Acordo de Processamento de Dados

Acordo de Processamento de Dados

Este Acordo de Processamento de Dados ("Acordo") é celebrado entre a Global Netflow Tecnologia Ltda., LLC ou Lead Connector Ou CRM Conector ("Processador") e o cliente ("Controlador") (coletivamente referidos como "Partes") como parte dos serviços prestados pelo Processador ao Controlador. Este Acordo estabelece os termos e condições referentes ao processamento de dados pessoais em nome do Controlador.

1. Definições

1.1. "Dados Pessoais" significa qualquer informação relacionada a uma pessoa natural identificada ou identificável que seja processada pelo Processador em nome do Controlador.

1.2. "Titular dos Dados" refere-se à pessoa física a quem os Dados Pessoais se referem.

1.3. "LGPD" significa Lei Geral de Proteção de Dados, a lei de proteção de dados pessoais do Brasil.

1.4. "Controlador", "Processador", "Titular dos Dados", "Dados Pessoais", "Violação de Dados Pessoais", "Processar" e "Processamento" terão os significados atribuídos a eles nas leis de proteção de dados aplicáveis.

1.5. "Dados Pessoais do Cliente" significa qualquer informação relacionada a uma pessoa física identificada ou identificável que (i) esteja contida nos Dados do Cliente fornecidos nos termos do Acordo e (ii) esteja protegida como dados pessoais ou informações pessoais sob as leis de proteção de dados aplicáveis.

1.6. "Leis de Proteção de Dados" significam todas as legislações aplicáveis em todo o mundo relacionadas à proteção de dados e privacidade que se aplicam à respectiva parte no papel de Processamento de Dados Pessoais em questão nos termos do Acordo, incluindo, sem limitação, as Leis de Proteção de Dados Europeias, a LGPD e outras leis dos Estados Unidos; em cada caso, conforme emendadas, revogadas, consolidadas ou substituídas de tempos em tempos.

1.7. "Europa" significa a União Europeia, o Espaço Econômico Europeu e/ou seus estados membros, Suíça e Reino Unido.

1.8. "Dados Europeus" significa Dados Pessoais que estão sujeitos à proteção das Leis de Proteção de Dados Europeias.

1.9. "Leis de Proteção de Dados Europeias" significam as leis de proteção de dados aplicáveis na Europa, incluindo: (i) o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (GDPR); (ii) a Diretiva 2002/58/CE, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrônicas; e (iii) as implementações nacionais aplicáveis do GDPR e da Diretiva 2002/58/CE; ou (iii) o GDPR como parte da lei doméstica do Reino Unido em virtude da Seção 3 do European Union (Withdrawal) Act 2018 ("UK

GDPR"); e (iv) a Lei Federal Suíça de Proteção de Dados, de 19 de junho de 1992, e sua Ordem ("Swiss DPA"), em cada caso, conforme possam ser emendados, substituídos ou substituídos.

1.10. "GDPR" significa o Regulamento Geral de Proteção de Dados (UE) 2016/679, e sua versão retida no Reino Unido;

1.11. "Cláusulas Contratuais Padronizadas" significam as cláusulas contratuais padronizadas anexadas à Decisão (UE) 2021/914 da Comissão Europeia, de 4 de junho de 2021, atualmente disponíveis em https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en, conforme possam ser emendadas, substituídas ou substituídas;

1.12. "Adendo do Reino Unido" significa o Adendo Internacional de Transferência de Dados emitido pela Autoridade de Informações do Reino Unido nos termos da seção 119A(1) da Lei de Proteção de Dados de 2018, atualmente disponível em https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf, conforme possam ser emendados, substituídos ou substituídos.

2. Conformidade. Ambas as partes cumprirão todos os requisitos aplicáveis das leis de proteção de dados. Esta programação é adicional e não isenta, remove ou substitui as obrigações ou direitos de uma parte sob as leis de proteção de dados.

