Acordo de Tratamento de Dados (DPA)

Este acordo documenta o nosso papel como Processadores de Dados ao abrigo de regulamentos como o GDPR europeu, a LGPD brasileira, a Lei de Proteção à Privacidade do Consumidor do Canadá e a Lei de Privacidade do Consumidor da Califórnia (CCPA), entre outros.

 

Este Acordo de Processamento de Dados ("DPA", na sigla em inglês), que inclui as Cláusulas Contratuais Padrão adotadas pela Comissão Europeia, conforme aplicável, reflete o acordo entre o Cliente e os Consumidores no que diz respeito aos termos que regem o Processamento de Dados Pessoais.

Este DPA constitui uma alteração ao Acordo de Termos de Uso ("o Acordo"). O prazo de vigência deste DPA seguirá o prazo de vigência do Acordo. Os termos não definidos de outra forma neste documento terão o significado estabelecido no Acordo.

1. DEFINIÇÕES

"Controlador" refere-se à pessoa física ou jurídica, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outros, determina as finalidades e os meios de Tratamento dos Dados Pessoais.

"Lei de Proteção de Dados" refere-se a toda a legislação aplicável relativa à proteção de dados e à privacidade, incluindo, mas não se limitando à Diretiva de Proteção de Dados 95/46/CE da UE e todas as leis e regulamentos locais que alteram ou substituem qualquer uma delas, incluindo o RGPD, juntamente com quaisquer leis nacionais de implementação em qualquer Estado-membro da União Europeia ou, na medida do aplicável, em qualquer outro país, conforme alterado, revogado, consolidado ou substituído periodicamente. Os termos "processo", "processos" e "processado" serão interpretados em conformidade.

"Titular dos dados" refere-se à pessoa a quem os Dados Pessoais dizem respeito.

"RGPD" refere-se ao Regulamento Geral sobre a Proteção de Dados (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, referente à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

"Instrução" refere-se à instrução escrita e documentada, emitida pelo Controlador ao Processador, orientando-o a realizar uma ação específica com relação aos Dados Pessoais (incluindo, entre outros, despersonalização, bloqueio, exclusão e disponibilização).

"Dados Pessoais" refere-se a qualquer informação relacionada a uma pessoa identificada ou identificável, quando essas informações estiverem contidas nos Dados do Cliente e forem protegidas da mesma forma que os dados pessoais ou as informações de identificação pessoal, de acordo com a Lei de Proteção de Dados aplicável.

"Violação de Dados Pessoais" refere-se a uma violação de segurança que leva à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal a Dados Pessoais transmitidos, armazenados ou processados de qualquer outra forma.

"Tratamento" refere-se a qualquer operação ou conjunto de operações efetuadas sobre Dados Pessoais, incluindo recolha, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, disseminação ou qualquer outra forma de disponibilização, alinhamento ou combinação, restrição ou apagamento de Dados Pessoais.

"Processador" refere-se a uma pessoa física ou jurídica, autoridade pública, agência ou outro organismo que trata os Dados Pessoais em nome do Controlador.

"Cláusulas Contratuais Padrão" refere-se às cláusulas anexadas a este documento como Apêndice A, de acordo com a decisão da Comissão Europeia (C(2010)593) de 5 de fevereiro de 2010 sobre Cláusulas Contratuais Padrão para a transferência de dados pessoais para processadores estabelecidos em países terceiros que não garantem um nível adequado de proteção de dados.

2. DETALHES DO TRATAMENTO

a. Categorias de Titulares dos Dados. Contatos do Controlador e outros usuários finais, incluindo funcionários do Controlador, prestadores de serviços, colaboradores, clientes, clientes em potencial, fornecedores e subprocessadores. Os Titulares dos Dados também incluem pessoas que tentam se comunicar ou transferir Dados Pessoais para os usuários finais do Controlador.

b. Tipos de Dados Pessoais. Informações de contato, cuja extensão é determinada e controlada pelo Cliente a seu critério, e outros Dados Pessoais, como dados de navegação (incluindo informações de uso do site), de e-mail, de uso do sistema, de integração de aplicativos e outros dados eletrônicos enviados, armazenados, transmitidos ou recebidos por usuários finais por meio do Serviço de Assinatura.

c. Objeto e Natureza do Tratamento. O objeto do Tratamento de Dados Pessoais pelo Processador é a prestação de serviços ao Controlador que envolve o Tratamento de Dados Pessoais. Os Dados Pessoais estarão sujeitos às atividades de Tratamento que podem ser especificadas no Acordo e em Despachos.

d. Objetivo do Tratamento. Os Dados Pessoais serão tratados para efeitos de prestação dos serviços definidos e acordados no Acordo e em qualquer Despacho aplicável.

e. Duração do Tratamento. Os Dados Pessoais serão processados durante a vigência do Acordo, sujeito à Seção 4 deste DPA.

3. RESPONSABILIDADE DO CLIENTE

No âmbito do Acordo e na sua utilização dos serviços, o Controlador é o único responsável pelo cumprimento dos requisitos legais relativos à proteção de dados e à privacidade, sobretudo no que diz respeito à divulgação e transferência de Dados Pessoais para o Processador e ao Tratamento de Dados Pessoais. Para evitar dúvidas, as instruções do Controlador para o processamento de dados pessoais devem estar em conformidade com a Lei de Proteção de Dados. Este DPA é a instrução final e completa do Cliente para a ClicData em relação aos Dados Pessoais. Instruções adicionais fora do escopo do DPA exigiriam um acordo prévio por escrito entre as partes. As instruções serão inicialmente especificadas no Acordo e poderão, posteriormente, ser alteradas, ampliadas ou substituídas pelo Controlador em instruções escritas separadas (como instruções individuais).

