Legal Stuff

IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.

Última modificação: 1º de setembro de 2020

Este Acordo é fornecido apenas para sua conveniência. A versão em inglês deste Acordo terá precedência sobre outras, e em hipótese alguma a versão em português deverá ser interpretada para modificar a versão em inglês ou de outra forma reger o relacionamento entre as partes.

[Clique aqui para baixar uma cópia assinada (em inglês).]

O presente Acordo de Tratamento de Dados da HubSpot e seus Anexos (“ATD”) reflete o acordo das partes sobre o Tratamento de Dados Pessoais por nós em seu nome em relação aos Serviços de Assinatura da HubSpot conforme os Termos de Serviço ao Cliente da HubSpot entre você e nós (também referido neste ATD como o “Acordo”). 

O presente ATD complementa e integra o Acordo, entrando em vigor a partir de sua incorporação ao Acordo, a qual poderá ser especificada no Acordo, em um Pedido ou em uma alteração firmada do Acordo. Em caso de conflitos ou incoerência com os termos do Acordo, este ATD prevalecerá.

Nós atualizamos estes termos de tempos em tempos. Se você tiver uma assinatura ativa da HubSpot, informaremos sobre as atualizações por e-mail (se você tiver optado por receber notificações por e-mail pelo link nos nossos Termos Principais) ou por notificação no aplicativo. Você pode encontrar versões arquivadas do ATD aqui.

O termo do presente ATD acompanhará o termo do Acordo. Os termos não definidos de outra forma neste ATD terão os mesmos significados definidos no Acordo.

1. Definições
2. Responsabilidades do Cliente
3. Obrigações da HubSpot
4. Solicitações de Titulares
5. Suboperadores
6. Transferências de dados
7. Disposições adicionais sobre Dados Europeus
8. Disposições adicionais para Dados Pessoais da Califórnia
9. Disposições gerais
10. Partes deste ATD

Anexo 1 – Detalhes do Tratamento

Anexo 2 – Medidas de Segurança

Anexo 3 – Cláusulas Contratuais Padrão

Anexo 4 – Lista de Suboperadores

1. Definições

“Dados Pessoais da Califórnia” é o termo usado para se referir a Dados Pessoais protegidos pela CCPA.

“CCPA” é o termo usado para se referir à Seção 1798.100 et seq. do Código Civil da Califórnia (também conhecida como “California Consumer Privacy Act” ou Lei de Privacidade do Consumidor da Califórnia de 2018).

“Cliente”, “Empresa”, “Vender” e “Prestador de Serviço” são termos definidos pela CCPA. 

“Responsável” é o termo usado para se referir à pessoa natural ou jurídica, de direito público ou privado, que, individual ou coletivamente, determina as finalidades e os meios do Tratamento de Dados Pessoais.

“Leis de Proteção de Dados” é o termo usado para se referir a todas as leis do mundo sobre proteção e privacidade de dados aplicáveis à respectiva parte que está na função de tratamento dos Dados Pessoais em questão conforme o Acordo, incluindo, sem restrição, as Leis de Proteção de Dados Europeias, a CCPA e as leis de proteção e privacidade de dados da Austrália e de Cingapura, em cada caso, conforme eventuais alterações, revogações, consolidações ou substituições de tais leis. 

“Titular” é o termo usado para se referir à pessoa natural a quem os Dados Pessoais se referem.

“Europa” é o termo usado para se referir à União Europeia, ao Espaço Econômico Europeu e/ou seus estados-membros, a Suíça e o Reino Unido. 

“Dados Europeus” é o termo usado para se referir aos Dados Pessoais protegidos pelas Leis de Proteção de Dados Europeias.

“Leis de Proteção de Dados Europeias” refere-se ao termo usado para as leis de proteção de dados aplicáveis à Europa, incluindo: (i) Regulamento 679/2016 do Parlamento e do Conselho Europeu sobre a proteção de pessoas naturais com relação ao tratamento de dados pessoais e sobre a livre movimentação de tais dados (Regulamento Geral de Proteção de Dados da União Europeia (“GDPR”); (ii) Diretiva 2002/58/EC sobre o tratamento de dados pessoais e a proteção da privacidade no setor de comunicações eletrônicas; e (iii) implementações nacionais aplicáveis dos itens (i) e (ii); ou (iii) em relação ao Reino Unido, qualquer legislação nacional aplicável que substitua ou converta em lei nacional o GDPR ou qualquer outra lei relativa a dados e privacidade em decorrência da saída do Reino Unido da União Europeia; e (iv) a Lei Federal de Proteção de Dados da Suíça de 19 de junho de 1992 e sua Regulamentação; em cada caso, conforme venha a ser eventualmente alterada ou substituída.  

“Instruções” é o termo usado para se referir às instruções documentadas por escrito e emitidas por um Responsável a um Operador instruindo-o a executar uma ação específica em relação aos Dados Pessoais (incluindo, sem restrição, anonimização, bloqueio, eliminação, disponibilização).

“Afiliados Permitidos” é o termo usado para se referir a qualquer um dos seus Afiliados que (i) tenha permissão para usar os Serviços de Assinatura conforme o Acordo, sem ter assinado um acordo próprio conosco e sem ser um “Cliente” conforme definido no Acordo; (ii) se qualifique como Responsável pelos Dados Pessoais Tratados por nós; e (iii) esteja sujeito às Leis de Proteção de Dados Europeias.

“Dados Pessoais” é o termo usado para se referir a qualquer informação relacionada a uma pessoa natural identificada ou identificável que esteja contida nos Dados do Cliente e seja protegida da mesma forma como dados pessoais, informações pessoais ou informações de identificação pessoal segundo as Leis de Proteção de Dados aplicáveis.

“Violação de Dados Pessoais” é o termo usado para se referir a uma violação de segurança que cause, em caráter acidental ou ilegal, a destruição, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou Tratados de outra forma por nós e/ou por nossos Suboperadores em relação à prestação dos Serviços de Assinatura. O termo “Violação de Dados Pessoais” não incluirá tentativas ou atividades que não comprometam a segurança dos Dados Pessoais, tais como: tentativas fracassadas de login, pings, varreduras de portas, ataques de negação de serviços e outros ataques de rede a firewalls ou sistemas em rede.

“Escudo de Privacidade” é o termo usado para se referir ao programa de autocertificação do Escudo de Privacidade da União Europeia–EUA e da Suíça–EUA do Departamento de Comércio dos EUA e aprovado pela Comissão Europeia nos termos de sua Decisão de 12 de julho de 2016 e pelo Conselho Federal Suíço em 11 de janeiro de 2017, respectivamente; conforme possa ser alterado, suplantado ou substituído.

“Princípios do Escudo de Privacidade” é o termo usado para se referir aos Princípios do Escudo de Privacidade (conforme complementado pelos Princípios Complementares) constantes do Anexo II da Decisão da Comissão Europeia de 12 de julho de 2016; conforme possam ser alterados, suplantados ou substituídos.

“Tratamento” é o termo usado para se referir a qualquer operação ou conjunto de operações com Dados Pessoais, englobando a coleta, gravação, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou outra forma de disponibilização, correlação ou combinação, restrição ou eliminação de Dados Pessoais. Os termos “tratar”, “trata” e “tratado” serão interpretados neste contexto.

“Operador” é o termo usado para se referir à pessoa física ou jurídica, de direito público ou privado, que trata os Dados Pessoais em nome do Responsável.

“Cláusulas Contratuais Padrão” é o termo usado para se referir às cláusulas contratuais padrão para Operadores aprovadas anexas conforme a decisão da Comissão Europeia (C(2010)593) de 5 de fevereiro de 2010, na forma estabelecida no Anexo 3; conforme possam ser alteradas, suplantadas ou substituídas.