3. Controlador/Processador. As partes determinaram que, para fins das leis de proteção de dados, a Global Netflow Tecnologia Ltda. processará os Dados Pessoais do Cliente como processadora em nome do Cliente. O Cliente pode ser um Controlador ou Processador.

4. Consentimentos. O Cliente garantirá que tenha todos os consentimentos e avisos apropriados necessários para permitir a transferência legal dos Dados Pessoais do Cliente para a Global Netflow Tecnologia Ltda. e a coleta legal dos mesmos pelo Cliente usando os serviços da Global Netflow Tecnologia Ltda. durante a duração e os propósitos do Contrato e do DPA, e indenizará a Global Netflow Tecnologia Ltda. por todas as perdas e danos (incluindo multas) decorrentes de uma falha em fazê-lo.

5. Natureza, Escopo, Propósito do Processamento e Titulares dos Dados. O Anexo A estabelece o escopo, a natureza e o propósito do Processamento dos Dados Pessoais do Cliente pela Global Netflow Tecnologia Ltda., a duração do Processamento, os tipos de Dados Pessoais do Cliente e as categorias de Titulares dos Dados.

6. Instruções do Cliente. A Global Netflow Tecnologia Ltda. processará os Dados Pessoais do Cliente apenas de acordo com as instruções documentadas do Cliente, a menos que a Global Netflow Tecnologia Ltda. seja obrigada por quaisquer leis aplicáveis a processar de outra forma esses Dados Pessoais do Cliente. O Contrato e o DPA são considerados as instruções do Cliente; as partes podem concordar com instruções adicionais. A Global Netflow Tecnologia Ltda. informará o Cliente se, na opinião da Global Netflow Tecnologia Ltda., as instruções do Cliente violarem as leis de proteção de dados.

7. Obrigações da Global Netflow Tecnologia Ltda. A Global Netflow Tecnologia Ltda.:

a. Implementará e manterá medidas técnicas e organizacionais apropriadas para proteger os Dados Pessoais do Cliente contra Violação de Dados Pessoais, conforme descrito no Anexo B deste DPA ("Medidas de Segurança"). Não obstante qualquer disposição em contrário, a Global Netflow Tecnologia Ltda. poderá modificar ou atualizar as Medidas de Segurança a seu critério, desde que essa modificação ou atualização não resulte em uma degradação material na proteção oferecida pelas Medidas de Segurança.

b. Garantirá que qualquer pessoa autorizada pela Global Netflow Tecnologia Ltda. para processar os Dados Pessoais do Cliente tenha se comprometido com a confidencialidade ou esteja sujeita a uma obrigação apropriada de confidencialidade prevista por lei.

c. Auxiliará o Cliente, na medida do possível (levando em consideração a natureza do Processamento e as informações disponíveis para a Global Netflow Tecnologia Ltda.), e a custo do Cliente e mediante solicitação por

escrito, a responder a qualquer solicitação de um Titular dos Dados e a garantir o cumprimento pelo Cliente de suas obrigações sob as leis de proteção de dados, no que diz respeito à segurança, notificações de violações, avaliações de impacto e consultas com autoridades supervisoras ou reguladoras.

d. Notificará o Cliente, sem demora indevida, ao tomar conhecimento de uma Violação de Dados Pessoais envolvendo os Dados Pessoais do Cliente.

e. Sob a direção por escrito do Cliente, apagará ou devolverá os Dados Pessoais do Cliente e cópias dos mesmos ao Cliente ao término do Contrato, a menos que a Global Netflow Tecnologia Ltda. seja obrigada por qualquer lei aplicável a continuar processando esses Dados Pessoais do Cliente. Para fins deste parágrafo, os Dados Pessoais do Cliente serão considerados apagados quando forem colocados além de qualquer outro uso pela Global Netflow Tecnologia Ltda.

f. No caso de Dados Europeus, auxiliará o Cliente em garantir o cumprimento dos Artigos 32 a 36 do GDPR; disponibilizará todas as informações razoavelmente necessárias para demonstrar a conformidade com este DPA ao Cliente e permitirá e contribuirá razoavelmente para auditorias, incluindo inspeções realizadas pelo Cliente para avaliar a conformidade com este DPA, na medida exigida pelas leis de proteção de dados; e disponibilizará todas as informações razoavelmente necessárias para demonstrar a conformidade com os requisitos do Artigo 28 do GDPR para Processadores; e

g. Manterá registros para demonstrar sua conformidade com este parágrafo.

