Factory.ai
Go back to home

Acordo de Processamento de Dados

LAST UPDATE: April 29, 2026

Este Acordo de Processamento de Dados ("DPA") complementa os Termos e Condições da Factory (o "Contrato") que você ("Cliente") aceitou ao pagar as Taxas para acessar os Serviços selecionados. Este DPA incorpora os termos do Contrato, e quaisquer termos não definidos neste DPA terão o significado estabelecido no Contrato.

1. Definições

  • 1.1 "Afiliada" (Affiliate) significa (i) uma entidade da qual uma parte direta ou indiretamente detém cinquenta por cento (50%) ou mais das ações ou outra participação societária, (ii) uma entidade que detém pelo menos cinquenta por cento (50%) ou mais das ações ou outra participação societária de uma parte, ou (iii) uma entidade que está sob controle comum com uma parte por ter pelo menos cinquenta por cento (50%) ou mais das ações ou outra participação societária de tal entidade e uma parte detidas pela mesma pessoa, mas tal entidade somente será considerada uma Afiliada enquanto tal titularidade existir.

  • 1.2 "Subprocessador Autorizado" (Authorized Sub-Processor) significa um terceiro que tenha necessidade de conhecer ou de outra forma acessar os Dados Pessoais do Cliente para permitir que a Factory cumpra suas obrigações sob este DPA ou o Contrato, e que seja (1) listado no Anexo B ou (2) subsequentemente autorizado sob a Seção 4.2 deste DPA.

  • 1.3 "Dados de Contato" (Contact Data) significa os Dados Pessoais que a Factory processa como controladora, tais como informações de conta, informações de pagamento e informações de participantes de eventos.

  • 1.4 "Exportador de Dados" (Data Exporter) significa o Cliente.
  • 1.5 "Importador de Dados" (Data Importer) significa a Factory.

  • 1.6 "Leis de Proteção de Dados" (Data Protection Laws) significa quaisquer leis e regulamentos aplicáveis em qualquer jurisdição relevante relacionados ao uso ou processamento de Dados Pessoais, incluindo: (i) a Lei de Privacidade do Consumidor da Califórnia, conforme alterada pela Lei de Privacidade do Consumidor da Califórnia de 2018, conforme alterada pela Lei de Direitos de Privacidade da Califórnia de 2020 ("CCPA"), (ii) o Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679) ("GDPR da UE") e o GDPR da UE conforme faz parte da lei da Inglaterra e País de Gales em virtude da seção 3 da Lei da União Europeia (Retirada) de 2018 (o "GDPR do Reino Unido") (em conjunto, coletivamente, o "GDPR"), (iii) a Lei Federal Suíça de Proteção de Dados; (iv) a Lei de Proteção de Dados do Reino Unido de 2018; (v) os Regulamentos de Privacidade e Comunicações Eletrônicas (Diretiva CE) de 2003; e (vi) a Lei de Proteção de Dados do Consumidor da Virgínia ("VCDPA"); em cada caso, conforme atualizado, alterado ou substituído de tempos em tempos. Os termos "Titular dos Dados" (Data Subject), "Dados Pessoais" (Personal Data), "Violação de Dados Pessoais" (Personal Data Breach), "processamento" (processing), "processador" (processor), "controlador" (controller) e "autoridade supervisora" (supervisory authority) terão os significados estabelecidos no GDPR.

  • 1.7 "CCPs da UE" (EU SCCs) significa as cláusulas contratuais padrão aprovadas pela Comissão Europeia na Decisão da Comissão 2021/914, datada de 4 de junho de 2021, para transferências de dados pessoais para países não reconhecidos de outra forma como oferecendo um nível adequado de proteção para dados pessoais pela Comissão Europeia (conforme alterada e atualizada de tempos em tempos), conforme modificada pela Seção 6.2 deste DPA.

  • 1.8 "Transferência ex-EEE" (ex-EEA Transfer) significa a transferência de Dados Pessoais, que são processados de acordo com o GDPR, do Exportador de Dados para o Importador de Dados (ou suas instalações) fora do Espaço Econômico Europeu (o "EEE"), e tal transferência não é regida por uma decisão de adequação feita pela Comissão Europeia de acordo com as disposições relevantes do GDPR.

  • 1.9 "Transferência ex-Reino Unido" (ex-UK Transfer) significa a transferência de Dados Pessoais cobertos pelo Capítulo V do GDPR do Reino Unido, que são processados de acordo com o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018, do Exportador de Dados para o Importador de Dados (ou suas instalações) fora do Reino Unido (o "RU"), e tal transferência não é regida por uma decisão de adequação feita pelo Secretário de Estado de acordo com as disposições relevantes do GDPR do Reino Unido e a Lei de Proteção de Dados de 2018.

  • 1.10 "Dados Pessoais" (Personal Data) significa "dados pessoais", "informações pessoais", "informações pessoalmente identificáveis" ou informações similares definidas e regidas pelas Leis de Proteção de Dados.

  • 1.11 "Dados Gerados pelo Serviço" (Service-Generated Data) significa dados de uso e metadados que são gerados por meio do uso dos Serviços, incluindo dados gerados por meio do uso dos Serviços de Suporte. Este DPA se aplica aos Dados Gerados pelo Serviço na medida em que os Dados Gerados pelo Serviço constituam Dados Pessoais.

  • 1.12 "Serviços" (Services) terão o significado estabelecido no Contrato.

  • 1.13 "Cláusulas Contratuais Padrão" (Standard Contractual Clauses) significa as CCPs da UE e as CCPs do Reino Unido.

  • 1.14 "CCPs do Reino Unido" (UK SCCs) significa as CCPs da UE, conforme alteradas pelo Adendo do Reino Unido.

2. Relação entre as Partes; Processamento de Dados

  • 2.1 As partes reconhecem e concordam que, no que diz respeito ao processamento de Dados Pessoais, o Cliente pode atuar como controlador ou processador e, exceto conforme expressamente estabelecido neste DPA ou no Contrato, a Factory é uma processadora. O Cliente deverá, em seu uso dos Serviços, processar Dados Pessoais a todo momento, e fornecer instruções para o processamento de Dados Pessoais, em conformidade com as Leis de Proteção de Dados. O Cliente deverá garantir que o processamento de Dados Pessoais de acordo com as instruções do Cliente não fará com que a Factory viole as Leis de Proteção de Dados. O Cliente é o único responsável pela precisão, qualidade e legalidade de (i) os Dados Pessoais fornecidos à Factory pelo ou em nome do Cliente, (ii) os meios pelos quais o Cliente adquiriu tais Dados Pessoais, e (iii) as instruções que fornece à Factory em relação ao processamento de tais Dados Pessoais. O Cliente não deverá fornecer ou disponibilizar à Factory quaisquer Dados Pessoais em violação do Contrato ou de outra forma inadequados para a natureza dos Serviços, e deverá indenizar a Factory de todas as reivindicações e perdas relacionadas.

  • 2.2 A Factory não processará Dados Pessoais (i) para fins diferentes daqueles estabelecidos no Contrato e/ou Anexo A, (ii) de maneira inconsistente com os termos e condições estabelecidos neste DPA ou quaisquer outras instruções documentadas fornecidas pelo Cliente, inclusive no que diz respeito a transferências de dados pessoais para um país terceiro ou uma organização internacional, a menos que seja obrigada a fazê-lo pela Autoridade Supervisora à qual a Factory está sujeita; nesse caso, a Factory informará o Cliente sobre esse requisito legal antes do processamento, a menos que tal lei proíba tal informação por motivos importantes de interesse público, ou (iii) em violação das Leis de Proteção de Dados. O Cliente instrui a Factory a processar Dados Pessoais de acordo com o acima exposto e como parte de qualquer processamento iniciado pelo Cliente em seu uso dos Serviços.