“Suboperador” é o termo usado para se referir a qualquer Operador contratado por nós ou nossos Afiliados para auxiliar no cumprimento das nossas obrigações quanto à prestação dos Serviços de Assinatura sob o Acordo.  Os Suboperadores poderão incluir terceiros ou nossos Afiliados, excluindo todos os funcionários ou consultores da HubSpot.  

2. Responsabilidades do Cliente

a. Conformidade com as leis.. No escopo do Acordo e em seu uso dos serviços, você será responsável por cumprir todas as exigências previstas nas Leis de Proteção de Dados aplicáveis em relação ao Tratamento de Dados Pessoais e às Instruções emitidas a nós.

Em particular, mas sem prejudicar a generalidade do precedente, você reconhece e concorda que será exclusivamente responsável: (i) pela precisão, qualidade e legalidade dos Dados do Cliente e dos meios pelos quais adquiriu Dados Pessoais; (ii) por cumprir todas as exigências necessárias de transparência e licitude previstas nas Leis de Proteção de Dados aplicáveis à coleta e ao uso dos Dados Pessoais, obtendo, inclusive, todos os consentimentos e autorizações necessários (especialmente para uso pelo Cliente para fins de marketing); (iii) por garantir que você tenha o direito de transferir ou fornecer acesso aos Dados Pessoais para nós para fins de Tratamento nos termos do Acordo (incluindo este ATD); (iv) por garantir que suas Instruções para nós sobre o Tratamento de Dados Pessoais cumpram as leis aplicáveis, inclusive as Leis de Proteção de Dados; e (v) por cumprir todas as leis (inclusive as Leis de Proteção de Dados) aplicáveis a qualquer e-mail ou outros conteúdos criados, enviados ou gerenciados pelos Serviços de Assinatura, inclusive aqueles relacionados à obtenção de consentimentos (quando houver exigência) quanto ao envio de e-mails, ao conteúdo dos e-mails e às suas práticas de implantação de e-mail. Você informará imediatamente a nós se não for capaz de cumprir suas responsabilidades previstas nesta subseção (a) ou nas Leis de Proteção de Dados aplicáveis.

b. Instruções do Responsável. As partes concordam que o Acordo (incluindo este ATD), junto com o uso do Serviço de Assinatura pelo cliente conforme o Acordo, constituem as suas Instruções completas e definitivas para nós em relação ao Tratamento de Dados Pessoais, e instruções adicionais fora do escopo das Instruções requererão acordo prévio e por escrito entre nós e você.

3. Obrigações da HubSpot

a. Cumprimento das Instruções. Nós Trataremos apenas Dados Pessoais para os fins descritos neste ATD ou conforme acordado de outra forma dentro do escopo das suas Instruções lícitas, salvo se exigido de outra forma pelas leis aplicáveis. Nós não somos responsáveis pelo cumprimento de nenhuma Lei de Proteção de Dados aplicável a você ou ao seu setor que não seja geralmente aplicável a nós.

b. Conflito de leis. Ao ficarmos cientes de que não podemos Tratar Dados Pessoais conforme as suas Instruções devido a uma exigência legal prevista em qualquer lei aplicável, nós (i) comunicaremos você imediatamente sobre tal exigência legal obedecendo ao limite permitido pela lei aplicável; e (ii) quando necessário, interromperemos todo o Tratamento (exceto o mero armazenamento e manutenção da segurança dos Dados Pessoais afetados), até o momento em que você emitir novas Instruções que possamos cumprir. Caso a presente disposição seja invocada, nós não seremos responsabilizados perante você nos termos do Acordo por não prestar os Serviços de Assinatura aplicáveis devidos até o momento em que você emitir novas Instruções lícitas sobre o Tratamento.

c. Segurança. Nós implementaremos e manteremos medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais contra Violações de Dados Pessoais, conforme descrito no Anexo 2 deste ATD (“Medidas de Segurança”). Não obstante alguma disposição em contrário, nós poderemos modificar ou atualizar as Medidas de Segurança a nosso exclusivo critério, desde que tal modificação ou atualização não gere um prejuízo material à proteção oferecida pelas Medidas de Segurança. 

d. Confidencialidade. Nós garantiremos que todo o pessoal autorizado por nós a Tratar os Dados Pessoais em nosso nome estará sujeito às devidas obrigações de confidencialidade (seja por previsão em contrato ou na lei) em relação a esses Dados Pessoais.

e. Violações de Dados Pessoais. Nós notificaremos você prontamente após termos ciência de qualquer Violação de Dados Pessoais e forneceremos oportunamente informações relativas à Violação de Dados Pessoais quando estas forem conhecidas ou razoavelmente solicitadas por você. Mediante sua solicitação, nós prestaremos prontamente a assistência razoável necessária para dar condições a você de comunicar Violações de Dados Pessoais relevantes às autoridades competentes e/ou aos Titulares afetados, caso você precise fazê-lo nos termos das Leis de Proteção de Dados.

f. Exclusão ou devolução de Dados Pessoais. Nós excluiremos ou devolveremos todos os Dados do Cliente, incluindo Dados Pessoais (incluindo cópias deles) Tratados nos termos deste ATD, na ocasião de rescisão ou expiração do seu Serviço de Assinatura conforme os procedimentos e prazos estipulados no Acordo, ressalvando que esta exigência não se aplicará aos casos em que nós formos obrigados pela lei aplicável a reter os Dados do Cliente no todo ou em parte, ou aos Dados do Cliente arquivados nos sistemas de backup, dados estes que nós isolaremos em segurança e protegeremos contra Tratamentos posteriores, excluindo-os de acordo com suas práticas de exclusão. Você pode solicitar a exclusão da sua conta da HubSpot após a expiração ou encerramento da sua assinatura enviando uma solicitação aqui ou seguindo as instruções disponibilizadas aqui. Você pode recuperar os Dados do Cliente da sua conta da HubSpot de acordo com as seções “Recuperação dos Dados do Cliente” dos nossos Termos Específicos de Produtos.

4. Solicitações de Titulares

O Serviço de Assinatura oferece diversos controles que você pode usar para recuperar, corrigir, excluir ou restringir Dados Pessoais, e que você pode usar para auxiliá-lo a cumprir suas obrigações previstas nas Leis de Proteção de Dados, inclusive suas obrigações para atender a solicitações de Titulares no exercício de seus direitos conforme as Leis de Proteção de Dados aplicáveis (“Solicitações de Titulares”). 

Se você for incapaz de atender a uma Solicitação de Titular por conta própria pelo Serviço de Assinatura, então, mediante sua solicitação escrita, nós prestaremos assistência razoável a você para responder a eventuais Solicitações de Titulares ou de autoridades de proteção de dados sobre o Tratamento de Dados Pessoais nos termos do Acordo. Você nos reembolsará os custos comercialmente razoáveis decorrentes do referido auxílio.

Se a Solicitação de Titular ou outra solicitação sobre o Tratamento de Dados Pessoais nos termos do Acordo for feita diretamente a nós, nós informaremos prontamente o fato a você e instruiremos o Titular a enviar sua solicitação a você. Caberá unicamente a você responder a eventuais Solicitações de Titulares ou comunicações que envolvam Dados Pessoais.

5. Suboperadores

Você concorda que nós podemos contratar Suboperadores para Tratar Dados Pessoais em seu nome. No momento, nós nomeamos como Suboperadores os Afiliados da HubSpot e terceiros listados no Anexo 4 deste ATD. Nós notificaremos você caso adicionemos ou removamos Suboperadores do Anexo 4 antes de qualquer alteração, desde que você tenha optado por receber tais notificações por e-mail ao preencher o formulário disponível aqui.

