Voltar para as Informações Jurídicas

ADENDO DE PROCESSAMENTO DE DADOS

Revisado: 1º de janeiro de 2025

Este Adendo de Processamento de Dados inclui os Esquemas 1 (Descrição do Processamento) e 2 (Termos de Transferência Regional) ("DPA"). Este DPA complementa e faz parte dos Termos de Serviço ou de outro contrato por escrito (o "Contrato") entre a GoTo e o "Cliente" e se aplica ao Processamento de Dados Pessoais do Cliente pela GoTo em conexão com os Serviços adquiridos nos termos do Contrato. Este DPA entrará em vigor quando o Cliente (a) celebrar um Contrato ou assinar um Pedido que tenha incorporado este DPA em seus termos ou (b) usar os Serviços após sua publicação no site da GoTo (a "Data de Vigência"). Os termos deste DPA prevalecem na medida em que entrem em conflito com os termos do Contrato.

O Cliente firma este DPA em seu próprio nome e, na medida exigida pelas Leis e Regulamentos de Proteção de Dados, em nome de suas Afiliadas Autorizadas. Neste DPA, "Cliente" representa a parte contratante do Contrato e suas Afiliadas Autorizadas, desde que o Cliente agindo como parte contratante, em seu nome e em nome de suas Afiliadas Autorizadas: (a) permaneça responsável por coordenar, fazer e receber todas as comunicações com a GoTo nos termos deste DPA; e (b) exercer quaisquer direitos próprios ou de suas Afiliadas Autorizadas aqui contidos de maneira combinada. A menos que especificado de outra forma neste DPA, "GoTo" significa a parte contratada da GoTo e suas Afiliadas.

A assinatura ou aceitação pelas Partes do Contrato ou de qualquer Formulário de Pedido constitui assinatura e aceitação da seguinte documentação, na medida aplicável: (a) as Cláusulas-Padrão Contratuais Brasileiras; (b) as Cláusulas-Padrão Contratuais da UE; e (c) o Adendo do Reino Unido às Cláusulas-Padrão Contratuais da UE.


1. DEFINIÇÕES
Os termos a seguir têm os significados definidos abaixo conforme seu uso neste DPA. Salvo disposição contrária neste DPA, os termos em maiúscula não definidos abaixo terão o significado que lhes é atribuído no Contrato.

"Afiliada" significa, (a) com relação ao Cliente, qualquer entidade que direta ou indiretamente controle, seja controlada ou esteja sob controle comum com a entidade em questão e, (b) com relação à GoTo, qualquer entidade que direta ou indiretamente seja controlada pela GoTo Group Parent, Inc. "Controle", para fins desta definição, significa propriedade direta ou indireta ou controle de mais de 50% do capital social ou dos direitos de voto da entidade em questão.

"Afiliada Autorizada" é qualquer Afiliada do Cliente que esteja: (i) sujeita às Leis de Proteção de Dados; e (ii) autorizada pelo Cliente a usar os Serviços nos termos do Contrato entre o Cliente e a GoTo, mas que não tenha assinado seu próprio Formulário de Pedido com a GoTo e que não seja, de outra forma, um "Cliente" nos termos do Contrato.

"Cláusulas-Padrão Contratuais Brasileiras" ou "SCCs Brasileiras" são as cláusulas-padrão contratuais anexadas à Resolução CD/ANPD nº 19/2024 promulgada pela Autoridade Nacional de Proteção de Dados do Brasil (a "Autoridade Nacional de Proteção de Dados" ou "ANPD"), podendo ser modificadas de tempos em tempos.

"CCPA" é a Lei de Privacidade do Consumidor da Califórnia, conforme alteração pela Lei de Direitos de Privacidade da Califórnia de 2020 ou "CPRA" (Cal. Código Civil da Califórnia § 1798.100-1798.199.100 et seq.) e suas regulamentações de implementação, que podem ser alteradas, substituídas ou reformuladas.

"Controlador(a)" é a entidade que determina os propósitos e os meios do Processamento de Dados Pessoais.

"Transferência de Dados Transfronteiriça" é o ato de enviar ou compartilhar Dados Pessoais originados em um país para outro país (ou, no caso do Espaço Econômico Europeu, para um país localizado fora desse Espaço). As Transferências de Dados Transfronteiriças incluem Transferências Restritas.

"Conteúdo do Cliente" são quaisquer arquivos, documentos, gravações, registros de bate-papo, transcrições e dados semelhantes que a GoTo mantém em nome do Cliente e/ou de seus usuários finais, bem como qualquer outra informação que o Cliente ou seus usuários possam enviar para a conta de Serviço do Cliente em conexão com os Serviços.

"Leis de Proteção de Dados" são todas as leis e regulamentações de privacidade e proteção de dados aplicáveis, incluindo as leis e regulamentações do Brasil, da União Europeia, do Espaço Econômico Europeu e seus estados membros, da Suíça, do Reino Unido e dos Estados Unidos e seus estados (incluindo, mas não se limitando à Califórnia), em cada caso, na medida aplicável ao Processamento de Dados Pessoais nos termos do Contrato.

Titular dos Dados” é, conforme aplicável: (i) a pessoa identificada ou identificável a quem os Dados Pessoais se referem, conforme definido pelas Leis de Proteção de Dados; e/ou (ii) um “Consumidor”, como o termo é definido na CCPA.

"Solicitação do Titular dos Dados" é uma solicitação de um Titular dos Dados para exercer seus direitos aos Dados Pessoais garantidos pela Lei de Proteção de Dados, incluindo o direito de: (i) acesso; (ii) retificação; (iii) restrição de processamento; (iv) eliminação (p. ex., um "direito a ser esquecido"); (v) portabilidade de dados; (vi) conhecer quaisquer atividades de compartilhamento principal ou de terceiros; (vii) conhecer as atividades de processamento relevantes da GoTo; (viii) analisar as consequências de quaisquer objeções ou retiradas de consentimento; (ix) não estar sujeito à tomada de decisão individual automatizada; e/ou (x) opor-se ao Processamento.

"Cláusulas-Padrão Contratuais da UE" ou "SCCs da UE" são as cláusulas-padrão contratuais anexadas à Decisão de Execução (UE) 2021/914 da Comissão Europeia, podendo ser alteradas periodicamente.

GDPR” é o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 relativo à proteção das pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação de tais dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), com possíveis alterações, revogações ou substituições.

"GoTo" é a GoTo e suas Afiliadas envolvidas no Processamento de Dados Pessoais relacionados à prestação dos Serviços ao Cliente.

LGPD” refere-se à Lei nº 13.709 do Brasil, a Lei Geral de Proteção de Dados Pessoais, com possíveis alterações, revogações ou substituições.

"Parte" ou "Partes" é o Cliente ou a GoTo individualmente, ou as duas entidades em conjunto, respectivamente, e conforme aplicável.

"Dados Pessoais" é qualquer informação recebida pela GoTo do Cliente ou em nome dele nos termos do Contrato que se relacione a: (i) uma pessoa física identificada ou identificável (por exemplo, um Titular de Dados ou Consumidor); (ii) um domicílio nos termos da CCPA; e/ou (iii) quaisquer elementos que constituam informações pessoais ou uma construção semelhante nos termos da legislação aplicável, em cada caso, quando essas informações forem mantidas em nome do Controlador pelo Processador em seu ambiente de Serviços e forem protegidas de forma semelhante a dados pessoais, informações pessoais ou informações pessoalmente identificáveis nos termos das Leis de Proteção de Dados. Não obstante o acima exposto, na medida em que as informações do Cliente atendam a essa definição, mas sejam excluídas da definição de dados pessoais nos termos das Leis de Proteção de Dados, tais informações não constituirão Dados Pessoais nos termos deste DPA.

Processamento” é qualquer operação ou conjunto de operações realizadas com Dados Pessoais, seja por meios automáticos ou não, como coleta, gravação, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou de outra forma disponibilização, alinhamento ou combinação, restrição, eliminação ou destruição.

Processador(a)” é a entidade que processa Dados Pessoais em nome do Controlador, incluindo, conforme aplicável, um “Provedor de Serviços” conforme o termo definido pela CCPA.

"Transferência Restrita" é uma transferência de Dados Pessoais pela GoTo do país ou, no caso da União Europeia, do EEE, de onde os dados se originam para qualquer outra jurisdição cujas leis não tenham sido consideradas adequadas pelo regulador aplicável, quando a Lei de Proteção de Dados exigir tal determinação. Uma transferência de Dados Pessoais para os Estados Unidos de acordo com a Estrutura de Privacidade de Dados UE-EUA e sua extensão para o Reino Unido ou a Estrutura de Privacidade de Dados Suíça-EUA não constitui uma Transferência Restrita.

Incidente de Segurança” é qualquer violação da segurança da GoTo da qual a GoTo tome conhecimento que cause destruição, perda, alteração, divulgação não autorizada ou acesso, de forma acidental ou ilegal, aos Dados Pessoais que a GoTo processa em sua capacidade de Processadora ou subprocessadora para o Cliente ou sejam processados pelos Subprocessadores da GoTo.