  • 2.3 O objeto, a natureza, a finalidade e a duração deste processamento, bem como os tipos de Dados Pessoais coletados e categorias de Titulares dos Dados, são descritos no Anexo A deste DPA.

  • 2.4 Após a conclusão dos Serviços, por escolha do Cliente, a Factory deverá devolver ou excluir os Dados Pessoais do Cliente, a menos que o armazenamento adicional de tais Dados Pessoais seja exigido ou autorizado pela lei aplicável. Se a devolução ou destruição for impraticável ou proibida por lei, regra ou regulamento, a Factory deverá tomar medidas para bloquear tais Dados Pessoais de qualquer processamento adicional (exceto na medida necessária para sua hospedagem contínua ou processamento exigido por lei, regra ou regulamento) e deverá continuar a proteger adequadamente os Dados Pessoais restantes em sua posse, custódia ou controle. Se o Cliente e a Factory tiverem celebrado Cláusulas Contratuais Padrão conforme descrito na Seção 6 (Transferências de Dados Pessoais), as partes concordam que a certificação de exclusão de Dados Pessoais descrita na Cláusula 8.1(d) e na Cláusula 8.5 das CCPs da UE (conforme aplicável) será fornecida pela Factory ao Cliente somente mediante solicitação do Cliente.

  • 2.5 As Partes reconhecem e concordam que o processamento de informações pessoais ou dados pessoais sujeitos à CCPA ou VCDPA será realizado de acordo com os termos estabelecidos no Anexo E.

3. Confidencialidade

A Factory deverá garantir que qualquer pessoa que autorize a processar Dados Pessoais tenha concordado em proteger os Dados Pessoais de acordo com as obrigações de confidencialidade da Factory no Contrato. O Cliente concorda que a Factory pode divulgar Dados Pessoais a seus consultores, auditores ou outros terceiros conforme razoavelmente necessário em conexão com o cumprimento de suas obrigações sob este DPA, o Contrato ou a prestação de Serviços ao Cliente.

4. Subprocessadores Autorizados

  • 4.1 O Cliente reconhece e concorda que a Factory pode (1) contratar suas Afiliadas e os Subprocessadores Autorizados listados no Anexo B deste DPA para acessar e processar Dados Pessoais em conexão com os Serviços e (2) de tempos em tempos contratar terceiros adicionais para fins de prestação dos Serviços, incluindo, sem limitação, o processamento de Dados Pessoais. Por meio deste DPA, o Cliente fornece autorização geral por escrito à Factory para contratar subprocessadores conforme necessário para executar os Serviços.

  • 4.2 Os atuais Subprocessadores Autorizados da Factory (a "Lista") estão localizados em https://trust.factory.ai/subprocessors. Tal Lista pode ser atualizada pela Factory de tempos em tempos. A Factory pode fornecer um mecanismo para subscrever notificações de novos Subprocessadores Autorizados e o Cliente concorda em subscrever tais notificações quando disponíveis. Pelo menos dez (10) dias antes de permitir que qualquer terceiro que não seja um Subprocessador Autorizado existente acesse ou participe do processamento de Dados Pessoais, a Factory adicionará tal terceiro à Lista e notificará o Cliente por e-mail. O Cliente pode se opor a tal contratação informando a Factory dentro de dez (10) dias do recebimento da referida notificação pelo Cliente, desde que tal objeção seja por escrito e baseada em motivos razoáveis relacionados à proteção de dados. O Cliente reconhece que certos subprocessadores são essenciais para a prestação dos Serviços e que a objeção ao uso de um subprocessador pode impedir a Factory de oferecer os Serviços ao Cliente.

  • 4.3 Se o Cliente razoavelmente se opuser a uma contratação de acordo com a Seção 4.2, e a Factory não puder fornecer uma alternativa comercialmente razoável dentro de um período razoável, o Cliente poderá descontinuar o uso do Serviço afetado mediante notificação por escrito à Factory. A descontinuação não isentará o Cliente de quaisquer taxas devidas à Factory sob o Contrato.

  • 4.4 Se o Cliente não se opuser à contratação de um terceiro de acordo com a Seção 4.2 dentro de dez (10) dias da notificação pela Factory, tal terceiro será considerado um Subprocessador Autorizado para os fins deste DPA.

  • 4.5 A Factory celebrará um contrato por escrito com o Subprocessador Autorizado impondo ao Subprocessador Autorizado obrigações de proteção de dados comparáveis às impostas à Factory sob este DPA no que diz respeito à proteção de Dados Pessoais. Caso um Subprocessador Autorizado não cumpra suas obrigações de proteção de dados sob tal contrato por escrito com a Factory, a Factory permanecerá responsável perante o Cliente pelo cumprimento das obrigações do Subprocessador Autorizado sob tal contrato.

  • 4.6 Se o Cliente e a Factory tiverem celebrado Cláusulas Contratuais Padrão conforme descrito na Seção 6 (Transferências de Dados Pessoais), (i) as autorizações acima constituirão o consentimento prévio por escrito do Cliente para a subcontratação pela Factory do processamento de Dados Pessoais se tal consentimento for exigido pelas Cláusulas Contratuais Padrão, e (ii) as partes concordam que as cópias dos contratos com Subprocessadores Autorizados que devem ser fornecidas pela Factory ao Cliente conforme a Cláusula 9(c) das CCPs da UE podem ter informações comerciais, ou informações não relacionadas às Cláusulas Contratuais Padrão ou seus equivalentes, removidas pela Factory previamente, e que tais cópias serão fornecidas pela Factory somente mediante solicitação do Cliente.

5. Segurança dos Dados Pessoais

Levando em consideração o estado da arte, os custos de implementação e a natureza, escopo, contexto e finalidades do processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas naturais, a Factory deverá manter medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco de processamento de Dados Pessoais. O Anexo C estabelece informações adicionais sobre as medidas técnicas e organizacionais de segurança da Factory.

6. Transferências de Dados Pessoais

  • 6.1 As partes concordam que a Factory pode transferir Dados Pessoais processados sob este DPA para fora do EEE, do Reino Unido ou da Suíça, conforme necessário para a prestação dos Serviços. O Cliente reconhece que as principais operações de processamento da Factory ocorrem nos Estados Unidos e que a transferência dos Dados Pessoais do Cliente para os Estados Unidos é necessária para a prestação dos Serviços ao Cliente. Se a Factory transferir Dados Pessoais protegidos sob este DPA para uma jurisdição para a qual a Comissão Europeia não tenha emitido uma decisão de adequação, a Factory garantirá que salvaguardas apropriadas tenham sido implementadas para a transferência de Dados Pessoais de acordo com as Leis de Proteção de Dados.

  • 6.2 Transferências ex-EEE. As partes concordam que as Transferências ex-EEE são feitas de acordo com as CCPs da UE, que são consideradas celebradas (e incorporadas a este DPA por esta referência) e completadas da seguinte forma:

    • 6.2.1 O Módulo Dois (Controlador para Processador) das CCPs da UE se aplica quando o Cliente é um controlador e a Factory está processando Dados Pessoais para o Cliente como processadora conforme a Seção 2 deste DPA.

    • 6.2.2 O Módulo Três (Processador para Subprocessador) das CCPs da UE se aplica quando o Cliente é um processador e a Factory está processando Dados Pessoais em nome do Cliente como subprocessadora.

  • 6.3 Para cada módulo, quando aplicável, o seguinte se aplica:
    • 6.3.1 A cláusula opcional de adesão na Cláusula 7 não se aplica.

