Acordo de Tratamento de Dados da HubSpot

IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.

Última modificação: 18 de setembro de 2024

Este Acordo é fornecido apenas para sua conveniência. A versão em inglês deste Acordo terá precedência sobre outras, e em hipótese alguma a versão em português deverá ser interpretada para modificar a versão em inglês ou de outra forma reger o relacionamento entre as partes.

[Precisa de uma cópia assinada, incluindo o texto na íntegra das CCPs, do Adendo do Reino Unido e Suboperadores? Clique aqui.]

Este Acordo de Tratamento de Dados da HubSpot e seus Anexos (“ATD”) é incorporado e faz parte dos Termos de Serviço ao Cliente da HubSpot firmados entre você e a HubSpot (o “Acordo”). O ATD reflete o acordo das partes em relação (i) ao Tratamento dos Dados Pessoais do Cliente por nós na qualidade de um Operador que atua em seu nome, e (ii) ao Tratamento de Dados Pessoais do Responsável por cada uma das partes na qualidade de Responsável, em relação aos nossos produtos de enriquecimento de dados e ao seu uso do código de rastreamento da HubSpot.

Em caso de conflitos ou incoerência com os termos do Acordo, este ATD prevalecerá.

As seções 3 a 9 deste ATD aplicam-se apenas considerando que a HubSpot seja uma Operadora de Dados Pessoais do Cliente em relação aos Serviços de Assinatura.

A seção 10 aplica-se apenas considerando que o Cliente use nossos produtos de enriquecimento de dados ou o Código de Rastreamento da HubSpot com o compartilhamento de dados de Intenção ativado, sendo cada parte considerada uma Responsável nos termos das Leis de Proteção de Dados.

Nós atualizamos estes termos de tempos em tempos. Se você tiver uma assinatura ativa da HubSpot, informaremos sobre as atualizações por uma notificação no aplicativo (ou por e-mail se você tiver optado por receber notificações por e-mail pelo link nos nossos Termos Gerais). As versões arquivadas do ATD estão disponíveis em https://legal.hubspot.com/legal-stuff/archive.

O termo do presente ATD acompanhará o termo do Acordo. Os termos não definidos de outra forma neste ATD terão os mesmos significados definidos no Acordo.

Definições
Responsabilidades do Cliente
Obrigações da HubSpot na qualidade de Operadora
Solicitações de Titulares
Suboperadores
Transferências de dados
Demonstração de conformidade
Disposições adicionais sobre Dados Europeus
Disposições adicionais para Dados Pessoais da Califórnia
Termos da relação entre Responsáveis
Mecanismos de transferência de dados
Disposições gerais
Partes deste ATD

Anexo 1(A) – Detalhes do Tratamento – HubSpot na qualidade de Operadora

Anexo 1(B) – Detalhes do Tratamento – HubSpot na qualidade de Responsável

Anexo 2 – Medidas de Segurança

Anexo 3 – Suboperadores

1. Definições

“Dados Pessoais da Califórnia” é o termo usado para se referir a Dados Pessoais do Cliente protegidos pela CCPA.

“CCPA” é o termo usado para se referir à Seção 1798.100 et seq. do Código Civil da Califórnia (também conhecida como “California Consumer Privacy Act” ou Lei de Privacidade do Consumidor da Califórnia de 2018, alterada pela Lei de Direitos de Privacidade da Califórnia de 2020 ou “CPRA”, na sigla em inglês para “California Privacy Rights Act”).

“Cliente”, “Empresa”, “Vender”, “Prestador de Serviço” e “Compartilhar” são termos definidos pela CCPA.

“Responsável” é o termo usado para se referir à pessoa natural ou jurídica, de direito público ou privado, que, individual ou coletivamente, determina as finalidades e os meios do Tratamento de Dados Pessoais.

“Dados Pessoais do Responsável” é o termo usado para se referir aos Dados Pessoais que cada parte trata na qualidade de Responsável em relação aos produtos de enriquecimento de dados ou ao Código de Rastreamento da HubSpot, sendo cada parte considerada uma Responsável nos termos das Leis de Proteção de Dados.

“Dados Pessoais do Cliente” é o termo usado para se referir aos Dados Pessoais contidos nos Dados do Cliente que a HubSpot trata na qualidade de Operadora em nome do cliente.

“Violação de Dados Pessoais do Cliente” é o termo usado para se referir a uma violação de segurança que cause, em caráter acidental ou ilegal, a destruição, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais do Cliente transmitidos, armazenados ou tratados de outra forma por nós e/ou por nossos Suboperadores em relação à prestação dos Serviços de Assinatura. O termo “Violação de Dados Pessoais do Cliente” não incluirá tentativas ou atividades que não comprometam a segurança dos Dados Pessoais do Cliente, tais como: tentativas fracassadas de login, pings, varreduras de portas, ataques de negação de serviços e outros ataques de rede a firewalls ou sistemas em rede.

“Data Privacy Framework” é o termo usado para se referir aos programas de autocertificação do Data Privacy Framework UE-EUA, do Data Privacy Framework Suíça-EUA e da Extensão do Reino Unido ao Data Privacy Framework UE-EUA (conforme aplicável) operados pelo Departamento de Comércio dos EUA; conforme venha a ser alterado ou substituído.
“Princípios do Data Privacy Framework” é o termo usado para se referir aos Princípios e Princípios Complementares contidos no Data Privacy Framework pertinente; conforme venha a ser alterado ou substituído.

“Leis de Proteção de Dados” é o termo usado para se referir a todas as leis do mundo sobre proteção e privacidade de dados aplicáveis ao Tratamento de Dados Pessoais previsto neste Acordo, incluindo, sem restrição, as Leis de Proteção de Dados Europeias, a CCPA e outras leis de privacidade federais e estaduais dos EUA, as leis de proteção e privacidade de dados da Austrália, Canadá, Singapura, Índia e Japão, em cada caso, conforme eventuais alterações, revogações, consolidações ou substituições de tais leis.

“Titular” é o termo usado para se referir à pessoa natural a quem os Dados Pessoais se referem.

“Europa” é o termo usado para se referir à União Europeia, ao Espaço Econômico Europeu e/ou seus estados-membros, a Suíça e o Reino Unido.

“Dados Europeus” é o termo usado para se referir aos Dados Pessoais do Cliente protegidos pelas Leis de Proteção de Dados Europeias.

“Leis de Proteção de Dados Europeias” é o termo usado para se referir às leis de proteção de dados aplicáveis à Europa, incluindo: (i) Regulamento 679/2016 do Parlamento e do Conselho Europeu sobre a proteção de pessoas naturais com relação ao tratamento de Dados Pessoais e sobre a livre movimentação de tais dados (Regulamento Geral de Proteção de Dados da União Europeia (“RGPD”); (ii) Diretiva 58/EC/2002 sobre o tratamento de Dados Pessoais e a proteção da privacidade no setor de comunicações eletrônicas; e (iii) implementações nacionais aplicáveis dos itens (i) e (ii); ou (iii) o RGPD na medida em que ele faz parte das leis nacionais do Reino Unido em virtude da Seção 3 da Lei de Saída do Reino Unido da União Europeia de 2018 (“RGPD do Reino Unido”); e (iv) a Lei Federal de Proteção de Dados da Suíça e sua Regulamentação (“LPD Suíça”); em cada caso, conforme venha a ser eventualmente alterada ou substituída.

“Instruções” é o termo usado para se referir às instruções documentadas por escrito e emitidas pelo Cliente à HubSpot, instruindo-a a executar uma ação geral ou específica em relação aos Dados Pessoais do Cliente (incluindo, sem restrição, anonimização, bloqueio, eliminação e disponibilização).

