Voltar para as Informações Jurídicas
ADENDO DE PROCESSAMENTO DE DADOS
Revisado: 1º de janeiro de 2025
Este Adendo de Processamento de Dados inclui os Esquemas 1 (Descrição do Processamento) e 2 (Termos de Transferência Regional) ("DPA"). Este DPA complementa e faz parte dos Termos de Serviço ou de outro contrato por escrito (o "Contrato") entre a GoTo e o "Cliente" e se aplica ao Processamento de Dados Pessoais do Cliente pela GoTo em conexão com os Serviços adquiridos nos termos do Contrato. Este DPA entrará em vigor quando o Cliente (a) celebrar um Contrato ou assinar um Pedido que tenha incorporado este DPA em seus termos ou (b) usar os Serviços após sua publicação no site da GoTo (a "Data de Vigência"). Os termos deste DPA prevalecem na medida em que entrem em conflito com os termos do Contrato.
O Cliente firma este DPA em seu próprio nome e, na medida exigida pelas Leis e Regulamentos de Proteção de Dados, em nome de suas Afiliadas Autorizadas. Neste DPA, "Cliente" representa a parte contratante do Contrato e suas Afiliadas Autorizadas, desde que o Cliente agindo como parte contratante, em seu nome e em nome de suas Afiliadas Autorizadas: (a) permaneça responsável por coordenar, fazer e receber todas as comunicações com a GoTo nos termos deste DPA; e (b) exercer quaisquer direitos próprios ou de suas Afiliadas Autorizadas aqui contidos de maneira combinada. A menos que especificado de outra forma neste DPA, "GoTo" significa a parte contratada da GoTo e suas Afiliadas.
A assinatura ou aceitação pelas Partes do Contrato ou de qualquer Formulário de Pedido constitui assinatura e aceitação da seguinte documentação, na medida aplicável: (a) as Cláusulas-Padrão Contratuais Brasileiras; (b) as Cláusulas-Padrão Contratuais da UE; e (c) o Adendo do Reino Unido às Cláusulas-Padrão Contratuais da UE.
1. | DEFINIÇÕES | ||||||
Os termos a seguir têm os significados definidos abaixo conforme seu uso neste DPA. Salvo disposição contrária neste DPA, os termos em maiúscula não definidos abaixo terão o significado que lhes é atribuído no Contrato.
"Afiliada" significa, (a) com relação ao Cliente, qualquer entidade que direta ou indiretamente controle, seja controlada ou esteja sob controle comum com a entidade em questão e, (b) com relação à GoTo, qualquer entidade que direta ou indiretamente seja controlada pela GoTo Group Parent, Inc. "Controle", para fins desta definição, significa propriedade direta ou indireta ou controle de mais de 50% do capital social ou dos direitos de voto da entidade em questão. "Afiliada Autorizada" é qualquer Afiliada do Cliente que esteja: (i) sujeita às Leis de Proteção de Dados; e (ii) autorizada pelo Cliente a usar os Serviços nos termos do Contrato entre o Cliente e a GoTo, mas que não tenha assinado seu próprio Formulário de Pedido com a GoTo e que não seja, de outra forma, um "Cliente" nos termos do Contrato.
"Cláusulas-Padrão Contratuais Brasileiras" ou "SCCs Brasileiras" são as cláusulas-padrão contratuais anexadas à Resolução CD/ANPD nº 19/2024 promulgada pela Autoridade Nacional de Proteção de Dados do Brasil (a "Autoridade Nacional de Proteção de Dados" ou "ANPD"), podendo ser modificadas de tempos em tempos. "CCPA" é a Lei de Privacidade do Consumidor da Califórnia, conforme alteração pela Lei de Direitos de Privacidade da Califórnia de 2020 ou "CPRA" (Cal. Código Civil da Califórnia § 1798.100-1798.199.100 et seq.) e suas regulamentações de implementação, que podem ser alteradas, substituídas ou reformuladas. "Controlador(a)" é a entidade que determina os propósitos e os meios do Processamento de Dados Pessoais. "Transferência de Dados Transfronteiriça" é o ato de enviar ou compartilhar Dados Pessoais originados em um país para outro país (ou, no caso do Espaço Econômico Europeu, para um país localizado fora desse Espaço). As Transferências de Dados Transfronteiriças incluem Transferências Restritas. "Conteúdo do Cliente" são quaisquer arquivos, documentos, gravações, registros de bate-papo, transcrições e dados semelhantes que a GoTo mantém em nome do Cliente e/ou de seus usuários finais, bem como qualquer outra informação que o Cliente ou seus usuários possam enviar para a conta de Serviço do Cliente em conexão com os Serviços. "Leis de Proteção de Dados" são todas as leis e regulamentações de privacidade e proteção de dados aplicáveis, incluindo as leis e regulamentações do Brasil, da União Europeia, do Espaço Econômico