8. Provedor de Serviços. As partes concordam que, se o CCPA se aplicar, o Cliente é um "negócio" e a Global Netflow Tecnologia Ltda. é um "provedor de serviços" conforme definido pelo CCPA. A Global Netflow Tecnologia Ltda. não reterá, utilizará ou divulgará as Informações Pessoais da Califórnia coletadas de acordo com o Contrato para nenhum outro propósito que não seja o de executar o Contrato ou conforme permitido pelo CCPA; e (b) a Global Netflow Tecnologia Ltda. não reterá, utilizará ou divulgará as Informações Pessoais da Califórnia coletadas de acordo com este Contrato fora da relação comercial direta entre a Global Netflow Tecnologia Ltda. e o Cliente, a menos que seja permitido pelo CCPA. A Global Netflow Tecnologia Ltda. não "venderá" ou "compartilhará" Informações Pessoais da Califórnia, conforme definido no CCPA, nem combinará as Informações Pessoais da Califórnia com informações pessoais obtidas de outras fontes que não sejam o Cliente, exceto na medida necessária para executar o Contrato. O Cliente poderá solicitar, e a Global Netflow Tecnologia Ltda. fornecerá, periodicamente, evidências razoáveis de conformidade com esta Seção 8.

9. Subprocessadores. O Cliente autoriza previamente e de forma geral a Global Netflow Tecnologia Ltda. a nomear Processadores para processar os Dados Pessoais do Cliente, desde que a Global Netflow Tecnologia Ltda. garanta que os termos nos quais nomeia tais processadores estejam em conformidade com as Leis de Proteção de Dados e sejam consistentes com as obrigações impostas à Global Netflow Tecnologia Ltda. neste parágrafo; e permanecerá responsável pelos atos e omissões de qualquer um desses Processadores como se fossem os atos e omissões da Global Netflow Tecnologia Ltda. A Global Netflow Tecnologia Ltda. atualmente nomeou, como Subprocessadores, as terceiras partes listadas no Anexo C deste DPA. A Global Netflow Tecnologia Ltda. notificará o Cliente caso adicione ou substitua quaisquer Subprocessadores listados no Anexo C com pelo menos 30 dias de antecedência em relação a tais alterações, se o Cliente optar por receber esses e-mails, entrando em contato com a Global Netflow Tecnologia Ltda. A Global Netflow Tecnologia Ltda. incluirá proteções substancialmente iguais para os Dados Pessoais do Cliente, conforme estabelecido no DPA.

10. Dados de brasileiros: Mecanismos de Transferência e Cláusulas Contratuais Padronizadas.

a. A Global Netflow Tecnologia Ltda. não transferirá os dados de brasileiros para nenhum país ou destinatário que não ofereça um nível adequado de proteção para dados pessoais, conforme estabelecido pelas leis de proteção de dados aplicáveis no Brasil, a menos que adote todas as medidas necessárias para garantir que a transferência esteja em conformidade com as referidas leis. Essas medidas podem incluir, entre outras, a transferência desses dados pessoais para um destinatário coberto por um quadro adequado ou outro mecanismo de transferência legalmente adequado reconhecido pelas autoridades competentes como fornecendo um nível adequado de proteção para dados pessoais, ou para um destinatário que tenha adotado cláusulas contratuais padronizadas apropriadas, conforme adotadas ou aprovadas de acordo com as leis de proteção de dados aplicáveis no Brasil.