Ao contratar Suboperadores, nós imporemos termos de proteção de dados aos Suboperadores que garantam, no mínimo, o mesmo grau de proteção para os Dados Pessoais dos termos do presente ATD (incluindo, quando apropriado, as Cláusulas Contratuais Padrão), observada a natureza dos serviços prestados por tais Suboperadores. Nós continuaremos responsáveis por cada Suboperador no que tange o cumprimento das obrigações previstas neste ATD e por todas as ações e omissões de tais Suboperadores que nos façam violar quaisquer de suas obrigações previstas neste ATD.

6. Transferências de dados

Você concorda e reconhece que nós podemos acessar e Tratar Dados Pessoais em escala global conforme o necessário para prestar o Serviço de Assinatura conforme o Acordo e, em particular, que os Dados Pessoais serão transferidos e Tratados pela HubSpot, Inc. nos Estados Unidos e em outras jurisdições nas quais os Afiliados da HubSpot e os Suboperadores tenham operações. Nós garantiremos que tais transferências sejam feitas de acordo com as exigências das Leis de Proteção de Dados.

7. Disposições adicionais sobre Dados Europeus

a. Escopo da Seção 7. Esta seção “Disposições adicionais sobre Dados Europeus” se aplicará apenas a Dados Europeus.

b. Funções das partes. No Tratamento de Dados Europeus conforme as suas Instruções, as partes reconhecem e concordam que o você é o Responsável pelos Dados Europeus, e que nós somos o Operador de tais dados.

c. Instruções. Nós informaremos a você imediatamente caso acreditemos que a sua Instrução viole as Leis de Proteção de Dados Europeias (quando for o caso).

d. Notificação eu objeção a novos Suboperadores. Nós notificaremos você acerca de eventuais mudanças nos Suboperadores atualizando o Anexo 4 deste ATD e daremos a você a oportunidade de se opor à contratação do novo Suboperador, com fundamentos razoáveis relacionados à proteção dos Dados Pessoais, no prazo de 30 dias após a atualização do Anexo 4 deste ATD. Caso você nos notifique sobre tal objeção, as partes discutirão as suas preocupações em boa-fé com o propósito de chegarem a uma solução comercialmente razoável. Caso as partes não cheguem a uma solução, nós, a nosso exclusivo critério, não contrataremos o novo Suboperador ou permitiremos que você suspenda ou rescinda o Serviço de Assinatura afetado de acordo com as disposições de rescisão do Acordo sem responsabilidade para nenhuma das partes (mas sem prejudicar nenhuma taxa devida por você anterior a tal suspensão ou rescisão).

e. Avaliações do impacto da proteção de dados e consultoria com autoridades de controle. Caso as informações necessárias estejam razoavelmente disponíveis para nós sem que você tenha acesso a elas, nós prestaremos auxílio razoável a você com relação a quaisquer avaliações de impacto de proteção de dados, e com consultas anteriores com autoridades de controle ou outras autoridades de privacidade de dados competentes conforme as exigências das Leis de Proteção de Dados Europeias.

f. Mecanismos para transferências de dados. 

(A) a HubSpot não transferirá Dados Europeus para nenhum país ou destinatário não reconhecido como provedor de um nível adequado de proteção de Dados Pessoais (conforme as Leis de Proteção de Dados Europeias aplicáveis), salvo se ela primeiro tomar todas as medidas necessárias para garantir que a transferência ocorra de acordo com as Leis de Proteção de Dados Europeias aplicáveis. Essas medidas podem incluir, sem restrição, a transferência de tais dados para um destinatário que esteja coberto por uma estrutura adequada ou outro mecanismo de transferência legalmente adequado reconhecido pelas autoridades ou tribunais relevantes como fornecendo um nível adequado de proteção para Dados Pessoais, para um destinatário que tenha obtido autorização de regras corporativas vinculativas de acordo com as Leis de Proteção de Dados Europeias, ou para um destinatário que tenha firmado cláusulas contratuais padrão adequadas em cada caso, conforme adotadas ou aprovadas de acordo com as Leis de Proteção de Dados Europeias aplicáveis.

(B) Você reconhece que, em relação à prestação dos Serviços de Assinatura, a HubSpot, Inc. é uma destinatária dos Dados Europeus nos Estados Unidos. As partes reconhecem e concordam com o seguinte:

• (a) Cláusulas Contratuais Padrão: a HubSpot, Inc. concorda em obedecer e tratar os Dados Europeus em conformidade com as Cláusulas Contratuais Padrão.

• (b) Escudo de Privacidade: embora a HubSpot, Inc. não conte mais com o Escudo de Privacidade da União Europeia–EUA como base legal para transferências de Dados Pessoais à luz do julgamento do Tribunal de Justiça da UE no Processo C-311/18, enquanto a HubSpot, Inc. for autocertificada conforme o Escudo de Privacidade, a HubSpot, Inc. processará os Dados Europeus em conformidade com os Princípios do Escudo de Privacidade e informará a você se não for capaz de cumprir essa exigência.
• (C) As partes concordam que (i) puramente para os fins das descrições nas Cláusulas Contratuais Padrão, a HubSpot, Inc. será considerada o “importador de dados”, e o Cliente será considerado o “exportador de dados” (não obstante você poder estar localizado fora da Europa e/ou estar agindo como um Operador em nome de Responsáveis terceirizados); (ii) não obstante o acima exposto, quando a entidade contratante da HubSpot nos termos do Acordo não for a HubSpot, Inc., você fornecerá a tal entidade contratante um mandato para celebrar as Cláusulas Contratuais Padrão com a HubSpot, Inc. em seu nome e interesse; tal entidade contratante (não a HubSpot, Inc.) permanecerá total e exclusivamente responsável por você pela execução das Cláusulas Contratuais Padrão pela HubSpot, Inc., e você encaminhará quaisquer instruções, reivindicações ou indagações em relação às Cláusulas Contratuais Padrão a tal entidade contratante; e (iii) se e na medida em que as Cláusulas Contratuais Padrão (quando aplicáveis) entrarem em conflito com qualquer disposição deste ATD, as Cláusulas Contratuais Padrão prevalecerão sobre o conflito.

g. Demonstração de conformidade. Nós disponibilizaremos todas as informações razoavelmente necessárias para demonstrar a conformidade com este ATD, e daremos permissão e contribuição para auditorias, incluindo suas inspeções para avaliar a conformidade com este ATD. Você reconhece e concorda que exercerá seus direitos de auditoria previstos neste ATD instruindo-nos a cumprir as medidas de auditoria descritas nesta subseção (g). Você reconhece que o Serviço de Assinatura é hospedado pelos nossos parceiros de data center que mantêm programas de segurança validados de forma independente (incluindo SOC 2 e ISO 27001) e que os nossos sistemas são regularmente testados por empresas independentes de testes de penetração. Mediante solicitação, nós forneceremos a você (em caráter confidencial) uma cópia resumida dos nosso(s) relatório(s) de testes de penetração para que você possa verificar nossa conformidade com este ATD.  Além disso, mediante sua solicitação por escrito, nós atenderemos por escrito (em caráter confidencial) a todas as solicitações razoáveis de informações feitas por você que sejam necessárias para confirmar a nossa conformidade com este ATD, ficando estabelecido que você não exercerá esse direito mais de uma vez por ano civil.

