O cliente dos Serviços de Medição que concorda com os presentes termos ("Cliente") celebrou um contrato com a Google ou um revendedor terceiro (conforme aplicável) para o fornecimento dos Serviços de Medição (conforme alterado periodicamente, o "Contrato") através dos quais o Cliente da interface do utilizador ativou a Definição de Partilha de Dados.
Os presentes Termos de Proteção de Dados entre Responsáveis de Medição da Google ("Termos entre Responsáveis") são celebrados pela Google e pelo Cliente. Quando o Contrato é entre o Cliente e a Google, os presentes Termos entre Responsáveis complementam o Contrato. Quando o Contrato é entre o Cliente e um revendedor terceiro, os presentes Termos entre Responsáveis constituem um contrato separado entre a Google e o Cliente.
Para efeitos de clarificação, o fornecimento dos Serviços de Medição é regido pelo Contrato. Os presentes Termos entre Responsáveis estabelecem as disposições da proteção de dados relativas apenas à Definição de Partilha de Dados, não se aplicando de nenhuma outra forma ao fornecimento dos Serviços de Medição.
Sujeito às disposições da Secção 6.2 (Sem Efeito nos Termos Aplicáveis ao Subcontratante), os presentes Termos entre Responsáveis entram em vigor e substituem todos os termos aplicáveis anteriormente sobre o mesmo assunto a partir da Data de Entrada em Vigor dos Termos.
Se aceitar os presentes Termos entre Responsáveis em nome do Cliente, garante que: (a) tem plena autoridade legal para vincular o Cliente aos presentes Termos entre Responsáveis; (b) leu e entendeu os presentes Termos entre Responsáveis; e (c) aceita, em nome do Cliente, os presentes Termos entre Responsáveis. Se não tiver autoridade legal para vincular o Cliente, não aceite os presentes Termos entre Responsáveis.
Não aceite os presentes Termos entre Responsáveis se for um revendedor. Os presentes Termos entre Responsáveis estabelecem os direitos e as obrigações que se aplicam aos utilizadores dos Serviços de Medição e à Google.
1. Introdução
Os presentes Termos entre Responsáveis refletem o contrato entre as partes relativamente ao tratamento de Dados Pessoais do Responsável ao abrigo da Definição de Partilha de Dados.
2. Definições e Interpretação
2.1
Nos presentes Termos entre Responsáveis:
"Termos Adicionais" refere-se aos termos adicionais referidos no Anexo 1, que refletem o contrato entre as partes relativamente aos termos que regem o tratamento de Dados Pessoais do Responsável no âmbito de determinada Legislação Relativa à Proteção de Dados Aplicável.
"Afiliado" refere-se a uma entidade que, direta ou indiretamente, controla uma parte, é controlada por uma parte ou se encontra sob controlo comum de uma das partes.
"Legislação Relativa à Proteção de Dados Aplicável" refere-se, conforme aplicável, ao tratamento de Dados Pessoais do Responsável, a qualquer lei ou regulamento nacional, federal, da UE, estadual, provincial ou a outra lei ou regulamento relativos à privacidade, segurança ou proteção de dados, incluindo a Legislação Relativa à Proteção de Dados Europeia, a LGPD e as Leis de Privacidade Estaduais dos EUA.
"Informações Confidenciais" refere-se aos presentes Termos entre Responsáveis.
"Titular de Dados do Responsável" refere-se a um titular de dados a quem estão associados os Dados Pessoais do Responsável.
"Dados Pessoais do Responsável" refere-se aos dados pessoais que são tratados por uma das partes ao abrigo da Definição de Partilha de Dados.
"Definição de Partilha de Dados" refere-se à definição de partilha de dados que o Cliente ativou através da interface do utilizador dos Serviços de Medição e que permite à Google e aos respetivos Afiliados utilizarem dados pessoais para melhorar os produtos e os serviços da Google e dos respetivos Afiliados.
"Responsável Final" refere-se, para cada parte, à última pessoa a controlar os Dados Pessoais do Responsável.
"RGPD da UE" refere-se ao Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE.
"Legislação Relativa à Proteção de Dados Europeia" refere-se, conforme aplicável: (a) ao RGPD; e/ou (b) à LFPD da Suíça.
"RGPD" significa, conforme aplicável: (a) o RGPD da UE; e/ou (b) o RGPD do Reino Unido.
"Google" significa:
- (a) Se uma Entidade Google for uma das partes do Contrato, essa Entidade Google.
- (b) Se o Contrato for entre o Cliente e um revendedor terceiro e:
- (i) O revendedor terceiro estiver sediado na América do Norte ou noutra região fora da Europa, Médio Oriente, África, Ásia e Oceânia, a Google LLC (anteriormente denominada Google Inc.);
- (ii) O revendedor terceiro estiver sediado na Europa, Médio Oriente ou África, a Google Ireland Limited; ou
- (iii) O revendedor terceiro estiver sediado na Ásia e Oceânia, a Google Asia Pacific Pte. Ltd.
"Entidade Google" refere-se à Google LLC, à Google Ireland Limited ou a qualquer outro Afiliado da Google LLC.
"LGPD" refere-se à Lei Geral de Proteção de Dados Pessoais do Brasil.
"Serviços de Medição" refere-se ao Google Analytics, Google Analytics 360, Google Analytics para Firebase, Google Optimize ou Google Optimize 360, conforme aplicável à Definição de Partilha de Dados para a qual as partes aceitaram os presentes Termos entre Responsáveis.
"Políticas" refere-se à Política de Consentimento de Utilizadores Finais da Google disponível em https://www.google.com/about/company/user-consent-policy.html.
"Termos Aplicáveis ao Subcontratante" refere-se:
- (a) Se a Google for uma das partes do Contrato, aos Termos Aplicáveis ao Subcontratante disponíveis em https://business.safety.google/adsprocessorterms; ou
- (b) Se o Contrato for entre o Cliente e um revendedor terceiro, aos termos que refletem uma relação de responsável-subcontratante (caso exista), conforme acordado entre o Cliente e o revendedor terceiro.
"LFPD da Suíça" refere-se à Lei Federal da Proteção de Dados de 19 de junho de 1992 (Suíça).
"Data de Entrada em Vigor dos Termos" refere-se à data na qual o Cliente clicou para aceitar ou as partes aceitaram os presentes Termos entre Responsáveis.
"Dados Pessoais do Responsável do Reino Unido" refere-se aos Dados Pessoais do Responsável associados aos Titulares de Dados do Responsável localizados no Reino Unido.
"RGPD do Reino Unido" refere-se ao RGPD da UE conforme alterado e transposto para o direito do Reino Unido através da Lei de Saída do Reino Unido da União Europeia de 2018 e da legislação secundária aplicável criada ao abrigo dessa Lei.
"Leis de Privacidade Estaduais dos EUA" refere-se, conforme aplicável, (i) à Lei da Privacidade dos Consumidores da Califórnia de 2018 (incluindo as alterações da California Privacy Rights Act de 2020), juntamente com todos os regulamentos de implementação ("CCPA"); (ii) à Lei da Proteção dos Dados do Consumidor da Virgínia, Va. Code Ann. § 59.1-571 e subsequentes; (iii) à Colorado Privacy Act, Colo. Rev. Stat. § 6-1-1301 e subsequentes; (iv) à Connecticut’s Act Concerning Data Privacy and Online Monitoring, Pub. Act n.º 22015; e (v) à Utah Consumer Privacy Act, Utah Code Ann. § 13-61-101 e subsequentes.
2.2
Os termos "responsável", "titular de dados", "dados pessoais", "tratamento" e "subcontratante", conforme utilizados nos presentes Termos entre Responsáveis, têm os significados atribuídos pela (a) Legislação Relativa à Proteção de Dados Aplicável; ou (b) pelo RGPD, se não existir qualquer significado ou lei.