Europeu e seus estados membros, da Suíça, do Reino Unido e dos Estados Unidos e seus estados (incluindo, mas não se limitando à Califórnia), em cada caso, na medida aplicável ao Processamento de Dados Pessoais nos termos do Contrato. “Titular dos Dados” é, conforme aplicável: (i) a pessoa identificada ou identificável a quem os Dados Pessoais se referem, conforme definido pelas Leis de Proteção de Dados; e/ou (ii) um “Consumidor”, como o termo é definido na CCPA. "Solicitação do Titular dos Dados" é uma solicitação de um Titular dos Dados para exercer seus direitos aos Dados Pessoais garantidos pela Lei de Proteção de Dados, incluindo o direito de: (i) acesso; (ii) retificação; (iii) restrição de processamento; (iv) eliminação (p. ex., um "direito a ser esquecido"); (v) portabilidade de dados; (vi) conhecer quaisquer atividades de compartilhamento principal ou de terceiros; (vii) conhecer as atividades de processamento relevantes da GoTo; (viii) analisar as consequências de quaisquer objeções ou retiradas de consentimento; (ix) não estar sujeito à tomada de decisão individual automatizada; e/ou (x) opor-se ao Processamento. "Cláusulas-Padrão Contratuais da UE" ou "SCCs da UE" são as cláusulas-padrão contratuais anexadas à Decisão de Execução (UE) 2021/914 da Comissão Europeia, podendo ser alteradas periodicamente. “GDPR” é o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 relativo à proteção das pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação de tais dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), com possíveis alterações, revogações ou substituições. "GoTo" é a GoTo e suas Afiliadas envolvidas no Processamento de Dados Pessoais relacionados à prestação dos Serviços ao Cliente. “LGPD” refere-se à Lei nº 13.709 do Brasil, a Lei Geral de Proteção de Dados Pessoais, com possíveis alterações, revogações ou substituições. "Parte" ou "Partes" é o Cliente ou a GoTo individualmente, ou as duas entidades em conjunto, respectivamente, e conforme aplicável. "Dados Pessoais" é qualquer informação recebida pela GoTo do Cliente ou em nome dele nos termos do Contrato que se relacione a: (i) uma pessoa física identificada ou identificável (por exemplo, um Titular de Dados ou Consumidor); (ii) um domicílio nos termos da CCPA; e/ou (iii) quaisquer elementos que constituam informações pessoais ou uma construção semelhante nos termos da legislação aplicável, em cada caso, quando essas informações forem mantidas em nome do Controlador pelo Processador em seu ambiente de Serviços e forem protegidas de forma semelhante a dados pessoais, informações pessoais ou informações pessoalmente identificáveis nos termos das Leis de Proteção de Dados. Não obstante o acima exposto, na medida em que as informações do Cliente atendam a essa definição, mas sejam excluídas da definição de dados pessoais nos termos das Leis de Proteção de Dados, tais informações não constituirão Dados Pessoais nos termos deste DPA. “Processamento” é qualquer operação ou conjunto de operações realizadas com Dados Pessoais, seja por meios automáticos ou não, como coleta, gravação, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou de outra forma disponibilização, alinhamento ou combinação, restrição, eliminação ou destruição. “Processador(a)” é a entidade que processa Dados Pessoais em nome do Controlador, incluindo, conforme aplicável, um “Provedor de Serviços” conforme o termo definido pela CCPA. "Transferência Restrita" é uma transferência de Dados Pessoais pela GoTo do país ou, no caso da União Europeia, do EEE, de onde os dados se originam para qualquer outra jurisdição cujas leis não tenham sido consideradas adequadas pelo regulador aplicável, quando a Lei de Proteção de Dados exigir tal determinação. Uma transferência de Dados Pessoais para os Estados Unidos de acordo com a Estrutura de Privacidade de Dados UE-EUA e sua extensão para o Reino Unido ou a Estrutura de Privacidade de Dados Suíça-EUA não constitui uma Transferência Restrita. “Incidente de Segurança” é qualquer violação da segurança da GoTo da qual a GoTo tome conhecimento que cause destruição, perda, alteração, divulgação não autorizada ou acesso, de forma acidental ou ilegal, aos Dados Pessoais que a GoTo processa em sua capacidade de Processadora ou subprocessadora para o Cliente ou sejam processados pelos Subprocessadores da GoTo. "Dados de Serviço" são (a) quaisquer dados, incluindo Dados Pessoais, processados