Adendo de Processamento de Dados da Hootsuite
Última modificação: 22 de maio de 2025
Este Adendo de Processamento de Dados, incluindo seus Apêndices ("DPA"), faz parte dos Termos de Serviço Enterprise ou de outro acordo escrito ou eletrônico que incorpore este DPA por referência (o "Acordo") entre a Hootsuite e a entidade identificada como Cliente no Acordo ("Cliente"), com a finalidade de fornecer determinados serviços (os "Serviços").
No curso da prestação dos Serviços ao Cliente conforme o Contrato, a Hootsuite poderá processar dados pessoais do cliente (conforme definido abaixo) em nome do Cliente. Este DPA estabelece os termos aplicáveis quando os Dados Pessoais do Cliente, sujeitos às Leis de Proteção de Dados Aplicáveis, forem Processados pela Hootsuite em nome do Cliente nos termos do Contrato.
O Cliente firma este DPA em seu próprio nome e, na medida exigida pelas Leis de Proteção de Dados Aplicáveis, em nome e por conta de suas Afiliadas que estão autorizadas a utilizar os Serviços conforme o Contrato. Salvo disposição em contrário neste documento, os termos em maiúsculas neste DPA terão o mesmo significado que lhes é atribuído no Contrato.
1. PROCESSAMENTO DE DADOS PESSOAIS
1.1 Escopo. Este DPA aplica-se ao Processamento de Dados Pessoais do Cliente que esteja sujeito às Leis de Proteção de Dados Aplicáveis pela Hootsuite, em sua qualidade de processadora ou prestadora de serviços, com a finalidade de fornecer os Serviços.
1.2 Funções. As partes reconhecem e concordam que, no que diz respeito ao Processamento de Dados Pessoais do Cliente, o Cliente é o controlador ou empresa, e a Hootsuite é a processadora ou prestadora de serviços do Cliente nos termos das Leis de Proteção de Dados Aplicáveis.
1.3 Detalhes do Processamento. O objeto, a duração, a natureza e a finalidade do Processamento, bem como os tipos de dados pessoais ou informações pessoais e as categorias de titulares de dados ou consumidores, estão descritos no Apêndice 1 deste DPA.
1.4 Responsabilidades do Cliente. O Cliente deverá, ao utilizar os Serviços: (a) cumprir suas obrigações como controlador ou empresa e processar os Dados Pessoais do Cliente de acordo com as Leis Aplicáveis de Proteção de Dados; (b) garantir que suas instruções à Hootsuite estejam em conformidade com as Leis Aplicáveis de Proteção de Dados; (c) ser o único responsável pela exatidão, qualidade e legalidade dos Dados Pessoais do Cliente; e (d) garantir que o Cliente tem o direito de transferir os Dados Pessoais do Cliente à Hootsuite de modo que a Hootsuite e seus Subcontratados possam processar legalmente os Dados Pessoais do Cliente conforme as Leis Aplicáveis de Proteção de Dados.
1.5 Instruções do Cliente. O Cliente instrui a Hootsuite a coletar, analisar, exibir, armazenar e processar de outra forma os Dados Pessoais do Cliente com a finalidade de fornecer e melhorar os Serviços ao Cliente de acordo com o Contrato, este DPA e, quando aplicável, a política de privacidade publicada em https://hootsuite.com/legal/privacy. A Hootsuite cumprirá outras instruções razoáveis apresentadas pelo Cliente (por exemplo, via e-mail ou tíquetes de suporte) ou iniciadas pelos usuários autorizados do Cliente dos Serviços, desde que tais instruções estejam de acordo com os termos do Contrato. A Hootsuite informará o Cliente se, em sua opinião, uma instrução infringir as leis de proteção de dados aplicáveis.
1.6 Responsabilidades da Hootsuite. A Hootsuite cumprirá suas obrigações previstas nas Leis de Proteção de Dados Aplicáveis em sua função de processadora ou prestadora de serviços e notificará o Cliente se não puder mais cumprir tais obrigações. A Hootsuite processará os Dados Pessoais do Cliente apenas de acordo com as instruções documentadas do Cliente, conforme estabelecido na Seção 1.5, e concorda que não irá: (a) “vender” ou “compartilhar” Dados Pessoais do Cliente nos termos definidos pelas Leis de Proteção de Dados Aplicáveis (incluindo a CCPA); (b) reter, usar ou divulgar os Dados Pessoais do Cliente para qualquer finalidade diferente das finalidades comerciais especificadas no Contrato e neste DPA; (c) usar os Dados Pessoais do Cliente recebidos no âmbito do Contrato fora da relação entre o Cliente e a Hootsuite; ou (d) combinar os Dados Pessoais do Cliente com informações que a Hootsuite tenha recebido de outras fontes; em todos os casos, salvo conforme permitido pelo Contrato e pelas Leis de Proteção de Dados Aplicáveis.
2. SUBCONTRATADOS
2.1 Nomeação de Subcontratados. O Cliente concorda e concede uma autorização geral por escrito para que a Hootsuite e suas Afiliadas contratem Subcontratados, desde que: (a) a Hootsuite e cada Subcontratado celebrem um contrato por escrito contendo obrigações de proteção de dados equivalentes às descritas neste DPA (incluindo garantias suficientes para a implementação de medidas técnicas e organizacionais adequadas, de forma que o Processamento atenda às exigências das Leis de Proteção de Dados Aplicáveis); e (b) a Hootsuite permaneça responsável pelo cumprimento, por seus Subcontratados, das obrigações previstas neste DPA, bem como por quaisquer atos ou omissões de seus Subcontratados que levem a Hootsuite a violar suas obrigações sob este DPA.
2.2 Identificação e Notificação de Subcontratados Autorizados. A Hootsuite mantém uma lista de seus Subcontratados autorizados em uma página da web de acesso público, atualmente disponível em https://hootsuite.com/legal/subprocessor-list. O Cliente pode se inscrever para receber notificações sobre novos subcontratados ou substitutos enviando um e-mail para privacy@hootsuite.com com o assunto “Subprocessor Subscribe” (Inscrição para subcontratado). Se o Cliente se inscrever para receber notificações, a Hootsuite deverá fornecer um aviso com trinta (30) dias de antecedência sobre qualquer novo Subcontratado ou substituto pretendido antes de autorizar tal Subcontratado a processar Dados Pessoais do Cliente em conexão com a prestação dos Serviços aplicáveis.
2.3 Direito de objeção a novos Subcontratados. O Cliente pode se opor de forma razoável ao uso, pela Hootsuite, de um novo Subcontratado ou de um Subcontratado substituto, notificando a Hootsuite por escrito e prontamente dentro de dez (10) dias úteis após o recebimento da notificação da Hootsuite, conforme estabelecido na Seção 2.2. O Cliente deverá apresentar as razões justificáveis para tal objeção, que devem estar relacionadas ao cumprimento das Leis de Proteção de Dados Aplicáveis. Após o recebimento de uma objeção, a Hootsuite envidará esforços razoáveis para disponibilizar ao Cliente uma alteração nos Serviços ou recomendar uma alteração comercialmente razoável na configuração ou no uso dos Serviços pelo Cliente, a fim de evitar o Processamento dos Dados Pessoais do Cliente pelo Subcontratado contestado. Se a Hootsuite não conseguir realizar tal alteração ou recomendação dentro de um prazo razoável, o Cliente poderá rescindir a parte afetada dos Serviços de acordo com os termos do Contrato.
3. Confidencialidade
3.1 Confidencialidade. A Hootsuite garantirá que qualquer pessoa por ela autorizada a processar Dados Pessoais do Cliente (incluindo funcionários, agentes e contratados) esteja sujeita a uma obrigação de confidencialidade que sobreviva ao encerramento da relação empregatícia e/ou contratual.
3.2 Solicitações do governo. A Hootsuite não divulgará os Dados Pessoais do Cliente a nenhuma agência de aplicação da lei ou autoridade governamental (coletivamente, “Autoridade Governamental”) salvo instrução do Cliente, ou conforme necessário para cumprir as leis aplicáveis ou uma ordem válida e vinculativa de uma Autoridade Governamental, como uma intimação ou ordem judicial. Se uma Autoridade Governamental solicitar acesso aos Dados Pessoais do Cliente, e salvo se legalmente proibida de fazê-lo, a Hootsuite deverá: (a) informar à Autoridade Governamental que a Hootsuite é uma operadora ou prestadora de serviços e tentar redirecionar a Autoridade Governamental ao Cliente (e poderá fornecer as informações de contato básicas do Cliente à Autoridade Governamental para esses fins); e (b) tomar medidas comercialmente razoáveis para notificar o Cliente sobre as solicitações legalmente vinculativas, a fim de permitir que o Cliente busque uma ordem de proteção ou outro recurso apropriado. Se a Hootsuite for legalmente obrigada a responder à solicitação, ela deverá revisar a legalidade do pedido e determinar se pode ser contestado. Em qualquer caso, a Hootsuite divulgará apenas o mínimo necessário de informações para cumprir com a solicitação.
4. Segurança
4.1 Medidas de segurança. A Hootsuite manterá um programa de segurança da informação para os Serviços que esteja alinhado com o Framework de Cibersegurança do National Institute of Standards and Technology (NIST) e com as normas de Gestão de Segurança da Informação (ISMS) (série de normas ISO/IEC 27000), ou outros padrões alternativos substancialmente equivalentes, e implementará e manterá medidas técnicas e organizacionais apropriadas para proteger os Dados Pessoais do Cliente contra Incidentes de Segurança e preservar a segurança, confidencialidade e integridade dos Dados Pessoais do Cliente, conforme descrito no Apêndice 2 deste DPA (“Medidas de Segurança”). Essas Medidas de Segurança incluirão, conforme apropriado: (a) a pseudonimização e criptografia dos Dados Pessoais do Cliente; (b) a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços da Hootsuite; (c) a capacidade de restaurar a disponibilidade e o acesso aos Dados Pessoais do Cliente de forma oportuna no caso de um incidente físico ou técnico; e (d) um processo para testar, avaliar e reavaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do Processamento. A Hootsuite poderá atualizar ou modificar periodicamente as Medidas de Segurança, desde que tais atualizações ou modificações não reduzam materialmente a segurança geral dos Serviços prestados ao Cliente.
4.2 Auditorias e Certificações de Segurança de Terceiros. A Hootsuite utiliza auditores externos para verificar a adequação de suas Medidas de Segurança e concorda com a realização de uma auditoria: (a) anualmente; (b) conforme os requisitos do AICPA SOC 2 (AT-101) ou requisitos substancialmente similares; e (c) por profissionais de segurança independentes selecionados pela Hootsuite, às suas próprias custas. O Cliente concorda que os relatórios de auditoria e certificações da Hootsuite serão usados para satisfazer quaisquer solicitações de auditoria ou inspeção pelo Cliente (ou auditor independente e terceirizado do Cliente), inclusive para fins de cumprimento de obrigações de auditoria previstas nas Leis Aplicáveis de Proteção de Dados ou nas Cláusulas Contratuais Padrão (SCCs), os quais a Hootsuite disponibilizará ao Cliente mediante solicitação por escrito, no máximo uma vez por ano, e sujeitos às obrigações de confidencialidade estabelecidas no Contrato (ou em um contrato de confidencialidade separado, se necessário).
5. GERENCIAMENTO E NOTIFICAÇÃO DE INCIDENTES
5.1 Se a Hootsuite tomar conhecimento de um Incidente de Segurança cuja notificação ao Cliente seja exigida pelas Leis de Proteção de Dados Aplicáveis, a Hootsuite notificará o Cliente sobre o Incidente de Segurança sem demora injustificada. A notificação incluirá as informações sobre o Incidente de Segurança que a Hootsuite puder razoavelmente divulgar ao Cliente, levando em consideração a natureza dos Serviços, as informações disponíveis à Hootsuite e quaisquer restrições à divulgação, como obrigações de confidencialidade. Qualquer notificação de Incidente de Segurança fornecida pela Hootsuite não constitui, e não será interpretada como, reconhecimento de culpa ou responsabilidade por parte da Hootsuite.
6. SOLICITAÇÕES DE DIREITOS DE PRIVACIDADE
6.1 Na medida exigida pelas Leis de Proteção de Dados Aplicáveis, e na medida em que o Cliente não possa responder por meio da funcionalidade disponibilizada pelos Serviços, a Hootsuite fornecerá ao Cliente assistência comercialmente razoável para que este possa responder a solicitações de titulares de dados ou consumidores que busquem exercer seus direitos conforme previsto nas Leis de Proteção de Dados Aplicáveis, considerando a natureza do Processamento.
7. DPIA E CONSULTAS
7.1 Mediante solicitação razoável por escrito do Cliente, e na medida exigida pelas Leis de Proteção de Dados Aplicáveis, a Hootsuite fornecerá cooperação e assistência razoáveis ao Cliente para ajudá-lo a cumprir suas obrigações de realizar avaliações de impacto à proteção de dados e consultar autoridades de supervisão em relação ao uso dos Serviços pelo Cliente.
8. Transferências internacionais de dados
8.1 Transferências Internacionais de Dados. O Cliente reconhece e concorda que a Hootsuite pode transferir e processar os Dados Pessoais do Cliente fora de seu país conforme necessário para fornecer os Serviços, incluindo para o Canadá e outros países onde a Hootsuite, suas Afiliadas e Subcontratados mantenham operações de processamento de dados. A Hootsuite adotará todas as medidas necessárias para garantir que essas transferências sejam realizadas em conformidade com as Leis Europeias de Proteção de Dados aplicáveis. Em particular, o Cliente reconhece que a Hootsuite pode processar os Dados Pessoais do Cliente no Canadá, uma jurisdição reconhecida pela Comissão Europeia como oferecendo um nível adequado de proteção para dados pessoais.
8.2 Cláusulas Contratuais Padrão. Na medida em que a transferência de Dados Pessoais do Cliente da parte do Cliente para a Hootsuite envolva uma Transferência Restrita, e a transferência não esteja coberta por um status de adequação, então as SCCs serão incorporadas e formarão parte integrante deste DPA, com o Cliente (e quaisquer Afiliadas do Cliente) como “exportador de dados” e a Hootsuite Inc. como “importador de dados”, conforme segue:
(a) Em relação aos Dados Pessoais do Cliente sujeitos ao GDPR: (i) será aplicado o Módulo Dois (controlador para processador); (ii) na Cláusula 7, aplicar-se-á a cláusula opcional de adesão; (iii) na Cláusula 9, aplicar-se-á a Opção 2, e o período para notificação prévia sobre mudanças de Subcontratados será o estipulado na Seção 2.2 deste DPA; (iv) na Cláusula 11, a linguagem opcional não se aplicará; (v) na Cláusula 17, aplicar-se-á a Opção 1, sendo que as SCCs serão regidas pela legislação da Irlanda; (vi) na Cláusula 18(b), as disputas serão resolvidas perante os tribunais da Irlanda; (vii) o Anexo I das SCCs será considerado como preenchido com as informações descritas no Apêndice 1 deste DPA; e (viii) o Anexo II das SCCs será considerado como preenchido com as informações descritas no Apêndice 2 deste DPA.
(b) Em relação aos Dados Pessoais do Cliente sujeitos ao GDPR do Reino Unido, as SCCs se aplicarão conforme estabelecido na Seção 8.2(a), com as seguintes modificações: (i) as SCCs serão consideradas emendadas conforme especificado no Adendo do Reino Unido, que será considerado assinado pelas partes e incorporado a este DPA como parte integrante; (ii) qualquer conflito entre as SCCs e o Adendo do Reino Unido será resolvido conforme as Seções 10 e 11 do referido Adendo; (iii) as Tabelas 1 a 3 da Parte 1 serão preenchidas respectivamente com as informações constantes dos Apêndices 1 e 2 deste DPA; e (iv) a Tabela 4 da Parte 1 será considerada como preenchida com a opção "nenhuma das partes".
(c) Em relação aos Dados Pessoais do Cliente sujeitos à FADP Suíça, as SCCs se aplicarão conforme estabelecido na Seção 8.2(a), com as seguintes modificações: (i) as referências ao “Regulamento (UE) 2016/679” e seus artigos específicos serão substituídas por referências à FADP Suíça e seus artigos ou seções equivalentes; (ii) as referências a “UE”, “União” e “Estado-Membro” serão substituídas por “Suíça”; (iii) a Cláusula 13(a) e o Anexo II(C) não serão utilizados, sendo a “autoridade supervisora competente” o Comissário Federal Suíço de Proteção de Dados e Informação; (iv) as referências à “autoridade supervisora competente” e aos “tribunais competentes” serão substituídas por “Comissário Federal Suíço de Proteção de Dados e Informação” e “tribunais competentes da Suíça”; (v) na Cláusula 17, as SCCs serão regidas pelas leis da Suíça; e (vi) na Cláusula 18(b), as disputas serão resolvidas perante os tribunais competentes da Suíça.
8.3 Esclarecimentos sobre as Cláusulas Contratuais Standard. Caso a entidade contratante da Hootsuite no âmbito do Contrato não seja a Hootsuite Inc., tal entidade contratante (e não a Hootsuite Inc.) continuará plenamente e exclusivamente responsável perante o Cliente pela execução das SCCs pela Hootsuite Inc., e o Cliente deverá direcionar quaisquer instruções ou reivindicações relacionadas às SCCs a tal entidade contratante. As partes concordam que, caso a Hootsuite não consiga garantir a conformidade com as SCCs, deverá informar imediatamente o Cliente, o qual concederá à Hootsuite um prazo razoável para sanar a não conformidade, durante o qual Hootsuite e Cliente cooperarão razoavelmente para acordar salvaguardas ou medidas adicionais que possam ser razoavelmente exigidas. O Cliente terá direito de suspender a transferência dos Dados Pessoais do Cliente e/ou encerrar as partes afetadas dos Serviços por descumprimento das Cláusulas Contratuais Padrão (SCCs) somente se a Hootsuite não tiver corrigido ou não puder corrigir o descumprimento antes do término do período de correção. Adicionalmente, no caso de a Hootsuite adotar um mecanismo alternativo de transferência, tal mecanismo substituirá as SCCs descritas na Seção 8.2 deste DPA, desde que tal mecanismo alternativo esteja em conformidade com as Leis Europeias de Proteção de Dados aplicáveis e abranja os territórios para os quais os Dados Pessoais do Cliente são transferidos.
9. DEVOLUÇÃO E EXCLUSÃO DE DADOS PESSOAIS
9.1 Após a rescisão dos Serviços, a Hootsuite deverá, mediante solicitação por escrito do Cliente recebida pela Hootsuite dentro de 30 (trinta) dias da rescisão dos Serviços, devolver ou excluir todos os Dados Pessoais do Cliente e cópias desses dados sob sua custódia ou controle, salvo se for legalmente obrigada a reter os Dados Pessoais do Cliente. Até que os Dados Pessoais do Cliente sejam excluídos ou devolvidos, a Hootsuite continuará protegendo os Dados Pessoais do Cliente de acordo com o Contrato, este DPA e as Leis de Proteção de Dados Aplicáveis.
10. DISPOSIÇÕES GERAIS
10.1 Efeito Legal. Este DPA é um adendo ao Contrato e está incorporado como parte integrante do Contrato entre o Cliente e a Hootsuite. Exceto conforme expressamente previsto neste documento, uma entidade da Hootsuite não será parte deste DPA (ou das SCCs), a menos que seja parte do Contrato. Salvo pelas alterações feitas por este DPA, o Contrato permanece inalterado e em pleno vigor e efeito. O presente DPA substitui e revoga todas as declarações, entendimentos, contratos ou comunicações anteriores ou contemporâneos entre o Cliente e a Hootsuite, sejam escritos ou verbais, relativos ao objeto deste DPA, incluindo qualquer adendo de processamento de dados celebrado anteriormente entre a Hootsuite e o Cliente.
10.2 Conflito. Em caso de conflito entre qualquer disposição deste DPA e qualquer disposição do Contrato, aplicar-se-á a seguinte ordem de prevalência: (1) as SCCs; (2) este DPA; e (3) qualquer outra parte do Contrato.
10.3 Rescisão. Este DPA permanecerá em vigor até a rescisão do Contrato.
10.4 Limitações de Responsabilidade. A responsabilidade de cada parte sob este DPA (incluindo as SCCs) estará sujeita às exclusões e limitações de responsabilidade estabelecidas no Contrato. Para evitar dúvidas, a responsabilidade total da Hootsuite e de suas Afiliadas por todas as reivindicações decorrentes ou relacionadas a este DPA será aplicada de forma agregada para todas as reivindicações, incluindo aquelas feitas pelo Cliente e suas Afiliadas. Em nenhuma hipótese este DPA restringe ou limita os direitos de qualquer titular de dados ou consumidor nos termos das Leis de Proteção de Dados Aplicáveis ou das SCCs.
10.5 Divulgação deste DPA. O Cliente reconhece que a Hootsuite poderá divulgar este DPA e quaisquer disposições relevantes de privacidade do Contrato a uma autoridade supervisora europeia ou a qualquer outro órgão judicial ou regulatório da Europa, do Canadá ou dos Estados Unidos, mediante solicitação.
10.6 Alterações. Poderemos alterar qualquer parte deste DPA a qualquer momento, publicando os termos revisados no site da Hootsuite. Notificaremos você sobre quaisquer alterações que, a nosso exclusivo critério, impactem materialmente este DPA. O DPA atualizado entrará em vigor no momento da publicação ou em data posterior especificada no DPA atualizado, e o seu uso contínuo dos Serviços após a entrada em vigor de tais alterações constituirá seu consentimento a tais alterações.
11. DEFINIÇÕES
11.1 Neste DPA, os seguintes termos têm os significados indicados abaixo:
(a) Os termos “empresa”, “consumidor”, “controlador”, “titular dos dados”, “dados pessoais”, “informações pessoais”, “processador”, “prestador de serviços” e “autoridade supervisora” têm os significados atribuídos pelas Leis de Proteção de Dados Aplicáveis.
(b) “Afiliada” significa qualquer entidade que, direta ou indiretamente, controla, é controlada por ou está sob controle comum com a entidade em questão. Para os fins desta definição, “controle” significa a propriedade ou controle direto ou indireto de mais de 50% dos direitos de voto da entidade em questão.
(c) “Contrato” significa o contrato escrito ou eletrônico celebrado entre o Cliente e a Hootsuite que incorpora este DPA por referência.
(d) “Leis de Proteção de Dados Aplicáveis” significa as Leis Europeias de Proteção de Dados, as Leis de Privacidade dos EUA, e todas as demais leis e regulamentos de proteção de dados e privacidade aplicáveis ao Processamento de Dados Pessoais do Cliente sob o Contrato.
(e) “Dados Pessoais do Cliente” significa quaisquer dados pessoais ou informações pessoais fornecidas pelo Cliente (ou em seu nome) à Hootsuite, ou de outra forma processadas pela Hootsuite em nome do Cliente nos termos do Contrato, conforme descrito no Apêndice 1 deste DPA. “Dados Pessoais do Cliente” não incluem quaisquer dados pessoais ou informações pessoais que o Cliente processe por meio de serviços de terceiros que não sejam fornecidos pela Hootsuite, mas que o Cliente possa acessar ou utilizar em conexão com os Serviços.
(f) “Europa” significa, para os fins deste DPA, o Espaço Econômico Europeu e seus Estados-Membros, a Suíça e o Reino Unido (“UK”).
(g) “Leis Europeias de Proteção de Dados” significa todas as leis e regulamentações de proteção de dados e privacidade da Europa aplicáveis ao Tratamento dos Dados Pessoais do Cliente nos termos do Contrato, incluindo: (i) o Regulamento Geral sobre a Proteção de Dados da UE (“GDPR”); (ii) quaisquer implementações nacionais aplicáveis do GDPR; (iii) o GDPR conforme incorporado ao ordenamento jurídico do Reino Unido por força da Seção 3 da Lei de Retirada da União Europeia de 2018 e da Lei de Proteção de Dados de 2018 (conjuntamente, o “UK GDPR”); e (iv) a Lei Federal Suíça de Proteção de Dados de 2020 e seu Regulamento (“Swiss FADP”); em cada caso conforme alterados, substituídos ou revogados periodicamente.
(h) “Hootsuite” significa a entidade da Hootsuite que é parte do Contrato, podendo ser: Hootsuite Inc. (111 East 5th Avenue, 3rd Floor, Vancouver, British Columbia, Canadá V5T 4L1), Sparkcentral Europe NV (Kempische Steenweg 311 b6.01, 3500 Hasselt, Bélgica), Heyday Technologies Inc. (1100 avenue des Canadiens-de-Montréal, Bureau 150, Montreal, Quebec, Canadá, H3B 2S2), Talkwalker S.à r.l. (33 avenue John F. Kennedy, L-1855, Luxemburgo), Talkwalker Inc. (3616 Far West Blvd., Suite 117 #419, Austin, TX 78731), Talkwalker Pte. Ltd. (9, Raffles Place, #26-01 Republic Plaza, Singapura 048619) ou Talkwalker KK (Ark Hills South Tower 16F, 1-4-5 Roppongi, Minato-ku Tóquio, 13, 106-0032, Japão).
(i) “Processar” ou “Processamento” significa qualquer operação ou conjunto de operações realizadas sobre os Dados Pessoais do Cliente, com ou sem o uso de meios automatizados, incluindo a coleta, o uso e a divulgação dos Dados Pessoais do Cliente.
(j) “Transferência Restrita” significa uma transferência de Dados Pessoais do Cliente originados da Europa para um país que não fornece um nível adequado de proteção para dados pessoais, conforme o significado das Leis Europeias de Proteção de Dados aplicáveis.
(k) “Incidente de Segurança” significa uma violação de segurança que leve à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito a quaisquer Dados Pessoais do Cliente processados pela Hootsuite em conexão com a prestação dos Serviços. Isso não inclui tentativas ou atividades malsucedidas que não comprometam a segurança dos Dados Pessoais do Cliente, incluindo tentativas malsucedidas de acesso, pings, varreduras de porta (port scans), ataques de negação de serviço e outros ataques de rede a firewalls ou sistemas em rede.
(l) “Serviços” significa os serviços fornecidos pela Hootsuite ao Cliente, conforme estabelecido no Contrato ou no Pedido de Serviço ou Formulário de Autorização aplicável.
(m) “Cláusulas Contratuais Padrão (SCCs)” significa as cláusulas contratuais padrão aprovadas pela Comissão Europeia, conforme sua decisão 2021/914 de 4 de junho de 2021, conforme possam ser alteradas, substituídas ou revogadas periodicamente.
(n) “Subcontratado” significa qualquer processador terceirizado contratado pela Hootsuite ou por suas Afiliadas para auxiliar na prestação dos Serviços ao Cliente, de acordo com o Contrato e este DPA. Subcontratados não incluem os funcionários, contratados ou consultores da Hootsuite ou de suas Afiliadas.
(o) “Adendo do Reino Unido (UK Addendum)” significa o Adendo Internacional de Transferência de Dados às Cláusulas Contratuais Padrão da Comissão da UE, emitido pelo Comissário de Informação do Reino Unido sob a seção 119A(1) da Lei de Proteção de Dados de 2018, conforme possa ser alterado, substituído ou revogado periodicamente.
(p) “Leis de Privacidade dos EUA” significa todas as leis estaduais e federais dos Estados Unidos relativas à proteção de dados e privacidade aplicáveis ao Processamento de Dados Pessoais do Cliente nos termos do Contrato, incluindo, sem limitação: (i) a Lei de Privacidade do Consumidor da Califórnia, conforme alterada pela Lei dos Direitos de Privacidade da Califórnia, e quaisquer regulamentos correlatos (coletivamente, “CCPA”); (ii) a Lei de Proteção de Dados do Consumidor da Virgínia (“CDPA”); (iii) a Lei de Privacidade do Colorado (“CPA”); (iv) a Lei de Privacidade do Consumidor de Utah (“UCPA”); (v) a Lei de Privacidade de Dados de Connecticut (“CTDPA”); (vi) a Lei de Privacidade de Dados do Consumidor de Montana (“MCDPA”); (vii) a Lei de Privacidade e Segurança de Dados do Texas (“TDPSA”); (viii) a Lei de Privacidade do Consumidor de Oregon (“OCPA”); (ix) a Lei de Proteção de Dados do Consumidor de Iowa (“ICDPA”); (x) a Lei de Privacidade de Dados Pessoais de Delaware (“DPDPA”); (xi) a Lei de Privacidade de Dados de Nebraska (“NDPA”); (xii) a Lei de Privacidade de Dados de Nova Jersey (“NJDPA”); (xiii) a Lei de Proteção de Informações do Tennessee (“TIPA”); (xiv) a Lei de Privacidade de Dados On-line de Maryland (“MODPA”); (xv) a Lei de Privacidade de New Hampshire (“NHPA”); e (xvi) a Lei de Privacidade de Dados do Consumidor de Minnesota (“MCDPA”); em cada caso, quando em vigor e conforme possam ser alteradas, substituídas ou revogadas periodicamente.
Apêndice 1: Descrição do Processamento
Este Apêndice descreve o Processamento de Dados Pessoais do Cliente pelas partes em conexão com os Serviços e constitui parte integrante do Contrato. Salvo definição em contrário neste documento, os termos em maiúsculas neste Apêndice terão o mesmo significado atribuído a eles no Contrato.
(A) Lista de partes
Exportador de Dados: | |
---|---|
Nome: | O exportador de dados é a entidade identificada como “Cliente” no Contrato. |
Endereço: | O endereço está definido no Contrato. |
Nome da pessoa de contato, cargo e informações de contato: | As informações de contato estão estabelecidas no Contrato. |
Atividades relevantes aos dados transferidos nos termos destas Cláusulas: | Atividades de Processamento relacionadas ao recebimento dos Serviços conforme estabelecido no Contrato. |
Função (controlador/processador): | Controlador |
Importador de Dados: | |
---|---|
Nome: | O importador de dados é a entidade aplicável da Hootsuite, conforme definido na Seção 8 do DPA. |
Endereço: | O endereço da entidade aplicável da Hootsuite, conforme definido na Seção 8 do DPA. |
Nome da pessoa de contato, cargo e informações de contato: | Jennifer Ma, diretora sênior de privacidade e conformidade de produto e encarregada de proteção de dados (Data Protection Officer) |
Atividades relevantes aos dados transferidos nos termos destas Cláusulas: | Atividades de processamento na prestação dos Serviços conforme estabelecido no Contrato |
Função (controlador/processador): | Processador |
(B) Descrição do processamento e transferência
Serviços | |
---|---|
Categorias de titulares de dados ou consumidores: | - Empregados, consultores ou contratados do Cliente autorizados a usar os Serviços. |
Categorias de dados pessoais ou informações pessoais: | As informações que são processadas por meio dos Serviços são determinadas e controladas pelos Clientes a seu exclusivo critério e podem incluir as seguintes categorias: Todos os serviços |
Dados confidenciais (se aplicável) e restrições ou salvaguardas aplicadas: | As informações processadas por meio dos Serviços são determinadas e controladas pelos Clientes e podem incluir os seguintes dados sensíveis: dados pessoais que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados relacionados à saúde ou à vida sexual, ou dados relativos a delitos, condenações criminais ou medidas de segurança. Consulte o Apêndice 2 para restrições e salvaguardas aplicáveis a dados sensíveis. |
Frequência da transferência: | Contínuo |
Natureza do Processamento: | Coleta, armazenamento, organização, modificação, recuperação, divulgação, comunicação e outros usos no desempenho dos Serviços conforme estabelecido no Contrato. |
Finalidade(s) e objeto da transferência e do Processamento adicional: | Atividades de Processamento na execução dos Serviços conforme estabelecido no Contrato, incluindo: |
Período e duração pelos quais os dados pessoais ou informações pessoais serão processados e retidos: | De acordo com a Seção 9 do DPA. |
(C) Autoridade Supervisora Competente
Para os fins das SCCs, a autoridade supervisora competente será determinada conforme o GDPR.
Apêndice 2: Medidas de Segurança
Este Apêndice descreve as medidas técnicas e organizacionais a serem implementadas pela Hootsuite e constitui parte integrante do Contrato. Salvo definição em contrário neste documento, os termos em letras maiúsculas terão o mesmo significado atribuído a eles no Contrato.
As medidas técnicas e organizacionais (“TOMs”) a serem implementadas (incluindo quaisquer certificações relevantes) para garantir um nível adequado de segurança, levando em consideração a natureza, o escopo, o contexto e as finalidades do processamento, bem como os riscos para os direitos e liberdades das pessoas físicas, são descritas para os Serviços aplicáveis no seguinte link: https://www.hootsuite.com/legal/security-practices. A tabela a seguir fornece exemplos dos TOMs implementados pela Hootsuite.
Tipo de TOMs | Descrição dos TOMs |
---|---|
Medidas de pseudonimização e criptografia de dados pessoais | Pseudonimização |
Medidas para assegurar a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento | Controles de acesso |
Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais de forma oportuna no caso de um incidente físico ou técnico | Recuperação de desastres |
Processos para testar, avaliar e verificar regularmente a eficácia das medidas técnicas e organizacionais para assegurar a segurança do processamento | Equipe de segurança |
Medidas para identificação e autorização do usuário | Registros |
Medidas para a proteção de dados durante a transmissão | Os Serviços oferecem suporte aos mais recentes conjuntos de cifras e protocolos seguros em conformidade com os padrões da indústria para criptografar todo o tráfego em trânsito. Atualmente, a Hootsuite oferece suporte ao TLS 1.2 ou superior no tráfego da web. |
Medidas para a proteção de dados durante o armazenamento | O Conteúdo do Cliente é criptografado em repouso (utilizando AES com criptografia de 128 ou 256 bits), conforme apropriado e considerando a natureza do conteúdo e os riscos associados. |
Medidas para assegurar a segurança física dos locais onde os dados pessoais são processados | Segurança do provedor de serviços em nuvem |
Medidas para assegurar o registro de eventos | Todos os sistemas utilizados na prestação dos Serviços da Hootsuite, incluindo firewalls, roteadores, switches de rede, sistemas de detecção de intrusão, serviços antimalware e sistemas operacionais, registram informações em servidores de registros seguros para possibilitar análises e revisões de segurança. |
Medidas para assegurar a configuração do sistema, incluindo a configuração padrão | Os servidores de produção, bancos de dados e configurações de segurança na nuvem são reforçados de acordo com as diretrizes internas de configuração e em conformidade com a Política de Gerenciamento de Configuração. |
Medidas para governança e gestão interna de TI e segurança de TI e medidas para certificação/asseguração de processos e produtos | A Hootsuite implementa e mantém políticas e procedimentos de segurança conforme os padrões da indústria, alinhados com o framework de cibersegurança do National Institute of Standards and Technology (NIST). |
Medidas para garantir a minimização de dados | O acesso aos dados pessoais é restrito com base nos princípios de “necessidade de conhecimento” e “mínimo privilégio”. |
Medidas para garantir a qualidade dos dados | Os dados são obtidos em tempo real de redes sociais por meio de APIs, e a precisão e qualidade dos dados dependerão das informações fornecidas pelas próprias redes sociais. |
Medidas para assegurar a retenção limitada de dados | Para manter a precisão dos dados e minimizar a retenção, e quando aplicável aos Serviços, os dados obtidos de redes sociais são armazenados temporariamente apenas para exibição. |
Medidas para garantir a responsabilização | Um líder de segurança dedicado e uma equipe são responsáveis por garantir a implementação e o cumprimento de políticas e procedimentos adequados de segurança e proteção de dados. |
Medidas para permitir a portabilidade dos dados e garantir a exclusão | Os clientes podem solicitar a devolução ou exclusão de todos os dados pessoais e cópias desses dados sob sua custódia ou controle. Há processos implementados para solicitações de exclusão por titulares de dados. |
Informações sobre Subcontratados |
Caso necessite de um contrato escrito e assinado, por favor clique aqui, preencha os seus dados de cliente e assine eletronicamente o adendo.