“Afiliados Permitidos” é o termo usado para se referir a qualquer um dos seus Afiliados que (i) tenha permissão para usar os Serviços de Assinatura conforme o Acordo, sem ter assinado um acordo próprio conosco e sem ser um “Cliente” conforme definido no Acordo; (ii) se qualifique como Responsável pelos Dados Pessoais do Cliente ou pelos Dados Pessoais do Responsável; e (iii) esteja sujeito às Leis de Proteção de Dados Europeias.

“Dados Pessoais” é o termo usado para se referir a qualquer informação relacionada a uma pessoa natural identificada ou identificável e seja protegida da mesma forma como dados pessoais, informações pessoais ou informações de identificação pessoal segundo as Leis de Proteção de Dados.

“Tratamento” é o termo usado para se referir a qualquer operação ou conjunto de operações com Dados Pessoais, englobando a coleta, gravação, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou outra forma de disponibilização, correlação ou combinação, restrição ou eliminação de Dados Pessoais. Os termos “tratar”, “trata” e “tratado” serão interpretados neste contexto.

“Operador” é o termo usado para se referir à pessoa física ou jurídica, de direito público ou privado, que trata os Dados Pessoais em nome do Responsável.

“Transferência Restrita” é o termo usado para se referir a transferências de Dados Pessoais da Europa para um país que não impõe um nível adequado de proteção conforme o estabelecido nas Leis de Proteção de Dados Europeias aplicáveis.

“Cláusulas Contratuais Padrão” é o termo usado para se referir às cláusulas contratuais padrão anexas à Decisão da Comissão Europeia (UE) 914/2021 de 4 de junho de 2021, no momento disponíveis em https://eur-lex.europa.eu/eli/dec_impl/2021/914, conforme venham a ser alteradas ou substituídas.

“Suboperador” é o termo usado para se referir a qualquer Operador contratado por nós ou nossos Afiliados para auxiliar no cumprimento das nossas obrigações quanto ao Tratamento de Dados Pessoais do Cliente nos termos do Acordo. Os Suboperadores poderão incluir terceiros ou nossos Afiliados, excluindo todos os funcionários ou consultores da HubSpot.

“Adendo do Reino Unido” é o termo usado para se referir ao Adendo de Transferência Internacional de Dados emitido pelo Comissário de Informações do Reino Unido (UK Information Commissioner) conforme a seção 119A(1) da Lei de Proteção de Dados de 2018, no momento disponível em https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf conforme possa ser alterado, suplantado ou substituído.

2. Responsabilidades do Cliente

a. Conformidade com as leis.. No escopo do Acordo e do uso dos serviços, você será responsável por cumprir todas as exigências previstas nas Leis de Proteção de Dados aplicáveis a você em relação ao seu Tratamento de Dados Pessoais.

Em particular, mas sem prejudicar a generalidade do precedente, você reconhece e concorda que será exclusivamente responsável: (i) pela precisão, qualidade e legalidade dos Dados Pessoais do Cliente e dos meios pelos quais adquiriu tais dados; (ii) por cumprir todas as exigências necessárias de transparência e licitude previstas nas Leis de Proteção de Dados referentes à coleta e ao uso dos Dados Pessoais do Cliente, inclusive apresentando as notificações necessárias, obtendo todos os consentimentos e autorizações necessários e honrando com as preferências de opt-out (especialmente para uso pelo Cliente para fins de marketing); (iii) por garantir que você tenha o direito de transferir ou fornecer acesso aos Dados Pessoais do Cliente para nós para fins de Tratamento nos termos do Acordo (incluindo este ATD); (iv) por cumprir todas as leis aplicáveis a eventuais e-mails ou outros conteúdos criados, enviados ou gerenciados pelos Serviços de Assinatura (inclusive aqueles relacionados à obtenção de consentimentos quanto ao envio de e-mails, ao conteúdo dos e-mails e às suas práticas de implantação de e-mail); e (v) por garantir que seu uso dos Dados Pessoais do Responsável cumpra as Leis de Proteção de Dados e se limitem estritamente às finalidades estabelecidas no Acordo (incluindo este ATD). Você nos informará imediatamente se não for capaz de cumprir suas responsabilidades previstas nesta seção “Conformidade com as leis” ou nas Leis de Proteção de Dados.

b. Instruções do Cliente. Você é responsável por garantir que as suas Instruções para nós sobre o Tratamento de Dados Pessoais do Cliente cumpram as leis aplicáveis, incluindo as Leis de Proteção de Dados. As partes concordam que o Acordo (incluindo este ATD), junto com o seu uso do Serviço de Assinatura conforme o Acordo, constituem as suas Instruções completas para nós em relação ao Tratamento de Dados Pessoais do Cliente pela HubSpot, ficando estabelecido que, durante o Período de Assinatura, você poderá fornecer instruções adicionais alinhadas ao Acordo, à natureza e ao uso lícito do Serviço de Assinatura.

c. Segurança. Você é responsável por determinar independentemente se a segurança de dados oferecida no Serviço de Assinatura atende adequadamente as suas obrigações previstas nas Leis de Proteção de Dados. Você também é responsável pelo seu uso seguro do Serviço de Assinatura, incluindo a segurança dos Dados Pessoais em trânsito de entrada ou saída do Serviço de Assinatura (incluindo o backup seguro ou a criptografia de tais dados).

3. Obrigações da HubSpot na qualidade de Operadora

a. Cumprimento das Instruções. Nós trataremos apenas Dados Pessoais do Cliente para os fins descritos neste ATD ou conforme acordado de outra forma dentro do escopo das suas Instruções lícitas, salvo se exigido de outra forma pelas leis aplicáveis. Nós não somos responsáveis pelo cumprimento de nenhuma Lei de Proteção de Dados aplicável a você ou ao seu setor que não seja geralmente aplicável a nós.

b. Conflito de leis. Ao ficarmos cientes de que não podemos tratar Dados Pessoais do Cliente conforme as suas Instruções devido a uma exigência legal prevista em qualquer lei aplicável, nós (i) comunicaremos você imediatamente sobre tal exigência legal obedecendo ao limite permitido pela lei aplicável; e (ii) quando necessário, interromperemos todo o Tratamento (exceto o mero armazenamento e manutenção da segurança dos Dados Pessoais do Cliente afetados), até o momento em que você emitir novas Instruções que possamos cumprir. Caso a presente disposição seja invocada, nós não seremos responsabilizados perante você nos termos do Acordo por não prestar os Serviços de Assinatura aplicáveis devidos até o momento em que você emitir novas Instruções lícitas sobre o Tratamento.

c. Segurança. Nós implementaremos e manteremos medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais do Cliente contra Violações de Dados Pessoais do Cliente, conforme descrito no Anexo 2 deste ATD (“Medidas de Segurança”). Não obstante alguma disposição em contrário, nós poderemos modificar ou atualizar as Medidas de Segurança a nosso exclusivo critério, desde que tal modificação ou atualização não gere um prejuízo material à proteção oferecida pelas Medidas de Segurança.

d. Confidencialidade. Nós garantiremos que todo o pessoal autorizado por nós a tratar os Dados Pessoais do Cliente em nosso nome estará sujeito às devidas obrigações de confidencialidade (seja por previsão em contrato ou na lei) em relação a esses Dados Pessoais do Cliente.
e. Violações de Dados Pessoais do Cliente. Nós notificaremos você prontamente após termos ciência de qualquer Violação de Dados Pessoais do Cliente e forneceremos oportunamente informações relativas à Violação de Dados Pessoais do Cliente quando estas forem conhecidas ou razoavelmente solicitadas por você. Mediante sua solicitação, nós prestaremos prontamente a assistência razoável necessária para dar condições a você de comunicar Violações de Dados Pessoais do Cliente relevantes às autoridades competentes e/ou aos Titulares afetados, caso você precise fazê-lo nos termos das Leis de Proteção de Dados.

