Legal Stuff

IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.

Última modificação: 1º de novembro de 2018

Este Acordo é fornecido apenas para sua conveniência. A versão em inglês deste Acordo terá precedência sobre outras, e em hipótese alguma a versão em português deverá ser interpretada para modificar a versão em inglês ou de outra forma reger o relacionamento entre as partes.

[Precisa de uma cópia assinada? Clique aqui.]

O presente Acordo de Tratamento de Dados da HubSpot (“ATD”) inclui as Cláusulas Contratuais Padrão adotadas pela Comissão Europeia, conforme aplicável, e reflete o acordo das partes em relação aos termos que regem o Tratamento de Dados Pessoais segundo os Termos de serviço ao cliente da HubSpot (“Contrato”). O presente ATD é uma alteração do Contrato e entra em vigor a partir de sua incorporação a ele, a qual poderá ser especificada no Contrato, em um Pedido ou em uma alteração firmada do Contrato. Na ocasião de sua incorporação ao Contrato, o ATD passará a integrar o Contrato.

Periodicamente atualizamos estes termos. Se você tiver uma assinatura ativa da HubSpot, informaremos sobre as atualizações por e-mail ou notificação no app. Você pode encontrar versões arquivadas dos termos aqui.

O termo do presente ATD acompanhará o termo do Contrato. Os termos não definidos de outra forma neste documento terão os mesmos significados definidos no Contrato.

1. Definições
2. Detalhes do Tratamento
3. Responsabilidade do Responsável
4. Obrigações do Operador
5. Solicitações de Titulares
6. Auditorias
7. Suboperadores
8. Transferências de dados
9. Disposições gerais
10. Partes deste ATD

ANEXO 1

Apêndice 1 das Cláusulas Contratuais Padrão

Apêndice 2 das Cláusulas Contratuais Padrão

A Página de Suboperadores da HubSpot localizada aqui, que inclui uma lista dos Suboperadores que usamos com relação ao fornecimento do Serviço de Assinatura.

1. Definições

“Responsável” é o termo usado para se referir à pessoa natural ou jurídica, de direito público ou privado, que, individual ou coletivamente, determina as finalidades e os meios do Tratamento de Dados Pessoais.

“Leis de Proteção de Dados” é o termo usado para se referir a toda legislação aplicável relacionada à proteção e privacidade de dados, incluindo, sem restrição, a Diretiva de Proteção de Dados da União Europeia 95/46/CE e todas as leis e regulamentos locais que alteram ou substituem qualquer uma delas, inclusive o GDPR, junto com qualquer outra lei nacional de qualquer Estado-Membro da União Europeia ou, até o limite aplicável, de qualquer outro país, conforme suas respectivas e eventuais alterações, revogações, consolidações ou substituições. Os termos “tratar”, “trata” e “tratado” serão interpretados neste contexto.

“Titular” é o termo usado para se referir à pessoa natural a quem os Dados Pessoais se referem.

“GDPR” é o termo usado para se referir ao General Data Protection Regulation (EU) 2016/679 (Regulamento Geral sobre a Proteção de Dados (UE) 2016/679, em português) do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas naturais em relação ao tratamento de dados pessoais e à livre circulação desses dados.

“Instrução” é o termo usado para se referir à instrução documentada por escrito e emitida pelo Responsável ao Operador instruindo-o a executar uma ação específica em relação aos Dados Pessoais (incluindo, sem restrição, anonimização, bloqueio, eliminação, disponibilização).

“Dados Pessoais” é o termo usado para se referir a qualquer informação relacionada a uma pessoa natural identificada ou identificável que esteja contida nos Dados do Cliente e seja protegida da mesma forma como dados pessoais ou informações de identificação pessoal segundo as Leis de Proteção de Dados aplicáveis.

“Violação de Dados Pessoais” é o termo usado para se referir a uma violação de segurança que cause, em caráter acidental ou ilegal, a destruição, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou tratados de outra forma.

“Tratamento” é o termo usado para se referir a qualquer operação ou conjunto de operações com Dados Pessoais, englobando a coleta, gravação, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou outra forma de disponibilização, correlação ou combinação, restrição ou eliminação de Dados Pessoais.

“Operador” é o termo usado para se referir à pessoa natural ou jurídica, de direito público ou privado, que trata os Dados Pessoais em nome do Responsável.

“Cláusulas Contratuais Padrão” é o termo usado para se referir às cláusulas anexas aqui como o Anexo 1, conforme a decisão da Comissão Europeia (C(2010)593) de 5 de fevereiro de 2010 sobre as Cláusulas Contratuais Padrão para a transferência de dados pessoais a operadores estabelecidos em países terceiros que não garantem um nível adequado de proteção a dados.

“Página de Suboperadores” é o termo usado para se referir à Página de Suboperadores da HubSpot disponível em https://legal.hubspot.com/sub-processors-page.

2. Detalhes do Tratamento

a. Categorias de Titulares. O Responsável poderá enviar Dados Pessoais ao Serviço de Assinatura, cuja extensão é determinada e controlada a exclusivo critério do Responsável, podendo incluir, sem restrições, os Contatos do Responsável e outros usuários finais, incluindo funcionários, prestadores de serviços, colaboradores, clientes, prospects, fornecedores e subcontratados do Responsável. Os Titulares também incluem pessoas naturais que tentam se comunicar com os usuários finais do Responsável ou transferir Dados Pessoais a eles.

b. Tipos de Dados Pessoais. Informações de Contato (conforme definido nos Termos de serviço ao cliente da HubSpot), cuja extensão é determinada e controlada a exclusivo critério do Cliente, e outros Dados Pessoais como dados de navegação (incluindo informações de uso de sites), dados de e-mail, dados de uso de sistemas, dados de integração de aplicativos e outros dados eletrônicos enviados, armazenados ou recebidos pelo Responsável ou pelos usuários finais do Responsável pelo Serviço de Assinatura.

c. Objeto e natureza do Tratamento. O objeto do Tratamento de Dados Pessoais pelo Operador é a prestação dos serviços ao Responsável que envolvam o Tratamento de Dados Pessoais. Os Dados Pessoais estarão sujeitos a estas operações de Tratamento conforme venha a ser especificado pelo Contrato e pelo Pedido.

d. Finalidade do Tratamento. Os Dados Pessoais serão Tratados para os fins da prestação dos serviços estabelecidos e de outra forma acordados no Contrato e em qualquer Pedido aplicável.

e. Duração do Tratamento. Os Dados Pessoais serão Tratados por toda a duração do Contrato, sujeitando-se à Seção 4 do presente ATD.