2.3
Quaisquer exemplos nos presentes Termos entre Responsáveis são ilustrativos e não são os únicos exemplos de um conceito em particular.
2.4
Qualquer referência a um enquadramento legal, estatuto ou outro decreto legislativo é uma referência ao mesmo conforme alterado ou renovado periodicamente.
2.5
Caso qualquer versão traduzida do presente Contrato seja inconsistente com a versão em inglês, esta última prevalecerá.
2.6
As referências nas CCTs para responsáveis aos "Termos de Proteção de Dados entre Responsáveis de Tratamento de Dados do Google Ads" irão ser interpretadas como os "Termos de Proteção de Dados entre Responsáveis de Medição da Google".
3. Aplicação dos presentes Termos entre Responsáveis
3.1 Disposições Gerais
Os presentes Termos entre Responsáveis aplicam-se apenas à Definição de Partilha de Dados relativamente à qual as partes aceitaram os presentes Termos entre Responsáveis (por exemplo, a Definição de Partilha de Dados para a qual o Cliente clicou para aceitar os presentes Termos entre Responsáveis).
3.2 Duração
Os presentes Termos entre Responsáveis aplicam-se a partir da Data de Entrada em Vigor dos Termos e continuam a ser aplicáveis enquanto a Google ou o Cliente tratar os Dados Pessoais do Responsável, período após o qual os presentes Termos entre Responsáveis serão rescindidos automaticamente.
4. Funções e Restrições no Tratamento
4.1 Responsáveis Independentes
Sujeito às disposições da Secção 4.4 (Responsáveis Finais), cada responsável independente:
- (a) É um responsável independente dos Dados Pessoais do Responsável;
- (b) Irá determinar individualmente as finalidades e os meios do respetivo tratamento dos Dados Pessoais do Responsável; e
- (c) Irá agir em conformidade com as obrigações que lhe são impostas ao abrigo da Legislação Relativa à Proteção de Dados Aplicável no que diz respeito ao tratamento dos Dados Pessoais do Responsável.
4.2 Restrições no Tratamento
A Secção 4.1 (Responsáveis Independentes) não afeta quaisquer restrições aos direitos de qualquer uma das partes de utilizar ou tratar os Dados Pessoais do Responsável ao abrigo do Contrato.
4.3 Consentimento do Utilizador Final
O Cliente irá agir em conformidade com as Políticas relativas aos Dados Pessoais do Responsável partilhados de acordo com a Definição de Partilha de Dados e irá assumir sempre o ónus da prova no estabelecimento dessa conformidade.
4.4 Responsáveis Finais
Sem reduzir as obrigações de qualquer uma das partes ao abrigo dos presentes Termos entre Responsáveis, cada parte confirma que: (a) os Afiliados ou clientes da outra parte podem ser Responsáveis Finais; e (b) a outra parte pode agir como um subcontratante em nome dos respetivos Responsáveis Finais. Cada parte irá garantir que os respetivos Responsáveis Finais agem em conformidade com os Termos entre Responsáveis.
4.5 Transparência
O Cliente confirma que a Google publicou informações acerca da forma como a Google utiliza as informações de sites, apps ou outras propriedades que utilizam os respetivos serviços em https://business.safety.google/privacy/. Sem prejuízo das respetivas obrigações ao abrigo da Secção 4.1(c), o Cliente pode aceder a essa página para fornecer aos Titulares de Dados do Responsável informações acerca do Tratamento de Dados Pessoais do Responsável pela Google.
5. Responsabilidade
5.1
Se a Google:
- (a) For uma das partes do Contrato e o Contrato for regido pelas leis de:
- (i) Um estado dos Estados Unidos da América, então, independentemente de qualquer outra cláusula do Contrato, a responsabilidade total de qualquer uma das partes face à outra parte ao abrigo ou em relação aos presentes Termos entre Responsáveis será limitada ao valor máximo monetário ou baseado em pagamentos ao qual a responsabilidade dessa parte está limitada ao abrigo do Contrato (e, por conseguinte, quaisquer exclusões de reivindicações de reparações resultantes da limitação de responsabilidade do Contrato não serão aplicadas a reivindicações de reparações ao abrigo do Contrato relacionadas com a Legislação Relativa à Proteção de Dados Aplicável); ou
- (ii) Uma jurisdição que não seja um estado dos Estados Unidos da América, então a responsabilidade das partes ao abrigo ou em relação aos presentes Termos entre Responsáveis está sujeita às exclusões e limitações de responsabilidade do Contrato; ou
- (b) Não for uma das partes do Contrato, na medida do permitido pela legislação aplicável, a Google não se responsabiliza pela perda de receita por parte do Cliente nem por danos indiretos, especiais, fortuitos, derivados, exemplares ou punitivos, mesmo que a Google ou os respetivos Afiliados tenham sido informados, tivessem conhecimento ou devessem ter tido conhecimento da possibilidade de tais danos não serem passíveis de solução. A responsabilidade total acumulada da Google (e dos respetivos Afiliados) perante o Cliente ou qualquer outra parte por quaisquer perdas ou danos resultantes de reivindicações, danos ou ações decorrentes de ou relacionados com os presentes Termos entre Responsáveis não irá ultrapassar os quinhentos dólares americanos (500 USD).
6. Efeito dos Termos entre Responsáveis
6.1 Ordem de Precedência
Se existir qualquer conflito ou inconsistência entre os Termos Adicionais, o restante dos presentes Termos entre Responsáveis e/ou o restante Contrato, então, sujeito às Secções 4.2 (Restrições no Tratamento) e 6.2 (Sem Efeito nos Termos Aplicáveis ao Subcontratante), será aplicada a seguinte ordem de precedência: (a) os Termos Adicionais (se aplicáveis); (b) o restante dos presentes Termos entre Responsáveis; e (c) o restante Contrato. Sujeito às alterações aos presentes Termos entre Responsáveis, o Contrato entre a Google e o Cliente permanece em vigor.
6.2 Sem Efeito nos Termos Aplicáveis ao Subcontratante
Os presentes Termos entre Responsáveis não substituem nem afetam quaisquer Termos Aplicáveis ao Subcontratante. Para efeitos de clarificação, se o Cliente for uma das partes dos Termos Aplicáveis ao Subcontratante em relação com os Serviços de Medição, os Termos Aplicáveis ao Subcontratante continuam a aplicar-se aos Serviços de Medição não obstante os presentes Termos entre Responsáveis se aplicarem aos Dados Pessoais do Responsável tratados de acordo com a Definição de Partilha de Dados.
7. Alterações aos presentes Termos entre Responsáveis
7.1 Alterações aos Termos entre Responsáveis
A Google pode alterar os presentes Termos entre Responsáveis se a alteração:
- (a) Refletir uma alteração no nome ou na forma de uma entidade legal;
- (b) For necessária para agir em conformidade com a lei aplicável, um regulamento aplicável, uma ordem judicial ou orientações emitidas por um regulador ou uma agência governamental, ou refletir a adoção por parte da Google de uma Solução Alternativa de Transferência (conforme definido no Anexo 1A);
- (c) For realizada conforme descrito na Secção 7.2 (Alterações aos URLs); ou
- (d) Não: (i) procurar alterar a categorização das partes como responsáveis dos Dados Pessoais do Responsável ao abrigo da Legislação Relativa à Proteção de Dados Aplicável; (ii) expandir o âmbito ou remover quaisquer restrições aos direitos de qualquer uma das partes de utilizar ou tratar os Dados Pessoais do Responsável; nem (iii) tiver um impacto material adverso no Cliente, conforme razoavelmente determinado pela Google.
7.2 Alterações aos URLs
Periodicamente, a Google poderá alterar qualquer URL referenciado nos presentes Termos entre Responsáveis e o conteúdo desse URL.