"Dados de Serviço" são (a) quaisquer dados, incluindo Dados Pessoais, processados pela GoTo para fins de armazenamento, transmissão ou troca de Conteúdo do Cliente, envio de mercadorias e prestação dos Serviços, como endereço de entrega, dados usados para rastrear e identificar a origem e o destino de uma comunicação, incluindo números de telefone, dados sobre a localização do dispositivo gerados no contexto da prestação dos Serviços, dados sobre roteamento, data, hora, duração, tipo e outras circunstâncias da comunicação ou dados fornecidos pelos canais usados pelo Cliente para se comunicar com seus clientes; (b) dados sobre as comunicações do Cliente com a GoTo (como consultas e solicitações de suporte) e outras informações semelhantes; e (c) Dados Pessoais relacionados ao relacionamento do Cliente com a GoTo, incluindo nomes, números de telefone e/ou informações de contato de indivíduos autorizados pelo Cliente a acessar a conta do Cliente ou usar os Serviços e informações de faturamento.

Subprocessador(a)” é qualquer Processador(a) contratado pela GoTo para auxiliar no cumprimento de suas obrigações com relação à prestação dos Serviços de acordo com o Contrato.

Autoridade Fiscalizadora” é uma autoridade pública independente estabelecida de acordo com a lei aplicável para supervisionar a conformidade com as Leis de Proteção de Dados.

FADP da Suíça” refere-se à Lei Federal Suíça de Proteção de Dados de 25 de setembro de 2023, com possíveis alterações, revogações ou substituições.

"Medidas Técnicas e Organizacionais" ou "TOMs" representa a documentação de medidas técnicas e organizacionais localizada na Central de Confiança da GoTo.

"Adendo para o Reino Unido" é o Adendo Internacional de Transferência de Dados para as SCCs da UE, emitido pelo Comissariado de Informações de acordo com a Lei de Proteção de Dados S119A de 2018, podendo ser modificado de tempos em tempos.

"Lei de Proteção de Dados do Reino Unido": constitui todas as leis relacionadas à proteção de dados, ao Processamento de Dados Pessoais, à privacidade e/ou às comunicações eletrônicas em vigor de tempos em tempos no Reino Unido, incluindo a GDPR do Reino Unido e a Lei de Proteção de Dados de 2018, todas podendo ser alteradas, revogadas ou substituídas.

