ADENDODE PROCESSAMENTO DE DADOS
Este Contrato de Processamento de Dados, incluindo seu Apêndice, (este “DPA“) faz parte dos Termos e Condições ou outros contratos escritos ou eletrônicos entre a Engage e o Cliente para a compra de serviços da Engage (o “Contrato“), que reflete o acordo das partes em relação ao Processamento de Dados Pessoais.
Para exercer os direitos e cumprir as obrigações previstas no Contrato, o Exportador divulgará e transferirá Dados Pessoais para o Importador. Nos termos deste DPA, o Importador processará os Dados Pessoais transferidos em nome do Exportador, de acordo com os requisitos do Exportador previstos neste DPA.
Nos termos deste DPA, o Exportador atua como Controlador de Dados, determinando as finalidades e os meios do Processamento de Dados Pessoais, de acordo com a Legislação de Proteção de Dados Aplicável, e o Importador atua como Processador de Dados, processando os Dados Pessoais transferidos em nome do Controlador.
Ambas as Partes têm a responsabilidade de respeitar as disposições deste DPA.
1. DEFINIÇÕES
a) “Contrato” significa os Termos e Condições, ou outro contrato escrito ou eletrônico celebrado entre a Engage e o Cliente para a compra de serviços da Engage.
b) “Legislação de Proteção de Dados Aplicável” significa as leis aplicáveis ao Processamento de Dados Pessoais específico de acordo com seu escopo pessoal, material e territorial; a Legislação de Proteção de Dados Aplicável geralmente é determinada por referência à localização do Titular dos Dados.
c) “Cliente” significa a pessoa jurídica para a qual a Engage presta serviços, de acordo com o Contrato. O termo “Cliente” deve incluir o Cliente e as afiliadas autorizadas.
d) “Violação de dados” significa qualquer perda ou uso não autorizado, cópia, modificação, divulgação ou destruição de, ou acesso a, Dados Pessoais transferidos de acordo com esta DPA.
e) “Controlador de Dados” ou “Controlador” significa a Parte que determina as finalidades e os meios do Processamento de Dados Pessoais.
f) “Exportador de Dados” ou “Exportador” significa o Cliente que transfere Dados Pessoais para o Importador de Dados nos termos deste DPA.
g) “Importador de dados” ou “Importador” significa a Engage que recebe Dados Pessoais do Exportador de dados para processamento nos termos deste DPA.
h) “Processador de dados” ou “Processador” significa a Parte que processa os dados pessoais em nome do Controlador, também chamada de intermediário de dados/pessoa de confiança.
i) “Titular dos Dados” significa a pessoa física a quem os Dados Pessoais se referem.
j) “Subprocessador de dados” significa qualquer pessoa física ou jurídica que possa ser contratada pelo Importador de dados para auxiliar no processamento de dados pessoais nos termos deste DPA.
k) “DPA” significa este Adendo de Processamento de Dados.
l) “Autoridade(s) de Execução” significa a(s) Autoridade(s) Supervisora(s) ou qualquer outra Autoridade que esteja encarregada de executar a Legislação de Proteção de Dados Aplicável.
m) “Engage” significa a entidade jurídica Engage Technologies Group Inc, incorporada pelas leis dos EUA, com sede em 3540 E Longwing Lane, Suite 300, Meridian, Idaho, 83646, Estados Unidos.
n) “Dados Pessoais” significa qualquer informação relacionada a um Titular de Dados.
o) “Processamento” significa qualquer operação ou conjunto de operações realizadas em Dados Pessoais ou em conjuntos de Dados Pessoais, seja ou não por meios automatizados, incluindo, por exemplo, coleta, uso e divulgação de Dados Pessoais; e
p) “Serviços” significa os serviços prestados pelo Importador de Dados ao Exportador de Dados de acordo com o Contrato.
