Talk legal to me
Última modificação: 27 de setembro de 2021
IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.
Última modificação: 27 de setembro de 2021
Este Acordo é fornecido apenas para sua conveniência. A versão em inglês deste Acordo terá precedência sobre outras, e em hipótese alguma a versão em português deverá ser interpretada para modificar a versão em inglês ou de outra forma reger o relacionamento entre as partes.
[Precisa de uma cópia assinada? Clique aqui.]
O presente Acordo de Tratamento de Dados da HubSpot e seus Anexos (“ATD”) reflete o acordo das partes sobre o Tratamento de Dados Pessoais por nós em seu nome em relação aos Serviços de Assinatura da HubSpot conforme os Termos de Serviço ao Cliente da HubSpot entre você e nós (também referido neste ATD como o “Acordo”).
O presente ATD complementa e integra o Acordo, entrando em vigor a partir de sua incorporação ao Acordo, a qual poderá ser especificada no Acordo, em um Pedido ou em uma alteração firmada do Acordo. Em caso de conflitos ou incoerência com os termos do Acordo, este ATD prevalecerá.
Nós atualizamos estes termos de tempos em tempos. Se você tiver uma assinatura ativa da HubSpot, informaremos sobre as atualizações por e-mail (se você tiver optado por receber notificações por e-mail pelo link nos nossos Termos Principais) ou por notificação no aplicativo. Você pode encontrar versões arquivadas do ATD aqui.
O termo do presente ATD acompanhará o termo do Acordo. Os termos não definidos de outra forma neste ATD terão os mesmos significados definidos no Acordo.
Anexo 1 – Detalhes do Tratamento
Anexo 2 – Medidas de Segurança
Anexo 3 – Lista de Suboperadores
Anexo 4 – Cláusulas Contratuais Padrão
“Dados Pessoais da Califórnia” é o termo usado para se referir a Dados Pessoais protegidos pela CCPA.
“CCPA” é o termo usado para se referir à Seção 1798.100 et seq. do Código Civil da Califórnia (também conhecida como “California Consumer Privacy Act” ou Lei de Privacidade do Consumidor da Califórnia de 2018).
“Cliente”, “Empresa”, “Vender” e “Prestador de Serviço” são termos definidos pela CCPA.
“Responsável” é o termo usado para se referir à pessoa natural ou jurídica, de direito público ou privado, que, individual ou coletivamente, determina as finalidades e os meios do Tratamento de Dados Pessoais.
“Leis de Proteção de Dados” é o termo usado para se referir a todas as leis do mundo sobre proteção e privacidade de dados aplicáveis à respectiva parte que está na função de tratamento dos Dados Pessoais em questão conforme o Acordo, incluindo, sem restrição, as Leis de Proteção de Dados Europeias, a CCPA e as leis de proteção e privacidade de dados da Austrália e de Cingapura, em cada caso, conforme eventuais alterações, revogações, consolidações ou substituições de tais leis.
“Titular” é o termo usado para se referir à pessoa natural a quem os Dados Pessoais se referem.
“Europa” é o termo usado para se referir à União Europeia, ao Espaço Econômico Europeu e/ou seus estados-membros, a Suíça e o Reino Unido.
“Dados Europeus” é o termo usado para se referir aos Dados Pessoais protegidos pelas Leis de Proteção de Dados Europeias.
“Leis de Proteção de Dados Europeias” refere-se ao termo usado para as leis de proteção de dados aplicáveis à Europa, incluindo: (i) Regulamento 679/2016 do Parlamento e do Conselho Europeu sobre a proteção de pessoas naturais com relação ao tratamento de dados pessoais e sobre a livre movimentação de tais dados (Regulamento Geral de Proteção de Dados da União Europeia (“GDPR”); (ii) Diretiva 2002/58/EC sobre o tratamento de dados pessoais e a proteção da privacidade no setor de comunicações eletrônicas; e (iii) implementações nacionais aplicáveis dos itens (i) e (ii); ou (iii) o GDPR na medida em que ele faz parte das leis nacionais do Reino Unido em virtude da Seção 3 da Lei de Saída do Reino Unido da União Europeia de 2018 (“GDPR do Reino Unido”); e (iv) a Lei Federal de Proteção de Dados da Suíça de 19 de junho de 1992 e sua Regulamentação (“LPD Suíça”); em cada caso, conforme venha a ser eventualmente alterada ou substituída.
“Instruções” é o termo usado para se referir às instruções documentadas por escrito e emitidas por um Responsável a um Operador instruindo-o a executar uma ação específica em relação aos Dados Pessoais (incluindo, sem restrição, anonimização, bloqueio, eliminação, disponibilização).
“Afiliados Permitidos” é o termo usado para se referir a qualquer um dos seus Afiliados que (i) tenha permissão para usar os Serviços de Assinatura conforme o Acordo, sem ter assinado um acordo próprio conosco e sem ser um “Cliente” conforme definido no Acordo; (ii) se qualifique como Responsável pelos Dados Pessoais Tratados por nós; e (iii) esteja sujeito às Leis de Proteção de Dados Europeias.
“Dados Pessoais” é o termo usado para se referir a qualquer informação relacionada a uma pessoa natural identificada ou identificável que esteja contida nos Dados do Cliente e seja protegida da mesma forma como dados pessoais, informações pessoais ou informações de identificação pessoal segundo as Leis de Proteção de Dados aplicáveis.
“Violação de Dados Pessoais” é o termo usado para se referir a uma violação de segurança que cause, em caráter acidental ou ilegal, a destruição, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou Tratados de outra forma por nós e/ou por nossos Suboperadores em relação à prestação dos Serviços de Assinatura. O termo “Violação de Dados Pessoais” não incluirá tentativas ou atividades que não comprometam a segurança dos Dados Pessoais, tais como: tentativas fracassadas de login, pings, varreduras de portas, ataques de negação de serviços e outros ataques de rede a firewalls ou sistemas em rede.
“Escudo de Privacidade” é o termo usado para se referir ao programa de autocertificação do Escudo de Privacidade da União Europeia–EUA e da Suíça–EUA do Departamento de Comércio dos EUA e aprovado pela Comissão Europeia nos termos de sua Decisão de 12 de julho de 2016 e pelo Conselho Federal Suíço em 11 de janeiro de 2017, respectivamente; conforme possa ser alterado, suplantado ou substituído.
“Princípios do Escudo de Privacidade” é o termo usado para se referir aos Princípios do Escudo de Privacidade (conforme complementado pelos Princípios Complementares) constantes do Anexo II da Decisão da Comissão Europeia de 12 de julho de 2016; conforme possam ser alterados, suplantados ou substituídos.
“Tratamento” é o termo usado para se referir a qualquer operação ou conjunto de operações com Dados Pessoais, englobando a coleta, gravação, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou outra forma de disponibilização, correlação ou combinação, restrição ou eliminação de Dados Pessoais. Os termos “tratar”, “trata” e “tratado” serão interpretados neste contexto.
“Operador” é o termo usado para se referir à pessoa física ou jurídica, de direito público ou privado, que trata os Dados Pessoais em nome do Responsável.
“Cláusulas Contratuais Padrão” é o termo usado para se referir às cláusulas contratuais padrão para Operadores anexas à Decisão da Comissão Europeia (UE) 914/2021 de 4 de junho de 2021, na forma estabelecida no Anexo 4; conforme possam ser alteradas, suplantadas ou substituídas.
“Suboperador” é o termo usado para se referir a qualquer Operador contratado por nós ou nossos Afiliados para auxiliar no cumprimento das nossas obrigações quanto à prestação dos Serviços de Assinatura sob o Acordo. Os Suboperadores poderão incluir terceiros ou nossos Afiliados, excluindo todos os funcionários ou consultores da HubSpot.
a. Conformidade com as leis.. No escopo do Acordo e em seu uso dos serviços, você será responsável por cumprir todas as exigências previstas nas Leis de Proteção de Dados aplicáveis em relação ao Tratamento de Dados Pessoais e às Instruções emitidas a nós.
Em particular, mas sem prejudicar a generalidade do precedente, você reconhece e concorda que será exclusivamente responsável: (i) pela precisão, qualidade e legalidade dos Dados do Cliente e dos meios pelos quais adquiriu Dados Pessoais; (ii) por cumprir todas as exigências necessárias de transparência e licitude previstas nas Leis de Proteção de Dados aplicáveis à coleta e ao uso dos Dados Pessoais, obtendo, inclusive, todos os consentimentos e autorizações necessários (especialmente para uso pelo Cliente para fins de marketing); (iii) por garantir que você tenha o direito de transferir ou fornecer acesso aos Dados Pessoais para nós para fins de Tratamento nos termos do Acordo (incluindo este ATD); (iv) por garantir que suas Instruções para nós sobre o Tratamento de Dados Pessoais cumpram as leis aplicáveis, inclusive as Leis de Proteção de Dados; e (v) por cumprir todas as leis (inclusive as Leis de Proteção de Dados) aplicáveis a qualquer e-mail ou outros conteúdos criados, enviados ou gerenciados pelos Serviços de Assinatura, inclusive aqueles relacionados à obtenção de consentimentos (quando houver exigência) quanto ao envio de e-mails, ao conteúdo dos e-mails e às suas práticas de implantação de e-mail. Você nos informará imediatamente se não for capaz de cumprir suas responsabilidades previstas nesta seção “Conformidade com as leis” ou nas Leis de Proteção de Dados aplicáveis.
b. Instruções do Responsável. As partes concordam que o Acordo (incluindo este ATD), junto com o uso do Serviço de Assinatura pelo cliente conforme o Acordo, constituem as suas Instruções completas para nós em relação ao Tratamento de Dados Pessoais, ficando estabelecido que, durante o prazo da assinatura, você poderá fornecer instruções adicionais alinhadas ao Acordo, à natureza e ao uso lícito do Serviço de Assinatura.
c. Segurança. Você é responsável por determinar independentemente se a segurança de dados oferecida no Serviço de Assinatura atende adequadamente as suas obrigações previstas nas Leis de Proteção de Dados aplicáveis. Você também é responsável pelo seu uso seguro do Serviço de Assinatura, incluindo a segurança dos Dados Pessoais em trânsito de entrada ou saída do Serviço de Assinatura (incluindo o backup seguro ou a criptografia de tais Dados Pessoais).
