O cliente dos Serviços de Medição que concorda com estes termos ("Cliente") firmou um contrato com o Google ou um revendedor terceirizado (conforme aplicável) para o fornecimento de Serviços de Medição (com as alterações periódicas, o "Contrato") por meio do qual o Cliente ativou a Configuração do Compartilhamento de Dados na interface do usuário dos serviços.
Estes Termos de Proteção de Dados entre Controladores de Métricas do Google ("Termos entre Controladores") são firmados pelo Google e pelo Cliente. Nos casos em que o Contrato é firmado entre o Cliente e o Google, estes Termos entre Controladores complementam o Contrato. Nos casos em que o Contrato é firmado entre o Cliente e um revendedor terceirizado, estes Termos entre Controladores formam um contrato separado entre o Google e o Cliente.
Para evitar dúvidas, a prestação dos Serviços de Medição é regida pelo Contrato. Estes Termos entre Controladores estabelecem apenas as disposições de proteção de dados relacionadas à Configuração do Compartilhamento de Dados e não se aplicam à prestação dos Serviços de Medição.
Sujeitos à Seção 6.2 (Ausência de Efeito sobre os Termos entre Operadores), estes Termos entre Controladores entrarão em vigor e substituirão os termos anteriormente aplicáveis com relação ao objeto em questão a partir do Início da Vigência dos Termos.
Ao aceitar estes Termos entre Controladores em nome do Cliente, você garante que: (a) tem total autoridade legal para sujeitar o Cliente aos Termos entre Controladores; (b) leu e compreendeu os Termos entre Controladores; e (c) concorda com os Termos entre Controladores em nome do Cliente. Se você não tiver autoridade legal para estabelecer esse vínculo, não aceite estes Termos entre Controladores.
Não aceite estes Termos entre Controladores se você trabalha com revenda. Estes Termos entre Controladores estabelecem os direitos e as obrigações entre os usuários dos Serviços de Medição e o Google.
1. Introdução
Estes Termos entre Controladores refletem o contrato entre as partes sobre os Dados Pessoais Processados pelo Controlador de acordo com a Configuração do Compartilhamento de Dados.
2. Definições e Interpretação
2.1
Nestes Termos entre Controladores:
"Termos Adicionais" são os termos adicionais mencionados no Apêndice 1, que refletem o acordo entre as partes sobre os termos que regem os Dados Pessoais Processados pelo Controlador com relação a certas Legislações de Proteção de Dados Aplicáveis.
"Afiliado" é qualquer entidade que, direta ou indiretamente, controle, seja controlada ou esteja sob o controle comum de outra parte.
"Legislação de Proteção de Dados Aplicável" é, conforme aplicável aos Dados Pessoais Processados pelo Controlador, qualquer lei ou regulamentação nacional, federal, estadual, provincial, da UE ou qualquer outra lei ou regulamentação de privacidade e segurança ou proteção de dados, incluindo a Legislação Europeia de Proteção de Dados, a LGPD e as Leis Estaduais de Privacidade dos EUA.
"Informações Confidenciais" se refere a estes Termos entre Controladores.
"Titular dos Dados Processados pelo Controlador" significa o titular dos dados relacionado aos Dados Pessoais Processados pelo Controlador.
"Dados Pessoais Processados pelo Controlador" são os dados pessoais processados por uma parte de acordo com a Configuração do Compartilhamento de Dados.
"Configuração do Compartilhamento de Dados" é a configuração que o Cliente ativou na interface do usuário dos Serviços de Medição e que permite ao Google e seus Afiliados usar dados pessoais para melhorar os produtos e serviços que oferecem.
"Controlador Final" é, para cada parte, o controlador definitivo dos Dados Pessoais Processados pelo Controlador.
"GDPR da UE" é a regulamentação (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas físicas quanto ao processamento de dados pessoais e sobre a livre circulação desses dados, revogando a Diretiva 95/46/CE.