7.3 Notificação de Alterações
Se a Google pretender alterar os presentes Termos entre Responsáveis ao abrigo da Secção 7.1(b) e tal alteração tiver um impacto material adverso no Cliente, conforme razoavelmente determinado pela Google, a Google irá envidar todos os esforços comercialmente razoáveis para informar o Cliente, pelo menos, trinta (30) dias (ou um período de tempo mais curto conforme exigido para agir em conformidade com a lei aplicável, a regulamentação aplicável, uma ordem judicial ou orientações emitidas por um regulador ou agência governamental) antes de a alteração entrar em vigor. Se o Cliente se opuser a essa alteração, poderá desativar a Definição de Partilha de Dados.
8. Disposições Adicionais
8.1
A presente Secção 8 (Disposições Adicionais) aplica-se apenas se a Google não for uma das partes do Contrato.
8.2
Cada uma das partes irá agir em conformidade com as respetivas obrigações ao abrigo dos presentes Termos entre Responsáveis com os cuidados e as competências razoáveis.
8.3
Nenhuma das partes irá utilizar ou divulgar Informações Confidenciais da outra parte sem o consentimento prévio por escrito desta, exceto para efeitos de exercício dos respetivos direitos ou cumprimento das respetivas obrigações nos termos dos presentes Termos entre Responsáveis ou se exigido por lei, regulamento ou ordem judicial. Em tal caso, a parte que seja obrigada a divulgar Informações Confidenciais irá notificar a outra parte, com a maior antecedência possível na medida do razoavelmente praticável, antes de divulgar as Informações Confidenciais.
8.4
Na máxima extensão permitida pela legislação aplicável, salvo expressamente indicado nos presentes Termos entre Responsáveis, a Google não oferece quaisquer outras garantias, sejam expressas, implícitas, regulamentares ou outras, incluindo, sem exclusões, garantias de comercialização, adequação a uma determinada utilização e não infração.
8.5
Nenhuma parte será responsabilizada por falhas ou atrasos no cumprimento causados por circunstâncias fora do seu controlo razoável.
8.6
Se qualquer termo (ou parte de um termo) dos presentes Termos entre Responsáveis for considerado inválido, ilegal ou não executório, a parte restante dos presentes Termos entre Responsáveis permanece em vigor.
8.7
(a) Exceto conforme estabelecido na secção (b) abaixo, os presentes Termos entre Responsáveis são regidos e interpretados ao abrigo das leis do Estado da Califórnia, sem referência aos respetivos princípios de conflito de leis. Na eventualidade de quaisquer conflitos entre a lei, as regras e os regulamentos estrangeiros e a lei, as regras e os regulamentos da Califórnia, irão prevalecer e reger a lei, as regras e os regulamentos da Califórnia. Cada parte aceita submeter-se à jurisdição exclusiva e pessoal dos tribunais localizados no Condado de Santa Clara, Califórnia. A Convenção das Nações Unidas sobre Contratos de Compra e Venda Internacional de Mercadorias e a Lei para Uniformização das Transações por Computadores não são aplicáveis aos presentes Termos entre Responsáveis.
(b) Se o Contrato for entre o Cliente e um revendedor terceiro e este último estiver sediado na Europa, no Médio Oriente ou em África, os presentes Termos entre Responsáveis irão ser regidos pela lei inglesa. Cada uma das partes aceita submeter-se à jurisdição exclusiva dos tribunais ingleses relativamente a qualquer diferendo (contratual ou não contratual) decorrente de ou relacionado com os presentes Termos entre Responsáveis.
(c) No caso de as CCTs para responsáveis aplicarem e preverem uma lei aplicável que divirja das leis descritas nas secções (a) e (b) acima, a lei aplicável definida nas CCTs para responsáveis irá aplicar-se unicamente em relação às CCTs para responsáveis.
(d) A Convenção das Nações Unidas sobre Contratos de Compra e Venda Internacional de Mercadorias e a Lei para Uniformização das Transações por Computadores não são aplicáveis aos presentes Termos entre Responsáveis.
8.8
Todos os avisos de rescisão ou de violação devem ser apresentados por escrito em inglês e remetidos ao cuidado do Departamento Jurídico da outra parte. O endereço para envio de avisos ao Departamento Jurídico da Google é legal-notices@google.com. Os avisos são considerados entregues, mediante confirmação por escrito, recibo automático ou registo eletrónico (conforme aplicável).
8.9
Nenhuma das partes será considerada como tendo renunciado a quaisquer direitos por não exercer (ou atrasar o exercício de) quaisquer direitos ao abrigo dos presentes Termos entre Responsáveis. Nenhuma das partes pode ceder qualquer parte dos presentes Termos entre Responsáveis sem o consentimento por escrito da outra parte, exceto a um Afiliado se: (a) o cessionário tiver aceitado por escrito ficar vinculado aos termos dos presentes Termos entre Responsáveis; (b) a parte cedente permanecer responsável pelas obrigações ao abrigo dos presentes Termos entre Responsáveis caso o cessionário entre em incumprimento; (c) no caso do Cliente, a parte cedente tiver transferido as respetivas contas dos Serviços de Medição para o cessionário; e (d) a parte cedente tiver notificado a outra parte sobre a cedência. Qualquer outra tentativa de cedência é nula.
8.10
As partes são adjudicatários independentes. Os presentes Termos entre Responsáveis não criam qualquer agência, parceria ou joint venture entre as partes. Os presentes Termos entre Responsáveis não conferem quaisquer vantagens a terceiros, salvo declaração expressa em contrário.
8.11
Na medida do permitido pela lei aplicável, os presentes Termos entre Responsáveis estipulam todos os termos acordados entre as partes. Ao celebrar os presentes Termos entre Responsáveis, nenhuma das partes dependeu de, e nenhuma das partes terá quaisquer direitos ou soluções com base em, qualquer declaração, representação ou garantia (efetuada de forma negligente ou inocente), exceto aquelas definidas expressamente nos presentes Termos entre Responsáveis.
Anexo 1: Termos Adicionais para a Legislação Relativa à Proteção de Dados Aplicável
PARTE A – TERMOS ADICIONAIS PARA A LEGISLAÇÃO RELATIVA À PROTEÇÃO DE DADOS EUROPEIA
1. Introdução
O presente Anexo 1A aplica-se apenas na medida em que a Legislação Relativa à Proteção de Dados Europeia se aplique ao tratamento dos Dados Pessoais do Responsável.
2. Definições
2.1 No presente Anexo 1A:
"País Adequado" significa:
- (a) Para dados tratados sujeitos ao RGPD da UE: o EEE ou um país ou território que se reconheça garantir uma proteção de dados adequada ao abrigo do RGPD da UE;
- (b) Para dados tratados sujeitos ao RGPD do Reino Unido: o Reino Unido ou um país ou território que se reconheça garantir uma proteção adequada ao abrigo do RGPD do Reino Unido e da Lei de Proteção de Dados de 2018; e/ou
- (c) Para dados tratados sujeitos à LFPD da Suíça: a Suíça ou um país ou território que: (i) esteja incluído na lista dos estados cuja legislação garante uma proteção adequada conforme publicado pelo Comissário Federal de Proteção de Dados e Informação Suíço ou (ii) que se reconheça garantir uma proteção adequada pelo Conselho Federal Suíço ao abrigo da LFPD da Suíça, em cada caso, exceto com base num quadro de proteção de dados opcional.
"Solução Alternativa de Transferência" refere-se a uma solução, diferente das CCTs para responsáveis, que permite a transferência legal de dados pessoais para um terceiro país em conformidade com a Legislação Relativa à Proteção de Dados Europeia, por exemplo, um quadro de proteção de dados que se reconheça garantir que as entidades participantes disponibilizam a proteção adequada.
"CCTs para responsáveis" refere-se aos termos disponíveis em business.safety.google/adscontrollerterms/sccs/c2c.
"EEE" refere-se ao Espaço Económico Europeu.
"Dados Pessoais do Responsável Europeu" refere-se aos Dados Pessoais do Responsável associados aos Titulares de Dados do Responsável localizados no EEE ou na Suíça.