3. Obrigações da HubSpot
a. Cumprimento das Instruções. Nós Trataremos apenas Dados Pessoais para os fins descritos neste ATD ou conforme acordado de outra forma dentro do escopo das suas Instruções lícitas, salvo se exigido de outra forma pelas leis aplicáveis. Nós não somos responsáveis pelo cumprimento de nenhuma Lei de Proteção de Dados aplicável a você ou ao seu setor que não seja geralmente aplicável a nós.
b. Conflito de leis. Ao ficarmos cientes de que não podemos Tratar Dados Pessoais conforme as suas Instruções devido a uma exigência legal prevista em qualquer lei aplicável, nós (i) comunicaremos você imediatamente sobre tal exigência legal obedecendo ao limite permitido pela lei aplicável; e (ii) quando necessário, interromperemos todo o Tratamento (exceto o mero armazenamento e manutenção da segurança dos Dados Pessoais afetados), até o momento em que você emitir novas Instruções que possamos cumprir. Caso a presente disposição seja invocada, nós não seremos responsabilizados perante você nos termos do Acordo por não prestar os Serviços de Assinatura aplicáveis devidos até o momento em que você emitir novas Instruções lícitas sobre o Tratamento.
c. Segurança. Nós implementaremos e manteremos medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais contra Violações de Dados Pessoais, conforme descrito no Anexo 2 deste ATD (“Medidas de Segurança”). Não obstante alguma disposição em contrário, nós poderemos modificar ou atualizar as Medidas de Segurança a nosso exclusivo critério, desde que tal modificação ou atualização não gere um prejuízo material à proteção oferecida pelas Medidas de Segurança.
d. Confidencialidade. Nós garantiremos que todo o pessoal autorizado por nós a Tratar os Dados Pessoais em nosso nome estará sujeito às devidas obrigações de confidencialidade (seja por previsão em contrato ou na lei) em relação a esses Dados Pessoais.
e. Violações de Dados Pessoais. Nós notificaremos você prontamente após termos ciência de qualquer Violação de Dados Pessoais e forneceremos oportunamente informações relativas à Violação de Dados Pessoais quando estas forem conhecidas ou razoavelmente solicitadas por você. Mediante sua solicitação, nós prestaremos prontamente a assistência razoável necessária para dar condições a você de comunicar Violações de Dados Pessoais relevantes às autoridades competentes e/ou aos Titulares afetados, caso você precise fazê-lo nos termos das Leis de Proteção de Dados.
f. Exclusão ou devolução de Dados Pessoais. Nós excluiremos ou devolveremos todos os Dados do Cliente, incluindo Dados Pessoais (incluindo cópias deles) Tratados nos termos deste ATD, na ocasião de rescisão ou expiração do seu Serviço de Assinatura conforme os procedimentos estipulados nos Termos Específicos de Produtos. Este termo se aplicará no Acordo, ressalvando que esta exigência não se aplicará aos casos em que nós formos obrigados pela lei aplicável a reter os Dados do Cliente no todo ou em parte, ou aos Dados do Cliente arquivados nos sistemas de backup, dados estes que nós isolaremos em segurança e protegeremos contra Tratamentos posteriores, excluindo-os de acordo com suas práticas de exclusão. Você pode solicitar a exclusão da sua conta da HubSpot após a expiração ou encerramento da sua assinatura enviando uma solicitação aqui. Você também pode cancelar sua conta conforme a seção “Cancelamento Antecipado” dos Termos de Serviço ao Cliente e solicitar a exclusão permanente seguindo as instruções disponíveis aqui. Você pode recuperar os Dados do Cliente da sua conta da HubSpot de acordo com as seções “Recuperação dos Dados do Cliente” dos nossos Termos Específicos de Produtos.
4. Solicitações de Titulares
O Serviço de Assinatura oferece diversos controles que você pode usar para recuperar, corrigir, excluir ou restringir Dados Pessoais, e que você pode usar para auxiliá-lo a cumprir suas obrigações previstas nas Leis de Proteção de Dados, inclusive suas obrigações para atender a solicitações de Titulares no exercício de seus direitos conforme as Leis de Proteção de Dados aplicáveis (“Solicitações de Titulares”).
Se você for incapaz de atender a uma Solicitação de Titular por conta própria pelo Serviço de Assinatura, então, mediante sua solicitação escrita, nós prestaremos assistência razoável a você para responder a eventuais Solicitações de Titulares ou de autoridades de proteção de dados sobre o Tratamento de Dados Pessoais nos termos do Acordo. Você nos reembolsará os custos comercialmente razoáveis decorrentes do referido auxílio.
Se a Solicitação de Titular ou outra solicitação sobre o Tratamento de Dados Pessoais nos termos do Acordo for feita diretamente a nós, nós informaremos prontamente o fato a você e instruiremos o Titular a enviar sua solicitação a você. Caberá unicamente a você responder a eventuais Solicitações de Titulares ou comunicações que envolvam Dados Pessoais.
5. Suboperadores
Você concorda que nós podemos contratar Suboperadores para Tratar Dados Pessoais em seu nome. No momento, nós nomeamos como Suboperadores os Afiliados da HubSpot e terceiros listados no Anexo 3 deste ATD. Nós notificaremos a você a adição ou substituição de qualquer Suboperador listado no Anexo 3 com uma antecedência mínima de 30 dias a tal alteração, desde que você tenha optado por receber tais e-mails antes de eventuais alterações através do preenchimento do formulário disponível aqui.
Ao contratar Suboperadores, nós imporemos termos de proteção de dados aos Suboperadores que garantam, no mínimo, o mesmo grau de proteção para os Dados Pessoais dos termos do presente ATD (incluindo, quando apropriado, as Cláusulas Contratuais Padrão), observada a natureza dos serviços prestados por tais Suboperadores. Nós continuaremos responsáveis por cada Suboperador no que tange o cumprimento das obrigações previstas neste ATD e por todas as ações e omissões de tais Suboperadores que nos façam violar quaisquer de suas obrigações previstas neste ATD.
6. Transferências de dados
Você concorda e reconhece que nós podemos acessar e Tratar Dados Pessoais em escala global conforme o necessário para prestar o Serviço de Assinatura conforme o Acordo e, em particular, que os Dados Pessoais poderão ser transferidos e Tratados pela HubSpot, Inc. nos Estados Unidos e em outras jurisdições nas quais os Afiliados da HubSpot e os Suboperadores tenham operações. Independentemente do local de destino da transferência dos Dados Pessoais, cada parte garantirá que tais transferências sejam feitas de acordo com as exigências das Leis de Proteção de Dados.
7. Disposições adicionais sobre Dados Europeus
a. Escopo. Esta seção “Disposições adicionais sobre Dados Europeus” se aplicará apenas a Dados Europeus.
b. Funções das partes. No Tratamento de Dados Europeus conforme as suas Instruções, as partes reconhecem e concordam que o você é o Responsável pelos Dados Europeus, e que nós somos o Operador de tais dados.
c. Instruções. Nós informaremos a você imediatamente caso acreditemos que a sua Instrução viole as Leis de Proteção de Dados Europeias (quando for o caso).
d. Objeção a novos Suboperadores. Nós daremos a você a oportunidade de se opor à contratação de novos Suboperadores com fundamentos razoáveis relacionados à proteção de Dados Pessoais no prazo de 30 dias após a sua notificação, nos termos da seção “Suboperadores”. Caso você nos notifique sobre tal objeção, as partes discutirão as suas preocupações em boa-fé com o propósito de chegarem a uma solução comercialmente razoável. Caso as partes não cheguem a uma solução, nós, a nosso exclusivo critério, não contrataremos o novo Suboperador ou permitiremos que você suspenda ou rescinda o Serviço de Assinatura afetado de acordo com as disposições de rescisão do Acordo sem responsabilidade para nenhuma das partes (mas sem prejudicar nenhuma taxa devida por você anterior a tal suspensão ou rescisão). As partes concordam que, ao cumprir esta subseção (d), a HubSpot cumpre suas obrigações previstas na Seção 9 das Cláusulas Contratuais Padrão.
e. Contratos de Suboperadores. Para os fins da Cláusula 9(c) das Cláusulas Contratuais Padrão, você reconhece que podemos ser impedidos de divulgar contratos de Suboperadores, mas que envidaremos esforços razoáveis para exigir que todos os Suboperadores que nomearmos permitam a divulgação de seus contratos a você, de modo que forneceremos, de forma razoável e em caráter confidencial, todas as informações que pudermos.
f. Avaliações do impacto da proteção de dados e consultoria com autoridades de controle. Caso as informações necessárias estejam razoavelmente disponíveis para nós sem que você tenha acesso a elas, nós prestaremos auxílio razoável a você com relação a quaisquer avaliações de impacto de proteção de dados, e com consultas anteriores com autoridades de controle ou outras autoridades de privacidade de dados competentes conforme as exigências das Leis de Proteção de Dados Europeias.
g. Mecanismos para transferências de dados.