3. Responsabilidade do Responsável

Sob o escopo do Contrato e seu uso dos serviços, o Responsável será exclusivamente responsável por cumprir as exigências legais relacionadas à proteção e privacidade de dados, em particular, as que versarem sobre divulgação e transferência de Dados Pessoais ao Operador e sobre Tratamento de Dados Pessoais. Para que não restem dúvidas, as instruções do Responsável para o Tratamento de Dados Pessoais cumprirão as Leis de Proteção de Dados. O presente ATD é a instrução completa e definitiva do Cliente para a HubSpot em relação aos Dados Pessoais, e instruções adicionais fora do escopo do ATD requerem acordo prévio e por escrito entre as partes. Inicialmente, as instruções serão especificadas no Contrato e podem, eventualmente após isso, serem alteradas, ampliadas ou substituídas pelo Responsável em instruções por escrito em separado (como instruções individuais).

O Responsável informará ao Operador, em tempo hábil e de forma abrangente, eventuais erros ou irregularidades relacionadas às disposições legais sobre o Tratamento de Dados Pessoais.

4. Obrigações do Operador

a. Cumprimento das Instruções. As partes reconhecem e concordam que o Cliente é o Responsável pelos Dados Pessoais, e que a HubSpot é o Operador de tais dados. O Operador coletará, tratará e usará os Dados Pessoais apenas conforme o escopo das Instruções do Responsável. Se o Operador acreditar que uma Instrução do Responsável viola as Leis de Proteção de Dados, ele informará imediatamente essa suspeita ao Responsável. Se o Operador não puder tratar Dados Pessoais conforme as Instruções devido a uma exigência legal prevista em qualquer lei aplicável da União Europeia ou de algum Estado-Membro, o Operador (i) comunicará imediatamente o Responsável acerca de tal exigência legal antes do Tratamento pertinente, obedecendo ao limite permitido pelas Leis de Proteção de Dados; e (ii) interromperá todo o Tratamento (exceto o mero armazenamento e manutenção da segurança dos Dados Pessoais afetados), até o momento em que o Responsável emitir novas instruções que possam ser cumpridas pelo Operador. Caso a presente disposição seja invocada, o Operador não será responsabilizado perante o Responsável nos termos do Contrato por não prestar os serviços devidos até o momento em que o Responsável emitir novas instruções sobre o Tratamento.

b. Segurança. O Operador tomará as devidas medidas técnicas e organizacionais para proteger adequadamente os Dados Pessoais contra violações de segurança que causem, em caráter acidental ou ilegal, a destruição, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais, descritas no Apêndice 2 das Cláusulas Contratuais Padrão. Tais medidas incluem, sem restrição:

i. prevenção para que pessoas não autorizadas não tenham acesso aos sistemas de Tratamento de Dados Pessoais;

ii. prevenção para que sistemas de Tratamento de Dados Pessoais não sejam usados sem autorização;

iii. garantia de que pessoas designadas para usar um sistema de Tratamento de Dados Pessoais tenham acesso somente aos Dados Pessoais a que precisarem acessar de acordo com seus direitos de acesso, e de que, no curso do Tratamento ou uso e posterior armazenamento, os Dados Pessoais não possam ser lidos, copiados, modificados ou eliminados sem autorização;

iv. garantia de que os Dados Pessoais não possam ser lidos, copiados, modificados ou eliminados sem autorização durante transmissões eletrônicas, transporte ou armazenamento em mídias de armazenamento, e de que as entidades de destino de toda transferência de Dados Pessoais por meios de canais de transmissão de dados possam ser estabelecidas e verificadas;

v. garantia do estabelecimento de uma trilha de auditoria para documentar se e quem inseriu, modificou ou removeu Dados Pessoais dos sistemas de Tratamento de Dados Pessoais;

vi. garantia de que os Dados Pessoais sejam Tratados estritamente conforme as Instruções;

vii. garantia de que os Dados Pessoais sejam protegidos contra destruição ou perda acidental.

O Operador facilitará para o Responsável o cumprimento de suas obrigações de implementar medidas de segurança relacionadas a Dados Pessoais (incluindo, se aplicável, as obrigações do Responsável conforme os artigos 32 a 34 (inclusive) do GDPR), com: (i) a implementação e a manutenção das medidas de segurança descritas no Apêndice 2, (ii) o cumprimento dos termos da Seção 4.d. (Violações de Dados Pessoais); e (iii) o fornecimento ao Responsável de informações relacionadas ao Tratamento conforme a Seção 5 (Auditorias).

c. Confidencialidade. O Operador garantirá que todo o pessoal por ele autorizado a tratar os Dados Pessoais em seu nome estarão sujeitos a obrigações de confidencialidade em relação a esses Dados Pessoais. O dever de confidencialidade perdurará após o fim das atividades designadas acima.

d. Violações de Dados Pessoais. O Operador notificará prontamente o Responsável após ter ciência de qualquer Violação de Dados Pessoais. Mediante solicitação do Responsável, o Operador prestará prontamente toda a assistência razoável necessária para dar condições ao Responsável de comunicar Violações de Dados Pessoais relevantes às autoridades competentes e/ou aos Titulares afetados, caso o Responsável precise fazê-lo nos termos das Leis de Proteção de Dados.

e. Eliminação ou recuperação de Dados Pessoais. Ressalvadas as exigências impostas pelas Leis de Proteção de Dados, após a rescisão ou expiração do Contrato, o Operador eliminará ou devolverá todos os Dados Pessoais (inclusive cópias deles) tratados nos termos do presente ATD. Caso não possa eliminar Dados Pessoais por motivos técnicos ou de outras naturezas, o Operador tomará providências para garantir que os Dados Pessoais fiquem bloqueados de Tratamentos subsequentes.