"Legislação Europeia de Proteção de Dados" é, conforme aplicável: (a) o GDPR; e/ou (b) a FDPA da Suíça.
"GDPR" significa, conforme aplicável: (a) o GDPR da UE; e/ou (b) o GDPR do Reino Unido.
"Google" significa:
- (a) quando uma Entidade do Google for parte do Contrato, a Entidade do Google.
- (b) quando o Contrato for firmado entre o Cliente e um revendedor terceirizado e:
- (i) o revendedor terceirizado estiver estabelecido na América do Norte ou em outra região fora da Europa, do Oriente Médio, da África, da Ásia e da Oceania, a Google LLC (anteriormente conhecida como Google Inc.);
- (ii) o revendedor terceirizado estiver estabelecido na Europa, no Oriente Médio ou na África, a Google Ireland Limited; ou
- (iii) o revendedor terceirizado estiver estabelecido na Ásia e na Oceania, a Google Asia Pacific Pte. Ltd.
"Entidade do Google" é a Google LLC, a Google Ireland Limited ou qualquer outro Afiliado da Google LLC.
"LGPD" é a Lei Geral de Proteção de Dados Pessoais brasileira.
"Serviços de Medição" refere-se ao Google Analytics, Google Analytics 360, Google Analytics para Firebase, Google Optimize ou Google Optimize 360, conforme aplicável à Configuração do Compartilhamento de Dados em que as partes concordaram com estes Termos entre Controladores.
"Políticas" significa a Política de Consentimento do Usuário Final do Google disponível em https://www.google.com/about/company/user-consent-policy.html (link em inglês).
"Termos entre Operadores" significa:
- (a) Quando o Google for uma parte do Contrato, consulte os termos entre operadores disponíveis em https://business.safety.google/adsprocessorterms.
- (b) Quando o Contrato for firmado entre o Cliente e um revendedor terceirizado, os termos que refletem uma relação controlador-operador (se houver), conforme definido entre o Cliente e o revendedor terceirizado.
"FDPA da Suíça" é a Lei Federal de Proteção de Dados de 19 de junho de 1992 (Suíça).
"Início da Vigência dos Termos" é a data em que o Cliente clicou para aceitar ou as partes concordaram com estes Termos entre Controladores.
"Dados Pessoais Processados pelo Controlador do Reino Unido" são os Dados Pessoais dos Titulares dos Dados Processados pelo Controlador localizados no Reino Unido.
"GDPR do Reino Unido" significa o GDPR da UE conforme alterado e incorporado à legislação britânica, de acordo com os termos da Lei de Saída do Reino Unido da União Europeia de 2018, e a legislação secundária aplicável de acordo com essa Lei.
"Leis Estaduais de Privacidade dos EUA" significa, conforme aplicável: (i) a Lei de Privacidade do Consumidor da Califórnia, de 2018 (incluindo emenda da Lei de Direitos de Privacidade da Califórnia, de 2020) com todas as regulamentações de implementação ("CCPA"); (ii) a Lei de Proteção de Dados do Consumidor da Virgínia, Código Anotado da Virgínia § 59.1-571 et seq.; e (iii) a Lei de Privacidade do Colorado, Estatutos Revisados do Colorado § 6-1-1301 et seq.; (iv) a Lei de Privacidade de Dados e Monitoramento On-line de Connecticut, Ato Público nº 22015; e (v) a Lei de Privacidade do Consumidor de Utah, Código Anotado de Utah § 13-61-101 et seq.
2.2
Os termos "controlador", "titular dos dados", "dados pessoais", "processamento" e "operador", conforme usados nestes Termos entre Controladores, têm os significados definidos pela (a) Legislação de Proteção de Dados Aplicável; ou (b) pelo GDPR, na ausência de tal sentido ou lei.
2.3
Todos os exemplos nestes Termos entre Controladores são ilustrativos e não os únicos exemplos de um conceito específico.