pela GoTo para fins de armazenamento, transmissão ou troca de Conteúdo do Cliente, envio de mercadorias e prestação dos Serviços, como endereço de entrega, dados usados para rastrear e identificar a origem e o destino de uma comunicação, incluindo números de telefone, dados sobre a localização do dispositivo gerados no contexto da prestação dos Serviços, dados sobre roteamento, data, hora, duração, tipo e outras circunstâncias da comunicação ou dados fornecidos pelos canais usados pelo Cliente para se comunicar com seus clientes; (b) dados sobre as comunicações do Cliente com a GoTo (como consultas e solicitações de suporte) e outras informações semelhantes; e (c) Dados Pessoais relacionados ao relacionamento do Cliente com a GoTo, incluindo nomes, números de telefone e/ou informações de contato de indivíduos autorizados pelo Cliente a acessar a conta do Cliente ou usar os Serviços e informações de faturamento. “Subprocessador(a)” é qualquer Processador(a) contratado pela GoTo para auxiliar no cumprimento de suas obrigações com relação à prestação dos Serviços de acordo com o Contrato. “Autoridade Fiscalizadora” é uma autoridade pública independente estabelecida de acordo com a lei aplicável para supervisionar a conformidade com as Leis de Proteção de Dados. “FADP da Suíça” refere-se à Lei Federal Suíça de Proteção de Dados de 25 de setembro de 2023, com possíveis alterações, revogações ou substituições. "Medidas Técnicas e Organizacionais" ou "TOMs" representa a documentação de medidas técnicas e organizacionais localizada na Central de Confiança da GoTo. "Adendo para o Reino Unido" é o Adendo Internacional de Transferência de Dados para as SCCs da UE, emitido pelo Comissariado de Informações de acordo com a Lei de Proteção de Dados S119A de 2018, podendo ser modificado de tempos em tempos. "Lei de Proteção de Dados do Reino Unido": constitui todas as leis relacionadas à proteção de dados, ao Processamento de Dados Pessoais, à privacidade e/ou às comunicações eletrônicas em vigor de tempos em tempos no Reino Unido, incluindo a GDPR do Reino Unido e a Lei de Proteção de Dados de 2018, todas podendo ser alteradas, revogadas ou substituídas. |
|||||||
2. | PROCESSAMENTO DE DADOS PESSOAIS | ||||||
2.1 | Relacionamento entre as Partes. | ||||||
|
|||||||
2.2 | Detalhes do Processamento. As categorias de Titulares dos Dados, categorias de Dados Pessoais transferidos, dados confidenciais transferidos (se aplicável), frequência da transferência, natureza e finalidade da transferência e do Processamento de Dados Pessoais, retenção de Dados Pessoais e o assunto do Processamento são especificadas no Esquema 1 (Descrição do Processamento) deste DPA. | ||||||
3. | RESPONSABILIDADES DO CLIENTE | ||||||
3.1 | Conformidade com a Lei de Proteção de Dados. Ao usar os Serviços, o Cliente processará os Dados Pessoais de acordo com as disposições da Lei de Proteção de Dados que se aplicam a ele e garantirá que tenha cumprido todas as divulgações de avisos aplicáveis ou que tenha obtido as autorizações apropriadas para permitir que a GoTo processe os Dados Pessoais conforme contemplado no Contrato. Se o Cliente for um Processador para um Controlador terceirizado, o Cliente garante que suas instruções e ações com relação aos Dados Pessoais que a GoTo processa nos termos do Contrato são autorizadas pelo Controlador terceirizado pertinente. Entre as partes, o Cliente é o único responsável pela precisão, qualidade e legalidade dos Dados Pessoais e pela forma como adquire os Dados Pessoais. | ||||||
3.2 | Cooperação. O Cliente fornecerá à GoTo todas as informações e acesso necessários para que a GoTo possa seguir as instruções do Cliente. | ||||||
4. | RESPONSABILIDADES DA GOTO. | ||||||
4.1 | Conformidade com as Leis de Proteção de Dados. Ao processar os Dados Pessoais nos termos do Contrato, a GoTo deverá cumprir as disposições das Leis de Proteção de Dados que se aplicam a ela e, quando aplicável, equiparar o nível de proteção de privacidade desses Dados Pessoais àquele exigido do Cliente por essas leis. | ||||||
4.2 | Limitações de Processamento e Instruções para o Cliente. | ||||||
|
|||||||