    • 6.3.2 Na Cláusula 9, a Opção 2 (autorização geral por escrito) se aplica, e o prazo mínimo para notificação prévia de alterações de subprocessador será conforme estabelecido na Seção 4.2 deste DPA;

    • 6.3.3 Na Cláusula 11, a linguagem opcional não se aplica;
    • 6.3.4 Todos os colchetes na Cláusula 13 são removidos;

    • 6.3.5 Na Cláusula 17 (Opção 1), as CCPs da UE serão regidas pela lei irlandesa;

    • 6.3.6 Na Cláusula 18(b), as disputas serão resolvidas perante os tribunais da Irlanda;

    • 6.3.7 O Anexo B deste DPA contém as informações exigidas no Anexo I e no Anexo III das CCPs da UE;

    • 6.3.8 O Anexo C deste DPA contém as informações exigidas no Anexo II das CCPs da UE; e

    • 6.3.9 Ao celebrar este DPA, as partes são consideradas como tendo assinado as CCPs da UE aqui incorporadas, incluindo seus Anexos.

  • 6.4 Transferências ex-Reino Unido. As partes concordam que as Transferências ex-Reino Unido são feitas de acordo com as CCPs do Reino Unido, que são consideradas celebradas e incorporadas a este DPA por referência, e alteradas e completadas de acordo com o Adendo do Reino Unido, que é incorporado aqui como Anexo D deste DPA.

  • 6.5 Transferências da Suíça. As partes concordam que as transferências da Suíça são feitas de acordo com as CCPs da UE com as seguintes modificações:

    • 6.5.1 Os termos "Regulamento Geral de Proteção de Dados" ou "Regulamento (UE) 2016/679" conforme utilizados nas CCPs da UE devem ser interpretados para incluir a Lei Federal de Proteção de Dados de 19 de junho de 1992 (a "FADP", e conforme revisada em 25 de setembro de 2020, a "FADP Revisada") no que diz respeito a transferências de dados sujeitas à FADP.

    • 6.5.2 Os termos das CCPs da UE devem ser interpretados para proteger os dados de entidades jurídicas até a data de vigência da FADP Revisada.

    • 6.5.3 A Cláusula 13 das CCPs da UE é modificada para prever que o Comissário Federal de Proteção de Dados e Informação ("FDPIC") da Suíça terá autoridade sobre transferências de dados regidas pela FADP e a autoridade supervisora apropriada da UE terá autoridade sobre transferências de dados regidas pelo GDPR. Sujeito ao acima exposto, todos os outros requisitos da Cláusula 13 devem ser observados.

    • 6.5.4 O termo "Estado-Membro da UE" conforme utilizado nas CCPs da UE não deve ser interpretado de forma a excluir os Titulares dos Dados na Suíça de exercerem seus direitos em seu local de residência habitual de acordo com a Cláusula 18(c) das CCPs da UE.

  • 6.6 Medidas Suplementares. No que diz respeito a qualquer Transferência ex-EEE ou Transferência ex-Reino Unido, as seguintes medidas suplementares se aplicarão:

    • 6.6.1 Na data deste DPA, o Importador de Dados não recebeu nenhuma solicitação legal formal de qualquer serviço/agência de inteligência ou segurança governamental no país para o qual os Dados Pessoais estão sendo exportados, para acesso (ou cópias) aos Dados Pessoais do Cliente ("Solicitações de Agências Governamentais");

    • 6.6.2 Se, após a data deste DPA, o Importador de Dados receber quaisquer Solicitações de Agências Governamentais, a Factory tentará redirecionar a agência de aplicação da lei ou agência governamental para solicitar tais dados diretamente ao Cliente. Como parte desse esforço, a Factory pode fornecer as informações básicas de contato do Cliente à agência governamental. Se compelida a divulgar os Dados Pessoais do Cliente a uma agência de aplicação da lei ou agência governamental, a Factory dará ao Cliente aviso razoável da demanda e cooperará para permitir que o Cliente busque uma ordem de proteção ou outro recurso apropriado, a menos que a Factory seja legalmente proibida de fazê-lo. A Factory não divulgará voluntariamente Dados Pessoais a qualquer agência de aplicação da lei ou agência governamental. O Exportador de Dados e o Importador de Dados deverão (assim que razoavelmente praticável) discutir e determinar se todas ou quaisquer transferências de Dados Pessoais nos termos deste DPA devem ser suspensas à luz de tais Solicitações de Agências Governamentais; e

    • 6.6.3 O Exportador de Dados e o Importador de Dados se reunirão regularmente para considerar se: (i) a proteção oferecida pelas leis do país do Importador de Dados aos titulares de dados cujos Dados Pessoais estão sendo transferidos é suficiente para fornecer proteção amplamente equivalente àquela oferecida no EEE ou no Reino Unido, conforme o caso; (ii) medidas adicionais são razoavelmente necessárias para permitir que a transferência esteja em conformidade com as Leis de Proteção de Dados; e (iii) ainda é apropriado que os Dados Pessoais sejam transferidos para o Importador de Dados relevante, levando em consideração todas as informações relevantes disponíveis para as partes, juntamente com a orientação fornecida pelas autoridades supervisoras.

    • 6.6.4 Se as Leis de Proteção de Dados exigirem que o Exportador de Dados execute as Cláusulas Contratuais Padrão aplicáveis a uma determinada transferência de Dados Pessoais para um Importador de Dados como um contrato separado, o Importador de Dados deverá, mediante solicitação do Exportador de Dados, executar prontamente tais Cláusulas Contratuais Padrão incorporando tais alterações conforme razoavelmente exigido pelo Exportador de Dados para refletir os apêndices e anexos aplicáveis, os detalhes da transferência e os requisitos das Leis de Proteção de Dados relevantes.

    • 6.6.5 Se (i) qualquer um dos meios de legitimação de transferências de Dados Pessoais para fora do EEE ou do Reino Unido estabelecidos neste DPA deixar de ser válido ou (ii) qualquer autoridade supervisora exigir que as transferências de Dados Pessoais de acordo com esses meios sejam suspensas, então o Importador de Dados pode, mediante notificação ao Exportador de Dados, com efeito a partir da data estabelecida em tal notificação, alterar ou implementar arranjos alternativos em relação a tais transferências, conforme exigido pelas Leis de Proteção de Dados.

  • 6.7 A Factory deverá, na medida permitida por lei, notificar o Cliente ao receber uma solicitação de um Titular dos Dados para exercer o direito do Titular dos Dados de: acesso, retificação, exclusão, portabilidade de dados, restrição ou cessação do processamento, retirada do consentimento para processamento e/ou objeção a estar sujeito a processamento que constitua tomada de decisão automatizada (tais solicitações individual e coletivamente "Solicitação(ões) de Titular dos Dados" (Data Subject Request(s))). Se a Factory receber uma Solicitação de Titular dos Dados em relação aos dados do Cliente, a Factory aconselhará o Titular dos Dados a enviar sua solicitação ao Cliente e o Cliente será responsável por responder a tal solicitação, incluindo, quando necessário, utilizando a funcionalidade dos Serviços. O Cliente é o único responsável por garantir que as Solicitações de Titular dos Dados para exclusão, restrição ou cessação do processamento, ou retirada do consentimento para processamento de quaisquer Dados Pessoais sejam comunicadas à Factory e, se aplicável, por garantir que um registro de consentimento para processamento seja mantido em relação a cada Titular dos Dados.

  • 6.8 A Factory deverá, mediante solicitação do Cliente, e levando em consideração a natureza do processamento aplicável a qualquer Solicitação de Titular dos Dados, aplicar medidas técnicas e organizacionais apropriadas para auxiliar o Cliente no cumprimento da obrigação do Cliente de responder a tal Solicitação de Titular dos Dados e/ou na demonstração de tal conformidade, quando possível, desde que (i) o Cliente não consiga responder sem a assistência da Factory e (ii) a Factory possa fazê-lo de acordo com todas as leis, regras e regulamentos aplicáveis. O Cliente será responsável, na medida legalmente permitida, por quaisquer custos e despesas decorrentes de tal assistência pela Factory.