"Leis Europeias" refere-se, conforme aplicável: (a) às leis da UE ou leis pertencentes a um dos Estados-Membros da UE (se o RGPD da UE se aplicar ao tratamento de Dados Pessoais do Responsável); (b) às leis do Reino Unido ou de parte do Reino Unido (se o RGPD do Reino Unido se aplicar ao tratamento de Dados Pessoais do Responsável); e (c) às leis da Suíça (se a LFPD da Suíça se aplicar ao tratamento de Dados Pessoais do Responsável).
"Responsáveis Finais da Google" refere-se aos Responsáveis Finais dos Dados Pessoais do Responsável tratados pela Google.
"Transferências Europeias Permitidas" refere-se ao tratamento de Dados Pessoais do Responsável num País Adequado ou à transferência de Dados Pessoais do Responsável para um País Adequado.
"Transferências Europeias Restritas" refere-se às transferências de Dados Pessoais do Responsável: (a) que estão sujeitas à Legislação Relativa à Proteção de Dados Europeia; e (b) que não são Transferências Europeias Permitidas.
"Dados Pessoais do Responsável do Reino Unido" refere-se aos Dados Pessoais do Responsável associados aos Titulares de Dados do Responsável localizados no Reino Unido.
2.2 Os termos "importador dos dados" e "exportador dos dados" têm os significados atribuídos pelas CCTs para responsáveis.
3. Responsáveis Finais da Google
Os Responsáveis Finais da Google são: (i) para Dados Pessoais do Responsável Europeu tratados pela Google, a Google Ireland Limited; e, (ii) para Dados Pessoais do Responsável do Reino Unido tratados pela Google, a Google LLC. Cada parte irá garantir que os respetivos Responsáveis Finais agem em conformidade com as CCTs para responsáveis, sempre que aplicável.
4. Transferências de Dados
4.1 Transferências Europeias Restritas. Qualquer uma das partes pode efetuar Transferências Europeias Restritas se agir em conformidade com as disposições referentes às Transferências Europeias Restritas na Legislação Relativa à Proteção de Dados Europeia.
4.2 Solução Alternativa de Transferência.
- (a) Se a Google tiver adotado uma Solução Alternativa de Transferência para quaisquer Transferências Europeias Restritas, (i) a Google irá garantir que essas Transferências Europeias Restritas são efetuadas em conformidade com a referida Solução Alternativa de Transferência; e (ii) o parágrafo 5 (CCTs para responsáveis) do presente Anexo 1A não será aplicável a essas Transferências Europeias Restritas.
- (b) Se a Google não tiver adotado ou informar o Cliente de que a Google já não está a adotar uma Solução Alternativa de Transferência para quaisquer Transferências Europeias Restritas, o parágrafo 5 (CCTs para responsáveis) do presente Anexo 1A será aplicável a essas Transferências Europeias Restritas.
4.3 Disposições da Transferência Subsequente.
- (a) Aplicação do Parágrafo 4.3. Os parágrafos 4.3(b) (Utilização de Dados Pessoais do Fornecedor de Dados) e 4.3(c) (Proteção de Dados Pessoais do Fornecedor de Dados) do presente Anexo 1A aplicam-se apenas na medida em que:
- (i) Uma parte (o "Destinatário dos Dados") trate os Dados Pessoais do Responsável disponibilizados pela outra parte (o "Fornecedor de Dados") no âmbito do Contrato (tais Dados Pessoais do Responsável, "Dados Pessoais do Fornecedor de Dados");
- (ii) O Fornecedor de Dados ou o respetivo Afiliado esteja certificado ao abrigo de uma Solução Alternativa de Transferência; e
- (iii) O Fornecedor de Dados notifique por escrito o Destinatário dos Dados de tal certificação de Solução Alternativa de Transferência.
- (b) Utilização de Dados Pessoais do Fornecedor de Dados.
- (i) Na medida em que uma Solução Alternativa de Transferência aplicável inclua um princípio de transferência subsequente, então, de acordo com esses princípios de transferência subsequente ao abrigo da Solução Alternativa de Transferência relevante, o Destinatário dos Dados só irá utilizar os Dados Pessoais do Fornecedor de Dados de uma forma consistente com o consentimento dado pelos Titulares de Dados do Responsável relevantes.
- (ii) Na medida em que o Fornecedor de Dados não obtenha consentimento dos Titulares de Dados do Responsável relevantes conforme exigido ao abrigo do Contrato, o Destinatário dos Dados não irá violar o parágrafo 4.3(b)(i) se utilizar Dados Pessoais do Fornecedor de Dados em conformidade com o consentimento necessário.
- (c) Proteção de Dados Pessoais do Fornecedor de Dados.
- (i) O Destinatário dos Dados irá fornecer um nível de proteção para os Dados Pessoais do Fornecedor de Dados que seja, no mínimo, equivalente ao que é exigido ao abrigo da Solução Alternativa de Transferência aplicável.
- (ii) Se o Destinatário dos Dados determinar que não pode agir em conformidade com o parágrafo 4.3(c)(i), irá: (A) notificar por escrito o Fornecedor de Dados; e (B) deixar de tratar os Dados Pessoais do Fornecedor de Dados ou tomar as medidas razoáveis e adequadas para solucionar tal inconformidade.
- (d) Adoção e Certificação da Solução Alternativa de Transferência. Pode encontrar informações sobre a adoção de Soluções de Alternativas de Transferência, ou certificação ao abrigo das mesmas, pela Google e/ou respetivos Afiliados em https://policies.google.com/privacy/frameworks. O presente parágrafo 4.3(d) constitui um aviso por escrito das certificações atuais da Google e/ou respetivos Afiliados à Data de Entrada em Vigor dos Termos, no âmbito da finalidade do parágrafo 4.3(a)(iii).
5. CCTs para responsáveis
5.1 Transferências de Dados Pessoais do Responsável Europeu para o Cliente. Na medida em que:
- (a) A Google transfira Dados Pessoais do Responsável Europeu para o Cliente; e
- (b) A transferência seja uma Transferência Europeia Restrita, considera-se que o Cliente, como importador dos dados, subscreveu as CCTs para responsáveis com a Google Ireland Limited (o Responsável Final da Google aplicável) como exportador dos dados e que as transferências irão estar sujeitas às CCTs para responsáveis.
5.2 Transferências de Dados Pessoais do Responsável do Reino Unido para o Cliente. Na medida em que:
- (a) A Google transfira Dados Pessoais do Responsável do Reino Unido para o Cliente; e
- (b) A transferência seja uma Transferência Europeia Restrita, considera-se que o Cliente, como importador dos dados, subscreveu as CCTs para responsáveis com a Google LLC (o Responsável Final da Google aplicável) como exportador dos dados e que as transferências irão estar sujeitas às CCTs para responsáveis.
5.3 Transferências de Dados Pessoais do Responsável Europeu para a Google. As partes confirmam que, na medida em que o Cliente transfira Dados Pessoais do Responsável Europeu para a Google, as CCTs para responsáveis não são obrigatórias, uma vez que a morada da Google Ireland Limited (o Responsável Final da Google aplicável) é num País Adequado e essas transferências são Transferências Europeias Permitidas. Isto não afeta as obrigações da Google ao abrigo do parágrafo 4.1 (Transferências Europeias Restritas) do presente Anexo 1A.
5.4 Transferências de Dados Pessoais do Responsável do Reino Unido para a Google. Na medida em que o Cliente transfira Dados Pessoais do Responsável do Reino Unido para a Google, considera-se que o Cliente, como exportador dos dados, subscreveu as CCTs para responsáveis com a Google LLC (o Responsável Final da Google aplicável) como importador dos dados e que as transferências irão estar sujeitas às CCTs para responsáveis, uma vez que a morada da Google LLC não é num País Adequado.