O Responsável, na ocasião da rescisão ou expiração do Contrato, emitirá uma Instrução estipulando, dentro de um prazo definido pelo Operador, as medidas razoáveis para devolver os dados ou eliminar os dados que estão armazenados. Caberá ao Responsável arcar com todos os custos adicionais decorrentes da devolução ou eliminação de Dados Pessoais após a rescisão ou expiração do Contrato.

O Operador permitirá que o Responsável exclua Dados Pessoais de usuários finais usando a funcionalidade do Serviço de Assinatura.

f. Avaliações do impacto da proteção de dados e consultoria com autoridades de controle. Caso as informações necessárias estejam disponíveis para o Operador sem que o Responsável não tenha acesso a elas, o Operador prestará auxílio razoável ao Responsável com relação a quaisquer avaliações de impacto de proteção de dados, e com consultas anteriores com autoridades de controle ou outras autoridades de privacidade de dados competentes, que o Responsável considere razoavelmente necessário de acordo com o artigo 35 ou 36 do GDPR ou disposições equivalentes de qualquer outra Lei de Proteção de Dados, em cada caso, unicamente em relação ao tratamento de Dados Pessoais.

5. Solicitações de Titulares.

O Operador permitirá que o Responsável atenda a solicitações dos Titulares que exercem seus direitos previstos nas Leis de Proteção de Dados de forma coerente com a funcionalidade do Serviço de Assinatura. Caso o Responsável não tenha capacidade de atender à solicitação do Titular, mediante solicitação do Responsável, o Operador deverá prestar auxílio razoável ao Responsável para facilitar tal solicitação do Titular na medida do possível e somente conforme necessário pela Leis de Proteção de Dados aplicáveis. O Responsável reembolsará ao Operador os custos comercialmente razoáveis decorrentes do referido auxílio.

O Operador prestará auxílio razoável, incluindo as devidas medidas técnicas e organizacionais e considerando a natureza do Tratamento, para dar condições ao Responsável de responder a eventuais solicitações dos Titulares que buscarem exercer seus direitos previstos nas Leis de Proteção de Dados em relação a Dados Pessoais (incluindo acesso, retificação, restrição, eliminação ou portabilidade de Dados Pessoais, conforme o caso), obedecendo aos limites legais estabelecidos.  Se tal solicitação for feita diretamente ao Operador, este prontamente informará ao Responsável e recomendará aos Titulares que façam a solicitação ao Responsável. Caberá unicamente ao Responsável responder a eventuais solicitações feitas por Titulares.

6. Auditorias

O Operador deve, de acordo com as Leis de Proteção de Dados e como resposta a uma solicitação razoável por escrito do Responsável, disponibilizar ao Responsável tais informações sob a posse ou controle do Operador em relação à conformidade do Operador com as obrigações de operadores de dados de acordo com a Lei de Proteção de Dados relacionadas a esse Tratamento de Dados Pessoais.

O Responsável pode, mediante solicitação por escrito e notificação com pelo menos 30 dias de antecedência ao Responsável, durante o expediente normal e sem interromper as operações do Operador, conduzir uma inspeção de suas operações ou contratar um auditor terceirizado qualificado sujeito à aprovação do Operador para fazê-lo, o qual não deverá ser negado sem motivo razoável.

O Operador, mediante solicitação por escrito e notificação com pelo menos 30 dias de antecedência do Responsável, fornecerá ao Responsável todas as informações necessárias para tal auditoria, desde que tais informações estejam sob controle do Operador e não haja impedidos à divulgação de acordo com as leis aplicáveis, acordos de confidencialidade ou qualquer outra obrigação perante terceiros.

7. Suboperadores

a. Nomeação de suboperadores. O Responsável reconhece e concorda (a) com o envolvimento como Suboperadores de empresas afiliadas do Operador e de terceiros listados em nossa Página de Suboperadores; e (b) que o Operador e as empresas afiliadas do Operador, respectivamente, podem contratar Suboperadores terceirizados com relação à disposição do Serviço de Assinatura. Para que não restem dúvidas, a autorização acima constitui o consentimento prévio por escrito do Responsável para o Subtratamento por parte Operador para os fins da Cláusula 11 das Cláusulas Contratuais Padrão.

Ao contratar Suboperadores, o Operador celebrará com eles um contrato que imporá aos Suboperadores as mesmas obrigações que se aplicam ao Operador nos termos do presente ATD. Caso o Suboperador descumpra suas obrigações de proteção de dados, o Operador continuará sendo responsável pelo cumprimento das obrigações de tais Suboperadores.

Nos casos em que um Suboperador for contratado, o Responsável deverá ter o direito de monitorar e inspecionar as atividades do Suboperador de acordo com os termos do presente ATD e das Leis de Proteção de Dados, inclusive para obter informações do Operador, mediante solicitação por escrito, sobre a materialidade do contrato e implementação das obrigações de proteção de dados no contrato de Subtratamento, inspecionando, quando necessário, os documentos contratuais pertinentes.

As disposições desta Seção 6 serão mutuamente aplicáveis se o Operador contratar um Suboperador em um país fora do Espaço Econômico Europeu (“EEE”) não reconhecido pela Comissão Europeia como um país que ofereça um nível adequado de proteção a dados pessoais.  Se, no cumprimento do presente ATD, a HubSpot transferir quaisquer Dados Pessoais a um Suboperador localizado fora do EEE, a HubSpot, antes de tal transferência, garantirá que haja um mecanismo lícito em funcionamento para alcançar o nível de adequação de tal tratamento.

b. Lista atual de Processador e notificação ou objeção a novos Suboperadores. Caso o Operador pretenda instruir Suboperadores além das empresas constantes da Página de Suboperadores, ele comunicará tal pretensão ao Responsável atualizando a Página de Suboperadores e dará ao Responsável a oportunidade de se opor à contratação dos novos Suboperadores no prazo de 30 dias após a comunicação. A oposição deverá ter justificativa razoável. Se o Operador e o Responsável não chegarem a um acordo quanto a tal oposição, qualquer uma das partes poderá rescindir o Contrato mediante notificação por escrito à outra parte. O Responsável receberá um reembolso de eventuais tarifas pagas antecipadamente, mas não utilizadas, referentes ao período após a data de rescisão. Se o Responsável desejar receber uma notificação por e-mail quando atualizarmos a Página de Suboperadores, preencha o formulário localizado aqui.