f. Exclusão ou devolução de Dados Pessoais do Cliente. Nós excluiremos ou devolveremos todos os Dados do Cliente, incluindo Dados Pessoais do Cliente (incluindo cópias deles) tratados nos termos deste ATD, na ocasião de rescisão ou expiração do seu Serviço de Assinatura conforme os procedimentos estipulados nos Termos Específicos de Produtos. Este termo se aplicará ao Acordo, ressalvando que esta exigência não se aplicará aos casos em que nós formos obrigados pela lei aplicável a reter os Dados do Cliente no todo ou em parte, ou aos Dados do Cliente arquivados nos sistemas de backup, dados estes que nós isolaremos em segurança e protegeremos contra Tratamentos posteriores, excluindo-os de acordo com suas práticas de exclusão. Você pode solicitar a exclusão da sua conta da HubSpot após a expiração ou encerramento da sua assinatura seguindo as etapas disponíveis em https://knowledge.hubspot.com/pt/account/how-do-i-cancel-my-hubspot-account.

Recomendamos fortemente que você recupere seus Dados do Cliente antes do final do Período de Assinatura, seguindo as instruções nos seguintes artigos da centralde conhecimento: "Exporte seu conteúdo e dados"; "Exporte seus registros"; "Exporte seus dados de desempenho de anúncios"; "Exporte seus dados de desempenho de e-mail de marketing"; "Execute uma exclusão permanente na HubSpot."
Caso precise de ajuda para recuperar seus Dados do Cliente durante o Período de Assinatura, nós prestaremos auxílio razoável a você, à sua custa, e de acordo com a seção “Confidencialidade” dos Termos Gerais.

4. Solicitações de Titulares

O Serviço de Assinatura oferece diversos controles que você pode usar para recuperar, corrigir, excluir ou restringir Dados Pessoais do Cliente, e que você pode usar como auxílio no cumprimento de suas obrigações previstas nas Leis de Proteção de Dados, inclusive suas obrigações para atender a solicitações de Titulares no exercício de seus direitos conforme as Leis de Proteção de Dados (“Solicitações de Titulares”).

Se você for incapaz de atender a uma Solicitação de Titular por conta própria pelo Serviço de Assinatura, então, mediante sua solicitação escrita, nós prestaremos assistência razoável a você para responder a eventuais Solicitações de Titulares ou de autoridades de proteção de dados sobre o Tratamento de Dados Pessoais do Cliente nos termos do Acordo. Você nos reembolsará os custos comercialmente razoáveis decorrentes do referido auxílio.

Se a Solicitação de Titular ou outra solicitação sobre o Tratamento de Dados Pessoais do Cliente nos termos do Acordo for feita diretamente a nós, nós informaremos prontamente o fato a você e instruiremos o Titular a enviar sua solicitação a você. Caberá unicamente a você responder a eventuais Solicitações de Titulares ou comunicações que envolvam Dados Pessoais do Cliente.

5. Suboperadores

Você concorda que nós podemos contratar Suboperadores para tratar Dados Pessoais do Cliente em seu nome e que façamos isso de três maneiras. Primeiro, podemos contratar Suboperadores para nos auxiliar com hospedagem e infraestrutura. Segundo, podemos contratar Suboperadores para respaldar recursos de produtos e integrações. Terceiro, podemos contratar Afiliados da HubSpot como Suboperadores para prestação de serviços e suporte. Alguns Suboperadores se aplicarão a você por padrão, enquanto outros se aplicarão somente se você aceitar o opt-in.

No momento, nós nomeamos como Suboperadores os terceiros e Afiliados da HubSpot listados no Anexo 3 deste ATD. Para receber notificações por e-mail quando modificarmos a página Suboperadores da HubSpot, preencha o formulário disponível em https://legal.hubspot.com/subscribe-subprocessor-updates. Caso você opte por receber tais e-mails, enviaremos as notificações sobre eventuais mudanças com uma antecedência mínima de 30 dias.

Nós daremos a você a oportunidade de se opor à contratação de novos Suboperadores com fundamentos razoáveis relacionados à proteção de Dados Pessoais do Cliente no prazo de 30 dias após a sua notificação. Caso você nos notifique sobre tal objeção, as partes discutirão as suas preocupações em boa-fé com o propósito de chegarem a uma solução comercialmente razoável. Caso as partes não cheguem a uma solução, nós, a nosso exclusivo critério, não contrataremos o novo Suboperador ou permitiremos que você suspenda ou rescinda o Serviço de Assinatura afetado de acordo com as disposições de rescisão do Acordo sem responsabilidade para nenhuma das partes (mas sem prejudicar nenhuma taxa devida por você anterior a tal suspensão ou rescisão).

Ao empregarmos Suboperadores, nós imporemos termos de proteção de dados aos Suboperadores que garantam, no mínimo, o mesmo grau de proteção para os Dados Pessoais do Cliente conforme o disposto no ATD, observada a natureza dos serviços prestados por tais Suboperadores. Nós continuaremos responsáveis por cada Suboperador no que tange o cumprimento das obrigações previstas neste ATD e por todas as ações e omissões de tais Suboperadores que nos façam violar quaisquer de suas obrigações previstas neste ATD.

6. Transferências de dados

Você concorda e reconhece que nós podemos acessar e tratar Dados Pessoais do Cliente em escala global conforme o necessário para prestar o Serviço de Assinatura conforme o Acordo e, em particular, que os Dados Pessoais poderão ser transferidos e tratados pela HubSpot, Inc. nos Estados Unidos e em outras jurisdições nas quais os Afiliados da HubSpot e os Suboperadores tenham operações. Independentemente do local de destino da transferência dos Dados Pessoais do Cliente, cada parte garantirá que tais transferências sejam feitas de acordo com as exigências das Leis de Proteção de Dados.

7. Demonstração de conformidade

Nós disponibilizaremos todas as informações razoavelmente necessárias para demonstrar a conformidade com este ATD, e daremos permissão e contribuição para auditorias, incluindo inspeções conduzidas por você ou pelo seu auditor para avaliar a conformidade com este ATD, quando exigido pelas leis aplicáveis. Você reconhece e concorda que exercerá seus direitos de auditoria previstos neste ATD instruindo-nos a cumprir as medidas de auditoria descritas nesta seção “Demonstração de conformidade”. Você reconhece que o Serviço de Assinatura é hospedado pelos nossos Suboperadores de hospedagem que mantêm programas de segurança validados de forma independente (incluindo SOC 2 e ISO 27001) e que os nossos sistemas são auditados anualmente como parte da conformidade SOC 2 e passam por testes regulares conduzidos por empresas independentes de testes de penetração. Mediante solicitação, nós forneceremos a você (em caráter confidencial) nosso relatório de SOC 2 e cópias resumidas dos nossos relatórios de testes de penetração para que você possa verificar nossa conformidade com este ATD. As cópias desses documentos estão disponíveis para download no site de Segurança da HubSpot em trust.hubspot.com. Além disso, mediante sua solicitação por escrito, nós atenderemos por escrito (em caráter confidencial) a todas as solicitações razoáveis de informações feitas por você que sejam necessárias para confirmar a nossa conformidade com este ATD, ficando estabelecido que você não exercerá esse direito mais de uma vez por ano civil, salvo se houver fundamentos razoáveis para suspeitar da nossa não conformidade com este ATD.