8. Disposições adicionais para Dados Pessoais da Califórnia

a. Escopo da Seção 8. A seção “Disposições adicionais para Dados Pessoais da Califórnia” se aplicará apenas a Dados Pessoais da Califórnia.

b. Funções das partes. Ao processar Dados Pessoais da Califórnia conforme as suas Instruções, as partes reconhecem e concordam que você é uma Empresa e que nós somos um Prestador de Serviços para os fins da CCPA.

c. Responsabilidades. As partes concordam que nós Trataremos os Dados Pessoais da Califórnia como um Prestador de Serviços estritamente para os fins de prestação dos Serviços de Assinatura e dos Serviços de Consultoria nos termos do Acordo (a “Finalidade Comercial”) ou conforme permitido pela CCPA, incluindo conforme descrito na seção ‘Práticas quanto ao uso de Dados e aprendizagem de máquina’ dos nossos Termos Específicos de Produtos.. 

9. Disposições gerais

a. Alterações. Não obstante algo em contrário no Acordo e sem prejudicar as seções “Cumprimento das Instruções” ou “Segurança” deste ATD, nós nos reservamos o direito de atualizar e alterar este ATD e os termos que se aplicam na seção “Alterações; Inexistência de Renúncia” dos Termos Principais.

b. Autonomia das disposições. Caso disposições individuais do presente ATD sejam determinadas como inválidas ou inexequíveis, a validade e a exequibilidade das demais disposições do presente ATD não serão afetadas.

c. Limitação de responsabilidade. A responsabilidade de cada uma das partes e de cada um de seus respectivos Afiliados, considerada de forma agregada, decorrente ou relacionada a este ATD (e quaisquer outros ATDs entre as partes) e às Cláusulas Contratuais Padrão (conforme o caso), seja por previsão em contrato, na lei ou de acordo com qualquer outra teoria de responsabilidade civil, será sujeita às limitações e exclusões de responsabilidade estabelecidas na seção “Limitação de responsabilidade” dos Termos Principais, e toda referência em tal seção à responsabilidade de uma parte significa a responsabilidade agregada de tal parte e todos os seus Afiliados nos termos do Acordo (incluindo este ATD).  Para que não restem dúvidas, se a HubSpot, Inc. não for uma parte do Acordo, a seção “Limitação de responsabilidade” dos Termos Principais se aplicará entre você e a HubSpot, Inc., e, nesse sentido, toda referência a “HubSpot”, “nós”, “nos” ou “nosso” incluirá tanto a HubSpot, Inc. quanto a pessoa jurídica da HubSpot que faz parte do Acordo.

d. Lei regente. Este ATD será regido e interpretado de acordo com as seções “Entidade para Contato”; “Lei Aplicável; Aviso” dos Termos Específicos de Jurisdições, salvo se exigido de outra forma pelas Leis de Proteção de Dados.

10. Partes deste ATD

a. Afiliados Permitidos. Ao assinar o Acordo, você celebra este ATD em seu nome e, observado o limite permitido pelas Leis de Proteção de Dados aplicáveis, em nome de seus Afiliados Permitidos, estabelecendo, portanto, um ATD separado entre nós e cada um desses Afiliados Permitidos sujeitos ao Acordo e às seções deste ATD intituladas “Disposições gerais” e “Partes deste ATD”. Cada Afiliado Permitido aceita as obrigações previstas neste ATD e, observado o limite aplicável, no Acordo. Apenas para os fins deste ATD e salvo quando indicado de outra forma, os termos “Cliente”, “você” e “seu” incluirão você e tais Afiliados Permitidos.

b. Autorização. A pessoa jurídica que anuir ao presente ATD na qualidade de Cliente declara ter autorização para aceitá-lo e celebrá-lo em seu próprio nome e, conforme o caso, em nome de cada um de seus Afiliados Permitidos.

c. Recursos jurídicos. Salvo quando as Leis de Proteção de Dados aplicáveis exigirem que um Afiliado Permitido exerça um direito ou busque diretamente qualquer recurso jurídico nos termos deste ATD contra nós por si, as partes concordam que (i) apenas a pessoa jurídica do Cliente que for parte contratante do Acordo exercerá, em nome de seus Afiliados, qualquer direito ou buscará qualquer recurso jurídico que qualquer Afiliado Permitido possa ter conforme este ATD; e (ii) a pessoa jurídica do Cliente que for a parte contratante do Acordo não exercerá tais direitos previstos neste ATD separadamente para cada Afiliado Permitido, mas de forma conjunta para si e para todos os seus Afiliados Permitidos. A pessoa jurídica do Cliente que for a parte contratante é responsável por coordenar toda a comunicação conosco nos termos do ATD, tendo direito de enviar e receber qualquer comunicação relacionada a este ATD em nome de seus Afiliados Permitidos  

d. Outros direitos. As partes concordam que você, ao analisar a nossa conformidade com este ATD nos termos da seção “Demonstração de conformidade”, tomará todas as medidas razoáveis para limitar qualquer impacto sobre nós e nossos Afiliados combinando em uma única auditoria várias solicitações de auditoria a serem conduzidas em nome da pessoa jurídica do Cliente que for a parte contratante do Acordo e de todos os seus Afiliados Permitidos.

Anexo 1 – Detalhes do Tratamento

Este Anexo faz parte do ATD. 

Nós Trataremos os Dados Pessoais conforme necessário para prestar os Serviços de Assinatura em conformidade com o Acordo, conforme especificado em mais detalhes no Formulário de Pedido e instruído por você no seu uso dos Serviços de Assinatura.

B.  Duração do Tratamento 

Sujeitos à seção “Exclusão ou devolução de Dados Pessoais” deste ATD, nós Trataremos Dados Pessoais durante a vigência do Acordo, salvo acordado de outra forma por escrito.  

Você poderá enviar Dados Pessoais ao usar o Serviço de Assinatura, cuja extensão é determinada e controlada por você a seu exclusivo critério, podendo incluir, sem restrições, Dados Pessoais relativos às seguintes categorias de Titulares:

Seus contatos e outros usuários finais, incluindo seus funcionários, prestadores de serviços, colaboradores, clientes, prospects, fornecedores e subcontratados. Os Titulares também poderão incluir pessoas físicas que tentarem se comunicar com os seus usuários finais ou transferir Dados Pessoais para você.

Você poderá enviar Dados Pessoais aos Serviços de Assinatura, cuja extensão é determinada e controlada por você a seu exclusivo critério, podendo incluir, sem restrições, as seguintes categorias de Dados Pessoais: 

• - Informações de Contato (conforme definido nos Termos Principais).
• - Quaisquer outros Dados Pessoais que você ou seus usuários finais enviarem ou receberem pelo Serviço de Assinatura.

As partes não preveem a transferência de categorias especiais de dados.

Os Dados Pessoais serão tratados conforme o Acordo (incluindo este ATD) e poderão estar sujeitos às seguintes atividades de Tratamento: 

Anexo 2 – Medidas de Segurança

Este Anexo faz parte do ATD.

No momento, nós seguimos as Medidas de Segurança descritas no presente Anexo 2. Todos os termos em maiúsculas não definidos de outra forma neste documento terão os mesmos significados definidos nos Termos Principais.

a) Controle de acesso

i) Impedimento ao acesso não autorizado ao produto

Tratamento terceirizado: nós hospedamos o nosso Serviço com fornecedores de infraestrutura em nuvem terceirizados. Além disso, mantemos relacionamentos contratuais com fornecedores a fim de prestar o Serviço de acordo com o nosso ATD. Confiamos nos acordos contratuais, nas políticas de privacidade e nos programas de conformidade dos fornecedores para proteger os dados tratados ou armazenados por eles.

Segurança física e ambiental: nós hospedamos a infraestrutura do nosso produto com fornecedores de infraestrutura de multilocação terceirizados. Os controles físicos e ambientais de segurança são auditados quanto ao cumprimento dos padrões SOC 2 Tipo II e ISO 27001, entre outras certificações.