8. Transferências de dados

O Responsável reconhece e garante que, em relação à prestação dos serviços nos termos do Contrato, os Dados Pessoais serão transferidos à HubSpot, Inc. nos Estados Unidos. O Operador poderá acessar e realizar o Tratamento de Dados Pessoais de forma global, conforme seja necessário para prestar o Serviço de Assinatura, de acordo com os Termos de serviço ao cliente da HubSpot.

A HubSpot, Inc. tem certificações de sua conformidade com as Estruturas do Escudo de Privacidade da UE-EUA e Suíça-EUA determinadas pelo Departamento do Comércio dos Estados Unidos, a fim de implementar as proteções adequadas para tais transferências conforme o artigo 46 do GDPR. As Cláusulas Contratuais Padrão no Anexo 1 se aplicarão em relação aos Dados Pessoais que forem transferidos fora do EEE, seja por transferência direta ou subsequente, para qualquer país não reconhecido pela Comissão Europeia como um país que ofereça um nível adequado de proteção a dados pessoais (conforme descrito nas Leis de Proteção de Dados).

Como o Responsável ou o Operador se baseiam em um mecanismo legal específico que regula transferências internacionais de dados, se tal mecanismo vier a ser revogado ou declarado inválido por um juízo competente, o Responsável e o Operador concordarão em cooperar em boa-fé para providenciar um mecanismo alternativo adequado capaz de respaldar a transferência de forma lícita.

9. Disposições gerais

Em relação a atualizações e alterações deste ATD, os termos da seção “Emenda; Renúncia” da cláusula “Diversos” do Contrato se aplicarão.

Em caso de eventuais conflitos, o presente ATD prevalecerá sobre as disposições do Contrato. Caso disposições individuais do presente ATD sejam inválidas ou inexequíveis, a validade e a exequibilidade das demais disposições do presente ATD não serão afetadas.

Na incorporação do presente ATD ao Contrato, as partes indicadas na Seção 7 abaixo (Partes deste ATD) concordam com as Cláusulas Contratuais Padrão (nos casos em que forem aplicáveis) e com todos os apêndices anexos a elas. Em caso de eventuais conflitos ou incoerências entre o presente ATD e as Cláusulas Contratuais Padrão do Anexo 1, as Cláusulas Contratuais Padrão prevalecerão, desde que: (a) o Responsável possa exercer seu direito de auditoria de acordo com a cláusula 5(f) das Cláusulas Contratuais Padrão conforme determinado e sujeito aos requisitos da seção 5 deste ATD; e (b) o Operador possa nomear Suboperadores conforme determinado e sujeito aos requisitos da seção 4 e da seção 6 deste ATD.

10. Partes deste ATD

O presente ATD altera e faz parte do Contrato.  Na ocasião da incorporação do presente ATD ao Contrato (i) o Responsável e a pessoa jurídica da HubSpot são partes independentes do Contrato e partes independentes do presente ATD, e (ii) embora a HubSpot Inc. não seja parte do Contrato, a HubSpot, Inc. é uma parte do presente ATD, mas somente no que tange ao acordo com as Cláusulas Contratuais Padrão do ATD, a esta Seção 7 do ATD e as Cláusulas Contratuais Padrão em si.

Se a HubSpot, Inc. não é uma parte do Contrato, a seção do Contrato intitulada “Limitação de responsabilidade” será aplicada entre o Responsável e a HubSpot, Inc., e, neste sentido, toda referência a “HubSpot”, “nós”, “nos” ou “nosso” incluirá tanto a HubSpot, Inc. quanto a pessoa jurídica da HubSpot que seja parte do Contrato.

A pessoa jurídica que anuir ao presente ATD na qualidade de Responsável declara ter autorização para aceitá-lo e celebrá-lo e que concorda com o presente ATD apenas em seu nome.

ANEXO 1 – CLÁUSULAS CONTRATUAIS PADRÃO

Para efeitos do Artigo 26(2) da Diretiva 95/46/CE para a transferência de dados pessoais a operadores estabelecidos em países terceiros que não garantem um nível adequado de proteção a dados,

O Cliente, conforme definido nos Termos de serviço ao cliente da HubSpot (o “exportador de dados”)

E

a HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141 (o “importador de dados”),

sendo cada um uma “parte”, e juntos, “partes”,

CONCORDAM com as seguintes Cláusulas Contratuais (as Cláusulas) a fim de aduzir proteções adequadas à proteção da privacidade e de direitos e liberdades fundamentais de pessoas naturais relacionados à transferência dos dados pessoais especificados no Apêndice 1 entre o exportador de dados e o importador de dados.

Cláusula 1ª

Definições

Para os fins das Cláusulas:

“dados pessoais”, “categorias especiais de dados”, “tratar/tratamento”, “responsável”, “operador”, “titular” e “autoridade de controle” terão o significado que têm na Diretiva 95/46/EC do Parlamento Europeu e do Conselho de 24 de outubro de 1995 sobre a proteção de pessoas naturais em relação ao tratamento de dados pessoais e à livre circulação desses dados;

“exportador de dados” é o termo usado para se referir ao responsável que transfere os dados pessoais;

“importador de dados” é o termo usado para se referir ao operador que concorda em receber dados pessoais do exportador de dados para tratá-los em nome dele após a transferência, de acordo com suas instruções e com os termos das Cláusulas, e que não está sujeito ao sistemas de um país terceiro, garantindo a adequada proteção conforme definição do Artigo 25(1) da Diretiva 95/46/EC;

“suboperador” é o termo usado para se referir a qualquer operador contratado pelo importador de dados ou por qualquer outro suboperador do importador de dados que concorda em receber do importador de dados, ou de qualquer outro suboperador do importador dados, dados pessoais exclusivamente para que atividades de tratamento sejam executadas em nome do exportador de dados após a transferência, de acordo com suas instruções, com os termos das Cláusulas e com os termos de subcontratos por escrito;

“leis aplicáveis de proteção de dados” é o termo usado para se referir às legislações que protegem os direitos e as liberdades fundamentais de pessoas naturais, em particular, o direito à privacidade em relação ao tratamento de dados pessoais aplicáveis a um operador de dados no Estado-Membro que o exportador de dados esteja estabelecido;

“medidas técnicas e organizacionais de segurança” é o termo usado para se referir às medidas destinadas à proteção de dados pessoais contra destruição acidental ou ilegal, contra perda, alteração, divulgação ou acesso não autorizados em caráter acidental, em particular, quando o tratamento envolver a transmissão de dados por rede, e contra todas as outras formas de tratamento ilegal.