(A) a HubSpot não transferirá Dados Europeus para nenhum país ou destinatário não reconhecido como provedor de um nível adequado de proteção de Dados Pessoais (conforme as Leis de Proteção de Dados Europeias aplicáveis), salvo se ela primeiro tomar todas as medidas necessárias para garantir que a transferência ocorra de acordo com as Leis de Proteção de Dados Europeias aplicáveis. Essas medidas podem incluir, sem restrição, a transferência de tais dados para um destinatário que esteja coberto por uma estrutura adequada ou outro mecanismo de transferência legalmente adequado reconhecido pelas autoridades ou tribunais relevantes como fornecendo um nível adequado de proteção para Dados Pessoais, para um destinatário que tenha obtido autorização de regras corporativas vinculativas de acordo com as Leis de Proteção de Dados Europeias, ou para um destinatário que tenha firmado cláusulas contratuais padrão adequadas em cada caso, conforme adotadas ou aprovadas de acordo com as Leis de Proteção de Dados Europeias aplicáveis.
(B) Você reconhece que, em relação à prestação dos Serviços de Assinatura, a HubSpot, Inc. é uma destinatária dos Dados Europeus nos Estados Unidos. As partes reconhecem e concordam com o seguinte:
h. Demonstração de conformidade. Nós disponibilizaremos todas as informações razoavelmente necessárias para demonstrar a conformidade com este ATD, e daremos permissão e contribuição para auditorias, incluindo inspeções conduzidas por você ou pelo seu auditor para avaliar a conformidade com este ATD. Você reconhece e concorda que exercerá seus direitos de auditoria previstos neste ATD e na Cláusula 8.9 das Cláusulas Contratuais Padrão instruindo-nos a cumprir as medidas de auditoria descritas nesta seção “Demonstração de conformidade”. Você reconhece que o Serviço de Assinatura é hospedado pelos nossos parceiros de data center que mantêm programas de segurança validados de forma independente (incluindo SOC 2 e ISO 27001) e que os nossos sistemas são regularmente testados por empresas independentes de testes de penetração. Mediante solicitação, nós forneceremos a você (em caráter confidencial) uma cópia resumida dos nosso(s) relatório(s) de testes de penetração para que você possa verificar nossa conformidade com este ATD. Além disso, mediante sua solicitação por escrito, nós atenderemos por escrito (em caráter confidencial) a todas as solicitações razoáveis de informações feitas por você que sejam necessárias para confirmar a nossa conformidade com este ATD, ficando estabelecido que você não exercerá esse direito mais de uma vez por ano civil, salvo se houver fundamentos razoáveis para suspeitar da nossa não conformidade com este ATD.
8. Disposições adicionais para Dados Pessoais da Califórnia
a. Escopo. A seção “Disposições adicionais para Dados Pessoais da Califórnia” se aplicará apenas a Dados Pessoais da Califórnia.
b. Funções das partes. Ao processar Dados Pessoais da Califórnia conforme as suas Instruções, as partes reconhecem e concordam que você é uma Empresa e que nós somos um Prestador de Serviços para os fins da CCPA.
c. Responsabilidades. As partes concordam que nós Trataremos os Dados Pessoais da Califórnia como um Prestador de Serviços estritamente para os fins de prestação dos Serviços de Assinatura e dos Serviços de Consultoria nos termos do Acordo (a “Finalidade Comercial”) ou conforme permitido pela CCPA, incluindo conforme descrito na seção ‘Práticas quanto ao uso de Dados e Dados de Serviço” da nossa Política de Privacidade de Produtos.
9. Disposições gerais
a. Alterações. Não obstante algo em contrário no Acordo e sem prejudicar as seções “Cumprimento das Instruções” ou “Segurança” deste ATD, nós nos reservamos o direito de atualizar e alterar este ATD e os termos que se aplicam na seção “Alterações; Inexistência de Renúncia” dos Termos Principais.
b. Autonomia das disposições. Caso disposições individuais do presente ATD sejam determinadas como inválidas ou inexequíveis, a validade e a exequibilidade das demais disposições do presente ATD não serão afetadas.
c. Limitação de responsabilidade. A responsabilidade de cada uma das partes e de cada um de seus respectivos Afiliados, considerada de forma agregada, decorrente ou relacionada a este ATD (e quaisquer outros ATDs entre as partes) e às Cláusulas Contratuais Padrão (conforme o caso), seja por previsão em contrato, na lei ou de acordo com qualquer outra teoria de responsabilidade civil, será sujeita às limitações e exclusões de responsabilidade estabelecidas na seção “Limitação de responsabilidade” dos Termos Principais, e toda referência em tal seção à responsabilidade de uma parte significa a responsabilidade agregada de tal parte e todos os seus Afiliados nos termos do Acordo (incluindo este ATD). Para que não restem dúvidas, se a HubSpot, Inc. não for uma parte do Acordo, a seção “Limitação de responsabilidade” dos Termos Principais se aplicará entre você e a HubSpot, Inc., e, nesse sentido, toda referência a “HubSpot”, “nós”, “nos” ou “nosso” incluirá tanto a HubSpot, Inc. quanto a pessoa jurídica da HubSpot que faz parte do Acordo. Em nenhuma hipótese a responsabilidade de cada uma das partes ficará limitada em relação aos direitos de proteção de dados de qualquer pessoa previstos neste ATD (incluindo as Cláusulas Contratuais Padrão) ou em outra circunstância.
d. Lei regente. Este ATD será regido e interpretado de acordo com as seções “Entidade para Contrato”; “Lei Aplicável; Aviso” dos Termos Específicos de Jurisdições, salvo se exigido de outra forma pelas Leis de Proteção de Dados.
10. Partes deste ATD
a. Afiliados Permitidos. Ao assinar o Acordo, você celebra este ATD (incluindo, conforme o caso, as Cláusulas Contratuais Padrão) em seu nome e em nome de seus Afiliados Permitidos. Apenas para os fins deste ATD e salvo quando indicado de outra forma, os termos “Cliente”, “você” e “seu” incluirão você e tais Afiliados Permitidos.
b. Autorização. A pessoa jurídica que anuir ao presente ATD na qualidade de Cliente declara ter autorização para aceitá-lo e celebrá-lo em seu próprio nome e, conforme o caso, em nome de cada um de seus Afiliados Permitidos.
c. Recursos jurídicos. As partes concordam que (i) apenas a pessoa jurídica do Cliente que for parte contratante do Acordo exercerá, em nome de seus Afiliados, qualquer direito ou buscará qualquer recurso jurídico que qualquer Afiliado Permitido possa ter conforme este ATD; e (ii) a pessoa jurídica do Cliente que for a parte contratante do Acordo não exercerá tais direitos previstos neste ATD separadamente para cada Afiliado Permitido, mas de forma conjunta para si e para todos os seus Afiliados Permitidos. A pessoa jurídica do Cliente que for a parte contratante é responsável por coordenar todas as Instruções, autorizações e comunicações conosco nos termos do ATD, tendo direito de enviar e receber qualquer comunicação relacionada a este ATD em nome de seus Afiliados Permitidos.
d. Outros direitos. As partes concordam que você, ao analisar a nossa conformidade com este ATD nos termos da seção “Demonstração de conformidade”, tomará todas as medidas razoáveis para limitar qualquer impacto sobre nós e nossos Afiliados combinando em uma única auditoria várias solicitações de auditoria a serem conduzidas em nome da pessoa jurídica do Cliente que for a parte contratante do Acordo e de todos os seus Afiliados Permitidos.
Anexo 1 – Detalhes do Tratamento
A. Lista de Partes
Exportador de dados:
Nome: O Cliente, conforme definido nos Termos de Serviço ao Cliente da HubSpot (em seu próprio nome e em nome de seus Afiliados Permitidos)
Endereço: o endereço do Cliente, conforme consta do Formulário de Pedido
Nome, cargo e dados de contato da pessoa de contato: dados de contato do Cliente, conforme consta do Formulário de Pedido e/ou da Conta da HubSpot do Cliente
Atividades relevantes para os dados transferidos conforme estas Cláusulas: o Tratamento de Dados Pessoais em relação ao uso dos Serviços de Assinatura da HubSpot pelo Cliente conforme os Termos de Serviço ao Cliente da HubSpot
Função (responsável/operador): Responsável
Importador de dados:
Nome: HubSpot, Inc.
Endereço: 25 First Street, 2nd Floor, Cambridge, MA 02141, EUA
Nome, cargo e dados de contato da pessoa de contato: Nicholas Knoop, Data Protection Officer, HubSpot, Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, EUA
Atividades relevantes para os dados transferidos conforme estas Cláusulas: o Tratamento de Dados Pessoais em relação ao uso dos Serviços de Assinatura da HubSpot pelo Cliente conforme os Termos de Serviço ao Cliente da HubSpot
Função (responsável/operador): Operador
B. Descrição da transferência
Categorias dos Titulares cujos Dados Pessoais são transferidos
Você poderá enviar Dados Pessoais ao usar o Serviço de Assinatura, cuja extensão é determinada e controlada por você a seu exclusivo critério, podendo incluir, sem restrições, Dados Pessoais relativos às seguintes categorias de Titulares:
Seus contatos e outros usuários finais, incluindo seus funcionários, prestadores de serviços, colaboradores, clientes, prospects, fornecedores e subcontratados. Os Titulares também poderão incluir pessoas físicas que tentarem se comunicar com os seus usuários finais ou transferir Dados Pessoais para você.