O Controlador deve informar o Processador, sem demora injustificada e de forma abrangente, sobre quaisquer erros ou irregularidades relacionados com as disposições legais relativas ao Tratamento de Dados Pessoais.

4. OBRIGAÇÕES DO PROCESSADOR

a) Cumprimento das instruções. As partes reconhecem e concordam que o Cliente é o Controlador dos Dados Pessoais e a ClicData é o Processador desses dados. O Processador coletará, processará e usará os Dados Pessoais somente dentro do escopo das instruções do Controlador e do uso de seu software.

Se o Processador considerar que alguma instrução do Controlador infringe a Lei da Proteção de Dados, deve informar imediatamente o Controlador.

Se o Processador não puder tratar os Dados Pessoais de acordo com as Instruções devido a um requisito legal ao abrigo de qualquer lei aplicável da União Europeia ou de um Estado-membro, o Processador deverá (i) notificar prontamente o Controlador desse requisito legal antes do Tratamento dos dados, na medida do permitido pela Lei de Proteção de Dados; e (ii) cessar todo o Tratamento (além do mero armazenamento e manutenção da segurança dos Dados Pessoais afetados) até que o Controlador emita novas instruções que o Processador possa cumprir.

Se essa disposição for acionada, o Processador não será responsável perante o Controlador, nos termos do Acordo, por qualquer falha na execução dos serviços aplicáveis até o momento em que o Controlador emitir novas instruções com relação ao Processamento.

b) Segurança. O Processador deverá tomar as medidas técnicas e organizacionais adequadas para proteger adequadamente os Dados Pessoais contra a destruição, perda, alteração ou divulgação não autorizada acidental ou ilícita, ou o acesso aos Dados Pessoais, descritos no Anexo 2 das Cláusulas Contratuais Padrão. Essas medidas incluem, mas não se limitam a:

– prevenir o acesso de pessoas não autorizadas aos sistemas de Tratamento de Dados Pessoais (controle do acesso físico);

– impedir que os sistemas de Tratamento de Dados Pessoais sejam usados sem autorização (controle de acesso lógico);

- garantir que as pessoas autorizadas a utilizar um sistema de Tratamento de Dados Pessoais só tenham acesso aos Dados Pessoais a que têm direito, de acordo com os seus direitos de acesso, e que, no decurso do Tratamento ou utilização e após armazenamento, os Dados Pessoais não possam ser lidos, copiados, modificados ou apagados sem autorização (controle do acesso aos dados);

- garantir que os Dados Pessoais não possam ser lidos, copiados, modificados ou apagados sem autorização durante a transmissão eletrônica, o transporte ou o armazenamento em mídias de armazenamento, e que as entidades destinatárias de qualquer transferência de Dados Pessoais através de meios de transmissão de dados possam ser estabelecidas e verificadas (controle da transferência de dados);

- assegurar a criação de uma trilha de auditoria para documentar se e por quem os Dados Pessoais foram inseridos, modificados ou removidos dos sistemas de Tratamento de Dados Pessoais (controle de entrada);

- garantir que os dados pessoais sejam Tratados exclusivamente de acordo com as instruções do Controlador (controle de instruções);

- assegurar que os Dados Pessoais sejam protegidos contra a destruição ou perda acidental (controle de disponibilidade).

O Processador facilitará a conformidade do Controlador com as obrigações do Controlador de implementar medidas de segurança relativas aos Dados Pessoais (incluindo, se aplicável, as obrigações do Controlador de acordo com os Artigos 32 a 34 (inclusive) do RGPD), (i) implementando e mantendo as medidas de segurança descritas no Apêndice 2, (ii) cumprindo os termos da Seção 4.4 (Violações de Dados Pessoais); e (iii) fornecendo ao Controlador informações relativas ao Tratamento de acordo com a Seção 5 (Auditorias).

c) Confidencialidade. O Processador assegurará que qualquer funcionário que o Processador autorize a tratar Dados Pessoais em seu nome esteja sujeito a obrigações de confidencialidade relativamente a esses Dados Pessoais. O compromisso de confidencialidade mantém-se após o fim das atividades acima referidas.

d) Violações de Dados Pessoais. O Processador notificará o Controlador assim que possível após tomar conhecimento de qualquer Violação de Dados Pessoais que afete quaisquer Dados Pessoais. Mediante solicitação do Controlador, o Processador fornecerá prontamente ao Controlador toda a assistência necessária para permitir que o Controlador notifique as Violações de Dados Pessoais relevantes às autoridades competentes e/ou aos Titulares dos Dados afetados, caso o Controlador seja obrigado a fazê-lo de acordo com a Lei de Proteção de Dados.

e) Solicitações do Titular dos Dados. O Processador fornecerá assistência adequada, inclusive por meio de medidas técnicas e organizacionais apropriadas e levando em conta a natureza do Tratamento, para permitir que o Controlador responda a qualquer solicitação dos Titulares dos Dados que busquem exercer seus direitos de acordo com a Lei de Proteção de Dados com relação aos Dados Pessoais (incluindo acesso, retificação, restrição, exclusão ou portabilidade dos Dados Pessoais, conforme aplicável), na medida permitida pela lei. Se essa solicitação for feita diretamente ao Processador, o Processador informará imediatamente o Controlador e recomendará aos Titulares dos Dados que enviem a solicitação ao Controlador. O Controlador será o único responsável por responder a quaisquer solicitações dos Titulares dos Dados. O Controlador deverá reembolsar o Processador pelos custos decorrentes dessa assistência.

f) Subprocessadores. O Processador terá o direito de contratar subprocessadores para cumprir as obrigações do Processador definidas no Acordo somente com o consentimento por escrito do Controlador. Para esses fins, o Controlador consente com a contratação, como subprocessadores, das empresas afiliadas do Processador e dos terceiros listados no Anexo B. Para evitar dúvidas, a autorização acima constitui o consentimento prévio por escrito do Controlador para o subprocessamento pelo Processador para fins da Cláusula 11 das Cláusulas Contratuais Padrão.

