Veja abaixo uma versão traduzida do Adendo de Processamento de Dados do Mailchimp. Se houver qualquer discrepância entre os termos em inglês e suas respectivas traduções, a versão em inglês prevalecerá.
Este Adendo de Processamento de Dados (Data Processing Addendum, “DPA”) integra e está sujeito aos termos e condições do Contrato entre o The Rocket Science Group LLC, com nome de fantasia Mailchimp, (juntamente com suas Afiliadas, “Mailchimp”) e a entidade cliente que é parte do Contrato como Membro (“Cliente”).
Todos os termos em letras maiúsculas não definidos neste DPA terão os significados estabelecidos no Contrato. Para que se evite dúvidas, todas as referências ao “Contrato” incluirão este DPA (inclusive as SCCs [Standard Contractual Clauses (Cláusulas contratuais padrão)] (quando aplicável), conforme definido neste instrumento).
1. Definições
"Afiliada" significa uma entidade que, direta ou indiretamente, controla, é controlada por ou está sob Controle comum de uma entidade.
"Contrato" refere-se aos Termos de Uso Padrão do Mailchimp ou a outro contrato escrito ou eletrônico que reja o fornecimento do Serviço ao Cliente, conforme esses termos ou contratos venham a ser atualizados periodicamente.
"Controle" significa propriedade, voto ou interesse semelhante representando 50% (cinquenta por cento) ou mais dos interesses totais então em circulação da entidade em questão. O termo "Controlado" deve ser interpretado em conformidade.
"Dados do Cliente" refere-se a dados pessoais que o Mailchimp processar em nome do Cliente por meio do Serviço, conforme descrito mais especificamente neste DPA.
"Leis de Proteção de Dados" refere-se a todos os regulamentos e leis de proteção de dados aplicáveis ao processamento de uma parte dos Dados do Cliente nos termos do Contrato, inclusive, quando aplicável, às Leis Europeias de Proteção de Dados e às Leis Não Europeias de Proteção de Dados.
"Leis europeias de proteção de dados" refere-se a todos os regulamentos e leis de proteção de dados aplicáveis à Europa, inclusive (i) o Regulamento 2016/679 do Parlamento Europeu e do Conselho sobre a proteção de pessoas físicas em relação ao processamento de dados pessoais e à livre movimentação desses dados (Regulamento Geral sobre a Proteção de Dados) ("RGPD"); (ii) a Diretiva 2002/58/EC sobre o processamento de dados pessoais e a proteção da privacidade no setor de comunicações eletrônicas; (iii) implementações nacionais aplicáveis de (i) e (ii); (iv) o GDPR, pois faz parte da lei do Reino Unido em virtude da seção 3 da Lei da União Europeia do Reino Unido (Retirada) de 2018 e da Lei de Proteção de Dados do Reino Unido de 2018 (juntos, "Leis de proteção de dados do Reino Unido"); e (v) a Lei Federal de Proteção de Dados da Suíça de 19 de junho de 1992 e sua Portaria (Data Protection Act, "DPA da Suíça").
Para os objetivos deste DPA, "Europa" refere-se ao Espaço Econômico Europeu e aos seus estados-membros ("EEE"), Suíça e Reino Unido ("Reino Unido").
"Leis de Proteção de Dados Não Europeias" refere-se à Lei de Privacidade do Consumidor da Califórnia (California Consumer Privacy Act, "CCPA"); à Lei Canadense de Proteção de Informações Pessoais e Documentos Eletrônicos (Personal Information Protection and Electronic Documents Act, "PIPEDA"); à Lei Geral Brasileira de Proteção de Dados ("LGPD"), a Lei Federal no 13.709/2018; e à Lei de Privacidade 1988 (Cth) da Austrália e alterações ("Lei de Privacidade Australiana").
"SCCs" significa (i) as cláusulas contratuais padrão entre controladores e processadores adotadas pela Comissão Europeia em sua Decisão de Implementação (UE) 2021/91 de 4 de junho de 2021, e atualmente localizados aqui (as "Cláusulas de controlador para processador de 2021"); ou (ii) as cláusulas contratuais padrão entre processadores adotadas pela Comissão Europeia em sua Decisão de Implementação (UE) 2021/91 de 4 de junho de 2021, e atualmente localizados aqui (as "Cláusulas de processador a processador de 2021"); conforme aplicável, de acordo com a Seção 6.3.
"Incidente de segurança" refere-se a qualquer violação de segurança não autorizada ou ilegal que leve à destruição, perda ou alteração acidental ou ilegal, ou à divulgação não autorizada dos Dados do Cliente em sistemas gerenciados ou controlados pelo Mailchimp, ou ao respectivo acesso não autorizado.