2.4
Qualquer referência a um modelo jurídico, estatuto ou outro ato legislativo é uma referência a ele conforme alterado ou promulgado novamente de forma periódica.
2.5
Se qualquer versão traduzida deste Contrato for inconsistente com a versão em inglês, a versão em inglês prevalecerá.
2.6
As referências nas SCCs (cláusulas contratuais padrão) do Controlador aos "Termos de Proteção de Dados entre Controladores do Google Ads" serão consideradas como relacionadas aos "Termos de Proteção de Dados entre Controladores de Métricas do Google".
3. Aplicação destes Termos entre Controladores
3.1 Geral
Estes Termos entre Controladores serão aplicados somente à Configuração do Compartilhamento de Dados em que as partes concordaram com estes Termos entre Controladores, por exemplo, a Configuração do Compartilhamento de Dados em que o Cliente clicou para aceitar estes Termos.
3.2 Duração
Estes Termos entre Controladores entrarão em vigor no Início da Vigência dos Termos e continuarão em vigor enquanto o Google ou o Cliente processarem os Dados Pessoais Processados pelo Controlador. Após esse período, os Termos entre Controladores serão rescindidos de forma automática.
4. Funções e Restrições no Processamento
4.1 Controladores Independentes
Sujeito à Seção 4.4 (Controladores Finais), cada parte:
- (a) é um controlador independente dos Dados Pessoais Processados pelo Controlador;
- (b) determinará individualmente as finalidades e os meios de processamento dos Dados Pessoais Processados pelo Controlador; e
- (c) cumprirá as obrigações impostas pela Legislação de Proteção de Dados Aplicável no que diz respeito aos Dados Pessoais Processados pelo Controlador.
4.2 Restrições no Processamento
A Seção 4.1 (Controladores Independentes) não afetará quaisquer restrições sobre os direitos de uma das partes de usar ou processar os Dados Pessoais Processados pelo Controlador conforme o Contrato.
4.3 Consentimento do Usuário Final
O Cliente cumprirá as Políticas relacionadas aos Dados Pessoais Processados pelo Controlador compartilhados de acordo com a Configuração do Compartilhamento de Dados e sempre terá o ônus da prova de compliance.
4.4 Controladores Finais
Sem limitar as obrigações de qualquer uma das partes de acordo com estes Termos entre Controladores, cada parte confirma que: (a) os Afiliados ou clientes da outra parte podem ser Controladores Finais; e (b) a outra parte pode atuar como um operador em nome dos respectivos Controladores Finais. Cada parte garantirá que os Controladores Finais obedeçam aos Termos entre Controladores.
4.5 Transparência
O Cliente confirma que o Google publicou materiais sobre como o Google usa informações de sites, apps ou outras propriedades que utilizam os serviços do Google em https://business.safety.google/privacy/ (link em inglês). Sem prejuízo das obrigações estabelecidas na Seção 4.1(c), o Cliente pode inserir um link dessa página para fornecer aos Titulares dos Dados Processados pelo Controlador informações sobre os Dados Pessoais Processados pelo Controlador do Google.
5. Responsabilidade
5.1
Se o Google:
- (a) for parte do Contrato e este for regido pelas leis de:
- (i) um estado dos Estados Unidos da América, não obstante qualquer outra disposição no Contrato, a responsabilidade total de uma das partes com relação à outra de acordo com estes Termos entre Controladores será limitada ao valor monetário máximo ou ao valor máximo pago sujeito a este Contrato (e portanto, qualquer exclusão de pedidos de indenização por limitação de responsabilidade do Contrato não se aplicará a pedidos de indenização nos termos do Contrato relacionados à Legislação de Proteção de Dados Aplicável); ou
- (ii) uma jurisdição que não seja um estado dos Estados Unidos da América, a responsabilidade das partes com relação a estes Termos entre Controladores estará sujeita às exclusões e limitações de responsabilidade no Contrato; ou
- (b) não for parte do Contrato, dentro do permitido pela legislação aplicável, o Google não será responsável pelas receitas perdidas do Cliente ou por danos indiretos, especiais, incidentais, emergentes, exemplares ou punitivos, ainda que o Google ou os Afiliados dele tenham sido informados, estivessem cientes ou devessem estar cientes de que esses danos não fazem jus a uma tutela judicial. A responsabilidade total cumulativa do Google (e dos Afiliados) perante o Cliente ou qualquer outra parte por perdas ou danos resultantes de ações judiciais, danos ou reivindicações decorrentes ou relacionados a estes Termos entre Controladores não será maior do que US$ 500.