Se o Processador pretender contratar Subprocessadores que não sejam as empresas listadas no Apêndice B, o Processador notificará o Controlador por escrito (um e-mail para o(s) endereço(s) de e-mail do Controlador registrado(s) nas informações da conta do Processador é suficiente) e dará ao Controlador a oportunidade de se opor à contratação dos novos Subprocessadores no prazo de 30 dias após ser notificado. A objeção deve ser baseada em motivos razoáveis (por exemplo, se o Controlador provar que existem riscos significativos para a proteção de seus Dados Pessoais em relação ao Subprocessador). Se o Processador e o Controlador não conseguirem resolver essa objeção, qualquer uma das partes poderá rescindir o Contrato mediante notificação por escrito à outra parte.

Quando o Processador contrata Subprocessadores, o Processador deve celebrar um contrato com o Subprocessador que impõe a ele as mesmas obrigações que se aplicam ao Processador nos termos deste DPA. Caso o Subprocessador não cumpra suas obrigações de proteção de dados, o Processador permanecerá responsável perante o Controlador pelo cumprimento de tais obrigações do Subprocessador.

Quando um Subprocessador é contratado, deve ser concedido ao Controlador o direito de monitorar e inspecionar as atividades do Subprocessador de acordo com este DPA e com a Lei de Proteção de Dados, inclusive para obter informações do Processador, mediante solicitação por escrito, sobre o conteúdo do acordo e a implementação das obrigações de proteção de dados nos termos do acordo de Subprocessamento, quando necessário, inspecionando os documentos relevantes do acordo.

As disposições desta Seção 4.6 serão mutuamente aplicáveis se o Processador contratar um Subprocessador em um país fora do Espaço Econômico Europeu ("EEE") não reconhecido pela Comissão Europeia como fornecedor de um nível adequado de proteção de dados pessoais. Se, na execução deste DPA, a ClicData transferir quaisquer Dados Pessoais para um subprocessador localizado fora do EEE, a ClicData deverá, antes de qualquer transferência, garantir que um mecanismo legal para alcançar a adequação em relação a esse processamento esteja em vigor.

g) Transferências de Dados. O Controlador reconhece e concorda que, em relação à prestação dos serviços nos termos do Contrato, alguns dados relacionados ao serviço, assinatura e metadados do Controlador serão transferidos para servidores da ClicData localizados nos Estados Unidos. A fim de implementar as devidas garantias para tais transferências, de acordo com o Artigo 46 do RGPD.

Os Dados do Controlador permanecerão na região escolhida pelo Controlador no início da prestação do serviço. Se o Controlador selecionar um local de dados fora do EEE, as Cláusulas Contratuais Padrão do Apêndice A serão aplicadas com relação aos Dados Pessoais que forem transferidos para fora do EEE, seja diretamente ou por meio de transferência subsequente, para qualquer país não reconhecido pela Comissão Europeia como fornecedor de um nível adequado de proteção de dados pessoais (conforme descrito na Lei de Proteção de Dados).

h) Exceto na medida necessária para cumprir a Lei de Proteção de Dados, após a rescisão ou expiração do Contrato, o Processador excluirá todos os Dados Pessoais (incluindo as respectivas cópias) tratados de acordo com este DPA. Se o Processador não puder excluir os Dados Pessoais por motivos técnicos ou outros, o Processador aplicará medidas para garantir que os Dados Pessoais sejam bloqueados para qualquer tratamento posterior.

O Controlador deverá, após a rescisão ou expiração do Acordo, e por meio da emissão de uma Instrução, estipular, dentro de um período de tempo definido pelo Processador, as medidas razoáveis para devolver os dados ou excluir os dados armazenados. Qualquer custo adicional decorrente da devolução ou exclusão de Dados Pessoais após a rescisão ou expiração do Contrato deverá ser arcado pelo Controlador.

5. AUDITORIAS

O Controlador poderá, antes do início do Tratamento e, posteriormente, em intervalos regulares, auditar as medidas técnicas e organizacionais adotadas pelo Processador.

Para esse fim, o Controlador poderá obter informações do Processador, solicitar que o Processador envie ao Controlador um atestado ou certificado existente de um especialista profissional independente ou, mediante acordo prévio razoável e oportuno, durante o horário comercial normal e sem interromper as operações comerciais do Processador, realizar uma inspeção no local das operações comerciais do Processador ou fazer com que a mesma seja realizada por um terceiro qualificado que não seja concorrente do Processador.

O Processador deverá, mediante solicitação por escrito do Controlador e dentro de um período de tempo razoável, fornecer ao Controlador todas as informações necessárias para tal auditoria, na medida em que tais informações estejam sob o controle do Processador e que o Processador não esteja impedido de divulgá-las pela lei aplicável, por um dever de confidencialidade ou por qualquer outra obrigação devida a terceiros.

6. DISPOSIÇÕES GERAIS

No que diz respeito a atualizações e alterações deste DPA, aplicam-se os termos da seção "Alteração; Não Renúncia" das "Disposições Gerais" do Acordo.