2. RESPONSABILIDADES DAS PARTES
a) Cada Parte tem a responsabilidade de cumprir as cláusulas deste DPA, de acordo com a Legislação de Proteção de Dados Aplicável.
b) Ambas as Partes têm a responsabilidade de garantir a proteção e a segurança dos Dados Pessoais, de acordo com suas funções e obrigações nos termos da Legislação de Proteção de Dados Aplicável.
c) Ambas as Partes têm a responsabilidade de respeitar os direitos do Titular dos Dados e de fornecer os meios para o seu exercício, de acordo com suas funções e obrigações nos termos da Legislação de Proteção de Dados Aplicável.
d) Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos causados à(s) outra(s) Parte(s) por qualquer violação deste DPA.
e) Quando mais de uma Parte for responsável por qualquer dano causado ao Titular dos Dados em decorrência de uma violação deste DPA, todas as Partes responsáveis serão conjunta e solidariamente responsáveis e o Titular dos Dados terá o direito de mover uma ação judicial contra qualquer uma dessas Partes.
f) As Partes concordam que, se uma Parte for considerada responsável nos termos do parágrafo (e), ela terá o direito de reivindicar da(s) outra(s) Parte(s) a parte da indenização correspondente à sua responsabilidade pelo dano.
g) O exportador de dados garante, declara e assume que:
i) Os Dados Pessoais foram coletados, usados, divulgados e transferidos para o Importador de Dados nos termos deste DPA, de acordo com a Legislação de Proteção de Dados Aplicável.
ii) Os Dados Pessoais transferidos para o Importador de Dados nos termos deste DPA são precisos, completos e relevantes para as finalidades de processamento pelo Importador de Dados.
iii) O exportador de dados deverá implementar medidas técnicas e operacionais adequadas para garantir a segurança dos dados pessoais durante a transmissão para o importador de dados.
iv) O Exportador de dados responderá às consultas dos Titulares de dados ou das Autoridades de execução com relação ao processamento de dados pessoais pelo Importador de dados, conforme exigido pela Legislação de proteção de dados aplicável. As respostas a essas consultas e solicitações deverão ser feitas dentro de um prazo razoável ou dentro do prazo e da forma, se houver, exigidos pela Legislação de Proteção de Dados Aplicável.
v) Quando aplicável, o exportador é responsável por coletar o consentimento dos titulares dos dados para que o importador possa processar, usar ou divulgar dados pessoais em nome do exportador.
h) O Importador de dados garante, representa e se compromete a:
i) O Importador de Dados processa os Dados Pessoais somente em conformidade com as instruções do Exportador de Dados e para as finalidades descritas no Apêndice deste DPA.
ii) O Importador de Dados não divulgará ou transferirá os Dados Pessoais que receber do Exportador de Dados para outra pessoa, Autoridade de Execução ou entidade jurídica, inclusive para Subprocessadores de Dados, a menos que tenha notificado o Exportador de Dados sobre tal divulgação ou transferência por escrito e tenha fornecido uma oportunidade razoável para que o Exportador de Dados se oponha.
iii) O Importador de Dados concorda que, antes de qualquer divulgação ou transferência de Dados Pessoais para terceiros, inclusive para Subprocessadores de Dados, o Importador de Dados deverá garantir que o terceiro esteja sujeito e vinculado às obrigações do Importador de Dados para com o Exportador de Dados.
iv) O Importador de Dados concorda em tomar medidas razoáveis para implementar medidas de armazenamento e processamento de Dados Pessoais que estejam em conformidade com os padrões de segurança adequados de acordo com a Legislação de Proteção de Dados Aplicável.
v) O Importador de dados deverá, sem atrasos indevidos, comunicar e encaminhar ao Exportador de dados quaisquer consultas e solicitações dos Titulares de dados relacionadas aos Dados pessoais transferidos pelo Exportador de dados, incluindo solicitações de acesso ou correção dos Dados pessoais.
vi) O Importador de Dados deverá corrigir qualquer erro ou omissão nos Dados Pessoais razoavelmente solicitados pelo Exportador de Dados no prazo de 30 dias do recebimento da solicitação ou em outro prazo exigido pela Legislação de Proteção de Dados Aplicável.
vii) Após a rescisão do Contrato ou a conclusão do Processamento exigido nos termos deste DPA, o Importador de Dados deverá, a critério do Exportador de Dados, devolver ao Exportador de Dados os Dados Pessoais mantidos em sua posse nos termos deste DPA ou deixar de reter esses Dados Pessoais de uma maneira aprovada pelo Exportador de Dados.
viii) O Importador de Dados deverá adotar medidas técnicas, administrativas, operacionais e físicas razoáveis e apropriadas, consistentes com a Legislação de Proteção de Dados Aplicável, para proteger a confidencialidade, a integridade e a disponibilidade dos Dados Pessoais, em particular contra riscos de Violação de Dados.
ix) Se o Importador de Dados tomar conhecimento da ocorrência de uma Violação de Dados que afete os Dados Pessoais em sua posse ou sob seu controle, ou na posse ou sob o controle de um importador de uma divulgação ou transferência posterior dos Dados Pessoais, ele deverá notificar o Exportador de Dados sem atrasos indevidos.