Categorias de Dados Pessoais transferidosVocê poderá enviar Dados Pessoais aos Serviços de Assinatura, cuja extensão é determinada e controlada por você a seu exclusivo critério, podendo incluir, sem restrições, as seguintes categorias de Dados Pessoais:
As Partes não preveem a transferência de dados sensíveis.
Frequência da transferência
Contínua
Detalhes do Tratamento
Os Dados Pessoais serão tratados conforme o Acordo (incluindo este ATD) e poderão estar sujeitos às seguintes atividades de Tratamento:
Finalidade da transferência e tratamentos adicionais
Nós Trataremos os Dados Pessoais conforme necessário para prestar os Serviços de Assinatura em conformidade com o Acordo, conforme especificado em mais detalhes no Formulário de Pedido e instruído por você no seu uso dos Serviços de Assinatura.
Prazo de retenção dos Dados Pessoais
Sujeitos à seção “Exclusão ou devolução de Dados Pessoais” deste ATD, nós Trataremos Dados Pessoais durante a vigência do Acordo, salvo acordado de outra forma por escrito.
Autoridade de controle competente
Para os fins das Cláusulas Contratuais Padrão, a autoridade de controle que atuará como a autoridade de controle competente é (i) quando a sede do Cliente for em um Estado-Membro da União Europeia, a autoridade de controle responsável por garantir a conformidade do Cliente Cem relação ao GDPR; (ii) quando a sede do Cliente não for em um Estado-Membro da União Europeia, mas se enquadrar no escopo extraterritorial do GDPR e tiver nomeado um representante, a autoridade de controle do Estado-Membro da União Europeia em que o representante do Cliente tem sede; ou (iii) quando a sede do Cliente não for em um Estado-Membro da União Europeia, mas se enquadrar no escopo extraterritorial do GDPR sem ter nomeado um representante, a autoridade de controle Estado-Membro da União Europeia em que os Titulares estiverem predominantemente localizados. Em relação aos Dados Pessoais sujeitos ao GDPR do Reino Unido ou à LPD Suíça, a autoridade de controle competente é o Comissário de Informações do Reino Unido (UK Information Commissioner) ou o Comissário Federal de Informações e Proteção de Dados (Federal Data Protection and Information Commissioner) da Suíça (conforme o caso).
Anexo 2 – Medidas de Segurança
Este Anexo faz parte do ATD.
No momento, nós seguimos as Medidas de Segurança descritas no presente Anexo 2. Todos os termos em maiúsculas não definidos de outra forma neste documento terão os mesmos significados definidos nos Termos Principais.
a) Controle de acesso
i) Impedimento ao acesso não autorizado ao produto
Tratamento terceirizado: nós hospedamos o nosso Serviço com fornecedores de infraestrutura em nuvem terceirizados. Além disso, mantemos relacionamentos contratuais com fornecedores a fim de prestar o Serviço de acordo com o nosso ATD. Confiamos nos acordos contratuais, nas políticas de privacidade e nos programas de conformidade dos fornecedores para proteger os dados tratados ou armazenados por eles.
Segurança física e ambiental: nós hospedamos a infraestrutura do nosso produto com fornecedores de infraestrutura de multilocação terceirizados. Os controles físicos e ambientais de segurança são auditados quanto ao cumprimento dos padrões SOC 2 Tipo II e ISO 27001, entre outras certificações.
Autenticação: nós implementamos uma política uniforme de senhas para os produtos dos nossos clientes. Os clientes que interagem com os produtos via a interface de usuário devem passar por autenticação antes de acessar dados de clientes que não são públicos.
Autorização: os Dados do Cliente são armazenados em sistemas de armazenamento de multilocação acessíveis aos Clientes somente por meio de interfaces de usuários de aplicativos e interfaces de programação de aplicativos. Os Clientes não têm acesso direto à infraestrutura de aplicativos subjacente. O modelo de autorização de cada um dos nossos produtos é projetado para garantir que somente pessoas devidamente autorizadas consigam acessar recursos, visualizações e opções de personalização pertinentes. A autorização a conjuntos de dados é feita pela validação das permissões do usuário de acordo com os atributos associados a cada conjunto de dados.
Acesso por Interfaces de Programação de Aplicativos (API): as APIs públicas de produtos podem ser acessadas por uma chave de API ou por autorização com protocolo Oauth.
ii) Impedimento ao uso não autorizado ao produtoNós implementamos controles de acesso e recursos de detecção que são padrão do mercado para as redes internas que dão suporte aos nossos produtos.
Controles de acesso: os mecanismos de controle de acesso a redes são projetos para impedir que tráfego de rede com protocolos não autorizados alcance a infraestrutura dos produtos. As medidas técnicas implementadas variam conforme os fornecedores de infraestrutura e incluem implementações de Nuvem Privada Virtual (VPC, na sigla em inglês), atribuições de grupos de segurança e regras de firewall tradicionais.
Detecção e prevenção de intrusões: nós implementamos uma solução de Firewall de Aplicativo Web (WAF, na sigla em inglês) para proteger sites hospedados de clientes e outras aplicativos acessíveis pela Internet. O WAF é projetado para identificar e prevenir ataques contra serviços de rede disponíveis publicamente.
Análise de código estático: as análises de segurança de códigos armazenados nos nossos repositórios de código-fonte são feitas para verificar as práticas recomendadas de programação e falhas identificáveis em software.
Teste de penetração: nós mantemos relacionamentos com prestadores de serviços de testes de penetração de renome no mercado para a realização de quatro testes de penetração por ano. O objetivo dos testes de penetração é identificar e resolver vetores previsíveis de ataque e potenciais cenários de abuso.
Programa de caça a bugs: um programa de caça a bugs convida e incentiva pesquisadores independentes de segurança a descobrir e revelar, de forma ética, as falhas de segurança. Nós implementamos um programa de caça a bugs a fim de ampliar as oportunidades de engajamento com a comunidade de segurança e melhorar as defesas dos produtos contra ataques sofisticados.
iii) Limitações de privilégios e requisitos de autorização
Acesso a produtos: um subgrupo dos nossos funcionários tem acesso aos produtos e Dados de Clientes por meio de interfaces controladas. Os objetivos do acesso a um subgrupo de funcionários é a prestação de um suporte ao cliente eficaz, a solução de possíveis problemas, a detecção e a resposta a incidentes de segurança e a implementação da segurança de dados. O acesso é permitido por solicitações “just in time”; todas essas solicitações ficam registradas. Os funcionários têm acesso de acordo com suas funções, e análises de concessões de privilégios de alto risco são feitas diariamente. As funções dos funcionários são analisadas pelo menos uma vez a cada seis meses.
Verificações de histórico profissional: todos os funcionários da HubSpot passam por uma verificação independente do histórico profissional antes de avançarem em uma proposta de trabalho, de acordo com as leis aplicáveis. Todos os funcionários da HubSpot são obrigados a se comportar conforme as diretrizes da empresa, exigências de confidencialidade e padrões éticos.
b) Controle de transmissãoEm trânsito: nós disponibilizamos criptografia HTTPS (também chamada de SSL ou TLS) em todas as nossas interfaces de login e gratuitamente em todos os sites de clientes hospedados nos produtos da HubSpot. Nossa implementação HTTPS usa algoritmos e certificados que são padrão na indústria.
Em repouso: nós armazenamos as senhas dos usuários de acordo com políticas que seguem práticas de segurança padrão de mercado. Implementamos tecnologias para garantir que os dados armazenados fiquem criptografados quando estiverem em repouso.
c) Controle de entradaDetecção: nós projetamos nossa infraestrutura para registrar vastas informações sobre comportamento do sistema, tráfego recebido, autenticação do sistema e outras solicitações de aplicativos. Os sistemas internos agregam dados de registro e alertam determinados funcionários sobre atividades mal-intencionadas, não intencionais ou anômalas. Nossos funcionários, incluindo as equipes de segurança, de operações e de suporte, respondem a incidentes conhecidos.
Resposta e rastreamento: nós mantemos um registro de incidentes conhecidos de segurança com descrição, datas e horários das atividades relevantes, e a descrição dos incidentes. Incidentes de segurança suspeitos e confirmados são investigados pelas equipes segurança, de operações ou de suporte. As devidas etapas de solução são identificadas e documentadas. No caso de incidentes confirmados, tomaremos as providências adequadas para minimizar os dados sobre os produtos e sobre o Cliente ou divulgações de dados não autorizadas. A notificação a você será feita de acordo com os termos do Acordo.
d) Controle de disponibilidadeDisponibilidade da infraestrutura: os fornecedores de infraestrutura envidam esforços comercialmente razoáveis para garantir um tempo de atividade mínimo de 99,95%. Os fornecedores mantêm um mínimo de redundância N+1 para os serviços de energia, rede e aquecimento, ventilação e ar condicionado.
Tolerância a falhas: há estratégias de backup e replicação criadas para garantir a redundância e proteções contra failover durante uma falha significativa do tratamento. É feito um backup dos dados do Cliente em diversos repositórios duráveis de dados e replicados em diversas zonas de disponibilidade.
Réplicas e backups on-line: quando viável, os bancos de dados de produção são projetados para replicar os dados entre, no mínimo, um banco de dados primário e um banco de dados secundário. Todos os bancos de dados são mantidos e têm backups que usam, no mínimo, métodos que são padrão na indústria.