2. PROCESSAMENTO DE DADOS PESSOAIS
2.1 Relacionamento entre as Partes.
2.1.1 Com relação ao Processamento de Dados Pessoais pela GoTo em nome do Cliente, o Cliente é o Controlador ou um Processador que está processando Dados Pessoais para um Controlador terceirizado, e a GoTo é o Processador ou um Subprocessador para o Cliente.
2.1.2 Não obstante a Seção 2.1.1, a GoTo é uma Controladora independente dos Dados Pessoais no Conteúdo do Cliente e Serviço e dos Dados da Conta, onde a GoTo os processa para as seguintes finalidades: (i) faturamento, conta, gerenciamento de relacionamento com o Cliente (comunicações de marketing e relacionadas à conta para compras, vendas e outros funcionários do Cliente) e correspondência relacionada ao Cliente (comunicações sobre itens relacionados à conta, por exemplo, atualizações necessárias); (ii) cumprimento de suas obrigações legais; (iii) atender a solicitações de suporte, reclamações e consultas; (iv) abordar e prosseguir com disputas e reivindicações legais; (v) detectar e gerenciar violações da Política de Uso Aceitável da GoTo e seus Termos de Serviço; e (vi) investigar incidentes de segurança e proteger o ambiente do Serviço. A GoTo pseudonimizará ou agregará os Dados Pessoais tanto quanto possível para as seguintes finalidades: (a) manter, monitorar e melhorar o desempenho do Serviço; (b) relatórios internos e financeiros, previsão e modelagem de receita e planejamento (incluindo estratégia de produto) e planejamento de capacidade; e (c) receber feedback sobre nossos Serviços.
2.2 Detalhes do Processamento. As categorias de Titulares dos Dados, categorias de Dados Pessoais transferidos, dados confidenciais transferidos (se aplicável), frequência da transferência, natureza e finalidade da transferência e do Processamento de Dados Pessoais, retenção de Dados Pessoais e o assunto do Processamento são especificadas no Esquema 1 (Descrição do Processamento) deste DPA.
3. RESPONSABILIDADES DO CLIENTE
3.1 Conformidade com a Lei de Proteção de Dados. Ao usar os Serviços, o Cliente processará os Dados Pessoais de acordo com as disposições da Lei de Proteção de Dados que se aplicam a ele e garantirá que tenha cumprido todas as divulgações de avisos aplicáveis ou que tenha obtido as autorizações apropriadas para permitir que a GoTo processe os Dados Pessoais conforme contemplado no Contrato. Se o Cliente for um Processador para um Controlador terceirizado, o Cliente garante que suas instruções e ações com relação aos Dados Pessoais que a GoTo processa nos termos do Contrato são autorizadas pelo Controlador terceirizado pertinente. Entre as partes, o Cliente é o único responsável pela precisão, qualidade e legalidade dos Dados Pessoais e pela forma como adquire os Dados Pessoais.
3.2 Cooperação. O Cliente fornecerá à GoTo todas as informações e acesso necessários para que a GoTo possa seguir as instruções do Cliente.
4. RESPONSABILIDADES DA GOTO.
4.1 Conformidade com as Leis de Proteção de Dados. Ao processar os Dados Pessoais nos termos do Contrato, a GoTo deverá cumprir as disposições das Leis de Proteção de Dados que se aplicam a ela e, quando aplicável, equiparar o nível de proteção de privacidade desses Dados Pessoais àquele exigido do Cliente por essas leis.
4.2 Limitações de Processamento e Instruções para o Cliente.
4.2.1 Quando a GoTo estiver atuando como Processador ou Subprocessador, somente processará os Dados Pessoais do Cliente em seu nome e de acordo com as instruções documentadas do Cliente, que são consideradas aplicáveis, para as seguintes finalidades: (i) Processamento de acordo com o Contrato e o(s) Formulário(s) de Pedido aplicável(is); (ii) processamento iniciado pelos usuários em seu uso dos Serviços; e (iii) Processamento para cumprir outras instruções razoáveis documentadas fornecidas pelo Cliente (p. ex., por e-mail), quando essas instruções forem consistentes com os termos do Contrato. Nos casos em que a GoTo atua como Controladora, ela processará os Dados Pessoais do Cliente para as finalidades indicadas na Seção 2.1.2.
4.2.2 A GoTo informará ao Cliente se espera incorrer em cobranças ou taxas adicionais não cobertas pelas tarifas de Serviços para seguir as instruções do Cliente, e o Cliente pagará por esses Serviços adicionais de acordo com as tarifas então vigentes da GoTo.
4.2.3 A GoTo informará imediatamente o Cliente se, em sua opinião, acreditar que quaisquer instruções do Cliente entrem em conflito ou violem os requisitos das Leis de Proteção de Dados.
4.3 Segurança. Levando em consideração o estado da arte, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas, a GoTo implementará e manterá medidas técnicas e organizacionais apropriadas para a proteção da segurança (incluindo a proteção contra um Incidente de Segurança), confidencialidade e integridade do Conteúdo do Cliente, conforme estabelecido nas Medidas Técnicas e Organizacionais aplicáveis, disponíveis na Central de Confiança da GoTo. O Cliente reconhece que as TOMs estão sujeitas a progresso e desenvolvimento, e que a GoTo poderá atualizá-las ou modificá-las periodicamente. Ao fazer isso, a GoTo não diminuirá ou degradará a segurança geral dos Serviços.
4.4 Confidencialidade e Treinamento de Pessoal. O pessoal da GoTo envolvido no Processamento de Dados Pessoais do Cliente deve (i) ter sido informado sobre a natureza confidencial dos Dados Pessoais do Cliente; (ii) estar sujeitos a contratos de confidencialidade por escrito ou obrigações de confidencialidade estatutárias; (iii) ter recebido treinamento adequado sobre suas responsabilidades, especificamente relacionadas a medidas de segurança e privacidade; e (iv) somente ter acesso aos Dados Pessoais na medida razoavelmente determinada como necessária para executar suas obrigações, responsabilidades ou deveres.
4.5 Avaliações de impactos na Proteção de Dados; Consultas prévias. A GoTo cooperará e prestará assistência razoável ao Cliente se, consoante o uso dos Serviços, o Cliente for obrigado pelas Leis de Proteção de Dados a realizar uma avaliação de impacto na privacidade, na proteção de dados ou uma análise de privacidade semelhante de suas atividades de Processamento ou, de outra forma, se envolver em uma consulta prévia com uma Autoridade Fiscalizadora.
4.6 Solicitações de titulares dos dados. Se o Cliente receber uma Solicitação do Titular dos Dados, ele poderá (i) acessar com segurança a conta do Cliente para atender à solicitação ou, (ii) quando o Cliente precisar de assistência da GoTo para atender à solicitação, enviar um ticket de suporte para a equipe de Atendimento ao Cliente da GoTo com instruções detalhadas sobre a assistência necessária da GoTo para atender à solicitação. Se a GoTo receber uma Solicitação direta do Titular dos Dados, ela transmitirá prontamente a solicitação ao Cliente ou aconselhará o Titular dos Dados a entrar em contato com o Controlador em questão. Em todos os casos, o Cliente é responsável por verificar a identidade do Titular dos Dados e avaliar a validade da Solicitação do Titular dos Dados. A GoTo não se responsabiliza por informações fornecidas de boa-fé ao Cliente com base nesta subseção.
4.7 Notificação de Incidentes de Segurança. A GoTo notificará o Cliente sem atrasos indevidos sobre um Incidente de Segurança. A GoTo envidará esforços razoáveis para identificar a causa de tal Incidente de Segurança e tomará medidas razoáveis para remediar a causa de tal Incidente de Segurança, na medida em que a remediação esteja dentro do controle razoável da GoTo. Além disso, a GoTo deve fornecer ao Cliente informações relevantes sobre o Incidente de Segurança, conforme razoavelmente necessário para ajudar o Cliente no cumprimento de suas próprias obrigações sob as Leis de Proteção de Dados, como notificar qualquer Autoridade Fiscalizadora ou Titulares dos Dados. A notificação ou informações fornecidas de acordo com esta Seção não deverão ser interpretadas como uma admissão de culpa ou responsabilidade por parte da GoTo.
4.8 Subprocessadores.
4.8.1 O Cliente concede à GoTo uma autorização geral para contratar as Afiliadas da GoTo e outros Subprocessadores de terceiros para o fornecimento e a operação dos Serviços. Antes de contratar qualquer Subprocessador, a GoTo deverá firmar um contrato por escrito com cada um deles impondo termos cujo nível de proteção não seja menor do que aqueles impostos à GoTo neste DPA.
4.8.2 A GoTo mantém uma lista de Subprocessadores para o Serviço em sua Central de Confiança. Se o Cliente desejar receber notificações da GoTo sobre a proposta de nomeação de novos Subprocessadores, o Cliente poderá se inscrever aqui para recebê-las. O Cliente poderá apresentar sua objeção por escrito (aceitável por e-mail), de boa-fé e razoável, às nomeações de Subprocessadores propostas, no prazo de 15 dias após o recebimento da notificação da GoTo. Se a GoTo for razoavelmente capaz de prestar os Serviços sem usar o Subprocessador proposto e optar por fazê-lo a seu exclusivo critério, o Cliente não terá mais nenhum direito com relação ao assunto. Se a GoTo não puder ou não estiver disposta a disponibilizar essa alteração dentro de um período de tempo razoável, o Cliente poderá, mediante notificação por escrito à GoTo, rescindir o(s) Formulário(s) de Pedido aplicável(is) somente com relação aos Serviços que não podem ser fornecidos pela GoTo sem o uso do Subprocessador. Se o Cliente não apresentar objeção oportuna a um Subprocessador proposto, será considerado que o Cliente consentiu com o Subprocessador proposto e renunciou ao seu direito de objeção.
4.8.3 A GoTo permanecerá responsável perante o Cliente pelas ações e omissões de seus Subprocessadores se eles não cumprirem suas respectivas obrigações de proteção de dados com relação às atividades de Processamento relevantes nos termos do Contrato.
5. OBRIGAÇÕES DA GOTO SOB A LEI DE PRIVACIDADE DO CONSUMIDOR DA CALIFÓRNIA (CCPA)
Nesta Seção 5, quaisquer termos em maiúsculas não definidos no DPA terão o significado dado na CCPA. As disposições a seguir se aplicam ao Processamento de Dados Pessoais pela GoTo como Provedor de Serviços, na medida em que os Dados Pessoais estejam sujeitos à CCPA:
5.1 Obrigações. A GoTo deverá: (a) processar os Dados Pessoais de acordo com os requisitos da CCPA que se aplicam à GoTo como Prestadora de Serviços ao Cliente, fornecendo um nível adequado de proteção de privacidade, conforme exigido pela CCPA; (b) notificar o Cliente se tiver motivos razoáveis para crer que não poderá mais cumprir suas obrigações nos termos da CCPA; (c) conceder ao Cliente o direito, sujeito à Seção 6 do DPA (Certificações e Auditorias de Terceiros), de tomar medidas razoáveis e apropriadas para garantir que o uso de Dados Pessoais pela GoTo coletados segundo o Contrato seja consistente com as obrigações de privacidade e segurança da GoTo nos termos do Contrato e da CCPA; e (d) mediante solicitação do Cliente, que deverá ser fornecida à GoTo com antecedência razoável, cooperar com o Cliente para determinar medidas razoáveis e apropriadas para interromper e remediar o uso não autorizado (ou seja, uso inconsistente com os termos do Contrato e/ou com as Leis de Proteção de Dados) dos Dados Pessoais do Cliente.
5.2 Proibições. A GoTo não deverá: (a) vender ou compartilhar com o Cliente os Dados Pessoais do Cliente que coletar nos termos do Contrato; ou (b) reter, usar ou divulgar os Dados Pessoais que coletar nos termos do Contrato (i) para qualquer outra finalidade que não seja a comercial ou de negócios declarada no Contrato ou conforme permitido pela CCPA; ou (ii) fora do relacionamento comercial direto entre as Partes, a menos que expressamente permitido pela CCPA.
6. CERTIFICAÇÕES E AUDITORIAS DE TERCEIROS.
6.1 Informações e Solicitações. A GoTo disponibilizou ao Cliente as informações razoavelmente necessárias para demonstrar a conformidade com suas obrigações nos termos deste DPA, inclusive na forma de certificações e/ou auditorias de terceiros aplicáveis, incluindo aquelas especificadas nas Medidas Técnicas e Organizacionais aplicáveis disponíveis na Central de Confiança da GoTo ou em suas páginas de suporte ao produto. Se o Cliente não puder verificar com razoabilidade a conformidade da GoTo com este DPA com base nas informações fornecidas por esta, ele poderá solicitar, no máximo uma vez a cada 12 meses, que a GoTo forneça, em caráter confidencial, informações escritas razoáveis relacionadas ao seu Processamento de Dados Pessoais do Cliente nos termos do Contrato que a GoTo geralmente disponibiliza para sua base de clientes. O cliente pode fazer essa solicitação à GoTo entrando em contato diretamente com seu representante de conta ou entrando em contato com as vendas da GoTo.
6.2 Revisões Regulamentares. Caso o Cliente necessite de informações para responder a uma consulta de um órgão regulador de privacidade nos termos das Leis de Proteção de Dados que não estejam disponíveis nas informações identificadas na Seção 6.1, o Cliente poderá solicitar a realização de uma auditoria, em caráter confidencial, dos procedimentos da GoTo relevantes para a proteção de Dados Pessoais nos termos deste DPA. O Cliente e a GoTo deverão concordar mutuamente com o escopo, os procedimentos, o cronograma, a duração e/ou as despesas reembolsáveis (se houver) da auditoria antes de iniciar a análise. O Cliente deverá: (a) fornecer prontamente à GoTo informações sobre qualquer não conformidade detectada durante uma auditoria; e (b) envidar seus melhores esforços para minimizar a interferência nas operações comerciais da GoTo ao conduzir qualquer auditoria desse tipo.
7. EXCLUSÃO E DEVOLUÇÃO DO CONTEÚDO DO CLIENTE
Para muitos Serviços, a GoTo disponibiliza recursos aos administradores do Cliente que permitem excluir ou exportar Conteúdo. Os Clientes podem se valer desses recursos a qualquer momento. Quando esses recursos não estiverem disponíveis, ou quando o Cliente precisar de assistência adicional da GoTo, as seguintes disposições se aplicarão. Após a rescisão ou expiração do Contrato do Cliente, a interrupção do uso de sua conta GoTo pelo Cliente, ou antes, mediante solicitação por escrito do Cliente, a GoTo excluirá e tornará irrecuperável o Conteúdo do Cliente, incluindo quaisquer Dados Pessoais nele contidos, na medida permitida pela lei aplicável. Os períodos de retenção automática de dados devem estar de acordo com os procedimentos e prazos especificados nas Medidas Técnicas e Organizacionais aplicáveis. Mediante solicitação por escrito do Cliente, a GoTo (a) certificará a exclusão do Conteúdo do Cliente, (b) fornecerá uma prova da exclusão e (c), quando permitido pela lei aplicável, (i) devolverá ao Cliente ou ao representante do Cliente qualquer Conteúdo do Cliente, incluindo quaisquer Dados Pessoais nele contidos, retidos pela GoTo; ou (ii) orientará o Cliente sobre como conduzir uma exportação de dados por autoatendimento (quando disponível). O Cliente pode fazer essas solicitações enviando um ticket de suporte à equipe de Atendimento ao Cliente da GoTo com instruções detalhadas sobre a assistência necessária da GoTo. Em todos os casos, os períodos de retenção padrão da GoTo para o Conteúdo, em que ela atua como Processador para o Cliente, são declarados nas TOMs de Serviço aplicáveis, que estão disponíveis na Central de Confiança da GoTo.