b. O cliente reconhece que, no contexto da prestação do serviço, a Global Netflow Tecnologia Ltda. pode ser um destinatário de dados de brasileiros nos Estados Unidos ou em outros países. Sujeito às disposições seguintes, as partes concordam que as cláusulas contratuais padronizadas serão incorporadas por referência e farão parte integrante do contrato da seguinte forma:

Transferências da União Europeia (UE). No que diz respeito aos dados de brasileiros sujeitos ao GDPR (Regulamento Geral de Proteção de Dados da União Europeia): (i) o cliente é o "exportador de dados" e a Global Netflow Tecnologia Ltda. é o "importador de dados"; (ii) os termos do Módulo Dois serão aplicáveis na medida em que o cliente seja o controlador de dados de brasileiros, e os termos do Módulo Três serão aplicáveis na medida em que o cliente seja o processador de dados de brasileiros; (iii) na Cláusula 7, a cláusula opcional de ancoragem será aplicada; (iv) na Cláusula 9, a Opção 2 será aplicada e quaisquer alterações aos sub-processadores serão notificadas de acordo com a seção "Sub-processadores" deste acordo; (v) na Cláusula 11, a linguagem opcional será excluída; (vi) nas Cláusulas 17 e 18, as partes concordam que a lei aplicável e o foro para disputas das cláusulas contratuais padronizadas serão definidos de acordo com as leis do Brasil; (vii) os anexos das cláusulas contratuais padronizadas serão considerados completados com as informações estabelecidas nos anexos deste contrato; e (viii) em caso de conflito entre os termos das cláusulas contratuais padronizadas e qualquer disposição deste contrato, as cláusulas contratuais padronizadas prevalecerão na medida desse conflito.

Transferências para outros países. No caso de transferências de dados de brasileiros para países que não sejam a União Europeia, a Global Netflow Tecnologia Ltda. adotará as medidas necessárias para garantir a conformidade com as leis de

proteção de dados aplicáveis no Brasil. Tais medidas podem incluir a celebração de contratos ou acordos que garantam a proteção adequada dos dados de brasileiros, conforme exigido pelas leis aplicáveis.

c. Se a Global Netflow Tecnologia Ltda. não puder cumprir suas obrigações sob as cláusulas contratuais padronizadas ou estiver em violação de qualquer garantia fornecida sob as cláusulas contratuais padronizadas, o cliente deverá fornecer um aviso razoável à Global Netflow Tecnologia Ltda. para permitir que ela corrija a não conformidade. O cliente concorda em cooperar razoavelmente com a Global Netflow Tecnologia Ltda. para identificar quaisquer salvaguardas adicionais que possam ser implementadas para corrigir tal não conformidade. Caso a Global Netflow Tecnologia Ltda. não possa ou não corrija a não conformidade, o cliente poderá suspender ou rescindir a transferência dos dados de brasileiros de acordo com o contrato, sem que nenhuma das partes seja responsabilizada, exceto pelas taxas incorridas pelo cliente antes da suspensão ou rescisão.

11. Alterações. Não obstante qualquer outra disposição em contrário no Contrato, a Global Netflow Tecnologia Ltda. reserva-se o direito de fazer qualquer atualização e alteração neste DPA, inclusive para lidar com mudanças nas leis de proteção de dados e revisar as disposições de segurança neste DPA, desde que a Global Netflow Tecnologia Ltda. não reduza substancialmente o nível geral de segurança fornecido aos dados pessoais do cliente.

ANEXO A - Detalhes do Processamento

A. Lista das Partes

Exportador de dados:

Nome: Você, conforme definido nos Termos de Serviço da Global Netflow Tecnologia Ltda.

Endereço: Seu endereço conforme especificado em sua Conta na Plataforma

Nome, cargo e informações de contato da pessoa responsável: Suas informações de contato, conforme especificado em sua Conta na Plataforma

Atividades relevantes para os dados transferidos sob estas Cláusulas: Execução do Contrato entre as partes como Controlador.