5.5 Contactar a Google; Informações do Cliente.
- (a) O Cliente pode contactar a Google Ireland Limited e/ou a Google LLC relativamente às CCTs para responsáveis em https://support.google.com/policies/troubleshooter/9009584 ou através de outros meios que possam ser fornecidos periodicamente pela Google.
- (b) O Cliente confirma que a Google é obrigada, ao abrigo das CCTs para responsáveis, a registar determinadas informações, incluindo (i) a identidade e os detalhes de contacto do importador dos dados (incluindo qualquer contacto com responsabilidade pela proteção de dados); e (ii) as medidas técnicas e organizacionais implementadas pelo importador dos dados. Deste modo, o Cliente, quando for solicitado e conforme aplicável ao Cliente, fornecerá essas informações à Google de acordo com os meios fornecidos pela Google e garantirá que todas as informações fornecidas são precisas e atualizadas.
5.6 Responder a Pedidos de Informações de Titulares de Dados. O importador dos dados aplicável é responsável por responder aos pedidos de informações feitos pelos titulares de dados e pela autoridade de supervisão que digam respeito ao tratamento de Dados Pessoais do Responsável aplicável por parte do importador dos dados.
5.7 Eliminação de Dados após Rescisão. Na medida em que:
- (a) A Google LLC aja como importador dos dados e o Cliente como exportador dos dados ao abrigo das CCTs para responsáveis; e
- (b) O Cliente rescinda o Contrato em conformidade com a Cláusula 16(c) das CCTs para responsáveis, então, para efeitos da Cláusula 16(d) das CCTs para responsáveis, o Cliente instrui a Google a eliminar os Dados Pessoais do Responsável e, salvo se as Leis Europeias exigirem armazenamento, a Google facilitará essa eliminação assim que for razoavelmente praticável, na medida em que a eliminação seja razoavelmente possível (tendo em conta que a Google é um Responsável independente desses dados, bem como a natureza e a funcionalidade dos Serviços de Medição).
6. Responsabilidade se as CCTs para responsáveis se Aplicarem.
Se as CCTs para responsáveis se aplicarem ao abrigo do parágrafo 5 (CCTs para responsáveis) do presente Anexo 1A, a responsabilidade total combinada:
- (a) Da Google, da Google LLC e da Google Ireland Limited perante o Cliente; e
- (b) Do Cliente perante a Google, a Google LLC e a Google Ireland Limited, ao abrigo de ou relacionada com o Contrato e as CCTs para responsáveis combinados, irá estar sujeita à Secção 5 (Responsabilidade). A Cláusula 12 das CCTs para responsáveis não irá afetar a frase anterior.
7. Terceiros Beneficiários
Quando a Google LLC e/ou a Google Ireland Limited não forem uma parte do Contrato, mas forem uma parte das CCTs para responsáveis aplicáveis, em conformidade com o parágrafo 5 (CCTs para responsáveis) do presente Anexo 1A, a Google LLC e/ou a Google Ireland Limited (conforme aplicável) irão ser terceiros beneficiários da Secção 4.4 (Responsáveis Finais), dos parágrafos 3 (Responsáveis Finais da Google), 5 (CCTs para responsáveis) e 6 (Responsabilidade se as CCTs para responsáveis se Aplicarem) do presente Anexo 1A. Em caso de conflito ou inconsistência entre o parágrafo 7 (Terceiros Beneficiários) e qualquer outra cláusula do Contrato, aplica-se o presente parágrafo 7 (Terceiros Beneficiários).
8. Precedência
8.1 Em caso de conflito ou inconsistência entre as CCTs para responsáveis, o presente Anexo 1A, o restante dos presentes Termos entre Responsáveis e/ou o restante Contrato, irão prevalecer as CCTs para responsáveis.
8.2. Cláusulas Comerciais Adicionais. Sujeito às alterações aos presentes Termos entre Responsáveis, o Contrato permanece em vigor. Os parágrafos 5.5 (Contactar a Google) a 5.7 (Eliminação de Dados após Rescisão) e o parágrafo 6 (Responsabilidade se as CCTs para responsáveis se Aplicarem) do presente Anexo 1A são cláusulas comerciais adicionais relacionadas com as CCTs para responsáveis, conforme permitido pela Cláusula 2(a) (Efeito e invariabilidade das Cláusulas) das CCTs para responsáveis.
8.3 Nenhuma Modificação das CCTs para responsáveis. Nada no Contrato (incluindo os presentes Termos entre Responsáveis) tem como objetivo modificar ou contradizer quaisquer CCTs para responsáveis ou prejudicar os direitos ou liberdades fundamentais dos titulares de dados ao abrigo da Legislação Relativa à Proteção de Dados Europeia.
PARTE B – TERMOS ADICIONAIS PARA AS LEIS DE PRIVACIDADE ESTADUAIS DOS EUA
1. Introdução
A Google pode oferecer, e o Cliente pode ativar, determinadas definições, configurações ou outras funcionalidades no produto para os Serviços de Medição relacionadas com o tratamento de dados restrito, conforme descrito na documentação de apoio disponível em business.safety.google/rdp, à medida que for atualizada periodicamente ("Tratamento de Dados Restrito"). O presente Anexo 1B reflete o contrato entre as partes relativamente ao tratamento de Dados Desidentificados e Dados Pessoais do Cliente (conforme definido abaixo) ao abrigo do Contrato em relação às Leis de Privacidade Estaduais dos EUA e entra em vigor apenas na medida em que se aplicar cada Lei de Privacidade Estadual dos EUA.
2. Definições e Interpretações Adicionais.
No presente Anexo 1B:
- (a) "Dados Pessoais do Cliente" refere-se aos dados pessoais que são tratados pela Google em nome do Cliente no fornecimento dos Serviços de Medição por parte da Google.
- (b) "Dados Desidentificados" refere-se a informações de dados que são "desidentificadas" (conforme definido pela CCPA) e "dados desidentificados" (conforme definido por outras Leis de Privacidade Estaduais dos EUA), quando divulgados por uma parte a outra.
- (c) "Instruções" refere-se, coletivamente, às instruções do Cliente para que a Google trate os Dados Pessoais do Cliente apenas conforme as Leis de Privacidade Estaduais dos EUA: (a) para fornecer os Serviços de TDR e qualquer apoio técnico relacionado; (b) conforme especificado pela utilização dos Serviços de TDR pelo Cliente (inclusive nas definições e noutras funcionalidades desses Serviços de TDR) e qualquer apoio técnico relacionado; (c) conforme documentado na forma do Contrato, incluindo o presente Anexo 1B; (d) conforme documentado em qualquer outra instrução por escrito fornecida pelo Cliente e confirmada pela Google como instrução para os fins do presente Anexo 1B; e (e) para tratar os Dados Pessoais do Cliente conforme permitido pelas Leis de Privacidade Estaduais dos EUA para fornecedores de serviços e subcontratantes.
- (d) "Serviços de TDR" refere-se aos Serviços do Responsável que operam conforme o Tratamento de Dados Restrito.
- (e) "Período de Vigência" refere-se ao período desde a Data de Entrada em Vigor dos Termos até ao fim do fornecimento dos Serviços de Medição por parte da Google ao abrigo do Contrato.
- (f) Os termos "empresa", "consumidor", "informações pessoais", "vendas", "vender", "fornecedor de serviços" e "partilha", conforme utilizados no presente Anexo 1B, têm os significados atribuídos pelas Leis de Privacidade Estaduais dos EUA.
- (g) O Cliente é o único responsável pela conformidade com cada uma das Leis de Privacidade Estaduais dos EUA na utilização dos serviços Google, incluindo o Tratamento de Dados Restrito.