x) O Importador de Dados deverá notificar e consultar prontamente o Exportador de Dados a respeito de qualquer investigação relativa à coleta, uso, transferência, divulgação, segurança ou descarte dos Dados Pessoais transferidos de acordo com este DPA, a menos que seja proibido por lei.
i) O Importador deverá cumprir todas as suas obrigações de acordo com a Legislação de Proteção de Dados Aplicável às suas próprias custas.
j) Quando o Exportador fornecer Dados Pessoais ao Importador, o Exportador deverá fazer um esforço razoável para garantir que os Dados Pessoais sejam precisos e completos antes de fornecê-los ao Importador. Em qualquer caso, o Importador deverá tomar medidas para corrigir quaisquer erros nos Dados Pessoais, assim que possível, mediante solicitação por escrito do Exportador.
k) O Importador só é responsável, nos termos deste DPA, pelo processamento dos Dados Pessoais quando transferidos pelo Exportador, conforme fornecido pelo Exportador.
3. SALVAGUARDAS DE PROTEÇÃO DE DADOS
a) O Exportador garante que envidou esforços razoáveis para determinar que o Importador é capaz, por meio da implementação de medidas técnicas e organizacionais adequadas, de cumprir suas obrigações nos termos deste DPA.
b) O Importador processará os dados pessoais recebidos do Importador ou processados em nome do Exportador somente mediante instruções documentadas do Exportador. O Exportador poderá dar tais instruções durante toda a vigência do Contrato.
c) O importador deverá informar imediatamente o exportador caso não consiga seguir essas instruções.
d) O Importador processará os Dados Pessoais recebidos do Importador ou processados em nome do Exportador somente para a(s) finalidade(s) específica(s) da transferência, conforme estabelecido neste DPA, a menos que receba instruções adicionais do Exportador.
e) O Importador somente divulgará os Dados Pessoais recebidos do Importador ou processados em nome do Exportador a um terceiro de acordo com as exigências da Legislação de Proteção de Dados Aplicável
4. SEGURANÇA DO PROCESSAMENTO
a) O Importador e o Exportador implementarão medidas técnicas e organizacionais apropriadas para garantir a segurança dos dados, incluindo a proteção contra uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a esses dados. Ao avaliar o nível adequado de segurança, as Partes levarão em conta o estado da técnica, os custos de implementação, a natureza, o escopo, o contexto e a(s) finalidade(s) do processamento e os riscos envolvidos no processamento dos titulares dos dados. As Partes deverão considerar o recurso à criptografia ou pseudonimização, inclusive durante a transmissão, quando a finalidade do processamento puder ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico deverão, sempre que possível, permanecer sob o controle exclusivo do exportador de dados.
b) O Importador concederá acesso aos Dados Pessoais aos membros de sua equipe somente na medida estritamente necessária para a implementação, o gerenciamento e o monitoramento do Contrato. Ele deverá garantir que as pessoas autorizadas a processar os Dados Pessoais tenham se comprometido com a confidencialidade ou estejam sob uma obrigação legal apropriada de confidencialidade.
c) No caso de uma violação de dados pessoais relativa a dados pessoais processados pelo importador nos termos deste DPA, o importador deverá tomar as medidas apropriadas para lidar com a violação, incluindo medidas para mitigar seus efeitos adversos, e notificar o exportador sem atrasos indevidos após tomar conhecimento da violação.
d) O Importador protegerá os Dados Pessoais em seu controle ou posse por meio de medidas de segurança razoáveis (incluindo, quando apropriado, medidas físicas, administrativas, processuais e de tecnologia da informação e comunicação) para evitar: (i) acesso não autorizado ou acidental, coleta, uso, divulgação, cópia, modificação, descarte ou destruição dos Dados Pessoais, ou outros riscos semelhantes; e (ii) a perda de qualquer meio ou dispositivo de armazenamento no qual os Dados Pessoais estejam armazenados. Para os fins deste Contrato, “medidas de segurança razoáveis” incluem as medidas estabelecidas no Anexo II do Contrato.
