Transferências de dados do Mailchimp e da Europa

Se você é um cliente do Mailchimp localizado no Espaço Econômico Europeu (EEE), no Reino Unido ou na Suíça (que chamaremos coletivamente de “Europa”), ou usa nossa plataforma para processar dados sobre seus contatos na Europa, nosso Adendo de Processamento de Dados (Data Processing Addendum, DPA) foi elaborado para permitir que você transfira dados pessoais europeus para o Mailchimp nos Estados Unidos e para permitir que o Mailchimp processe legalmente esses dados em seu nome.

O DPA está incorporado diretamente em nossos Termos de Uso Padrão e não exige uma assinatura. Ao utilizar o Mailchimp ou cadastrar-se para criar uma conta, você concorda com esses termos. De acordo com os Termos de uso padrão e do Adendo de Processamento de Dados, todos os usuários se comprometem a fazer uso em conformidade com todas as leis aplicáveis.

Conformidade de exportação de dados da Europa do Mailchimp

O Rocket Science Group LLC, ou seja, Mailchimp, é uma entidade coberta pelo programa Data Privacy Framework da Intuit e certificou sua conformidade com as normas Estrutura de privacidade de dados, a extensão do Reino Unido para a UE-EUA Estrutura de privacidade de dados e a Suíça-EUA Estrutura de privacidade de dados. Você pode visualizar nossa lista pesquisando “Intuit” aqui e ler a página de certificação da Estrutura de Privacidade de Dados da Intuit aqui.

Além disso, se a Estrutura de Privacidade de Dados for invalidada, a Mailchimp se compromete contratualmente a transferir e processar todos os dados europeus de seus Clientes de acordo com as Cláusulas Contratuais Padrão (as “SCCs”), que continuam a dar aos nossos Clientes a possibilidade de transferir legalmente dados sujeitos às leis de proteção de dados aplicáveis (inclusive o RGPD) para fora da Europa para a Mailchimp nos EUA. As SCCs se aplicam automaticamente de acordo com o Adendo de Processamento de Dados do Mailchimp.

Mais informações sobre transferências de dados

Sabemos que nossos clientes podem ter dúvidas sobre a conformidade da transferência de dados, incluindo o impacto da decisão do CJEU de 2020 sobre transferências de dados e a adoção das novas SCCs pela Comissão Europeia em 4 de junho de 2021. Nesta seção, apresentaremos algumas perguntas e respostas comuns.

O Mailchimp transfere dados para fora da Europa? Em caso afirmativo, para quais países?

Sim. O Mailchimp está sediado nos Estados Unidos e nossos servidores também estão localizados nesse país. Isso significa que os dados que processamos podem ser transferidos, armazenados ou processados nos Estados Unidos. Além disso, utilizamos integrações com fornecedores terceirizados que processam dados pessoais em nosso nome para fornecer serviços ao Mailchimp e seus servidores podem estar localizados fora da Europa.

Você pode visualizar a lista completa de subprocessadores que usamos para processar os dados dos nossos clientes, juntamente com detalhes da localização deles. Tomamos medidas para garantir que nossos fornecedores ofereçam salvaguardas adequadas para proteger os dados pessoais que eles processam em nosso nome e os obrigamos, contratualmente, a processar esses dados em conformidade com as leis de proteção de dados aplicáveis.

Que medidas o Mailchimp implementou para proteger os dados de clientes europeus processados fora da Europa?

O Mailchimp implementou várias medidas para garantir que os dados europeus permaneçam protegidos quando forem transferidos para fora da Europa.

Compromissos contratuais
Além de certificar nossa conformidade com as normas UE-EUA Estrutura de privacidade de dados, a extensão do Reino Unido para a UE-EUA Estrutura de privacidade de dados e a Suíça-EUA Estrutura de Privacidade de Dados, as SCCs são incorporadas diretamente ao nosso Adendo de Processamento de Dados. Também especificamos nossos compromissos com a segurança, confidencialidade do processamento, limitações sobre transferências internacionais de dados pessoais, cooperação com direitos do titular dos dados, aviso de incidentes de segurança e muito mais.