Em caso de conflito, este DPA terá precedência sobre os regulamentos do Acordo. Quando disposições individuais deste DPA forem inválidas ou inexequíveis, a validade e a exequibilidade das outras disposições deste DPA não serão afetadas.

Mediante a incorporação deste DPA ao Acordo, as partes indicadas na Seção 7 abaixo (Partes deste DPA) concordam com as Cláusulas Contratuais Padrão (onde e conforme aplicável) e todos os apêndices anexados a elas. No caso de qualquer conflito ou inconsistência entre este DPA e as Cláusulas Contratuais Padrão no Apêndice A, as Cláusulas Contratuais Padrão prevalecerão.

A partir de 25 de maio de 2018, a ClicData processará os Dados Pessoais de acordo com os requisitos do RGPD aqui contidos, que são diretamente aplicáveis à prestação dos Serviços de Assinatura pela ClicData.

7. PARTES DESTE DPA

Este DPA é uma emenda ao Acordo e faz parte dele. Mediante a incorporação deste DPA ao Contrato, (i) o Controlador e a entidade ClicData, que são as partes do Acordo, também são partes deste DPA, e (ii) caso a ClicData não seja parte do Acordo, a ClicData é parte deste DPA, mas somente com relação à conformidade com as Cláusulas Contratuais Padrão do DPA, esta Seção 7 do DPA e as próprias Cláusulas Contratuais Padrão.

Se a ClicData não for uma parte do Acordo, a seção do Acordo intitulada "Limitação de Responsabilidade" deverá ser aplicada entre o Controlador e a ClicData e, a esse respeito, quaisquer referências à "ClicData", "nós", "nos" ou "nosso" deverão incluir tanto a ClicData quanto a entidade da ClicData que é uma parte do Acordo.

A pessoa jurídica que concorda com este DPA como Controlador declara que está autorizada a aceitar e celebrar este DPA exclusivamente em nome do Controlador.

Apêndice A - Cláusulas Contratuais Padrão (Processadores)

Para efeitos do Artigo 26(2) da Diretiva 95/46/CE para a transferência de dados pessoais para processadores estabelecidos em países terceiros que não garantam um nível adequado de proteção de dados,

O Cliente, conforme definido nos Termos de Uso do Cliente da ClicData (o "exportador de dados") e a ClicData SAS, 9 place Rihour, 59800, Lille, França (o "importador de dados"), cada um deles uma "parte"; em conjunto, "as partes", ACORDARAM nas seguintes Cláusulas Contratuais (as Cláusulas), a fim de introduzir garantias adequadas com relação à proteção da privacidade e dos direitos e liberdades fundamentais dos indivíduos para a transferência, pelo exportador de dados ao importador de dados, dos dados pessoais especificados no Anexo 1.

Cláusula 1 - Definições

Para efeitos das Cláusulas:

"dados pessoais", "categorias especiais de dados", "tratamento/tratar", "controlador", "processador", "titular dos dados" e "autoridade de supervisão" têm o mesmo significado que na Diretiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de outubro de 1995 referente à protecção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados;

"exportador de dados" refere-se ao controlador que transfere os dados pessoais;

"importador de dados" refere-se ao processador que concorda em receber dados pessoais do exportador de dados destinados ao processamento em seu nome após a transferência, de acordo com suas instruções e com os termos das Cláusulas, e que não está sujeito a um sistema de um terceiro país que garanta proteção adequada, de acordo com o Artigo 25(1) da Diretiva 95/46/EC;

"subprocessador" refere-se a qualquer processador contratado pelo importador de dados ou por qualquer outro subprocessador do importador de dados que concorde em receber de qualquer um deles dados pessoais destinados exclusivamente a atividades de tratamento a serem realizadas em nome do exportador de dados após a transferência, de acordo com suas instruções, os termos das Cláusulas e os termos do subcontrato por escrito;

"legislação aplicável sobre proteção de dados" refere-se à legislação que protege os direitos e liberdades fundamentais das pessoas e, em especial, o direito à privacidade referente ao tratamento de dados pessoais aplicável a um controlador no Estado-membro em que o exportador de dados está estabelecido;

"medidas de segurança técnicas e organizacionais" refere-se às medidas destinadas a proteger os dados pessoais contra destruição acidental ou ilegal, perda acidental, alteração, divulgação ou acesso não autorizado, especialmente quando o tratamento envolve a transmissão de dados por uma rede, e contra todas as outras formas ilegais de tratamento.

Cláusula 2 - Detalhes da transferência

Os detalhes da transferência e sobretudo as categorias especiais de dados pessoais, quando aplicáveis, são especificados no Apêndice 1, que faz parte integrante das Cláusulas.

Cláusula 3 - Cláusula de terceiro beneficiário

O titular dos dados pode impor ao exportador de dados esta Cláusula, a Cláusula 4(b) a (i), a Cláusula 5(a) a (e), e (g) a (j), a Cláusula 6(1) e (2), a Cláusula 7, a Cláusula 8(2), e as Cláusulas 9 a 12 como terceiro beneficiário.

O titular dos dados pode impor ao importador de dados esta Cláusula, a Cláusula 5(a) a (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12 nos casos em que o exportador de dados tenha desaparecido de fato ou deixado de existir legalmente, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por força de lei, e com isso assumido os direitos e obrigações do exportador de dados, caso em que o titular dos dados pode impor essas cláusulas à referida entidade.