7. Ações e Solicitações de Acesso; Auditorias

  • 7.1 A Factory deverá, levando em consideração a natureza do processamento e as informações disponíveis para a Factory, fornecer ao Cliente cooperação e assistência razoáveis quando necessário para que o Cliente cumpra suas obrigações sob o GDPR de conduzir uma avaliação de impacto de proteção de dados e/ou demonstrar tal conformidade, desde que o Cliente não tenha de outra forma acesso às informações relevantes. O Cliente será responsável, na medida legalmente permitida, por quaisquer custos e despesas decorrentes de tal assistência pela Factory.

  • 7.2 A Factory deverá, levando em consideração a natureza do processamento e as informações disponíveis para a Factory, fornecer ao Cliente cooperação e assistência razoáveis no que diz respeito à cooperação e/ou consulta prévia do Cliente com qualquer Autoridade Supervisora, quando necessário e quando exigido pelo GDPR. O Cliente será responsável, na medida legalmente permitida, por quaisquer custos e despesas decorrentes de tal assistência pela Factory.

  • 7.3 A Factory deverá manter registros suficientes para demonstrar sua conformidade com suas obrigações sob este DPA, e reter tais registros por um período de três (3) anos após o término do Contrato. O Cliente deverá, com aviso razoável à Factory, ter o direito de revisar, auditar e copiar tais registros nas instalações da Factory durante o horário comercial regular.

  • 7.4 Mediante solicitação por escrito do Cliente em intervalos razoáveis, e sujeito a controles de confidencialidade razoáveis, a Factory deverá (i) disponibilizar para revisão do Cliente cópias de certificações ou relatórios demonstrando a conformidade da Factory com os padrões de segurança de dados prevalecentes aplicáveis ao processamento dos Dados Pessoais do Cliente, ou (ii) se a prestação de relatórios ou certificações conforme (i) não for razoavelmente suficiente sob as Leis de Proteção de Dados, permitir que o representante terceirizado independente do Cliente conduza uma auditoria ou inspeção da infraestrutura e procedimentos de segurança de dados da Factory que seja suficiente para demonstrar a conformidade da Factory com suas obrigações sob as Leis de Proteção de Dados, desde que (a) o Cliente forneça aviso prévio por escrito razoável de qualquer solicitação de auditoria e tal inspeção não seja desproporcionalmente prejudicial aos negócios da Factory; (b) tal auditoria somente seja realizada durante o horário comercial e ocorra no máximo uma vez por ano civil; e (c) tal auditoria seja restrita aos dados relevantes para o Cliente. O Cliente será responsável pelos custos de quaisquer auditorias ou inspeções, incluindo, sem limitação, reembolso à Factory por qualquer tempo gasto em auditorias presenciais. Se o Cliente e a Factory tiverem celebrado Cláusulas Contratuais Padrão conforme descrito na Seção 6 (Transferências de Dados Pessoais), as partes concordam que as auditorias descritas na Cláusula 8.9 das CCPs da UE serão realizadas de acordo com esta Seção 7.4.

  • 7.5 A Factory deverá notificar imediatamente o Cliente se uma instrução, na opinião da Factory, violar as Leis de Proteção de Dados ou a Autoridade Supervisora.

  • 7.6 No caso de uma Violação de Dados Pessoais, a Factory deverá, sem demora indevida, informar o Cliente sobre a Violação de Dados Pessoais e tomar as medidas que a Factory, a seu exclusivo critério, considere necessárias e razoáveis para remediar tal violação (na medida em que a remediação esteja dentro do controle razoável da Factory).

  • 7.7 No caso de uma Violação de Dados Pessoais, a Factory deverá, levando em consideração a natureza do processamento e as informações disponíveis para a Factory, fornecer ao Cliente cooperação e assistência razoáveis necessárias para que o Cliente cumpra suas obrigações sob o GDPR no que diz respeito à notificação (i) da Autoridade Supervisora relevante e (ii) dos Titulares dos Dados afetados por tal Violação de Dados Pessoais sem demora indevida.

  • 7.8 As obrigações descritas nas Seções 7.6 e 7.7 não se aplicarão no caso de uma Violação de Dados Pessoais resultante de ações ou omissões do Cliente. A obrigação da Factory de relatar ou responder a uma Violação de Dados Pessoais sob as Seções 7.6 e 7.7 não será interpretada como um reconhecimento pela Factory de qualquer culpa ou responsabilidade no que diz respeito à Violação de Dados Pessoais.

8. Conflito

No caso de qualquer conflito ou inconsistência entre os seguintes documentos, a ordem de precedência será: (1) os termos aplicáveis nas Cláusulas Contratuais Padrão; (2) os termos deste DPA; (3) o Contrato; e (4) a política de privacidade da Factory. Quaisquer reivindicações apresentadas em conexão com este DPA estarão sujeitas aos termos e condições, incluindo, mas não limitado a, as exclusões e limitações estabelecidas no Contrato.

Anexo A: Detalhes do Processamento

Natureza e Finalidade do Processamento: A Factory processará os Dados Pessoais do Cliente conforme necessário para a prestação dos Serviços sob o Contrato, para os fins especificados no Contrato e neste DPA, e de acordo com as instruções do Cliente conforme estabelecido neste DPA. A natureza do processamento inclui, sem limitação:

  • Recebimento de dados, incluindo coleta, acesso, recuperação, registro e entrada de dados
  • Retenção de dados, incluindo armazenamento, organização e estruturação
  • Uso de dados, incluindo análise, consulta, teste
  • Proteção de dados, incluindo restrição, criptografia e testes de segurança
  • Exclusão de dados, incluindo destruição e eliminação

Duração do Processamento: A Factory processará os Dados Pessoais do Cliente pelo tempo necessário (i) para fornecer os Serviços ao Cliente sob o Contrato; (ii) para as necessidades comerciais legítimas da Factory; ou (iii) conforme exigido pela lei ou regulamento aplicável.

Categorias de Titulares dos Dados: Funcionários do Cliente

Categorias de Dados Pessoais: Nome, endereço de e-mail, cargo e/ou nome de usuário do GitHub dos funcionários do Cliente.

Dados Sensíveis ou Categorias Especiais de Dados: Nenhum

Anexo B

1. As Partes

  • Exportador(es) de dados: Cliente e Afiliadas autorizadas do Cliente ‍Nome: Endereço de e-mail do proprietário da conta do Cliente, ou para o(s) endereço(s) de e-mail para o(s) qual(is) o Cliente optar por receber comunicações de privacidade. Atividades relevantes para os dados transferidos sob estas Cláusulas: Os Dados do Cliente estarão sujeitos às seguintes atividades básicas de processamento: a prestação de Serviços e divulgações de acordo com o Contrato e/ou conforme exigido pelas leis aplicáveis. Os Dados Pessoais contidos nos Dados Gerados pelo Serviço e/ou Dados de Contato estarão sujeitos às seguintes atividades de processamento pela Factory: A Factory pode usar Dados Gerados pelo Serviço e/ou Dados de Contato para operar, melhorar e apoiar os Serviços, para fornecer mensagens relacionadas a marketing e serviços e para outras práticas comerciais legítimas, como análises, benchmarking e relatórios. Assinatura e data: Ao celebrar o Contrato, o Exportador de Dados é considerado como tendo assinado este DPA e as Cláusulas Contratuais Padrão aqui incorporadas, incluindo seus Anexos, na Data de Vigência do Contrato. Função (controlador/processador): Controlador
  • Importador(es) de dados: [Identidade e detalhes de contato do(s) importador(es) de dados, incluindo qualquer pessoa de contato com responsabilidade pela proteção de dados] ‍Nome: San Francisco AI Factory, Inc. Nome Comercial (se diferente): Factory Endereço: 410 Townsend St. Suite 100 San Francisco, California, 94107 Nome da pessoa de contato, cargo e detalhes de contato: Eno Reyes, Chief Technology Officer, eno@factory.ai Atividades relevantes para os dados transferidos sob estas Cláusulas: Conforme estabelecido no DPA Assinatura e data: 16 de outubro de 2023 /s/ Eno Reyes Função (controlador/processador): Processador