"Dados Sensíveis" refere-se a (a) número da previdência social, número de arquivo fiscal, número do passaporte, número da carteira de habilitação, ou identificador similar (ou a parte(s) do mesmo); (b) número do cartão de crédito ou débito (salvo os truncados (últimos quatro dígitos) de cartão de crédito ou débito); (c) emprego, financeiro, crédito, genética, informações biométricas ou de saúde; (d) raça, etnia, afiliação política ou religiosa, associação sindical, informações sobre vida sexual ou orientação sexual, ou antecedentes criminais; (e) senhas de contas; ou (f) outras informações que se enquadrem na definição de "categorias especiais de dados" de acordo com as Leis de Proteção de Dados aplicáveis.
"Subprocessador" refere-se ao processador contratado pelo Mailchimp ou por suas Afiliadas para auxiliar no cumprimento de suas obrigações em relação ao fornecimento do Serviço nos termos do Contrato ou deste DPA. A expressão "subprocessadores" pode incluir terceiros ou Afiliadas do Mailchimp, mas excluirá funcionários, contratados ou consultores do Mailchimp.
"Adendo do Reino Unido" significa o Adendo Internacional de Transferência de Dados (versão B1.0) emitido pelo Escritório do Comissário de Informações nos termos do S.119(A) da Lei de Proteção de Dados do Reino Unido de 2018, conforme atualizado ou alterado de tempos em tempos.
Os termos "dados pessoais", "controlador", "titular dos dados", "processador" e "processamento" terão o significado atribuído a eles de acordo com as Leis de Proteção de Dados aplicáveis ou, se não definidos nos termos deste documento, o RGPD e "processo", "processos"" e "processados", em relação aos Dados do Cliente, serão interpretados de acordo.
2. Funções e responsabilidades
2.1 Funções das Partes. Se as Leis Europeias de Proteção de Dados ou a LGPD se aplicarem ao processamento de Dados do Cliente por uma ou outra parte, as partes concordam e estão cientes de que, em relação ao processamento dos Dados do Cliente, a Mailchimp é um processador atuando em nome do Cliente (seja ele próprio o controlador ou o processador). Para que se evite dúvidas, este DPA não se aplicará a casos em que a Mailchimp seja o controlador (conforme definido pelas Leis Europeias de Proteção de Dados), salvo descrito de outro modo no Anexo C (Termos Específicos da Jurisdição) deste DPA.
2.2 Limitação de objetivo. A Mailchimp processará os Dados do Cliente, conforme descrito no Anexo A (Detalhes do Processamento de Dados) deste DPA, somente de acordo com as instruções legais documentadas do Cliente, conforme estabelecido neste DPA, conforme necessário para estar em conformidade com a legislação aplicável, ou conforme concordado de outra forma por escrito (“Objetivos Permitidos”). As partes concordam que o Contrato, inclusive este DPA, juntamente com a configuração do Cliente ou o uso de quaisquer configurações, variáveis, ou opções no Serviço (conforme o Cliente possa modificar de tempos em tempos) constituem as instruções completas e finais do Cliente para o Mailchimp em relação ao processamento dos Dados do Cliente (inclusive para os objetivos das SCCs), e o processamento fora do escopo destas instruções (se houver) exigirá acordo prévio por escrito entre as partes.
2.3 Dados proibidos. O Cliente não fornecerá (nem fará com que sejam fornecidos) Dados Sensíveis à Mailchimp para processamento nos termos do Contrato, e a Mailchimp não terá nenhuma responsabilidade por Dados Sensíveis relacionados a Incidentes de Segurança ou de outra forma. Para que se evite dúvidas, este DPA não se aplicará a Dados Sensíveis.
2.4 Conformidade do Cliente. O Cliente declara e garante que (i) está em conformidade e continuará a estar em conformidade com todas as leis aplicáveis, inclusive as Leis de Proteção de Dados, em relação ao processamento dos Dados do Cliente e instruções de processamento que eles emitam para a Mailchimp; e que (ii) forneceu e continuará a fornecer todos os avisos, e que obteve e continuará a obter todos os consentimentos e direitos necessários de acordo com as Leis de Proteção de Dados da Mailchimp para processar os Dados do Cliente para os objetivos descritos no Contrato. O Cliente será o único responsável pela exatidão, qualidade e legalidade dos Dados do Cliente e os meios pelos quais os Dados do Cliente foram adquiridos. Sem prejuízo da generalidade do exposto acima, o Cliente concorda que será responsável por estar em conformidade com todas as leis (inclusive as Leis de Proteção de Dados) aplicáveis a Campanhas (conforme definido no Contrato) ou outros conteúdos criados, enviados ou gerenciados por meio do Serviço, inclusive relacionados à obtenção de consentimentos (quando necessário) para enviar e-mails, o conteúdo dos e-mails e suas práticas de implantação de e-mails.