6. Efeito dos Termos entre Controladores
6.1 Ordem de Precedência
Em caso de conflito ou inconsistência entre os Termos Adicionais, o restante destes Termos entre Controladores e/ou o restante do Contrato, sujeito às Seções 4.2 (Restrições no Processamento) e 6.2 (Ausência de Efeito sobre os Termos entre Operadores), a seguinte ordem de precedência será aplicada: (a) Termos Adicionais (se aplicável); (b) o restante destes Termos entre Controladores; e (c) o restante do Contrato. Sujeito às alterações contidas nestes Termos entre Controladores, o Contrato entre o Google e o Cliente permanece vigente.
6.2 Ausência de Efeito sobre os Termos entre Operadores
Estes Termos entre Controladores não substituem nem afetam os Termos entre Operadores. Para evitar dúvidas, se o Cliente for uma parte nos Termos entre Operadores com relação aos Serviços de Medição, os Termos entre Operadores continuarão aplicáveis aos Serviços de Medição, embora os Termos entre Controladores sejam relevantes para os Dados Pessoais Processados pelo Controlador de acordo com a Configuração do Compartilhamento de Dados.
7. Alterações nestes Termos entre Controladores
7.1 Alterações nos Termos entre Controladores
O Google poderá modificar estes Termos entre Controladores se a mudança:
- (a) refletir uma alteração no nome ou na forma de uma pessoa jurídica;
- (b) tiver como objetivo cumprir a legislação vigente, uma regulamentação aplicável, um mandado judicial ou uma diretriz emitida por um órgão regulador ou agência governamental, ou refletir a implementação de uma Solução de Transferência Alternativa pelo Google (conforme o Apêndice 1A);
- (c) estiver conforme a Seção 7.2 (Mudanças de URLs); ou
- (d) não (i) tiver como objetivo alterar a categorização das partes como controladores de Dados Pessoais Processados pelo Controlador que consta na Legislação de Proteção de Dados Aplicável; (ii) expandir o escopo nem remover quaisquer restrições quanto aos direitos de qualquer uma das partes de usar ou processar os Dados Pessoais Processados pelo Controlador; ou (iii) tiver impacto adverso significativo sobre o Cliente, conforme razoavelmente determinado pelo Google.
7.2 Mudanças de URLs
Periodicamente, o Google pode mudar qualquer URL mencionado nestes Termos entre Controladores e o conteúdo de qualquer URL.
7.3 Notificação de Alterações
Se o Google pretender alterar estes Termos entre Controladores de acordo com a Seção 7.1(a), e essa alteração tiver um impacto negativo relevante no Cliente, conforme razoavelmente determinado pelo Google, o Google empreenderá esforços comercialmente razoáveis para informar o Cliente pelo menos 30 dias antes de a alteração entrar em vigor, ou em um período menor, se exigido por lei ou regulamentação aplicável, um mandado judicial ou uma orientação expedida por um órgão regulador ou agência do governo. Se o Cliente se opuser a qualquer mudança, ele poderá desativar a Configuração do Compartilhamento de Dados.
8. Cláusulas Adicionais
8.1
Esta Seção 8 (Cláusulas Adicionais) só será aplicável quando o Google não fizer parte do Contrato.
8.2
Cada parte cumprirá as respectivas obrigações estabelecidas nestes Termos entre Controladores, aplicando cuidados e conhecimento razoáveis.