2. Descrição da Transferência

ItemDescrição
Titulares dos dadosHospedagem em nuvem e infraestrutura
Categorias de Dados PessoaisConforme descrito no Anexo A do DPA
Dados Pessoais de Categoria Especial (se aplicável)Conforme descrito no Anexo A do DPA
Natureza do ProcessamentoConforme descrito no Anexo A do DPA
Finalidades do ProcessamentoConforme descrito no Anexo A do DPA
Duração do Processamento e Retenção (ou os critérios para determinar tal período)Conforme descrito no Anexo A do DPA
Frequência da transferênciaConforme necessário para executar todas as obrigações e direitos com relação aos Dados Pessoais conforme previsto no Contrato ou DPA
Destinatários dos Dados Pessoais Transferidos para o Importador de DadosA Factory manterá e fornecerá uma lista de seus Subprocessadores mediante solicitação.

3. Autoridade Supervisora Competente

A autoridade supervisora será a autoridade supervisora do Exportador de Dados, conforme determinado de acordo com a Cláusula 13 das CCPs da UE. A autoridade supervisora para os fins do Adendo do Reino Unido será o Comissário de Informação do Reino Unido.

4. Lista de Subprocessadores Autorizados

Nome do Subprocessador AutorizadoEndereçoNome da Pessoa de Contato, Cargo, Informações de ContatoDescrição do ProcessamentoPaís no qual o subprocessamento ocorrerá
Microsoft AzureAzure.microsoft.comEno Reyes, Chief Technology Officer, eno@factory.aiNome, cargo, e-mail, nome de usuário do GitHubEUA
Amazon Web Services (AWS)Aws.amazon.comEno Reyes, Chief Technology Officer, eno@factory.aiNome, cargo, e-mail, nome de usuário do GitHubEUA
Google Cloud Platform (GCP)Cloud.google.comEno Reyes, Chief Technology Officer, eno@factory.aiNome, cargo, e-mail, nome de usuário do GitHubEUA
SlackSlack.comEno Reyes, Chief Technology Officer, eno@factory.aiNome, cargo, e-mail, nome de usuário do GitHubEUA

Anexo C: Descrição das Medidas Técnicas e Organizacionais de Segurança implementadas pelo Importador de Dados

O seguinte inclui as informações exigidas pelo Anexo II das CCPs da UE e pelo Anexo II do Adendo do Reino Unido.

Medida Técnica e Organizacional de SegurançaDetalhes
Medidas de pseudonimização e criptografia de Dados PessoaisA Factory protege dados pessoais usando medidas de criptografia e pseudonimização. Os dados são criptografados tanto em trânsito quanto em repouso. O uso de criptografia e pseudonimização é fortemente aplicado ao transmitir, armazenar ou manipular dados pessoais. A Factory utiliza tecnologias de criptografia para proteger todos os dados e comunicações durante a transmissão em redes públicas, para proteger informações contra acesso ou alterações não autorizados. As chaves de criptografia são gerenciadas usando políticas que garantem processos seguros e eficazes de gestão de chaves.
Medidas para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamentoA Factory estabeleceu um sistema confiável projetado para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas de seus sistemas de processamento. Isso envolve a implementação de criptografia forte e pseudonimização para a proteção de dados pessoais e o estabelecimento de controles de acesso robustos para garantir a autenticação e autorização de usuários. A Factory também visa usar configurações seguras de sistema e aplicações, monitorar e avaliar a eficácia de suas medidas técnicas e organizacionais e manter segurança física robusta dos locais de dados.
Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnicoNo caso de um incidente físico ou técnico, a Factory implementou medidas para backup e recuperação de dados. Dados críticos são regularmente copiados para garantir sua disponibilidade e podem ser restaurados em tempo hábil, se necessário. A política de retenção de dados da Factory é projetada para garantir que os dados sejam armazenados apenas pelo tempo necessário, com backups de dados sendo criptografados e armazenados de forma segura.
Processos para testar, avaliar e verificar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamentoA Factory estabeleceu um programa robusto de testes para avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança dos dados. Isso inclui verificação regular de vulnerabilidades, testes de penetração, auditorias de sistemas e auditorias ativas de provedores afiliados à Vanta. A eficácia de nossas medidas de segurança é avaliada regularmente, com ações corretivas tomadas conforme necessário.
Medidas para identificação e autorização de usuáriosA Factory implementou controles de acesso robustos e autenticação multifator para identificar e autorizar usuários. Os sistemas exigem identificadores de usuário únicos e senhas fortes, com sistemas de gestão de senhas garantindo segurança robusta. Os usuários recebem direitos de acesso com base no princípio do menor privilégio, e a segurança de ID de usuário e senha é fortemente aplicada.
Medidas para a proteção de dados durante a transmissãoA Factory usa tecnologias de criptografia forte para proteger dados durante a transmissão em redes públicas. Isso inclui o uso de HTTPS e protocolos de transmissão de e-mail seguros para proteger dados em trânsito.
Medidas para a proteção de dados durante o armazenamentoA Factory usa tecnologias de criptografia para proteger dados durante o armazenamento. Dados em repouso são criptografados usando algoritmos de criptografia fortes. A Factory também usa configurações seguras de sistema e controles de acesso para restringir e monitorar o acesso aos dados armazenados.
Medidas para garantir a segurança física dos locais nos quais os dados pessoais são processadosA Factory toma medidas para garantir a segurança física dos locais que processam dados pessoais por meio de requisitos de cartão de acesso, registros de acesso físico, pessoal de segurança e sistemas de monitoramento hospedados pelo provedor de escritório da Factory. Os escritórios da Factory são protegidos e o acesso físico aos locais de processamento de dados é restrito e monitorado. As medidas de segurança física são projetadas para prevenir acesso não autorizado e proteger contra ameaças físicas como roubo ou desastres naturais.
Medidas para garantir o registro de eventosO registro de eventos é implementado para monitorar atividades de usuários, eventos de sistema, falhas e eventos de segurança. A Factory usa sistemas de registro e monitoramento em nossos provedores de nuvem para monitorar continuamente as atividades dos usuários e eventos do sistema e detectar quaisquer potenciais ameaças ou incidentes de segurança. Os registros são revisados regularmente, e quaisquer anomalias ou potenciais incidentes de segurança são prontamente relatados e investigados.
Medidas para garantir a configuração do sistema, incluindo configuração padrãoA Factory garante a configuração segura dos sistemas, incluindo configurações padrão. As configurações do sistema são revisadas regularmente para garantir que atendam aos requisitos de segurança da Factory, e serviços ou funções desnecessários são desabilitados. Quaisquer alterações na configuração do sistema são devidamente autorizadas e estão em conformidade com a política de gestão de mudanças da Factory.
Medidas para governança e gestão interna de TI e segurança de TIA Factory estabeleceu estruturas de governança de TI e segurança para gerenciar seu programa de segurança da informação, como políticas, processos e procedimentos projetados para garantir a gestão eficaz de recursos de TI e segurança. A estrutura de governança de TI e segurança da Factory garante que ela mantenha controles adequados para proteger seus dados e sistemas. A Factory monitora isso com o software de gestão de TI da Vanta e da Rippling.
Medidas para certificação/garantia de processos e produtosA Factory concluiu sua auditoria SOC 2 Tipo 1.
Medidas para garantir a minimização de dadosA Factory possui medidas de minimização de dados para minimizar a quantidade, categorias e sensibilidade dos dados coletados e armazenados. A Factory coleta e armazena apenas a quantidade mínima de dados necessária para os processos de negócios.
Medidas para garantir a retenção limitada de dadosA Factory possui uma política de retenção de dados que garante que os dados sejam retidos apenas pelo tempo necessário para os fins para os quais foram coletados. A Factory revisa e atualiza regularmente sua política de retenção de dados para garantir conformidade com os requisitos legais e regulatórios.
Medidas para garantir a responsabilizaçãoA Factory garante a responsabilização com a proteção e segurança de dados por meio de treinamento regular de funcionários e manutenção de políticas vinculantes para funcionários. A Factory também conduz avaliações e auditorias regulares de suas práticas de segurança para garantir a conformidade contínua com suas políticas e a eficácia de seus controles de segurança.
Medidas para permitir a portabilidade de dados e garantir a exclusãoSob a política de gestão de dados da Factory, a Factory fornece medidas para permitir a portabilidade de dados e a exclusão. Mediante solicitação, os dados pessoais podem ser exportados em um formato comum e as solicitações de exclusão de dados são processadas de acordo com os requisitos legais e as regras da empresa.
Medidas técnicas e organizacionais dos subprocessadoresA Factory celebra Acordos de Processamento de Dados com seus Subprocessadores Autorizados com obrigações de proteção de dados substancialmente semelhantes àquelas contidas neste DPA. Isso inclui o requisito de que os subprocessadores implementem medidas técnicas e organizacionais apropriadas em conformidade com aquelas incluídas nas políticas acima.

