As presentes cláusulas regem-se pela legislação da Inglaterra e do País de Gales»;
A cláusula 18 passa a ter a seguinte redação: «Qualquer litígio decorrente das presentes cláusulas será resolvido pelos tribunais de Inglaterra e do País de Gales.» O titular dos dados pode igualmente intentar uma ação judicial contra o exportador e/ou o importador de dados perante os tribunais de qualquer país do Reino Unido. As partes concordam em submeter-se à jurisdição desses tribunais.»; e
As notas de rodapé das Cláusulas Contratuais Padrão da UE aprovadas não fazem parte do Aditamento do Reino Unido, com exceção das notas de rodapé 8, 9, 10 e 11.

Alterações ao Adenda do Reino Unido

As partes podem acordar em alterar as Cláusulas 17 e/ou 18 das Cláusulas Contratuais Padrão da UE, de modo a remeter para a legislação e/ou os tribunais da Escócia ou da Irlanda do Norte.

Caso as partes pretendam alterar o formato das informações incluídas na Parte 1: Tabelas do Aditamento Aprovado do Reino Unido, poderão fazê-lo mediante acordo por escrito, desde que a alteração não reduza as salvaguardas adequadas.

De vez em quando, a ICO pode publicar um Aditamento Aprovado do Reino Unido revisto que:

efetue alterações razoáveis e proporcionadas ao Aditamento Aprovado do Reino Unido, incluindo a correção de erros no Aditamento Aprovado do Reino Unido; e/ou
reflete as alterações introduzidas na legislação britânica em matéria de proteção de dados.

O Aditamento Aprovado para o Reino Unido revisto especificará a data a partir da qual as alterações ao Aditamento Aprovado para o Reino Unido entram em vigor e se as partes precisam de rever este Aditamento para o Reino Unido, incluindo as informações do apêndice. Este Aditamento para o Reino Unido é automaticamente alterado, conforme estabelecido no Aditamento Aprovado para o Reino Unido revisto, a partir da data especificada.

Se a ICO emitir um Aditamento Aprovado do Reino Unido revisto nos termos da Secção 18 do presente Aditamento do Reino Unido, e se, em consequência direta das alterações introduzidas no Aditamento Aprovado do Reino Unido, uma das partes sofrer um aumento substancial, desproporcionado e demonstrável em:

os seus custos diretos decorrentes do cumprimento das suas obrigações nos termos do Aditamento do Reino Unido; e/ou
o seu risco nos termos do Aditamento do Reino Unido,

e, em qualquer dos casos, desde que tenha tomado previamente medidas razoáveis para reduzir esses custos ou riscos, de modo a que tal não seja substancial nem desproporcionado, essa parte poderá rescindir o presente Aditamento do Reino Unido no final de um período de pré-aviso razoável, mediante notificação por escrito à outra parte, com antecedência desse período, antes da data de entrada em vigor do Aditamento do Reino Unido Aprovado revisto.

As partes não necessitam do consentimento de terceiros para introduzir alterações ao presente Aditamento do Reino Unido, mas quaisquer alterações devem ser feitas em conformidade com os seus termos.