8.3
Nenhuma das partes usará nem divulgará as Informações Confidenciais da outra sem o consentimento prévio por escrito, exceto para cumprir os próprios direitos ou obrigações destes Termos entre Controladores ou se exigido por lei, regulamento ou mandado judicial. Nesse caso, a parte obrigada a divulgar Informações Confidenciais deverá avisar a outra de forma razoavelmente possível antes da divulgação.
8.4
Dentro do permitido pela legislação aplicável, a menos que informado expressamente nestes Termos entre Controladores, o Google não oferece nenhuma outra garantia, seja expressa, implícita, estatutária ou de qualquer tipo, incluindo, sem limitação, garantias de comercialidade, adequação para um uso específico e não violação.
8.5
Nenhuma parte será responsabilizada por falha ou atraso no cumprimento causados por circunstâncias fora do controle razoável dela.
8.6
Se alguma cláusula, ou parte de uma cláusula, destes Termos entre Controladores se tornar inválida, ilegal ou for considerada não executável, as demais partes dos Termos continuarão em vigor.
8.7
(a) Exceto conforme estabelecido na seção (b) abaixo, estes Termos entre Controladores serão regidos e interpretados de acordo com a legislação do estado da Califórnia independentemente dos princípios de conflito de leis desse estado. Em caso de conflito entre leis, regras e normas estrangeiras e as leis, regras e normas da Califórnia, as da Califórnia vão prevalecer e reger o Contrato. As partes concordam em se submeter à jurisdição pessoal e exclusiva dos tribunais do condado de Santa Clara, Califórnia. A Convenção da ONU sobre Contratos de Compra e Venda Internacional de Mercadorias e a Lei Uniforme das Transações com Informações Computadorizadas dos EUA não se aplicam a estes Termos entre Controladores.
(b) Se o Contrato for firmado entre o Cliente e um revendedor terceirizado estabelecido na Europa, no Oriente Médio ou na África, estes Termos entre Controladores serão regidos pela legislação inglesa. As partes concordam em se submeter à jurisdição exclusiva dos tribunais ingleses com relação a qualquer disputa, seja ela contratual ou não contratual, decorrente ou relacionada a estes Termos entre Controladores.
(c) Caso as SCCs (cláusulas contratuais padrão) do Controlador sejam relevantes e estabeleçam uma legislação aplicável diferente das leis descritas nas seções (a) e (b) acima, a legislação estabelecida nessas SCCs do Controlador será aplicada exclusivamente com relação a elas.
(d) A Convenção da ONU sobre Contratos de Compra e Venda Internacional de Mercadorias e a Lei Uniforme das Transações com Informações Computadorizadas dos EUA não se aplicam a estes Termos entre Controladores.
8.8
Todos os avisos de rescisão ou violação precisam estar em inglês por escrito e ser direcionados ao Departamento Jurídico da outra parte. O endereço para envio de avisos ao Departamento Jurídico do Google é legal-notices@google.com. A notificação será considerada entregue mediante a confirmação do recebimento por escrito, por confirmação automática ou por registro eletrônico (conforme aplicável).
8.9
Não será considerado que nenhuma das partes tenha renunciado a direitos apenas por não ter exercido ou por ter postergado o exercício de quaisquer direitos conforme estes Termos entre Controladores. Nenhuma das partes poderá transferir qualquer parte destes Termos entre Controladores sem o consentimento por escrito da outra, exceto para um Afiliado caso: (a) o cessionário tenha concordado por escrito em se vincular a estes Termos entre Controladores; (b) a parte cedente permaneça responsável pelas obrigações conforme os Termos entre Controladores caso o cessionário não as cumpra; (c) no caso do Cliente, a parte cedente tenha transferido as próprias contas dos Serviços de Medição para o cessionário; e (d) a parte cedente tenha notificado a outra parte da transferência. Qualquer outra tentativa de transferência não terá efeito.