3. Termos das Leis de Privacidade Estaduais dos EUA (conforme o Tratamento de Dados Restrito).
3.1 Tratamento dos Dados.
3.1.1
- (a) Responsabilidades do Tratamento e Responsável. As partes reconhecem e concordam que:
- (i) O parágrafo 7 (Assunto e Detalhes do Tratamento de Dados conforme as Leis de Privacidade Estaduais dos EUA) do presente Anexo 1B descreve o assunto e os detalhes do tratamento de Dados Pessoais do Cliente;
- (ii) A Google é um fornecedor de serviços e subcontratante de Dados Pessoais do Cliente conforme as Leis de Privacidade Estaduais dos EUA; e
- (iii) O Cliente é um responsável ou um subcontratante, conforme aplicável, de Dados Pessoais do Cliente, conforme as Leis de Privacidade Estaduais dos EUA
- (b) Clientes do Subcontratante. Se o Cliente for um subcontratante:
- (i) O Cliente garante, de forma contínua, que o responsável relevante autorizou: (A) as Instruções, (B) a designação da Google como outro subcontratante por parte do Cliente e (C) o envolvimento de subcontratantes por parte da Google, conforme descrito no parágrafo 3.6 (Subcontratantes) do presente Anexo 1B;
- (ii) O Cliente irá encaminhar imediatamente ao responsável relevante qualquer notificação enviada pela Google de acordo com os parágrafos 3.3.2(a) (Notificação de Incidentes) e 3.6 (Subcontratantes); e
- (iii) O Cliente pode disponibilizar ao responsável relevante quaisquer informações disponibilizadas pela Google conforme os parágrafos 3.3.3(c) (Direitos de Auditoria do Cliente) e 3.6 (Subcontratantes).
3.1.2 Instruções do Cliente. Ao celebrar o presente Anexo 1B, o Cliente instrui a Google a tratar os Dados Pessoais do Cliente apenas de acordo com as Instruções.
3.1.3 Conformidade da Google com as Instruções. A Google irá cumprir as Instruções, exceto se tal for proibido pelas Leis de Privacidade Estaduais dos EUA.
3.1.4 Produtos Adicionais. Se o Cliente utilizar qualquer produto, serviço ou aplicação fornecido pela Google ou por um terceiro que: (a) não faça parte dos Serviços de TDR; e (b) esteja acessível para utilização na interface do utilizador dos Serviços de TDR ou esteja integrado de qualquer outra forma com os Serviços de TDR ("Produto Adicional"), os Serviços de TDR podem permitir que esse Produto Adicional aceda aos Dados Pessoais do Cliente conforme exigido para a interoperação do Produto Adicional com os Serviços de TDR. Para esclarecer, o presente Anexo 1B não se aplica ao tratamento de dados pessoais em relação ao fornecimento de qualquer Produto Adicional utilizado pelo Cliente, incluindo dados pessoais transmitidos para ou a partir desse Produto Adicional.
3.2. Eliminação de Dados Após a Expiração do Período de Vigência. O Cliente instrui a Google a eliminar todos os Dados Pessoais do Cliente restantes (incluindo cópias) dos sistemas da Google aquando da expiração de Vigência, de acordo com a legislação aplicável. A Google irá obedecer a essa instrução assim que razoavelmente possível e dentro de um período máximo de 180 dias, exceto se a legislação aplicável exigir o armazenamento.
3.3. Segurança dos Dados.
3.3.1 Medidas e Assistência de Segurança da Google.
- (a) Medidas de Segurança da Google. A Google irá implementar e manter medidas técnicas e organizacionais para proteger os Dados Pessoais do Cliente contra destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal ("Medidas de Segurança"). As Medidas de Segurança incluem medidas para: (i) encriptar os dados pessoais; (ii) ajudar a garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços Google; (iii) ajudar a restaurar o acesso em tempo hábil a dados pessoais após um incidente; e (iv) realizar testes regulares de eficácia. A Google pode atualizar ou modificar as Medidas de Segurança periodicamente, desde que essas atualizações e modificações não resultem na degradação da segurança geral dos Dados Pessoais do Cliente.
- (b) Acesso e Conformidade. A Google irá garantir que todas as pessoas autorizadas a tratar os Dados Pessoais do Cliente se comprometam com a confidencialidade ou estejam sob obrigação estatutária apropriada de confidencialidade.
- (c) Assistência de Segurança da Google. A Google (considerando a natureza do tratamento de Dados Pessoais do Cliente e as informações disponibilizadas à Google) irá ajudar o Cliente a cumprir as obrigações do Cliente (ou, caso o Cliente seja um subcontratante, do responsável relevante) relativamente à segurança dos dados pessoais e a violações de dados pessoais, incluindo as obrigações do Cliente (ou, caso o Cliente seja um subcontratante, do responsável relevante) relativamente à segurança dos dados pessoais e a violações de dados pessoais de acordo com as Leis de Privacidade Estaduais dos EUA:
- (i) Implementando e mantendo as Medidas de Segurança, de acordo com o parágrafo 3.3.1(a) (Medidas de Segurança da Google);
- (ii) Cumprindo os termos do parágrafo 3.3.2 (Incidentes de Dados); e
- (iii) Fornecendo ao Cliente os direitos concedidos nos termos do parágrafo 3.3.3(c) (Direitos de Auditoria do Cliente).
3.3.2 Incidentes de Dados
- (a) Notificação de Incidentes. Se a Google tomar conhecimento de um Incidente de Dados (conforme definido abaixo), irá: (i) notificar o Cliente sobre o Incidente de Dados sem atrasos indevidos; e (ii) tomar medidas razoáveis imediatas para minimizar os danos e proteger os Dados Pessoais do Cliente. No presente Anexo 1B, "Incidente de Dados" refere-se a uma violação de segurança da Google que resulta na destruição, na perda, na alteração, na divulgação não autorizada ou no acesso, de forma acidental ou ilegal, aos Dados Pessoais do Cliente em sistemas geridos ou de outra forma controlados pela Google. "Incidentes de Dados" não incluem atividades ou tentativas falhadas que não comprometam a segurança dos Dados Pessoais do Cliente, incluindo tentativas falhadas de início de sessão, envios de pings, análises de portas, ataques de negação de serviço e outros ataques à rede em firewalls ou sistemas em rede.
- (b) Envio de Notificação. A Google irá enviar uma notificação sobre qualquer Incidente de Dados para o endereço de email designado pelo Cliente através da interface do utilizador dos Serviços de TDR ou outros meios fornecidos pela Google para receber determinadas notificações da Google relativamente ao presente Anexo 1B ("Endereço de Email de Notificação") ou, à discrição da Google (inclusive se o Cliente não tiver fornecido um Endereço de Email de Notificação), por outra comunicação direta (por exemplo, chamada telefónica, email ou reunião presencial). O Cliente é a única parte responsável por fornecer o Endereço de Email de Notificação e garantir que esse endereço esteja atualizado e seja válido.
- (c) Notificações a Terceiros. O Cliente é a única parte responsável por obedecer à legislação de notificação de incidentes aplicável ao Cliente e cumprir todas as obrigações de notificação a terceiros relativamente a Incidentes de Dados.
- (d) Não Reconhecimento de Culpa pela Google. A notificação ou a resposta da Google a um Incidente de Dados nos termos do presente parágrafo 3.3.2 (Incidentes de Dados) não será interpretada como um reconhecimento por parte da Google de qualquer culpa ou responsabilidade em relação ao Incidente de Dados.
3.3.3 Responsabilidades e Avaliação de Segurança do Cliente.
- (a) Responsabilidades de Segurança do Cliente. O Cliente concorda que, sem prejuízos às obrigações da Google conforme previsto nos parágrafos 3.3.1 (Medidas e Assistência de Segurança da Google) e 3.3.2 (Incidentes de Dados):
- (i) O Cliente é responsável pela utilização que faz dos Serviços de TDR, incluindo: (1) a utilização adequada dos Serviços de TDR para garantir um nível de segurança adequado ao risco relativamente aos Dados Pessoais do Cliente; e (2) a proteção das credenciais, dos sistemas e dos dispositivos de autenticação de conta que o Cliente utiliza para aceder aos Serviços de TDR; e
- (ii) A Google não tem obrigação de proteger os Dados Pessoais do Cliente que o Cliente escolha armazenar ou transferir para fora dos sistemas da Google ou dos respetivos subcontratantes.