Anexo D: Adendo do Reino Unido

Adendo Internacional de Transferência de Dados às Cláusulas Contratuais Padrão da Comissão da UE

Parte 1: Tabelas

Tabela 1: Partes

Data de InícioEste Adendo do Reino Unido terá
a mesma data de vigência que o DPA
As PartesExportadorImportador
Detalhes das PartesClienteFactory
Contato PrincipalVer Anexo B deste DPAVer Anexo B deste DPA

Tabela 2: CCPs Selecionadas, Módulos e Cláusulas Selecionadas

CCPs
CCPs da UEA Versão das CCPs da UE Aprovadas à qual este Adendo do Reino Unido é anexado conforme definido no DPA e completado pelas Seções 6.2 e 6.3 do DPA.

Tabela 3: Informações do Apêndice "Informações do Apêndice" significa as informações que devem ser fornecidas para os módulos selecionados conforme estabelecido no Apêndice das CCPs da UE Aprovadas (exceto as Partes), e que para este Adendo do Reino Unido são estabelecidas em:

Anexo
Anexo 1A: Lista das PartesConforme a Tabela 1 acima
Anexo 2B: Descrição da TransferênciaVer Anexo B deste DPA
Anexo II: Medidas técnicas e organizacionais incluindo medidas técnicas e organizacionais para garantir a segurança dos dados:Ver Anexo C deste DPA
Anexo III: Lista de Subprocessadores (Módulos 2 e 3 apenas):Ver Anexo B deste DPA

Tabela 4: Encerramento deste Adendo do Reino Unido quando o Adendo do Reino Unido Aprovado for Alterado

Adendo do Reino Unido
Encerramento deste Adendo do Reino Unido quando o Adendo do Reino Unido Aprovado for alteradoImportador [X]
Exportador
Nenhuma Parte

Celebração deste Adendo do Reino Unido

  1. ‍Cada parte concorda em estar vinculada pelos termos e condições estabelecidos neste Adendo do Reino Unido, em troca da outra parte também concordar em estar vinculada por este Adendo do Reino Unido.
  2. Embora o Anexo 1A e a Cláusula 7 das CCPs da UE Aprovadas exijam assinatura pelas Partes, para fins de realizar Transferências ex-Reino Unido, as Partes podem celebrar este Adendo do Reino Unido de qualquer forma que os torne legalmente vinculantes para as Partes e permita que os titulares de dados exerçam seus direitos conforme estabelecido neste Adendo do Reino Unido. A celebração deste Adendo do Reino Unido terá o mesmo efeito que a assinatura das CCPs da UE Aprovadas e qualquer parte das CCPs da UE Aprovadas.

Interpretação deste Adendo do Reino Unido

  • 3. Quando este Adendo do Reino Unido usar termos definidos nas CCPs da UE Aprovadas, esses termos terão o mesmo significado que nas CCPs da UE Aprovadas. Além disso, os seguintes termos têm os seguintes significados:

Adendo do Reino UnidoSignifica este Adendo Internacional de Transferência de Dados incorporando as CCPs da UE, anexado ao DPA como Anexo D.
CCPs da UESignifica a(s) versão(ões) das CCPs da UE Aprovadas à(s) qual(is) este Adendo do Reino Unido é anexado, conforme estabelecido na Tabela 2, incluindo as Informações do Apêndice
Informações do ApêndiceSerão conforme estabelecido na Tabela 3
Salvaguardas ApropriadasSignifica o padrão de proteção sobre os dados pessoais e os direitos dos titulares de dados, que é exigido pelas Leis de Proteção de Dados do Reino Unido quando você está realizando uma Transferência ex-Reino Unido com base em cláusulas padrão de proteção de dados sob o Artigo 46(2)(d) do GDPR do Reino Unido.
Adendo do Reino Unido AprovadoSignifica o modelo de Adendo emitido pelo ICO e apresentado ao Parlamento de acordo com a seção 119A da Lei de Proteção de Dados de 2018, em 2 de fevereiro de 2022, conforme possa ser revisado sob a Seção 18 do Adendo do Reino Unido.
CCPs da UE AprovadasSignifica as cláusulas contratuais padrão aprovadas pela Comissão Europeia na Decisão da Comissão 2021/914, datada de 4 de junho de 2021, para transferências de dados pessoais para países não reconhecidos de outra forma como oferecendo um nível adequado de proteção para dados pessoais pela Comissão Europeia (conforme alterada e atualizada de tempos em tempos).
ICOSignifica o Comissário de Informação do Reino Unido.
Transferência ex-Reino UnidoTerá a mesma definição estabelecida no DPA.
RUSignifica o Reino Unido da Grã-Bretanha e Irlanda do Norte.
Leis de Proteção de Dados do RUSignifica todas as leis relacionadas à proteção de dados, ao processamento de dados pessoais, privacidade e/ou comunicações eletrônicas em vigor no Reino Unido, incluindo o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018.
GDPR do Reino UnidoTerá a definição estabelecida no DPA.

  • 4. O Adendo do Reino Unido deve sempre ser interpretado de maneira consistente com as Leis de Proteção de Dados do Reino Unido e de modo que cumpra a obrigação das Partes de fornecer as Salvaguardas Apropriadas.

    1. Se as disposições incluídas no Adendo do Reino Unido alterarem as CCPs da UE Aprovadas de qualquer forma que não seja permitida pelas CCPs da UE Aprovadas ou pelo Adendo do Reino Unido Aprovado, tal(is) alteração(ões) não será(ão) incorporada(s) ao Adendo do Reino Unido e a disposição equivalente das CCPs da UE Aprovadas tomará seu lugar.
    1. Se houver qualquer inconsistência ou conflito entre as Leis de Proteção de Dados do Reino Unido e o Adendo do Reino Unido, as Leis de Proteção de Dados do Reino Unido se aplicam.
    1. Se o significado do Adendo do Reino Unido for obscuro ou houver mais de um significado, o significado que mais se alinhar com as Leis de Proteção de Dados do Reino Unido se aplica.
    1. Quaisquer referências à legislação (ou disposições específicas da legislação) significam aquela legislação (ou disposição específica) conforme possa mudar ao longo do tempo. Isso inclui quando aquela legislação (ou disposição específica) tenha sido consolidada, reeditada e/ou substituída após a celebração do Adendo do Reino Unido.