Nossos produtos são projetados para garantir redundância e failover integrado. As instâncias de servidores que atendem aos produtos também são arquitetadas com o objetivo de impedir pontos únicos de falhas. Isso nos auxilia a manter e atualizar os aplicativos e backends de produtos com tempo limitado de inatividade.
Anexo 3 – Lista de Suboperadores
Suboperador terceirizado | Finalidade | Serviço aplicável | Localização do Suboperador de data center dos EUA: Estados Unidos | Localização do Suboperador de data center da União Europeia: União Europeia ou outro |
Ably.io | Funcionalidade de conversas e chat | Usado para respaldar recursos de conversas/chat no produto HubSpot | Estados Unidos | Irlanda e Alemanha |
Amazon Web Services, Inc. | Hospedagem e infraestrutura | Usado como plataformas de computação em nuvem sob demanda e APIs | Estados Unidos | Alemanha |
Google, Inc. | Processamento de dados regional | Provedor de hospedagem de dados | Estados Unidos | Alemanha |
Google reCAPTCHA | Prevenção de spam no envio de formulários | Usado pela HubSpot para prevenir spam no envio de formulários | Estados Unidos | *Estados Unidos |
Cloudflare | Rede de distribuição de conteúdo | Usado como infraestrutura Web e para segurança de sites, prestando serviços de rede de distribuição de conteúdo, mitigação de DDoS, segurança de internet e serviços de servidor de nome de domínio distribuído. | Estados Unidos |
Local **Data centers localizados em todas as partes do mundo. O tráfego será roteado automaticamente para o data center mais próximo. |
ConvertAPI | Funcionalidade de arquivos de produtos | Usado para conversão de arquivos e documentos para sites e aplicativos Web/desktop | Estados Unidos | Alemanha |
HelloSign | Funcionalidade de assinatura eletrônica de produtos | Usado para a solução de assinatura eletrônica de negócios nos produtos da HubSpot | Estados Unidos | Alemanha |
Litmus | Funcionalidade de e-mail | Usado para visualização de e-mails | Estados Unidos | N/A no data center da União Europeia. |
Mux | Funcionalidade de vídeo | Usado como prestador de serviços de vídeo da HubSpot | Estados Unidos | *Estados Unidos |
Snowflake, Inc. | Funcionalidade de relatórios | Solução de data warehouse que serve como o repositório dos dados. | Estados Unidos | Alemanha |
Twilio, Inc. | Funcionalidade de chamada | Usado como um serviço que viabiliza as chamadas pela HubSpot | Estados Unidos | *Estados Unidos |
*você tem a opção de não usar as funcionalidades oferecidas por nossos Suboperadores marcadas com um asterisco. Consulte a Política de Hospedagem Regional de Dados da HubSpot para mais informações.
**consulte aqui mais informações sobre a Cloudflare.
Suboperadores da HubSpot | Finalidade | Localização |
HubSpot, Inc. | Serviços e suporte | Estados Unidos |
HubSpot Ireland, Ltd. | Serviços e suporte | Irlanda |
HubSpot Germany GmbH | Serviços e suporte | HubSpot Germany GmbH |
HubSpot Australia Pty. Ltd. | Serviços e suporte | HubSpot Australia Pty. Ltd. |
HubSpot Asia Pte. Ltd. | Serviços e suporte | HubSpot Asia Pte. Ltd. |
HubSpot Japan KK | Serviços e suporte | HubSpot Japan KK |
HubSpot Latin America, S.A.S. | Serviços e suporte | Colúmbia |
HubSpot Sweden | Serviços e suporte | Suécia |
HubSpot France S.A.S. | Serviços e suporte | França |
HubSpot UK Holdings Ltd. | Serviços e suporte | Reino Unido |
HubSpot Canada Inc. | HubSpot Canada Inc. | Canadá |
Para receber um e-mail sempre que houver atualizações neste Anexo 3, clique aqui.
Anexo 4 – Cláusulas Contratuais Padrão
Módulo 2: Transferência do Responsável para o Operador (C2P)
SEÇÃO I
Cláusula 1ª
Finalidade e escopo
(a) A finalidade destas cláusulas contratuais padrão é garantir o cumprimento das exigências do Regulamento (UE) 679/2016 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas naturais em relação ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre Proteção de Dados) para a transferência de dados pessoais a um país terceiro.
(b) As Partes:
(i) as pessoas naturais ou jurídicas, autoridades públicas, órgãos públicos ou de outras naturezas (doravante denominadas “entidades”) que transferem dados pessoais, conforme listado no Anexo I.A. (cada uma doravante denominada “exportador de dados”), e
(ii) as entidades em um país terceiro que recebe os dados pessoais do exportador de dados, direta ou indiretamente via outra entidade que também seja uma Parte destas Cláusulas, conforme listado no Anexo I.A. (cada uma doravante denominada “importador de dados”)
concordam com estas cláusulas contratuais padrão (doravante denominadas “Cláusulas”).
(c) Estas Cláusulas se aplicam às transferências de dados pessoais conforme especificado no Anexo I.B.
(d) O Apêndice que contêm os Anexos mencionados aqui fazem parte destas Cláusulas.Cláusula 2ª
Efeito e invariabilidade das Cláusulas
(a) Estas Cláusulas estabelecem as proteções adequadas, incluindo os direitos e remédios jurídicos exequíveis dos titulares, nos termos do Artigo 46(1) e do Artigo 46 (2)(c) do Regulamento (UE) 679/2016 e, com relação às transferências de dados dos responsáveis aos operadores e/ou de operadores a operadores, as cláusulas contratuais padrão nos termos do Artigo 28(7) do Regulamento (UE) 679/2016, desde que não sejam modificadas, salvo para selecionar os Módulos apropriados ou para adicionar ou atualizar informações no Apêndice. Isso não impede que as Partes incluam as cláusulas contratuais padrão estabelecidas nestas Cláusulas em um contrato mais abrangente e/ou adicionem outras cláusulas ou proteções adicionais, desde que elas não contradigam, direta ou indiretamente, estas Cláusulas nem prejudiquem os direitos ou liberdades fundamentais dos titulares.
(b) Estas Cláusulas não prejudicam as obrigações a que o exportador de dados está sujeito em virtude do Regulamento (UE) 679/2016.
Cláusula 3ª
Terceiros beneficiários
(a) Os titulares podem invocar e fazer valer estas Cláusulas, como terceiros beneficiários, em face do exportador de dados e/ou do importador de dados, observadas as seguintes exceções:
(i) Cláusula 1ª, Cláusula 2ª, Cláusula 3ª, Cláusula 6ª, Cláusula 7ª;
(ii) Cláusula 8ª – Cláusula 8.1(b), 8.9(a), (c), (d) e (e);
(iii) Cláusula 9ª – Cláusula 9(a), (c), (d) e (e);
(iv) Cláusula 12 – Cláusula 12(a), (d) e (f);
(v) Cláusula 13;
(vi) Cláusula 15.1(c), (d) e (e);
(vii) Cláusula 16(e);
(viii) Cláusula 18 – Cláusula 18(a) e (b).
(b) Parágrafo (a) sem prejudicar os direitos dos titulares nos termos do Regulamento (UE) 679/2016.
Cláusula 4ª
Interpretação
(a) Quando estas Cláusulas usarem os termos definidos no Regulamento (UE) 679/2016, tais termos terão o mesmo significado conforme definido no Regulamento.
(b) Estas Cláusulas serão lidas e interpretadas à luz das disposições do Regulamento (UE) 679/2016.
(c) Estas Cláusulas não serão interpretadas de modo a conflitar com direitos e obrigações estabelecidos no Regulamento (UE) 679/2016.
Cláusula 5ª
Hierarquia
No caso de contradição entre estas Cláusulas e as disposições dos acordos pertinentes entre as Partes, existentes à época em que estas Cláusulas foram acordadas ou celebradas posteriormente, estas Cláusulas prevalecerão.
Cláusula 6ª
Descrição das transferências
Os detalhes das transferências, e especialmente as categorias de dados pessoais que são transferidos e as finalidades das transferências, são especificados no Anexo I.B.
Cláusula 7ª
Cláusula de adesão
(a) Uma entidade que não seja uma Parte destas Cláusulas pode, com a anuência das Partes, aderir a estas Cláusulas a qualquer tempo, seja como exportador de dados ou importador de dados, bastando preencher o Apêndice e assinar o Anexo I.A.
(b) Após preencher o Apêndice e assinar o Anexo I.A, a entidade aderente se tornará uma Parte destas Cláusulas e terá os direitos e obrigações de um exportador de dados ou importador de dados, conforme sua designação no Anexo I.A.
(c) A entidade aderente não terá nenhum direito ou obrigação decorrente destas Cláusulas anterior ao período em que não era uma Parte.
SEÇÃO II – OBRIGAÇÕES DAS PARTES
Cláusula 8ª
Mecanismos de proteção dos dados
O exportador de dados garante que envida esforços razoáveis para determinar se o importador de dados é capaz de satisfazer suas obrigações previstas nestas Cláusulas com a implementação das devidas medidas técnicas e organizacionais.
8.1 Instruções
(a) O importador de dados tratará os dados pessoais somente conforme as instruções documentadas do exportador de dados. O exportador de dados pode emitir tais instruções ao longo de toda a duração do contrato.
(b) O importador de dados informará imediatamente ao exportador de dados caso não consiga seguir tais instruções.