- (b) Avaliação de Segurança do Cliente. O Cliente confirma e concorda que as Medidas de Segurança implementadas e mantidas pela Google, conforme definido no parágrafo 3.3.1(a) (Medidas de Segurança da Google), oferecem um nível de segurança apropriado ao risco relativamente aos Dados Pessoais do Cliente, considerando as tecnologias atuais, os custos de implementação e a natureza, o âmbito, o contexto e as finalidades do tratamento dos Dados Pessoais do Cliente, bem como os riscos para os indivíduos.
- (c) Direitos de Auditoria do Cliente.
- (i) O Cliente pode realizar uma auditoria para validar a conformidade da Google com as respetivas obrigações ao abrigo do presente Anexo 1B solicitando e revendo (1) um certificado emitido para validação de segurança que reflita o resultado de uma auditoria realizada por um auditor externo (por exemplo, SOC 2 Tipo II ou certificação ISO/IEC 27001 ou uma certificação comparável, ou outra certificação de segurança realizada por um auditor externo aceite pelo Cliente e pela Google) no prazo de 12 meses a partir da data da solicitação do Cliente e (2) quaisquer outras informações que a Google determine serem razoavelmente necessárias para que o Cliente valide tal conformidade.
- (ii) Em alternativa, a Google pode, à sua inteira discrição e em resposta a uma solicitação do Cliente, recorrer a uma auditoria externa para validar a conformidade da Google com as respetivas obrigações ao abrigo do presente Anexo 1B. Durante essa auditoria, a Google vai disponibilizar ao auditor externo todas as informações necessárias para demonstrar a conformidade. Nos casos em que o Cliente solicitar uma auditoria, a Google pode cobrar uma taxa (com base nos custos razoáveis da Google) pela auditoria. A Google fornecerá ao Cliente detalhes adicionais sobre a taxa aplicável e a respetiva base de cálculo antes da auditoria. O Cliente é responsável por quaisquer taxas cobradas por um auditor externo nomeado pelo Cliente para realizar as referidas auditorias.
- (iii) Nada no presente Anexo 1B exige que a Google divulgue ao Cliente ou ao auditor externo ou permita que o Cliente ou o auditor externo acedam a:
- (1) Quaisquer dados de qualquer outro cliente de uma Entidade Google;
- (2) Quaisquer informações financeiras ou de contabilidade internas da Entidade Google;
- (3) Qualquer segredo corporativo de uma Entidade Google;
- (4) Quaisquer informações que, na opinião razoável da Google, possam: (A) comprometer a segurança de quaisquer sistemas ou instalações da Entidade Google; ou (B) fazer com que qualquer Entidade Google viole as respetivas obrigações ao abrigo das Leis de Privacidade Estaduais dos EUA ou as respetivas obrigações de segurança e/ou privacidade para com o Cliente ou qualquer terceiro; ou
- (5) Quaisquer informações às quais o Cliente ou o respetivo auditor externo procurem aceder por qualquer outro motivo que não o cumprimento de boa-fé das obrigações do Cliente ao abrigo das Leis de Privacidade Estaduais dos EUA.
3.4 Assistência com Avaliações do Impacto. A Google (considerando a natureza do tratamento e as informações disponibilizadas à Google) irá ajudar o Cliente a cumprir as obrigações do Cliente (ou, quando o Cliente for um subcontratante, do responsável relevante) relativamente às avaliações do impacto da proteção de dados e consultas regulatórias anteriores, conforme exigido pelas Leis de Privacidade Estaduais dos EUA:
- (a) Fornecendo a Documentação de Segurança;
- (b) Fornecendo as informações contidas no Contrato (incluindo o presente Anexo 1B); e
- (c) Fornecendo ou disponibilizando, de acordo com práticas padrão da Google, outros materiais referentes à natureza dos Serviços de TDR e do tratamento de Dados Pessoais do Cliente (por exemplo, materiais do Centro de Ajuda).
3.5. Direitos do Titular de Dados.
3.5.1 Respostas a Solicitações de Titulares de Dados. Se a Google receber uma solicitação de um titular de dados em relação aos Dados Pessoais do Cliente, o Cliente autoriza a Google, que notifica o Cliente nestes Termos, a:
- (a) Responder diretamente à solicitação do titular de dados de acordo com a funcionalidade padrão de uma ferramenta (se houver) disponibilizada por uma Entidade da Google aos titulares de dados que permite à Google responder diretamente e de forma padronizada a determinadas solicitações de titulares de dados em relação aos Dados Pessoais do Cliente (por exemplo, definições de publicidade online ou uma desativação do plug-in de um navegador) ("Ferramenta de Titulares de Dados") (se a solicitação tiver sido apresentada através de uma Ferramenta de Titulares de Dados); ou
- (b) Aconselhar o titular de dados a enviar a respetiva solicitação ao Cliente, e o Cliente vai ser responsável por responder a tal solicitação (se a solicitação não for efetuada através de uma Ferramenta de Titulares de Dados).
3.5.2 Assistência da Google à Solicitação do Titular de Dados. A Google irá ajudar o Cliente a cumprir as obrigações (ou, quando o Cliente for um subcontratante, as obrigações do responsável relevante) de acordo com as Leis de Privacidade Estaduais dos EUA para responder a solicitações de exercício dos direitos do titular de dados, em todos os casos, considerando a natureza do tratamento de Dados Pessoais do Cliente e:
- (a) Fornecendo a funcionalidade dos Serviços de TDR;
- (b) Cumprindo os compromissos estabelecidos no parágrafo 3.5.1 (Respostas a Solicitações de Titulares de Dados); e
- (c) Disponibilizando as Ferramentas de Titulares de Dados, se aplicável aos Serviços de TDR.
3.5.3 Retificação. Se o Cliente tiver conhecimento de que os Dados Pessoais do Cliente estão incorretos ou desatualizados, o Cliente será responsável por retificar ou eliminar esses dados, se exigido pelas Leis de Privacidade Estaduais dos EUA, incluindo (quando disponível) através da funcionalidade dos Serviços de TDR.
3.6. Subcontratantes.
- (a) Normalmente, o Cliente autoriza a Google a contratar outras entidades como subcontratantes para o fornecimento dos Serviços de TDR. Ao contratar qualquer subcontratante, a Google:
- (i) Garante, por meio de um contrato por escrito: (1) que o subcontratante apenas aceda e utilize os Dados Pessoais do Cliente conforme necessário para cumprir as obrigações subcontratadas e que o faça de acordo com o Contrato (incluindo o presente Anexo 1B); e (2) se o tratamento de Dados Pessoais do Cliente estiver sujeito às Leis de Privacidade Estaduais dos EUA, garante que as obrigações de proteção de dados contidas no presente Anexo 1B sejam impostas ao subcontratante;
- (ii) Ao contratar novos subcontratantes, irá notificar sobre os novos subcontratantes, quando exigido pelas Leis de Privacidade Estaduais dos EUA e, quando exigido pelas Leis de Privacidade Estaduais dos EUA, irá fornecer ao Cliente uma oportunidade de se opor a esses subcontratantes; e
- (iii) Permanece totalmente responsável por todas as obrigações subcontratadas e por todos os atos e omissões por parte do subcontratante.
- (b) O Cliente pode opor-se a qualquer novo subcontratante através da rescisão do Contrato por conveniência com efeitos imediatos, mediante aviso por escrito à Google, na condição de o Cliente fornecer esse aviso no prazo de 90 dias após ter sido informado do envolvimento do novo subcontratante, como descrito no parágrafo 3.6(a)(ii) do presente documento.