5. USO DE SUBPROCESSADORES
a) AUTORIZAÇÃO GERAL POR ESCRITO: o importador de dados tem a autorização geral do exportador de dados para a contratação de subprocessador(es).
b) Quando o Importador de dados contratar um subprocessador para realizar atividades de processamento específicas (em nome do Exportador de dados), ele deverá fazê-lo por meio de um contrato por escrito que preveja, em essência, as mesmas obrigações de proteção de dados que vinculam o Importador de dados nos termos deste DPA.
c) O Importador de dados acordará uma cláusula de terceiro beneficiário com o subprocessador pela qual – caso o Importador de dados tenha desaparecido de fato, deixado de existir legalmente ou se tornado insolvente – o Exportador de dados terá o direito de rescindir o contrato do subprocessador e de instruir o subprocessador a apagar ou devolver os Dados pessoais.
d) Mediante solicitação do exportador de dados, o importador de dados deverá fornecer uma cópia desse contrato de subprocessador e quaisquer alterações subsequentes ao controlador. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, inclusive dados pessoais, o processador poderá redigir o texto do contrato antes de compartilhar a cópia.
6. DIREITOS DOS TITULARES DE DADOS
a) O importador deverá notificar o exportador, sem atrasos indevidos, sobre qualquer solicitação que tenha recebido de um titular de dados. Ele não responderá a essa solicitação, a menos que tenha sido autorizado a fazê-lo pelo exportador.
b) O Importador ajudará o Exportador a cumprir suas obrigações de responder às solicitações dos Titulares dos Dados para o exercício de seus direitos.
c) No caso de uma disputa entre um Titular de Dados e uma das Partes com relação à conformidade com este DPA, essa Parte deverá envidar seus melhores esforços para resolver a questão de forma amigável e em tempo hábil. As Partes deverão manter-se mutuamente informadas sobre tais disputas e, quando apropriado, cooperar para resolvê-las.
7. RETENÇÃO DE DADOS PESSOAIS
a) O Importador não deverá reter os Dados Pessoais sujeitos a este DPA (ou quaisquer documentos ou registros que contenham esses Dados Pessoais, eletrônicos ou não) por um período de tempo maior do que o necessário para atender às finalidades deste DPA.
b) O Importador deverá, mediante solicitação do Exportador:
i) devolver ao Exportador todos os Dados Pessoais; ou
ii) excluir todos os Dados Pessoais em sua posse,
e, quando aplicável, o Importador também deverá instruir todos os terceiros a quem tenha divulgado os Dados Pessoais para os fins deste DPA a devolver ao Processador ou excluir esses Dados Pessoais.
c) As cláusulas previstas nos parágrafos (a) e (b) acima não se aplicarão a situações específicas em que o Importador estiver sujeito a uma obrigação legal relativa à retenção de dados pessoais por um período de tempo mais longo.
8. RESOLUÇÃO DE DISPUTAS E A LEI APLICÁVEL
a) Qualquer controvérsia no âmbito deste DPA deverá ser resolvida por meio de acordo amigável.
b) Se não for possível uma solução amigável, qualquer disputa deverá ser resolvida de acordo com as leis estaduais das instalações do Importador de Dados.
c) Se houver qualquer conflito ou inconsistência entre as cláusulas deste DPA e a Legislação de Proteção de Dados Aplicável, as disposições da Legislação de Proteção de Dados Aplicável prevalecerão.
9. CONSEQUÊNCIAS DA NÃO CONFORMIDADE
a) Caso uma das Partes não cumpra com as responsabilidades previstas neste DPA, a Parte afetada deverá notificar a Parte culpada para corrigir a não conformidade em um período de tempo razoável.
b) Dependendo da gravidade da não conformidade, a Parte afetada poderá suspender a transferência ou o Processamento dos Dados Pessoais nos termos deste DPA pelo período de tempo necessário para remediar a não conformidade.
c) No caso de:
i) a transferência ou o processamento de dados pessoais para ou pelo importador de dados foi temporariamente suspenso por mais de 6 meses, de acordo com o parágrafo (b); ou
ii) a conformidade de qualquer uma das Partes com este DPA a colocaria em violação de suas obrigações nos termos da legislação do país em que estiver processando os Dados Pessoais; ou
iii) houver uma decisão final de um tribunal competente, da qual não caiba mais recurso, de que houve uma violação deste DPA por qualquer uma das Partes; ou
iv) qualquer uma das Partes encerrar suas operações voluntária ou involuntariamente, anunciar sua intenção de encerrar as operações ou transferir todos ou substancialmente todos os seus ativos para uma entidade não afiliada,
então a Parte prejudicada, sem prejuízo de quaisquer outros direitos que possa ter contra a Parte culpada, terá o direito de rescindir este DPA.
d) As Partes concordam que a rescisão deste DPA a qualquer momento, em qualquer circunstância e por qualquer motivo não as isenta das obrigações deste DPA com relação à devolução ou exclusão dos Dados Pessoais transferidos.
e) O Exportador será responsável pelo cumprimento de suas próprias obrigações legais e indenizará o Importador por todo e qualquer dano causado ao Importador como resultado do não cumprimento pelo Exportador de suas próprias obrigações legais.