Cláusula 2ª

Detalhes da transferência

Os detalhes da transferência e, em particular, as categorias especiais de dados pessoais quando for o caso, estão especificados no Apêndice 1, que é parte integrante das Cláusulas.

Cláusula 3ª

Cláusula de terceiros beneficiários

1. O titular, na qualidade de terceiro beneficiário, pode fazer valer, em face do exportador de dados: esta Cláusula, a Cláusula 4(b) a (i), a Cláusula 5(a) a (e), e de (g) a (j), a Cláusula 6(1) e (2), a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12.
2. O titular pode fazer valer em face do importador de dados esta Cláusula, a Cláusula 5(a) a (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12 nos casos em que o exportador de dados tenha efetivamente desaparecido ou deixado de existir juridicamente, salvo se uma eventual entidade sucessora tiver assumido todas as obrigações jurídicas do exportador de dados por contrato ou por força de lei, assumindo, portanto, os direitos e obrigações do exportador de dados, caso no qual o titular pode fazer valer tais cláusulas em face de tal entidade sucessora.
3. O titular pode fazer valer em face do suboperador esta Cláusula, a Cláusula 5(a) a (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12 nos casos em que tanto o exportador de dados quanto o importador de dados tenham efetivamente desaparecido, deixado de existir juridicamente ou se tornado insolventes, salvo se uma eventual entidade sucessora tiver assumido todas as obrigações jurídicas do exportador de dados por contrato ou por força de lei, assumindo, portanto, os direitos e obrigações do exportador de dados, caso no qual o titular pode fazer valer tais cláusulas em face de tal entidade sucessora. Essa responsabilidade perante terceiros do suboperador ficará limitada às suas próprias atividades de tratamento nos termos das Cláusulas.
4. As partes não se opõem a um titular ser representado por uma associação ou outro órgão se a legislação nacional permitir e se o titular declarar expressamente que esta é sua vontade.

Cláusula 4ª

Obrigações do exportador de dados

O exportador de dados declara e garante:

(a) que o tratamento dos dados pessoais, incluindo a própria transferência deles, tenha ocorrido e que continuará ocorrendo de acordo com as disposições pertinentes das leis aplicáveis de proteção de dados (e, quando for o caso, que foi comunicado às autoridades competentes do Estado-Membro em que o exportador de dados está estabelecido) e que tal tratamento, incluindo a própria transferência, não violam as disposições pertinentes de tal Estado;

(b) que instruiu e instruirá, ao longo de toda a duração dos serviços de tratamento de dados pessoais, o importador de dados a tratar os dados pessoais transferidos somente em nome do exportador de dados e de acordo com as leis aplicáveis de proteção de dados e as Cláusulas;

(c) que o importador de dados fornecerá garantias suficientes em relação às medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 do presente contrato;

(d) que após avaliar as exigências das leis aplicáveis de proteção de dados, as medidas de segurança são adequadas para a proteção de dados pessoais contra destruição acidental ou ilegal, contra perda, alteração, divulgação ou acesso não autorizados em caráter acidental, em particular, quando o tratamento envolver a transmissão de dados por rede, e contra todas as outras formas de tratamento ilegal, e que tais medidas garantem um nível de segurança adequado aos riscos apresentados pelo tratamento e pela natureza dos dados a serem protegidos, considerando o estado da arte e o custo da implementação de tais medidas.

(e) que garantirá o cumprimento de tais medidas de segurança;

(f) que, se a transferência envolver categorias especiais de dados, o titular foi ou será informado antes ou assim que possível após a transferência de que seus dados poderiam ser transmitidos a um país terceiro que não oferece a proteção adequada a dados nos termos da Diretiva 95/46/EC;

(g) encaminhar eventuais notificações provenientes do importador de dados ou de qualquer suboperador conforme a Cláusula 5(b) e a Cláusula 8(3) à autoridade de controle de proteção de dados caso o exportador de dados decida continuar a transferência ou retirar a suspensão;

(h) disponibilizar, mediante solicitação dos titulares, uma cópia das Cláusulas, com exceção do Apêndice 2, e uma breve descrição das medidas de segurança, bem como uma cópia de qualquer contrato para serviços de subtratamento que deva ser feito de acordo com as Cláusulas, salvo se as Cláusulas ou o contrato contiverem informações comerciais, caso no qual tais informações comerciais poderão ser removidas;

(i) que, no caso de subtratamento, a atividade de tratamento seja desempenhada de acordo com a Cláusula 11 por um suboperador que ofereça, no mínimo, o mesmo nível de proteção a dados pessoais e os mesmos direitos de titulares que o importador de dados nos termos das Cláusulas; e

(j) que cumprirá a Cláusula 4(a) a (i).