2.5 Legalidade das instruções do Cliente. O Cliente assegurará que o processamento dos Dados do Cliente pela Mailchimp de acordo com as instruções do Cliente não levará a Mailchimp a violar leis, regulamentos ou regras aplicáveis, inclusive, sem limitação, as Leis de Proteção de Dados. A Mailchimp notificará imediatamente o Cliente por escrito, a menos que esteja proibida de fazê-lo de acordo com as Leis Europeias de Proteção de Dados, se tomar conhecimento ou acreditar que alguma instrução de processamento de dados do Cliente viola as Leis Europeias de Proteção de Dados. Quando o Cliente atuar como processador em nome de um controlador terceiro (ou outro intermediário do controlador final), o Cliente garante que suas instruções de processamento, conforme estabelecido no Contrato e neste DPA, inclusive suas autorizações para a Mailchimp para a nomeação de Subprocessadores de acordo com este DPA, foram autorizadas pelo respectivo controlador. O Cliente atuará como o único ponto de contato da Mailchimp e a Mailchimp não precisará interagir diretamente com (nem fornecer notificações a ou providenciar autorizações de) controladores terceiros sem ser por meio do fornecimento regular do Serviço na medida determinada pelo Contrato. O Cliente será responsável por encaminhar todas as notificações recebidas nos termos deste DPA ao respectivo controlador, quando for o caso.
3. Subprocessamento
3.1 Subprocessadores autorizados. O Cliente concorda que a Mailchimp poderá contratar Subprocessadores para processar Dados do Cliente em nome do Cliente. Os subprocessadores atualmente contratados pela Mailchimp e autorizados pelo Cliente estão disponíveis aqui. A Mailchimp notificará o Cliente se adicionar ou remover Subprocessadores pelo menos 10 dias antes das alterações, se o Cliente optar por receber as notificações clicando aqui.
3.2 Obrigações do subprocessador. Obriga-se a Mailchimp a: (i) celebrar um contrato por escrito com cada Subprocessador prevendo obrigações de proteção de dados que forneçam no mínimo o mesmo nível de proteção para os Dados do Cliente que os previstos neste DPA, na medida aplicável à natureza do serviço fornecido pelo Subprocessador; e (ii) permanecer responsável pela conformidade do Subprocessador com as obrigações deste DPA e por todos os atos e omissões do Subprocessador que levem a Mailchimp a violar qualquer uma de suas obrigações previstas neste DPA. O Cliente concorda e está ciente de que, quando aplicável, a Mailchimp cumpre suas obrigações nos termos da Cláusula 9ª das Cláusulas de controlador para processador 2021 e das Cláusulas de processador para processador 2021 (conforme aplicável) ao estar em conformidade com esta Seção 3 e que a Mailchimp poderá ser impedida de divulgar contratos de subprocessador ao Cliente devido a restrições de confidencialidade, sendo que a Mailchimp, mediante solicitação, envidará todos os esforços possíveis para fornecer ao Cliente todas as informações que ele possa fornecer relacionadas a contratos de Subprocessador.
4. Segurança
4.1 Medidas de segurança. O Mailchimp implementará e manterá medidas de segurança técnicas e organizacionais adequadas e criadas para proteger os Dados do Cliente contra Incidentes de Segurança e preservar a segurança e a confidencialidade dos Dados do Cliente de acordo com os padrões de segurança do Mailchimp descritos no Anexo B ("Medidas de Segurança") deste DPA.
4.2 Confidencialidade do processamento. O Mailchimp assegurará que as pessoas autorizadas pelo Mailchimp a processar os Dados do Cliente (inclusive sua equipe e seus agentes e subcontratados) estejam sob a devida obrigação (contratual ou legal) de confidencialidade.
4.3 Atualizações das Medidas de Segurança. O Cliente é responsável por analisar as informações disponibilizadas pelo Mailchimp relacionadas à segurança de dados e por determinar independentemente se o Serviço atende aos requisitos e obrigações legais do Cliente nos termos das Leis de Proteção de Dados. O Cliente está ciente de que as Medidas de Segurança estão sujeitas ao progresso e desenvolvimento técnico e que o Mailchimp poderá atualizar ou modificar as Medidas de Segurança periodicamente, desde que as atualizações e modificações não resultem em degradação da segurança geral do Serviço fornecido ao Cliente.
