ADENDA RELATIVA AO TRATAMENTO DE DADOS
Este Acordo de Processamento de Dados, incluindo o seu Anexo, (este “APD“) faz parte dos Termos e Condições ou outros contratos escritos ou electrónicos entre a Engage e o Cliente para a compra de serviços à Engage (o “Acordo“), que reflecte o acordo das partes relativamente ao Processamento de Dados Pessoais.
Para exercer os direitos e cumprir as obrigações decorrentes do Acordo, o Exportador divulgará e transferirá Dados Pessoais para o Importador. Ao abrigo do presente APD, o Importador tratará os dados pessoais transferidos em nome do Exportador, em conformidade com os requisitos do Exportador previstos no presente APD.
Nos termos do presente APD, o Exportador actua como Responsável pelo Tratamento de Dados, determinando as finalidades e os meios de tratamento dos dados pessoais, em conformidade com a legislação aplicável em matéria de proteção de dados, e o Importador actua como Subcontratante, tratando os dados pessoais transferidos em nome do Responsável pelo Tratamento.
Ambas as partes têm a responsabilidade de respeitar as disposições do presente DPA.
1. DEFINIÇÕES
a) “Acordo” significa os Termos e Condições, ou outro acordo escrito ou eletrónico celebrado entre a Engage e o Cliente para a compra de serviços à Engage.
b) “Legislação de Proteção de Dados Aplicável” significa as leis aplicáveis ao Processamento de Dados Pessoais específico de acordo com o seu âmbito pessoal, material e territorial; a Legislação de Proteção de Dados Aplicável é normalmente determinada por referência à localização do Titular dos Dados.
c) “Cliente” significa a entidade jurídica à qual a Engage presta serviços, de acordo com o Contrato. O termo “Cliente” deve incluir o Cliente e afiliados autorizados.
d) “Violação de Dados” significa qualquer perda ou utilização não autorizada, cópia, modificação, divulgação ou destruição de, ou acesso a, Dados Pessoais transferidos ao abrigo da presente APD.
e) “Responsável pelo tratamento de dados” ou “Responsável pelo tratamento” significa a Parte que determina as finalidades e os meios de tratamento dos dados pessoais.
f) “Exportador de Dados” ou “Exportador” significa o Cliente que transfere Dados Pessoais para o Importador de Dados ao abrigo do presente DPA.
g) “Importador de Dados” ou “Importador” significa a Engage que recebe Dados Pessoais do Exportador de Dados para Processamento ao abrigo da presente APD.
h) “Processador de dados” ou “Processador” significa a Parte que processa os dados pessoais em nome do Controlador, também referido como intermediário de dados/pessoa de confiança.
i) “Titular dos dados” significa a pessoa singular a quem os dados pessoais se referem.
j) “Subcontratante ulterior de dados” significa qualquer pessoa singular ou colectiva que possa ser contratada pelo Importador de dados para prestar assistência no tratamento de dados pessoais ao abrigo do presente APD.
k) “APD” significa a presente Adenda relativa ao tratamento de dados.
l) “Autoridade(s) de Execução” significa a(s) Autoridade(s) de Controlo ou outra(s) Autoridade(s) encarregada(s) de fazer cumprir a legislação aplicável em matéria de proteção de dados.
m) “Engage” significa a entidade jurídica Engage Technologies Group Inc, constituída ao abrigo da legislação dos EUA, com sede em 3540 E Longwing Lane, Suite 300, Meridian, Idaho, 83646, Estados Unidos.
n) “Dados pessoais” significa qualquer informação relativa a um titular de dados.
o) “Tratamento” significa qualquer operação ou conjunto de operações efectuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, com ou sem meios automatizados, incluindo, por exemplo, a recolha, utilização e divulgação de dados pessoais; e
p) “Serviços” significa os serviços prestados pelo importador de dados ao exportador de dados em conformidade com o Acordo.