O titular dos dados pode impor ao subprocessador esta Cláusula, a Cláusula 5(a) a (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12, nos casos em que tanto o exportador de dados quanto o importador de dados tenham desaparecido de fato ou deixado de existir legalmente ou tenham se tornado insolventes, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por força de lei, e com isso assumido os direitos e obrigações do exportador de dados, caso em que o titular dos dados pode impor essas cláusulas à referida entidade. Essa responsabilidade de terceiros do subprocessador deverá ser limitada às suas próprias operações de processamento nos termos das Cláusulas.

As partes não se opõem a que um titular de dados seja representado por uma associação ou outro órgão se o titular de dados assim o desejar expressamente e se permitido pela legislação nacional.

Cláusula 4 - Obrigações do exportador de dados

O exportador de dados concorda e garante:

(a) que o tratamento, incluindo a própria transferência, dos dados pessoais foi e continuará a ser realizado de acordo com as disposições relevantes da lei de proteção de dados aplicável (e, quando aplicável, foi notificado às autoridades relevantes do Estado-membro onde o exportador de dados está estabelecido) e não viola as disposições relevantes desse Estado;

(b) que forneceu instruções e, durante toda a duração dos serviços de tratamento de dados pessoais, instruirá o importador de dados a tratar os dados pessoais transferidos somente em nome do exportador de dados e de acordo com a lei de proteção de dados aplicável e as Cláusulas;

(c) que o importador de dados dará garantias suficientes no que respeita às medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 deste acordo;

(d) que, após a avaliação dos requisitos da lei de proteção de dados aplicável, fique comprovado que as medidas de segurança são adequadas para proteger os dados pessoais contra destruição acidental ou ilegal, perda acidental, alteração, divulgação ou acesso não autorizado, sobretudo quando o tratamento envolver a transmissão de dados por meio de uma rede, e contra todas as outras formas ilegais de tratamento, e que essas medidas garantem um nível de segurança adequado aos riscos apresentados pelo tratamento e à natureza dos dados a serem protegidos, considerando a tecnologia e o custo de sua implementação;

(e) que assegurará o cumprimento das medidas de segurança;

(f) que, se a transferência envolver categorias especiais de dados, o titular dos dados foi ou será informado antecipadamente, ou o mais rápido possível após a transferência, de que os seus dados podem ser transmitidos para um país terceiro que não garante uma proteção adequada de acordo com a diretiva 95/46/CE;

(g) que encaminhará qualquer notificação recebida do importador de dados ou de qualquer subprocessador de acordo com a Cláusula 5(b) e a Cláusula 8(3) à autoridade supervisora de proteção de dados se o exportador de dados decidir continuar a transferência ou cancelar a suspensão;

(h) que disponibilizará aos titulares dos dados, mediante pedido, uma cópia das cláusulas, com exceção do Apêndice 2, e uma descrição sumária das medidas de segurança, bem como uma cópia de qualquer contrato de serviços de subprocessamento que precise ser celebrado em conformidade com as Cláusulas, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que poderá suprimi-las;

(i) que, em caso de subprocessamento, a atividade de tratamento seja realizada em conformidade com a Cláusula 11 por um subprocessador que assegure, pelo menos, o mesmo nível de proteção dos dados pessoais e de direitos do titular dos dados que o importador de dados ao abrigo das Cláusulas; e

(j) que assegurará o cumprimento das Cláusulas 4(a) a (i).

Cláusula 5 - Obrigações do importador de dados

O importador de dados concorda e garante:

(a) que tratará os dados pessoais apenas em nome do exportador de dados e em conformidade com as suas instruções e com as Cláusulas; se não puder assegurar essa conformidade por qualquer motivo, concorda em informar prontamente o exportador de dados sobre a sua incapacidade de cumpri-la, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;

(b) que não tem razões para crer que a legislação que lhe é aplicável o impeça de cumprir as instruções recebidas do exportador de dados e as suas obrigações ao abrigo do contrato e que, em caso de alteração desta legislação suscetível de ter um efeito adverso substancial nas garantias e obrigações previstas nas Cláusulas, notificará prontamente a alteração ao exportador de dados logo que tenha conhecimento dela, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;

(c) que aplicou as medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 antes de tratar os dados pessoais transferidos;

(d) que notificará prontamente o exportador de dados sobre:

(i) qualquer pedido juridicamente vinculativo de divulgação dos dados pessoais por parte de uma autoridade responsável pela aplicação da lei, salvo proibição em contrário, como uma proibição ao abrigo do direito penal para preservar a confidencialidade de uma investigação policial;

(ii) qualquer acesso acidental ou não autorizado; e

(iii) qualquer pedido recebido diretamente dos titulares dos dados, sem responder a esse pedido, a menos que tenha sido autorizado a fazê-lo de outra forma;

(e) que lidará prontamente e de forma adequada com todas as consultas do exportador de dados relacionadas ao processamento dos dados pessoais sujeitos à transferência e acatar a orientação da autoridade supervisora com relação ao processamento dos dados transferidos;

(f) a pedido do exportador de dados, enviará os recursos de tratamento de dados para auditoria das atividades de tratamento cobertas pelas Cláusulas, que será realizada pelo exportador de dados ou por um órgão de inspeção composto por membros independentes e que tenham as qualificações profissionais exigidas, vinculados a um dever de confidencialidade, selecionado pelo exportador de dados, quando aplicável, de acordo com a autoridade supervisora;

(g) que disponibilizará ao titular dos dados, mediante solicitação, uma cópia das Cláusulas ou de qualquer acordo existente para subprocessamento, a menos que as Cláusulas ou o acordo contenham informações comerciais, caso em que poderá remover essas informações comerciais, com exceção do Apêndice 2, que será substituído por uma descrição resumida das medidas de segurança nos casos em que o titular dos dados não puder obter uma cópia do exportador de dados;

(h) que, em caso de subprocessamento, informou previamente o exportador de dados e obteve o seu consentimento prévio por escrito;

(i) que os serviços de tratamento pelo subprocessador serão efetuados em conformidade com a Cláusula 11;

(j) que enviará prontamente ao exportador de dados uma cópia de qualquer acordo de subprocessador celebrado ao abrigo das Cláusulas.