Autenticação: nós implementamos uma política uniforme de senhas para os produtos dos nossos clientes. Os clientes que interagem com os produtos via a interface de usuário devem passar por autenticação antes de acessar dados de clientes que não são públicos.

Autorização: os Dados do Cliente são armazenados em sistemas de armazenamento de multilocação acessíveis aos Clientes somente por meio de interfaces de usuários de aplicativos e interfaces de programação de aplicativos. Os Clientes não têm acesso direto à infraestrutura de aplicativos subjacente. O modelo de autorização de cada um dos nossos produtos é projetado para garantir que somente pessoas devidamente autorizadas consigam acessar recursos, visualizações e opções de personalização pertinentes. A autorização a conjuntos de dados é feita pela validação das permissões do usuário de acordo com os atributos associados a cada conjunto de dados.

Acesso por Interfaces de Programação de Aplicativos (API): as APIs públicas de produtos podem ser acessadas por uma chave de API ou por autorização com protocolo Oauth.

Nós implementamos controles de acesso e recursos de detecção que são padrão do mercado para as redes internas que dão suporte aos nossos produtos.

Controles de acesso: os mecanismos de controle de acesso a redes são projetos para impedir que tráfego de rede com protocolos não autorizados alcance a infraestrutura dos produtos. As medidas técnicas implementadas variam conforme os fornecedores de infraestrutura e incluem implementações de Nuvem Privada Virtual (VPC, na sigla em inglês), atribuições de grupos de segurança e regras de firewall tradicionais.

Detecção e prevenção de intrusões: nós implementamos uma solução de Firewall de Aplicativo Web (WAF, na sigla em inglês) para proteger sites hospedados de clientes e outras aplicativos acessíveis pela Internet. O WAF é projetado para identificar e prevenir ataques contra serviços de rede disponíveis publicamente.

Análise de código estático: as análises de segurança de códigos armazenados nos nossos repositórios de código-fonte são feitas para verificar as práticas recomendadas de programação e falhas identificáveis em software.

Teste de penetração: nós mantemos relacionamentos com prestadores de serviços de testes de penetração de renome no mercado para a realização de quatro testes de penetração por ano. O objetivo dos testes de penetração é identificar e resolver vetores previsíveis de ataque e potenciais cenários de abuso.

Programa de caça a bugs: um programa de caça a bugs convida e incentiva pesquisadores independentes de segurança a descobrir e revelar, de forma ética, as falhas de segurança. Nós implementamos um programa de caça a bugs a fim de ampliar as oportunidades de engajamento com a comunidade de segurança e melhorar as defesas dos produtos contra ataques sofisticados.

iii)    Limitações de privilégios e requisitos de autorização

Acesso a produtos: um subgrupo dos nossos funcionários tem acesso aos produtos e Dados de Clientes por meio de interfaces controladas. Os objetivos do acesso a um subgrupo de funcionários é a prestação de um suporte ao cliente eficaz, a solução de possíveis problemas, a detecção e a resposta a incidentes de segurança e a implementação da segurança de dados. O acesso é permitido por solicitações “just in time”; todas essas solicitações ficam registradas. Os funcionários têm acesso de acordo com suas funções, e análises de concessões de privilégios de alto risco são feitas diariamente. As funções dos funcionários são analisadas pelo menos uma vez a cada seis meses.

Verificações de histórico profissional: todos os funcionários da HubSpot passam por uma verificação independente do histórico profissional antes de avançarem em uma proposta de trabalho, de acordo com as leis aplicáveis. Todos os funcionários da HubSpot são obrigados a se comportar conforme as diretrizes da empresa, exigências de confidencialidade e padrões éticos.

Em trânsito: nós disponibilizamos criptografia HTTPS (também chamada de SSL ou TLS) em todas as nossas interfaces de login e gratuitamente em todos os sites de clientes hospedados nos produtos da HubSpot. Nossa implementação HTTPS usa algoritmos e certificados que são padrão na indústria.

Em repouso: nós armazenamos as senhas dos usuários de acordo com políticas que seguem práticas de segurança padrão de mercado.  Implementamos tecnologias para garantir que os dados armazenados fiquem criptografados quando estiverem em repouso. 

Detecção: nós projetamos nossa infraestrutura para registrar vastas informações sobre comportamento do sistema, tráfego recebido, autenticação do sistema e outras solicitações de aplicativos. Os sistemas internos agregam dados de registro e alertam determinados funcionários sobre atividades mal-intencionadas, não intencionais ou anômalas. Nossos funcionários, incluindo as equipes de segurança, de operações e de suporte, respondem a incidentes conhecidos.

Resposta e rastreamento: nós mantemos um registro de incidentes conhecidos de segurança com descrição, datas e horários das atividades relevantes, e a descrição dos incidentes. Incidentes de segurança suspeitos e confirmados são investigados pelas equipes segurança, de operações ou de suporte. As devidas etapas de solução são identificadas e documentadas. No caso de incidentes confirmados, tomaremos as providências adequadas para minimizar os dados sobre os produtos e sobre o Cliente ou divulgações de dados não autorizadas. A notificação a você será feita de acordo com os termos do Acordo. 

Disponibilidade da infraestrutura: os fornecedores de infraestrutura envidam esforços comercialmente razoáveis para garantir um tempo de atividade mínimo de 99,95%. Os fornecedores mantêm um mínimo de redundância N+1 para os serviços de energia, rede e aquecimento, ventilação e ar condicionado.

Tolerância a falhas: há estratégias de backup e replicação criadas para garantir a redundância e proteções contra failover durante uma falha significativa do tratamento. É feito um backup dos dados do Cliente em diversos repositórios duráveis de dados e replicados em diversas zonas de disponibilidade.

Réplicas e backups on-line: quando viável, os bancos de dados de produção são projetados para replicar os dados entre, no mínimo, um banco de dados primário e um banco de dados secundário. Todos os bancos de dados são mantidos e têm backups que usam, no mínimo, métodos que são padrão na indústria.

Nossos produtos são projetados para garantir redundância e failover integrado. As instâncias de servidores que atendem aos produtos também são arquitetadas com o objetivo de impedir pontos únicos de falhas. Isso nos auxilia a manter e atualizar os aplicativos e backends de produtos com tempo limitado de inatividade.

Anexo 3 – Cláusulas Contratuais Padrão

Para efeitos do Artigo 26(2) da Diretiva 95/46/CE para a transferência de dados pessoais a operadores estabelecidos em países terceiros que não garantem um nível adequado de proteção a dados,

O Cliente, conforme definido nos Termos de serviço ao cliente da HubSpot (o “exportador de dados”)

E

a HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141 (o “importador de dados”),

sendo cada um uma “parte”, e juntos, “partes”,

CONCORDAM com as seguintes Cláusulas Contratuais (as Cláusulas) a fim de aduzir proteções adequadas à proteção da privacidade e de direitos e liberdades fundamentais de pessoas naturais relacionados à transferência dos dados pessoais especificados no Apêndice 1 entre o exportador de dados e o importador de dados.