2. RESPONSABILIDADES DAS PARTES
a) Cada Parte tem a responsabilidade de cumprir as cláusulas do presente APD, em conformidade com a legislação aplicável em matéria de proteção de dados.
b) Ambas as Partes têm a responsabilidade de garantir a proteção e a segurança dos dados pessoais, de acordo com as suas funções e obrigações ao abrigo da legislação aplicável em matéria de proteção de dados.
c) Ambas as Partes têm a responsabilidade de respeitar os direitos da pessoa em causa e de fornecer os meios para o seu exercício, em conformidade com as suas funções e obrigações ao abrigo da legislação aplicável em matéria de proteção de dados.
d) Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos que cause à(s) outra(s) Parte(s) em virtude de qualquer violação do presente APD.
e) Se mais do que uma Parte for responsável por qualquer dano causado ao Titular dos Dados em resultado de uma violação do presente ATD, todas as Partes responsáveis serão conjunta e solidariamente responsáveis e o Titular dos Dados tem o direito de intentar uma ação em tribunal contra qualquer uma dessas Partes.
f) As Partes acordam que, se uma Parte for considerada responsável nos termos da alínea e), terá o direito de reclamar à(s) outra(s) Parte(s) a parte da indemnização correspondente à sua responsabilidade pelos danos.
g) O exportador de dados garante, declara e compromete-se a
i) Os Dados Pessoais foram recolhidos, utilizados, divulgados e transferidos para o Importador de Dados ao abrigo da presente APD, em conformidade com a Legislação de Proteção de Dados Aplicável.
ii) Os Dados Pessoais transferidos para o Importador de Dados ao abrigo da presente APD são exactos, completos e relevantes para efeitos de processamento pelo Importador de Dados.
iii) O exportador de dados deve aplicar medidas técnicas e operacionais adequadas para garantir a segurança dos dados pessoais durante a transmissão ao importador de dados.
iv) O exportador de dados responderá aos pedidos de informação dos titulares de dados ou das autoridades de execução relativamente ao tratamento de dados pessoais pelo importador de dados, conforme exigido pela legislação aplicável em matéria de proteção de dados. As respostas a esses inquéritos e pedidos devem ser dadas dentro de um prazo razoável ou dentro do prazo e da forma, se for caso disso, exigidos pela legislação aplicável em matéria de proteção de dados.
v) Se for caso disso, o exportador é responsável pela recolha do consentimento dos titulares dos dados para que o importador possa tratar, utilizar ou divulgar dados pessoais em nome do exportador.
h) O importador de dados garante, representa e compromete-se a
i) O Importador de Dados processa os Dados Pessoais apenas em conformidade com as instruções do Exportador de Dados e para os fins descritos no Apêndice a este DPA.
ii) O importador de dados não deve divulgar ou transferir os dados pessoais que recebe do exportador de dados para outra pessoa, autoridade de execução ou entidade jurídica, incluindo subcontratantes, a menos que tenha notificado o exportador de dados dessa divulgação ou transferência por escrito e tenha dado uma oportunidade razoável ao exportador de dados para se opor.
iii) O importador de dados concorda que, antes de qualquer divulgação ou transferência de dados pessoais para terceiros, incluindo para subcontratantes ulteriores de dados, o importador de dados deve garantir que o terceiro está sujeito e vinculado às obrigações do importador de dados para com o exportador de dados.
iv) O Importador de Dados concorda em tomar medidas razoáveis para implementar medidas relativas ao armazenamento e processamento de Dados Pessoais que cumpram as normas de segurança adequadas de acordo com a Legislação de Proteção de Dados Aplicável.
v) O importador de dados deve, sem demora injustificada, comunicar e remeter ao exportador de dados quaisquer questões e pedidos dos titulares dos dados relativos aos dados pessoais transferidos pelo exportador de dados, incluindo pedidos de acesso ou correção dos dados pessoais.
vi) O importador de dados corrigirá qualquer erro ou omissão nos dados pessoais razoavelmente solicitados pelo exportador de dados no prazo de 30 dias após a receção do pedido ou noutro prazo exigido pela legislação aplicável em matéria de proteção de dados.