Função (controlador/processador): Controlador ou Processador

Importador de dados:

Nome: Global Netflow Tecnologia Ltda.

Endereço: AVENIDA PAULISTA 1106 SALA 01 ANDAR 16 - BELA VISTA- SAO PAULO- SP

Nome, cargo e informações de contato da pessoa responsável: THIAGO F M OLIVEIRA , Fundador

Atividades relevantes para os dados transferidos sob estas Cláusulas: Execução do Contrato entre as partes.

Função (controlador/processador): Processador

B. Descrição da Transferência

Categorias de titulares de dados cujos dados pessoais são transferidos: Clientes e potenciais clientes dos clientes.

Categorias de dados pessoais transferidos: Os dados pessoais inseridos e coletados conforme decidido pelo Cliente, incluindo nome, idade, data de nascimento, número de telefone, endereço de e-mail, perfis de mídia social.

Dados sensíveis transferidos e restrições ou salvaguardas aplicadas: As partes não preveem a transferência de dados sensíveis.

Frequência da transferência: Variável durante o prazo do Contrato.

Assunto e natureza do processamento: A Global Netflow Tecnologia Ltda. fornecerá os Serviços ao Cliente nos termos do Contrato entre as partes. O Cliente utilizará os Serviços para coletar e processar os dados pessoais de seus clientes e potenciais clientes com o objetivo de gerenciar e realizar atividades de marketing, que podem ser direcionadas aos seus clientes e potenciais clientes.

O processamento envolverá a coleta, armazenamento, registro, contato e gerenciamento de dados pessoais, em particular para fins de execução de campanhas de marketing, fornecimento de serviços de marketing e gerenciamento de marketing em geral.

Finalidade da transferência e processamento adicional: A Global Netflow Tecnologia Ltda. processará os dados pessoais conforme necessário para fornecer o Serviço de acordo com o Contrato, conforme especificado posteriormente em um formulário de pedido e conforme instruído pelo Cliente no uso do Serviço.

Período de retenção dos dados pessoais: Duração do período em que o Cliente acessa e utiliza a plataforma da Global Netflow Tecnologia Ltda. sob o Contrato de Serviços.

C. Autoridade Supervisora Competente:

Para os fins das Cláusulas Contratuais Padronizadas, a autoridade supervisora competente será determinada de acordo com os mecanismos de transferência de dados estabelecidos nesta DPA.

Medidas de pseudonimização e criptografia de dados pessoais

- Todos os dados pessoais em repouso são criptografados com: AES 256 CBC.

- Todos os dados pessoais em trânsito são criptografados com: TLS V1.2+.

Medidas para garantir a confidencialidade, integridade, disponibilidade e resiliência de sistemas e serviços de processamento

- O Processador possui proteção de ponto de extremidade em suas APIs.

- O Processador possui monitores de tempo de atividade para ajudar a garantir a disponibilidade e alertar o Processador em caso de tempo de inatividade.

- O Processador implementou medidas de controle de acesso, como autenticação baseada em usuário e autenticação com base em subconta.

- O Processador utiliza serviços gerenciados (AWS, GoogleCloud) para ajudar a garantir a integridade.

Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso a dados pessoais em caso de incidente físico ou técnico

- Os dados pessoais são backupados na AWS e GoogleCloud com granularidade de 5 minutos para permitir que o Processador restaure os dados pessoais em caso de incidente.

Medidas para identificação e autorização de usuários

- O Processador utiliza tokens criptografados assinados e autorizações baseadas em funções, bem como proteção por senha.

Medidas para a proteção de dados durante a transmissão

- Certificados SSL e https são usados durante a transmissão de dados pessoais. Protegidos com TLS v1.2+.

Medidas para a proteção de dados durante o armazenamento

- Os dados pessoais são criptografados em repouso com criptografia AES-256 CBC.