Cláusula 1ª

Definições

Para os fins das Cláusulas:

“dados pessoais”, “categorias especiais de dados”, “tratar/tratamento”, “responsável”, “operador”, “titular” e “autoridade de controle” terão o significado que têm na Diretiva 95/46/EC do Parlamento Europeu e do Conselho de 24 de outubro de 1995 sobre a proteção de pessoas naturais em relação ao tratamento de dados pessoais e à livre circulação desses dados;

“exportador de dados” é o termo usado para se referir ao responsável que transfere os dados pessoais;

“importador de dados” é o termo usado para se referir ao operador que concorda em receber dados pessoais do exportador de dados para tratá-los em nome dele após a transferência, de acordo com suas instruções e com os termos das Cláusulas, e que não está sujeito ao sistemas de um país terceiro, garantindo a adequada proteção conforme definição do Artigo 25(1) da Diretiva 95/46/EC;

“suboperador” é o termo usado para se referir a qualquer operador contratado pelo importador de dados ou por qualquer outro suboperador do importador de dados que concorda em receber do importador de dados, ou de qualquer outro suboperador do importador dados, dados pessoais exclusivamente para que atividades de tratamento sejam executadas em nome do exportador de dados após a transferência, de acordo com suas instruções, com os termos das Cláusulas e com os termos de subcontratos por escrito;

“leis aplicáveis de proteção de dados” é o termo usado para se referir às legislações que protegem os direitos e as liberdades fundamentais de pessoas naturais, em particular, o direito à privacidade em relação ao tratamento de dados pessoais aplicáveis a um operador de dados no Estado-Membro que o exportador de dados esteja estabelecido;

“medidas técnicas e organizacionais de segurança” é o termo usado para se referir às medidas destinadas à proteção de dados pessoais contra destruição acidental ou ilegal, contra perda, alteração, divulgação ou acesso não autorizados em caráter acidental, em particular, quando o tratamento envolver a transmissão de dados por rede, e contra todas as outras formas de tratamento ilegal.

Cláusula 2ª

Detalhes da transferência

Os detalhes da transferência e, em particular, as categorias especiais de dados pessoais quando for o caso, estão especificados no Apêndice 1, que é parte integrante das Cláusulas.

Cláusula 3ª

Cláusula de terceiros beneficiários

1.  O titular, na qualidade de terceiro beneficiário, pode fazer valer, em face do exportador de dados: esta Cláusula, a Cláusula 4(b) a (i), a Cláusula 5(a) a (e), e de (g) a (j), a Cláusula 6(1) e (2), a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12.

2. O titular pode fazer valer em face do importador de dados esta Cláusula, a Cláusula 5(a) a (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12 nos casos em que o exportador de dados tenha efetivamente desaparecido ou deixado de existir juridicamente, salvo se uma eventual entidade sucessora tiver assumido todas as obrigações jurídicas do exportador de dados por contrato ou por força de lei, assumindo, portanto, os direitos e obrigações do exportador de dados, caso no qual o titular pode fazer valer tais cláusulas em face de tal entidade sucessora.

3. O titular pode fazer valer em face do suboperador esta Cláusula, a Cláusula 5(a) a (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12 nos casos em que tanto o exportador de dados quanto o importador de dados tenham efetivamente desaparecido, deixado de existir juridicamente ou se tornado insolventes, salvo se uma eventual entidade sucessora tiver assumido todas as obrigações jurídicas do exportador de dados por contrato ou por força de lei, assumindo, portanto, os direitos e obrigações do exportador de dados, caso no qual o titular pode fazer valer tais cláusulas em face de tal entidade sucessora. Essa responsabilidade perante terceiros do suboperador ficará limitada às suas próprias atividades de tratamento nos termos das Cláusulas.

4. As partes não se opõem a um titular ser representado por uma associação ou outro órgão se a legislação nacional permitir e se o titular declarar expressamente que esta é sua vontade.

Cláusula 4ª

Obrigações do exportador de dados

O exportador de dados declara e garante:

(a) que o tratamento dos dados pessoais, incluindo a própria transferência deles, tenha ocorrido e que continuará ocorrendo de acordo com as disposições pertinentes das leis aplicáveis de proteção de dados (e, quando for o caso, que foi comunicado às autoridades competentes do Estado-Membro em que o exportador de dados está estabelecido) e que tal tratamento, incluindo a própria transferência, não violam as disposições pertinentes de tal Estado;

(b) que instruiu e instruirá, ao longo de toda a duração dos serviços de tratamento de dados pessoais, o importador de dados a tratar os dados pessoais transferidos somente em nome do exportador de dados e de acordo com as leis aplicáveis de proteção de dados e as Cláusulas;

(c) que o importador de dados fornecerá garantias suficientes em relação às medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 do presente contrato;

(d) que após avaliar as exigências das leis aplicáveis de proteção de dados, as medidas de segurança são adequadas para a proteção de dados pessoais contra destruição acidental ou ilegal, contra perda, alteração, divulgação ou acesso não autorizados em caráter acidental, em particular, quando o tratamento envolver a transmissão de dados por rede, e contra todas as outras formas de tratamento ilegal, e que tais medidas garantem um nível de segurança adequado aos riscos apresentados pelo tratamento e pela natureza dos dados a serem protegidos, considerando o estado da arte e o custo da implementação de tais medidas.

(e) que garantirá o cumprimento de tais medidas de segurança;

(f) que, se a transferência envolver categorias especiais de dados, o titular foi ou será informado antes ou assim que possível após a transferência de que seus dados poderiam ser transmitidos a um país terceiro que não oferece a proteção adequada a dados nos termos da Diretiva 95/46/EC;

(g) encaminhar eventuais notificações provenientes do importador de dados ou de qualquer suboperador conforme a Cláusula 5(b) e a Cláusula 8(3) à autoridade de controle de proteção de dados caso o exportador de dados decida continuar a transferência ou retirar a suspensão;

(h) disponibilizar, mediante solicitação dos titulares, uma cópia das Cláusulas, com exceção do Apêndice 2, e uma breve descrição das medidas de segurança, bem como uma cópia de qualquer contrato para serviços de subtratamento que deva ser feito de acordo com as Cláusulas, salvo se as Cláusulas ou o contrato contiverem informações comerciais, caso no qual tais informações comerciais poderão ser removidas;

(i) que, no caso de subtratamento, a atividade de tratamento seja desempenhada de acordo com a Cláusula 11 por um suboperador que ofereça, no mínimo, o mesmo nível de proteção a dados pessoais e os mesmos direitos de titulares que o importador de dados nos termos das Cláusulas; e

(j) que cumprirá a Cláusula 4(a) a (i).

Cláusula 5ª

Obrigações do importador de dados

O importador de dados declara e garante:

(a) tratar os dados pessoais em nome do exportador de dados e de acordo com as instruções dele e com as Cláusulas; se, por algum motivo, tal conformidade não for possível, o importador de dados concorda em notificar prontamente o exportador de dados acerca de tal impossibilidade, caso no qual o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;

(b) que não tem motivos para acreditar que a legislação aplicável a si o impeça de cumprir as instruções passadas pelo exportador de dados e suas obrigações previstas no contrato, e que, no caso de mudanças em tal legislação que tenham potencial para prejudicar as obrigações e garantias previstas pelas Cláusulas, o importador de dados prontamente notificará o exportador de dados assim que tomar ciência de tais mudanças, caso no qual o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;

(c) que implementou as medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 antes de tratar os dados pessoais transferidos;

(d) que comunicará prontamente o exportador de dados sobre:

(i) qualquer solicitação legalmente vinculante para divulgar dados pessoais feita por uma autoridade policial ou de fiscalização, salvo se não houver uma proibição que o impeça de fazer tal comunicação, como uma proibição na legislação penal para preservar a confidencialidade de uma investigação policial ou investigação;

(ii) qualquer acesso acidental ou não autorizado; e

(iii) qualquer solicitação recebida diretamente dos titulares, sem ter respondido a tal solicitação, salvo se houver autorização em contrário para fazê-lo;

(e) atender pronta e devidamente a todos os contatos do exportador de dados em relação ao tratamento de seus dados pessoais, sujeitando-se a transferir e a cumprir as orientações da autoridade de controle em relação ao tratamento dos dados transferidos;

(f) mediante solicitação do exportador de dados, submeter suas instalações de tratamento de dados a auditorias das atividades de tratamento cobertas pelas Cláusulas, que poderão ser conduzidas pelo exportador de dados ou por um órgão de inspeção composto por profissionais independentes devidamente qualificados e com a obrigação de confidencialidade, conforme a seleção pelo exportador de dados, quando aplicável, de acordo com a autoridade de controle;

(g) disponibilizar, mediante solicitação do titular, uma cópia das Cláusulas ou uma cópia de qualquer contrato para serviços de subtratamento, salvo se as Cláusulas ou o contrato contiverem informações comerciais, caso no qual tais informações comerciais poderão ser removidas, com a exceção do Apêndice 2, que será substituído por uma breve descrição das medidas de segurança nos casos em que o titular não conseguir obter uma cópia com o exportador de dados;

(h) que, no caso de subtratamento, já informou previamente ao exportador de dados e obteve seu consentimento prévio por escrito;

(i) que os serviços de tratamento por parte do suboperador serão prestados de acordo com a Cláusula 11;

(j) enviar prontamente ao exportador de dados uma cópia de qualquer contrato com suboperador que for firmado nos termos das Cláusulas.