 

8. SOLICITAÇÕES GOVERNAMENTAIS DE DADOS PESSOAIS DE CLIENTES
Se a GoTo receber uma intimação civil ou criminal, mandado de busca ou outra solicitação oficial e por escrito que seja legalmente vinculativa ("Solicitação") por uma autoridade pública ("Parte Solicitante") buscando a divulgação dos Dados Pessoais do Cliente, a GoTo tratará tais solicitações de acordo com sua Política de Solicitações Governamentais. Especificamente, quando permitido por lei, a GoTo reencaminhará a Parte Solicitante para o Cliente. Salvo disposição em contrário em nossa Política de Solicitações Governamentais, a GoTo (a) notificará prontamente o Cliente sobre a Solicitação para permitir que ele busque uma ordem de proteção ou outro recurso apropriado, se não for impedido de fazê-lo pela Solicitação; analisará a Solicitação para determinar se ela é válida e se a GoTo tem uma exigência legal de divulgar os Dados Pessoais; (c) rejeitará ou contestará qualquer solicitação que não seja válida, juridicamente vinculativa e legal; e (d) contestará quaisquer Solicitações excessivamente amplas ou inadequadas. Quando os Dados Pessoais do Cliente tiverem que ser fornecidos, a GoTo divulgará o mínimo deles necessário para atender à Solicitação e buscará garantias de que os Dados Pessoais do Cliente receberão tratamento confidencial por parte do Solicitante.
9. TRANSFERÊNCIAS DE DADOS TRANSFRONTEIRIÇAS
A GoTo opera em nível global e pode realizar Transferências de Dados Transfronteiriças para seus Subprocessadores e/ou Afiliadas para prestar seus Serviços. Algumas jurisdições exigem que as partes de um contrato adotem salvaguardas que se apliquem a tais transferências. Esta Seção descreve as salvaguardas que as Partes acordaram que regem essas transferências nos termos do Acordo.
9.1 Reconhecimento de Privacidade da APEC para Processadores. A GoTo obteve a certificação de Reconhecimento de Privacidade para Processadores ("PRP") da Cooperação Econômica Ásia-Pacífico ("APEC") e processará os Dados Pessoais, quando aplicável, de acordo com as obrigações e responsabilidades de um Processador segundo a Norma de Privacidade da APEC.
9.2 Termos regionais. Os termos adicionais relacionados às Transferências de Dados Transfronteiriças de Dados Pessoais sujeitos à LGPD, ao GDPR, à Lei de Proteção de Dados do Reino Unido e ao FADP suíço estão definidos no Esquema 2 (Termos de Transferência Regional), que é incorporado a este DPA como referência.
10. LIMITAÇÃO DE RESPONSABILIDADE
A responsabilidade de cada Parte, incluindo a responsabilidade de todas as Afiliadas, decorrente ou relacionada a este DPA, e todos os DPAs entre Afiliadas Autorizadas e a GoTo, seja em contrato, ato ilícito ou sob qualquer outra teoria de responsabilidade, está sujeita à seção “Limitação de Responsabilidade” do Contrato, e qualquer referência à responsabilidade de uma Parte significa a responsabilidade total dessa Parte e de todas as suas Afiliadas nos termos do Contrato.
11. HIPAA
Se o Cliente estiver sujeito à Lei da Portabilidade e Responsabilização do Seguro de Saúde dos EUA de 1996 (Pub. L. Nº. 104-191 (1996)), conforme modificação pela Lei Norte-americana de Recuperação e Reinvestimento de 2009 (Pub. L. Nº. 111-5 (2009)) e seus regulamentos de implementação aplicáveis (coletivamente, "HIPAA"), o Cliente não poderá usar os Serviços para criar, receber, manter, transmitir ou processar qualquer informação que inclua ou constitua "Informações de Saúde Protegidas", conforme definido na Regra de Privacidade da HIPAA (45 C.F.R. Seção 160.103), a menos que o Cliente tenha assinado um Adendo de Associado Comercial ("BAA") com a GoTo antes de criar, receber, manter, transmitir ou processar essas informações usando o Serviço. O BAA da GoTo está disponível aqui e, após sua execução, será incorporado a este DPA.
12. EFEITO JURÍDICO E CONFLITO
Na medida do permitido pela lei, este DPA substitui todos os DPAs anteriores e acordos similares em sua totalidade. Havendo conflito entre os termos do Contrato e este DPA, prevalecerão os termos deste. Em caso de conflito entre os termos (a) do DPA e (b) das Cláusulas-Padrão Contratuais Brasileiras, das Cláusulas-Padrão Contratuais da União Europeia ou do Adendo do Reino Unido, conforme aplicável, estes últimos prevalecerão na medida do conflito.

Lista de Esquemas:

Esquema 1: Descrição do Processamento

Esquema 2: Termos de Transferência Regional

 

ESQUEMA 1 - DESCRIÇÃO DO PROCESSAMENTO
Categorias de Titulares de Dados

Conteúdo do Cliente

O Cliente pode enviar Dados Pessoais aos Serviços, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério, e que podem incluir, mas não se limitam a Dados Pessoais relacionados às seguintes categorias de Titulares de Dados:

  • Clientes em potencial, clientes, parceiros de negócios e fornecedores do Cliente (pessoas físicas)
  • Funcionários ou pessoas de contato dos clientes em potencial, clientes, parceiros de negócios e fornecedores do Cliente
  • Funcionários, agentes, consultores, trabalhadores autônomos do Cliente (pessoas físicas)
  • Usuários do Cliente (que são pessoas físicas) autorizados por este a usar os Serviços, incluindo convidados e participantes de webinars ou reuniões, indivíduos que fazem ou recebem chamadas e indivíduos a quem é fornecido o suporte.

Dados do Serviço

  • Clientes em potencial, clientes, parceiros de negócios e fornecedores do Cliente (pessoas físicas)
  • Funcionários ou pessoas de contato dos clientes em potencial, clientes, parceiros de negócios e fornecedores do Cliente
  • Funcionários, agentes, consultores, trabalhadores autônomos do Cliente (pessoas físicas)
  • Usuários do Cliente (que são pessoas físicas) autorizados por este a usar os Serviços, incluindo convidados e participantes de webinars ou reuniões, indivíduos que fazem ou recebem chamadas e indivíduos a quem é fornecido o suporte.

 

Categorias de Dados Pessoais Processados

Conteúdo do Cliente

O Cliente pode enviar Dados Pessoais aos Serviços, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério, e que podem incluir, entre outras, as seguintes categorias de Dados Pessoais:

  • Informações de contato, como nome e sobrenome, e-mail, telefone, fax e endereço comercial físico
  • Informações Técnicas, como dados de identificação do dispositivo e dados de tráfego (por exemplo, endereços MAC, registros da Web, endereço IP etc.), dados de nome de usuário e senha
  • Informações profissionais ou relacionadas ao emprego, como cargo, empregador atual/anterior, local, métricas de uso, afiliação escolar e informações semelhantes
  • Conteúdo de áudio e vídeo e fotografias, como gravações estáticas e de vídeo, gravações de voz e transcrições
  • Dados da vida pessoal
  • Preferências, como meio de contato, preferências de horário, disponibilidade de calendário e preferências de idioma

Dados do Serviço

A GoTo pode coletar e processar posteriormente os Dados Pessoais contidos nos Dados de Serviço, que podem incluir, entre outras, as seguintes categorias de Dados Pessoais:

  • Informações de contato, como nome e sobrenome, e-mail, telefone, fax e endereço comercial físico, como endereço de entrega
  • Informações Comerciais e Financeiras, como serviços comprados ou considerados, históricos ou tendências de compra ou consumo, incluindo informações necessárias para facilitar as transações com a GoTo, inclusive transações de pagamento, informações relacionadas a feedback sobre produtos e serviços da GoTo, como dados de pesquisas ou grupos de discussão, informações sobre eventos da GoTo dos quais participou ou informações recebidas
  • Informações Técnicas, como dados de identificação do dispositivo e dados de tráfego (por exemplo, endereços MAC, registros da Web, endereço IP etc.), dados de nome de usuário e senha, dados usados para rastrear e identificar a origem e o destino de uma comunicação, como números de telefone de titulares de dados individuais, dados sobre a localização do dispositivo gerados no contexto do fornecimento dos Serviços, roteamento, data, hora, duração, tipo e outras circunstâncias da comunicação, dados fornecidos pelos canais usados pelo Cliente para se comunicar com seus clientes, dados sobre as comunicações do Cliente com a GoTo (como consultas e solicitações de suporte) e outras informações semelhantes.
  • Informações profissionais ou relacionadas ao emprego, como cargo, empregador atual/anterior, local, métricas de uso, afiliação escolar e informações semelhantes
  • Conteúdo de áudio e vídeo e fotografias, como gravações estáticas e de vídeo, gravações de voz e transcrições, como ligações gravadas do suporte ou reuniões de projeto com cliente
  • Preferências, como meio de contato, preferências de horário, disponibilidade de calendário e preferências de idioma
  • Dados de suporte, como consultas, solicitações, registros de solução de problemas e informações semelhantes

Dados Pessoais Confidenciais Processados (se aplicável)

As Partes não preveem a transferência de quaisquer dados confidenciais. No entanto, é possível que o Cliente opte por enviar dados confidenciais aos Serviços, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério, e para os quais as proteções relevantes são especificadas no Esquema 2 deste documento.