8. Disposições adicionais sobre Dados Europeus

a. Escopo. Esta seção “Disposições adicionais sobre Dados Europeus” se aplicará apenas a Dados Europeus que a HubSpot trata em seu nome nos termos do Acordo.

b. Funções das partes. Ao tratar Dados Europeus de acordo com as suas Instruções, as partes reconhecem e concordam que você está agindo como Responsável, ou como Operador em nome de outro Responsável, e nós somos o Operador nos termos do Acordo.

c. Instruções. Nós informaremos a você imediatamente caso acreditemos que a sua Instrução viole as Leis de Proteção de Dados Europeias (quando for o caso).

d. Avaliações do impacto da proteção de dados e consultoria com autoridades de controle. Caso as informações necessárias estejam razoavelmente disponíveis para nós sem que você tenha acesso a elas, nós prestaremos auxílio razoável a você com relação a quaisquer avaliações de impacto de proteção de dados, e com consultas anteriores com autoridades de controle (por exemplo, a Agência Francesa de Proteção de Dados (CNIL), a Autoridade de Proteção de Dados de Berlim (BlnBDI), e o Escritório do Comissário de Informações do Reino Unido (ICO)) ou outras autoridades de privacidade de dados competentes conforme as exigências das Leis de Proteção de Dados Europeias.

f. Transferências de dados. A HubSpot não transferirá Dados Europeus para nenhum país ou destinatário não reconhecido como provedor de um nível adequado de proteção de Dados Pessoais do Cliente (conforme as Leis de Proteção de Dados Europeias aplicáveis), salvo se ela primeiro tomar todas as medidas necessárias para garantir que a transferência ocorra de acordo com as Leis de Proteção de Dados Europeias aplicáveis. Tais medidas podem incluir (sem limitação) (i) a transferência de tais dados para um destinatário que esteja coberto por uma estrutura adequada ou outro mecanismo de transferência legalmente adequado, reconhecido pelas autoridades ou tribunais relevantes como fornecendo um nível adequado de proteção para Dados Pessoais do Cliente, incluindo a Estrutura de Privacidade de Dados; (ii) a um destinatário que tenha obtido autorização vinculativa de regras corporativas de acordo com as Leis Europeias de Proteção de Dados; ou (iii) a um destinatário que executou as Cláusulas Contratuais Padrão em cada caso, conforme adotadas ou aprovadas de acordo com as Leis Europeias de Proteção de Dados aplicáveis.

9. Disposições adicionais para Dados Pessoais da Califórnia

a. Escopo. A seção “Disposições adicionais para Dados Pessoais da Califórnia” se aplicará apenas a Dados Pessoais da Califórnia que a HubSpot trata em seu nome nos termos do Acordo.

b. Funções das partes. Ao tratar Dados Pessoais da Califórnia conforme as suas Instruções, as partes reconhecem e concordam que você é uma Empresa e que nós somos um Prestador de Serviços para os fins da CCPA.

c. Responsabilidades. Certificamos que nós trataremos os Dados Pessoais da Califórnia como um Prestador de Serviços estritamente para os fins de prestação dos Serviços de Assinatura e dos Serviços de Consultoria nos termos do Acordo (a “Finalidade Comercial”) ou conforme permitido pela CCPA, incluindo conforme descrito na seção “Dados de uso” da nossa Política de Privacidade. Além disso, certificamos que não i) Venderemos nem Compartilharemos Dados Pessoais da Califórnia; (ii) não trataremos Dados Pessoais da Califórnia fora do vínculo comercial direto entre as partes, salvo se exigido pelas leis aplicáveis; e (iii) não combinaremos Dados Pessoais da Califórnia inclusos nos Dados do Cliente com Dados Pessoais que coletamos ou recebemos de outra fonte (a não ser os dados que recebemos de outra fonte em relação às suas obrigações como um Prestador de Serviços nos termos do Acordo).

d. Conformidade. Nós (i) cumpriremos as obrigações aplicáveis a nós como um Prestador de Serviços nos termos da CCPA; (ii) ofereceremos o mesmo grau de proteção para Dados Pessoais da Califórnia exigido pela CCPA; e (iii) notificaremos você caso determinemos não sermos mais capazes de cumprir nossas obrigações como Prestador de Serviços nos termos da CCPA.

e. Auditorias CCPA. Você terá o direito de tomar providências razoáveis e adequadas para garantir que usemos os Dados Pessoais da Califórnia em sintonia com as suas obrigações previstas na CCPA. Mediante notificação, você terá o direito de tomar providências razoáveis e adequadas nos termos do Acordo para deter e remediar o uso não autorizado de Dados Pessoais da Califórnia.

f. Não é uma venda. As partes reconhecem e concordam que a divulgação de Dados Pessoais da Califórnia pelo Cliente à HubSpot não faz parte de nenhuma remuneração monetária ou de outro tipo de valor intercambiada entre as partes.

10. Termos da relação entre Responsáveis

a. Escopo. Esta seção “Termos da relação entre Responsáveis” se aplicará caso as partes tratem Dados Pessoais do Responsável em relação a usos dos nossos produtos de enriquecimento de dados e do Código de Rastreamento da HubSpot por parte do Cliente.

b. Função das partes. As partes reconhecem e concordam que agem como Responsáveis dos Dados Pessoais do Responsável e que cumprirão suas respectivas obrigações previstas nas Leis de Proteção de Dados ao tratar Dados Pessoais do Responsável. Para que não restem dúvidas, nada neste Acordo ou nesta seção “Termos da relação entre Responsáveis” restringirá a HubSpot de coletar, usar ou compartilhar dados que a HubSpot, de outra forma, trataria independentemente do uso dos Serviços de Assinatura por parte do Cliente, incluindo nossos produtos de enriquecimento de dados.

c. Conformidade com as leis.. Cada parte garantirá que os Dados Pessoais do Responsável que ela compartilha ou disponibiliza para a outra parte foram coletados respeitando as Leis de Proteção de Dados, com (i) o fornecimento das notificações adequadas e a obtenção dos consentimentos necessários dos Titulares; (ii) o estabelecimento da base legal para seu Tratamento de Dados Pessoais do Responsável; (iii) a implementação das medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais do Responsável; e (iv) o cumprimento de eventuais obrigações de divulgação relativas a violações de dados pessoais que envolvam Dados Pessoais do Responsável. Entre as partes, o Cliente é responsável por oferecer todas as notificações, consentimentos e mecanismos de opt-out para o uso do Código de Rastreamento da HubSpot, bem como por garantir que seu site divulgue o uso de tecnologias de rastreamento de terceiros nos termos das Leis de Proteção de Dados. Caso um Titular entre em contato com qualquer das partes para exercer seus direitos previstos nas Leis de Proteção de Dados, a parte contatada atenderá a solicitação diretamente ou, caso não seja viável, prontamente notificará a outra parte e coordenará com ela o atendimento de tal solicitação nos termos das Leis de Proteção de Dados. O Cliente concorda em excluir os Resultados de Enriquecimento de Dados (conforme definição nos Termos Específicos de Produtos da HubSpot) caso conclua não ter uma base legal independente (ou termos substancialmente semelhantes) para o Tratamento de tais dados nos termos das Leis de Proteção de Dados.

d. Demonstração de conformidade. Se alguma das partes receber uma reclamação, notificação ou comunicação de uma autoridade de controle ou outro órgão público relacionada ao: (i) Tratamento de Dados Pessoais do Responsável pela outra parte; ou (ii) possível descumprimento das Leis de Proteção de Dados da outra parte em relação ao Tratamento de Dados Pessoais do Responsável, tal parte encaminhará a autoridade de controle ou órgão público à outra parte e, no caso de obrigações ou reclamações solidárias, ou quando a questão envolver Dados Pessoais do Responsável, a parte prestará auxílio razoável à outra para responder à autoridade de controle ou ao órgão público.

e. Segurança. Implementaremos e manteremos medidas de segurança razoáveis para proteger Dados Pessoais do Responsável. Todos os Dados Pessoais do Responsável são protegidos por medidas físicas, técnicas e organizacionais. Para saber mais sobre segurança na HubSpot, acesse https://trust.hubspot.com.