Cláusula 5ª

Obrigações do importador de dados

O importador de dados declara e garante:

(a) tratar os dados pessoais em nome do exportador de dados e de acordo com as instruções dele e com as Cláusulas; se, por algum motivo, tal conformidade não for possível, o importador de dados concorda em notificar prontamente o exportador de dados acerca de tal impossibilidade, caso no qual o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;

(b) que não tem motivos para acreditar que a legislação aplicável a si o impeça de cumprir as instruções passadas pelo exportador de dados e suas obrigações previstas no contrato, e que, no caso de mudanças em tal legislação que tenham potencial para prejudicar as obrigações e garantias previstas pelas Cláusulas, o importador de dados prontamente notificará o exportador de dados assim que tomar ciência de tais mudanças, caso no qual o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;

(c) que implementou as medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 antes de tratar os dados pessoais transferidos;

(d) que comunicará prontamente o exportador de dados sobre:

(i) qualquer solicitação legalmente vinculante para divulgar dados pessoais feita por uma autoridade policial ou de fiscalização, salvo se não houver uma proibição que o impeça de fazer tal comunicação, como uma proibição na legislação penal para preservar a confidencialidade de uma investigação policial ou investigação;

(ii) qualquer acesso acidental ou não autorizado; e

(iii) qualquer solicitação recebida diretamente dos titulares, sem ter respondido a tal solicitação, salvo se houver autorização em contrário para fazê-lo;

(e) atender pronta e devidamente a todos os contatos do exportador de dados em relação ao tratamento de seus dados pessoais, sujeitando-se a transferir e a cumprir as orientações da autoridade de controle em relação ao tratamento dos dados transferidos;

(f) mediante solicitação do exportador de dados, submeter suas instalações de tratamento de dados a auditorias das atividades de tratamento cobertas pelas Cláusulas, que poderão ser conduzidas pelo exportador de dados ou por um órgão de inspeção composto por profissionais independentes devidamente qualificados e com a obrigação de confidencialidade, conforme a seleção pelo exportador de dados, quando aplicável, de acordo com a autoridade de controle;

(g) disponibilizar, mediante solicitação do titular, uma cópia das Cláusulas ou uma cópia de qualquer contrato para serviços de subtratamento, salvo se as Cláusulas ou o contrato contiverem informações comerciais, caso no qual tais informações comerciais poderão ser removidas, com a exceção do Apêndice 2, que será substituído por uma breve descrição das medidas de segurança nos casos em que o titular não conseguir obter uma cópia com o exportador de dados;

(h) que, no caso de subtratamento, já informou previamente ao exportador de dados e obteve seu consentimento prévio por escrito;

(i) que os serviços de tratamento por parte do suboperador serão prestados de acordo com a Cláusula 11;

(j) enviar prontamente ao exportador de dados uma cópia de qualquer contrato com suboperador que for firmado nos termos das Cláusulas.

Cláusula 6ª

Responsabilidade

1. As partes concordam que qualquer titular que sofrer danos em decorrência da violação das obrigações mencionadas na Cláusula 3 ou na Cláusula 11 por qualquer parte ou por um suboperador tem direito a receber indenização do exportador de dados pelos danos sofridos.
2. Se um titular não puder ajuizar uma ação indenizatória nos termos do parágrafo 1 em face do exportador de dados em decorrência de uma violação de qualquer das obrigações previstas na Cláusula 3 ou na Cláusula 11 por parte do importador de dados ou de seu suboperador, porque o exportador de dados efetivamente desapareceu, deixou de existir juridicamente ou se tornou insolvente, o importador de dados concorda que o titular poderá ajuizar uma ação em face do importador de dados como se ele fosse o exportador de dados, salvo se uma eventual entidade sucessora tiver assumido todas as obrigações jurídicas do exportador de dados por contrato ou por força de lei, caso no qual o titular poderá fazer valer seus direitos em face de tal entidade sucessora. O importador de dados não poderá se basear na violação de suas obrigações por parte de um suboperador para se esquivar de suas próprias responsabilidades.
3. Se um titular não puder ajuizar uma ação em face do exportador de dados ou do importador de dados nos termos dos parágrafos 1 e 2 em decorrência de uma violação por parte deles de qualquer das obrigações previstas na Cláusula 3 ou na Cláusula 11, porque tanto o exportador de dados quanto o importador de dados efetivamente desapareceram, deixaram de existir juridicamente ou se tornaram insolventes, o suboperador concorda que o titular poderá ajuizar uma ação em face do suboperador de dados em relação às suas próprias atividades de tratamento previstas nas Cláusulas como se ele fosse o exportador de dados ou o importador de dados, salvo se uma eventual entidade sucessora tiver assumido todas as obrigações jurídicas do exportador de dados ou do importador de dados por contrato ou por força de lei, caso no qual o titular poderá fazer valer seus direitos em face de tal entidade sucessora. A responsabilidade do suboperador ficará limitada às suas próprias atividades de tratamento nos termos das Cláusulas.

Cláusula 7ª

Mediação e jurisdição

1. O importador de dados concorda que se o titular invocar contra ele os direitos de terceiros beneficiários e/ou ajuizar ações indenizatórias nos termos das Cláusulas, o importador de dados aceitará a decisão do titular para:
   (a) submeter a controvérsia a mediação por uma parte externa à relação ou, quando aplicável, pela autoridade de controle;
   (b) submeter a controvérsia a tribunais do Estado-Membro onde o exportador de dados está estabelecido.
2. As partes concordam que a opção escolhida pelo titular não prejudicará seus direitos materiais ou processuais de buscar remédios jurídicos previstos em outras disposições ou na legislação internacional.

Cláusula 8ª

Cooperação com autoridades de controle

1. O exportador de dados concorda em entregar uma cópia deste contrato à autoridade de controle se assim for solicitado ou se tal entrega for exigida pelas leis aplicáveis de proteção de dados.
2. As partes concordam que a autoridade de controle tem o direito de conduzir uma auditoria no importador de dados e em qualquer suboperador que tenha o mesmo escopo e esteja sujeito às mesmas condições que se aplicariam a uma auditoria do exportador de dados nos termos das leis aplicáveis de proteção de dados.
3. O importador de dados prontamente comunicará ao exportador de dados sobre a existência de legislação aplicável a si ou a qualquer suboperador que impeça a condução de uma auditoria do importador de dados ou de qualquer suboperador nos termos do parágrafo 2. Neste caso, o exportador de dados terá direito a agir conforme previsto na Cláusula 5(b).

Cláusula 9ª

Lei regente

As Cláusulas serão regidas pelas leis do Estado-Membro onde o exportador de dados está estabelecido.

Cláusula 10

Alteração do contrato

As partes se comprometem a não alterar ou modificar as Cláusulas. Isso não impede as partes de adicionar cláusulas que versem sobre assuntos comerciais quando necessário, desde que tais cláusulas adicionais não sejam conflitantes com as Cláusulas.