10. COMPROMISSOS GERAIS
a) Cada Parte garante, representa e se compromete com a outra Parte que tem plena capacidade e autoridade para assumir e cumprir suas obrigações nos termos e de acordo com este DPA.
b) Cada Parte concorda em cumprir toda a Legislação de Proteção de Dados Aplicável em relação ao cumprimento de suas obrigações nos termos deste DPA.
c) Em caso de contradição entre estas Cláusulas e as disposições de acordos relacionados entre as Partes, existentes no momento em que estas Cláusulas forem acordadas ou celebradas posteriormente, estas Cláusulas prevalecerão.
11. DISPOSIÇÕES FINAIS
a) As Partes poderão, mediante acordo por escrito, adotar ou modificar este DPA, ou conforme exigido pela Legislação de Proteção de Dados Aplicável. Isso não impede que as Partes adicionem ou alterem cláusulas, por acordo por escrito, conforme apropriado para seus acordos comerciais ou empresariais.
c) A Engage pode alterar este DPA de tempos em tempos, publicando uma versão revisada em seu site, disponível em[RB1] https://www.engagetg.com/data-processing-addendum. Se a Engage fizer quaisquer alterações que afetem negativa e materialmente os direitos ou obrigações do Cliente neste DPA, a Engage notificará o Cliente eletronicamente por escrito. Ao receber a notificação de alterações materiais a este APD, na medida em que o Cliente for impactado negativamente e materialmente por tais alterações, o Cliente terá cinco (5) dias para notificar a Engage por escrito de sua intenção de rescindir o Contrato, após o qual, o Cliente será considerado como tendo aceitado o APD revisado. A notificação do Cliente de sua intenção de rescindir o Contrato como resultado de alterações materiais a este DPA sob esta seção deve incluir uma descrição específica de como as alterações impactam materialmente e negativamente o Cliente. A Engage deverá rescindir o Contrato e todos os Serviços a qualquer momento dentro de sessenta (60) dias a partir do dia de tal notificação por escrito à Engage.
d) Este DPA é parte do Contrato celebrado entre as Partes.
e) A rescisão ou suspensão deste DPA determina a impossibilidade de continuar o Processamento de Dados Pessoais nos termos deste DPA, com graves consequências para a execução do Contrato.
APÊNDICE
Anexo I – DESCRIÇÃO DO PROCESSAMENTO
A. LISTA DE PARTES
Exportador de dados:
O Cliente, conforme mencionado no Contrato
Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: O Exportador de Dados transfere os Dados Pessoais e o Importador de Dados armazena os Dados Pessoais a fim de executar o Contrato de prestação de serviços celebrado entre o Exportador de Dados e o Importador.
Função (controlador/processador): Controlador
Importador de dados:
Nome: Engage Technologies Group, Inc
Endereço: 3540 E Longwing Lane, Suite 300, Meridian, Idaho, 83646, Estados Unidos
Diretor de proteção de dados ou pessoa de contato: dpo@engagetg.com
Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: O Importador de Dados recebe os Dados Pessoais do Exportador de Dados e os processa em nome do Exportador de Dados, de acordo com as instruções dadas por este último.
Função (controlador/processador): Processador
B. DESCRIÇÃO DA TRANSFERÊNCIA
Categorias de titulares de dados cujos dados pessoais são transferidos:
A categoria de Titular de Dados envolvida pelas transferências sujeitas a este Contrato são os Destinatários (ou seja, os destinatários do Usuário e outros indivíduos sobre os quais um Usuário forneceu informações ou interagiu de outra forma com um Usuário por meio do serviço).
Categorias de dados pessoais transferidos:
Dados de identificação (ID interno do Engage); Informações de contato (nome, sobrenome); Dados de contato (número de telefone); Informações médicas (tipo de consulta, data/hora da consulta); Informações sobre a jornada (jornada, tipo de evento, data do evento, ID do evento, nome do episódio, idioma, ID do vídeo, nome do vídeo, duração do vídeo, tempo do vídeo assistido, porcentagem do tempo do vídeo assistido, chamada para ação)[LM2] [LM3] [LM4] [al5] .