4.4 Resposta a Incidentes de segurança. Ao tomar conhecimento de um Incidente de segurança, o Mailchimp: (i) notificará o Cliente sem atraso indevido e, quando possível, em qualquer caso, no prazo de até 48 horas a contar do momento de ter tomado conhecimento do Incidente de segurança; (ii) fornecerá informações em tempo hábil relacionadas ao Incidente de segurança que se tornar conhecido ou conforme solicitado pelo Cliente; e (iii) tomará imediatamente todas as medidas possíveis para conter e investigar o Incidente de segurança. A notificação ou resposta do Mailchimp a um Incidente de Segurança nos termos desta Seção 4.4 não será interpretada como confirmação pelo Mailchimp de falha ou responsabilidade em relação ao Incidente de Segurança.
4.5 Responsabilidades do Cliente. Não obstante o disposto acima, o Cliente concorda que, salvo conforme disposto neste DPA, o Cliente é responsável pelo seu uso seguro do Serviço, inclusive pela proteção de suas credenciais de autenticação de conta, proteção da segurança dos Dados do Cliente quando em trânsito de e para o Serviço, e pelas devidas medidas de criptografia segura ou back-up seguro dos Dados do Cliente carregados no Serviço.
5. Relatórios e auditorias de segurança
5.1 Direitos de auditoria. O Mailchimp disponibilizará ao Cliente todas as informações necessárias para demonstrar conformidade com este DPA e permitirá e contribuirá para auditorias, inclusive inspeções pelo Cliente para avaliar a conformidade com este DPA. O Cliente reconhece e concorda que exercerá seus direitos de auditoria nos termos deste DPA (inclusive desta Seção 5.1 e, quando aplicável, das SCCs) e todos os direitos de auditoria concedidos pelas Leis de Proteção de Dados, instruindo o Mailchimp a cumprir as medidas de auditoria descritas nas Seções 5.2 e 5.3, abaixo.
5.2 Relatórios de segurança. O Cliente reconhece que o Mailchimp é auditado regularmente segundo os principais padrões do setor por auditores terceirizados independentes e auditores internos, respectivamente. Mediante solicitação aqui, o Mailchimp fornecerá (em caráter confidencial) uma cópia resumida de seu(s) relatório(s) de auditoria mais recente(s) (“Relatório”) ao Cliente, para que o Cliente possa verificar a conformidade do Mailchimp com os padrões de auditoria em relação aos quais foi avaliado e este DPA.
5.3 Diligência devida de segurança. Além do Relatório, o Mailchimp atenderá a todas as solicitações de informações feitas pelo Cliente para confirmar a conformidade do Mailchimp com este DPA disponibilizando informações adicionais sobre seu programa de segurança da informação mediante solicitação por escrito do Cliente aqui, desde que o Cliente não exerça este direito mais de uma vez por ano civil. Os clientes podem enviar suas solicitações aqui.
6. Transferências internacionais
6.1 Localização dos centros de dados. Observada a Seção 6.2, o Cliente reconhece que o Mailchimp poderá transferir e processar Dados do Cliente para e nos Estados Unidos e em qualquer outro lugar do mundo onde o Mailchimp ou suas Afiliadas ou seus Subprocessadores mantenham operações de processamento de dados. O Mailchimp assegurará sempre que essas transferências sejam feitas em conformidade com os requisitos das Leis de Proteção de Dados e deste DPA.
6.2 Dados australianos. Se o Mailchimp for o destinatário dos Dados do Cliente protegidos pela Lei de Privacidade da Austrália, as partes concordam e estão cientes de que o Mailchimp poderá transferir os Dados do Cliente para fora da Austrália, conforme permitido pelos termos acordados pelas partes e sujeito ao cumprimento pelo Mailchimp deste DPA e da Lei de Privacidade da Austrália.
6.3 Transferências de dados no EEE. Se o Mailchimp for o destinatário dos Dados do Cliente protegidos pelos RGPD em um país fora o EEE que não seja reconhecido como fornecendo um nível suficiente de proteção de dados pessoais (conforme descrito nas Leis Europeias de Proteção de Dados aplicáveis), as partes concordam em cumprir e processar os Dados do Cliente em conformidade com as SCCs, que serão incorporadas a este DPA e farão parte integral dele.