Medidas para garantir a segurança física dos locais onde os dados pessoais são processados

- O Processador utiliza serviços gerenciados para garantir a segurança física dos locais dos servidores. Todos os dados pessoais são armazenados na AWS e GoogleCloud, com a segurança física descrita nos Termos e Condições da AWS e GoogleCloud, respectivamente.

Medidas para garantir o registro de eventos

- O Processador registra todas as ações do usuário e os logs de auditoria. O GoogleCloud ops é utilizado para monitoramento de aplicativos e infraestrutura. Além disso, o Processador utiliza o Cloudwatch da AWS.

Medidas para garantir a configuração do sistema, incluindo a configuração padrão

- O Processador possui configurações armazenadas em controle de versão. Todos os contêineres são criados a partir de imagens padronizadas hospedadas pela AWS e GoogleCloud. As atualizações e upgrades são realizados automaticamente e gerenciados pelo GoogleCloud. O patching de quaisquer vulnerabilidades é gerenciado pelo GoogleCloud, de acordo com suas políticas padrão.

Medidas para governança e gerenciamento interno de TI e segurança de TI

- O Processador utiliza um fornecedor terceirizado (iWerk) para TI interna e segurança de TI.

Medidas para certificação/garantia de processos e produtos

- O Processador recebe

u da Compliancy Group o Certificado de Conformidade HIPAA Seal of Compliance.

Medidas para garantir a minimização de dados

- O Processador estabelece o requisito mínimo de dados. Os usuários podem optar por não inserir dados pessoais em campos opcionais.

Medidas para garantir a qualidade dos dados

- O Processador permite que os clientes atualizem os dados pessoais relevantes para a data mais recente, e utiliza autenticação de dois fatores. O monitoramento do aplicativo é realizado pelo GoogleCloud e monitores personalizados.

Medidas para garantir a retenção limitada de dados

- A retenção de dados pode ser configurada em relação a indivíduos específicos pelo administrador do cliente.

Medidas para garantir a responsabilidade

- O acesso do Processador aos dados pessoais é restrito com base em regras.

Medidas para permitir a portabilidade de dados e garantir a exclusão

- Os clientes podem baixar seus dados pessoais do Serviço. Podem solicitar uma cópia ou exclusão de seus dados pessoais ao se separarem. O Processador utiliza tickets de suporte para garantir o cumprimento do exposto.

Medidas técnicas e organizacionais específicas a serem adotadas pelo Importador de Dados para poder fornecer assistência ao Exportador de Dados:

Autoatendimento:

- Os clientes podem baixar seus dados pessoais de dentro do Serviço.

- Os administradores do cliente podem definir a retenção de dados para funcionários encerrados.

Suporte ao Cliente e Produto:

- Perguntas frequentes (FAQs) estão disponíveis.

- Tickets de suporte podem ser abertos para consultas específicas não abordadas pelo material de suporte ao cliente/produto do site do Fornecedor de Serviço.

ANEXO C - Subprocessadores:

- Nome do Subcontratado Autorizado: Google LLC/Google Cloud Services

- Endereço: 1600 Amphitheatre Parkway, Mountain View, Califórnia 94043, Estados Unidos

- Informações de Contato: [email protected]

- Descrição do Processamento: Armazenamento de dados; suporte para execução deste Contrato

- País onde o Subprocessamento será realizado: Estados Unidos

- Nome do Subcontratado Autorizado: Amazon Web Services, Inc.

- Endereço: 410 Terry Avenue North, Seattle, WA 98109-5210, Estados Unidos

- Informações de Contato: 206.266.7010

- Descrição do Processamento: Armazenamento de dados; suporte para execução deste Contrato

- País onde o Subprocessamento será realizado: Estados Unidos

Contato

🇧🇷 +55 11 4040-2302

Avenida Paulista 1106

Sala 01 andar 16- São Paulo-SP

🇺🇸 +1 (404) 777-0463

12345 Lake City Way Ne Suite 2033 - Seattle - Washington - United States