Cláusula 11

Subtratamento

1. O importador de dados não subcontratará nenhuma de suas atividades de tratamento executadas em nome do exportador de dados nos termos das Cláusulas sem o consentimento prévio por escrito do exportador de dados. Caso o importador de dados subcontrate suas obrigações nos termos das Cláusulas, com o consentimento do exportador de dados, o importador de dados o fará somente por meio de um contrato por escrito com o suboperador, impondo a ele as mesmas obrigações a que o importador de dados assumiu conforme as Cláusulas. Caso o Suboperador descumpra suas obrigações de proteção de dados previstas em tal contrato por escrito, o importador de dados continuará sendo plenamente responsável perante o exportador de dados pelo cumprimento das obrigações do suboperador nos termos de tal contrato.
2. O contrato prévio por escrito entre o importador de dados e o suboperador também conterá uma cláusula de terceiros beneficiários conforme estabelecido na Cláusula 3 para os casos em que o titular não puder ajuizar a ação indenizatória mencionada no parágrafo 1 da Cláusula 6 em face do exportador de dados ou do importador de dados, porque eles efetivamente desapareceram, deixaram de existir juridicamente ou se tornaram insolventes e nenhuma entidade sucessora assumiu todas as obrigações jurídicas do exportador de dados ou do importador de dados por contrato ou por força de lei. Essa responsabilidade perante terceiros do suboperador ficará limitada às suas próprias atividades de tratamento nos termos das Cláusulas.
3. As disposições relacionadas aos aspectos de proteção de dados para o subtratamento do contrato mencionado no parágrafo 1 serão regidas pelas leis do Estado-Membro onde o exportador de dados está estabelecido.
4. O exportador de dados manterá uma lista de contratos de subtratamento firmados conforme as Cláusulas e comunicados pelo importador de dados conforme a Cláusula 5(j), atualizando-a ao menos uma vez por ano. A lista ficará disponível à autoridade de controle de proteção de dados do exportador de dados.

Cláusula 12

Obrigação após o término dos serviços de tratamento de dados pessoais

1. As partes concordam que, na ocasião do término dos serviços de tratamento de dados pessoais, o importador de dados e o suboperador, por opção do exportador de dados, devolverão todos os dados pessoais transferidos e suas respectivas cópias ao exportador de dados ou destruirá todos os dados pessoais e certificará ao exportador de dados que assim o fez, salvo se a legislação imposta ao importador de dados o impedir de devolver ou destruir, no todo ou em parte, os dados pessoais transferidos. Nesse caso, o importador de dados garante que manterá a confidencialidade dos dados pessoais transferidos e não mais os tratará de forma ativa.
2. O importador de dados e o suboperador garantem que, mediante solicitação do exportador de dados e/ou da autoridade de controle, submeterá suas instalações de tratamento de dados a uma auditoria das medidas mencionadas no parágrafo 1.

Este Apêndice faz parte das Cláusulas. Os Estados-Membros podem complementar ou especificar, de acordo com procedimentos nacionais, quaisquer informações adicionais que precisem estar no presente Apêndice.

A. Exportador de dados

O exportador de dados é o Cliente, conforme definido nos Termos de serviço ao cliente da HubSpot (“Contrato”).

O importador de dados é a HubSpot, Inc., fornecedora global de software de inbound marketing e vendas.

C. Titulares

As categorias dos titulares estão estabelecidas na Seção 2 do Acordo de Tratamento de Dados ao qual as Cláusulas estão anexadas.

D. Categorias de dados

As categorias de dados pessoais estão estabelecidas na Seção 2 do Acordo de Tratamento de Dados ao qual as Cláusulas estão anexadas.

As partes não preveem a transferência de categorias especiais de dados.

As operações de tratamento estão estabelecidas na Seção 2 do Acordo de Tratamento de Dados ao qual as Cláusulas estão anexadas.

Apêndice 2 – Medidas técnicas e de segurança organizacional

Este Apêndice faz parte das Cláusulas.

Descrição das medidas técnicas e organizacionais de segurança implementadas pelo importador de dados conforme as Cláusulas 4(d) e 5(c) (ou documento/legislação anexa:

No momento, a HubSpot segue as práticas de segurança descritas no presente Apêndice 2. Não obstante alguma disposição em contrário acordada com o exportador de dados, a HubSpot poderá modificar ou atualizar essas práticas a seu exclusivo critério, desde que tal modificação e atualização não gere um prejuízo material à proteção oferecida a tais práticas. Todos os termos em maiúsculas não definidos de outra forma neste documento terão os mesmos significados definidos no Contrato.

a) Controle de acesso

i) Impedimento ao acesso não autorizado ao produto

Tratamento terceirizado: A HubSpot hospeda seu Serviço com fornecededores de infraestrutura em nuvem terceirizados. Além disso, a HubSpot mantém relacionamentos contratuais com fornecedores a fim de prestar o Serviço de acordo com o Acordo de Tratamento de Dados. A HubSpot confia nos pactos contratuais, nas políticas de privacidade e nos programas de conformidade de seus fornecedores para proteger os dados tratados ou armazenados por eles.

Segurança física e ambiental: A HubSpot hospeda a infraestrutura de seu produto com fornecedores de infraestrutura de multilocação terceirizados. Os controles físicos e ambientais de segurança são auditados quanto ao cumprimento dos padrões SOC 2 Tipo II e ISO 27001, entre outras certificações.

Autenticação: A HubSpot implementou uma política uniforme de senhas para os produtos de seus clientes. Os clientes que interagem com os produtos via a interface de usuário devem passar por autenticação antes de acessar dados de clientes que não são públicos.

Autorização: Os dados do Cliente são armazenados em sistemas de armazenamento de multilocação acessíveis aos Clientes somente por meio de interfaces de usuários de aplicativos e interfaces de programação de aplicativos. Os Clientes não têm acesso direto à infraestrutura de aplicativos subjacente. O modelo de autorização de cada um dos produtos da HubSpot é projetado para garantir que somente pessoas devidamente autorizadas consigam acessar recursos, visualizações e opções de personalização pertinentes. A autorização a conjuntos de dados é feita pela validação das permissões do usuário de acordo com os atributos associados a cada conjunto de dados.