6.4 Transferências de dados do Reino Unido. Com relação às transferências às quais as Leis de Proteção de Dados do Reino Unido se aplicam, as SCCs serão aplicadas e consideradas alteradas conforme especificado no Adendo do Reino Unido. O Adendo do Reino Unido será considerado assinado pelas partes e incorporado e fará parte integrante deste DPA. Além disso: As Tabelas 1 a 3 na Parte 1 do Adendo do Reino Unido serão consideradas preenchidas com as informações estabelecidas nos Anexos I e II das SCCs relevantes; e a Tabela 4 na Parte 1 do Adendo do Reino Unido será considerada preenchida selecionando "nenhuma das partes".
6.5 Transferências de dados na Suíça. Com relação às transferências às quais o DPA suíço se aplica, as SCCs devem ser aplicadas de acordo com a Seção 6.3 com as seguintes modificações: (i) referências ao "Regulamento (UE) 2016/679" devem ser interpretadas como referências ao DPA suíço; (ii) as referências a Artigos do "Regulamento (UE) 2016/679" específico devem ser substituídas pelo artigo ou seção equivalente do DPA suíço; (iii) referências à legislação da "UE", "União" e " do Estado-Membro" será substituída pela lei da "Suíça"; (iv) A Cláusula 13(a) e a Parte C do Anexo Il serão excluídas; (v) as referências à "autoridade supervisora competente" e aos "tribunais competentes" serão substituídas pelo "Comissário Federal Suíço de Proteção de Dados e Informações" e pelos "tribunais relevantes na Suíça"; (vi) a Cláusula 17 será substituída para declarar "que as Cláusulas são regidas pelas leis da Suíça"; e (vii) a Cláusula 18 será substituída para declarar que "qualquer disputa decorrente destas Cláusulas será resolvida pelos tribunais aplicáveis da Suíça. As partes concordam em se submeter à jurisdição de tais tribunais".
6.6 Conformidade com as SCCs. As partes concordam que, se o Mailchimp não puder garantir a conformidade com as SCCs, ele informará imediatamente o Cliente sobre sua impossibilidade de cumpri-las. Se o Cliente pretender suspender a transferência de Dados europeus e/ou rescindir as partes afetadas do Serviço, ele primeiramente notificará o Mailchimp e concederá ao Mailchimp um prazo razoável para sanar a não conformidade, durante o qual o Mailchimp e o Cliente cooperarão para definir quais proteções ou medidas adicionais, se houver, poderão ser necessárias. O Cliente só terá o direito de suspender a transferência de dados e/ou rescindir as partes afetadas do Serviço por não conformidade com as SCCs se o Mailchimp não tiver ou não puder sanar a não conformidade dentro de um prazo razoável.
6.7 Mecanismo de transferência alternativo. Além disso, se o Mailchimp adotar um mecanismo alternativo de transferência de dados legal para a transferência de Dados europeus que não esteja descrito neste DPA ("Mecanismo de transferência alternativo"), o Mecanismo de transferência alternativo será aplicado em vez dos mecanismos de transferência descritos neste DPA (mas somente na medida em que tal Mecanismo de transferência alternativo esteja em conformidade com as Leis de proteção de dados europeus aplicáveis e se estenda aos países para os quais os Dados europeus sejam transferidos). Além disso, se e na medida em que um tribunal competente ou autoridade supervisora determinar (por qualquer motivo) que as medidas descritas neste DPA não possam ser invocadas para transferir legalmente os Dados europeus (dentro do significado das Leis de proteção de dados europeias aplicáveis), o Mailchimp poderá implementar medidas ou proteções adicionais que venham a ser necessárias para permitir a transferência legal de Dados europeus.
7. Devolução ou exclusão de dados
Exclusão ou devolução na rescisão. Mediante a rescisão ou expiração do Contrato, a Mailchimp excluirá ou devolverá ao Cliente (a critério do Cliente) todos os Dados do Cliente (inclusive cópias) sob sua posse ou seu controle, sendo que essa obrigatoriedade não se aplicará se a Mailchimp for obrigada por lei a reter todos ou alguns dos Dados do Cliente, ou aos Dados do Cliente que ela tenha arquivado em sistemas de back-up, Dados do Cliente esses que a Mailchimp isolará com segurança, protegerá de processamento adicional e, em momento futuro, excluirá de acordo com as políticas de exclusão do Mailchimp, salvo na medida determinada por lei. As partes concordam que a certificação de exclusão dos Dados do Cliente descritos nas Cláusulas 8.5 e 16(d) das Cláusulas de controlador para processador 2021 e das Cláusulas de processador para processador 2021 (conforme aplicável) será fornecida pela Mailchimp ao Cliente somente mediante solicitação por escrito do Cliente.