4.3 | Segurança. Levando em consideração o estado da arte, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas, a GoTo implementará e manterá medidas técnicas e organizacionais apropriadas para a proteção da segurança (incluindo a proteção contra um Incidente de Segurança), confidencialidade e integridade do Conteúdo do Cliente, conforme estabelecido nas Medidas Técnicas e Organizacionais aplicáveis, disponíveis na Central de Confiança da GoTo. O Cliente reconhece que as TOMs estão sujeitas a progresso e desenvolvimento, e que a GoTo poderá atualizá-las ou modificá-las periodicamente. Ao fazer isso, a GoTo não diminuirá ou degradará a segurança geral dos Serviços. | ||||||
4.4 | Confidencialidade e Treinamento de Pessoal. O pessoal da GoTo envolvido no Processamento de Dados Pessoais do Cliente deve (i) ter sido informado sobre a natureza confidencial dos Dados Pessoais do Cliente; (ii) estar sujeitos a contratos de confidencialidade por escrito ou obrigações de confidencialidade estatutárias; (iii) ter recebido treinamento adequado sobre suas responsabilidades, especificamente relacionadas a medidas de segurança e privacidade; e (iv) somente ter acesso aos Dados Pessoais na medida razoavelmente determinada como necessária para executar suas obrigações, responsabilidades ou deveres. | ||||||
4.5 | Avaliações de impactos na Proteção de Dados; Consultas prévias. A GoTo cooperará e prestará assistência razoável ao Cliente se, consoante o uso dos Serviços, o Cliente for obrigado pelas Leis de Proteção de Dados a realizar uma avaliação de impacto na privacidade, na proteção de dados ou uma análise de privacidade semelhante de suas atividades de Processamento ou, de outra forma, se envolver em uma consulta prévia com uma Autoridade Fiscalizadora. | ||||||
4.6 | Solicitações de titulares dos dados. Se o Cliente receber uma Solicitação do Titular dos Dados, ele poderá (i) acessar com segurança a conta do Cliente para atender à solicitação ou, (ii) quando o Cliente precisar de assistência da GoTo para atender à solicitação, enviar um ticket de suporte para a equipe de Atendimento ao Cliente da GoTo com instruções detalhadas sobre a assistência necessária da GoTo para atender à solicitação. Se a GoTo receber uma Solicitação direta do Titular dos Dados, ela transmitirá prontamente a solicitação ao Cliente ou aconselhará o Titular dos Dados a entrar em contato com o Controlador em questão. Em todos os casos, o Cliente é responsável por verificar a identidade do Titular dos Dados e avaliar a validade da Solicitação do Titular dos Dados. A GoTo não se responsabiliza por informações fornecidas de boa-fé ao Cliente com base nesta subseção. | ||||||
4.7 | Notificação de Incidentes de Segurança. A GoTo notificará o Cliente sem atrasos indevidos sobre um Incidente de Segurança. A GoTo envidará esforços razoáveis para identificar a causa de tal Incidente de Segurança e tomará medidas razoáveis para remediar a causa de tal Incidente de Segurança, na medida em que a remediação esteja dentro do controle razoável da GoTo. Além disso, a GoTo deve fornecer ao Cliente informações relevantes sobre o Incidente de Segurança, conforme razoavelmente necessário para ajudar o Cliente no cumprimento de suas próprias obrigações sob as Leis de Proteção de Dados, como notificar qualquer Autoridade Fiscalizadora ou Titulares dos Dados. A notificação ou informações fornecidas de acordo com esta Seção não deverão ser interpretadas como uma admissão de culpa ou responsabilidade por parte da GoTo. | ||||||
4.8 | Subprocessadores. | ||||||
|
|||||||
5. | OBRIGAÇÕES DA GOTO SOB A LEI DE PRIVACIDADE DO CONSUMIDOR DA CALIFÓRNIA (CCPA) Nesta Seção 5, quaisquer termos em maiúsculas não definidos no DPA terão o significado dado na CCPA. As disposições a seguir se aplicam ao Processamento de Dados Pessoais pela GoTo como Provedor de Serviços, na medida em que os Dados Pessoais estejam sujeitos à CCPA: |
||||||
5.1 | Obrigações. A GoTo deverá: (a) processar os Dados Pessoais de acordo com os requisitos da CCPA que se aplicam à GoTo como Prestadora de Serviços ao Cliente, fornecendo um nível adequado de proteção de privacidade, conforme exigido pela CCPA; (b) notificar o Cliente se tiver motivos razoáveis para crer que não poderá mais cumprir suas obrigações nos termos da CCPA; (c) conceder ao Cliente o direito, sujeito à Seção 6 do DPA (Certificações e Auditorias de Terceiros), de tomar medidas razoáveis e apropriadas para garantir que o uso de Dados Pessoais pela GoTo coletados segundo o Contrato seja consistente com as obrigações de privacidade e segurança da GoTo nos termos do Contrato e da CCPA; e (d) mediante solicitação do Cliente, que deverá ser fornecida à GoTo com antecedência razoável, cooperar com o Cliente para determinar medidas razoáveis e apropriadas para interromper e remediar o uso não autorizado (ou seja, uso inconsistente com os termos do Contrato e/ou com as Leis de Proteção de Dados) dos Dados Pessoais do Cliente. | ||||||