Hierarquia

  • 9. Embora a Cláusula 5 das CCPs da UE Aprovadas estabeleça que as CCPs da UE Aprovadas prevalecem sobre todos os contratos relacionados entre as partes, as partes concordam que, para Transferências ex-Reino Unido, a hierarquia na Seção 10 abaixo prevalecerá.

    1. Quando houver qualquer inconsistência ou conflito entre o Adendo do Reino Unido Aprovado e as CCPs da UE (conforme aplicável), o Adendo do Reino Unido Aprovado prevalece sobre as CCPs da UE, exceto quando (e na medida em que) os termos inconsistentes ou conflitantes das CCPs da UE forneçam maior proteção para os titulares de dados, caso em que esses termos prevalecerão sobre o Adendo do Reino Unido Aprovado.
    1. Quando este Adendo do Reino Unido incorporar CCPs da UE que tenham sido celebradas para proteger Transferências ex-UE sujeitas ao GDPR, as partes reconhecem que nada no Adendo do Reino Unido afeta essas CCPs da UE.

Incorporação e Alterações às CCPs da UE

  • 12. Este Adendo do Reino Unido incorpora as CCPs da UE que são alteradas na medida necessária para que:

    • a. em conjunto, operem para transferências de dados feitas pelo exportador de dados para o importador de dados, na medida em que as Leis de Proteção de Dados do Reino Unido se apliquem ao processamento do exportador de dados ao realizar essa transferência de dados, e forneçam Salvaguardas Apropriadas para essas transferências de dados;

    • b. As Seções 9 a 11 acima substituem a Cláusula 5 (Hierarquia) das CCPs da UE; e

    • c. o Adendo do Reino Unido (incluindo as CCPs da UE nele incorporadas) é (1) regido pelas leis da Inglaterra e País de Gales e (2) qualquer disputa decorrente dele é resolvida pelos tribunais da Inglaterra e País de Gales.

    1. A menos que as partes tenham concordado com alterações alternativas que atendam aos requisitos da Seção 12 deste Adendo do Reino Unido, as disposições da Seção 15 deste Adendo do Reino Unido se aplicarão.
    1. Nenhuma alteração às CCPs da UE Aprovadas além daquelas para atender aos requisitos da Seção 12 deste Adendo do Reino Unido pode ser feita.
    1. As seguintes alterações às CCPs da UE (para fins da Seção 12 deste Adendo do Reino Unido) são feitas:

    • a. Referências às "Cláusulas" significam este Adendo do Reino Unido, incorporando as CCPs da UE;

    • b. Na Cláusula 2, excluir as palavras: "e, com respeito a transferências de dados de controladores para processadores e/ou processadores para processadores, cláusulas contratuais padrão conforme o Artigo 28(7) do Regulamento (UE) 2016/679",

    • c. A Cláusula 6 (Descrição da(s) transferência(s)) é substituída por: "Os detalhes da(s) transferência(s) e, em particular, as categorias de dados pessoais que são transferidas e a(s) finalidade(s) para a(s) qual(is) são transferidas) são aqueles especificados no Anexo I.B quando as Leis de Proteção de Dados do Reino Unido se aplicam ao processamento do exportador de dados ao realizar essa transferência.";

    • d. A Cláusula 8.7(i) do Módulo 1 é substituída por: "é para um país que se beneficia de regulamentos de adequação conforme a Seção 17A do GDPR do Reino Unido que cobre a transferência subsequente";

    • e. A Cláusula 8.8(i) dos Módulos 2 e 3 é substituída por: "a transferência subsequente é para um país que se beneficia de regulamentos de adequação conforme a Seção 17A do GDPR do Reino Unido que cobre a transferência subsequente;"

    • f. Referências ao "Regulamento (UE) 2016/679", "Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados)" e "esse Regulamento" são todas substituídas por "Leis de Proteção de Dados do Reino Unido". Referências a Artigos específicos do "Regulamento (UE) 2016/679" são substituídas pelo Artigo ou Seção equivalente das Leis de Proteção de Dados do Reino Unido;

    • g. Referências ao Regulamento (UE) 2018/1725 são removidas;

    • h. Referências à "União Europeia", "União", "UE", "Estado-Membro da UE", "Estado-Membro" e "UE ou Estado-Membro" são todas substituídas por "RU";

    • i. A referência à "Cláusula 12(c)(i)" na Cláusula 10(b)(i) do Módulo um é substituída por "Cláusula 11(c)(i)";

    • j. A Cláusula 13(a) e a Parte C do Anexo I não são utilizadas;

    • k. A "autoridade supervisora competente" e a "autoridade supervisora" são ambas substituídas pelo "Comissário de Informação";

    • l. Na Cláusula 16(e), o subitem (i) é substituído por: "o Secretário de Estado edita regulamentos conforme a Seção 17A da Lei de Proteção de Dados de 2018 que cobrem a transferência de dados pessoais aos quais estas cláusulas se aplicam;";

    • m. A Cláusula 17 é substituída por: "Estas Cláusulas são regidas pelas leis da Inglaterra e País de Gales";

    • n. A Cláusula 18 é substituída por: "Qualquer disputa decorrente destas Cláusulas será resolvida pelos tribunais da Inglaterra e País de Gales." Um titular de dados também pode iniciar procedimentos legais contra o exportador de dados e/ou importador de dados perante os tribunais de qualquer país no Reino Unido. As partes concordam em se submeter à jurisdição de tais tribunais."; e

    • o. As notas de rodapé das CCPs da UE Aprovadas não fazem parte do Adendo do Reino Unido, exceto pelas notas de rodapé 8, 9, 10 e 11.

Alterações ao Adendo do Reino Unido

  • 16. As partes podem concordar em alterar as Cláusulas 17 e/ou 18 das CCPs da UE para fazer referência às leis e/ou tribunais da Escócia e da Irlanda do Norte.
  • 17. Se as partes desejarem alterar o formato das informações incluídas na Parte 1: Tabelas do Adendo do Reino Unido Aprovado, podem fazê-lo concordando com a alteração por escrito, desde que a alteração não reduza as Salvaguardas Apropriadas.
  • 18. De tempos em tempos, o ICO pode emitir um Adendo do Reino Unido Aprovado revisado que:
    • a. faça alterações razoáveis e proporcionais ao Adendo do Reino Unido Aprovado, incluindo a correção de erros no Adendo do Reino Unido Aprovado; e/ou
    • b. reflita alterações nas Leis de Proteção de Dados do Reino Unido;
  • O Adendo do Reino Unido Aprovado revisado especificará a data de início a partir da qual as alterações ao Adendo do Reino Unido Aprovado são efetivas e se as partes precisam revisar este Adendo do Reino Unido, incluindo as Informações do Apêndice. Este Adendo do Reino Unido é automaticamente alterado conforme estabelecido no Adendo do Reino Unido Aprovado revisado a partir da data de início especificada.
    1. Se o ICO emitir um Adendo do Reino Unido Aprovado revisado sob a Seção 18 deste Adendo do Reino Unido, se uma parte terá, como resultado direto das alterações no Adendo do Reino Unido Aprovado, um aumento substancial, desproporcional e demonstrável em:

    • a. seus custos diretos de cumprimento de suas obrigações sob o Adendo do Reino Unido; e/ou

    • b. seu risco sob o Adendo do Reino Unido,

    e em qualquer caso tenha primeiro tomado medidas razoáveis para reduzir esses custos ou riscos para que não sejam substanciais e desproporcionais, então essa parte pode encerrar este Adendo do Reino Unido ao final de um período de aviso razoável, fornecendo aviso por escrito durante esse período à outra parte antes da data de início do Adendo do Reino Unido Aprovado revisado.