8.2 Limitação da finalidade
O importador de dados tratará os dados pessoais somente para as finalidades específicas da transferência, conforme estabelecido no Anexo I.B, salvo se outras instruções forem emitidas pelo exportador de dados.8.3 Transparência
Mediante solicitação, o exportador de dados disponibilizará gratuitamente aos titulares uma cópia destas Cláusulas, incluindo o Apêndice preenchido pelas Partes. Observado o limite necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e dados pessoais, o exportador de dados pode redigir parte do texto do Apêndice destas Cláusulas antes de compartilhar uma cópia, mas apresentará um resumo significativo para o caso em que o titular não consiga entender seu conteúdo ou exercer seus direitos. Mediante solicitação, as Partes apresentarão ao titular os motivos da redação, atentando aos limites possíveis sem revelar as informações redigidas. Esta Cláusula não prejudica as obrigações do exportador de dados previstas nos Artigos 13 e 14 do Regulamento (UE) 679/2016.
8.4 Precisão
Se o importador de dados tiver ciência de que os dados pessoais que recebeu são imprecisos, ou ficaram desatualizados, ele deverá informar imediatamente ao exportador de dados. Nesse caso, o importador de dados cooperará com o exportador de dados para excluir ou retificar os dados.
8.5 Duração do tratamento e exclusão ou devolução de dados
O tratamento por parte do importador de dados acontecerá somente pelo prazo especificado no Anexo I.B. Após o fim da prestação dos serviços de tratamento, o importador de dados, a critério do exportador de dados, excluirá todos os dados pessoais tratados em nome do exportador de dados e declarará ao exportador de dados que o fez, ou devolverá ao exportador de dados todos os dados pessoais tratados em seu nome e excluirá eventuais cópias. Até que os dados sejam excluídos ou devolvidos, o importador de dados continuará garantindo o cumprimento destas Cláusulas. Caso haja leis locais aplicáveis ao importador de dados que proíbam a devolução ou exclusão dos dados pessoais, o importador de dados garante que continuará garantindo o cumprimento destas Cláusulas e os tratará apenas pelo prazo determinado por tais leis locais. Sem prejudicar a Cláusula 14, especialmente a exigência prevista na Cláusula 14(e) de o importador de dados notificar o exportador de dados ao longo do prazo do contrato se tiver motivos para acreditar que está ou se tornou sujeito às leis ou práticas que estejam desalinhadas com as exigências da Cláusula 14(a).
8.6 Segurança do tratamento
(a) O importador de dados e, durante a transmissão, também o exportador de dados, implementarão medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo proteções contra violações de segurança que levem à destruição, perda, adulteração, divulgação não autorizada ou acesso acidentais ou ilícitos de tais dados (doravante “violação de dados pessoais”). Ao avaliar o nível adequado de segurança, as Partes considerarão o estado da arte, os custos de implementação, a natureza, o escopo, o contexto e as finalidades do tratamento e os riscos envolvidos no tratamento para os titulares. As Partes considerarão, em especial, a existência de recursos de criptografia ou pseudonimização, inclusive durante a transmissão, quando a finalidade do tratamento puder ser atendida desta maneira. No caso de pseudonimização, as informações adicionais para atribuição dos dados pessoais a um titular específico ficará, quando possível, sob o controle exclusivo do exportador de dados. Ao cumprir as obrigações previstas nestes parágrafo, o importador de dados deverá implementar, no mínimo, as medidas técnicas e organizacionais especificadas no Anexo II. O importador de dados conduzirá inspeções regulares para garantir que tais medidas continuem proporcionando o nível adequado de segurança.
(b) O importador de dados concederá acesso aos dados pessoais apenas aos integrantes do seu pessoal que tiverem extrema necessidade para implementar, gerenciar e monitorar o contrato. O importador de dados também deve garantir que pessoas autorizadas a tratar os dados pessoais tenham um compromisso com a confidencialidade ou estejam sob uma obrigação legal adequada de confidencialidade.
(c) No caso de uma violação de dados pessoais que afete os dados pessoais tratados pelo importador de dados nos termos destas Cláusulas, o importador de dados tomará as medidas adequadas em relação à violação, incluindo medidas para mitigar seus efeitos adversos. O importador de dados também notificará imediatamente o importador de dados após ter ciência da violação. Tal notificação conterá os dados de um ponto de contato onde mais informações possam ser obtidas, uma descrição da natureza da violação (incluindo, quando possível, as categorias e a quantidade aproximada de titulares e dados pessoais afetados), suas prováveis consequência e as medidas tomadas ou propostas para lidar com a violação, incluindo, quando possível, medidas para mitigar os possíveis efeitos adversos. Quando, e enquanto, não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial conterá as informações até então disponíveis e mais informações serão disponibilizadas imediatamente quando possível.
(d) O importador de dados cooperará e auxiliará o exportador de dados a cumprir suas obrigações previstas no Regulamento (UE) 679/2016, especialmente a de notificação da autoridade de controle competente e os titulares afetados, levando em consideração a natureza do tratamento e as informações disponíveis ao importador de dados.
8.7 Dados sensíveis
Quando a transferência envolver dados pessoais que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, associação a sindicatos, dados genéticos ou dados biométricos com a finalidade exclusivamente de identificar uma pessoa natural, dados sobre a saúde ou a vida ou orientação sexual da pessoa, ou dados relacionados a crimes e condenações penais (doravante denominados “dados sensíveis”), o importador de dados aplicará as restrições específicas e/ou as proteções adicionais descritas no Anexo I.B.
8.8 Transferências posteriores
O importador de dados somente divulgará os dados pessoais a terceiros mediante instruções documentadas do exportador de dados. Além disso, os dados somente poderão ser divulgados a um terceiro localizado fora da União Europeia (no mesmo país do importador de dados ou em um país terceiro, doravante “transferência posterior”) se tal terceiro estiver vinculado ou concorde em se vincular a estas Cláusulas, segundo o Módulo adequado, ou se:
(i) a transferência posterior for para um país que se beneficie de uma decisão de adequação nos termos do Artigo 45 do Regulamento (UE) 679/2016 que cobre a transferência posterior;
(ii) o terceiro, de outra forma, garantir as proteções adequadas conforme os Artigos 46 ou 47 do Regulamento (UE) 679/2016 com relação ao tratamento em questão;
(iii) a transferência posterior for necessária para o estabelecimento, exercício ou defesa de processos no contexto de processos específicos de caráter administrativo, regulatório ou judicial; ou
(iv) a transferência posterior for necessária para proteger interesses vitais do titular ou de outra pessoa natural.
Todas as transferências posteriores estão sujeitas à conformidade do importador de dados com todas as proteções previstas nestas Cláusulas, em especial a limitação de finalidade.
8.9 Documentação e conformidade
(a) O importador de dados, de forma imediata e adequada, processará todas as solicitações do exportador de dados que se relacionarem ao tratamento previstos nestas Cláusulas.
(b) As Partes deverão ser capazes de demonstrar a conformidade com estas Cláusulas. Em especial, o importador de dados manterá documentação adequada sobre as atividades de tratamento desempenhadas em nome do exportador de dados.
(c) O importador de dados disponibilizará ao exportador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nestas Cláusulas e, mediante solicitação do exportador de dados, permitirá e contribuirá com auditorias das atividades de tratamento cobertas por estas Cláusulas, em intervalos razoáveis ou se houver indícios de não conformidade. Ao decidir por uma análise ou auditoria, o exportador de dados pode levar em consideração certificações relevantes detidas pelo importador de dados.
(d) O exportador de dados pode optar por conduzir a auditoria sozinho ou contratar um auditor independente. As auditorias podem incluir inspeções nos escritórios e instalações físicas do importador de dados e, quando apropriado, serão conduzidas mediante aviso prévio razoável.
(e) As Partes disponibilizarão as informações mencionadas nos parágrafos (b) e (c), incluindo os resultados de eventuais auditorias, para a autoridade de controle competente mediante solicitação.
Cláusula 9ª
Uso de Suboperadores
(a) O importador de dados tem a autorização geral do exportador de dados para contratar suboperadores da lista acordada. O importador de dados informará ao exportador de dados, de forma específica e por escrito, sobre eventuais pretensões de alteração na lista, seja por acréscimo ou substituição de suboperadores, com pelo menos 30 dias úteis de antecedência, dando tempo suficiente ao exportador de dados para se opor a tais alterações antes da contratação dos suboperadores. O importador de dados fornecerá ao exportador de dados as informações necessárias para que ele possa exercer seu direito de objeção.
(b) Quando o importador de dados contratar um suboperador para desempenhar atividades de tratamento específicas (em nome do exportador de dados), tal contratação deverá ocorrer por um contrato escrito que preveja, de forma clara, as mesmas obrigações de proteção de dados que vinculam o importador de dados nestas Cláusulas, inclusive em termos de direitos de terceiro beneficiário para titulares. As Partes concordam que, ao cumprir esta Cláusula, o importador de dados cumpre suas obrigações previstas na Cláusula 8.8. O importador de dados garantirá que o suboperador cumpra as obrigações a que o importador de dados está sujeito conforme estas Cláusulas.
(c) O importador de dados disponibilizará ao exportador de dados, mediante solicitação deste, uma cópia do contrato de suboperador e eventuais alterações contratuais subsequentes. Observado o limite necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados pode redigir o texto do contrato antes de compartilhar uma cópia.
(d) O importador de dados continuará sendo plenamente responsável perante o exportador de dados pelo cumprimento das obrigações do suboperador nos termos de tal contrato. O importador de dados notificará o exportador de dados em caso de eventuais situações em que o suboperador deixe cumprir suas obrigações previstas no contrato.