5.2 | Proibições. A GoTo não deverá: (a) vender ou compartilhar com o Cliente os Dados Pessoais do Cliente que coletar nos termos do Contrato; ou (b) reter, usar ou divulgar os Dados Pessoais que coletar nos termos do Contrato (i) para qualquer outra finalidade que não seja a comercial ou de negócios declarada no Contrato ou conforme permitido pela CCPA; ou (ii) fora do relacionamento comercial direto entre as Partes, a menos que expressamente permitido pela CCPA. | ||||||
6. | CERTIFICAÇÕES E AUDITORIAS DE TERCEIROS. | ||||||
6.1 | Informações e Solicitações. A GoTo disponibilizou ao Cliente as informações razoavelmente necessárias para demonstrar a conformidade com suas obrigações nos termos deste DPA, inclusive na forma de certificações e/ou auditorias de terceiros aplicáveis, incluindo aquelas especificadas nas Medidas Técnicas e Organizacionais aplicáveis disponíveis na Central de Confiança da GoTo ou em suas páginas de suporte ao produto. Se o Cliente não puder verificar com razoabilidade a conformidade da GoTo com este DPA com base nas informações fornecidas por esta, ele poderá solicitar, no máximo uma vez a cada 12 meses, que a GoTo forneça, em caráter confidencial, informações escritas razoáveis relacionadas ao seu Processamento de Dados Pessoais do Cliente nos termos do Contrato que a GoTo geralmente disponibiliza para sua base de clientes. O cliente pode fazer essa solicitação à GoTo entrando em contato diretamente com seu representante de conta ou entrando em contato com as vendas da GoTo. | ||||||
6.2 | Revisões Regulamentares. Caso o Cliente necessite de informações para responder a uma consulta de um órgão regulador de privacidade nos termos das Leis de Proteção de Dados que não estejam disponíveis nas informações identificadas na Seção 6.1, o Cliente poderá solicitar a realização de uma auditoria, em caráter confidencial, dos procedimentos da GoTo relevantes para a proteção de Dados Pessoais nos termos deste DPA. O Cliente e a GoTo deverão concordar mutuamente com o escopo, os procedimentos, o cronograma, a duração e/ou as despesas reembolsáveis (se houver) da auditoria antes de iniciar a análise. O Cliente deverá: (a) fornecer prontamente à GoTo informações sobre qualquer não conformidade detectada durante uma auditoria; e (b) envidar seus melhores esforços para minimizar a interferência nas operações comerciais da GoTo ao conduzir qualquer auditoria desse tipo. | ||||||
7. | EXCLUSÃO E DEVOLUÇÃO DO CONTEÚDO DO CLIENTE | ||||||
Para muitos Serviços, a GoTo disponibiliza recursos aos administradores do Cliente que permitem excluir ou exportar Conteúdo. Os Clientes podem se valer desses recursos a qualquer momento. Quando esses recursos não estiverem disponíveis, ou quando o Cliente precisar de assistência adicional da GoTo, as seguintes disposições se aplicarão. Após a rescisão ou expiração do Contrato do Cliente, a interrupção do uso de sua conta GoTo pelo Cliente, ou antes, mediante solicitação por escrito do Cliente, a GoTo excluirá e tornará irrecuperável o Conteúdo do Cliente, incluindo quaisquer Dados Pessoais nele contidos, na medida permitida pela lei aplicável. Os períodos de retenção automática de dados devem estar de acordo com os procedimentos e prazos especificados nas Medidas Técnicas e Organizacionais aplicáveis. Mediante solicitação por escrito do Cliente, a GoTo (a) certificará a exclusão do Conteúdo do Cliente, (b) fornecerá uma prova da exclusão e (c), quando permitido pela lei aplicável, (i) devolverá ao Cliente ou ao representante do Cliente qualquer Conteúdo do Cliente, incluindo quaisquer Dados Pessoais nele contidos, retidos pela GoTo; ou (ii) orientará o Cliente sobre como conduzir uma exportação de dados por autoatendimento (quando disponível). O Cliente pode fazer essas solicitações enviando um ticket de suporte à equipe de Atendimento ao Cliente da GoTo com instruções detalhadas sobre a assistência necessária da GoTo. Em todos os casos, os períodos de retenção padrão da GoTo para o Conteúdo, em que ela atua como Processador para o Cliente, são declarados nas TOMs de Serviço aplicáveis, que estão disponíveis na Central de Confiança da GoTo.