  • 20. As partes não precisam do consentimento de qualquer terceiro para fazer alterações a este Adendo do Reino Unido, mas quaisquer alterações devem ser feitas de acordo com seus termos.

Anexo E: Anexo de Leis de Privacidade dos Estados Unidos

Este Anexo de Leis de Privacidade dos Estados Unidos ("Anexo") complementa o DPA e inclui informações adicionais exigidas pela CCPA e pela VCDPA, em cada caso, conforme atualizado, alterado ou substituído de tempos em tempos. Quaisquer termos não definidos neste Anexo terão os significados estabelecidos no DPA e/ou no Contrato.

A. Califórnia

1. Definições

  • 1.1 Para os fins desta Seção A, os termos "Empresa" (Business), "Finalidade Empresarial" (Business Purpose), "Finalidade Comercial" (Commercial Purpose), "Consumidor" (Consumer), "Informações Pessoais" (Personal Information), "Processamento" (Processing), "Vender" (Sell), "Prestador de Serviços" (Service Provider), "Compartilhar" (Share) e "Solicitação Verificável do Consumidor" (Verifiable Consumer Request) terão os significados estabelecidos na CCPA.

  • 1.2 Todas as referências a "Dados Pessoais", "Controlador", "Processador" e "Titular dos Dados" no DPA serão consideradas referências a "Informações Pessoais", "Empresa", "Prestador de Serviços" e "Consumidor", respectivamente, conforme definidos na CCPA.

2. Obrigações

  • 2.1 As partes reconhecem e concordam que a Factory é uma Prestadora de Serviços para os fins da CCPA (na medida em que se aplique) e a Factory está recebendo Informações Pessoais do Cliente para prestar os Serviços conforme o Contrato, o que constitui uma Finalidade Empresarial.

  • 2.2 O Cliente divulgará Informações Pessoais à Factory apenas para os fins limitados e específicos descritos no Anexo A deste DPA.

  • 2.3 A Factory não Venderá nem Compartilhará Informações Pessoais fornecidas pelo Cliente sob o Contrato.

  • 2.4 A Factory não reterá, usará ou divulgará Informações Pessoais fornecidas pelo Cliente conforme o Contrato para qualquer finalidade, incluindo uma Finalidade Comercial, que não seja conforme necessário para a finalidade específica de executar os Serviços para o Cliente conforme o Contrato, ou conforme estabelecido de outra forma no Contrato ou conforme permitido pela CCPA.

  • 2.5 A Factory não reterá, usará ou divulgará Informações Pessoais fornecidas pelo Cliente conforme o Contrato fora da relação comercial direta entre a Factory e o Cliente, exceto quando e na medida permitida pela CCPA.

  • 2.6 A Factory notificará o Cliente se determinar que não pode mais cumprir suas obrigações sob a CCPA.

  • 2.7 A Factory não combinará Informações Pessoais recebidas do, ou em nome do, Cliente com Informações Pessoais que receba do, ou em nome de, outra parte, ou que colete de sua própria interação com o Consumidor.

  • 2.8 A Factory cumprirá todas as obrigações aplicáveis a Prestadores de Serviços sob a CCPA, incluindo ao fornecer às Informações Pessoais fornecidas pelo Cliente sob o Contrato o nível de proteção de privacidade exigido pela CCPA.

  • 2.9 A Factory somente contratará um novo subprocessador para auxiliar a Factory na prestação dos Serviços ao Cliente sob o Contrato de acordo com a Seção 4.1 do DPA, incluindo, sem limitação: (i) notificando o Cliente de tal contratação por meio do mecanismo de notificação descrito na Seção 4.1 do DPA pelo menos dez (10) dias antes de habilitar um novo Subprocessador; e (ii) celebrando um contrato por escrito com o subprocessador exigindo que o subprocessador observe todos os requisitos aplicáveis estabelecidos na CCPA.

3. Direitos do Consumidor

  • 3.1 A Factory auxiliará o Cliente a responder a Solicitações Verificáveis do Consumidor para exercer os direitos do Consumidor sob a CCPA conforme estabelecido na Seção 7 do DPA.

4. Direitos de Auditoria

  • 4.1 Na medida exigida pela CCPA, a Factory permitirá que o Cliente conduza inspeções ou auditorias de acordo com as Seções 8.3 e 8.4 do DPA.

B. Virgínia

1. Definições

  • 1.1 Para os fins desta Seção B, os termos "Consumidor" (Consumer), "Controlador" (Controller), "Dados pessoais" (Personal data), "Processamento" (Processing) e "Processador" (Processor) terão os significados estabelecidos na VCDPA.

  • 1.2 Todas as referências a "Titular dos Dados" neste DPA serão consideradas referências a "Consumidor" conforme definido na VCDPA.

2. Obrigações

  • 2.1 As partes reconhecem e concordam que o Cliente é um Controlador e a Factory é uma Processadora para os fins da VCDPA (na medida em que se aplique).
  • 2.2 A natureza, finalidade e duração do Processamento, bem como os tipos de Dados Pessoais e categorias de Consumidores são descritos no Anexo A deste DPA.
  • 2.3 A Factory cumprirá as instruções do Cliente com respeito ao Processamento dos Dados Pessoais do Cliente e auxiliará o Cliente a cumprir suas obrigações sob a VCDPA:

    • 2.3.1 Auxiliando o Cliente a responder a solicitações de direitos do Consumidor sob a VCDPA conforme estabelecido na Seção 7 do DPA;

    • 2.3.2 Cumprindo a Seção 5 ("Segurança dos Dados Pessoais") do DPA com respeito aos Dados Pessoais fornecidos pelo Cliente;

    • 2.3.3 No caso de uma Violação de Dados Pessoais, fornecendo informações suficientes para permitir que o Cliente cumpra suas obrigações conforme o Va. Code § 18.2-186.6; e

    • 2.3.4 Fornecendo informações suficientes para permitir que o Cliente conduza e documente avaliações de proteção de dados na medida exigida pela VCDPA.

  • 2.4 A Factory manterá a confidencialidade dos Dados Pessoais fornecidos pelo Cliente e exigirá que cada pessoa que processe tais Dados Pessoais esteja sujeita a um dever de confidencialidade com respeito a tal Processamento;
  • 2.5 Mediante solicitação por escrito do Cliente, a Factory excluirá ou devolverá todos os Dados Pessoais fornecidos pelo Cliente de acordo com a Seção 2.4 do DPA, a menos que a retenção de tais Dados Pessoais seja exigida ou autorizada por lei ou pelo DPA e/ou Contrato.
  • 2.6 No caso de a Factory contratar um novo subprocessador para auxiliar a Factory na prestação dos Serviços ao Cliente sob o Contrato, a Factory celebrará um contrato por escrito com o subprocessador exigindo que o subprocessador observe todos os requisitos aplicáveis de um Processador estabelecidos na VCDPA.

3. Direitos de Auditoria

  • 3.1 Mediante solicitação por escrito do Cliente em intervalos razoáveis, a Factory deverá, conforme estabelecido nas Seções 8.3-8.4 do DPA, (i) disponibilizar ao Cliente todas as informações em sua posse que sejam razoavelmente necessárias para demonstrar a conformidade da Factory com suas obrigações sob a VCDPA; e (ii) permitir e cooperar com inspeções ou auditorias razoáveis conforme exigido pela VCDPA.

start building

Ready to build the software of the future?

Start building

Arrow Right Icon