8. Direitos e cooperação do titular dos dados
8.1 Solicitações do titular dos dados. Como parte do Serviço, o Mailchimp fornece ao Cliente vários recursos de autoatendimento que o Cliente poderá usar para recuperar, corrigir, excluir ou restringir o uso dos Dados do Cliente, que o Cliente poderá usar para auxiliá-lo em relação às suas obrigações (ou de seu controlador terceiro) de acordo com as Leis de Proteção de Dados em relação a responder a solicitações dos titulares de dados por meio da conta do Cliente sem nenhum custo adicional. Além disso, considerada a natureza do processamento, o Mailchimp dará a assistência adicional necessária ao Cliente na medida do possível para que o Cliente (ou seu controlador terceiro) cumpra suas obrigações de proteção de dados em relação aos direitos do titular dos dados nos termos das Leis de proteção de dados. Caso essa solicitação seja feita diretamente ao Mailchimp, o Mailchimp não responderá a essa comunicação diretamente, salvo conforme adequado (por exemplo, para direcionar o titular dos dados a entrar em contato com o Cliente) ou determinado por lei, sem a autorização prévia do Cliente. Se o Mailchimp for obrigado a atender a essa solicitação, o Mailchimp, quando o Cliente for identificado ou identificável a partir da solicitação, notificará imediatamente o Cliente e fornecerá ao Cliente uma cópia da solicitação, a menos que o Mailchimp seja legalmente proibido de fazê-lo. Para que se evite dúvidas, nada no Contrato (inclusive este DPA) restringirá ou impedirá o Mailchimp de atender a solicitações de titulares de dados ou autoridades de proteção de dados referentes a dados pessoais com relação aos quais o Mailchimp seja controlador.
8.2 Avaliação do impacto da proteção de dados. Na medida determinada pelas Leis de Proteção de Dados aplicáveis, o Mailchimp fornecerá (consideradas a natureza do processamento e as informações disponíveis ao Mailchimp) todas as informações solicitadas sobre o Serviço para permitir que o Cliente realize avaliações de impacto de proteção de dados ou consultas prévias com as autoridades de proteção de dados, conforme determinado pelas Leis de Proteção de Dados. O Mailchimp cumprirá o disposto acima: (i) estando em conformidade com a Seção 5 (Relatórios e auditorias de segurança); (ii) fornecendo as informações contidas no Contrato, inclusive este DPA; e (iii) se as subseções anteriores (i) e (ii) forem insuficientes para que o Cliente cumpra tais obrigações, mediante solicitação, fornecendo a assistência adicional necessária (às custas do Cliente).
9. Termos específicos da jurisdição
Se a Mailchimp processar os Dados do Cliente originados e protegidos pelas Leis de Proteção de Dados em uma das jurisdições listadas no Anexo C, os termos especificados no Anexo C em relação à(s) jurisdição(ões) aplicável(is) (“Termos Específicos da Jurisdição”) se aplicam além dos termos deste DPA. Em caso de conflito ou ambiguidade entre os Termos Específicos da Jurisdição e outros termos deste DPA, os Termos Específicos da Jurisdição aplicáveis terão precedência, mas somente na medida da aplicabilidade dos Termos Específicos da Jurisdição à Mailchimp.
10. Limitação de responsabilidade
10.1 A responsabilidade de cada parte e de todas as suas Afiliadas assumida em conjunto no agregado decorrente deste DPA (inclusive das SCCs) ou a isso relacionada estará sujeita às exclusões e limitações de responsabilidade estabelecidas no Contrato.
10.2 Todas as demandas contra a Mailchimp ou suas Afiliadas nos termos deste DPA (inclusive, quando for o caso, das SCCs) ou a isso relacionadas serão propostas exclusivamente pela entidade Cliente que seja parte no Contrato.
10.3 Em hipótese alguma nenhuma das partes limitará sua própria responsabilidade em relação aos direitos de proteção de dados de nenhuma pessoa física nos termos deste DPA ou de outra forma.
11. Relação com o Contrato
11.1 Este DPA permanecerá em vigor enquanto a Mailchimp realizar operações de processamento de Dados do Cliente em nome do Cliente ou até a rescisão do Contrato (e que todos os Dados do Cliente tenham sido devolvidos ou excluídos de acordo com a Seção 7.1, acima).
11.2 As partes concordam que este DPA substituirá qualquer contrato de processamento de dados existente ou documento semelhante que as partes possam ter celebrado anteriormente com relação ao Serviço.
11.3 Em caso de conflito ou inconsistência entre este DPA e os Termos de Uso Padrão, as disposições dos seguintes documentos (em ordem de precedência) prevalecerão: (i) SCCs; depois (ii) este DPA; e então (iii) os Termos de Uso Padrão.
11.4 Salvo em caso de alterações feitas por este DPA, o Contrato permanece inalterado e em pleno vigor e efeito.
11.5 Pessoas que não sejam parte neste DPA ou seus respectivos sucessores e cessionários autorizados não terão direito de aplicar nenhum dos termos deste DPA.
11.6 Este DPA será regido e interpretado de acordo com as disposições legais e jurisdicionais vigentes no Contrato, a menos que de outra forma determinado pelas Leis de Proteção de Dados aplicáveis.
Anexo A – Detalhes do Processamento de Dados
(a) Categorias de titulares de dados:
As categorias de titulares de dados cujos dados pessoais são processados incluem (i) Membros (ou seja, usuários finais individuais com acesso a uma conta do Mailchimp) e (ii) Contatos (ou seja, assinantes do Membro e outras pessoas sobre as quais o Membro tenha nos fornecido informações ou que tenham interagido com um Membro por meio do Serviço).
(b) Categorias de dados pessoais:
O Cliente poderá carregar, enviar ou fornecer determinados dados pessoais ao Serviço, cuja extensão seja normalmente determinada e controlada pelo Cliente a seu critério exclusivo, podendo incluir os seguintes tipos de dados pessoais:
- Membros: Dados de identificação e contato (nome, endereço, cargo, detalhes de contato, nome de usuário); informações financeiras (dados do cartão de crédito, dados da conta, informações de pagamento); dados do emprego (empregador, cargo, localização geográfica, área de responsabilidade).
- Contatos: Dados de identificação e contato (nome, data de nascimento, gênero, geral, ocupação ou outras informações demográficas, endereço, título, informações de contato, inclusive endereço de e-mail); interesses ou preferências pessoais (inclusive histórico de compras, preferências de marketing e informações de perfil de mídia social disponíveis publicamente); Informações de TI (endereços IP, dados de utilização, dados de cookies, dados de navegação on-line, dados de localização, dados do navegador); informações financeiras (dados do cartão de crédito, dados da conta, informações de pagamento).
(c) Dados Sensíveis processados (se aplicável):
A Mailchimp não deseja coletar, nem coleta nem processa, intencionalmente, Dados Sensíveis em relação ao fornecimento do Serviço.
(d) Frequência do processamento:
Contínuo e conforme determinado pelo Cliente.
(e) Objeto e natureza do processamento:
A Mailchimp fornece um serviço de e-mail, uma plataforma de automação e marketing, e outros serviços relacionados, conforme descrito mais especificamente no Contrato. O objeto do processamento de dados nos termos deste DPA são os Dados do Cliente. Os Dados do Cliente serão processados de acordo com o Contrato (inclusive este DPA) e poderão estar sujeitos às seguintes atividades de processamento:
- Armazenamento e outros processamentos necessários para fornecer, manter e melhorar o Serviço fornecido ao Cliente de acordo com o Contrato; e/ou
- Divulgações de acordo com o Contrato e/ou conforme determinado por lei.
(f) Finalidade do processamento:
A Mailchimp processará os Dados do Cliente somente para os Objetivos Permitidos, que incluirão: (i) processamento conforme necessário para o fornecimento do Serviço de acordo com o Contrato; (ii) processamento iniciado pelo Cliente no seu uso do Serviço; e (iii) processamento para cumprimento de outras instruções fornecidas pelo Cliente (por exemplo, por e-mail ou tíquetes de suporte) consistentes com os termos do Contrato.
(g) Duração do processamento e período pelo qual os dados pessoais serão retidos:
A Mailchimp processará os Dados do cliente conforme descrito na Seção 7 (Devolução ou exclusão de dados) deste DPA.
Anexo B – Medidas de segurança
As Medidas de Segurança aplicáveis ao Serviço são descritas aqui (conforme atualizadas periodicamente de acordo com a Seção 4.3 deste DPA).
Anexo C – Termos Específicos da Jurisdição
Europa:
Objeção a subprocessadores. O Cliente poderá se opor por escrito à nomeação pelo Mailchimp de um novo Subprocessador no prazo de 5 (cinco) dias corridos a contar da data do recebimento da notificação de acordo com a Seção 3.1 do DPA, desde que a objeção se baseie em motivos relacionados à proteção de dados. Nesse caso, as partes deverão discutir tais assuntos de boa-fé com o objetivo de alcançar uma resolução comercialmente viável. No caso de impossibilidade de resolução, o Mailchimp, a seu critério exclusivo, não nomeará esse Subprocessador nem permitirá que o Cliente suspenda ou cancele o Serviço afetado de acordo com as disposições sobre rescisão do Contrato, sem responsabilidade para nenhuma das partes (mas sem prejuízo das taxas incorridas pelo Cliente antes da suspensão ou do cancelamento).