|
|||||||
8. | SOLICITAÇÕES GOVERNAMENTAIS DE DADOS PESSOAIS DE CLIENTES | ||||||
Se a GoTo receber uma intimação civil ou criminal, mandado de busca ou outra solicitação oficial e por escrito que seja legalmente vinculativa ("Solicitação") por uma autoridade pública ("Parte Solicitante") buscando a divulgação dos Dados Pessoais do Cliente, a GoTo tratará tais solicitações de acordo com sua Política de Solicitações Governamentais. Especificamente, quando permitido por lei, a GoTo reencaminhará a Parte Solicitante para o Cliente. Salvo disposição em contrário em nossa Política de Solicitações Governamentais, a GoTo (a) notificará prontamente o Cliente sobre a Solicitação para permitir que ele busque uma ordem de proteção ou outro recurso apropriado, se não for impedido de fazê-lo pela Solicitação; analisará a Solicitação para determinar se ela é válida e se a GoTo tem uma exigência legal de divulgar os Dados Pessoais; (c) rejeitará ou contestará qualquer solicitação que não seja válida, juridicamente vinculativa e legal; e (d) contestará quaisquer Solicitações excessivamente amplas ou inadequadas. Quando os Dados Pessoais do Cliente tiverem que ser fornecidos, a GoTo divulgará o mínimo deles necessário para atender à Solicitação e buscará garantias de que os Dados Pessoais do Cliente receberão tratamento confidencial por parte do Solicitante. | |||||||
9. | TRANSFERÊNCIAS DE DADOS TRANSFRONTEIRIÇAS | ||||||
A GoTo opera em nível global e pode realizar Transferências de Dados Transfronteiriças para seus Subprocessadores e/ou Afiliadas para prestar seus Serviços. Algumas jurisdições exigem que as partes de um contrato adotem salvaguardas que se apliquem a tais transferências. Esta Seção descreve as salvaguardas que as Partes acordaram que regem essas transferências nos termos do Acordo. | |||||||
9.1 | Reconhecimento de Privacidade da APEC para Processadores. A GoTo obteve a certificação de Reconhecimento de Privacidade para Processadores ("PRP") da Cooperação Econômica Ásia-Pacífico ("APEC") e processará os Dados Pessoais, quando aplicável, de acordo com as obrigações e responsabilidades de um Processador segundo a Norma de Privacidade da APEC. | ||||||
9.2 | Termos regionais. Os termos adicionais relacionados às Transferências de Dados Transfronteiriças de Dados Pessoais sujeitos à LGPD, ao GDPR, à Lei de Proteção de Dados do Reino Unido e ao FADP suíço estão definidos no Esquema 2 (Termos de Transferência Regional), que é incorporado a este DPA como referência. | ||||||
10. | LIMITAÇÃO DE RESPONSABILIDADE | ||||||
A responsabilidade de cada Parte, incluindo a responsabilidade de todas as Afiliadas, decorrente ou relacionada a este DPA, e todos os DPAs entre Afiliadas Autorizadas e a GoTo, seja em contrato, ato ilícito ou sob qualquer outra teoria de responsabilidade, está sujeita à seção “Limitação de Responsabilidade” do Contrato, e qualquer referência à responsabilidade de uma Parte significa a responsabilidade total dessa Parte e de todas as suas Afiliadas nos termos do Contrato. | |||||||
11. | HIPAA | ||||||
Se o Cliente estiver sujeito à Lei da Portabilidade e Responsabilização do Seguro de Saúde dos EUA de 1996 (Pub. L. Nº. 104-191 (1996)), conforme modificação pela Lei Norte-americana de Recuperação e Reinvestimento de 2009 (Pub. L. Nº. 111-5 (2009)) e seus regulamentos de implementação aplicáveis (coletivamente, "HIPAA"), o Cliente não poderá usar os Serviços para criar, receber, manter, transmitir ou processar qualquer informação que inclua ou constitua "Informações de Saúde Protegidas", conforme definido na Regra de Privacidade da HIPAA (45 C.F.R. Seção 160.103), a menos que o Cliente tenha assinado um Adendo de Associado Comercial ("BAA") com a GoTo antes de criar, receber, manter, transmitir ou processar essas informações usando o Serviço. O BAA da GoTo está disponível aqui e, após sua execução, será incorporado a este DPA. | |||||||
12. | EFEITO JURÍDICO E CONFLITO | ||||||
Na medida do permitido pela lei, este DPA substitui todos os DPAs anteriores e acordos similares em sua totalidade. Havendo conflito entre os termos do Contrato e este DPA, prevalecerão os termos deste. Em caso de conflito entre os termos (a) do DPA e (b) das Cláusulas-Padrão Contratuais Brasileiras, das Cláusulas-Padrão Contratuais da União Europeia ou do Adendo do Reino Unido, conforme aplicável, estes últimos prevalecerão na medida do conflito. |
Lista de Esquemas:
Esquema 1: Descrição do Processamento
Esquema 2: Termos de Transferência Regional
Conteúdo do Cliente
O Cliente pode enviar Dados Pessoais aos Serviços, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério, e que podem incluir, mas não se limitam a Dados Pessoais relacionados às seguintes categorias de Titulares de Dados:
- Clientes em potencial, clientes, parceiros de negócios e fornecedores do Cliente (pessoas físicas)
- Funcionários ou pessoas de contato dos clientes em potencial, clientes, parceiros de negócios e fornecedores do Cliente
- Funcionários, agentes, consultores, trabalhadores autônomos do Cliente (pessoas físicas)
- Usuários do Cliente (que são pessoas físicas) autorizados por este a usar os Serviços, incluindo convidados e participantes de webinars ou reuniões, indivíduos que fazem ou recebem chamadas e indivíduos a quem é fornecido o suporte.
Dados do Serviço
- Clientes em potencial, clientes, parceiros de negócios e fornecedores do Cliente (pessoas físicas)
- Funcionários ou pessoas de contato dos clientes em potencial, clientes, parceiros de negócios e fornecedores do Cliente
- Funcionários, agentes, consultores, trabalhadores autônomos do Cliente (pessoas físicas)
- Usuários do Cliente (que são pessoas físicas) autorizados por este a usar os Serviços, incluindo convidados e participantes de webinars ou reuniões, indivíduos que fazem ou recebem chamadas e indivíduos a quem é fornecido o suporte.