(f) Conformidade com a CCPA. Se a CCPA se aplicar ao Tratamento de Dados Pessoais do Responsável, cada parte reconhece e concorda que: (i) tais Dados Pessoais do Responsável sejam disponibilizados à outra parte exclusivamente para os fins limitados e especificados no Acordo; (ii) a parte que recebe tais Dados Pessoais do Responsável cumprirá e proporcionará o mesmo nível de proteção da privacidade exigido pela CCPA; (iii) a parte que recebe tais Dados Pessoais do Responsável notificará prontamente a outra parte caso conclua não ser mais capaz de cumprir suas obrigações nos termos da CCPA; e (iv) a parte que fornece tais Dados Pessoais do Responsável terá o direito, mediante notificação razoável, de tomar as providências razoáveis e adequadas para garantir que a parte receptora use os Dados Pessoais do Responsável de modo compatível com suas obrigações na CCPA e interrompa e corrija usos não autorizados de tais dados.

11. Mecanismos de transferência de dados

Quando a transferência de Dados Pessoais do Cliente ou de Dados Pessoais do Responsável entre as partes envolver uma Transferência Restrita, e as Leis de Proteção de Dados Europeias exigirem a implementação de proteções adequadas, a HubSpot e o Cliente cumprirão as seguintes exigências:

a. Data Privacy Framework. A HubSpot, Inc. participa do Data Privacy Framework e tem a devida certificação. Nos casos em que o Data Privacy Framework se aplicar, a HubSpot, Inc. o utilizará para receber licitamente Dados Pessoais do Cliente e Dados Pessoais do Responsável nos Estados Unidos, oferecendo, no mínimo, o mesmo nível de proteção a tais dados, conforme exigido pelos Princípios do Data Privacy Framework. Informaremos a você caso sejamos incapazes de cumprir tal exigência.

b. Cláusulas Contratuais Padrão. Se as Leis de Proteção de Dados Europeias exigirem que proteções apropriadas sejam implementadas (por exemplo, se o Data Privacy Framework não cobrir a transferência e/ou o Data Privacy Framework for invalidado), as Cláusulas Contratuais Padrão serão incorporadas por referência e fazem parte do Acordo da seguinte forma:

(A) Em relação aos Dados Pessoais do Cliente que a HubSpot trata na qualidade de Operadora (i) os termos do Módulo Dois aplicam-se na medida que o Cliente é um Responsável, e os termos do Módulo Três aplicam-se na medida em que o Cliente é um Operador de Dados Pessoais do Cliente; (ii) na Cláusula 7, a cláusula de adesão opcional se aplica; (iii) na Cláusula 9, a Opção 2 se aplica, e alterações nos Suboperadores serão notificadas de acordo com a seção “Suboperadores” deste ATD; (iv) na Cláusula 11, a redação opcional será excluída; (v) nas Cláusulas 17 e 18, as partes concordam que a lei regente e o foro para dirimir as controvérsias relacionadas às Cláusulas Contratuais Padrão serão determinados conforme a seção “Pessoa jurídica contratante; lei aplicável; notificações” dos Termos Específicos de Jurisdições ou, se tal seção não especificar um Estado-Membro da União Europeia, a República da Irlanda (sem referência aos princípios de conflitos de leis); (vi) os Anexos das Cláusulas Contratuais Padrão serão considerados preenchidos com as informações constantes dos Anexos deste ATD; e (vii) a autoridade de controle que atuará como a autoridade de controle competente será determinada nos termos do RGPD.

(B) Em relação aos Dados Pessoais do Responsável para o qual a HubSpot e o Cliente são, cada um, um Responsável (i) aplicam-se os termos do Módulo Um; (ii) na Cláusula 7, a cláusula de adesão opcional se aplica; (iii) na Cláusula 11, a redação opcional será excluída; (vi) nas Cláusulas 17 e 18, as partes concordam que a lei regente e o foro para dirimir as controvérsias relacionadas às Cláusulas Contratuais Padrão serão determinados conforme a seção “Pessoa jurídica contratante; lei aplicável; notificações” dos Termos Específicos de Jurisdições ou, se tal seção não especificar um Estado-Membro da União Europeia, a República da Irlanda (sem referência aos princípios de conflitos de leis); (v) os Anexos das Cláusulas Contratuais Padrão serão considerados preenchidos com as informações constantes dos Anexos deste ATD; e (vi) a autoridade de controle que atuará como a autoridade de controle competente será a Comissão Irlandesa para Proteção de Dados.

(C) Em relação a Dados Pessoais de Cliente e a Dados Pessoais do Responsável sujeitos ao RGPD do Reino Unido, as Cláusulas Contratuais Padrão se aplicarão conforme a subseção (A) e as seguintes modificações (i) as Cláusulas Contratuais Padrão serão modificadas e interpretadas conforme o Adendo do Reino Unido, que será incorporado por referência e fará parte do Acordo; (ii) as Tabelas 1, 2 e 3 do Adendo do Reino Unido serão consideradas preenchidas com as informações constantes dos Anexos deste ATD, e a Tabela 4 será considerada preenchida pela seleção da opção “nenhuma das partes”; e (iii) eventuais conflitos entre os termos das Cláusulas Contratuais Padrão e o Adendo do Reino Unido serão dirimidos de acordo com as Seções 10 e 11 do Adendo do Reino Unido.

(D) Em relação a Dados Pessoais de Cliente e a Dados Pessoais do Responsável sujeitos ao ATD da Suíça, as Cláusulas Contratuais Padrão se aplicarão conforme a subseção (A) e as seguintes modificações (i) referências a “Regulamento (UE) 679/2016” serão interpretadas como referências ao ATD da Suíça; (ii) referências a “UE”, “União Europeia” e “lei do Estado-Membro” serão interpretadas como referências à lei suíça; e (iii) referências à “autoridade de controle competente” e “tribunais competentes” serão substituídas por “Comissário Federal de Informações e Proteção de Dados da Suíça” e “tribunais aplicáveis da Suíça”.

(E) Em relação aos Dados Pessoais do Cliente que a HubSpot trata na qualidade de Operadora, você concorda que, ao cumprir nossas obrigações sob a seção “Suboperadores” deste ATD, a HubSpot, Inc. cumpre suas obrigações sob a Seção 9 das Cláusulas Contratuais Padrão. Para os fins da Cláusula 9(c) das Cláusulas Contratuais Padrão, você reconhece que podemos ser impedidos de divulgar contratos de Suboperadores, mas que envidaremos esforços razoáveis para exigir que todos os Suboperadores que nomearmos permitam a divulgação de seus contratos a você, de modo que forneceremos, de forma razoável e em caráter confidencial, todas as informações que pudermos. Você também reconhece e concorda que exercerá seus direitos de auditoria sob a Cláusula 8.9 das Cláusulas Contratuais Padrão, instruindo-nos a cumprir as medidas descritas na seção “Demonstração de Conformidade” deste ATD.