Cláusula 6 - Responsabilidade

As partes acordam que qualquer titular de dados que tenha sofrido danos em resultado de qualquer violação das obrigações referidas na Cláusula 3 ou na Cláusula 11 por qualquer parte ou subprocessador tem direito a receber uma indenização do exportador de dados pelos danos sofridos.

Se um titular de dados não puder apresentar um pedido de indenização de acordo com o parágrafo 1.º contra o exportador de dados, decorrente de uma violação pelo importador de dados ou seu subprocessador de qualquer uma de suas obrigações mencionadas na Cláusula 3 ou na Cláusula 11, porque o exportador de dados desapareceu de fato ou deixou de existir legalmente ou se tornou insolvente, o importador de dados concorda que o titular dos dados poderá fazer uma reclamação contra o importador de dados como se fosse o exportador de dados, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por força de lei, caso em que o titular dos dados poderá fazer valer seus direitos contra essa entidade.

O importador de dados não pode invocar o incumprimento das suas obrigações por parte de um subprocessador para se eximir das suas próprias responsabilidades.

contra o exportador ou importador de dados mencionado nos parágrafos 1.º e 2.º, decorrente de uma violação pelo subprocessador de qualquer uma de suas obrigações mencionadas na Cláusula 3 ou na Cláusula 11, porque tanto o exportador quanto o importador de dados desapareceram de fato ou deixaram de existir legalmente ou se tornaram insolventes, o subprocessador concorda que o titular dos dados poderá emitir uma reivindicação contra o subprocessador de dados com relação às suas próprias operações de processamento nos termos das Cláusulas, como se fosse o exportador ou o importador de dados, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador ou importador de dados por contrato ou por força de lei, caso em que o titular dos dados poderá fazer valer seus direitos contra essa entidade. A responsabilidade do subprocessador será limitada às suas próprias operações de processamento nos termos das Cláusulas.

Cláusula 7 - Mediação e jurisdição

O importador de dados concorda que, se o titular dos dados recorrer a direitos de terceiros beneficiários e/ou solicitar indenização por danos nos termos das Cláusulas, o importador de dados aceitará a decisão do titular dos dados de:

(a) encaminhar a disputa para mediação, por uma pessoa independente ou, quando aplicável, pela autoridade supervisora;

(b) encaminhar a disputa aos tribunais do Estado-membro no qual o exportador de dados está estabelecido.

As partes concordam que a escolha feita pelo titular dos dados não prejudicará seus direitos substantivos ou processuais de buscar recursos de acordo com outras disposições da legislação nacional ou internacional.

Cláusula 8 - Cooperação com autoridades de supervisão

O exportador de dados concorda em entregar uma cópia deste contrato à autoridade supervisora quando solicitado por ela ou quando tal entrega for exigida pela lei de proteção de dados aplicável.

As partes concordam que a autoridade supervisora tem o direito de conduzir uma auditoria do importador de dados e de qualquer subprocessador, que tenha o mesmo escopo e esteja sujeito às mesmas condições que se aplicariam a uma auditoria do exportador de dados nos termos da lei de proteção de dados aplicável.

O importador de dados informará imediatamente o exportador de dados sobre a existência de legislação aplicável a ele ou a qualquer subprocessador que impeça a realização de uma auditoria do importador de dados ou de qualquer subprocessador, nos termos do parágrafo 2. Nesse caso, o exportador de dados terá o direito de tomar as medidas previstas na Cláusula 5(b).

Cláusula 9 - Direito aplicável

As Cláusulas são regidas pela lei do Estado-membro em que o exportador de dados está estabelecido.

Cláusula 10 - Alteração do contrato

As partes comprometem-se a não alterar ou modificar as Cláusulas. Isso não impede que as partes acrescentem cláusulas relativas a questões comerciais, sempre que necessário, desde que não contradigam a Cláusula.

Cláusula 11 - Subprocessamento

O importador de dados não subcontratará nenhuma de suas operações de processamento realizadas em nome do exportador de dados nos termos das Cláusulas sem o consentimento prévio por escrito do exportador de dados. Quando o importador de dados subcontratar suas obrigações nos termos das Cláusulas, com o consentimento do exportador de dados, ele deverá fazê-lo somente por meio de um contrato por escrito com o subprocessador que imponha ao subprocessador as mesmas obrigações impostas ao importador de dados nos termos das Cláusulas. Caso o subprocessador não cumpra suas obrigações de proteção de dados nos termos desse contrato por escrito, o importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subprocessador nos termos desse contrato.

O contrato prévio por escrito entre o importador de dados e o subprocessador também deverá prever uma cláusula de terceiro beneficiário, conforme estabelecido na Cláusula 3, para os casos em que o titular dos dados não puder apresentar o pedido de indenização referido no parágrafo 1.º da Cláusula 6 contra o exportador de dados ou o importador de dados porque desapareceu de fato ou deixou de existir legalmente ou se tornou insolvente e nenhuma entidade sucessora assumiu todas as obrigações legais do exportador de dados ou do importador de dados por contrato ou por força de lei. Essa responsabilidade de terceiros do subprocessador será limitada às suas próprias operações de processamento nos termos das Cláusulas.