Natureza e Finalidade do Processamento de Dados Pessoais

A GoTo coleta, registra, organiza, estrutura, armazena, adapta ou altera, recupera, consulta, usa, divulga por transmissão ou disseminação, ou de outra forma torna disponível, alinha ou combina, restringe, apaga e destrói Dados Pessoais enquanto presta Serviços como Processador ou quando processa Dados Pessoais como Controlador. As finalidades para as quais a GoTo processa os dados pessoais são as seguintes:

  • GoTo como Controladora Independente. Conforme observado na Seção 2.1.2 do DPA, a GoTo é uma Controladora independente dos Dados Pessoais no Conteúdo do Cliente e Serviço e dos Dados da Conta, onde a GoTo os processa para as seguintes finalidades: (i) faturamento, conta, gerenciamento de relacionamento com o Cliente (comunicações de marketing e relacionadas à conta para compras, vendas e outros funcionários do Cliente) e correspondência relacionada ao Cliente (comunicações sobre itens relacionados à conta, por exemplo, atualizações necessárias); (ii) cumprimento de suas obrigações legais; (iii) atender a solicitações de suporte, reclamações e consultas; (iv) atender e buscar disputas e reivindicações legais; (v) detectar e gerenciar violações da Política de Uso Aceitável da GoTo e o Contrato; e (vi) investigar incidentes de segurança e proteger o ambiente do Serviço. A GoTo pseudonimizará ou agregará os Dados Pessoais tanto quanto possível para as seguintes finalidades: (a) manter, monitorar e melhorar o desempenho do Serviço; (b) relatórios internos e financeiros, previsão e modelagem de receita e planejamento (incluindo estratégia de produto) e planejamento de capacidade; e (c) receber feedback sobre nossos Serviços. A Entidade Contratante GoTo é a Controladora independente relevante. Quando a GoTo atua como Controladora independente, ela processa os Dados Pessoais de acordo com sua Política de Privacidade.
  • GoTo como Processadora. A GoTo processará os Dados Pessoais, em sua capacidade como Processadora ou Subprocessadora, e contratará Subprocessadores, conforme necessário para executar e operar os Serviços de acordo com o Contrato, conforme especificado na documentação de Medidas Técnicas e Organizacionais e na lista de Subprocessadores Aprovados, ambas disponíveis aqui e na medida em que for instruído pelo Cliente por meio do uso dos Serviços.

 

Retenção de Dados Pessoais
  • GoTo como Controladora Independente. Conforme observado em nossa Política de Privacidade, retemos seus Dados Pessoais somente pelo tempo necessário para os fins comerciais para os quais eles foram coletados ou para cumprir as nossas obrigações legais, solucionar controvérsias e fazer valer nossos contratos.
  • GoTo como Processadora. A GoTo processará e reterá os Dados Pessoais, em sua capacidade como Processadora, durante a vigência do Contrato (a menos que de outra forma e/ou conforme especificado nas Medidas Técnicas e Organizacionais), a menos que acordado de outra forma por escrito, exigido ou permitido pela lei aplicável.

 

Assunto, natureza e duração do processamento realizado pelos subprocessadores
  • GoTo como Controladora Independente. Conforme observado na Seção 2.1.2 do DPA, a GoTo é uma Controladora independente dos Dados Pessoais no Conteúdo do Cliente e Serviço e dos Dados da Conta, onde a GoTo os processa para as seguintes finalidades: (i) faturamento, conta, gerenciamento de relacionamento com o Cliente (comunicações de marketing e relacionadas à conta para compras, vendas e outros funcionários do Cliente) e correspondência relacionada ao Cliente (comunicações sobre itens relacionados à conta, por exemplo, atualizações necessárias); (ii) cumprimento de suas obrigações legais; (iii) atender a solicitações de suporte, reclamações e consultas; (iv) abordar e prosseguir com disputas e reivindicações legais; (v) detectar e gerenciar violações da Política de Uso Aceitável da GoTo e seus termos de serviço; e (vi) investigar incidentes de segurança e proteger o ambiente do Serviço. A GoTo pseudonimizará ou agregará os Dados Pessoais tanto quanto possível para as seguintes finalidades: (a) manter, monitorar e melhorar o desempenho do Serviço; (b) relatórios internos e financeiros, previsão e modelagem de receita e planejamento (incluindo estratégia de produto) e planejamento de capacidade; e (c) receber feedback sobre nossos Serviços. A Entidade Contratante GoTo é a Controladora independente relevante. Quando a GoTo atua como Controladora independente, ela processa os Dados Pessoais de acordo com sua Política de Privacidade. A GoTo poderá contratar Processadores para auxiliá-la na execução das tarefas acima.
  • GoTo como Processadora. A GoTo disponibiliza, diretamente e por meio de seus Subprocessadores, um portfólio de soluções de comunicação e colaboração, engajamento e suporte ao cliente baseadas em nuvem. O objetivo e o objeto do Processamento de Dados Pessoais pela GoTo, como Processadora, é atender o Cliente e fornecer, dar suporte e operar o fornecimento dos Serviços.

 

ESQUEMA 2 - TERMOS DE TRANSFERÊNCIA REGIONAL

As disposições a seguir se aplicam na medida em que a GoTo processa Dados Pessoais que estão sujeitos às seguintes Leis de Proteção de Dados.

A. LGPD PARA TRANSFERÊNCIAS DE DADOS TRANSFRONTEIRIÇAS
1. Os termos e condições contidos neste Esquema 2, Parte A, aplicam-se apenas na medida em que os Dados Pessoais processados sob este Contrato pela GoTo estejam sujeitos à LGPD.
2. A GoTo deverá (a) prestar seus Serviços de acordo com as obrigações expressas impostas pela LGPD a um Processador de Dados para o benefício de um Controlador de Dados; e (b) conforme exigido nos Artigos 33 a 36 da LGPD, fazer Transferências Restritas de Dados Pessoais com base nas Cláusulas-Padrão Contratuais Brasileiras.
3. Quando as SCCs Brasileiras forem aplicáveis, elas deverão ser construídas da seguinte forma:
Cláusulas 4.1 - 4.8, Opção B incluída. A Cláusula 4.1 é elaborada da seguinte forma:
a. Quando o Cliente é o Controlador e a GoTo é uma Processadora
i. A Cláusula 1.1 é elaborada da seguinte forma:
Exportador (Controlador)
Nome: ver Contrato ou Formulário de Pedido
Qualificação: ver Contrato ou Formulário de Pedido
Endereço principal: ver Contrato ou Formulário de Pedido
Endereço de e-mail: ver Contrato ou Formulário de Pedido
Contato para o Titular dos Dados: ver Contrato ou Formulário de Pedido
Outras informações: N/D
E
Importador (Processador)
Nome: GoTo Technologies USA LLC, em seu próprio nome e em nome de suas Afiliadas aplicáveis
Qualificação: 5984112 (DE)
Endereço principal: 333 Summer Street, 5th Floor, Boston, MA 02210
Endereço de e-mail: privacy@goto.com
Contato do Titular dos Dados: N/A
Outras informações: N/D
ii. A Cláusula 2.1 é elaborada da seguinte forma:
Objetivo da Transferência de Dados: permitir que a GoTo forneça Serviços ao Cliente nos termos do Contrato.
Categorias de Dados Pessoais Transferidos: consulte o Esquema 1 (Descrição do Processamento)
Período de Armazenamento de Dados: consulte as TOMs relevantes na Central de Confiança.
Outras informações: N/D
iii. A Cláusula 3.1, Opção B, está incluída e é elaborada da seguinte forma:
Principais objetivos da transferência internacional de dados: consulte a Seção 2.1.2 do DPA.
Categorias de Dados Pessoais Transferidos: consulte o Esquema 1 (Detalhes do Processamento)
Período de Retenção de Dados: pode variar de acordo com a finalidade específica, desde que não se estenda além do necessário para as finalidades comerciais para as quais os dados foram coletados. Os dados pessoais processados no contexto de um contrato podem ser retidos por nós durante a vigência do contrato e por um período razoável após o término do contrato, conforme necessário para determinar e resolver quaisquer reivindicações relacionadas ou conforme exigido por lei.
Outras informações: consulte o Esquema 3 para obter uma lista atualizada de Subprocessadores. As partes concordam em seguir o processo de identificação de novos Subprocessadores especificado na Seção 4.8 do DPA. Esse processo foi desenvolvido para apoiar e implementar os requisitos das Cláusulas 3.1 e 18 das Cláusulas-Padrão Contratuais Brasileiras.
iv. Cláusulas 4.1 - 4.2 Opção A aplicável. A Cláusula 4.1 é elaborada da seguinte forma:

4.1. Sem prejuízo do dever de assistência mútua e das obrigações gerais das Partes, a Parte Designada abaixo será a principal responsável pelo cumprimento das seguintes obrigações estabelecidas nestas Cláusulas:

a) Responsável pela publicação do documento previsto na Cláusula 14:

b) Responsável por responder às solicitações dos Titulares de Dados tratadas na Cláusula 15:

c) Responsável por notificar o incidente de segurança previsto na Cláusula 16:

v. A Seção III é elaborada da seguinte forma: consulte as respectivas TOMs na Central de Confiança.
vi. A Seção IV é elaborada da seguinte forma: as partes concordam que as disposições de limitação de responsabilidade estabelecidas no Contrato controlarão a respectiva responsabilidade das partes entre si nos termos da Cláusula 17 dessas Cláusulas-Padrão Contratuais Brasileiras.
b. Quando o Cliente é um Processador e a GoTo é uma Subprocessadora
i. A Cláusula 1.1 é elaborada da seguinte forma:
Exportador (Processador)
Nome: ver Contrato ou Formulário de Pedido
Qualificação: ver Contrato ou Formulário de Pedido
Endereço principal: ver Contrato ou Formulário de Pedido
Endereço de e-mail: ver Contrato ou Formulário de Pedido
Contato para o Titular dos Dados: ver Contrato ou Formulário de Pedido
Outras informações: N/D
E
Importador (Processador)
Nome: GoTo Technologies USA LLC, em seu próprio nome e em nome de suas Afiliadas aplicáveis
Qualificação: 5984112 (DE)
Endereço principal: 333 Summer Street, 5th Floor, Boston, MA 02210
Endereço de e-mail: privacy@goto.com
Contato do Titular dos Dados: N/A
Outras informações: N/D
Nome: ver Contrato ou Formulário de Pedido
ii. A Cláusula 2.1 é elaborada da seguinte forma:
Objetivo da Transferência de Dados: permitir que a GoTo forneça Serviços ao Cliente nos termos do Contrato.
Categorias de Dados Pessoais Transferidos: consulte o Esquema 1 (Descrição do Processamento)
Período de Armazenamento de Dados: consulte as TOMs relevantes na Central de Confiança
Outras informações: N/D
iii. A Cláusula 3.1, Opção B, está incluída e é elaborada da seguinte forma:
Principais objetivos da transferência internacional de dados: consulte a Seção 2.1.2 do DPA.
Categorias de Dados Pessoais Transferidos: consulte o Esquema 1 (Detalhes do Processamento)
Período de Retenção de Dados: pode variar de acordo com a finalidade específica, desde que não se estenda além do necessário para as finalidades comerciais para as quais os dados foram coletados. Os dados pessoais processados no contexto de um contrato podem ser retidos por nós durante a vigência do contrato e por um período razoável após o término do contrato, conforme necessário para determinar e resolver quaisquer reivindicações relacionadas ou conforme exigido por lei.
Outras informações: consulte o Esquema 3 para obter uma lista atualizada de Subprocessadores. As partes concordam em seguir o processo de identificação de novos Subprocessadores especificado na Seção 4.8 do DPA. Esse processo foi desenvolvido para apoiar e implementar os requisitos das Cláusulas 3.1 e 18 das Cláusulas-Padrão Contratuais Brasileiras.
iv. Cláusulas 4.1 - 4.8, Opção B incluída. A Cláusula 4.1 é elaborada da seguinte forma:
4.1 Considerando que ambas as Partes atuam exclusivamente como Processadores dentro do escopo da Transferência Internacional de Dados regida por essas Cláusulas, o Exportador declara e garante que a transferência é realizada com a autorização e de acordo com as instruções por escrito fornecidas pelo Controlador Terceirizado
Identificação do Controlador Terceirizado: consulte as informações de contato contidas nos compromissos do Cliente com os clientes deste.

Nome:
Endereço:
Endereço de e-mail:
Representante legal:
Contato do Titular dos Dados:
Finalidade da transferência de dados:
Condições para a transferência:
Outras informações:
Informações sobre o contrato em questão:
v. A Seção III é elaborada da seguinte forma: consulte as respectivas TOMs na Central de Confiança.
vi. A Seção IV é elaborada da seguinte forma:
a. As partes concordam que as disposições de limitação de responsabilidade estabelecidas no Contrato controlarão a respectiva responsabilidade das partes entre si nos termos da Cláusula 17 dessas Cláusulas-Padrão Contratuais Brasileiras.
b. Ao assinar o Contrato, o Exportador garante que recebeu a autoridade para executar essas Cláusulas-Padrão Contratuais Brasileiras para e em nome do Controlador Terceirizado. O Exportador firmará todos os documentos e tomará todas as medidas solicitadas com razoabilidade pela GoTo para demonstrar a conformidade com esta disposição.
c. Quando o Cliente e a GoTo são Controladores Independentes
i. A Cláusula 1.1 deve ser elaborada da seguinte forma:
Exportador (Controlador)
Nome: ver Contrato ou Formulário de Pedido
Qualificação: ver Contrato ou Formulário de Pedido
Endereço principal: ver Contrato ou Formulário de Pedido
Endereço de E-mail: ver Contrato ou Formulário de Pedido
Contato para o Titular dos Dados: ver Contrato ou Formulário de Pedido
Outras informações: N/D
E
Importador (Controlador)
Nome: GoTo Technologies USA LLC, em seu próprio nome e em nome de suas Afiliadas aplicáveis
Qualificação: 5984112 (DE)
Endereço principal: 333 Summer Street, 5th Floor, Boston, MA 02210
Endereço de e-mail: privacy@goto.com
Contato do Titular dos Dados: privacy@goto.com
Outras informações: A GoTo processa os Dados Pessoais dos quais é Controladora conforme sua política de privacidade, disponível em https://www.goto.com/company/legal/privacy
ii. A Cláusula 2.1 é elaborada da seguinte forma:
Finalidade da Transferência de Dados: consulte a Seção 2.1.2 d DPA.
Categorias de Dados Pessoais Transferidos: consulte o Esquema 1 (Detalhes do Processamento)
Período de Armazenamento de Dados: consulte as TOMs relevantes na Central de Confiança
Outras informações: N/D
iii. A Cláusula 3.1, Opção B, está incluída e é elaborada da seguinte forma:
Principais objetivos da transferência internacional de dados: consulte a Seção 2.1.2 do DPA.
Categorias de Dados Pessoais Transferidos: consulte o Esquema 1 (Detalhes do Processamento)
Período de Retenção dos Dados: pode variar dependendo da finalidade específica, mas somente pelo tempo necessário para os fins comerciais para os quais eles foram coletados ou para cumprir as nossas obrigações legais, solucionar controvérsias e fazer valer nossos contratos. Os dados pessoais processados no contexto de um contrato podem ser retidos por nós durante a vigência do contrato e por um período razoável após o término do contrato, conforme necessário para determinar e resolver quaisquer reivindicações relacionadas ou conforme exigido por lei. Quando o Processamento dos Dados Pessoais for baseado em interesses legítimos ou no cumprimento de obrigações legais, eles serão excluídos assim que a finalidade aplicável tiver expirado.
Outras informações: N/D
iv. Cláusulas 4.1 - 4.2 Opção A aplicável. A Cláusula 4.1 é elaborada da seguinte forma:

4.1. Sem prejuízo do dever de assistência mútua e das obrigações gerais das Partes, a Parte Designada abaixo será a principal responsável pelo cumprimento das seguintes obrigações estabelecidas nestas Cláusulas

a) Responsável pela publicação do documento previsto na Cláusula 14:

b) Responsável por responder às solicitações dos Titulares de Dados tratadas na Cláusula 15:

c) Responsável por notificar o incidente de segurança previsto na Cláusula 16:

v. As partes deverão preencher a Seção III a seguir: Consulte as TOMs relevantes na Central de Confiança.
vi. As partes deverão elaborar a Seção IV da seguinte forma: As partes concordam que as disposições de limitação de responsabilidade estabelecidas no Contrato controlarão a respectiva responsabilidade das partes entre si nos termos da Cláusula 17 dessas Cláusulas-Padrão Contratuais Brasileiras.
d. SCCs da UE. Após a Data de Vigência, se a ANPD aprovar o uso das SCCs da UE como um mecanismo de transferência para Transferências Restritas que estejam sujeitas à LGPD, as SCCs brasileiras deverão ser excluídas em sua totalidade e as SCCs da UE deverão ser aplicadas, estruturadas conforme especificado na Parte B abaixo, com as seguintes modificações: (a) todas as referências ao "Regulamento (UE) 2016/679" nas Cláusulas-Padrão Contratuais da UE devem ser interpretadas como referências à LGPD; (b) todas as referências a "UE", "União" e "Estado Membro" devem ser interpretadas como referências ao Brasil; e (c) todas as referências à "autoridade fiscalizadora competente" e "tribunais competentes" devem ser interpretadas como referências à ANPD e aos "tribunais brasileiros competentes", respectivamente.
B. GDPR PARA TRANSFERÊNCIAS DE DADOS TRANSFRONTEIRIÇAS
1. Escopo da Seção. Os termos e condições contidos neste Esquema 2, Parte B, aplicam-se apenas na medida em que os Dados Pessoais processados sob este Contrato pela GoTo estejam sujeitos ao GDPR
2. Conformidade com o GDPR. Cada parte deverá realizar suas atividades de Processamento de acordo com os requisitos do GDPR que se aplicam a elas.
3. Estrutura de Privacidade de Dados UE-EUA. Algumas entidades da GoTo certificaram sua conformidade com a Estrutura de Privacidade de Dados UE-EUA. As Transferências de Dados Transfronteiriças da UE para os Estados Unidos da América cobertas pelo escopo da certificação da GoTo são feitas de acordo com essa Estrutura.
4. Cláusulas-Padrão Contratuais da UE. Na medida em que (a) as Transferências de Dados Transfronteiriças de ou para a UE não estejam sujeitas à Estrutura de Privacidade de Dados UE-EUA e, de outra forma, constituam uma Transferência Restrita, ou (b) as Transferências de Dados Transfronteiriças para os Estados Unidos cobertas pela Estrutura de Privacidade de Dados UE-EUA se tornem Transferências Restritas porque (i) a Estrutura de Privacidade de Dados UE-EUA é invalidada posteriormente ou (ii) a participação da GoTo na Estrutura de Privacidade de Dados UE-EUA cessa por qualquer motivo, as SCCs da UE se aplicarão à Transferência de Dados Transfronteiriça em vigor. As SCCs da UE são incorporadas como referência a este DPA e devem ser estruturadas da seguinte forma:
a. Quando o Cliente é o Controlador dos Dados Pessoais e a GoTo é um Processador:
i. O Módulo Dois (Controlador para Processador) se aplica e os Módulos Um, Três e Quatro são excluídos em sua totalidade;
ii. A Cláusula 7 está incluída; desde que, no entanto, com relação ao Cliente, a entidade que aderir às SCCs seja uma Afiliada Autorizada;
iii. Aplica-se a Cláusula 9, Opção 2 (e as Partes deverão utilizar o processo detalhado na Seção 4.8 do DPA para cumprir a obrigação da GoTo de fornecer ao Cliente as informações necessárias para que ele possa exercer seu direito de objeção);
iv. A Cláusula 11 inclui a resolução independente e opcional de disputas. O órgão que a GoTo disponibiliza gratuitamente aos Titulares dos Dados é a TrustArc, uma empresa terceirizada de privacidade, em https://feedback-form.truste.com/watchdog/request;
v. Aplica-se a Cláusula 17, Opção 1. As SCCs da UE são regidas pela legislação irlandesa;
vi. Segundo a Cláusula 18(b), as disputas deverão ser resolvidas perante os tribunais da Irlanda; e
vii. os Anexos das SCCs da UE deverão ser preenchidos com as informações definidas no Esquema 2-1, que é incorporado como referência neste documento.
b. Quando o Cliente é um Processador de Dados Pessoais e a GoTo é um Subprocessador:
i. O Módulo Três (Processador para Subprocessador) se aplica e os Módulos Um, Dois e Quatro são excluídos em sua totalidade;
ii. A Cláusula 7 está incluída; desde que, no entanto, com relação ao Cliente, a entidade que aderir às SCCs da UE seja uma Afiliada Autorizada;
iii. Aplica-se a Cláusula 9, Opção 2 (conforme detalhado na Seção 5 deste DPA);
iv. A Cláusula 11 inclui o órgão de resolução independente e opcional de disputas. O órgão que a GoTo disponibiliza gratuitamente aos Titulares dos Dados é a TrustArc, uma empresa terceirizada de privacidade, em https://feedback-form.truste.com/watchdog/request;
v. Aplica-se a Cláusula 17, Opção 1, e as Cláusulas-Padrão Contratuais serão regidas pela legislação irlandesa;
vi. (vi) segundo a Cláusula 18(b), as disputas deverão ser resolvidas perante os tribunais da Irlanda; e
vii. (vii) os Anexos das SCCs da UE deverão ser preenchidos com as informações definidas no Esquema 2-1, que é incorporado como referência neste documento.
c. Quando o Cliente e a GoTo são Controladores Independentes de Dados Pessoais:
i. O Módulo Um (Controlador para Processador) se aplica e os Módulos Dois, Três e Quatro são excluídos em sua totalidade;
ii. A Cláusula 7 está incluída; desde que, no entanto, com relação ao Cliente, a entidade que aderir às SCCs da UE seja uma Afiliada ou Afiliada Autorizada aprovada pela GoTo;
iii. A Cláusula 11 está incluída. A GoTo disponibiliza aos Titulares dos Dados, sem custo, um órgão independente opcional de resolução de disputas por meio da TrustArc, uma empresa de privacidade terceirizada, em https://feedback-form.truste.com/watchdog/request;
iv. Aplica-se a Cláusula 17, Opção 1. As SCCs da UE deverão ser regidas pela legislação irlandesa;
v. Segundo a Cláusula 18(b), as disputas deverão ser resolvidas perante os tribunais da Irlanda; e
vi. Os Anexos das SCCs da UE deverão ser preenchidos com as informações definidas no Esquema 2-1, que é incorporado como referência neste documento.
C. TRANSFERÊNCIAS DE DADOS TRANSFRONTEIRIÇAS NO REINO UNIDO
1. Escopo da Seção. Os termos e condições contidos neste Esquema 2, Parte C, aplicam-se apenas na medida em que os Dados Pessoais processados sob este Contrato pela GoTo estejam sujeitos à Lei de Proteção de Dados do Reino Unido.
2. Conformidade com a Lei de Proteção de Dados do Reino Unido. Cada parte deverá realizar suas atividades de Processamento de acordo com os requisitos da Lei de Proteção de Dados do Reino Unido que se aplicam a elas.
3. Extensão do Reino Unido à Estrutura de Privacidade de Dados UE-EUA. Algumas entidades da GoTo certificaram sua conformidade com a Extensão do Reino Unido para a Estrutura de Privacidade de Dados UE-EUA. As Transferências de Dados Transfronteiriças do Reino Unido para os Estados Unidos da América cobertas pelo escopo da certificação da GoTo são feitas de acordo com essa Estrutura.
4. Adendo do Reino Unido. Na medida em que (a) as Transferências de Dados Transfronteiriças de ou para o Reino Unido não estejam sujeitas à Extensão do Reino Unido para a Estrutura de Privacidade de Dados UE-EUA e, de outra forma, constituam uma Transferência Restrita, ou (b) as Transferências de Dados Transfronteiriças para os Estados Unidos cobertas pela Extensão do Reino Unido para a Estrutura de Privacidade de Dados UE-EUA se tornem Transferências Restritas porque (i) a Extensão do Reino Unido para a Estrutura de Privacidade de Dados UE-EUA é invalidada posteriormente ou (ii) a participação da GoTo na Extensão do Reino Unido para a Estrutura de Privacidade de Dados UE-EUA cessa por qualquer motivo, o Adendo do Reino Unido se aplicará à Transferência de Dados Transfronteiriça em vigor. O Adendo do Reino Unido é incorporado como referência a este DPA, e as tabelas são preenchidas conforme estabelecido no Esquema 2-2.
D. TRANSFERÊNCIAS DE DADOS TRANSFRONTEIRIÇAS NA SUÍÇA
1. Escopo da Seção. Os termos e condições contidos neste Esquema 2, Parte D, aplicam-se apenas na medida em que os Dados Pessoais processados sob este Contrato pela GoTo estejam sujeitos à FADP da Suíça.
2. Conformidade com a FADP da Suíça. Cada parte deverá realizar suas atividades de Processamento de acordo com os requisitos da FADP da Suíça que se aplicam a elas.
3. Estrutura de Privacidade de Dados Suíça-EUA. Algumas entidades da GoTo certificaram sua conformidade com a Estrutura de Privacidade de Dados Suíça-EUA. As Transferências de Dados Transfronteiriças da Suíça para os Estados Unidos da América cobertas pelo escopo da certificação da GoTo são feitas de acordo com essa estrutura.
4. SCCs da UE. Na medida em que (a) as Transferências de Dados Transfronteiriças para ou da Suíça não estiverem sujeitas à Estrutura de Privacidade de Dados Suíça-EUA e constituírem uma Transferência Restrita, ou (b) as transferências para os Estados Unidos cobertas pela Estrutura de Privacidade de Dados Suíça-EUA se tornarem Transferências Restritas porque (i) a Estrutura de Privacidade de Dados Suíça-EUA for posteriormente invalidada, ou (ii) a participação da GoTo na Estrutura de Privacidade de Dados Suíça-EUA cessar por qualquer motivo, as Cláusulas-Padrão Contratuais da UE preenchidas como parte deste DPA se aplicarão à Transferência de Dados Transfronteiriça em vigor. As Cláusulas-Padrão Contratuais da UE deverão ser estruturadas conforme especificado na Parte B acima, com as seguintes modificações: (a) todas as referências ao "Regulamento (UE) 2016/679" nas Cláusulas-Padrão Contratuais da UE deverão ser interpretadas como referências à FADP da Suíça; (b) todas as referências a "UE", "União" e "Estado Membro" deverão ser interpretadas como referências à Suíça; e (c) todas as referências à "autoridade fiscalizadora competente" e aos "tribunais competentes" deverão ser interpretadas como referências ao "Comissariado Federal Suíço de Proteção de Dados e Informações" e aos "tribunais suíços competentes", respectivamente.