(F) As Cláusulas Contratuais Padrão prevalecerão caso conflitem com qualquer disposição deste ATD. Quando a entidade contratante da HubSpot nos termos do Acordo não for a HubSpot, Inc., tal entidade contratante (não a HubSpot, Inc.) permanecerá total e exclusivamente responsável por você pela execução das Cláusulas Contratuais Padrão pela HubSpot, Inc., e você encaminhará quaisquer instruções, reivindicações ou indagações em relação às Cláusulas Contratuais Padrão a tal entidade contratante. Se, por qualquer motivo, a HubSpot não for capaz de cumprir suas obrigações previstas nas Cláusulas Contratuais Padrão, e você tiver a intenção de suspender ou encerrar a transferência de Dados Europeus à HubSpot, você concorda em nos notificar em tempo hábil para que possamos sanar tal não conformidade e cooperará conosco de forma razoável para identificar quais proteções adicionais, se for o caso, podem ser implementadas para sanar tal não conformidade. Caso não consigamos sanar a não conformidade, você poderá suspender ou rescindir a parte afetada do Serviço de Assinatura de acordo com as disposições do Acordo, sem responsabilidade perante nenhuma das partes (mas sem prejuízo a quaisquer taxas em que você tenha incorrido antes de tal suspensão ou rescisão).

c. Mecanismo alternativo de transferência. Caso a HubSpot seja obrigada a adotar um mecanismo alternativo de transferência nos termos das Leis de Proteção de Dados Europeias, além ou diferente dos mecanismos descritos acima, esse mecanismo alternativo de transferência será aplicado automaticamente em vez dos mecanismos descritos neste ATD (mas apenas na medida em que esse mecanismo alternativo de transferência esteja em conformidade com as Leis de Proteção de Dados Europeias) e você concorda em assinar outros documentos ou tomar as medidas que possam ser razoavelmente necessárias para dar efeito legal a esse mecanismo alternativo de transferência.

12. Disposições gerais

a. Alterações. Não obstante algo em contrário no Acordo e sem prejudicar as seções “Cumprimento das Instruções” ou “Segurança” deste ATD, nós nos reservamos o direito de atualizar e alterar este ATD e os termos que se aplicam na seção “Alterações; Inexistência de Renúncia” dos Termos Gerais.

b. Autonomia das disposições. Caso disposições individuais do presente ATD sejam determinadas como inválidas ou inexequíveis, a validade e a exequibilidade das demais disposições do presente ATD não serão afetadas.

c. Limitação de responsabilidade. A responsabilidade de cada uma das partes e de cada um de seus respectivos Afiliados, considerada de forma agregada, decorrente ou relacionada a este ATD (incluindo quaisquer outros acordos de tratamento de dados entre as partes) e às Cláusulas Contratuais Padrão (conforme o caso), seja por previsão em contrato, na lei ou de acordo com qualquer outra teoria de responsabilidade civil, será sujeita às limitações e exclusões de responsabilidade estabelecidas na seção “Limitação de responsabilidade” dos Termos Gerais, e toda referência em tal seção à responsabilidade de uma parte significa a responsabilidade agregada de tal parte e todos os seus Afiliados nos termos do Acordo (incluindo este ATD). Para que não restem dúvidas, se a HubSpot, Inc. não for uma parte do Acordo, a seção “Limitação de responsabilidade” dos Termos Gerais se aplicará entre você e a HubSpot, Inc., e, nesse sentido, toda referência a “HubSpot”, “nós”, “nos” ou “nosso” incluirá tanto a HubSpot, Inc. quanto a pessoa jurídica da HubSpot que faz parte do Acordo. Em nenhuma hipótese a responsabilidade de qualquer uma das partes será limitada com relação aos direitos de proteção de dados de qualquer indivíduo sob este ATD (incluindo quaisquer outros ATDs entre as partes e as Cláusulas Contratuais Padrão, quando aplicável) ou de outra forma.

d. Lei regente. Este ATD será regido e interpretado de acordo com a seção “Pessoa jurídica contratante; lei aplicável; notificações” dos Termos Específicos de Jurisdições, salvo se exigido de outra forma pelas Leis de Proteção de Dados.

13. Partes deste ATD

a. Afiliados Permitidos. Ao assinar o Acordo, você celebra este ATD (incluindo, conforme o caso, as Cláusulas Contratuais Padrão) em seu nome e em nome de seus Afiliados Permitidos. Apenas para os fins deste ATD e salvo quando indicado de outra forma, os termos “Cliente”, “você” e “seu” incluirão você e tais Afiliados Permitidos.

b. Autorização. A pessoa jurídica que anuir ao presente ATD na qualidade de Cliente declara ter autorização para aceitá-lo e celebrá-lo em seu próprio nome e, conforme o caso, em nome de cada um de seus Afiliados Permitidos.

c. Recursos jurídicos. As partes concordam que (i) apenas a pessoa jurídica do Cliente que for parte contratante do Acordo exercerá, em nome de seus Afiliados, qualquer direito ou buscará qualquer recurso jurídico que qualquer Afiliado Permitido possa ter conforme este ATD; e (ii) a pessoa jurídica do Cliente que for a parte contratante do Acordo não exercerá tais direitos previstos neste ATD separadamente para cada Afiliado Permitido, mas de forma conjunta para si e para todos os seus Afiliados Permitidos. A pessoa jurídica do Cliente que for a parte contratante é responsável por coordenar todas as Instruções, autorizações e comunicações conosco nos termos do ATD, tendo direito de enviar e receber qualquer comunicação relacionada a este ATD em nome de seus Afiliados Permitidos.

d. Outros direitos. As partes concordam que você, ao analisar a nossa conformidade com este ATD nos termos da seção “Demonstração de conformidade”, tomará todas as medidas razoáveis para limitar qualquer impacto sobre nós e nossos Afiliados combinando em uma única auditoria várias solicitações de auditoria a serem conduzidas em nome da pessoa jurídica do Cliente que for a parte contratante do Acordo e de todos os seus Afiliados Permitidos.

Anexo 1A – Detalhes do Tratamento – HubSpot na qualidade de Operadora

A. Lista de Partes

Exportador de dados:

Nome: O Cliente, conforme definido nos Termos de Serviço ao Cliente da HubSpot (em seu próprio nome e em nome de seus Afiliados Permitidos)

Endereço: o endereço do Cliente, conforme consta do Formulário de Pedido

Nome, cargo e dados de contato da pessoa de contato: dados de contato do Cliente, conforme consta do Formulário de Pedido e/ou da conta da HubSpot do Cliente

Atividades relevantes para os dados transferidos conforme estas Cláusulas: o Tratamento de Dados Pessoais do Cliente em relação ao uso dos Serviços de Assinatura da HubSpot pelo Cliente conforme os Termos de Serviço ao Cliente da HubSpot

Função (responsável/operador): Responsável (seja como Responsável; ou atuando na qualidade de Responsável, como Operador, em nome de outro Responsável)

Importador de dados:

Nome: HubSpot, Inc.

Endereço: Two Canal Park, Cambridge, MA 02141, EUA

Nome, cargo e dados de contato da pessoa de contato: Nicholas Knoop, Data Protection Officer, HubSpot, Inc., Two Canal Park, Cambridge, MA 02141, EUA

Função (responsável/operador): Operador

B. Descrição da transferência
Categorias dos Titulares cujos Dados Pessoais são transferidos

Você poderá enviar Dados Pessoais do Cliente ao usar o Serviço de Assinatura, cuja extensão é determinada e controlada por você a seu exclusivo critério, podendo incluir, sem restrições, Dados Pessoais do Cliente relativos às seguintes categorias de Titulares:

Seus contatos e outros usuários finais, incluindo seus funcionários, prestadores de serviços, colaboradores, clientes, prospects, fornecedores e subcontratados. Os Titulares também poderão incluir pessoas físicas que tentarem se comunicar com os seus usuários finais ou transferir Dados Pessoais do Cliente para você.

Categorias de Dados Pessoais transferidos
Você poderá enviar Dados Pessoais aos Serviços de Assinatura, cuja extensão é determinada e controlada por você a seu exclusivo critério, podendo incluir, sem restrições, as seguintes categorias de Dados Pessoais:

1. Informações de Contato (conforme definido nos Termos Gerais).
2. Quaisquer outros Dados Pessoais que você ou seus usuários finais enviarem ou receberem pelo Serviço de Assinatura.