vii) Após a cessação do Acordo ou a conclusão do Processamento exigido ao abrigo do presente APD, o Importador de Dados deve, à escolha do Exportador de Dados, devolver ao Exportador de Dados os Dados Pessoais na sua posse ao abrigo do presente APD ou deixar de reter esses Dados Pessoais de uma forma aprovada pelo Exportador de Dados.
viii) O importador de dados deve adotar medidas técnicas, administrativas, operacionais e físicas razoáveis e adequadas, em conformidade com a legislação aplicável em matéria de proteção de dados, para proteger a confidencialidade, a integridade e a disponibilidade dos dados pessoais, nomeadamente contra os riscos de violação de dados.
ix) Se o Importador de Dados tiver conhecimento de que ocorreu uma Violação de Dados que afecta os Dados Pessoais na sua posse ou sob o seu controlo, ou na posse ou sob o controlo de um importador de uma divulgação ou transferência subsequente dos Dados Pessoais, deve notificar o Exportador de Dados sem demora injustificada.
x) O Importador de Dados deve notificar e consultar prontamente o Exportador de Dados relativamente a qualquer investigação sobre a recolha, utilização, transferência, divulgação, segurança ou eliminação dos Dados Pessoais transferidos ao abrigo do presente APD, salvo proibição legal em contrário.
i) O importador deve cumprir todas as suas obrigações ao abrigo da legislação aplicável em matéria de proteção de dados, a expensas próprias.
j) Sempre que o exportador fornecer dados pessoais ao importador, o exportador envidará esforços razoáveis para assegurar que os dados pessoais são exactos e completos antes de os fornecer ao importador. Em qualquer caso, o importador deve tomar medidas para corrigir quaisquer erros nos dados pessoais, logo que possível, mediante pedido escrito do exportador.
k) O Importador só é responsável, nos termos da presente APD, pelo tratamento dos Dados Pessoais quando transferidos pelo Exportador, tal como fornecidos pelo Exportador.
3. SALVAGUARDAS DE PROTECÇÃO DE DADOS
a) O Exportador garante que envidou esforços razoáveis para determinar se o Importador é capaz, através da implementação de medidas técnicas e organizacionais adequadas, de cumprir as suas obrigações ao abrigo do presente APD.
b) O importador só tratará os dados pessoais recebidos do importador ou tratados em nome do exportador mediante instruções documentadas do exportador. O exportador pode dar essas instruções durante todo o período de vigência do Acordo.
c) O importador informará imediatamente o exportador se não puder seguir essas instruções.
d) O Importador tratará os Dados Pessoais recebidos do Importador ou tratados em nome do Exportador apenas para a(s) finalidade(s) específica(s) da transferência, tal como estabelecido no presente DPA, exceto se receber instruções adicionais do Exportador.
e) O importador só divulgará os dados pessoais recebidos do importador ou tratados em nome do exportador a terceiros em conformidade com os requisitos da legislação aplicável em matéria de proteção de dados
4. SEGURANÇA DO TRATAMENTO
a) O importador e o exportador aplicam medidas técnicas e organizativas adequadas para garantir a segurança dos dados, incluindo a proteção contra uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados a esses dados. Ao avaliarem o nível de segurança adequado, as Partes terão em devida conta os conhecimentos técnicos disponíveis, os custos de aplicação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento dos dados, bem como os riscos inerentes ao tratamento das pessoas em causa. As Partes considerarão o recurso à cifragem ou à pseudonimização, incluindo durante a transmissão, sempre que a finalidade do tratamento possa ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a uma pessoa específica devem, sempre que possível, permanecer sob o controlo exclusivo do exportador de dados.
b) O importador só concederá acesso aos dados pessoais aos membros do seu pessoal na medida do estritamente necessário para a aplicação, gestão e controlo do Acordo. O importador assegurará que as pessoas autorizadas a tratar os dados pessoais se comprometam a manter a confidencialidade ou estejam sujeitas a uma obrigação legal adequada de confidencialidade.
c) Em caso de violação de dados pessoais relativos a dados pessoais tratados pelo importador ao abrigo do presente APD, o importador deve tomar as medidas adequadas para resolver a violação, incluindo medidas para atenuar os seus efeitos negativos, e notificar o exportador sem demora injustificada após ter tido conhecimento da violação.