Cláusula 6ª

Responsabilidade

1. As partes concordam que qualquer titular que sofrer danos em decorrência da violação das obrigações mencionadas na Cláusula 3 ou na Cláusula 11 por qualquer parte ou por um suboperador tem direito a receber indenização do exportador de dados pelos danos sofridos.

2. Se um titular não puder ajuizar uma ação indenizatória nos termos do parágrafo 1 em face do exportador de dados em decorrência de uma violação de qualquer das obrigações previstas na Cláusula 3 ou na Cláusula 11 por parte do importador de dados ou de seu suboperador, porque o exportador de dados efetivamente desapareceu, deixou de existir juridicamente ou se tornou insolvente, o importador de dados concorda que o titular poderá ajuizar uma ação em face do importador de dados como se ele fosse o exportador de dados, salvo se uma eventual entidade sucessora tiver assumido todas as obrigações jurídicas do exportador de dados por contrato ou por força de lei, caso no qual o titular poderá fazer valer seus direitos em face de tal entidade sucessora. O importador de dados não poderá se basear na violação de suas obrigações por parte de um suboperador para se esquivar de suas próprias responsabilidades.

3. Se um titular não puder ajuizar uma ação em face do exportador de dados ou do importador de dados nos termos dos parágrafos 1 e 2 em decorrência de uma violação por parte deles de qualquer das obrigações previstas na Cláusula 3 ou na Cláusula 11, porque tanto o exportador de dados quanto o importador de dados efetivamente desapareceram, deixaram de existir juridicamente ou se tornaram insolventes, o suboperador concorda que o titular poderá ajuizar uma ação em face do suboperador de dados em relação às suas próprias atividades de tratamento previstas nas Cláusulas como se ele fosse o exportador de dados ou o importador de dados, salvo se uma eventual entidade sucessora tiver assumido todas as obrigações jurídicas do exportador de dados ou do importador de dados por contrato ou por força de lei, caso no qual o titular poderá fazer valer seus direitos em face de tal entidade sucessora. A responsabilidade do suboperador ficará limitada às suas próprias atividades de tratamento nos termos das Cláusulas.

Cláusula 7ª

Mediação e jurisdição

(a) submeter a controvérsia a mediação por uma parte externa à relação ou, quando aplicável, pela autoridade de controle;
(b) submeter a controvérsia a tribunais do Estado-Membro onde o exportador de dados está estabelecido.

2. As partes concordam que a opção escolhida pelo titular não prejudicará seus direitos materiais ou processuais de buscar remédios jurídicos previstos em outras disposições ou na legislação internacional.

Cláusula 8ª

Cooperação com autoridades de controle

1. O exportador de dados concorda em entregar uma cópia deste contrato à autoridade de controle se assim for solicitado ou se tal entrega for exigida pelas leis aplicáveis de proteção de dados.

2. As partes concordam que a autoridade de controle tem o direito de conduzir uma auditoria no importador de dados e em qualquer suboperador que tenha o mesmo escopo e esteja sujeito às mesmas condições que se aplicariam a uma auditoria do exportador de dados nos termos das leis aplicáveis de proteção de dados.

3. O importador de dados prontamente comunicará ao exportador de dados sobre a existência de legislação aplicável a si ou a qualquer suboperador que impeça a condução de uma auditoria do importador de dados ou de qualquer suboperador nos termos do parágrafo 2. Neste caso, o exportador de dados terá direito a agir conforme previsto na Cláusula 5(b).

Cláusula 9ª

Lei regente

As Cláusulas serão regidas pelas leis do Estado-Membro onde o exportador de dados está estabelecido.

Cláusula 10

Alteração do contrato

As partes se comprometem a não alterar ou modificar as Cláusulas. Isso não impede as partes de adicionar cláusulas que versem sobre assuntos comerciais quando necessário, desde que tais cláusulas adicionais não sejam conflitantes com as Cláusulas.

Cláusula 11

Subtratamento

1. O importador de dados não subcontratará nenhuma de suas atividades de tratamento executadas em nome do exportador de dados nos termos das Cláusulas sem o consentimento prévio por escrito do exportador de dados. Caso o importador de dados subcontrate suas obrigações nos termos das Cláusulas, com o consentimento do exportador de dados, o importador de dados o fará somente por meio de um contrato por escrito com o suboperador, impondo a ele as mesmas obrigações a que o importador de dados assumiu conforme as Cláusulas. Caso o Suboperador descumpra suas obrigações de proteção de dados previstas em tal contrato por escrito, o importador de dados continuará sendo plenamente responsável perante o exportador de dados pelo cumprimento das obrigações do suboperador nos termos de tal contrato.

2. O contrato prévio por escrito entre o importador de dados e o suboperador também conterá uma cláusula de terceiros beneficiários conforme estabelecido na Cláusula 3 para os casos em que o titular não puder ajuizar a ação indenizatória mencionada no parágrafo 1 da Cláusula 6 em face do exportador de dados ou do importador de dados, porque eles efetivamente desapareceram, deixaram de existir juridicamente ou se tornaram insolventes e nenhuma entidade sucessora assumiu todas as obrigações jurídicas do exportador de dados ou do importador de dados por contrato ou por força de lei. Essa responsabilidade perante terceiros do suboperador ficará limitada às suas próprias atividades de tratamento nos termos das Cláusulas.

3. As disposições relacionadas aos aspectos de proteção de dados para o subtratamento do contrato mencionado no parágrafo 1 serão regidas pelas leis do Estado-Membro onde o exportador de dados está estabelecido.

4. O exportador de dados manterá uma lista de contratos de subtratamento firmados conforme as Cláusulas e comunicados pelo importador de dados conforme a Cláusula 5(j), atualizando-a ao menos uma vez por ano. A lista ficará disponível à autoridade de controle de proteção de dados do exportador de dados.

Cláusula 12

Obrigação após o término dos serviços de tratamento de dados pessoais

1. As partes concordam que, na ocasião do término dos serviços de tratamento de dados pessoais, o importador de dados e o suboperador, por opção do exportador de dados, devolverão todos os dados pessoais transferidos e suas respectivas cópias ao exportador de dados ou destruirá todos os dados pessoais e certificará ao exportador de dados que assim o fez, salvo se a legislação imposta ao importador de dados o impedir de devolver ou destruir, no todo ou em parte, os dados pessoais transferidos. Nesse caso, o importador de dados garante que manterá a confidencialidade dos dados pessoais transferidos e não mais os tratará de forma ativa.