Dados confidenciais transferidos e restrições ou proteções aplicadas
O tratamento de Dados Confidenciais está sujeito às limitações de escopo, restrições e salvaguardas mutuamente acordadas pelas partes, conforme refletido no Contrato.

Frequência da transferência:
Contínua

Detalhes do Tratamento
Os Dados Pessoais do Cliente serão tratados conforme o Acordo (incluindo este ATD) e poderão estar sujeitos às seguintes atividades de Tratamento:

1. Armazenamento e outros Tratamentos necessários para prestar, manter e aperfeiçoar os Serviços de Assinatura prestados a você; e/ou

2. Divulgação conforme o Acordo (incluindo este ATD) e/ou conforme exigido pelas leis aplicáveis.

Finalidade da transferência e tratamentos adicionais

Nós trataremos os Dados Pessoais do Cliente conforme necessário para prestar os Serviços de Assinatura em conformidade com o Acordo, conforme especificado em mais detalhes no Formulário de Pedido e instruído por você no seu uso dos Serviços de Assinatura.

Prazo de retenção dos Dados Pessoais

Sujeitos à seção “Exclusão ou devolução de Dados Pessoais do Cliente” deste ATD, nós trataremos Dados Pessoais do Cliente durante a vigência do Acordo, salvo acordado de outra forma por escrito.

Anexo 1B – Detalhes do Tratamento – HubSpot na qualidade de Responsável

A. Lista de Partes
Exportador/importador de dados: Cliente

Nome: O Cliente, conforme definido nos Termos de Serviço ao Cliente da HubSpot (em seu próprio nome e em nome de seus Afiliados Permitidos)

Endereço: o endereço do Cliente, conforme consta do Formulário de Pedido

Nome, cargo e dados de contato da pessoa de contato, incluindo o e-mail: os dados de contato do Cliente, conforme consta do Formulário de Pedido e/ou da Conta da HubSpot do Cliente

Atividades relevantes para os dados transferidos conforme estas Cláusulas: o Tratamento de Dados Pessoais do Responsável em relação ao uso dos produtos de enriquecimento de dados e do Código de Rastreamento da HubSpot por parte do Cliente

Função (responsável/operador): Responsável

Exportador/importador de dados: HubSpot, Inc.

Nome: HubSpot, Inc.

Endereço: Two Canal Park, Cambridge, MA 02141, EUA

Nome, cargo e dados de contato da pessoa de contato: Nicholas Knoop, Data Protection Officer, HubSpot, Inc., Two Canal Park, Cambridge, MA 02141, EUA

B. Descrição da transferência

Categorias dos Titulares cujos Dados Pessoais são transferidos:
Pessoas associadas a uma empresa ou outra instituição

Categorias de Dados Pessoais transferidos:
Dados profissionais, que podem incluir, sem restrição: nome e sobrenome, endereço de e-mail comercial, empregador, função na empresa, título profissional, endereço IP, identificadores online e outras informações semelhantes

Dados sensíveis transferidos e restrições ou proteções aplicadas:
As Partes não preveem a transferência de dados sensíveis.

Frequência da transferência:
Contínua

Detalhes do Tratamento:
Os Dados Pessoais do Responsável serão tratados conforme o Acordo e podem estar sujeitos às seguintes atividades de Tratamento: (1) armazenamento e outros Tratamentos de Dados do Site (como endereços IP e outros identificadores online) e Dados de Enriquecimento de Dados Profissionais (como endereços de e-mail comerciais) pela HubSpot necessários para disponibilizar, manter, complementar, aprimorar e desenvolver o conjunto de dados comerciais e os Serviços de Assinatura da HubSpot; e/ou(2) divulgação conforme o Acordo e/ou conforme exigido pelas leis aplicáveis.

Finalidade(s) da transferência e tratamentos adicionais:
Os Dados Pessoais do Responsável serão transferidos para os fins contemplados no Acordo, inclusive para fornecer ao Cliente informações comerciais, bem como para disponibilizar, manter, complementar, aprimorar e desenvolver o conjunto de dados comerciais e os Serviços de Assinatura da HubSpot.
Prazo de retenção dos Dados Pessoais: os Dados Pessoais do Responsável serão tratados e ficarão retidos pelas partes conforme suas respectiva políticas de retenção de dados, ou conforme estabelecido no Acordo.

Anexo 2 – Medidas de Segurança

No momento, nós seguimos as Medidas de Segurança descritas no presente Anexo 2. Todos os termos em maiúsculas não definidos de outra forma neste documento terão os mesmos significados definidos nos Termos Gerais. Para ter mais informações sobre estas medidas de segurança, consulte o Relatório SOC 2 Tipo II, o Relatório SOC 3, a Visão geral sobre segurança e os resumos dos testes de penetração, disponíveis em trust.hubspot.com.

a) Política de Segurança da Informação

Mantemos e aderimos a uma Política de Segurança da Informação interna e escrita. Você pode visitar o Central de confiança HubSpot, que fornece uma visão geral de nossos padrões de segurança.

b) Controle de acesso

i) Impedimento ao acesso não autorizado ao produto

Tratamento terceirizado: nós hospedamos o nosso Serviço com fornecedores de infraestrutura em nuvem terceirizados. Além disso, mantemos relacionamentos contratuais com fornecedores a fim de prestar o Serviço de acordo com o nosso ATD. Confiamos nos acordos contratuais, nas políticas de privacidade e nos programas de conformidade dos fornecedores para proteger os dados tratados ou armazenados por eles.

Segurança física e ambiental: nós hospedamos a infraestrutura do nosso produto com fornecedores de infraestrutura de multilocação terceirizados. Não temos nem mantemos hardware em data centers de provedores de infraestrutura terceirizada. Os servidores de produção e os aplicativos disponíveis aos clientes têm proteção lógica e física dos nossos sistemas de informações corporativas internos. Os controles de segurança física e ambiental dos fornecedores de infraestrutura são auditados quanto à conformidade com SOC 2 Tipo II e ISO 27001, entre outras certificações.

Autenticação: nós implementamos uma política uniforme de senhas para os produtos dos nossos clientes. Os clientes que interagem com os produtos via a interface de usuário devem passar por autenticação antes de acessar dados de clientes que não são públicos.

Autorização: os Dados do Cliente são armazenados em sistemas de armazenamento de multilocação acessíveis aos Clientes somente por meio de interfaces de usuários de aplicativos e interfaces de programação de aplicativos. Os Clientes não têm acesso direto à infraestrutura de aplicativos subjacente. O modelo de autorização de cada um dos nossos produtos é projetado para garantir que somente pessoas devidamente autorizadas consigam acessar recursos, visualizações e opções de personalização pertinentes. A autorização a conjuntos de dados é feita pela validação das permissões do usuário de acordo com os atributos associados a cada conjunto de dados.

Acesso à interface de programação de aplicativos (API): APIs de produtos públicos podem ser acessadas usando autorização Oauth ou tokens de aplicativos privados.

ii) Impedimento ao uso não autorizado ao produto

Nós implementamos controles de acesso e recursos de detecção que são padrão do mercado para as redes internas que dão suporte aos nossos produtos.

Controles de acesso: os mecanismos de controle de acesso a redes são projetos para impedir que tráfego de rede com protocolos não autorizados alcance a infraestrutura dos produtos. As medidas técnicas implementadas variam conforme os fornecedores de infraestrutura e incluem implementações de Nuvem Privada Virtual (VPC, na sigla em inglês), atribuições de grupos de segurança e regras de firewall tradicionais.