d) O Importador protegerá os Dados Pessoais sob o seu controlo ou na sua posse, adoptando medidas de segurança razoáveis (incluindo, se for caso disso, medidas físicas, administrativas, processuais e relativas às tecnologias da informação e da comunicação) para evitar: (i) o acesso não autorizado ou acidental, a recolha, a utilização, a divulgação, a cópia, a modificação, a eliminação ou a destruição dos Dados Pessoais, ou outros riscos semelhantes; e (ii) a perda de qualquer suporte ou dispositivo de armazenamento em que os Dados Pessoais estejam armazenados. Para efeitos do presente Acordo, as “medidas de segurança razoáveis” incluem as medidas previstas no Anexo II do Acordo.
5. UTILIZAÇÃO DE SUBCONTRATANTES
a) AUTORIZAÇÃO GERAL POR ESCRITO: O importador de dados tem a autorização geral do exportador de dados para a contratação de subcontratante(s) ulterior(es).
b) Quando o importador de dados contrata um subcontratante ulterior para realizar actividades de tratamento específicas (em nome do exportador de dados), deve fazê-lo através de um contrato escrito que preveja, em substância, as mesmas obrigações em matéria de proteção de dados que as que vinculam o importador de dados ao abrigo do presente APD.
c) O importador de dados acordará com o subcontratante ulterior uma cláusula de terceiro beneficiário segundo a qual – no caso de o importador de dados ter desaparecido de facto, ter deixado de existir legalmente ou ter-se tornado insolvente – o exportador de dados terá o direito de rescindir o contrato de subcontratante ulterior e de dar instruções ao subcontratante ulterior para apagar ou devolver os dados pessoais.
d) A pedido do exportador de dados, o importador de dados fornece ao responsável pelo tratamento uma cópia desse acordo de subcontratação e de quaisquer alterações subsequentes. Na medida do necessário para proteger os segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o subcontratante pode redigir o texto do acordo antes de partilhar a cópia.
6. DIREITOS DAS PESSOAS EM CAUSA
a) O importador deve notificar o exportador, sem demora injustificada, de qualquer pedido que tenha recebido de um titular dos dados. Não responderá ele próprio a esse pedido, a menos que tenha sido autorizado a fazê-lo pelo exportador.
b) O importador assistirá o exportador no cumprimento das suas obrigações de resposta aos pedidos dos titulares dos dados para o exercício dos seus direitos.
c) Em caso de litígio entre uma pessoa em causa e uma das Partes no que respeita ao cumprimento do presente ATD, essa Parte deve envidar todos os esforços para resolver a questão de forma amigável e atempada. As Partes manter-se-ão mutuamente informadas sobre esses litígios e, se for caso disso, cooperarão na sua resolução.
7. CONSERVAÇÃO DE DADOS PESSOAIS
a) O Importador não deve conservar os Dados Pessoais objeto da presente APD (nem quaisquer documentos ou registos que contenham esses Dados Pessoais, electrónicos ou não) por um período de tempo superior ao necessário para cumprir as finalidades da presente APD.
b) O importador deve, a pedido do exportador:
i) devolver ao Exportador todos os Dados Pessoais; ou
ii) apagar todos os dados pessoais na sua posse,
e, se for caso disso, o Importador dará também instruções a todos os terceiros a quem tenha divulgado os Dados Pessoais para efeitos da presente APD para que devolvam ao Processador ou eliminem esses Dados Pessoais.
c) As cláusulas previstas nas alíneas a) e b) supra não se aplicam a situações específicas em que o Importador esteja sujeito a uma obrigação legal relativa à conservação de dados pessoais por um período de tempo mais longo.
8. RESOLUÇÃO DE LITÍGIOS E LEGISLAÇÃO APLICÁVEL
a) Qualquer litígio no âmbito do presente APD será resolvido por via amigável.
b) Se não for possível uma resolução amigável, qualquer litígio será resolvido em conformidade com a legislação estatal das instalações do importador de dados.
c) Em caso de conflito ou incoerência entre as cláusulas do presente DPA e a legislação aplicável em matéria de proteção de dados, prevalecem as disposições da legislação aplicável em matéria de proteção de dados.