2. O importador de dados e o suboperador garantem que, mediante solicitação do exportador de dados e/ou da autoridade de controle, submeterá suas instalações de tratamento de dados a uma auditoria das medidas mencionadas no parágrafo 1.

Apêndice 1 das Cláusulas Contratuais Padrão

Este Apêndice faz parte das Cláusulas Contratuais Padrão (as “Cláusulas”).

Os termos definidos usados neste Apêndice 1 seguirão os significados dados a eles no Acordo (incluindo o ATD).

Exportador de dados

O exportador de dados é a pessoa jurídica especificada como “Cliente” no ATD. 

Importador de dados

O importador de dados é a HubSpot, Inc.

Titulares

Consulte o Anexo 1 do ATD, que descreve os titulares dos dados. 

Categorias de dados

Consulte o Anexo 1 do ATD, que descreve as categorias de dados. 

Categorias especiais de dados (se adequado)

As partes não preveem a transferência de categorias especiais de dados.

Finalidades do Tratamento.

A HubSpot, Inc. tratará dados pessoais conforme necessário para prestar os Serviços de Assinatura ao exportador de dados nos termos do Acordo.  

Operações de tratamento

Consulte o Anexo 1 do ATD, que descreve as operações de tratamento. 

Apêndice 2 das Cláusulas Contratuais Padrão

Este Apêndice faz parte das Cláusulas Contratuais Padrão (as “Cláusulas”). 

Descrição das medidas técnicas e organizacionais de segurança implementadas pelo importador de dados conforme as Cláusulas 4(d) e 5(c) (ou documento/legislação anexa:

Consulte o Anexo 2 do ATD, que descreve as medidas técnicas e organizacionais de segurança implementadas pela HubSpot. 

Apêndice 3 das Cláusulas Contratuais Padrão

Este Apêndice faz parte das Cláusulas Contratuais Padrão (as “Cláusulas”).

Este Apêndice define a interpretação das partes de suas respectivas obrigações conforme os termos específicos das Cláusulas. Quando uma parte cumprir as interpretações estabelecidas neste Apêndice, a outra parte a considerará como tendo cumprido as obrigações previstas nestas Cláusulas.  

Para os fins deste Apêndice, “ATD” é o termo usado para se referir ao Acordo de Tratamento de Dados em vigor entre o Cliente e a HubSpot e ao qual estas Cláusulas são incorporadas. O significado de “Acordo” estará estipulado no ATD. 

Cláusula 4ª(h) e 8: Divulgação destas Cláusulas  

a. O exportador de dados concorda que essas Cláusulas são Informações Confidenciais do importador de dados conforme o termo definido no Acordo e não poderão ser divulgadas pelo exportador de dados a terceiros sem o consentimento prévio por escrito do importador de dados, salvo se o Acordo permitir.  Isso não impedirá a divulgação destas Cláusulas a um titular dos dados nos termos da Cláusula 4ª(h) ou a uma autoridade de controle nos termos da Cláusula 8ª.

Cláusula 5(a) e 5(b): Suspensão das transferências de dados e rescisão

a. As partes reconhecem que o importador de dados poderá tratar os dados pessoais apenas em nome do exportador de dados e de acordo com as instruções dele e com as Cláusulas.

b. As partes reconhecem que se o importador de dados não puder cumprir tal conformidade de acordo com a Cláusula 5(a) e a Cláusula 5(b) por qualquer motivo que seja, o importador de dados concorda em notificar prontamente o exportador de dados acerca de tal impossibilidade. Nesse caso, o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato para as partes afetadas dos Serviços de acordo com os termos do Acordo.

c. Se o exportador de dados tiver a intenção de suspender a transferência de dados pessoais e/ou rescindir as partes afetadas dos Serviços, ele se esforçará para notificar o importador de dados e dar ao importador de dados um prazo razoável para sanar a não conformidade (“Prazo de Saneamento”). 

d. Se necessário, as partes deverão cooperar razoavelmente entre si durante o Prazo de Saneamento para acordar quais salvaguardas adicionais ou outras medidas, se houver, poderão ser razoavelmente necessárias para garantir a conformidade do importador de dados com as Cláusulas e a lei de proteção de dados aplicável.

e. Se, após o Prazo de Saneamento, o importador de dados não tiver conseguido sanar a não conformidade, o exportador de dados poderá suspender e/ou rescindir a parte afetada dos Serviços de acordo com as disposições do Acordo, sem responsabilidade para com nenhuma das partes (mas sem prejuízo a quaisquer taxas incorridas pelo exportador de dados antes da suspensão ou rescisão). O exportador de dados não será obrigado a fornecer tal notificação caso considere que há um risco significativo de prejudicar os titulares dos dados ou os dados pessoais deles.

Cláusula 5(f): Auditoria

a. O exportador de dados reconhece e concorda que exerce seu direito de autoria conforme a Cláusula 5(f) ao instruir o importador de dados a cumprir as medidas de auditoria descritas na seção “Demonstração de conformidade” do ATD.  

Cláusula 5(j): Apresentação de contratos de suboperador

a. As partes reconhecem a obrigação do importador de dados de enviar prontamente ao exportador de dados uma cópia de qualquer contrato com suboperador secundário que for firmado nos termos das Cláusulas.

b. As partes reconhecem ainda que, conforme as restrições de confidencialidade do suboperador, o importador de dados pode estar impedido de divulgar os contratos de suboperador secundário ao exportador de dados.  Não obstante, o importador de dados envidará esforços razoáveis para solicitar que qualquer suboperador apontado por ele permita a apresentação do contrato de suboperador ao exportador de dados.

c. Mesmo quando o importador de dados não puder apresentar um contrato de suboperador ao exportador de dados, as partes concordam que, mediante solicitação do exportador de dados, o importador de dados apresentará ao exportador de dados (de forma confidencial) todas as informações que razoavelmente solicitar em relação a tal contrato de subtratamento. 

Cláusula 6: Responsabilidade

Cláusula 11: Subtratamento secundário

a. As partes reconhecem que, nos termos das Perguntas frequentes II.1 do documento WP 176 do Grupo de Trabalho do Artigo 29 intitulado “Perguntas frequentes para tratar de questões oriundas da entrada em vigor da Decisão da Comissão Europeia 2010/87/UE de 5 de fevereiro de 2010 sobre as cláusulas contratuais padrão para a transferência de dados pessoais a operadores estabelecidos em outros países conforme a Diretiva 95/46/EC”, o exportador de dados poderá fornecer um consentimento geral para subprocessamento secundário pelo importador de dados.

b. Desta forma, o exportador de dados apresenta um consentimento geral ao importador de dados para contratar operadores secundários nos termos da Cláusula 11 destas Cláusulas.  Tal consentimento fica condicionado ao cumprimento por parte do importador de dados das exigências estabelecidas na seção “Notificação e objeção a novos suboperadores” do ATD. 

Cláusula 12: Obrigação após o término dos serviços de tratamento de dados pessoais

a. O importador de dados concorda que o exportador de dados cumprirá sua obrigação de devolver ou destruir todos os dados pessoais na ocasião do término da prestação dos serviços de tratamento de dados em cumprimento da seção “Exclusão ou devolução de Dados Pessoais” do ATD.  

 Anexo 4 – Lista de Suboperadores

* Para os clientes da HubSpot que adquiriram serviços a partir de 11 de março de 2020, seus dados serão automaticamente armazenados/tratados por nosso novo Suboperador, a Snowflake. Nós não armazenaremos Dados do Cliente na Snowflake para clientes da HubSpot que adquiriram nossos serviços antes de 11 de março de 2020 e que optaram por não ter seus dados armazenados na Snowflake.

Para receber um e-mail sempre que houver atualizações neste Anexo 4, clique aqui.