É importante ressaltar que o Mailchimp não vende, aluga nem negocia dados de usuários.

Medidas de segurança
O Mailchimp trata a privacidade e a segurança dos dados dos nossos usuários com importância primordial. Nosso programa de segurança e privacidade está descrito em detalhes em nossa página de segurança.

Aqui está um resumo de algumas das medidas técnicas e organizacionais importantes e específicas que implementamos, e que continuaremos a implementar, para proteção contra o acesso não autorizado aos dados do usuário:

(1) Criptografia
Na medida do possível, o Mailchimp implementa tecnologias de criptografia em sua infraestrutura para ajudar a proteger os dados do usuário contra acesso não autorizado quando processados internamente pelo Mailchimp. Por exemplo, todas as páginas de produção do Mailchimp usam Segurança de Camada de Transporte (TLS), um protocolo de criptografia seguro, e a rede sem fio interna do Mailchimp usa criptografia WPA2 de 128 bits. Além disso, o e-mail do Mailchimp (256 bits), todas as conexões VPN (256 bits) e o aplicativo de bate-papo interno (256 bits) também são criptografados. As páginas de login usam TLS e têm proteção contra ataque de força bruta. Isso também se aplica a aplicativos móveis e à API do Mailchimp.

(2) Controles de acesso
O Mailchimp restringe o acesso de terceiros às suas ferramentas e infraestrutura internas. Nossa equipe jurídica avalia todas as solicitações de acesso e garante que sejam apropriadas para o trabalho a ser executado, e que o terceiro siga todas as disposições de segurança e privacidade descritas em seu contrato. Depois de aprovado, o Mailchimp só concede o acesso a partes claramente definidas do sistema por meio de contas controladas.

O Mailchimp continua comprometido em manter os mais altos níveis de privacidade e segurança para nossos usuários. Se você tiver dúvidas sobre nosso programa de segurança e privacidade, envie suas perguntas aqui.

Acordos com fornecedores
Tomamos todas as medidas necessárias para garantir que nossos acordos com fornecedores internacionais terceirizados (incluindo subprocessadores) estabeleçam os compromissos apropriados desses terceiros com relação à transferência e ao processamento de dados europeus para fora da Europa, e que nos permitam implementar um mecanismo de transferência de dados apropriado e legal (como as Cláusulas Contratuais Padrão) e proteções adicionais, conforme necessário. Estão disponíveis detalhes atualizados dos subprocessadores que usamos para processar os dados dos nossos membros.

Estrutura de privacidade de dados
O Rocket Science Group LLC d/b/a Mailchimp está em conformidade com a Estrutura de privacidade de dados (EU-U.S. DPF), a extensão do Reino Unido para a UE-EUA. DPF e a Suíça-EUA Estrutura de privacidade de dados (Suíça-EUA DPF) conforme estabelecido pelo Departamento de Comércio dos EUA com relação à coleta, uso e retenção de informações pessoais transferidas da União Europeia (UE), do Reino Unido (e Gibraltar)(Reino Unido) e da Suíça para os Estados Unidos.

Como o Mailchimp responde às solicitações de informação?