(e) O importador de dados deverá acordar uma cláusula de terceiro beneficiário com o suboperador em que, caso o importador de dados desapareça, deixe de existir nos termos da lei ou torne-se insolvente, o exportador de dados terá o direito de rescindir o contrato do suboperador e o instruirá a excluir ou devolver os dados pessoais.
Cláusula 10
Direitos dos titulares dos dados
(a) O importador de dados notificará imediatamente o exportador de dados caso receba qualquer solicitação de um titular. O importador de dados só atenderá a tal solicitação se houver autorização do exportador de dados.
(b) O importador de dados auxiliará o exportador de dados a cumprir suas obrigações de atender às solicitações dos titulares para o exercício dos direitos deles previstos no Regulamento (UE) 679/2016. Neste sentido, as Partes estabelecerão no Anexo II as medidas técnicas e organizacionais adequadas, considerando a natureza do tratamento, pelas quais o auxílio será prestado, bem como o escopo e a extensão do auxílio necessário.
(c) Ao cumprir suas obrigações nos termos dos parágrafos (a) e (b), o importador de dados cumprirá as instruções do exportador de dados.
Cláusula 11
Reparação
(a) O importador de dados informará aos titulares em um formato transparente e de fácil acesso, por um aviso individual ou em seu site, um ponto de contato autorizado a atender reclamações. O atendimento de eventuais reclamações recebidas de titulares deverá se imediato.
(b) No caso de uma controvérsia entre um titular e uma das Partes quanto ao cumprimento destas Cláusulas, tal Parte envidará seus melhores esforços para solucionar o problema de forma amistosa e rápida. As Partes deverão se manter informadas sobre tais controvérsias e, quando for o caso, cooperarão para solucioná-las.
(c) Quando o titular invocar um direito de terceiro beneficiário previsto na Cláusula 3, o importador de dados aceitará a decisão do titular de:
(i) ingressar com uma reclamação na autoridade de controle no Estado-Membro de sua residência ou domicílio profissional habitual, ou a autoridade de controle competente nos termos da Cláusula 13;
(ii) submeter a controvérsia aos tribunais competentes conforme a Cláusula 18.
(d) As Partes aceitam que o titular por ser representado por um órgão, organização ou associação sem fins lucrativos conforme as condições estabelecidas no Artigo 80(1) do Regulamento (UE) 679/2016.
(e) O importador de dados acatará qualquer decisão que seja vinculante conforme a lei aplicável da União Europeia ou do Estado-Membro.
(f) O importador de dados concorda que a opção escolhida pelo titular não prejudicará seus direitos materiais ou processuais de buscar remédios jurídicos previstos nas leis aplicáveis.
Cláusula 12
Responsabilidade
(a) Cada Parte será responsável perante as outras Partes por eventuais danos causados por violações a estas Cláusulas.
(b) O importador de dados será responsável perante o titular, e o titular terá o direito de receber uma indenização, por eventuais danos materiais ou imateriais que o importador de dados ou seus suboperadores causarem ao titular por violar os direitos de terceiro beneficiário previstos nestas Cláusulas.
(c) Não obstante o parágrafo (b), o exportador de dados será responsável perante o titular, e o titular terá direito a receber uma indenização, por eventuais danos material ou imaterial que o exportador de dados ou o importador de dados (ou seus suboperadores) causarem ao titular por violar os direitos de terceiro beneficiário previstos nestas Cláusulas. Isso não prejudica a responsabilidade do exportador de dados e, quando o exportador de dados for um operador que esteja agindo em nome de um responsável, não prejudica a responsabilidade do responsável nos termos do Regulamento (UE) 679/2016 ou do Regulamento (UE) 1725/2016, conforme o caso.
(d) As Partes concordam que se o exportador de dados for responsabilizado conforme o parágrafo (c) por danos causado pelo importador de dados (ou seu suboperador), o exportador de dados terá o direito de regresso perante o importador de dados para reaver parte da indenização correspondente à responsabilidade do importador de dados pelos danos.
(e) Quando mais de uma Parte for responsável por eventuais danos causados ao titular em decorrência de uma violação destas Cláusulas, todas as Partes responsáveis serão solidariamente responsáveis, tendo o titular o direito de ajuizar uma ação em face de qualquer dessas Partes.
(f) As Partes concordam que, se uma Parte for responsabilizada nos termos do parágrafo (e), ela terá o direito de regresso perante as demais Partes para reaver parte da indenização correspondente à sua responsabilidade pelos danos.
(g) O importador de dados não poderá invocar a conduta de um suboperador para evitar sua própria responsabilidade.
Cláusula 13
Fiscalização
(a) A autoridade de controle com responsabilidade para garantir o cumprimento do Regulamento (UE) 679/2016 por parte do exportador de dados quanto à transferência de dados, conforme indicada no Anexo I.C, atuará como a autoridade de controle competente.
(b) O importador de dados concorda em se submeter à jurisdição da autoridade de controle competente e em cooperar com ela em eventuais processos que tenham como intuito garantir o cumprimento destas Cláusulas. Em especial, o importador de dados concorda em responder a consultas, se submeter a auditorias e a cumprir as medidas adotadas pela autoridade de controle, incluindo medidas corretivas e de compensação. O importador de dados fornecerá à autoridade de controle uma confirmação por escrito de que as providências necessárias foram tomadas.
SEÇÃO III – LEIS LOCAIS E OBRIGAÇÕES EM CASO DE ACESSO POR
AUTORIDADES PÚBLICAS
Cláusula 14
Leis locais e práticas que afetam o cumprimento das Cláusulas
(a) As Partes garantem que não têm motivos para acreditar que as leis e práticas no país terceiro de destino aplicáveis ao tratamento dos dados pessoais pelo importador de dados, inclusive eventuais exigências de divulgação dos dados pessoais ou medidas que autorizem o acesso por atividades públicas, impeçam o importador de dados de cumprir suas obrigações previstas nestas Cláusulas. As Partes chegam a essa conclusão por entenderem que tais leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não extrapolam o necessário e o proporcional em uma sociedade democrática para proteger um dos objetivos citados no Artigo 23(1) do Regulamento (UE) 679/2016 não contradizem estas Cláusulas.
(b) As Partes declaram que, ao apresentarem a garantia do parágrafo (a), levaram em consideração particularmente os seguintes elementos:
(i) as circunstâncias específicas da transferência, incluindo o tamanho da cadeia de tratamento, a quantidade de agentes envolvidos e os canais de transmissão utilizados; as transferências posteriores pretendidas; o tipo de destinatário; a finalidade do tratamento; as categorias e o formato dos dados pessoais transferidos; o setor econômico em que a transferência ocorre; o local de armazenamento dos dados transferidos;
(ii) as leis e práticas do país terceiro de destino – inclusive aqueles que exigem a divulgação de dados a autoridades públicas ou que autorizam o acesso por tais autoridades – pertinentes à luz das circunstâncias específicas da transferência e os limites e proteções aplicáveis;
(iii) quaisquer proteções contratuais, técnicas ou organizacionais relevantes implementadas para complementar as proteções previstas nestas Cláusulas, inclusive medidas aplicadas durante a transmissão e ao tratamento dos dados pessoais no país de destino.
(c) O importador de dados garante que, ao conduzir a avaliação prevista no parágrafo (b), envidou seus melhores esforços para fornecer informações relevantes ao exportador de dados e garante ainda que continuará cooperando com o exportador de dados para garantir o cumprimento destas Cláusulas.
(d) As Partes concordam em documentar a avaliação prevista no parágrafo (b) e em disponibilizar tal documentação à autoridade de controle competente mediante solicitação.
(e) O importador de dados concorda em notificar imediatamente o exportador de dados se, após concordar com estas Cláusulas e ao longo do prazo do contrato, tiver motivos para acreditar que está ou se tornou sujeito às leis ou práticas que estejam desalinhadas com as exigências previstas no parágrafo (a), inclusive após uma mudança nas leis do país terceiro ou em decorrência de uma medida (como uma solicitação de divulgação) que indique uma aplicação de tais leis em desalinho com as exigências previstas no parágrafo (a).
(f) Após uma notificação nos termos do parágrafo (e), ou se o exportador de dados, de outra forma, tiver motivos para acreditar que o importador de dados deixou de ser capaz de cumprir suas obrigações previstas nestas Cláusulas, o exportador de dados deverá identificar prontamente as medidas adequadas (por exemplo, medidas técnicas ou organizacionais para garantir a segurança e a confidencialidade) a serem adotadas pelo exportador de dados e/ou importador de dados para lidar com a situação. O exportador de dados suspenderá a transferência de dados se considerar que já não é mais possível garantir as proteções adequadas para tal transferência, ou se for instruído pela autoridade de controle competente a fazê-lo. Nesse caso, o exportador de dados terá o direito de rescindir o contrato, no que tange ao tratamento de dados pessoais conforme estas Cláusulas. Se o contrato envolver mais de duas Partes, o exportador de dados poderá exercer seu direito de rescisão apenas em relação à Parte relevante, salvo se as Partes acordarem de outra maneira. Caso o contrato seja rescindido nos termos desta Cláusula, a Cláusula 16(d) e (e) se aplicarão.
Cláusula 15
Obrigações do importador de dados em caso de acesso por autoridades públicas
15.1 Notificação
(a) O importador de dados concorda em notificar imediatamente o exportador de dados e, quando possível, o titular (se necessário, com o auxílio do exportador de dados) se o importador de dados:
(i) receber uma solicitação legalmente vinculante de uma autoridade pública, incluindo autoridades judiciais, de acordo com as leis do país de destino para divulga os dados pessoais transferidos nos termos destas Cláusulas; tal notificação incluirá informações sobre os dados pessoais solicitados, a autoridade solicitante, o fundamento jurídico da solicitação e a resposta apresentada; ou
(ii) tiver ciência de eventuais acessos diretos por autoridades públicas a dados pessoais transferidos nos termos desta Cláusulas de acordo com as leis do país de destino; tal notificação incluirá todas as informações que estiverem disponíveis para o importador de dados.