9. CONSEQUÊNCIAS DO INCUMPRIMENTO
a) Caso uma das Partes não cumpra as responsabilidades que lhe incumbem nos termos do presente APD, a Parte afetada notificará a Parte em falta para que esta corrija a não conformidade num prazo razoável.
b) Dependendo da gravidade da não-conformidade, a Parte afetada pode suspender a transferência ou o Tratamento dos Dados Pessoais ao abrigo do presente APD durante o período de tempo necessário para corrigir a não-conformidade.
c) No caso de:
i) a transferência ou o tratamento de dados pessoais para ou pelo importador de dados tiver sido temporariamente suspenso por um período superior a 6 meses, nos termos da alínea b); ou
ii) o cumprimento do presente ATD por qualquer das Partes implicaria a violação das obrigações que lhe incumbem por força da legislação do país em que procede ao tratamento dos dados pessoais; ou
iii) houver uma decisão definitiva de um tribunal competente, da qual não caiba mais recurso, de que houve violação do presente APD por qualquer das Partes; ou
iv) qualquer das Partes cesse as suas actividades, voluntária ou involuntariamente, anuncie a sua intenção de cessar as suas actividades ou transfira a totalidade ou a quase totalidade dos seus activos para uma entidade não afiliada,
a Parte lesada, sem prejuízo de quaisquer outros direitos que possa ter contra a Parte em falta, tem o direito de rescindir o presente APD.
d) As Partes concordam que a rescisão do presente ATD em qualquer altura, em qualquer circunstância e por qualquer motivo, não as isenta das obrigações do presente ATD relativas à devolução ou eliminação dos dados pessoais transferidos.
e) O exportador é responsável pelo cumprimento das suas próprias obrigações legais e indemnizará o importador por todos e quaisquer danos causados ao importador em resultado do incumprimento pelo exportador das suas próprias obrigações legais.
10. COMPROMISSOS GERAIS
a) Cada Parte garante, representa e compromete-se perante a outra Parte que tem plena capacidade e autoridade para assumir e cumprir as suas obrigações ao abrigo e em conformidade com o presente APD.
b) Cada Parte concorda em cumprir toda a legislação aplicável em matéria de proteção de dados no âmbito do cumprimento das suas obrigações ao abrigo do presente APD.
c) Em caso de contradição entre as presentes cláusulas e as disposições de acordos conexos entre as Partes, existentes no momento em que as presentes cláusulas são acordadas ou celebradas posteriormente, prevalecem as presentes cláusulas.
11. DISPOSIÇÕES FINAIS
a) As Partes podem, por acordo escrito, adotar ou alterar o presente ATD, ou conforme exigido pela legislação aplicável em matéria de proteção de dados. Tal não exclui a possibilidade de as Partes acrescentarem ou alterarem cláusulas, por acordo escrito, conforme adequado aos seus acordos comerciais ou empresariais.
b) A responsabilidade de cada parte e de todas as suas Afiliadas, consideradas em conjunto, decorrentes ou relacionadas com este APD, e todos os APDs entre Afiliadas Autorizadas e a Engage, seja em contrato, delito ou sob qualquer outra teoria de responsabilidade, está sujeita à secção “Limitação de Responsabilidade” do Acordo, e qualquer referência nessa secção à responsabilidade de uma parte significa a responsabilidade agregada dessa parte e de todas as suas Afiliadas ao abrigo do Acordo e de todos os APDs em conjunto. Para evitar dúvidas, a responsabilidade total da Engage e das suas Afiliadas por todas as reivindicações do Cliente e de todas as suas Afiliadas Autorizadas decorrentes ou relacionadas com o Contrato e todos os DPAs aplicar-se-á no agregado para todas as reivindicações ao abrigo do Contrato e de todos os DPAs estabelecidos ao abrigo do Contrato, incluindo pelo Cliente e todas as Afiliadas Autorizadas, e, em particular, não deve ser entendida como aplicável individual e separadamente ao Cliente e/ou a qualquer Afiliada Autorizada que seja uma parte contratual de qualquer DPA.