Consideramos cuidadosamente todas as solicitações de informação e, conforme nossa política, não fornecemos a terceiros informações de uma conta que não pertença a eles, a menos que sejamos legalmente obrigados a fazê-lo. Isso significa que só nos sujeitaremos em caso de ordem judicial válida, intimação, mandado de busca ou outro processo legal adequado que busque informações e registros de uma conta do Mailchimp. O Mailchimp segue certas diretrizes ao responder a solicitações de informação, sejam de uma entidade governamental ou não governamental:

• Nós nos esforçamos para manter a privacidade e a confidencialidade do usuário.
• Quando possível, pedimos ao solicitante que busque as informações diretamente dos titulares das contas relevantes, em vez de por meio do Mailchimp.
• Pedimos ao solicitante que nos forneça o máximo de informações possível para que possamos identificar adequadamente a conta de usuário correta. Nós não responderemos a uma solicitação sem antes demandar informações adequadas e específicas, como endereço de e-mail, cabeçalhos de e-mail, domínio de internet, nome de usuário, endereço IP ou outras informações semelhantes, que nos permitam identificar e localizar a conta correta.
• Na ausência de uma exceção regulamentar de acordo com as leis dos EUA, só respondemos a solicitações que tenham sido feitas por meio de um processo legal válido nos EUA. Isso significa que processos legais (como intimações, pedidos de divulgação, mandados de busca ou ordens judiciais) devem ser devidamente acatados por um tribunal dos EUA de jurisdição competente e emitidos de acordo com as normas processuais federais e/ou estaduais aplicáveis antes que o Mailchimp responda.
• O Mailchimp não aceita solicitações diretamente de entidades governamentais fora dos EUA. Respondemos apenas a solicitações de governos estrangeiros feitas por meio de um Tratado de Assistência Jurídica Mútua ou outro meio diplomático ou legal disponível que possibilite a obtenção de informações do Mailchimp.

De acordo com nosso Adendo de Processamento de Dados, o Mailchimp se compromete a fornecer aos usuários europeus um aviso prévio por escrito sobre quaisquer solicitações compulsórias para acessar seus dados, a menos que sejamos impossibilitados por lei.

O Mailchimp publica relatórios de transparência sobre solicitações de informação?

Para demonstrar nosso compromisso com a privacidade e nossos esforços para sermos tão transparentes quanto possível, agora o Mailchimp publica relatórios anuais de transparência para documentar a quantidade e o tipo de solicitações legais que recebemos. Embora haja restrições sobre o nível de detalhes que podemos fornecer, tentaremos ao máximo ser tão transparentes legalmente quanto possível em todos esses relatórios.

O Mailchimp recebe solicitações de informação do governo dos EUA?

O ponto central da recente decisão do TJUE e uma das principais razões pelas quais o Privacy Shield foi invalidado foi a preocupação expressa sobre os programas nacionais de inteligência e vigilância dos EUA contida na Seção 702, também chamada de Emendas da Lei FISA, e de acordo com a Ordem Executiva 12333. De maneira geral, o Mailchimp não fornece voluntariamente às agências ou autoridades governamentais (incluindo autoridades policiais) informações sobre as contas do Mailchimp ou acesso a elas.

No entanto, como uma plataforma de marketing por e-mail B2B e, portanto, um "serviço de comunicação eletrônica", o Mailchimp é, como quase todos os provedores de serviços de nuvem dos EUA, o tipo de entidade para a qual o governo dos EUA está tecnicamente autorizado a emitir diretivas FISA conforme a Seção 702 ou realizar coleta de inteligência nos termos da OE 12333. Isso significa que o Mailchimp pode ser tecnicamente atendido com esses tipos de solicitações de informações compulsórias.

Nossos relatórios de transparência anuais documentam o número limitado e os tipos específicos de solicitações legais que o Mailchimp recebeu. Além disso, como descrito acima, também temos políticas e processos rigorosos em vigor para responder a solicitações de informação em cumprimento da lei.

Posso executar as Cláusulas Contratuais Padrão da UE com o Mailchimp?

As Cláusulas Contratuais Padrão (“SCCs”) são incorporadas diretamente ao nosso Adendo](/legal/data-processing-addendum/) de Processamento de [Dados (Data Processing Addendum, DPA) que faz parte automaticamente dos nossos Termos de Uso Padrão (nosso contrato com você) e se aplica aos dados de clientes protegidos pelas leis europeias de proteção de dados (incluindo o RGPD).