Detecção e prevenção de intrusões: nós implementamos uma solução de Firewall de Aplicativo Web (WAF, na sigla em inglês) para proteger sites hospedados de clientes e outras aplicativos acessíveis pela Internet. O WAF é projetado para identificar e prevenir ataques contra serviços de rede disponíveis publicamente.

Análise de código estático: os códigos armazenados nos nossos repositórios de código-fonte são submetidos a ferramentas automatizadas que verificam a conformidade com práticas recomendadas e falhas identificáveis em software.

Endpoint Harding: Endpoints são reforçados de acordo com a prática padrão do setor. As estações de trabalho são protegidas por meio de ferramentas antimalware e de detecção e resposta de endpoint, recebendo atualizações regulares de definições e assinaturas.

iii) Limitações de privilégios e requisitos de autorização

Gerenciamento de acesso privilegiado: O acesso privilegiado em nosso ambiente de produto é controlado, monitorado e removido em tempo hábil por meio de controles de “acesso just in time” (ou “JITA”). As contas não pessoais usadas para acesso ao sistema são armazenadas em um cofre seguro com controles adicionais que regem os processos de elevação de privilégios e de verificação de contas.

Acesso a produtos: um subgrupo dos nossos funcionários tem acesso aos produtos e Dados de Clientes por meio de interfaces controladas. Os objetivos do acesso a um subgrupo de funcionários é a prestação eficaz de suporte ao cliente, desenvolvimento de produtos e pesquisa, a solução de possíveis problemas, a detecção e a resposta a incidentes de segurança e a implementação da segurança de dados. O acesso é permitido por solicitações JITA; todas essas solicitações ficam registradas. Os funcionários têm acesso de acordo com suas funções, e análises de concessões de privilégios de alto risco são feitas diariamente. As permissões administrativas e de acesso de alto risco são analisadas pelo menos uma vez a cada seis meses.

c) Controle de Transmissão

Em trânsito: nós exigimos criptografia HTTPS (também chamada de SSL ou TLS) em todas as nossas interfaces de login e gratuitamente em todos os sites de clientes hospedados nos produtos da HubSpot. Nossa implementação HTTPS usa algoritmos e certificados que são padrão na indústria.

Em repouso: nós armazenamos as senhas dos usuários de acordo com políticas que seguem práticas de segurança padrão de mercado. Adotamos uma abordagem em camadas de tecnologias de criptografia em repouso para garantir que os dados do Cliente e os Dados Sensíveis Permitidos identificados pelo Cliente sejam criptografados adequadamente.

d) Gerenciamento, registro e monitoramento de incidentes

Plano de Resposta a Incidentes: mantemos um Plano de Resposta a Incidentes por escrito, manuais e outros processos e procedimentos necessários para cumprir os padrões e obrigações refletidos em tais documentos.

Detecção: nós projetamos nossa infraestrutura para registrar vastas informações sobre comportamento do sistema, tráfego recebido, autenticação do sistema e outras solicitações de aplicativos. Os sistemas internos agregam dados de registro e alertam determinados funcionários sobre atividades mal-intencionadas, não intencionais ou anômalas. Nossos funcionários, incluindo as equipes de segurança, de operações e de suporte, respondem a incidentes conhecidos.

Resposta e rastreamento: nós mantemos um registro de incidentes conhecidos de segurança com descrição, datas e horários das atividades relevantes, e a descrição dos incidentes. Incidentes de segurança suspeitos e confirmados são investigados pelas equipes segurança, de operações ou de suporte. As devidas etapas de solução são identificadas e documentadas. No caso de incidentes confirmados, tomaremos as providências adequadas para minimizar os dados sobre os produtos e sobre o Cliente ou divulgações de dados não autorizadas. A notificação a você será feita de acordo com os termos do Acordo.

e) Controle de Disponibilidade

Disponibilidade da infraestrutura: os fornecedores de infraestrutura envidam esforços comercialmente razoáveis para garantir um tempo de atividade mínimo de 99,95%. Os fornecedores mantêm um mínimo de redundância N+1 para os serviços de energia, rede e aquecimento, ventilação e ar condicionado.

Tolerância a falhas: há estratégias de backup e replicação criadas para garantir a redundância e proteções contra failover durante uma falha significativa do tratamento. É feito um backup dos dados do Cliente em diversos repositórios duráveis de dados e replicados em diversas zonas de disponibilidade.

Réplicas e backups on-line: quando viável, os bancos de dados de produção são projetados para replicar os dados entre, no mínimo, um banco de dados primário e um banco de dados secundário. Todos os bancos de dados são mantidos e têm backups que usam, no mínimo, métodos que são padrão na indústria.

Planos de recuperação de desastres: mantemos e testamos regularmente planos de recuperação de desastres para ajudar a garantir a disponibilidade de informações após a interrupção ou falha de processos empresariais fundamentais.

Nossos produtos são projetados para garantir redundância e failover integrado. As instâncias de servidores que atendem aos produtos também são arquitetadas com o objetivo de impedir pontos únicos de falhas. Isso nos auxilia a manter e atualizar os aplicativos e backends de produtos com tempo limitado de inatividade.

f) Programa de Gestão de Vulnerabilidades

Cronograma de correção de vulnerabilidades: Mantemos um cronograma de correção de vulnerabilidades alinhado aos padrões do setor. Adotamos uma abordagem baseada em riscos para determinar a aplicabilidade, probabilidade e impacto de uma vulnerabilidade em nosso ambiente.

Verificação de vulnerabilidades: realizamos verificações diárias de vulnerabilidades em nossos produtos usando tecnologia e padrões de detecção alinhados aos padrões do setor.

Teste de penetração: mantemos relacionamentos com prestadores de serviços de testes de penetração renomados no setor para testar, pelo menos uma vez ao ano, a penetração tanto do aplicativo Web da HubSpot quanto da infraestrutura interna da rede corporativa. A intenção desses testes de penetração é identificar vulnerabilidades de segurança e mitigar o risco e o impacto comercial gerados para os sistemas do escopo.

Programa de caça a bugs: um programa de caça a bugs convida e incentiva pesquisadores independentes de segurança a descobrir e revelar, de forma ética, as falhas de segurança. Nós implementamos um programa de caça a bugs a fim de ampliar as oportunidades de engajamento com a comunidade de segurança e melhorar as defesas dos produtos contra ataques sofisticados.

g) Gestão de Pessoas

Contamos com pessoal qualificado para desenvolver, manter e aprimorar nosso programa de segurança. Treinamos todos os funcionários sobre políticas, processos e padrões de segurança relevantes para suas funções e de acordo com as práticas do setor.

Verificações de antecedentes: quando permitido pela lei aplicável, os funcionários da HubSpot passam por uma verificação de antecedentes ou de referências de terceiros. Nos Estados Unidos, as propostas de emprego dependem dos resultados de uma verificação de antecedentes conduzida por terceiros. Todos os funcionários da HubSpot são obrigados a se comportar conforme as diretrizes da empresa, exigências de confidencialidade e padrões éticos.

Anexo 3 – Suboperadores

Para ter um auxílio na prestação do Serviço de Assinatura, a HubSpot contrata Suboperadores para auxiliar nas atividades de tratamento de dados. Uma lista dos nossos Suboperadores e a finalidade da contratação de cada um está na Página de Suboperadores da HubSpot disponível em https://legal.hubspot.com/sub-processors-page, que é incorporada a este ATD.

A plataforma de clientes da HubSpot

CRM gratuito da HubSpot

Plataforma de CRM completa

Marketing Hub

Sales Hub

Service Hub

Content Hub

Operations Hub

Breeze

App Marketplace

Treinamento

Por que a HubSpot?

Serviços

Recursos para o usuário

Legal Stuff