 

ESQUEMA 2-1 - ANEXOS DAS SCCs da UE

ANEXO I (MÓDULOS UM, DOIS E TRÊS)


A. LISTA DAS PARTES
Exportadores de dados:
1. Nome: ver o nome de pessoa jurídica do Cliente especificado no Contrato ou no Formulário de Pedido.
Endereço: ver o endereço do Cliente especificado no Contrato ou no Formulário de Pedido.
Detalhes de Contato: contato principal do Cliente, cargo e informações conforme identificado na documentação do pedido ou Formulário de Pedido relevante, conforme aplicável.
Atividades relevantes para os dados transferidos de acordo com essas Cláusulas: o Exportador de Dados adquire os Serviços do Importador de Dados nas áreas de colaboração e comunicação unificada baseada em nuvem, envolvimento do cliente e soluções de suporte.
Assinatura e data: o Exportador de Dados dá seu consentimento às SCCs da UE, incluindo os Anexos, por meio de sua assinatura do Contrato ou Formulário de Pedido, conforme aplicável. A data da assinatura é considerada a Data de Vigência
Função: a função do Exportador de Dados é a estabelecida na Seção 2 (Relacionamento das Partes) do DPA.

Importador de dados:
1. Nome: GoTo Technologies USA LLC, em seu próprio nome e em nome de suas Afiliadas aplicáveis
Endereço: c/o/ Legal Department, 333 Summer Street, 5th Floor, Boston, MA 02210
Dados de contato: privacy@goto.com.
Atividades relevantes para os dados transferidos de acordo com as essas Cláusulas: a GoTo disponibiliza um portfólio de soluções de colaboração e comunicações unificadas, engajamento e suporte ao cliente baseadas em nuvem. As atividades relevantes e/ou o objetivo e o objeto do Processamento de Dados Pessoais pela GoTo, como Processadora, é atender o Cliente e fornecer, dar suporte e operar o fornecimento dos Serviços.
Assinatura e data: O Importador de Dados dá seu consentimento às SCCs da UE, incluindo os Anexos, por meio de sua assinatura do Contrato ou Formulário de Pedido, conforme aplicável. A data da assinatura é considerada a Data de Vigência.
Função: a função do Importador de Dados é a estabelecida na Seção 2 (Relacionamento das Partes) do DPA.

B. DESCRIÇÃO DA TRANSFERÊNCIA
Categorias de titulares de dados cujos dados pessoais são transferidos: consulte as TOMs.
Categorias de dados pessoais transferidos: Consulte as TOMs relevantes na Central de Confiança.
Dados confidenciais: Consulte as TOMs relevantes na Central de Confiança.
A frequência da transferência: contínua durante o curso do Contrato até a expiração do período de retenção.
Natureza do processamento: Consulte as TOMs relevantes na Central de Confiança.
Finalidade(s) da transferência de dados e processamento posterior: Consulte as TOMs relevantes na Central de Confiança.
O período pelo qual os dados pessoais serão retidos: consulte as TOMs relevantes na Central de Confiança.
Para transferências para (sub) processadores, o assunto, a natureza e a duração do processamento são estabelecidos na Lista de Subprocessadores (consulte a Seção 4.8 e a respectiva Lista de Subprocessadores)
Divulgações do Processador na Central de Confiança).

C. AUTORIDADE SUPERVISORA COMPETENTE (MÓDULOS UM, DOIS E TRÊS)
Identifique a(s) autoridade(s) fiscalizadora(s) competente(s): o Information Commissioner da República da Irlanda é a Autoridade Fiscalizadora competente.

ANEXO II - MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS (MÓDULOS UM, DOIS E TRÊS)
Consulte as TOMs relevantes na Central de Confiança. O importador de dados poderá atualizar seu documento de segurança de tempos em tempos, desde que não haja degradação da segurança e/ou da privacidade dos serviços.

ANEXO III - LISTA DE SUBPROCESSADORES (MÓDULOS DOIS E TRÊS)
Consulte as Divulgações do Subprocessador relevantes na Central de Confiança.

 

ESQUEMA 2-2 - Adendo do Reino Unido

Tabela 1

Data de início Data de vigência
As Partes Exportador (que envia a Transferência Restrita) Importador (que recebe a Transferência Restrita)

Detalhes das Partes

 




Contato principal

Nome completo da pessoa jurídica: ver Contrato ou Formulário de Pedido
Nome comercial, se diferente
Endereço principal: ver Contrato ou Formulário de Pedido
Número de registro oficial:


Nome completo (opcional): N/A
Cargo: ver Contrato ou Formulário de Pedido
Detalhes de contato, incluindo e-mail: ver Contrato ou Formulário de Pedido
Nome completo de pessoa jurídica: GoTo Technologies USA, LLC em seu próprio nome e em nome de suas Afiliadas aplicáveis
Nome comercial, se diferente: N/A
Endereço principal: 333 Summer Street, 5th Floor, Boston, MA 02210
Número de registro oficial: 5984112 (DE)
Nome completo (opcional): N/A
Cargo: Equipe de Privacidade
Detalhes de contato, incluindo e-mail: privacy@goto.com
Assinatura (se necessário para os fins da Seção 2) A assinatura ou aceitação do Contrato ou de qualquer Formulário de Pedido pelo Cliente e pela GoTo constitui assinatura e aceitação do Adendo do Reino Unido. A assinatura ou aceitação do Contrato ou de qualquer Formulário de Pedido pelo Cliente e pela GoTo constitui assinatura e aceitação do Adendo do Reino Unido.

Tabela 2: SCCs, Módulos e Cláusulas Selecionadas

Adendo de SCCs da UE
Módulo Módulo em Operação Cláusula 7 (Cláusula de Adesão) Cláusula 11 (Opção) Cláusula 9a (Autorização Prévia ou Autorização Geral) Cláusula 9(a) - Período de Tempo Os dados pessoais recebidos do Importador são combinados com os dados pessoais coletados pelo Exportador?
1 Sim Sim Sim, a GoTo disponibiliza aos Titulares dos Dados, sem custo, um órgão independente opcional de resolução de disputas por meio da TrustArc, uma empresa de privacidade terceirizada, em https://feedback-form.truste.com/watchdog/request      
2 Sim Sim Sim, a GoTo disponibiliza aos Titulares dos Dados, sem custo, um órgão independente opcional de resolução de disputas por meio da TrustArc, uma empresa de privacidade terceirizada, em https://feedback-form.truste.com/watchdog/request Geral Consulte o DPA, Seção 8.2  
3 Sim Sim Sim, a GoTo disponibiliza aos Titulares dos Dados, sem custo, um órgão independente opcional de resolução de disputas por meio da TrustArc, uma empresa de privacidade terceirizada, em https://feedback-form.truste.com/watchdog/request Geral Consulte o DPA, Seção 8.2  
4 Não N/A N/A     N/A

Tabela 3: Informações do Apêndice
"Informações do Apêndice" significa as informações que devem ser providenciadas para os módulos selecionados, conforme estabelecido no Apêndice das SCCs da UE Aprovadas (que não sejam as Partes), e que, para este Adendo, estão definidas em:

Anexo 1A: Lista das Partes: Veja acima
Anexo 1B: Descrição da Transferência: Consulte Esquema 1 para o DPA
Anexo II: Medidas técnicas e organizacionais, incluindo aquelas para garantir a segurança dos dados: Consulte as TOMs relevantes na Central de Confiança
Anexo III: Lista de Subprocessadores (somente para os Módulos 2 e 3): Consulte as Divulgações do Subprocessador relevantes na Central de Confiança

Tabela 4: Encerramento deste Adendo quando o adendo aprovado for alterado

Encerramento deste Adendo quando o adendo aprovado for alterado As Partes podem rescindir este Adendo conforme estabelecido na Seção 19: