Ir para o conteúdo

Adendo de Processamento de Dados da Hootsuite


Última modificação: 22 de maio de 2025

Este Adendo de Processamento de Dados, incluindo seus Apêndices ("DPA"), faz parte dos Termos de Serviço Enterprise ou de outro acordo escrito ou eletrônico que incorpore este DPA por referência (o "Acordo") entre a Hootsuite e a entidade identificada como Cliente no Acordo ("Cliente"), com a finalidade de fornecer determinados serviços (os "Serviços"). 

No curso da prestação dos Serviços ao Cliente conforme o Contrato, a Hootsuite poderá processar dados pessoais do cliente (conforme definido abaixo) em nome do Cliente. Este DPA estabelece os termos aplicáveis quando os Dados Pessoais do Cliente, sujeitos às Leis de Proteção de Dados Aplicáveis, forem Processados pela Hootsuite em nome do Cliente nos termos do Contrato. 

O Cliente firma este DPA em seu próprio nome e, na medida exigida pelas Leis de Proteção de Dados Aplicáveis, em nome e por conta de suas Afiliadas que estão autorizadas a utilizar os Serviços conforme o Contrato. Salvo disposição em contrário neste documento, os termos em maiúsculas neste DPA terão o mesmo significado que lhes é atribuído no Contrato.

1. PROCESSAMENTO DE DADOS PESSOAIS

1.1 Escopo. Este DPA aplica-se ao Processamento de Dados Pessoais do Cliente que esteja sujeito às Leis de Proteção de Dados Aplicáveis pela Hootsuite, em sua qualidade de processadora ou prestadora de serviços, com a finalidade de fornecer os Serviços. 

1.2 Funções. As partes reconhecem e concordam que, no que diz respeito ao Processamento de Dados Pessoais do Cliente, o Cliente é o controlador ou empresa, e a Hootsuite é a processadora ou prestadora de serviços do Cliente nos termos das Leis de Proteção de Dados Aplicáveis. 

1.3 Detalhes do Processamento. O objeto, a duração, a natureza e a finalidade do Processamento, bem como os tipos de dados pessoais ou informações pessoais e as categorias de titulares de dados ou consumidores, estão descritos no Apêndice 1 deste DPA.

1.4 Responsabilidades do Cliente. O Cliente deverá, ao utilizar os Serviços: (a) cumprir suas obrigações como controlador ou empresa e processar os Dados Pessoais do Cliente de acordo com as Leis Aplicáveis de Proteção de Dados; (b) garantir que suas instruções à Hootsuite estejam em conformidade com as Leis Aplicáveis de Proteção de Dados; (c) ser o único responsável pela exatidão, qualidade e legalidade dos Dados Pessoais do Cliente; e (d) garantir que o Cliente tem o direito de transferir os Dados Pessoais do Cliente à Hootsuite de modo que a Hootsuite e seus Subcontratados possam processar legalmente os Dados Pessoais do Cliente conforme as Leis Aplicáveis de Proteção de Dados. 

1.5 Instruções do Cliente. O Cliente instrui a Hootsuite a coletar, analisar, exibir, armazenar e processar de outra forma os Dados Pessoais do Cliente com a finalidade de fornecer e melhorar os Serviços ao Cliente de acordo com o Contrato, este DPA e, quando aplicável, a política de privacidade publicada em https://hootsuite.com/legal/privacy. A Hootsuite cumprirá outras instruções razoáveis apresentadas pelo Cliente (por exemplo, via e-mail ou tíquetes de suporte) ou iniciadas pelos usuários autorizados do Cliente dos Serviços, desde que tais instruções estejam de acordo com os termos do Contrato. A Hootsuite informará o Cliente se, em sua opinião, uma instrução infringir as leis de proteção de dados aplicáveis. 

1.6 Responsabilidades da Hootsuite. A Hootsuite cumprirá suas obrigações previstas nas Leis de Proteção de Dados Aplicáveis em sua função de processadora ou prestadora de serviços e notificará o Cliente se não puder mais cumprir tais obrigações. A Hootsuite processará os Dados Pessoais do Cliente apenas de acordo com as instruções documentadas do Cliente, conforme estabelecido na Seção 1.5, e concorda que não irá: (a) “vender” ou “compartilhar” Dados Pessoais do Cliente nos termos definidos pelas Leis de Proteção de Dados Aplicáveis (incluindo a CCPA); (b) reter, usar ou divulgar os Dados Pessoais do Cliente para qualquer finalidade diferente das finalidades comerciais especificadas no Contrato e neste DPA; (c) usar os Dados Pessoais do Cliente recebidos no âmbito do Contrato fora da relação entre o Cliente e a Hootsuite; ou (d) combinar os Dados Pessoais do Cliente com informações que a Hootsuite tenha recebido de outras fontes; em todos os casos, salvo conforme permitido pelo Contrato e pelas Leis de Proteção de Dados Aplicáveis.

2. SUBCONTRATADOS

2.1 Nomeação de Subcontratados. O Cliente concorda e concede uma autorização geral por escrito para que a Hootsuite e suas Afiliadas contratem Subcontratados, desde que: (a) a Hootsuite e cada Subcontratado celebrem um contrato por escrito contendo obrigações de proteção de dados equivalentes às descritas neste DPA (incluindo garantias suficientes para a implementação de medidas técnicas e organizacionais adequadas, de forma que o Processamento atenda às exigências das Leis de Proteção de Dados Aplicáveis); e (b) a Hootsuite permaneça responsável pelo cumprimento, por seus Subcontratados, das obrigações previstas neste DPA, bem como por quaisquer atos ou omissões de seus Subcontratados que levem a Hootsuite a violar suas obrigações sob este DPA. 

2.2 Identificação e Notificação de Subcontratados Autorizados. A Hootsuite mantém uma lista de seus Subcontratados autorizados em uma página da web de acesso público, atualmente disponível em https://hootsuite.com/legal/subprocessor-list. O Cliente pode se inscrever para receber notificações sobre novos subcontratados ou substitutos enviando um e-mail para privacy@hootsuite.com com o assunto “Subprocessor Subscribe” (Inscrição para subcontratado). Se o Cliente se inscrever para receber notificações, a Hootsuite deverá fornecer um aviso com trinta (30) dias de antecedência sobre qualquer novo Subcontratado ou substituto pretendido antes de autorizar tal Subcontratado a processar Dados Pessoais do Cliente em conexão com a prestação dos Serviços aplicáveis. 

2.3 Direito de objeção a novos Subcontratados. O Cliente pode se opor de forma razoável ao uso, pela Hootsuite, de um novo Subcontratado ou de um Subcontratado substituto, notificando a Hootsuite por escrito e prontamente dentro de dez (10) dias úteis após o recebimento da notificação da Hootsuite, conforme estabelecido na Seção 2.2. O Cliente deverá apresentar as razões justificáveis para tal objeção, que devem estar relacionadas ao cumprimento das Leis de Proteção de Dados Aplicáveis. Após o recebimento de uma objeção, a Hootsuite envidará esforços razoáveis para disponibilizar ao Cliente uma alteração nos Serviços ou recomendar uma alteração comercialmente razoável na configuração ou no uso dos Serviços pelo Cliente, a fim de evitar o Processamento dos Dados Pessoais do Cliente pelo Subcontratado contestado. Se a Hootsuite não conseguir realizar tal alteração ou recomendação dentro de um prazo razoável, o Cliente poderá rescindir a parte afetada dos Serviços de acordo com os termos do Contrato. 

3. Confidencialidade

3.1 Confidencialidade. A Hootsuite garantirá que qualquer pessoa por ela autorizada a processar Dados Pessoais do Cliente (incluindo funcionários, agentes e contratados) esteja sujeita a uma obrigação de confidencialidade que sobreviva ao encerramento da relação empregatícia e/ou contratual. 

3.2 Solicitações do governo. A Hootsuite não divulgará os Dados Pessoais do Cliente a nenhuma agência de aplicação da lei ou autoridade governamental (coletivamente, “Autoridade Governamental”) salvo instrução do Cliente, ou conforme necessário para cumprir as leis aplicáveis ou uma ordem válida e vinculativa de uma Autoridade Governamental, como uma intimação ou ordem judicial. Se uma Autoridade Governamental solicitar acesso aos Dados Pessoais do Cliente, e salvo se legalmente proibida de fazê-lo, a Hootsuite deverá: (a) informar à Autoridade Governamental que a Hootsuite é uma operadora ou prestadora de serviços e tentar redirecionar a Autoridade Governamental ao Cliente (e poderá fornecer as informações de contato básicas do Cliente à Autoridade Governamental para esses fins); e (b) tomar medidas comercialmente razoáveis para notificar o Cliente sobre as solicitações legalmente vinculativas, a fim de permitir que o Cliente busque uma ordem de proteção ou outro recurso apropriado. Se a Hootsuite for legalmente obrigada a responder à solicitação, ela deverá revisar a legalidade do pedido e determinar se pode ser contestado. Em qualquer caso, a Hootsuite divulgará apenas o mínimo necessário de informações para cumprir com a solicitação. 

4. Segurança

4.1 Medidas de segurança. A Hootsuite manterá um programa de segurança da informação para os Serviços que esteja alinhado com o Framework de Cibersegurança do National Institute of Standards and Technology (NIST) e com as normas de Gestão de Segurança da Informação (ISMS) (série de normas ISO/IEC 27000), ou outros padrões alternativos substancialmente equivalentes, e implementará e manterá medidas técnicas e organizacionais apropriadas para proteger os Dados Pessoais do Cliente contra Incidentes de Segurança e preservar a segurança, confidencialidade e integridade dos Dados Pessoais do Cliente, conforme descrito no Apêndice 2 deste DPA (“Medidas de Segurança”). Essas Medidas de Segurança incluirão, conforme apropriado: (a) a pseudonimização e criptografia dos Dados Pessoais do Cliente; (b) a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços da Hootsuite; (c) a capacidade de restaurar a disponibilidade e o acesso aos Dados Pessoais do Cliente de forma oportuna no caso de um incidente físico ou técnico; e (d) um processo para testar, avaliar e reavaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do Processamento. A Hootsuite poderá atualizar ou modificar periodicamente as Medidas de Segurança, desde que tais atualizações ou modificações não reduzam materialmente a segurança geral dos Serviços prestados ao Cliente.

4.2 Auditorias e Certificações de Segurança de Terceiros. A Hootsuite utiliza auditores externos para verificar a adequação de suas Medidas de Segurança e concorda com a realização de uma auditoria: (a) anualmente; (b) conforme os requisitos do AICPA SOC 2 (AT-101) ou requisitos substancialmente similares; e (c) por profissionais de segurança independentes selecionados pela Hootsuite, às suas próprias custas. O Cliente concorda que os relatórios de auditoria e certificações da Hootsuite serão usados para satisfazer quaisquer solicitações de auditoria ou inspeção pelo Cliente (ou auditor independente e terceirizado do Cliente), inclusive para fins de cumprimento de obrigações de auditoria previstas nas Leis Aplicáveis de Proteção de Dados ou nas Cláusulas Contratuais Padrão (SCCs), os quais a Hootsuite disponibilizará ao Cliente mediante solicitação por escrito, no máximo uma vez por ano, e sujeitos às obrigações de confidencialidade estabelecidas no Contrato (ou em um contrato de confidencialidade separado, se necessário). 

5. GERENCIAMENTO E NOTIFICAÇÃO DE INCIDENTES

5.1 Se a Hootsuite tomar conhecimento de um Incidente de Segurança cuja notificação ao Cliente seja exigida pelas Leis de Proteção de Dados Aplicáveis, a Hootsuite notificará o Cliente sobre o Incidente de Segurança sem demora injustificada. A notificação incluirá as informações sobre o Incidente de Segurança que a Hootsuite puder razoavelmente divulgar ao Cliente, levando em consideração a natureza dos Serviços, as informações disponíveis à Hootsuite e quaisquer restrições à divulgação, como obrigações de confidencialidade. Qualquer notificação de Incidente de Segurança fornecida pela Hootsuite não constitui, e não será interpretada como, reconhecimento de culpa ou responsabilidade por parte da Hootsuite.

6. SOLICITAÇÕES DE DIREITOS DE PRIVACIDADE

6.1 Na medida exigida pelas Leis de Proteção de Dados Aplicáveis, e na medida em que o Cliente não possa responder por meio da funcionalidade disponibilizada pelos Serviços, a Hootsuite fornecerá ao Cliente assistência comercialmente razoável para que este possa responder a solicitações de titulares de dados ou consumidores que busquem exercer seus direitos conforme previsto nas Leis de Proteção de Dados Aplicáveis, considerando a natureza do Processamento.

7. DPIA E CONSULTAS

7.1 Mediante solicitação razoável por escrito do Cliente, e na medida exigida pelas Leis de Proteção de Dados Aplicáveis, a Hootsuite fornecerá cooperação e assistência razoáveis ao Cliente para ajudá-lo a cumprir suas obrigações de realizar avaliações de impacto à proteção de dados e consultar autoridades de supervisão em relação ao uso dos Serviços pelo Cliente. 

8. Transferências internacionais de dados

8.1 Transferências Internacionais de Dados. O Cliente reconhece e concorda que a Hootsuite pode transferir e processar os Dados Pessoais do Cliente fora de seu país conforme necessário para fornecer os Serviços, incluindo para o Canadá e outros países onde a Hootsuite, suas Afiliadas e Subcontratados mantenham operações de processamento de dados. A Hootsuite adotará todas as medidas necessárias para garantir que essas transferências sejam realizadas em conformidade com as Leis Europeias de Proteção de Dados aplicáveis. Em particular, o Cliente reconhece que a Hootsuite pode processar os Dados Pessoais do Cliente no Canadá, uma jurisdição reconhecida pela Comissão Europeia como oferecendo um nível adequado de proteção para dados pessoais. 

8.2 Cláusulas Contratuais Padrão. Na medida em que a transferência de Dados Pessoais do Cliente da parte do Cliente para a Hootsuite envolva uma Transferência Restrita, e a transferência não esteja coberta por um status de adequação, então as SCCs serão incorporadas e formarão parte integrante deste DPA, com o Cliente (e quaisquer Afiliadas do Cliente) como “exportador de dados” e a Hootsuite Inc. como “importador de dados”, conforme segue:

(a) Em relação aos Dados Pessoais do Cliente sujeitos ao GDPR: (i) será aplicado o Módulo Dois (controlador para processador); (ii) na Cláusula 7, aplicar-se-á a cláusula opcional de adesão; (iii) na Cláusula 9, aplicar-se-á a Opção 2, e o período para notificação prévia sobre mudanças de Subcontratados será o estipulado na Seção 2.2 deste DPA; (iv) na Cláusula 11, a linguagem opcional não se aplicará; (v) na Cláusula 17, aplicar-se-á a Opção 1, sendo que as SCCs serão regidas pela legislação da Irlanda; (vi) na Cláusula 18(b), as disputas serão resolvidas perante os tribunais da Irlanda; (vii) o Anexo I das SCCs será considerado como preenchido com as informações descritas no Apêndice 1 deste DPA; e (viii) o Anexo II das SCCs será considerado como preenchido com as informações descritas no Apêndice 2 deste DPA.

(b) Em relação aos Dados Pessoais do Cliente sujeitos ao GDPR do Reino Unido, as SCCs se aplicarão conforme estabelecido na Seção 8.2(a), com as seguintes modificações: (i) as SCCs serão consideradas emendadas conforme especificado no Adendo do Reino Unido, que será considerado assinado pelas partes e incorporado a este DPA como parte integrante; (ii) qualquer conflito entre as SCCs e o Adendo do Reino Unido será resolvido conforme as Seções 10 e 11 do referido Adendo; (iii) as Tabelas 1 a 3 da Parte 1 serão preenchidas respectivamente com as informações constantes dos Apêndices 1 e 2 deste DPA; e (iv) a Tabela 4 da Parte 1 será considerada como preenchida com a opção "nenhuma das partes". 

(c) Em relação aos Dados Pessoais do Cliente sujeitos à FADP Suíça, as SCCs se aplicarão conforme estabelecido na Seção 8.2(a), com as seguintes modificações: (i) as referências ao “Regulamento (UE) 2016/679” e seus artigos específicos serão substituídas por referências à FADP Suíça e seus artigos ou seções equivalentes; (ii) as referências a “UE”, “União” e “Estado-Membro” serão substituídas por “Suíça”; (iii) a Cláusula 13(a) e o Anexo II(C) não serão utilizados, sendo a “autoridade supervisora competente” o Comissário Federal Suíço de Proteção de Dados e Informação; (iv) as referências à “autoridade supervisora competente” e aos “tribunais competentes” serão substituídas por “Comissário Federal Suíço de Proteção de Dados e Informação” e “tribunais competentes da Suíça”; (v) na Cláusula 17, as SCCs serão regidas pelas leis da Suíça; e (vi) na Cláusula 18(b), as disputas serão resolvidas perante os tribunais competentes da Suíça. 

8.3 Esclarecimentos sobre as Cláusulas Contratuais Standard. Caso a entidade contratante da Hootsuite no âmbito do Contrato não seja a Hootsuite Inc., tal entidade contratante (e não a Hootsuite Inc.) continuará plenamente e exclusivamente responsável perante o Cliente pela execução das SCCs pela Hootsuite Inc., e o Cliente deverá direcionar quaisquer instruções ou reivindicações relacionadas às SCCs a tal entidade contratante. As partes concordam que, caso a Hootsuite não consiga garantir a conformidade com as SCCs, deverá informar imediatamente o Cliente, o qual concederá à Hootsuite um prazo razoável para sanar a não conformidade, durante o qual Hootsuite e Cliente cooperarão razoavelmente para acordar salvaguardas ou medidas adicionais que possam ser razoavelmente exigidas. O Cliente terá direito de suspender a transferência dos Dados Pessoais do Cliente e/ou encerrar as partes afetadas dos Serviços por descumprimento das Cláusulas Contratuais Padrão (SCCs) somente se a Hootsuite não tiver corrigido ou não puder corrigir o descumprimento antes do término do período de correção. Adicionalmente, no caso de a Hootsuite adotar um mecanismo alternativo de transferência, tal mecanismo substituirá as SCCs descritas na Seção 8.2 deste DPA, desde que tal mecanismo alternativo esteja em conformidade com as Leis Europeias de Proteção de Dados aplicáveis e abranja os territórios para os quais os Dados Pessoais do Cliente são transferidos.

9. DEVOLUÇÃO E EXCLUSÃO DE DADOS PESSOAIS 

9.1 Após a rescisão dos Serviços, a Hootsuite deverá, mediante solicitação por escrito do Cliente recebida pela Hootsuite dentro de 30 (trinta) dias da rescisão dos Serviços, devolver ou excluir todos os Dados Pessoais do Cliente e cópias desses dados sob sua custódia ou controle, salvo se for legalmente obrigada a reter os Dados Pessoais do Cliente. Até que os Dados Pessoais do Cliente sejam excluídos ou devolvidos, a Hootsuite continuará protegendo os Dados Pessoais do Cliente de acordo com o Contrato, este DPA e as Leis de Proteção de Dados Aplicáveis.

10. DISPOSIÇÕES GERAIS

10.1 Efeito Legal. Este DPA é um adendo ao Contrato e está incorporado como parte integrante do Contrato entre o Cliente e a Hootsuite. Exceto conforme expressamente previsto neste documento, uma entidade da Hootsuite não será parte deste DPA (ou das SCCs), a menos que seja parte do Contrato. Salvo pelas alterações feitas por este DPA, o Contrato permanece inalterado e em pleno vigor e efeito. O presente DPA substitui e revoga todas as declarações, entendimentos, contratos ou comunicações anteriores ou contemporâneos entre o Cliente e a Hootsuite, sejam escritos ou verbais, relativos ao objeto deste DPA, incluindo qualquer adendo de processamento de dados celebrado anteriormente entre a Hootsuite e o Cliente. 

10.2 Conflito. Em caso de conflito entre qualquer disposição deste DPA e qualquer disposição do Contrato, aplicar-se-á a seguinte ordem de prevalência: (1) as SCCs; (2) este DPA; e (3) qualquer outra parte do Contrato. 

10.3 Rescisão. Este DPA permanecerá em vigor até a rescisão do Contrato.

10.4 Limitações de Responsabilidade. A responsabilidade de cada parte sob este DPA (incluindo as SCCs) estará sujeita às exclusões e limitações de responsabilidade estabelecidas no Contrato. Para evitar dúvidas, a responsabilidade total da Hootsuite e de suas Afiliadas por todas as reivindicações decorrentes ou relacionadas a este DPA será aplicada de forma agregada para todas as reivindicações, incluindo aquelas feitas pelo Cliente e suas Afiliadas. Em nenhuma hipótese este DPA restringe ou limita os direitos de qualquer titular de dados ou consumidor nos termos das Leis de Proteção de Dados Aplicáveis ou das SCCs.

10.5 Divulgação deste DPA. O Cliente reconhece que a Hootsuite poderá divulgar este DPA e quaisquer disposições relevantes de privacidade do Contrato a uma autoridade supervisora europeia ou a qualquer outro órgão judicial ou regulatório da Europa, do Canadá ou dos Estados Unidos, mediante solicitação.

10.6 Alterações. Poderemos alterar qualquer parte deste DPA a qualquer momento, publicando os termos revisados no site da Hootsuite. Notificaremos você sobre quaisquer alterações que, a nosso exclusivo critério, impactem materialmente este DPA. O DPA atualizado entrará em vigor no momento da publicação ou em data posterior especificada no DPA atualizado, e o seu uso contínuo dos Serviços após a entrada em vigor de tais alterações constituirá seu consentimento a tais alterações.

11. DEFINIÇÕES

11.1 Neste DPA, os seguintes termos têm os significados indicados abaixo:

(a) Os termos “empresa”, “consumidor”, “controlador”, “titular dos dados”, “dados pessoais”, “informações pessoais”, “processador”, “prestador de serviços” e “autoridade supervisora” têm os significados atribuídos pelas Leis de Proteção de Dados Aplicáveis. 

(b) “Afiliada” significa qualquer entidade que, direta ou indiretamente, controla, é controlada por ou está sob controle comum com a entidade em questão. Para os fins desta definição, “controle” significa a propriedade ou controle direto ou indireto de mais de 50% dos direitos de voto da entidade em questão. 

(c) “Contrato” significa o contrato escrito ou eletrônico celebrado entre o Cliente e a Hootsuite que incorpora este DPA por referência.

(d) “Leis de Proteção de Dados Aplicáveis” significa as Leis Europeias de Proteção de Dados, as Leis de Privacidade dos EUA, e todas as demais leis e regulamentos de proteção de dados e privacidade aplicáveis ao Processamento de Dados Pessoais do Cliente sob o Contrato. 

(e) “Dados Pessoais do Cliente” significa quaisquer dados pessoais ou informações pessoais fornecidas pelo Cliente (ou em seu nome) à Hootsuite, ou de outra forma processadas pela Hootsuite em nome do Cliente nos termos do Contrato, conforme descrito no Apêndice 1 deste DPA. “Dados Pessoais do Cliente” não incluem quaisquer dados pessoais ou informações pessoais que o Cliente processe por meio de serviços de terceiros que não sejam fornecidos pela Hootsuite, mas que o Cliente possa acessar ou utilizar em conexão com os Serviços. 

(f) “Europa” significa, para os fins deste DPA, o Espaço Econômico Europeu e seus Estados-Membros, a Suíça e o Reino Unido (“UK”).

(g) “Leis Europeias de Proteção de Dados” significa todas as leis e regulamentações de proteção de dados e privacidade da Europa aplicáveis ao Tratamento dos Dados Pessoais do Cliente nos termos do Contrato, incluindo: (i) o Regulamento Geral sobre a Proteção de Dados da UE (“GDPR”); (ii) quaisquer implementações nacionais aplicáveis do GDPR; (iii) o GDPR conforme incorporado ao ordenamento jurídico do Reino Unido por força da Seção 3 da Lei de Retirada da União Europeia de 2018 e da Lei de Proteção de Dados de 2018 (conjuntamente, o “UK GDPR”); e (iv) a Lei Federal Suíça de Proteção de Dados de 2020 e seu Regulamento (“Swiss FADP”); em cada caso conforme alterados, substituídos ou revogados periodicamente.          

(h) “Hootsuite” significa a entidade da Hootsuite que é parte do Contrato, podendo ser: Hootsuite Inc. (111 East 5th Avenue, 3rd Floor, Vancouver, British Columbia, Canadá V5T 4L1), Sparkcentral Europe NV (Kempische Steenweg 311 b6.01, 3500 Hasselt, Bélgica), Heyday Technologies Inc. (1100 avenue des Canadiens-de-Montréal, Bureau 150, Montreal, Quebec, Canadá, H3B 2S2), Talkwalker S.à r.l. (33 avenue John F. Kennedy, L-1855, Luxemburgo), Talkwalker Inc. (3616 Far West Blvd., Suite 117 #419, Austin, TX 78731), Talkwalker Pte. Ltd. (9, Raffles Place, #26-01 Republic Plaza, Singapura 048619) ou Talkwalker KK (Ark Hills South Tower 16F, 1-4-5 Roppongi, Minato-ku Tóquio, 13, 106-0032, Japão). 

(i) “Processar” ou “Processamento” significa qualquer operação ou conjunto de operações realizadas sobre os Dados Pessoais do Cliente, com ou sem o uso de meios automatizados, incluindo a coleta, o uso e a divulgação dos Dados Pessoais do Cliente.

(j) “Transferência Restrita” significa uma transferência de Dados Pessoais do Cliente originados da Europa para um país que não fornece um nível adequado de proteção para dados pessoais, conforme o significado das Leis Europeias de Proteção de Dados aplicáveis.

(k) “Incidente de Segurança” significa uma violação de segurança que leve à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito a quaisquer Dados Pessoais do Cliente processados pela Hootsuite em conexão com a prestação dos Serviços. Isso não inclui tentativas ou atividades malsucedidas que não comprometam a segurança dos Dados Pessoais do Cliente, incluindo tentativas malsucedidas de acesso, pings, varreduras de porta (port scans), ataques de negação de serviço e outros ataques de rede a firewalls ou sistemas em rede.

(l) “Serviços” significa os serviços fornecidos pela Hootsuite ao Cliente, conforme estabelecido no Contrato ou no Pedido de Serviço ou Formulário de Autorização aplicável.

(m) “Cláusulas Contratuais Padrão (SCCs)” significa as cláusulas contratuais padrão aprovadas pela Comissão Europeia, conforme sua decisão 2021/914 de 4 de junho de 2021, conforme possam ser alteradas, substituídas ou revogadas periodicamente.

(n) “Subcontratado” significa qualquer processador terceirizado contratado pela Hootsuite ou por suas Afiliadas para auxiliar na prestação dos Serviços ao Cliente, de acordo com o Contrato e este DPA. Subcontratados não incluem os funcionários, contratados ou consultores da Hootsuite ou de suas Afiliadas.  

(o) “Adendo do Reino Unido (UK Addendum)” significa o Adendo Internacional de Transferência de Dados às Cláusulas Contratuais Padrão da Comissão da UE, emitido pelo Comissário de Informação do Reino Unido sob a seção 119A(1) da Lei de Proteção de Dados de 2018, conforme possa ser alterado, substituído ou revogado periodicamente.

(p) “Leis de Privacidade dos EUA” significa todas as leis estaduais e federais dos Estados Unidos relativas à proteção de dados e privacidade aplicáveis ao Processamento de Dados Pessoais do Cliente nos termos do Contrato, incluindo, sem limitação: (i) a Lei de Privacidade do Consumidor da Califórnia, conforme alterada pela Lei dos Direitos de Privacidade da Califórnia, e quaisquer regulamentos correlatos (coletivamente, “CCPA”); (ii) a Lei de Proteção de Dados do Consumidor da Virgínia (“CDPA”); (iii) a Lei de Privacidade do Colorado (“CPA”); (iv) a Lei de Privacidade do Consumidor de Utah (“UCPA”); (v) a Lei de Privacidade de Dados de Connecticut (“CTDPA”); (vi) a Lei de Privacidade de Dados do Consumidor de Montana (“MCDPA”); (vii) a Lei de Privacidade e Segurança de Dados do Texas (“TDPSA”); (viii) a Lei de Privacidade do Consumidor de Oregon (“OCPA”); (ix) a Lei de Proteção de Dados do Consumidor de Iowa (“ICDPA”); (x) a Lei de Privacidade de Dados Pessoais de Delaware (“DPDPA”); (xi) a Lei de Privacidade de Dados de Nebraska (“NDPA”); (xii) a Lei de Privacidade de Dados de Nova Jersey (“NJDPA”); (xiii) a Lei de Proteção de Informações do Tennessee (“TIPA”); (xiv) a Lei de Privacidade de Dados On-line de Maryland (“MODPA”); (xv) a Lei de Privacidade de New Hampshire (“NHPA”); e (xvi) a Lei de Privacidade de Dados do Consumidor de Minnesota (“MCDPA”); em cada caso, quando em vigor e conforme possam ser alteradas, substituídas ou revogadas periodicamente.

Apêndice 1: Descrição do Processamento

Este Apêndice descreve o Processamento de Dados Pessoais do Cliente pelas partes em conexão com os Serviços e constitui parte integrante do Contrato. Salvo definição em contrário neste documento, os termos em maiúsculas neste Apêndice terão o mesmo significado atribuído a eles no Contrato.

(A) Lista de partes

Exportador de Dados:

Nome:

O exportador de dados é a entidade identificada como “Cliente” no Contrato.

Endereço:

O endereço está definido no Contrato.

Nome da pessoa de contato, cargo e informações de contato:

As informações de contato estão estabelecidas no Contrato.

Atividades relevantes aos dados transferidos nos termos destas Cláusulas:

Atividades de Processamento relacionadas ao recebimento dos Serviços conforme estabelecido no Contrato.

Função (controlador/processador): 

Controlador

Importador de Dados:

Nome:

O importador de dados é a entidade aplicável da Hootsuite, conforme definido na Seção 8 do DPA.

Endereço:

O endereço da entidade aplicável da Hootsuite, conforme definido na Seção 8 do DPA.

Nome da pessoa de contato, cargo e informações de contato:

Jennifer Ma, diretora sênior de privacidade e conformidade de produto e encarregada de proteção de dados (Data Protection Officer)

Atividades relevantes aos dados transferidos nos termos destas Cláusulas:

Atividades de processamento na prestação dos Serviços conforme estabelecido no Contrato

Função (controlador/processador): 

Processador

(B) Descrição do processamento e transferência

Serviços

Categorias de titulares de dados ou consumidores:

- Empregados, consultores ou contratados do Cliente autorizados a usar os Serviços.
- Indivíduos cujos dados pessoais ou informações pessoais estejam incluídos em: (i) redes sociais e outros serviços de mensagens (por exemplo, WhatsApp, WeChat, X, Facebook, Instagram, TikTok, SMS); (ii) comunicações por chat, incluindo publicações, comunicações, mensagens, páginas ou feeds; e (iii) outras fontes públicas (por exemplo, Global News Group); e que sejam processados em nome do Cliente em conexão com os Serviços. 

Categorias de dados pessoais ou informações pessoais:

As informações que são processadas por meio dos Serviços são determinadas e controladas pelos Clientes a seu exclusivo critério e podem incluir as seguintes categorias:

Todos os serviços
- Dados de identificação (por exemplo, nome, identificador de mídias sociais, nome de usuário, ID de usuário, informações de perfil, dados de geolocalização)
- Detalhes de contato (por exemplo, nome, e-mail, número de telefone)
- Conteúdo de mídias sociais e outros conteúdos gerados por usuários da Internet/plataforma (por exemplo, atualizações de status, postagens, comentários, páginas, perfis, curtidas, feeds, itens em blogs ou fóruns contendo palavras-chave e características)

Serviços da Hootsuite
- Outras informações individuais (por exemplo, idade, gênero, empregador, profissão, localização geográfica, educação, situação financeira, hábitos, interesses e preferências)
- E-mails, documentos, conteúdo gerado por usuários (por exemplo, mensagens, postagens, fotos, vídeos, comentários, páginas, perfis, feeds ou comunicações em sites/redes sociais) e outros dados em formato eletrônico
- Inputs e saídas do cliente para serviços habilitados por inteligência artificial
- Conteúdo, comunicações, mensagens, dados e outras informações não descritas acima que são enviadas ou recebidas pelo Cliente através dos Serviços
- Categorias de dados pessoais descritas nos produtos Hootsuite Inbox, produtos de chatbot da Hootsuite e produtos Hootsuite Listening

Serviços Sparkcentral; Produtos Hootsuite Inbox
- Conteúdo de mensagens que indivíduos optam por compartilhar (por exemplo, mensagens de mídias sociais, mensagens no aplicativo, SMS)
- Metadados de mídias sociais e mensagens (por exemplo, número de seguidores em mídias sociais, número de postagens, número de tweets)

Serviços Heyday; Produtos de chatbot da Hootsuite
- Dados de conversa (por exemplo, conversas recuperadas e processadas através do site do Cliente ou outros serviços de mensagens suportados e informações de pedidos)
- Dados de dispositivo e navegação (por exemplo, endereço IP, número de visitas ao site, número de visualizações de páginas, tempo gasto, navegação de chat, tags de usuários)

Serviços Talkwalker; Produtos de escuta da Hootsuite
- Características pessoais publicamente disponíveis de usuários de mídias sociais e da Internet (por exemplo, idade, gênero, interesses e preferências, formação profissional e educacional, fotos e vídeos) 
- Qualquer outra informação relacionada ao monitoramento de marca publicada em uma rede social ou site da Internet publicamente disponível que contenha informações pessoais

Dados confidenciais (se aplicável) e restrições ou salvaguardas aplicadas: 

As informações processadas por meio dos Serviços são determinadas e controladas pelos Clientes e podem incluir os seguintes dados sensíveis: dados pessoais que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados relacionados à saúde ou à vida sexual, ou dados relativos a delitos, condenações criminais ou medidas de segurança. Consulte o Apêndice 2 para restrições e salvaguardas aplicáveis a dados sensíveis.

Frequência da transferência:

Contínuo

Natureza do Processamento: 

Coleta, armazenamento, organização, modificação, recuperação, divulgação, comunicação e outros usos no desempenho dos Serviços conforme estabelecido no Contrato.

Finalidade(s) e objeto da transferência e do Processamento adicional:


Atividades de Processamento na execução dos Serviços conforme estabelecido no Contrato, incluindo:
- Fornecimento de acesso aos Serviços Hootsuite, Sparkcentral, Heyday e/ou Talkwalker;
- Entrega, manutenção e atualização de funcionalidades conforme licenciadas, configuradas e utilizadas pelo Cliente e usuários autorizados;
- Monitoramento em tempo real do desempenho, segurança e disponibilidade do sistema;
- Identificação, diagnóstico e resolução de problemas técnicos, bugs e erros, incluindo testes e garantia de qualidade;
- Facilitação de integrações com aplicações e serviços de terceiros autorizados; e
- Outras atividades de processamento necessárias para a execução dos Serviços, conforme instruções documentadas do Cliente.

Período e duração pelos quais os dados pessoais ou informações pessoais serão processados e retidos: 

De acordo com a Seção 9 do DPA.

(C) Autoridade Supervisora Competente

Para os fins das SCCs, a autoridade supervisora competente será determinada conforme o GDPR. 

Apêndice 2: Medidas de Segurança

Este Apêndice descreve as medidas técnicas e organizacionais a serem implementadas pela Hootsuite e constitui parte integrante do Contrato. Salvo definição em contrário neste documento, os termos em letras maiúsculas terão o mesmo significado atribuído a eles no Contrato.

As medidas técnicas e organizacionais (“TOMs”) a serem implementadas (incluindo quaisquer certificações relevantes) para garantir um nível adequado de segurança, levando em consideração a natureza, o escopo, o contexto e as finalidades do processamento, bem como os riscos para os direitos e liberdades das pessoas físicas, são descritas para os Serviços aplicáveis no seguinte link: https://www.hootsuite.com/legal/security-practices. A tabela a seguir fornece exemplos dos TOMs implementados pela Hootsuite.  

Tipo de TOMs

Descrição dos TOMs

Medidas de pseudonimização e criptografia de dados pessoais


Pseudonimização 
O processamento de dados pessoais é limitado nos Serviços. Por exemplo, quando os dados estão sendo processados (por exemplo, recuperados e analisados), e quando viável, um ID exclusivo é utilizado como identificador em vez dos campos completos de dados pessoais, como o nome e sobrenome do usuário da conta e seu endereço de e-mail comercial.

Criptografia
Os dados fornecidos pelos clientes à Hootsuite são criptografados em trânsito e em repouso para mitigar ameaças à segurança, conforme os padrões do setor.

Medidas para assegurar a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento

Controles de acesso
- Políticas e procedimentos de controle de acesso que abrangem admissão, desligamento, transição entre funções, revisões regulares de acesso, limitações e controle de uso de privilégios administrativos e tempos limite de inatividade foram implementados.
- A identificação e segregação de funções e áreas de responsabilidade conflitantes, como a separação de deveres, estão implementadas.
- Um inventário atualizado e preciso de contas de computador é mantido. 
- Os princípios de “necessidade de conhecimento” e “mínimo privilégio” são aplicados e os direitos de acesso dos usuários são revisados regularmente para identificar privilégios excessivos. 
- Há um limite de tentativas de login.
- O acesso remoto a sistemas de produção e outros segmentos sensíveis da rede exige conexão via VPN. 

Autenticação
- Senhas exigem uma complexidade mínima definida. Senhas iniciais devem ser alteradas após o primeiro login.
- O acesso aos sistemas utilizados por funcionários e prestadores de serviços da Hootsuite é controlado por autenticação multifator (MFA).
- O login único (SSO) foi implementado em toda a empresa para garantir um controle de acesso mais amplo e centralizado aos sistemas utilizados pelos funcionários e prestadores de serviço da Hootsuite.

Práticas de pessoal
- Todos os funcionários estão vinculados a acordos de confidencialidade e às políticas de segurança e privacidade da Hootsuite. Durante a integração e ao menos uma vez por ano, todos os funcionários recebem treinamento em segurança e privacidade.
- A triagem pré-admissional (que pode incluir verificação de antecedentes criminais), proporcional à sensibilidade da função e conforme permitido por lei, é realizada.

Detecção e monitoramento de intrusões
- Mecanismos de detecção de intrusões são utilizados para monitorar os Serviços em busca de acessos não autorizados.
- Firewalls são configurados de acordo com as melhores práticas do setor, e portas não utilizadas para entrega dos Serviços da Hootsuite são bloqueadas por configuração com nosso provedor de data center.
- Varreduras de vulnerabilidades são realizadas no ambiente de produção, e esforços comercialmente razoáveis são empregados para corrigir qualquer falha que represente risco material ao ambiente da Hootsuite. 
- Bloqueios de tela são aplicados, e a criptografia de disco completo é implementada em notebooks da empresa.

Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais de forma oportuna no caso de um incidente físico ou técnico

Recuperação de desastres
Os dados do Cliente são armazenados de forma redundante em vários locais nos data centers do provedor de hospedagem da Hootsuite para garantir a disponibilidade. Existem procedimentos de backup e restauração para possibilitar a recuperação em caso de desastre de grandes proporções. 

Backups
O
O Conteúdo do Cliente e o código-fonte das aplicações são automaticamente copiados em backup pelo menos uma vez por noite. A equipe de operações da Hootsuite é alertada em caso de qualquer falha nesse sistema.

Processos para testar, avaliar e verificar regularmente a eficácia das medidas técnicas e organizacionais para assegurar a segurança do processamento


Equipe de segurança
Um líder de Segurança dedicado e uma equipe de Segurança supervisionam, monitoram e testam as medidas técnicas e organizacionais implementadas para os Serviços.

Auditorias e certificações
- Validação independente da existência e maturidade dos programas de cibersegurança e privacidade por meio das seguintes certificações:
∙ISO/IEC 27001:2022 – Framework para gerenciamento da segurança da informação
∙ISO/IEC 27701:2019 – Controles de privacidade para proteção de informações pessoais
∙ISO/IEC 27017:2015 – Diretrizes de segurança para serviços em nuvem
∙ISO/IEC 27018:2019 – Proteção de dados pessoais em nuvens públicas

- Auditoria anual SOC 2 Tipo II, realizada por um terceiro independente, para testar a eficácia das medidas técnicas e organizacionais em vigor.

Outras auditorias e certificações de segurança relacionadas aos Serviços da Hootsuite incluem:
- O relatório SOC 3, que apresenta informações sobre os controles internos da Hootsuite voltados à segurança;
- A Hootsuite alcançou a conformidade com o programa Cyber Essentials do Reino Unido.
- A Hootsuite está autorizada para uso sob o Programa Federal de Gerenciamento de Riscos e Autorizações do governo dos Estados Unidos, processo de certificação auditado conforme o padrão NIST SP 800-53.

Medidas para identificação e autorização do usuário


Registros
- Registros que documentam detalhes de transmissões de dados a partir de sistemas de TI que armazenam ou processam dados pessoais e o acesso de usuários aos Serviços são monitorados e revisados pela equipe de Segurança para verificar acessos autorizados.
- Todos os registros do sistema que contêm informações importantes, como autenticação e registros de acesso à rede, são coletados em um repositório central e monitorados por uma equipe dedicada para detectar atividades suspeitas.

Criptografia e Firewalls
- Todas as interfaces voltadas ao público são protegidas por criptografia e firewalls em conformidade com os padrões da indústria.
- Sistemas de produção são acessíveis apenas após autenticação multifator (MFA).
- Firewalls (por exemplo, firewall de aplicação web, firewalls de rede) são utilizados e monitorados continuamente nos sistemas de produção.

Controle de Acesso
- O controle de acesso baseado em funções é aplicado de acordo com os princípios de “necessidade de conhecimento” e “privilégio mínimo”.  

Medidas para a proteção de dados durante a transmissão


Os Serviços oferecem suporte aos mais recentes conjuntos de cifras e protocolos seguros em conformidade com os padrões da indústria para criptografar todo o tráfego em trânsito. Atualmente, a Hootsuite oferece suporte ao TLS 1.2 ou superior no tráfego da web.

O acesso remoto a sistemas de produção e a outros segmentos de rede sensíveis é permitido somente por meio de túnel VPN, que requer MFA e é criptografado de ponta a ponta.

Medidas para a proteção de dados durante o armazenamento


O Conteúdo do Cliente é criptografado em repouso (utilizando AES com criptografia de 128 ou 256 bits), conforme apropriado e considerando a natureza do conteúdo e os riscos associados.

Os controles de acesso (conforme descrito acima) são implementados para restringir o acesso apenas a pessoal autorizado, com base nos princípios de “necessidade de conhecimento” e “privilégio mínimo”, para fins de manutenção dos Serviços. 

Medidas para assegurar a segurança física dos locais onde os dados pessoais são processados


Segurança do provedor de serviços em nuvem
A Hootsuite utiliza a Amazon Web Services (AWS) como provedora dos data centers de produção para fornecer os Serviços Hootsuite, Sparkcentral e Heyday. A AWS possui certificações e credenciais reconhecidas internacionalmente, demonstrando conformidade com rigorosos padrões internacionais, como ISO 27017 para segurança na nuvem, ISO 27018 para privacidade na nuvem, SOC 1, SOC 2 e SOC 3, PCI DSS Nível 1. As informações sobre certificações e conformidade da Amazon Web Services podem ser acessadas no site de Segurança da AWS e no site de Conformidade da AWS.

A Hootsuite utiliza a Hetzner em seus data centers de produção para fornecer os Serviços de Escuta da Hootsuite e os Serviços do Talkwalker. A Hetzner possui a certificação ISO 27001.

Segurança dos escritórios da Hootsuite
Todos os escritórios da Hootsuite onde dados pessoais podem ser processados possuem:
- Sistemas eletrônicos de controle de acesso para proteger as áreas principais de entrada e segurança
- Monitoramento das instalações por serviços de segurança e registro de acesso às instalações
- Vigilância por vídeo de áreas relevantes para a segurança, como entradas e saídas
- Atribuição e revogação central de autorizações de acesso
- Identificação de todos os visitantes por meio da verificação de seus documentos de identidade e registro (um registro dos visitantes é mantido)
- Identificação obrigatória dentro das áreas de segurança para todos os funcionários e visitantes
- Os visitantes devem estar sempre acompanhados por funcionários.

Medidas para assegurar o registro de eventos


Todos os sistemas utilizados na prestação dos Serviços da Hootsuite, incluindo firewalls, roteadores, switches de rede, sistemas de detecção de intrusão, serviços antimalware e sistemas operacionais, registram informações em servidores de registros seguros para possibilitar análises e revisões de segurança.

Consulte também: Detecção e monitoramento de intrusões acima para mais detalhes.

Medidas para assegurar a configuração do sistema, incluindo a configuração padrão


Os servidores de produção, bancos de dados e configurações de segurança na nuvem são reforçados de acordo com as diretrizes internas de configuração e em conformidade com a Política de Gerenciamento de Configuração. 

A configuração e a criação dos sistemas são gerenciadas por código por meio dos Sistemas de Gerenciamento de Configuração. As alterações nos conjuntos de configuração exigem revisão por pares e aprovação. Novas instâncias são criadas a partir de “imagens base” pré-configuradas e reforçadas.

Medidas para governança e gestão interna de TI e segurança de TI e medidas para certificação/asseguração de processos e produtos

A Hootsuite implementa e mantém políticas e procedimentos de segurança conforme os padrões da indústria, alinhados com o framework de cibersegurança do National Institute of Standards and Technology (NIST).

Há uma liderança dedicada à Segurança e uma equipe responsável pela implementação das políticas e normas de segurança, bem como pela supervisão de auditorias e certificações anuais conforme mencionado acima (por exemplo, SOC 2 Tipo II, programa UK Cyber Essentials, autorização FedRAMP, ISO 27001, dependendo da entidade Hootsuite relevante). 

Medidas para garantir a minimização de dados


O acesso aos dados pessoais é restrito com base nos princípios de “necessidade de conhecimento” e “mínimo privilégio”.

Os exportadores de dados (clientes) são os controladores dos dados que optam por carregar nos Serviços e podem decidir limitar a quantidade de dados processados.

O acesso aos servidores de produção é controlado por meio de controles de acesso baseados em função.

Medidas para garantir a qualidade dos dados


Os dados são obtidos em tempo real de redes sociais por meio de APIs, e a precisão e qualidade dos dados dependerão das informações fornecidas pelas próprias redes sociais. 

Os exportadores de dados (clientes) são os controladores dos dados que optam por carregar nos Serviços e podem atualizar ou modificar os dados para garantir sua qualidade.

Medidas para assegurar a retenção limitada de dados


Para manter a precisão dos dados e minimizar a retenção, e quando aplicável aos Serviços, os dados obtidos de redes sociais são armazenados temporariamente apenas para exibição. 

Existe uma Política de Retenção e Destruição de Registros, e os dados são mantidos pelo tempo necessário para fornecer os Serviços, para fins de registro, para cumprir obrigações legais, resolver disputas e fazer cumprir os termos dos Serviços. 

Processos de exclusão de dados estão implementados para solicitações de exclusão feitas por titulares de dados.

Medidas para garantir a responsabilização


Um líder de segurança dedicado e uma equipe são responsáveis por garantir a implementação e o cumprimento de políticas e procedimentos adequados de segurança e proteção de dados. 

A Hootsuite nomeou um Encarregado de Proteção de Dados (Data Protection Officer), que, juntamente com a equipe de Privacidade, supervisiona o programa de privacidade. 

No nível executivo, os líderes são regularmente atualizados sobre questões de proteção de dados e podem participar da definição estratégica das práticas de proteção de dados da Hootsuite.

Os funcionários passam por treinamentos anuais sobre privacidade e segurança.

Um processo foi implementado para responder e gerenciar prontamente solicitações de titulares de dados, como pedidos de acesso e exclusão de suas informações. 

A Hootsuite observa os princípios de “privacidade por design”, incluindo a realização de avaliações e revisões de impacto sobre privacidade ao implementar novas funcionalidades de produto e novos processos. 

Medidas para permitir a portabilidade dos dados e garantir a exclusão


Os clientes podem solicitar a devolução ou exclusão de todos os dados pessoais e cópias desses dados sob sua custódia ou controle. Há processos implementados para solicitações de exclusão por titulares de dados. 

Para a portabilidade dos dados, há opções de “Exportação de Dados” nos Serviços, por meio das quais o conteúdo do Cliente pode ser exportado em formato CSV.  

Informações sobre Subcontratados

Consulte: https://www.hootsuite.com/legal/subprocessor-list 


Caso necessite de um contrato escrito e assinado, por favor clique aqui, preencha os seus dados de cliente e assine eletronicamente o adendo.