As disposições relativas aos aspectos de proteção de dados para o subprocessamento do contrato mencionado no parágrafo 1.º serão regidas pela lei do Estado-membro em que o exportador de dados estiver estabelecido.

O exportador de dados manterá uma lista dos acordos de subprocessamento celebrados nos termos das Cláusulas e notificados pelo importador de dados nos termos da Cláusula 5(j), que será atualizada pelo menos uma vez por ano. A lista deverá estar disponível para a autoridade supervisora de proteção de dados do exportador de dados.

Cláusula 12 - Obrigações após a cessação dos serviços de tratamento de dados pessoais

As partes concordam que, ao término da prestação de serviços de tratamento de dados, o importador de dados e o subprocessador deverão, a critério do exportador de dados, devolver todos os dados pessoais transferidos e suas cópias ao exportador de dados ou destruir todos os dados pessoais e certificar ao exportador de dados que o fizeram, a menos que a legislação imposta ao importador de dados o impeça de devolver ou destruir todos ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados assegura que garantirá a confidencialidade dos dados pessoais transferidos e não processará mais ativamente os dados pessoais transferidos.

O importador de dados e o subprocessador garantem que, mediante solicitação do exportador de dados e/ou da autoridade supervisora, submeterão seus recursos de processamento de dados a uma auditoria das medidas mencionadas no parágrafo 1.º.

APÊNDICE 1 das Cláusulas Contratuais Padrão

Este Apêndice faz parte das Cláusulas. Os Estados-membros podem completar ou especificar, de acordo com seus procedimentos nacionais, quaisquer informações adicionais necessárias que devam constar neste Apêndice.

Exportador de dados: o exportador de dados é o Cliente, tal como definido nos Termos de Uso do Cliente da ClicData ("Acordo").

Importador de dados: o importador de dados é a ClicData, Inc., fornecedora global de software de vendas e inbound marketing.

Titulares dos dados: categorias de titulares de dados definidas na Seção 2 do Acordo de Tratamento de Dados ao qual as Cláusulas estão anexadas.

Categorias de dados: categorias de dados pessoais definidas na Seção 2 do Acordo de Tratamento de Dados ao qual as Cláusulas estão anexadas.

Categorias especiais de dados (se aplicável): as partes não prevêem a transferência de categorias especiais de dados.

Operações de tratamento: as atividades de tratamento definidas na Seção 2 do Acordo de Tratamento de Dados ao qual as Cláusulas estão anexadas.

APÊNDICE 2 das Cláusulas Contratuais Padrão

Este Apêndice faz parte das Cláusulas.

Descrição das medidas de segurança técnicas e organizacionais implementadas pelo importador de dados de acordo com as Cláusulas 4(d) e 5(c) (ou documento/legislação anexada):

A ClicData segue atualmente as práticas de segurança descritas neste Apêndice 2. Não obstante qualquer disposição em contrário acordada de outra forma pelo exportador de dados, a ClicData poderá modificar ou atualizar essas práticas a seu critério, desde que tal modificação e atualização não resultem em uma degradação material na proteção oferecida por essas práticas. Todos os termos em letras maiúsculas não definidos de outra forma neste documento terão os significados estabelecidos no Acordo.

a) Controle de acesso

i) Prevenção de acesso não autorizado a produtos

Tratamento terceirizado: a ClicData hospeda seu Serviço com provedores de infraestrutura de nuvem terceirizados. Além disso, a ClicData mantém relações contratuais com fornecedores a fim de prestar o Serviço de acordo com o Acordo de Tratamento de Dados. A ClicData se baseia em acordos contratuais, políticas de privacidade e programas de conformidade de fornecedores para proteger os dados processados ou armazenados por esses fornecedores.

Segurança física e ambiental: a ClicData hospeda sua infraestrutura de produtos com provedores de infraestrutura terceirizados e multitenant. Os controles de segurança física e ambiental são auditados quanto à conformidade com SOC 2 Tipo II e ISO 27001, entre outras certificações.

Autenticação: a ClicData implementou uma política de senha uniforme para os produtos de seus clientes. Os clientes que interagem com os produtos por meio da interface do usuário devem fazer a autenticação antes de acessar dados não públicos do cliente.

Autorização: os dados dos clientes são armazenados em sistemas de armazenamento multitenant acessíveis aos clientes somente por meio de interfaces de usuário de aplicativos e interfaces de programação de aplicativos. Os clientes não têm permissão de acesso direto à infraestrutura de aplicativos subjacente. O modelo de autorização em cada um dos produtos da ClicData foi projetado para garantir que somente as pessoas devidamente designadas possam acessar recursos, visualizações e opções de personalização relevantes. A autorização para conjuntos de dados é realizada por meio da validação das permissões do usuário em relação aos atributos associados a cada conjunto de dados.

Acesso à Interface de Programação de Aplicativos (API): As APIs públicas do produto podem ser acessadas usando uma chave API ou por meio de autenticação Oauth.

ii) Prevenção de uso não autorizado de produtos

A ClicData implementa controles de acesso padronizados no setor e recursos de detecção para as redes internas que suportam seus produtos.

Controles de acesso: os mecanismos de controle de acesso à rede são projetados para impedir que o tráfego de rede que usa protocolos não autorizados chegue à infraestrutura do produto. As medidas técnicas implementadas diferem entre os provedores de infraestrutura e incluem implementações de Nuvem Privada Virtual (VPC), atribuição de grupos de segurança e regras comuns de firewall.