Solicitações de acesso a dados por parte do governo. Em termos de prática geral, o Mailchimp não fornece voluntariamente às agências ou autoridades governamentais (inclusive autoridades policiais) informações sobre as contas do Mailchimp (inclusive Dados do Cliente) nem acesso a elas. Se o Mailchimp receber uma determinação (seja por intimação, determinação judicial, mandado de busca, ou outro processo legal válido) de agência ou autoridade governamental (inclusive autoridades policiais) para acesso a alguma conta do Mailchimp (inclusive Dados do Cliente) ou informações sobre ela, pertencente a um Cliente cujas informações de contato principais indiquem que o Cliente está localizado na Europa, o Mailchimp: (i) analisará a legalidade da determinação; (ii) informará a agência governamental que o Mailchimp é um processador dos dados; (iii) tentará redirecionar a agência para solicitar os dados diretamente ao Cliente; (iv) notificará o Cliente por e-mail enviado para o endereço de e-mail de contato principal do Cliente sobre a solicitação para permitir que o Cliente busque uma medida cautelar ou outro recurso adequado; e (v) fornecerá a quantidade mínima de informações permitidas ao responder à agência ou autoridade com base na interpretação da solicitação. Como parte desse esforço, o Mailchimp poderá fornecer as informações de contato principal e de cobrança do Cliente para a agência. O Mailchimp não será obrigado a cumprir este parágrafo 2.º se estiver legalmente proibida de fazê-lo, ou se acreditar, de boa-fé, que haja necessidade de acesso urgente para evitar risco iminente de danos graves a qualquer pessoa, segurança pública ou propriedade, site ou serviço do Mailchimp, sendo que se o Mailchimp for legalmente proibido de notificar o Cliente sobre solicitações, ele envidará seus melhores esforços para obter uma dispensa da proibição.
Califórnia:
Salvo conforme descrito de outra forma, as definições de: “controlador” incluem “Negócio”; “processador” inclui “Provedor de serviços”; “titular dos dados” inclui “Consumidor”; “dados pessoais” incluem “Informações pessoais”; em cada caso, conforme definido na CCPA.
Apenas para esta seção “Califórnia” do Anexo C, “Objetivos permitidos” incluirão o processamento dos Dados do Cliente somente para os objetivos descritos neste DPA e de acordo com as instruções legais documentadas do Cliente, conforme estabelecido neste DPA, na medida em que for necessário para estar em conformidade com a legislação aplicável, conforme concordado de outra forma por escrito, inclusive, sem limitação, no Contrato, ou conforme permitido para “provedores de serviços” nos termos da CCPA.
As obrigações do Mailchimp em relação às solicitações de titulares de dados, conforme descrito na Seção 8 (Direitos e cooperação de titulares de dados) deste DPA, se estendem às solicitações de direitos de acordo com a CCPA.
Não obstante qualquer restrição de uso prevista em outro lugar neste DPA, o Mailchimp processará os Dados do Cliente para prover o Serviço, para os Objetivos Permitidos e/ou de acordo com as instruções legais documentadas do Cliente, ou conforme permitido ou requerido pela legislação aplicável.
Não obstante qualquer restrição de uso prevista em outra parte deste Anexo C, o Mailchimp pode desidentificar ou agregar os Dados do Cliente como parte da execução do Serviço especificado neste DPA e no Contrato.
Quando os subprocessadores processam as Informações Pessoais dos contatos do Cliente, o Mailchimp toma medidas para assegurar que os subprocessadores sejam Provedores de Serviços de acordo com a CCPA com quem o Mailchimp tenha celebrado um contrato por escrito que inclua termos substancialmente semelhantes a esta seção “Califórnia” do Anexo C ou que estejam isentos da definição de “venda” da CCPA. O Mailchimp realiza a devida diligência adequada em seus subprocessadores.
Canadá:
O Mailchimp toma medidas para assegurar que os subprocessadores do Mailchimp, conforme descrito na Seção 3 (Subprocessamento) do DPA, sejam terceiros nos termos da PIPEDA, com quem o Mailchimp tenha celebrado um contrato por escrito que inclua termos substancialmente semelhantes a este DPA. O Mailchimp realiza a devida diligência adequada em seus subprocessadores.
O Mailchimp implementará medidas técnicas e organizacionais conforme estabelecido na Seção 4 (Segurança) do DPA.
Em vigor a partir de 1.º de agosto de 2023