Transferência de dados confidenciais:
S dados sensíveis são processados como parte do Serviço somente por meio do método de integração API Kit. Se o exportador de dados optar por usar esse método de integração, o tipo de compromisso e a data/hora do compromisso serão processados pelo importador de dados. [LM6] [LM7] [al8]
A frequência da transferência:
As transferências de dados ocorrem de forma contínua, de acordo com a natureza do contrato de serviço
Natureza do processamento:
O Processamento é baseado na relação comercial de acordo com o Contrato celebrado entre o Exportador de Dados e o Importador de Dados e refere-se à coleta, registro, organização, estruturação, armazenamento, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização de outra forma, apagamento ou destruição de dados pessoais.
Finalidade(s) da transferência de dados e do processamento posterior:
A principal finalidade do processamento de Dados Pessoais é a execução do Contrato de serviço celebrado entre o Exportador de Dados e o Importador de Dados, cujo objeto é dar acesso à jornada e fornecer estatísticas sobre os Destinatários do Exportador de Dados.
As finalidades específicas do processamento de Dados Pessoais são:
· Envio de mensagens de texto para os Destinatários com links para a(s) viagem(ns)
· Rastreamento do comportamento dos destinatários durante a(s) jornada(s)
· Fornecer relatórios estatísticos sobre o uso da plataforma dos Destinatários
O período pelo qual os dados pessoais serão mantidos:
Os Dados Pessoais Processados nos termos deste Contrato serão processados pelo Importador de Dados somente durante a execução do Contrato com o Cliente.
Transferências para subprocessadores:
O Importador poderá transferir os Dados Pessoais sujeitos a este DPA ou disponibilizá-los para seus provedores somente para ou de acordo com as finalidades da transferência, limitando o acesso ao que for estritamente necessário para a prestação dos Serviços e somente pelo período de tempo em que os Serviços forem prestados.
C. AUTORIDADE DE SUPERVISÃO COMPETENTE
A autoridade supervisora competente será determinada de acordo com a Legislação de Proteção de Dados Aplicável onde os Titulares dos Dados estiverem localizados .
Anexo II – MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS
Descrição das medidas técnicas e organizacionais implementadas pelo(s) importador(es) de dados para garantir um nível adequado de segurança, levando em conta a natureza, o escopo, o contexto e a finalidade do processamento, e os riscos para os direitos e liberdades das pessoas físicas:
– Medidas de pseudonimização e criptografia de dados pessoais
– Medidas para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de processamento
– Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico
– Processos para testar, avaliar e comprovar regularmente a eficácia das medidas técnicas e organizacionais a fim de garantir a segurança do processamento
– Medidas para identificação e autorização do usuário
– Medidas para a proteção de dados durante a transmissão
– Medidas para a proteção de dados durante o armazenamento
– Medidas para garantir a segurança física dos locais em que os dados pessoais são processados
– Medidas para garantir o registro de eventos
– Medidas para garantir a configuração do sistema, incluindo a configuração padrão
– Medidas para governança e gerenciamento internos de TI e segurança de TI
– Medidas para certificação/garantia de processos e produtos
– Medidas para garantir a minimização de dados
– Medidas para garantir a qualidade dos dados
– Medidas para garantir a retenção limitada de dados
– Medidas para garantir a responsabilidade
– Medidas para permitir a portabilidade de dados e garantir a exclusão
ANEXO III – LISTA DE SUBPROCESSADORES
O controlador autorizou o uso dos seguintes subprocessadores:
1. Nome: Microsoft Azure
Endereço do site: https://azure.microsoft.com
Descrição do processamento: Hospedagem e infraestrutura, plataformas de computação em nuvem e APIs.
2. Nome: Auth0
Endereço do site: https://auth0.com
DPO: privacy@okta.com
Descrição do processamento: Autenticação e autorização para a plataforma.
3. Nome: Twilio
Endereço do site: https://www.twilio.com
DPO: privacy@twilio.com
Descrição do processamento: Fornecimento de mensagens de texto com uma senha de uso único.
4. Nome: Kaleyra
Endereço do site: https://www.kaleyra.com
DPO: privacy@kaleyra.com
Descrição do processamento: Agregação de mensagens de texto.
5. Nome: Vibes
Endereço do site: www.vibes.com
DPO: –
Descrição do processamento: Agregação de mensagens de texto.