Detecção e prevenção de invasões: a ClicData implementou uma solução de Web Application Firewall (WAF) para proteger os sites hospedados dos clientes e outros aplicativos acessíveis pela Internet. O WAF foi projetado para identificar e evitar ataques contra serviços de rede disponíveis publicamente.

Análise de código estático: são realizadas análises de segurança do código armazenado nos repositórios de código-fonte da ClicData, verificando as práticas recomendadas de codificação e as falhas de software identificáveis.

Testes de intrusão: a ClicData trabalha com provedores de serviços de testes de intrusão reconhecidos pelo setor para a realização de quatro testes de intrusão anuais. A intenção dos testes de intrusão é identificar e resolver possíveis vetores de ataque e cenários de abuso em potencial.

Bug bounty: os programas de bug bounty convidam e incentivam pesquisadores de segurança independentes a descobrir e divulgar falhas de segurança de forma ética. A ClicData implementou um programa de bug bounty em um esforço para ampliar as oportunidades disponíveis de envolvimento com a comunidade de segurança e melhorar as defesas do produto contra ataques sofisticados.

iii) Limitações de privilégio e requisitos de autorização

Acesso aos produtos: um subconjunto de funcionários da ClicData tem acesso aos produtos e aos dados do cliente por meio de interfaces controladas. A intenção de fornecer acesso a um subconjunto de funcionários é fornecer suporte eficaz ao cliente, solucionar problemas potenciais, detectar e solucionar incidentes de segurança e implementar a segurança dos dados. O acesso é permitido por meio de solicitações de acesso "just in time"; todas essas solicitações são registradas. Os funcionários recebem acesso por função, e as revisões das concessões de privilégios de alto risco são iniciadas diariamente. As funções dos funcionários são revisadas pelo menos uma vez a cada seis meses.

Verificações de antecedentes: todos os funcionários da ClicData passam por uma verificação de antecedentes de terceiros antes de receberem uma oferta de emprego, de acordo com as leis aplicáveis. Todos os funcionários são obrigados a se comportar de maneira consistente com as diretrizes da empresa, exigências de confidencialidade e padrões éticos.

b) Controle de transmissão

Em trânsito: a ClicData disponibiliza a criptografia HTTPS (também conhecida como SSL ou TLS) em cada uma de suas interfaces de login e gratuitamente em cada site de cliente hospedado nos produtos ClicData. A implementação HTTPS da ClicData utiliza algoritmos e certificados padronizados pelo setor.

Em repouso: a ClicData armazena senhas de usuários seguindo políticas que seguem as práticas de segurança padrão do setor. A ClicData implementou tecnologias para garantir que os dados armazenados permaneçam criptografados em repouso.

c) Controle de entrada

Detecção: a ClicData projetou sua infraestrutura para registrar informações abrangentes sobre o comportamento do sistema, o tráfego recebido, a autenticação do sistema e outras solicitações de aplicativos. Os sistemas internos agregaram dados de registro e alertaram os funcionários responsáveis sobre atividades maliciosas, não intencionais ou anômalas. A equipe da ClicData, incluindo a equipe de segurança, operações e suporte, é responsiva em relação a incidentes conhecidos.

Resposta e rastreamento: a ClicData mantém um registro de incidentes de segurança conhecidos que inclui descrição, datas e horários das atividades relevantes e disposição do incidente. Os incidentes de segurança suspeitos e confirmados são investigados pela equipe de segurança, operações ou suporte; e as etapas de resolução apropriadas são identificadas e documentadas. Sempre que houver incidentes confirmados, a ClicData tomará as medidas adequadas para minimizar os danos ao produto e ao Cliente ou a divulgação não autorizada.

Comunicação: se a ClicData tomar conhecimento de acesso ilegal aos dados do Cliente armazenados em seus produtos, a ClicData irá: 1) notificar os Clientes afetados sobre o incidente; 2) fornecer uma descrição das medidas que a ClicData está tomando para resolver o incidente; e 3) fornecer atualizações de status para o contato do Cliente, conforme a ClicData julgar necessário. As notificações de incidentes, se houver, serão entregues a um ou mais contatos do Cliente na forma definida pela ClicData, que poderá ser por e-mail ou telefone.

d) Controle de disponibilidade

Disponibilidade da infraestrutura: Os provedores de infraestrutura empregam esforços comercialmente razoáveis para garantir um mínimo de 99,95% de tempo de atividade. Os provedores mantêm um mínimo de redundância N+1 para serviços de energia, rede e HVAC.

Tolerância a falhas: As estratégias de backup e replicação são projetadas para garantir proteções de redundância e failover durante uma falha significativa no processamento. O backup dos dados do cliente é feito em vários armazenamentos de dados duráveis e replicados em várias zonas de disponibilidade.

Réplicas e backups on-line: Sempre que possível, os bancos de dados de produção são projetados para replicar dados entre, no mínimo, um banco de dados primário e um secundário. Todos os bancos de dados são submetidos a backup e mantidos usando, no mínimo, métodos padrão do setor.

Os produtos da ClicData são projetados para garantir redundância e failover contínuo. As instâncias de servidor que suportam os produtos também são arquitetadas com o objetivo de evitar pontos únicos de falha. Esse projeto ajuda as operações da ClicData a manter e atualizar os aplicativos e o back-end do produto, limitando o tempo de inatividade.

APENDICE B - Lista de subprocessadores

Microsoft, Inc.
Braintree, Inc.
SendGrid, Inc.
Qualquer outra empresa e subsidiária de propriedade integral da ClicData.