Conteúdo do Cliente
O Cliente pode enviar Dados Pessoais aos Serviços, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério, e que podem incluir, entre outras, as seguintes categorias de Dados Pessoais:
- Informações de contato, como nome e sobrenome, e-mail, telefone, fax e endereço comercial físico
- Informações Técnicas, como dados de identificação do dispositivo e dados de tráfego (por exemplo, endereços MAC, registros da Web, endereço IP etc.), dados de nome de usuário e senha
- Informações profissionais ou relacionadas ao emprego, como cargo, empregador atual/anterior, local, métricas de uso, afiliação escolar e informações semelhantes
- Conteúdo de áudio e vídeo e fotografias, como gravações estáticas e de vídeo, gravações de voz e transcrições
- Dados da vida pessoal
- Preferências, como meio de contato, preferências de horário, disponibilidade de calendário e preferências de idioma
Dados do Serviço
A GoTo pode coletar e processar posteriormente os Dados Pessoais contidos nos Dados de Serviço, que podem incluir, entre outras, as seguintes categorias de Dados Pessoais:
- Informações de contato, como nome e sobrenome, e-mail, telefone, fax e endereço comercial físico, como endereço de entrega
- Informações Comerciais e Financeiras, como serviços comprados ou considerados, históricos ou tendências de compra ou consumo, incluindo informações necessárias para facilitar as transações com a GoTo, inclusive transações de pagamento, informações relacionadas a feedback sobre produtos e serviços da GoTo, como dados de pesquisas ou grupos de discussão, informações sobre eventos da GoTo dos quais participou ou informações recebidas
- Informações Técnicas, como dados de identificação do dispositivo e dados de tráfego (por exemplo, endereços MAC, registros da Web, endereço IP etc.), dados de nome de usuário e senha, dados usados para rastrear e identificar a origem e o destino de uma comunicação, como números de telefone de titulares de dados individuais, dados sobre a localização do dispositivo gerados no contexto do fornecimento dos Serviços, roteamento, data, hora, duração, tipo e outras circunstâncias da comunicação, dados fornecidos pelos canais usados pelo Cliente para se comunicar com seus clientes, dados sobre as comunicações do Cliente com a GoTo (como consultas e solicitações de suporte) e outras informações semelhantes.
- Informações profissionais ou relacionadas ao emprego, como cargo, empregador atual/anterior, local, métricas de uso, afiliação escolar e informações semelhantes
- Conteúdo de áudio e vídeo e fotografias, como gravações estáticas e de vídeo, gravações de voz e transcrições, como ligações gravadas do suporte ou reuniões de projeto com cliente
- Preferências, como meio de contato, preferências de horário, disponibilidade de calendário e preferências de idioma
- Dados de suporte, como consultas, solicitações, registros de solução de problemas e informações semelhantes
Dados Pessoais Confidenciais Processados (se aplicável)
As Partes não preveem a transferência de quaisquer dados confidenciais. No entanto, é possível que o Cliente opte por enviar dados confidenciais aos Serviços, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério, e para os quais as proteções relevantes são especificadas no Esquema 2 deste documento.
Natureza e Finalidade do Processamento de Dados Pessoais
A GoTo coleta, registra, organiza, estrutura, armazena, adapta ou altera, recupera, consulta, usa, divulga por transmissão ou disseminação, ou de outra forma torna disponível, alinha ou combina, restringe, apaga e destrói Dados Pessoais enquanto presta Serviços como Processador ou quando processa Dados Pessoais como Controlador. As finalidades para as quais a GoTo processa os dados pessoais são as seguintes:
- GoTo como Controladora Independente. Conforme observado na Seção 2.1.2 do DPA, a GoTo é uma Controladora independente dos Dados Pessoais no Conteúdo do Cliente e Serviço e dos Dados da Conta, onde a GoTo os processa para as seguintes finalidades: (i) faturamento, conta, gerenciamento de relacionamento com o Cliente (comunicações de marketing e relacionadas à conta para compras, vendas e outros funcionários do Cliente) e correspondência relacionada ao Cliente (comunicações sobre itens relacionados à conta, por exemplo, atualizações necessárias); (ii) cumprimento de suas obrigações legais; (iii) atender a solicitações de suporte, reclamações e consultas; (iv) atender e buscar disputas e reivindicações legais; (v) detectar e gerenciar violações da Política de Uso Aceitável da GoTo e o Contrato; e (vi) investigar incidentes de segurança e proteger o ambiente do Serviço. A GoTo pseudonimizará ou agregará os Dados Pessoais tanto quanto possível para as seguintes finalidades: (a) manter, monitorar e melhorar o desempenho do Serviço; (b) relatórios internos e financeiros, previsão e modelagem de receita e planejamento (incluindo estratégia de produto) e planejamento de capacidade; e (c) receber feedback sobre nossos Serviços. A Entidade Contratante GoTo é a Controladora independente relevante. Quando a GoTo atua como Controladora independente, ela processa os Dados Pessoais de acordo com sua Política de Privacidade.
- GoTo como Processadora. A GoTo processará os Dados Pessoais, em sua capacidade como Processadora ou Subprocessadora, e contratará Subprocessadores, conforme necessário para executar e operar os Serviços de acordo com o Contrato, conforme especificado na documentação de Medidas Técnicas e Organizacionais e na lista de Subprocessadores Aprovados, ambas disponíveis aqui e na medida em que for instruído pelo Cliente por meio do uso dos Serviços.
- GoTo como Controladora Independente. Conforme observado em nossa Política de Privacidade, retemos seus Dados Pessoais somente pelo tempo necessário para os fins comerciais para os quais eles foram coletados ou para cumprir as nossas obrigações legais, solucionar controvérsias e fazer valer nossos contratos.
- GoTo como Processadora. A GoTo processará e reterá os Dados Pessoais, em sua capacidade como Processadora, durante a vigência do Contrato (a menos que de outra forma e/ou conforme especificado nas Medidas Técnicas e Organizacionais), a menos que acordado de outra forma por escrito, exigido ou permitido pela lei aplicável.
- GoTo como Controladora Independente. Conforme observado na Seção 2.1.2 do DPA, a GoTo é uma Controladora independente dos Dados Pessoais no Conteúdo do Cliente e Serviço e dos Dados da Conta, onde a GoTo os processa para as seguintes finalidades: (i) faturamento, conta, gerenciamento de relacionamento com o Cliente (comunicações de marketing e relacionadas à conta para compras, vendas e outros funcionários do Cliente) e correspondência relacionada ao Cliente (comunicações sobre itens relacionados à conta, por exemplo, atualizações necessárias); (ii) cumprimento de suas obrigações legais; (iii) atender a solicitações de suporte, reclamações e consultas; (iv) abordar e prosseguir com disputas e reivindicações legais; (v) detectar e gerenciar violações da Política de Uso Aceitável da GoTo e seus termos de serviço; e (vi) investigar incidentes de segurança e proteger o ambiente do Serviço. A GoTo pseudonimizará ou agregará os Dados Pessoais tanto quanto possível para as seguintes finalidades: (a) manter, monitorar e melhorar o desempenho do Serviço; (b) relatórios internos e financeiros, previsão e modelagem de receita e planejamento (incluindo estratégia de produto) e planejamento de capacidade; e (c) receber feedback sobre nossos Serviços. A Entidade Contratante GoTo é a Controladora independente relevante. Quando a GoTo atua como Controladora independente, ela processa os Dados Pessoais de acordo com sua Política de Privacidade. A GoTo poderá contratar Processadores para auxiliá-la na execução das tarefas acima.
- GoTo como Processadora. A GoTo disponibiliza, diretamente e por meio de seus Subprocessadores, um portfólio de soluções de comunicação e colaboração, engajamento e suporte ao cliente baseadas em nuvem. O objetivo e o objeto do Processamento de Dados Pessoais pela GoTo, como Processadora, é atender o Cliente e fornecer, dar suporte e operar o fornecimento dos Serviços.
As disposições a seguir se aplicam na medida em que a GoTo processa Dados Pessoais que estão sujeitos às seguintes Leis de Proteção de Dados.
A. | LGPD PARA TRANSFERÊNCIAS DE DADOS TRANSFRONTEIRIÇAS | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
1. Os termos e condições contidos neste Esquema 2, Parte A, aplicam-se apenas na medida em que os Dados Pessoais processados sob este Contrato pela GoTo estejam sujeitos à LGPD. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2. A GoTo deverá (a) prestar seus Serviços de acordo com as obrigações expressas impostas pela LGPD a um Processador de Dados para o benefício de um Controlador de Dados; e (b) conforme exigido nos Artigos 33 a 36 da LGPD, fazer Transferências Restritas de Dados Pessoais com base nas Cláusulas-Padrão Contratuais Brasileiras. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3. Quando as SCCs Brasileiras forem aplicáveis, elas deverão ser construídas da seguinte forma: | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cláusulas 4.1 - 4.8, Opção B incluída. A Cláusula 4.1 é elaborada da seguinte forma:
ANEXO I (MÓDULOS UM, DOIS E TRÊS) A. LISTA DAS PARTES Importador de dados:
B. DESCRIÇÃO DA TRANSFERÊNCIA
C. AUTORIDADE SUPERVISORA COMPETENTE (MÓDULOS UM, DOIS E TRÊS)
ANEXO II - MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS (MÓDULOS UM, DOIS E TRÊS)
ANEXO III - LISTA DE SUBPROCESSADORES (MÓDULOS DOIS E TRÊS)
Tabela 1
Tabela 2: SCCs, Módulos e Cláusulas Selecionadas
Tabela 3: Informações do Apêndice
Tabela 4: Encerramento deste Adendo quando o adendo aprovado for alterado
|