c) A Engage pode alterar este DPA de tempos em tempos, publicando uma versão revisada em seu site, disponível em[RB1] https://www.engagetg.com/data-processing-addendum. Se a Engage fizer quaisquer alterações que afectem negativa e materialmente os direitos ou obrigações do Cliente neste APD, a Engage notificará o Cliente eletronicamente por escrito. Ao receber a notificação de alterações materiais a este APD, na medida em que o Cliente seja impactado negativamente e materialmente por tais alterações, o Cliente terá cinco (5) dias para notificar a Engage por escrito de sua intenção de rescindir o Contrato, após o qual, o Cliente será considerado como tendo aceitado o APD revisado. A notificação do Cliente da sua intenção de rescindir o Acordo como resultado de alterações materiais a este APD ao abrigo desta secção deve incluir uma descrição específica de como as alterações afectam materialmente e negativamente o Cliente. A Engage deverá rescindir o Contrato e todos os Serviços a qualquer momento dentro de sessenta (60) dias a partir do dia de tal notificação por escrito à Engage.
d) O presente APD faz parte do Acordo celebrado entre as Partes.
e) A cessação ou suspensão do presente APD determina a impossibilidade de continuar o Tratamento de Dados Pessoais ao abrigo do presente APD, com graves consequências para a execução do Contrato.
APÊNDICE
Anexo I – DESCRIÇÃO DO PROCESSAMENTO
A. LISTA DAS PARTES
Exportador de dados:
O cliente, tal como mencionado no contrato
Actividades relevantes para os dados transferidos ao abrigo das presentes cláusulas: O Exportador de Dados transfere os Dados Pessoais e o Importador de Dados armazena os Dados Pessoais para executar o Contrato de prestação de serviços celebrado entre o Exportador de Dados e o Importador.
Função (controlador/processador): Controlador
Importador de dados:
Nome: Engage Technologies Group, Inc
Endereço: 3540 E Longwing Lane, Suite 300, Meridian, Idaho, 83646, Estados Unidos
Responsável pela proteção de dados ou pessoa de contacto: dpo@engagetg.com
Actividades relevantes para os dados transferidos ao abrigo destas Cláusulas: O Importador de Dados recebe os Dados Pessoais do Exportador de Dados e processa-os em nome do Exportador de Dados, de acordo com as instruções dadas por este último.
Função (controlador/processador): Processador
B. DESCRIÇÃO DA TRANSFERÊNCIA
Categorias de titulares de dados cujos dados pessoais são transferidos:
A categoria de titulares de dados abrangida pelas transferências objeto do presente acordo é a dos destinatários (ou seja, os destinatários do utilizador e outras pessoas sobre as quais um utilizador forneceu informações ou interagiu de outra forma com um utilizador através do serviço).
Categorias de dados pessoais transferidos:
Dados de identificação (ID interno da Engage); Dados de contacto (nome próprio, apelido); Dados de contacto (número de telefone); Informações médicas (tipo de consulta, data/hora da consulta); Informações sobre a viagem (viagem, tipo de evento, data do evento, ID do evento, nome do episódio, idioma, ID do vídeo, nome do vídeo, duração do vídeo, tempo do vídeo visto, percentagem do tempo do vídeo visto, apelo à ação)[LM2] [LM3] [LM4] [al5] .
Transferência de dados sensíveis:
S ensitive data is processed as part of the Service only through API Kit integration method. Se o exportador de dados optar por utilizar este método de integração, o tipo de marcação e a data/hora da marcação são processados pelo importador de dados. [LM6] [LM7] [al8]
A frequência da transferência:
As transferências de dados são efectuadas de forma contínua, de acordo com a natureza do contrato de prestação de serviços
Natureza do tratamento:
O Tratamento tem por base a relação comercial nos termos do Acordo celebrado entre o Exportador de Dados e o Importador de Dados e refere-se à recolha, registo, organização, estruturação, armazenamento, recuperação, consulta, utilização, divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, apagamento ou destruição de dados pessoais.