3.7 Contactar a Google. O Cliente pode entrar em contacto com a Google sobre o exercício dos próprios direitos previstos no presente Anexo 1B pelos métodos descritos em privacy.google.com/businesses/processorsupport ou por outros meios que possam ser fornecidos pela Google periodicamente.
4. Termos das Leis de Privacidade Estaduais dos EUA
4.1 Dados Desidentificados. Relativamente aos Dados Pessoais do Cliente tratados com ou sem o Tratamento de Dados Restrito ativado e na medida em que uma ou mais Leis de Privacidade Estaduais dos EUA se apliquem ao tratamento de Dados Pessoais do Cliente, cada parte irá cumprir os requisitos de tratamento dos Dados Desidentificados de acordo com as Leis de Privacidade Estaduais dos EUA em relação aos Dados Desidentificados recebidos da outra parte de acordo com o Contrato. Para efeitos do presente parágrafo 4.1 (Dados Desidentificados), Dados Pessoais do Cliente refere-se a quaisquer dados pessoais que sejam tratados por uma das partes ao abrigo do Contrato relativamente ao respetivo fornecimento ou utilização dos Serviços de Medição.
5. Obrigações da Google ao abrigo da CCPA.
5.1 Relativamente aos Dados Pessoais do Cliente tratados conforme o Tratamento de Dados Restrito e na medida em que a CCPA se aplique a esse tratamento de Dados Pessoais do Cliente, a Google irá agir como o fornecedor de serviços do Cliente e, como tal, exceto se permitido de outra forma para fornecedores de serviços de acordo com a CCPA, conforme razoavelmente determinado pela Google:
- (a) A Google não irá vender nem partilhar os Dados Pessoais do Cliente obtidos do Cliente em relação ao Contrato;
- (b) A Google não irá reter, utilizar nem divulgar os Dados Pessoais do Cliente (inclusive fora do relacionamento comercial direto entre a Google e o Cliente), exceto para fins comerciais de acordo com a CCPA em nome do Cliente e para o objetivo específico de realização dos Serviços de TDR, conforme descrito na documentação de apoio disponível em business.safety.google/rdp, atualizada periodicamente;
- (c) A Google não irá combinar os Dados Pessoais do Cliente que a Google receber do Cliente ou em nome deste com (i) informações pessoais que a Google receber de, ou em nome de, outra pessoa ou pessoas ou (ii) informações pessoais recolhidas da interação da Google com um consumidor, conforme descrito na documentação de apoio disponível em business.safety.google/rdp, exceto na medida do permitido pela CCPA;
- (d) A Google irá tratar esses Dados Pessoais do Cliente com a finalidade específica de realizar os Serviços de TDR, conforme descrito no Contrato e na documentação de apoio (por exemplo, artigos do Centro de Ajuda) ou conforme permitido pela CCPA, e as partes concordam que o Cliente disponibiliza esses Dados Pessoais do Cliente à Google para esses fins;
- (e) A Google irá permitir auditorias para validar a conformidade da Google com as respetivas obrigações de acordo com o presente Anexo 1B, parágrafo 3.3.3(c) (Direitos de Auditoria do Cliente), do presente documento;
- (f) A Google vai notificar o Cliente se determinar que deixou de poder cumprir as respetivas obrigações ao abrigo da CCPA. O presente parágrafo 5.1(f) não reduz os direitos nem as obrigações de nenhuma das partes definidos noutras secções do Contrato;
- (g) Se o Cliente acreditar de forma razoável que a Google está a tratar os Dados Pessoais do Cliente de uma forma não autorizada, o Cliente tem o direito de notificar a Google de tal crença através dos métodos descritos em privacy.google.com/businesses/processorsupport, e as partes vão colaborar em boa-fé para solucionar as atividades de tratamento alegadamente em violação, se necessário; e
- (h) A Google vai agir em conformidade com as obrigações aplicáveis ao abrigo da CCPA e proporcionar o mesmo nível de proteção de privacidade exigido pela CCPA.
5.2 Relativamente aos Dados Pessoais do Cliente tratados sem o Tratamento de Dados Restrito ativado e na medida em que a CCPA se aplique ao tratamento de Dados Pessoais do Cliente:
- (a) A Google irá tratar esses Dados Pessoais do Cliente com a finalidade específica de realizar os Serviços de Medição, conforme aplicável, conforme descrito no Contrato e na documentação de apoio (por exemplo, artigos do Centro de Ajuda) ou conforme permitido pela CCPA, e as partes concordam que o Cliente disponibiliza esses Dados Pessoais do Cliente à Google para esses fins;
- (b) A Google irá permitir auditorias para validar a conformidade da Google com as respetivas obrigações de acordo com o presente Anexo 1B, parágrafo 3.3.3(c) (Direitos de Auditoria do Cliente), do presente documento;
- (c) A Google vai notificar o Cliente se determinar que deixou de poder cumprir as respetivas obrigações ao abrigo da CCPA;
- (d) Se o Cliente acreditar de forma razoável que a Google está a tratar os Dados Pessoais do Cliente de uma forma não autorizada, o Cliente tem o direito de notificar a Google de tal crença através dos métodos descritos em privacy.google.com/businesses/processorsupport, e as partes vão colaborar em boa-fé para solucionar as atividades de tratamento alegadamente em violação, se necessário; e
- (e) A Google vai agir em conformidade com as obrigações aplicáveis ao abrigo da CCPA e proporcionar o mesmo nível de proteção de privacidade exigido pela CCPA.
6. Alterações ao presente Anexo 1B.
Para além da Secção 7 dos Termos entre Responsáveis (Alterações aos presentes Termos entre Responsáveis), conforme aplicável, a Google pode alterar o presente Anexo 1B sem aviso prévio se a alteração (a) for baseada na lei aplicável, num regulamento aplicável, numa ordem judicial ou em orientações emitidas por uma agência ou um regulador governamental, ou (b) não tiver um impacto material adverso no Cliente ao abrigo das Leis de Privacidade Estaduais dos EUA, conforme razoavelmente determinado pela Google.
7. Assunto e Detalhes do Tratamento de Dados conforme o Assunto das Leis de Privacidade Estaduais dos EUA
Prestação dos Serviços de TDR e de qualquer apoio técnico relacionado pela Google ao Cliente.
Duração do Tratamento
A Vigência mais o período entre o fim da Vigência e a eliminação de todos os Dados Pessoais do Cliente pela Google de acordo com o Anexo 1B.
Natureza e Finalidade do Tratamento
A Google irá tratar (incluindo, conforme aplicável aos Serviços de TDR e às Instruções, a recolha, o registo, a organização, a estruturação, o armazenamento, a alteração, a recuperação, a utilização, a divulgação, a combinação, o apagamento e a destruição) os Dados Pessoais do Cliente para prestar os Serviços de TDR e qualquer apoio técnico relacionado ao Cliente de acordo com o Anexo 1B ou conforme permitido pelos subcontratantes de acordo com as Leis de Privacidade Estaduais dos EUA.
Tipos de Dados Pessoais
Os Dados Pessoais do Cliente podem incluir os tipos de dados pessoais descritos nas Leis de Privacidade Estaduais dos EUA.
Categorias de Titulares de Dados
Os Dados Pessoais do Cliente podem ser enquadrados nestes tipos de categorias de titulares de dados:
- Titulares de dados sobre os quais a Google recolhe dados pessoais ao prestar os Serviços de TDR; e/ou
- Titulares de dados cujos dados pessoais são transferidos para a Google em relação aos Serviços de TDR pelo Cliente, por instrução ou em nome deste.
Consoante a natureza dos Serviços de TDR, esses titulares de dados podem incluir indivíduos: (a) a quem uma publicidade online tenha sido ou será direcionada; (b) que tenham visitado Websites ou aplicações específicos para os quais a Google presta os Serviços de TDR; e/ou (c) que sejam clientes ou utilizadores de produtos ou serviços do Cliente.
Termos de Proteção de Dados entre Responsáveis de Medição da Google, Versão 4.0
Versões anteriores