(b) Caso o importador de dados seja proibido de notificar o exportador de dados e/ou o titular nos termos das leis do país de destino, o importador de dados concorda em envidar seus melhores esforços para obter uma isenção da proibição, visando a comunicar o máximo possível de informações, o quanto antes. O importador de dados concorda em documentar seus melhores esforços para poder demonstrá-los mediante solicitação do exportador de dados.
(c) Quando permitido pelas leis do país de destino, o importador de dados concorda em fornecer ao exportador de dados, em intervalos regulares ao longo do prazo do contrato, o máximo possível de informações sobre as solicitações recebidas (em especial, a quantidade de solicitações, os tipos de dados solicitados, as autoridades solicitantes, se as solicitações foram contestadas e o resultado de tais contestações etc.).
(d) O importador de dados concorda em preservar as informações nos termos dos parágrafos (a) a (c) ao longo do prazo do contrato, disponibilizando-as à autoridade de fiscalização competente mediante solicitação.
(e) Os parágrafos (a) a (c) não prejudicam a obrigação do importador de dados previstas na Cláusula 14(e) e na Cláusula 16 de informar imediatamente o exportador de dados caso não seja possível cumprir estas Cláusulas.
15.2 Análise de legalidade e minimização de dados
(a) O importador de dados concorda em analisar a legalidade da solicitação de divulgação, em especial se permanecer sob os poderes da autoridade pública solicitante, e de contestar a solicitação se, após uma avaliação criteriosa, concluir que há fundamentos razoáveis para considerar que a solicitação é contrária às leis do país de destino, às obrigações aplicáveis nos termos das leis internacionais e princípios de cortesia internacional. O importador de dados, nas mesmas condições, buscará possibilidades de recurso. Ao contestar uma solicitação, o importador de dados deverá buscar medidas temporárias que visem a suspender os efeitos da solicitação até que a autoridade judicial competente decida os méritos. O importador de dados só divulgará os dados pessoais quando exigido pelas normas processuais aplicáveis. Tais exigências não prejudicam as obrigações do importador de dados previstas na Cláusula 14(e).
(b) O importador de dados concorda em documentar sua análise jurídica e eventuais contestações à solicitação de divulgação e, quando permitido pelas leis do país de destino, disponibilizará tal documentação ao exportador de dados. O importador de dados também disponibilizará tal documentação à autoridade de controle competente mediante solicitação.
(c) O importador de dados concorda em fornecer o mínimo permitido de informações ao atender a uma solicitação de divulgação, com base em uma interpretação razoável da solicitação.
SEÇÃO IV – DISPOSIÇÕES FINAIS
Cláusula 16
Não conformidade com as Cláusulas e rescisão
(a) O importador de dados informará imediatamente ao exportador de dados caso não consiga cumprir estar Cláusulas, por qualquer motivo que seja.
(b) Caso o importador de dados viole estas Cláusulas ou não consiga cumpri-las, o exportador de dados suspenderá a transferência de dados pessoais ao importador de dados até que a conformidade seja novamente garantida ou até que o contrato seja rescindido. Essa disposição não prejudica a Cláusula 14(f).
(c) O exportador de dados terá o direito de rescindir o contrato, no que tange ao tratamento de dados pessoais conforme estas Cláusulas, quando:
(i) o exportador de dados tiver suspendido a transferência de dados pessoais ao importador de dados nos termos do parágrafo (b) e o cumprimento destas Cláusulas não for restabelecido em um prazo razoável e, em nenhum caso, no prazo de um mês de suspensão;
(ii) o importador de dados violar estas Cláusulas de forma significativa ou reiterada; ou
(iii) o importador de dados deixar de cumprir uma decisão vinculante de um juízo ou autoridade de controle competente quanto às suas obrigações nos termos destas Cláusulas.
Nesses casos, o importador de dados deverá informar à autoridade de controle competente tal não conformidade. Quando o contrato envolver mais de duas Partes, o exportador de dados poderá exercer seu direito de rescisão apenas em relação à Parte relevante, salvo se as Partes acordarem de outra maneira.
(d) Os dados pessoais que tiverem sido transferidos antes da rescisão do contrato nos termos do parágrafo (c) ficarão ao encargo da escolha do exportador de dados de serem imediatamente devolvidos ao exportador de dados ou excluídos integralmente. A mesma premissa se aplica a eventuais cópias dos dados. O importador de dados declarará a exclusão dos dados ao exportador de dados. Até que os dados sejam excluídos ou devolvidos, o importador de dados continuará garantindo o cumprimento destas Cláusulas. Caso haja leis locais aplicáveis ao importador de dados que proíbam a devolução ou exclusão dos dados pessoais transferidos, o importador de dados garante que continuará garantindo o cumprimento destas Cláusulas e os tratará apenas pelo prazo determinado por tais leis locais.
(e) Cada uma das Partes poderá revogar seu acordo de estar vinculada a estas Cláusulas quando (i) a Comissão Europeia adotar uma decisão nos termos do Artigo 45(3) do Regulamento (UE) 679/2016 que cubra a transferência de dados pessoais a que estas Cláusulas se aplicam; ou (ii) o Regulamento (UE) 679/2016 se tornar uma parte de um arcabouço jurídico do país para o qual os dados pessoais são transferidos. Isso não prejudica outras obrigações que se aplicam ao tratamento em questão nos termos do Regulamento (UE) 679/2016.
Cláusula 17
Lei regente
Estas Cláusulas serão regidas pela lei de um dos Países-Membros da União Europeia, desde que tal lei preveja direitos de terceiro beneficiário. As Partes concordam que estas Cláusulas serão regidas de acordo com a seção “Pessoa jurídica contratante; lei aplicável; notificações” dos Termos Específicos de Jurisdições ou, se tal seção não especificar um País-Membro da União Europeia, pela lei da República da Irlanda (sem referência aos princípios de conflitos de leis)
Cláusula 18
Eleição de foro e jurisdição
(a) Eventuais controvérsias decorrentes destas Cláusulas serão solucionadas pelos tribunais de um Estado-Membro da União Europeia.
(b) As Partes concordam que tais tribunais serão aqueles da jurisdição especificada na Cláusula 17.
(c) O titular também pode ajuizar ações em face do exportador de dados e/ou do importador de dados nos tribunais do Estado-Membro que sua residência habitual.
(d) As Partes concordam em se submeter à jurisdição de tais tribunais.
ADENDO DAS CLÁUSULAS CONTRATUAIS PADRÃO REFERENTE AO REINO UNIDO E À SUÍÇA
(a) Este Adendo complementa as Cláusulas Contratuais Padrão conforme a necessidade para que elas se apliquem às transferências feitas pelo exportador de dados ao importador de dados quando o GDPR do Reino Unido ou a LPD Suíça (conforme definidos no Adendo de Tratamento de Dados da HubSpot) se aplicarem ao tratamento do exportador de dados ao fazer a transferência.
(b) As Cláusulas Contratuais Padrão serão alteradas da seguinte forma:
(i) menções a “Regulamento (UE) 679/2016” serão interpretadas como menções ao GDPR do Reino Unido ou à LPD Suíça (conforme o caso);
(ii) menções a Artigos específicos do “Regulamento (UE) 679/2016” serão substituídas pelo artigo ou seção equivalente do GDPR do Reino Unido ou da LPD Suíça (conforme o caso);
(iii) menções ao Regulamento (UE) 1725/2018 serão removidas;
(iv) menções a “União Europeia”, “União”, “UE” e “Estado-Membro” serão substituídas por menções ao “Reino Unido” ou à “Suíça” (conforme o caso);
(v) A Cláusula 13(a) e a Parte C do Anexo II não são usadas e a “autoridade de controle competente” será o Comissário de Informações do Reino Unido (UK Information Commissioner) ou o Comissário Federal de Informações e Proteção de Dados (Federal Data Protection and Information Commissioner) da Suíça (conforme o caso).;
(vi) menções à “autoridade de controle competente” e a “tribunais competentes” serão substituídas por menções ao “Comissário de Informações” e aos “tribunais da Inglaterra e do País de Gales” ou o “Comissário Federal de Informações e Proteção de Dados da Suíça” e “tribunais aplicáveis da Suíça” (conforme o caso);
(vii) na Cláusulas 17, as Cláusulas Contratuais Padrão serão regidas pelas leis da Inglaterra e do País de Gales ou da Suíça (conforme o caso); e
(viii) caso o GDPR do Reino Unido se aplique ao tratamento, a Cláusula 18 terá sua redação alterada para: “Eventuais controvérsias decorrentes destas Cláusulas serão solucionadas pelos tribunais da Inglaterra e do País de Gales. O titular também pode ajuizar ações em face do exportador de dados e/ou do importador de dados nos tribunais de qualquer país no Reino Unido. As Partes concordam em se submeter à jurisdição de tais tribunais”; e
(ix) caso a LPD da Suíça se aplique ao tratamento, a Cláusula 18 terá sua redação alterada para: “Eventuais controvérsias decorrentes destas Cláusulas serão solucionadas pelos tribunais competentes da Suíça. As Partes concordam em se submeter à jurisdição de tais tribunais”.