Acesso por Interfaces de Programação de Aplicativos (API): As APIs públicas de produtos podem ser acessadas por uma chave de API ou por autorização com protocolo Oauth.

A HubSpot implementa controles de acesso e recursos de detecção que são padrão da indústria para as redes internas que atendem a seus produtos.

Controles de acesso: Os mecanismos de controle de acesso a redes são projetos para impedir que tráfego de rede com protocolos não autorizados alcance a infraestrutura dos produtos. As medidas técnicas implementadas variam conforme os fornecedores de infraestrutura e incluem implementações de Nuvem Privada Virtual (VPC, na sigla em inglês), atribuições de grupos de segurança e regras de firewall tradicionais.

Detecção e prevenção de intrusões: A HubSpot implementou uma solução de Firewall de Aplicativo Web (WAF, na sigla em inglês) para proteger sites hospedados de clientes e outras aplicativos acessíveis pela Internet. O WAF é projetado para identificar e prevenir ataques contra serviços de rede disponíveis publicamente.

Análise de código estático: Análises de segurança de códigos armazenados nos repositórios de código-fonte da HubSpot são feitas para verificar as melhores práticas de programação e falhas identificáveis em software.

Teste de penetração: A HubSpot mantém relacionamentos com prestadores de serviços de testes de penetração de renome na indústria para a realização de quatro testes de penetração por ano. O objetivo dos testes de penetração é identificar e resolver vetores previsíveis de ataque e potenciais cenários de abuso.

Programa de caça a bugs: Um programa de caça a bugs convida e incentiva pesquisadores independentes de segurança a descobrir e revelar, de forma ética, as falhas de segurança. A HubSpot implementou um programa de caça a bugs a fim de ampliar as oportunidades de engajamento com a comunidade de segurança e de melhorar as defesas dos produtos contra ataques sofisticados.

iii) Limitações de privilégios e requisitos de autorização

Acesso a produtos: Um subgrupo de funcionários da HubSpot tem acesso aos produtos e dados de clientes por meio de interfaces controladas. Os objetivos do acesso a um subgrupo de funcionários é a prestação de um suporte ao cliente eficaz, a solução de possíveis problemas, a detecção e a resposta a incidentes de segurança e a implementação da segurança de dados. O acesso é permitido por solicitações “just in time”; todas essas solicitações ficam registradas. Os funcionários têm acesso de acordo com suas funções, e análises de concessões de privilégios de alto risco são feitas diariamente. As funções dos funcionários são analisadas pelo menos uma vez a cada seis meses.

Verificações de histórico profissional: Todos os funcionários da HubSpot passam por uma verificação independente do histórico profissional antes de avançarem em uma proposta de trabalho, de acordo com as leis aplicáveis. Todos os funcionários são obrigados a se comportar conforme as diretrizes da empresa, exigências de confidencialidade e padrões éticos.

Em trânsito: A HubSpot disponibiliza criptografia HTTPS (também chamada de SSL ou TLS) em todas as suas interfaces de login e gratuitamente em todos sites de clientes hospedados nos produtos da HubSpot. A implementação HTTPS da HubSpot usa algoritmos e certificados que são padrão na indústria.

Em repouso: A HubSpot armazena as senhas dos usuários de acordo com políticas que seguem práticas de segurança que são padrão na indústria.  A HubSpot implementou tecnologias para garantir que os dados armazenados fiquem criptografados quando estiverem em repouso. 

Detecção: A HubSpot projetou sua infraestrutura para registrar vastas informações sobre comportamento do sistema, tráfego recebido, autenticação do sistema e outras solicitações de aplicativos. Os sistemas internos agregam dados de registro e alertam determinados funcionários sobre atividades mal-intencionadas, não intencionais ou anômalas. O pessoal da HubSpot, incluindo as equipes de segurança, de operações e de suporte, respondem a incidentes conhecidos.

Resposta e rastreamento: A HubSpot mantém um registro de incidentes conhecidos de segurança com descrição, datas e horários das atividades relevantes, e a descrição dos incidentes. Incidentes de segurança suspeitos e confirmados são investigados pelas equipes segurança, de operações ou de suporte. As devidas etapas de solução são identificadas e documentadas. No caso de incidentes confirmados, a HubSpot tomará as providências adequadas para minimizar os dados sobre os produtos e sobre o Cliente ou divulgações de dados não autorizadas.

Comunicação: Ao tomar ciência de acesso ilegal a dados do Cliente que estejam armazenados em seus produtos, a HubSpot: 1) comunicará o incidente aos Clientes afetados; 2) apresentará uma descrição das providências que a HubSpot está tomando para solucionar o incidente; e 3) manterá o contato do Cliente informado sobre a situação, conforme a HubSpot julgar necessário. A comunicação de incidentes, caso estes ocorram, será entregue a um ou mais contatos do Cliente da forma que a HubSpot escolher, podendo ser por e-mail ou telefone.

Disponibilidade da infraestrutura: Os fornecedores de infraestrutura envidam esforços comercialmente razoáveis para garantir um tempo de atividade mínimo de 99,95%. Os fornecedores mantêm um mínimo de redundância N+1 para os serviços de energia, rede e aquecimento, ventilação e ar condicionado.

Tolerância a falhas: Há estratégias de backup e replicação criadas para garantir a redundância e proteções contra failover durante uma falha significativa do tratamento. É feito um backup dos dados do Cliente em diversos repositórios duráveis de dados e replicados em diversas zonas de disponibilidade.

Réplicas e backups on-line: Quando viável, os bancos de dados de produção são projetados para replicar os dados entre, no mínimo, um banco de dados primário e um banco de dados secundário. Todos os bancos de dados são mantidos e têm backups que usam, no mínimo, métodos que são padrão na indústria.

Os produtos da HubSpot são projetados para garantir a redundância e failover integrado. As instâncias de servidores que atendem aos produtos também são arquitetadas com o objetivo de impedir pontos únicos de falhas. Isso auxilia a HubSpot a manter e atualizar os aplicativos e backends de produtos com tempo limitado de inatividade.