Objetivo(s) da transferência de dados e do tratamento posterior:
A principal finalidade do tratamento dos Dados Pessoais é a execução do Contrato de prestação de serviços celebrado entre o Exportador de Dados e o Importador de Dados, cujo objeto é o acesso à viagem e o fornecimento de estatísticas relativas aos Destinatários do Exportador de Dados.
As finalidades específicas do tratamento dos dados pessoais são:
· Envio de mensagens de texto aos Destinatários com ligações para a(s) viagem(ns)
· Acompanhamento do comportamento dos destinatários durante a(s) viagem(ns)
· Fornecer relatórios estatísticos sobre a utilização da plataforma pelos destinatários
O período durante o qual os dados pessoais serão conservados:
Os dados pessoais tratados no âmbito do presente contrato são tratados pelo importador de dados apenas durante a execução do contrato com o cliente.
Transferências para subcontratantes:
O Importador pode transferir os Dados Pessoais sujeitos a esta APD ou disponibilizá-los aos seus fornecedores apenas para ou de acordo com as finalidades da transferência, limitando o acesso ao que é estritamente necessário para a prestação dos Serviços e apenas durante o período de tempo em que os Serviços são prestados.
C. AUTORIDADE DE CONTROLO COMPETENTE
A autoridade de controlo competente será determinada em conformidade com a legislação aplicável em matéria de proteção de dados no local onde os titulares dos dados estão localizados .
Anexo II – MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS
Descrição das medidas técnicas e organizativas aplicadas pelo(s) importador(es) de dados para garantir um nível de segurança adequado, tendo em conta a natureza, o âmbito, o contexto e a finalidade do tratamento, bem como os riscos para os direitos e liberdades das pessoas singulares:
– Medidas de pseudonimização e cifragem de dados pessoais
– Medidas para garantir a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de tratamento
– Medidas para garantir a capacidade de restabelecer atempadamente a disponibilidade e o acesso aos dados pessoais em caso de incidente físico ou técnico
– Processos para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas destinadas a garantir a segurança do tratamento
– Medidas de identificação e autorização do utilizador
– Medidas de proteção dos dados durante a transmissão
– Medidas de proteção dos dados durante o armazenamento
– Medidas para garantir a segurança física dos locais onde são tratados os dados pessoais
– Medidas para garantir o registo de eventos
– Medidas para assegurar a configuração do sistema, incluindo a configuração por defeito
– Medidas para a governação e gestão internas das TI e da segurança informática
– Medidas de certificação/garantia de processos e produtos
– Medidas para garantir a minimização dos dados
– Medidas para garantir a qualidade dos dados
– Medidas para garantir uma conservação limitada dos dados
– Medidas para garantir a responsabilização
– Medidas para permitir a portabilidade dos dados e garantir o seu apagamento
ANEXO III – LISTA DE SUBCONTRATANTES
O responsável pelo tratamento autorizou a utilização dos seguintes subcontratantes:
1. Nome: Microsoft Azure
Endereço do sítio Web: https://azure.microsoft.com
Descrição do tratamento: Alojamento e infra-estruturas, plataformas de computação em nuvem e API.
2. Nome: Auth0
Endereço do sítio Web: https://auth0.com
RPD: privacy@okta.com
Descrição do tratamento: Autenticação e autorização para a plataforma.
3. Nome: Twilio
Endereço do sítio Web: https://www.twilio.com
RPD: privacy@twilio.com
Descrição do tratamento: Fornecimento de mensagens de texto com uma palavra-passe de uso único.
4. Nome: Kaleyra
Endereço do sítio Web: https://www.kaleyra.com
RPD: privacy@kaleyra.com
Descrição do tratamento: Agregação de mensagens de texto.
5. Nome: Vibes
Endereço do sítio Web: www.vibes.com
RPD: –
Descrição do tratamento: Agregação de mensagens de texto.