Ir para conteúdo principal

Avisos legais

Adendo de Processamento de Dados

Baixar página

Este Adendo de Processamento de Dados ("APD") integra e está sujeito aos termos e às condições do Contrato entre o The Rocket Science Group LLC, com nome fantasia Mailchimp, (juntamente com suas Afiliadas, "Mailchimp") e a entidade cliente que é parte do Contrato como Membro ("Cliente").

Todos os termos em letras maiúsculas não definidos neste APD terão os significados estabelecidos no Contrato. Para que se evite dúvidas, todas as referências ao "Contrato" incluirão este APD (inclusive as Cláusulas Contratuais Padrão (SCCs - Standard Contractual Clauses) (quando aplicável), conforme definido neste instrumento).

1. Definições

"Leis de Proteção de Dados Adicionais" refere-se à Leis de Proteção de Dados dos Estados Unidos; à Lei Canadense de Proteção de Informações Pessoais e Documentos Eletrônicos (Personal Information Protection and Electronic Documents Act, "PIPEDA"); à Lei Geral de Proteção de Dados do Brasil ("LGPD"), à Lei Federal nº 13.709/2018; e à Lei de Privacidade 1988 (Cth) da Austrália e suas alterações ("Lei de Privacidade Australiana").

"Afiliada" significa uma entidade que, direta ou indiretamente, controla, é controlada por ou está sob Controle comum de uma entidade.

"Contrato" refere-se aos Termos de Uso Padrão do Mailchimp ou a outro contrato físico ou digital que reja o fornecimento do Serviço ao Cliente, conforme esses termos ou contratos venham a ser atualizados periodicamente.

"Controle" significa propriedade, voto ou interesse semelhante representando 50% (cinquenta por cento) ou mais dos interesses totais então em circulação da entidade em questão. O termo "Controlado" deve ser interpretado em de forma apropriada.

"Dados do Cliente" refere-se a dados pessoais que o Mailchimp processar em nome do Cliente por meio do Serviço, conforme descrito mais especificamente neste APD.

"Data Privacy Framework" significa (conforme aplicável) os mecanismos de autocertificação do Data Privacy Framework entre a UE e os EUA, do Data Privacy Framework entre a Suíça e os EUA e da Extensão do Reino Unido ao Data Privacy Framework entre a UE e os EUA, operados pelo Departamento de Comércio dos EUA, e seus respectivos sucessores ("DPF").

\"Princípios do Data Privacy Framework\" significa os Princípios e Princípios Suplementares contidos no respectivo Data Privacy Framework, e suas alterações, substituições ou revogações.

"Leis de Proteção de Dados" refere-se a todos os regulamentos e às leis de proteção de dados aplicáveis ao processamento de uma parte dos Dados do Cliente nos termos do Contrato, inclusive, quando aplicável, às Leis Europeias de Proteção de Dados e às Leis Não Europeias de Proteção de Dados.

"Leis Europeias de Proteção de Dados" refere-se a todos os regulamentos e às leis de proteção de dados aplicáveis à Europa (conforme alterações ou substituições periódicas), inclusive (i) o Regulamento 2016/679 do Parlamento e do Conselho Europeu sobre a proteção de pessoas físicas em relação ao processamento de dados pessoais e à livre movimentação desses dados (Regulamento Geral sobre a Proteção de Dados) ("GDPR"); (ii) a Diretiva 2002/58/EC sobre o processamento de dados pessoais e a proteção da privacidade no setor de comunicações eletrônicas; (iii) implementações nacionais aplicáveis de (i) e (ii); (iv) o GDPR, pois faz parte da lei do Reino Unido em virtude da seção 3 da Lei da União Europeia do Reino Unido (Saída) de 2018 e da Lei de Proteção de Dados do Reino Unido de 2018 (juntos, "Leis de proteção de dados do Reino Unido"); e (v) a Lei Federal de Proteção de Dados da Suíça de 19 de junho de 1992 e sua Portaria (Data Protection Act, "DPA da Suíça").

Para os objetivos deste APD, "Europa" refere-se ao Espaço Econômico Europeu e aos seus estados-membros ("EEE"), Suíça e Reino Unido ("Reino Unido").

"Grupo Mailchimp" refere-se à The Rocket Science Group LLC operando sob o nome Mailchimp ou qualquer outra entidade que seja uma Afiliada.

"SCCs" significa (i) as cláusulas contratuais padrão entre controladores e processadores adotadas pela Comissão Europeia em sua Decisão de Implementação (UE) 2021/91 de 4 de junho de 2021, e atualmente localizados aqui (as "Cláusulas de controlador para processador de 2021"); ou (ii) as cláusulas contratuais padrão entre processadores adotadas pela Comissão Europeia em sua Decisão de Implementação (UE) 2021/91 de 4 de junho de 2021, e atualmente localizados aqui (as "Cláusulas de processador a processador de 2021"); conforme aplicável, de acordo com a Seção 6.3.

"Incidente de segurança" refere-se a qualquer violação de segurança não autorizada ou ilegal que leve à destruição, perda ou alteração acidental ou ilegal, ou à divulgação não autorizada dos Dados do Cliente em sistemas gerenciados ou controlados pelo Mailchimp, ou ao respectivo acesso não autorizado.

"Dados Confidenciais" refere-se a (a) número da previdência social, número de arquivo fiscal, número do passaporte, número da carteira de habilitação, ou documento de identificação similar (ou a parte(s) do mesmo); (b) número do cartão de crédito ou débito (salvo os números incompletos (últimos quatro dígitos) do cartão de crédito ou débito); (c) emprego, financeiro, crédito, genética, informações biométricas ou de saúde; (d) raça, etnia, afiliação política ou religiosa, associação sindical, informações sobre vida sexual ou orientação sexual, ou antecedentes criminais; (e) senhas de contas; ou (f) outras informações que se enquadrem na definição de "categorias especiais de dados" de acordo com as Leis de Proteção de Dados aplicáveis.

"Serviço" significa os serviços prestados de acordo com o Contrato aplicável.

"Subprocessador" refere-se ao processador contratado pelo Mailchimp ou por suas Afiliadas para auxiliar no cumprimento de suas obrigações em relação ao fornecimento do Serviço nos termos do Contrato ou deste APD. A expressão "subprocessadores" pode incluir terceiros ou Afiliadas do Mailchimp, mas excluirá funcionários, contratados ou consultores do Mailchimp.

"Adendo do Reino Unido" significa o Adendo Internacional de Transferência de Dados (versão B1.0) emitido pelo Escritório do Comissário de Informações nos termos do S.119(A) da Lei de Proteção de Dados do Reino Unido de 2018, conforme atualizações ou alterações periódicas.

"Leis de Proteção de Dados dos EUA" significa quaisquer leis de privacidade federais, estaduais e locais relevantes dos EUA (e quaisquer regulamentos de implementação e emendas a estas), leis de monitoramento de funcionários e leis que regulam a interceptação de comunicação e que se aplicam ao processamento de dados pessoais de acordo com o Contrato e/ou Serviço, que podem incluir, dependendo das circunstâncias e sem limitação, a Lei de Privacidade do Consumidor da Califórnia (Código Civil da Califórnia §§ 1798.100 e seguintes), conforme alterada pela Lei de Direitos de Privacidade da Califórnia de 2023, juntamente com seus regulamentos de implementação ("CCPA").

Os termos "dados pessoais" , "controlador" , "titular dos dados" , "processador" e "processamento" terão o significado atribuído a eles pelas Leis de Proteção de Dados aplicáveis ou, se não definidos nessas leis, pelo GDPR; e "processo" , "processos" e "processados" , em relação a quaisquer Dados do Cliente, serão interpretados pertinentemente.

2. Funções e responsabilidades

2.1 Papéis das partes. Para as Finalidades Permitidas (definidas abaixo), as partes reconhecem e concordam que, no que diz respeito ao processamento de Dados do Cliente, o Mailchimp processa os Dados do Cliente como um processador agindo em nome do Cliente (seja este um controlador ou um processador em nome de um controlador terceiro). Para evitar dúvidas, este APD não se aplicará aos casos em que o Mailchimp seja o controlador dos Dados do Cliente, a menos que descrito de outra forma no Anexo C (Termos Específicos de Jurisdição) deste APD.

2.2 Limitação de finalidade. O Mailchimp deverá processar os Dados do Cliente, conforme descrito no Anexo A (Detalhes do Processamento de Dados) deste APD, apenas de acordo com as instruções lícitas documentadas do Cliente, conforme estabelecido neste APD, conforme necessário para cumprir a lei aplicável, ou conforme acordado por escrito de outra forma ("Finalidades Permitidas"). As partes concordam que o Contrato, incluindo este APD, juntamente com a configuração do Cliente ou o uso de quaisquer configurações, recursos ou opções no Serviço (que o Cliente pode modificar de tempos em tempos) constituem as instruções completas e finais do Cliente ao Mailchimp em relação ao processamento de Dados do Cliente (inclusive para os fins das CCPs), e o processamento fora do escopo dessas instruções (se houver) exigirá acordo prévio por escrito entre as partes.

2.3 Dados proibidos. O Cliente não fornecerá (nem fará com que sejam fornecidos) quaisquer Dados Confidenciais ao Mailchimp para processamento sob o Contrato, e o Mailchimp não terá qualquer responsabilidade por Dados Confidenciais, seja em conexão com um Incidente de Segurança ou de outra forma. Para evitar dúvidas, este APD não se aplicará a Dados Confidenciais.

2.4 Conformidade do Cliente. O Cliente declara e garante que (i) cumpriu e continuará a cumprir todas as leis aplicáveis, incluindo as Leis de Proteção de Dados, no que diz respeito ao processamento dos Dados do Cliente e quaisquer instruções de processamento emitidas para a Mailchimp; e (ii) forneceu e continuará a fornecer todos os avisos e obteve e continuará a obter todos os consentimentos e direitos necessários em conformidade com as Leis de Proteção de Dados para que a Mailchimp processe os Dados do Cliente para os fins descritos no Contrato. O Cliente terá responsabilidade exclusiva pela exatidão, qualidade e legalidade dos Dados do Cliente e pelos meios pelos quais adquiriu os Dados do Cliente. Sem prejuízo da generalidade do exposto, o Cliente concorda que será responsável pelo cumprimento de todas as leis (incluindo as Leis de Proteção de Dados) aplicáveis a quaisquer Campanhas (conforme definido no Contrato) ou outros conteúdos criados, enviados ou gerenciados por meio do Serviço, incluindo aquelas relacionadas à obtenção de consentimentos (quando necessário) para o envio de e-mails, ao conteúdo dos e-mails e às suas práticas de envio de e-mails.

2.5 Legalidade das instruções do Cliente. O Cliente garantirá que o processamento dos Dados do Cliente pelo Mailchimp, de acordo com as instruções do Cliente, não fará com que o Mailchimp viole qualquer lei, regulamento ou regra aplicável, incluindo, sem limitação, as Leis de Proteção de Dados. O Mailchimp avisará prontamente o Cliente por escrito, a menos que seja proibido de fazê-lo sob as Leis Europeias de Proteção de Dados, se tomar conhecimento ou acreditar que qualquer instrução de processamento de dados do Cliente viola as Leis Europeias de Proteção de Dados. Quando o Cliente atua como um processador em nome de um controlador terceiro (ou outro intermediário para o controlador final), o Cliente garante que suas instruções de processamento, conforme estabelecidas no Contrato e neste APD, incluindo suas autorizações ao Mailchimp para a nomeação de Subprocessadores de acordo com este APD, foram autorizadas pelo controlador relevante. O Cliente servirá como o único ponto de contato para o Mailchimp, e o Mailchimp não precisará interagir diretamente com (incluindo para fornecer notificações ou buscar autorização de) qualquer controlador terceiro, exceto através da prestação regular do Serviço na medida exigida pelo Contrato. O Cliente será responsável por encaminhar quaisquer notificações recebidas segundo este APD ao controlador relevante, quando apropriado.

3. Subprocessamento

3.1 Subprocessadores Autorizados. O Cliente autoriza o Mailchimp ou qualquer membro do Grupo Mailchimp em nome/em benefício do Mailchimp a contratar Subprocessadores para processar Dados do Cliente, de acordo com a Seção 3.2, para auxiliar o Mailchimp no cumprimento de suas obrigações relacionadas à prestação do Serviço conforme o Contrato. Os Subprocessadores atualmente contratados pelo Mailchimp e autorizados pelo Cliente estão disponíveis aqui. O Mailchimp informará o Cliente, com pelo menos 10 dias de antecedência, se decidir adicionar ou remover Subprocessadores caso o Cliente opte por receber tais avisos por e-mail clicando aqui.

3.2 Obrigações do subprocessador. O Mailchimp deverá: (i) celebrar um acordo por escrito com cada Subprocessador contendo obrigações de proteção de dados que proporcionem, no mínimo, o mesmo nível de proteção para os Dados do Cliente que aquelas previstas neste APD, na medida aplicável à natureza do serviço prestado por tal Subprocessador; e (ii) permanecer responsável pelo cumprimento das obrigações deste APD por parte de tal Subprocessador e por quaisquer atos ou omissões de tal Subprocessador que levem o Mailchimp a violar qualquer uma de suas obrigações nos termos deste APD. O Cliente reconhece e concorda que, quando aplicável, o Mailchimp cumpre suas obrigações nos termos da Cláusula 9 das Cláusulas Controlador-Processador de 2021 e das Cláusulas Processador-Processador de 2021 (conforme aplicável) ao cumprir esta Seção 3, e que o Mailchimp pode ser impedido de divulgar acordos com Subprocessadores ao Cliente devido a restrições de confidencialidade, mas o Mailchimp deverá, mediante solicitação, envidar esforços razoáveis para fornecer ao Cliente todas as informações relevantes que razoavelmente puder em relação aos acordos com Subprocessadores.

4. Segurança

4.1 Medidas de segurança. O Mailchimp implementará e manterá medidas de segurança técnicas e organizacionais adequadas, criadas para preservar a segurança e a confidencialidade dos Dados do Cliente e proteger contra Incidentes de Segurança de acordo com os padrões de segurança do Mailchimp descritos no Anexo B ("Medidas de Segurança") deste APD.

4.2 Confidencialidade do processamento. O Mailchimp assegurará que as pessoas autorizadas pelo Mailchimp a processar os Dados do Cliente (inclusive sua equipe e seus agentes e subcontratados) estejam sob a devida obrigação (contratual ou legal) de confidencialidade.

4.3 Atualizações das Medidas de Segurança. O Cliente é responsável por analisar as informações disponibilizadas pelo Mailchimp relacionadas à segurança de dados e por determinar independentemente se o Serviço atende aos requisitos e às obrigações legais do Cliente nos termos das Leis de Proteção de Dados. O Cliente está ciente de que as Medidas de Segurança estão sujeitas ao progresso e desenvolvimento técnico e que o Mailchimp poderá atualizar ou modificar as Medidas de Segurança periodicamente, desde que as atualizações e modificações não resultem em degradação da segurança geral do Serviço fornecido ao Cliente.

4.4 Resposta a incidentes de segurança. Ao tomar conhecimento de um Incidente de Segurança, o Mailchimp deverá: (i) notificar o Cliente sem demora injustificada; (ii) fornecer ao Cliente, sujeito às políticas de privacidade e segurança de dados do Mailchimp, bem como aos requisitos de confidencialidade e legais, as informações que possam ser razoavelmente necessárias para auxiliar o Cliente no cumprimento de suas responsabilidades de notificação e comunicação; e (iii) adotar medidas adequadas para identificar a causa do Incidente de Segurança e minimizar e proteger os Dados do Cliente, na medida em que a remediação esteja dentro do controle razoável do Mailchimp. A notificação ou resposta do Mailchimp a um Incidente de Segurança nos termos deste APD não será interpretada como um reconhecimento de culpa ou responsabilidade por parte do Mailchimp em relação ao Incidente de Segurança. O Mailchimp não avaliará o conteúdo dos Dados do Cliente para identificar quaisquer obrigações específicas de comunicação ou outras obrigações legais que sejam aplicáveis ao Cliente. Todas e quaisquer obrigações regulatórias e/ou de comunicação aos titulares dos dados relacionadas ao Incidente de Segurança são de responsabilidade do Cliente. Toda e qualquer notificação de qualquer Incidente de Segurança enviada pelo Mailchimp será entregue ao e-mail ou endereço de notificação fornecido no Contrato. O Cliente é exclusivamente responsável por garantir que as informações de contato para a notificação (por exemplo, telefone e e-mail) sejam válidas e precisas.

4.5 Responsabilidades do Cliente. Não obstante o disposto acima, o Cliente concorda que, salvo conforme disposto neste APD, o Cliente é responsável pelo uso seguro que faz do Serviço, inclusive pela proteção de suas credenciais de autenticação de conta, proteção da segurança dos Dados do Cliente quando em trânsito de e para o Serviço, e pelas devidas medidas de criptografia segura ou back-up seguro dos Dados do Cliente carregados no Serviço.

5. Relatórios e auditorias de segurança

5.1 Direitos de auditoria. O Mailchimp disponibilizará ao Cliente todas as informações necessárias para demonstrar conformidade com este APD e permitirá e contribuirá para auditorias, inclusive inspeções pelo Cliente para avaliar a conformidade com este APD. O cliente reconhece e concorda que exercerá seus direitos de auditoria nos termos deste APD (inclusive desta Seção 5.1 e, quando aplicável, das SCCs) e todos os direitos de auditoria concedidos pelas Leis de Proteção de Dados, instruindo o Mailchimp a cumprir as medidas de auditoria descritas nas Seções 5.2 e 5.3 abaixo.

5.2 Relatórios de segurança. O Cliente reconhece que o Mailchimp é auditado regularmente segundo os principais padrões do setor por auditores independentes e auditores internos. Mediante solicitação aqui, o Mailchimp fornecerá (em caráter confidencial) uma cópia resumida de seu(s) relatório(s) de auditoria mais recente(s) ( “Relatórios” ) ao Cliente, para que o Cliente possa validar a conformidade do Mailchimp com os padrões de auditoria em relação aos quais foi avaliado e com este APD.

5.3 Diligência devida de segurança. Além do Relatório, o Mailchimp atenderá a todas as solicitações de informações feitas pelo Cliente para confirmar a conformidade do Mailchimp com este APD disponibilizando informações adicionais sobre seu programa de segurança da informação mediante solicitação por escrito do Cliente, desde que o Cliente não exerça este direito mais de uma vez por ano civil. Os clientes podem fazer suas solicitações por aqui.

6. Transferências internacionais

6.1 Localização dos data centers. Observada a Seção 6.2, o Cliente reconhece que o Mailchimp poderá transferir e processar Dados do Cliente para e nos Estados Unidos e em qualquer outro lugar do mundo onde o Mailchimp ou suas Afiliadas ou seus Subprocessadores mantenham operações de processamento de dados. O Mailchimp assegurará sempre que essas transferências sejam feitas em conformidade com os requisitos das Leis de Proteção de Dados e deste APD.

6.2 Dados australianos. Se o Mailchimp for o destinatário dos Dados do Cliente protegidos pela Lei de Privacidade da Austrália, as partes concordam e estão cientes de que o Mailchimp poderá transferir os Dados do Cliente para fora da Austrália, conforme permitido pelos termos acordados pelas partes e sujeito ao cumprimento pelo Mailchimp deste APD e da Lei de Privacidade da Austrália.

6.3 Transferências de Dados Europeus. Se o Mailchimp for o destinatário dos Dados do Cliente protegidos pelas Leis Europeias de Proteção de Dados em um país fora do EEE que não seja reconhecido como fornecendo um nível suficiente de proteção de dados pessoais (conforme descrito nas Leis Europeias de Proteção de Dados aplicáveis), as partes concordam em cumprir e processar os Dados do Cliente em conformidade com o seguinte:

  • (a) Data Privacy Framework. O Mailchimp utilizará o Data Privacy Framework (DPF) para receber legalmente os Dados do Cliente nos Estados Unidos e garantir que forneça pelo menos o mesmo nível de proteção a tais Dados do Cliente conforme exigido pelos Princípios do Data Privacy Framework (DPF) e informará o Cliente se for incapaz de cumprir com esta solicitação.
  • (b) Cláusulas contratuais padrão. Se as Leis Europeias de Proteção de Dados exigirem que salvaguardas apropriadas sejam implementadas (por exemplo, se o Data Privacy Framework não cobrir a transferência para o Mailchimp e/ou se o Data Privacy Framework for invalidado), as SCCs serão incorporadas e formarão parte integrante deste APD.
  • (c) Transferências de dados no Reino Unido. Com relação às transferências às quais as Leis de Proteção de Dados do Reino Unido se aplicam, as SCCs devem, quando pertinente de acordo com o item acima, ser aplicadas e consideradas alteradas conforme especificado no Adendo do Reino Unido. O Adendo do Reino Unido será considerado assinado pelas partes e incorporado e fará parte integrante deste APD. Além disso: as Tabelas de 1 a 3 na Parte 1 do Adendo do Reino Unido serão consideradas preenchidas com as informações estabelecidas nos Anexos I e II das SCCs relevantes; e a Tabela 4 na Parte 1 do Adendo do Reino Unido será considerada preenchida se "nenhuma das partes" for selecionada.
  • (d) Transferências de dados na Suíça. Com relação às transferências às quais o APD suíço se aplica, as SCCs devem, quando pertinente de acordo com o item (b) acima, ser aplicadas com as seguintes modificações: (i) referências ao "Regulamento (UE) 2016/679" devem ser interpretadas como referências ao APD suíço; (ii) as referências a Artigos do "Regulamento (UE) 2016/679" específico devem ser substituídas pelo artigo ou pela seção equivalente do APD suíço; (iii) referências à legislação da "UE", da "União" e do "Estado-Membro" serão substituídas pela lei da "Suíça"; (iv) a Cláusula 13(a) e a Parte C do Anexo Il serão excluídas; (v) as referências à "autoridade supervisora competente" e aos "tribunais competentes" serão substituídas pelo "Comissário Federal Suíço de Proteção de Dados e Informações" e pelos "tribunais relevantes na Suíça"; (vi) a Cláusula 17 será substituída para declarar que "as Cláusulas são regidas pelas leis da Suíça"; e (vii) a Cláusula 18 será substituída para declarar que "qualquer disputa decorrente destas Cláusulas será resolvida pelos tribunais aplicáveis da Suíça. As partes concordam em se submeter à jurisdição de tais tribunais\".

6.4 Conformidade com as SCCs. As partes concordam que, se o Mailchimp não puder garantir a conformidade com as Cláusulas Contratuais Padrão da União Europeia (SCCs), ele informará imediatamente o Cliente sobre sua impossibilidade de cumpri-las. Se o Cliente pretender suspender a transferência de Dados europeus e/ou rescindir as partes afetadas do Serviço, ele primeiramente informará ao Mailchimp e concederá ao Mailchimp um prazo razoável para sanar a não conformidade, durante o qual o Mailchimp e o Cliente cooperarão para definir quais proteções ou medidas adicionais, se houver, poderão ser necessárias. O Cliente só terá o direito de suspender a transferência de dados e/ou rescindir as partes afetadas do Serviço por não conformidade com as SCCs se o Mailchimp não tiver ou não puder sanar a não conformidade dentro de um prazo razoável.

6.7 Mecanismo de transferência alternativo. Além disso, se o Mailchimp adotar um mecanismo alternativo de transferência de dados legal para a transferência de Dados europeus que não esteja descrito neste APD ("Mecanismo de transferência alternativo"), o Mecanismo de transferência alternativo será aplicado em vez dos mecanismos de transferência descritos neste APD (mas somente na medida em que tal Mecanismo de transferência alternativo esteja em conformidade com as Leis de proteção de dados europeus aplicáveis e se estenda aos países para os quais os Dados europeus sejam transferidos). Além disso, se e na medida em que um tribunal competente ou a autoridade supervisora determinar (por qualquer motivo) que as medidas descritas neste APD não possam ser invocadas para transferir legalmente os Dados europeus (dentro do significado das Leis de proteção de dados europeias aplicáveis), o Mailchimp poderá implementar medidas ou proteções adicionais que venham a ser necessárias para permitir a transferência legal de Dados europeus.

7. Devolução ou exclusão de dados

Exclusão ou devolução após o término. Após o término ou a expiração do Contrato, o Mailchimp deverá tomar medidas razoáveis para fornecer ferramentas ao Cliente (à escolha do Cliente) para excluir ou devolver ao Cliente todos os Dados do Cliente (incluindo cópias) em sua posse ou controle, exceto que este requisito não se aplicará na medida em que o Mailchimp seja obrigado pela lei aplicável ou por regras do setor a reter parte ou todos os Dados do Cliente, ou os Dados do Cliente que tenha arquivado em sistemas de backup, os quais o Mailchimp deverá isolar de forma segura, proteger de qualquer processamento adicional e eventualmente excluir de acordo com as políticas de exclusão do Mailchimp, exceto na medida exigida pela lei aplicável. As partes concordam que a certificação de exclusão dos Dados do Cliente descrita na Cláusula 8.5 e 16(d) das Cláusulas Controlador-Processador de 2021 e das Cláusulas Processador-Processador de 2021 (conforme aplicável) será fornecida pelo Mailchimp ao Cliente apenas mediante solicitação por escrito do Cliente.

8. Direitos e cooperação do titular dos dados

8.1 Solicitações do titular dos dados. Como parte do Serviço, o Mailchimp fornece ao Cliente vários recursos de autoatendimento que o Cliente poderá usar para recuperar, corrigir, excluir ou restringir o uso dos Dados do Cliente, que o Cliente poderá usar para auxiliá-lo em relação às suas obrigações (ou de seu controlador terceiro) de acordo com as Leis de Proteção de Dados em relação a responder a solicitações dos titulares de dados por meio da conta do Cliente sem nenhum custo adicional. Além disso, considerada a natureza do processamento, o Mailchimp dará a assistência adicional necessária ao Cliente na medida do possível para que o Cliente (ou seu controlador terceiro) cumpra suas obrigações de proteção de dados em relação aos direitos do titular dos dados nos termos das Leis de proteção de dados. Caso essa solicitação seja feita diretamente ao Mailchimp, o Mailchimp não responderá a essa comunicação diretamente, salvo conforme adequado (por exemplo, para direcionar o titular dos dados a entrar em contato com o Cliente) ou determinado por lei, sem a autorização prévia do Cliente. Se o Mailchimp for obrigado a atender a essa solicitação, o Mailchimp, quando o Cliente for identificado ou identificável a partir da solicitação, notificará imediatamente o Cliente e fornecerá ao Cliente uma cópia da solicitação, a menos que o Mailchimp seja legalmente proibido de fazê-lo. Para evitar qualquer dúvida, nada no Acordo (incluindo este DPA) deverá restringir ou impedir o Mailchimp de responder a qualquer solicitação de titular de dados ou autoridade de proteção de dados em relação aos dados pessoais para os quais o Mailchimp é um controlador.

8.2 Avaliação do impacto da proteção de dados. Na medida determinada pelas Leis de Proteção de Dados aplicáveis, o Mailchimp fornecerá (consideradas a natureza do processamento e as informações disponíveis ao Mailchimp) todas as informações solicitadas sobre o Serviço para permitir que o Cliente realize avaliações de impacto de proteção de dados ou consultas prévias com as autoridades de proteção de dados, conforme determinado pelas Leis de Proteção de Dados. O Mailchimp cumprirá o disposto acima: (i) estando em conformidade com a Seção 5 (Relatórios e auditorias de segurança); (ii) fornecendo as informações contidas no Contrato, inclusive este DPA; e (iii) se as subseções anteriores (i) e (ii) forem insuficientes para que o Cliente cumpra tais obrigações, mediante solicitação, fornecendo a assistência adicional necessária (às custas do Cliente).

9. Termos Específicos da Jurisdição

Na medida em que o Mailchimp processe Dados do Cliente originários e protegidos pelas Leis de Proteção de Dados em uma das jurisdições listadas no Anexo C, então os termos especificados no Anexo C com respeito à(s) jurisdição(ões) aplicável(is) ("Termos Específicos de Jurisdição") se aplicam adicionalmente aos termos deste APD. Em caso de qualquer conflito ou ambiguidade entre os Termos Específicos de Jurisdição e quaisquer outros termos deste APD, os Termos Específicos de Jurisdição aplicáveis prevalecerão, mas apenas na medida da aplicabilidade dos Termos Específicos de Jurisdição ao Mailchimp.

10. Limitação de responsabilidade

10.1 A responsabilidade de cada parte e de todas as suas Afiliadas, consideradas em conjunto, decorrente de ou relacionada a este APD (incluindo as SCCs), estará sujeita às exclusões e limitações de responsabilidade estabelecidas no Contrato.

10.2 Quaisquer reivindicações feitas contra o Mailchimp ou suas Afiliadas sob ou em conexão com este APD (incluindo, quando aplicável, as SCCs) deverão ser apresentadas exclusivamente pela entidade do Cliente que é parte do Contrato.

10.3 Em nenhuma circunstância qualquer parte limitará sua responsabilidade em relação aos direitos de proteção de dados de qualquer indivíduo sob este APD ou de outra forma.

11. Relação com o Acordo

11.1 Este DPA permanecerá em vigor enquanto o Mailchimp realizar operações de processamento de Dados do Cliente em nome do Cliente ou até a rescisão do Contrato (e todos os Dados do Cliente tiverem sido devolvidos ou excluídos de acordo com a Seção 7.1 acima).

11.2 As partes concordam que este DPA substituirá qualquer acordo de processamento de dados existente ou documento similar que as partes possam ter firmado anteriormente em conexão com o Serviço.

11.3 Em caso de conflito ou inconsistência entre este DPA e os Termos de Uso Padrão, prevalecerão as disposições dos seguintes documentos (na seguinte ordem de precedência): (i) SCCs; (ii) este DPA; e (iii) os Termos de Uso Padrão.

11.4 Exceto pelas alterações feitas por este Adendo de Processamento de Dados (APD), o Contrato permanece inalterado e em pleno vigor e efeito.

11.5 Apenas as partes deste APD, seus sucessores e cessionários autorizados poderão fazer cumprir seus termos.

11.6 Este APD será regido e interpretado de acordo com as disposições da lei e jurisdição aplicáveis no Contrato, a menos que exigido de outra forma pelas Leis de Proteção de Dados aplicáveis.

Anexo A – Detalhes sobre o processamento de dados

(a) Categorias de titulares de dados :

As categorias de titulares de dados cujos dados pessoais são processados incluem (i) Membros (ou seja, usuários individuais com acesso a uma conta do Mailchimp) e (ii) Contatos (ou seja, assinantes do Membro e outras pessoas sobre as quais um Membro nos forneceu informações ou com as quais um Membro interagiu de alguma outra forma por meio do Serviço).

(b) Categorias de dados pessoais :

O Cliente poderá carregar, enviar ou fornecer determinados dados pessoais ao Serviço, cuja extensão seja normalmente determinada e controlada pelo Cliente a seu critério exclusivo, podendo incluir os seguintes tipos de dados pessoais:

  • Membros: dados de identificação e contato (nome, endereço, cargo, dados de contato, nome de usuário); informações financeiras (dados do cartão de crédito, dados da conta, informações de pagamento); dados do emprego (empregador, cargo, localização geográfica, área de responsabilidade).
  • Contatos: dados de identificação e contato (nome, data de nascimento, gênero, gerais, ocupação ou outras informações demográficas, endereço, cargo, dados de contato, inclusive endereço de e-mail); interesses ou preferências pessoais (inclusive histórico de compras, preferências de marketing e informações de perfil de redes sociais disponíveis publicamente); informações de TI (endereços IP, dados de utilização, dados de cookies, dados de navegação on-line, dados de localização, dados do navegador); informações financeiras (informações do cartão de crédito, da conta e de pagamentos).

(c) Dados confidenciais processados (se aplicável) :

O Mailchimp não deseja coletar, nem coleta nem processa, intencionalmente, dados confidenciais em relação com o fornecimento do Serviço.

(d) Frequência do processamento :

Contínuo e conforme determinado pelo Cliente e pelo Serviço pertinente.

(e) Objeto e natureza do processamento :

O Mailchimp fornece um serviço de e-mail, uma plataforma de automação e marketing, e outros serviços relacionados, conforme descrito mais especificamente no Contrato. O objeto do processamento de dados nos termos deste APD são os Dados do Cliente. Os Dados do Cliente serão processados de acordo com o Contrato (incluindo este APD) e poderão estar sujeitos às seguintes atividades de processamento:

  • Armazenamento e outros processamentos necessários para fornecer, manter e melhorar o Serviço fornecido ao Cliente de acordo com o Contrato; e/ou
  • Divulgações de acordo com o Contrato e/ou conforme determinado por lei.

(f) Finalidade do processamento :

O Mailchimp processará os Dados do Cliente somente para os Objetivos Permitidos, que são: (i) processamento conforme necessário para o fornecimento do Serviço de acordo com o Contrato; (ii) processamento iniciado pelo Cliente no seu uso do Serviço; e (iii) processamento para cumprimento de outras instruções fornecidas pelo Cliente (por exemplo, por e-mail ou tíquetes de suporte) consistentes com os termos do Contrato.

(g) Duração do processamento e período pelo qual os dados pessoais serão retidos:

O Mailchimp processará os Dados do Cliente conforme descrito na Seção 7 (Devolução ou Exclusão de Dados) deste APD.

Anexo B – Medidas de segurança

As Medidas de Segurança aplicáveis ao Serviço estão descritas aqui (conforme atualizações periódicas de acordo com a Seção 4.3 deste APD). Para mais informações sobre nossas medidas técnicas e organizacionais para proteger os Dados do Cliente de um Incidente de Segurança, acesse a Central de Segurança da Intuit.

Anexo C – Termos Específicos da Jurisdição

Europa:

  1. Objeção a subprocessadores. O Cliente poderá se opor por escrito à nomeação pelo Mailchimp de um novo Subprocessador no prazo de 5 (cinco) dias corridos a contar da data do recebimento da notificação de acordo com a Seção 3.1 do DPA, desde que a objeção se baseie em motivos relacionados à proteção de dados. Nesse caso, as partes deverão discutir tais assuntos de boa-fé com o objetivo de alcançar uma resolução comercialmente viável. No caso de impossibilidade de resolução, o Mailchimp, a seu critério exclusivo, não nomeará esse subprocessador nem permitirá que o Cliente suspenda ou cancele o Serviço afetado de acordo com as disposições sobre rescisão do Contrato, sem responsabilidade para nenhuma das partes (mas sem prejuízo das taxas incorridas pelo Cliente antes da suspensão ou do cancelamento).

  2. Solicitações de acesso a dados por parte do governo. Em termos de prática geral, o Mailchimp não fornece voluntariamente às agências ou autoridades governamentais (inclusive autoridades policiais) informações sobre as contas do Mailchimp (inclusive Dados do Cliente) nem acesso a elas. Se o Mailchimp receber uma determinação (seja por intimação, determinação judicial, mandado de busca, ou outro processo legal válido) de agência ou autoridade governamental (inclusive autoridades policiais) para acesso a alguma conta do Mailchimp (inclusive Dados do Cliente) ou informações sobre ela, pertencente a um Cliente cujas informações de contato principais indiquem que o Cliente está localizado na Europa, o Mailchimp: (i) analisará a legalidade da determinação; (ii) informará a agência governamental que o Mailchimp é um processador dos dados; (iii) tentará redirecionar a agência para solicitar os dados diretamente ao Cliente; (iv) notificará o Cliente por e-mail enviado para o endereço de e-mail de contato principal do Cliente sobre a solicitação para permitir que o Cliente busque uma medida cautelar ou outro recurso adequado; e (v) fornecerá a quantidade mínima de informações permitidas ao responder à agência ou autoridade com base na interpretação da solicitação. Como parte desse esforço, o Mailchimp poderá fornecer as informações de contato principal e de cobrança do Cliente para a agência. O Mailchimp não será obrigado a cumprir este parágrafo 2.º se estiver legalmente proibido de fazê-lo, ou se acreditar, de boa-fé, que haja necessidade de acesso urgente para evitar risco iminente de danos graves a qualquer pessoa, segurança pública ou propriedade, site ou serviço do Mailchimp, sendo que se o Mailchimp for legalmente proibido de notificar o Cliente sobre solicitações, ele envidará seus melhores esforços para obter uma dispensa da proibição.

Califórnia:

Os seguintes termos se aplicam onde o Mailchimp processa dados pessoais sujeitos às leis de proteção de dados dos Estados Unidos:

  1. Salvo conforme descrito de outra forma, as definições de: “controlador” incluem “Negócio”; “processador” inclui “Provedor de serviços”; “titular dos dados” inclui “Consumidor”; “dados pessoais” incluem “Informações pessoais”; em cada caso, conforme definido na CCPA. Os termos, "vender"; "compartilhar"; "Finalidade de Negócios" e "Finalidade Comercial" devem ter seus significados conforme definidos na CCPA.
  2. Se e na medida em que o Mailchimp atua como processador ou controlador ao processar os Dados do Cliente conforme estabelecido na Seção 2 acima, o Mailchimp assumirá o mesmo papel de processamento, conforme aplicável, de acordo com todas as Leis de Proteção de Dados dos Estados Unidos que não sejam a CCPA.
  3. Com relação aos dados pessoais sujeitos à CCPA, as partes concordam e reconhecem que: (i) o Mailchimp pode atuar como "Fornecedor de Serviço" de acordo com a CCPA em situações onde o Mailchimp atua como Controlador em cumprimento de outras Leis de Proteção de Dados aplicáveis; e (ii) o Mailchimp terá o direito de processar os Dados do Cliente para todos e quaisquer fins permitidos para Fornecedores de Serviço de acordo com a CCPA. O Mailchimp deve cumprir todos os requisitos estabelecidos na CCPA e na Seção 7051 das Regulamentações da CCPA e/ou quaisquer Regulamentações sucessoras, e tais disposições são incorporadas aqui por referência.
  4. As obrigações do Mailchimp em relação às solicitações de titulares de dados, conforme descrito na Seção 8 (Direitos e cooperação de titulares de dados) deste APD, se estendem às solicitações de direitos sob as Leis de Proteção de Dados dos EUA. O Mailchimp deve fornecer o mesmo nível de proteção aos Dados do Cliente conforme exigido pela CCPA e irá: (i) auxiliar o Cliente a responder a qualquer solicitação de um consumidor (conforme definido pelas Leis de Proteção de Dados dos EUA) para exercer direitos sob as Leis de Proteção de Dados dos EUA; e (ii) notificar imediatamente o Cliente se não for capaz de atender aos requisitos das Leis de Proteção de Dados dos EUA. Nos casos em que o Mailchimp é um Provedor de Serviços de acordo com a CCPA, mas de outra forma é um controlador de dados de acordo com as Leis de Proteção de Dados, e um consumidor faz uma solicitação para exercer direitos conforme a CCPA diretamente ao Mailchimp, o Cliente instrui por este instrumento ao Mailchimp a responder diretamente ao consumidor qualquer solicitação desse tipo. O Cliente é responsável por garantir que tenha cumprido, e continuará a cumprir, os requisitos das Leis de Proteção de Dados dos EUA no uso dos Serviços e no seu próprio processamento de dados pessoais.
  5. As partes reconhecem que os Dados do Cliente revelados pelo Cliente à Mailchimp são fornecidos exclusivamente para os fins limitados e específicos estabelecidos como Finalidades Permitidas. As partes concordam que todos os Dados do Cliente são revelados à Mailchimp pelo Cliente para as Finalidades Permitidas e que o uso ou a divulgação desses dados por parte do Cliente à Mailchimp é necessário para a execução dessas Finalidades Permitidas.
  6. Não obstante qualquer restrição de uso prevista em outro lugar neste DPA, o Mailchimp processará os Dados do Cliente para prover o Serviço, para os Objetivos Permitidos e/ou de acordo com as instruções legais documentadas do Cliente, ou conforme permitido ou requerido pela legislação aplicável.
  7. Não obstante qualquer restrição de uso contida em outro lugar neste Anexo C, o Mailchimp pode desidentificar ou agregar os Dados do Cliente como parte da execução do Serviço especificado neste Acordo de Processamento de Dados (DPA) e no Contrato.
  8. Quando os Subprocessadores lidam com os Dados dos Clientes, a Mailchimp adota medidas para assegurar que esses Subprocessadores sejam Prestadores de Serviços conforme definição do CCPA, com os quais a Mailchimp celebrou um contrato por escrito que contenha termos substancialmente semelhantes a esta seção do Anexo C ou que de outra forma estejam isentos pela CCPA. O Mailchimp realiza a devida diligência adequada em seus Subprocessadores.
  9. Sem limitar os direitos de uso de dados estabelecidos neste documento, na qualidade de Prestador de Serviços, a Mailchimp não irá: (a.) vender ou compartilhar quaisquer Dados do Cliente; (b.) reter, usar ou divulgar quaisquer Dados do Cliente (i) para qualquer finalidade diferente das Finalidades Permitidas, incluindo para qualquer Finalidade Comercial, ou (ii) fora da relação comercial direta entre as partes, exceto conforme necessário para executar as Finalidades Permitidas ou conforme de outra forma permitida pelas Leis de Proteção de Dados dos EUA; ou (c.) combinar Dados do Cliente recebidos de ou em nome do Cliente com dados pessoais recebidos de ou em nome de qualquer terceiro ou coletados da própria interação do Mailchimp com indivíduos ou titulares de dados, exceto para executar uma Finalidade Permitida de acordo com a CCPA (incluindo quaisquer regulamentos de implementação dela), o Contrato e este APD.
  10. O Cliente pode tomar as medidas razoáveis e apropriadas que sejam necessárias para (a) garantir que os Dados do Cliente coletados sejam utilizados de maneira consistente com as obrigações do negócio de acordo com a Lei de Privacidade do Consumidor da Califórnia (CCPA); (b) interromper e remediar qualquer uso não autorizado dos Dados do Cliente; e (c) garantir que qualquer dado pessoal relevante seja utilizado de maneira consistente com a CCPA.

Canadá:

  1. O Mailchimp toma medidas para assegurar que os subprocessadores do Mailchimp, conforme descrito na Seção 3 (Subprocessamento) do DPA, sejam terceiros nos termos da PIPEDA, com quem o Mailchimp tenha celebrado um contrato por escrito que inclua termos substancialmente semelhantes a este DPA. O Mailchimp realiza a devida diligência adequada em seus subprocessadores.
  2. O Mailchimp implementará medidas técnicas e organizacionais conforme estabelecido na Seção 4 (Segurança) do DPA.
  3. O Mailchimp pode transferir os Dados do Cliente para fora da jurisdição de onde se originam os Dados do Cliente (i) em conformidade com as Leis de Proteção de Dados Aplicáveis e (ii) desde que o Mailchimp tome todas as medidas necessárias para garantir que os Dados do Cliente continuem sendo tratados de acordo com as Leis de Proteção de Dados Aplicáveis após qualquer transferência. O Cliente deverá realizar todas as avaliações necessárias para viabilizar tal transferência.

Em vigor a partir de 26 de setembro de 2024