8.10
As partes são prestadoras de serviços independentes. Estes Termos entre Controladores não criam qualquer parceria, agência nem joint venture entre as partes. Estes Termos entre Controladores não conferem nenhuma vantagem a qualquer terceiro, a menos que isso seja explicitamente declarado.
8.11
Até onde permitido pela legislação aplicável, estes Termos entre Controladores estabelecem todos os termos acordados entre as partes. Ao participar destes Termos entre Controladores, nenhuma das partes terá qualquer direito ou medida judicial com base em qualquer declaração, representação ou garantia (seja de maneira negligente ou inocente) nem terá feito uso delas, exceto aquelas expressamente estabelecidas nestes Termos.
Apêndice 1: Termos Adicionais da Legislação de Proteção de Dados Aplicável
PARTE A – TERMOS ADICIONAIS DA LEGISLAÇÃO EUROPEIA DE PROTEÇÃO DE DADOS
1. Introdução
Este Apêndice 1A valerá apenas na medida em que a Legislação Europeia de Proteção de Dados se aplicar aos Dados Pessoais Processados pelo Controlador.
2. Definições
2.1 Neste Apêndice 1A:
"País Adequado" significa:
- (a) para dados processados sujeitos ao GDPR da UE: o EEE ou um país ou território que respeita a proteção de dados adequada de acordo com o GDPR da UE;
- (b) para dados processados sujeitos ao GDPR do Reino Unido: o Reino Unido ou um país ou território que segue a proteção de dados adequada de acordo com o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018; e/ou
- (c) para dados processados sujeitos à FDPA da Suíça: a Suíça ou um país ou território (i) incluído na lista de estados cuja legislação garante a proteção adequada, conforme publicado pelo Comissário Federal de Proteção e Informação de Dados da Suíça; ou (ii) que cumpre a proteção de dados do Conselho Federal da Suíça de acordo com a FDPA da Suíça, em todos os casos, exceto quando há um modelo opcional de proteção de dados.
"Solução de Transferência Alternativa" significa uma solução, diferente das SCCs (cláusulas contratuais padrão) do Controlador, que permite a transferência legal de dados pessoais para um terceiro país de acordo com a Legislação Europeia de Proteção de Dados, por exemplo, um modelo de proteção de dados que garanta que as entidades participantes forneçam a proteção adequada.
"SCCs (cláusulas contratuais padrão) do Controlador" são os termos descritos em business.safety.google/adscontrollerterms/sccs/c2c (link em inglês).
"EEE" é o Espaço Econômico Europeu.
"Dados Pessoais Processados pelo Controlador Europeu" referem-se aos Dados Pessoais dos Titulares dos Dados Processados pelo Controlador localizados no EEE ou na Suíça.
"Leis Europeias" significam, conforme aplicável: (a) a legislação da UE ou de um Estado-Membro da UE, caso o GDPR da UE seja aplicável aos Dados Pessoais Processados pelo Controlador; (b) a legislação do Reino Unido ou de uma parte do Reino Unido, caso o GDPR do Reino Unido seja aplicável aos Dados Pessoais Processados pelo Controlador; e (c) a legislação da Suíça, caso a FDPA da Suíça seja aplicável aos Dados Pessoais Processados pelo Controlador.
"Controladores Finais do Google" são os Controladores Finais de Dados Pessoais Processados pelo Controlador operados pelo Google.
"Transferências Permitidas na Europa" são o processamento ou transferência de Dados Pessoais Processados pelo Controlador para um País Adequado.
"Transferências Restritas na Europa" são as transferências de Dados Pessoais Processados pelo Controlador que (a) estão sujeitas à Legislação Europeia de Proteção de Dados; e (b) não são Transferências Permitidas na Europa.
"Dados Pessoais Processados pelo Controlador do Reino Unido" são os Dados Pessoais dos Titulares dos Dados Processados pelo Controlador localizados no Reino Unido.
2.2 Os termos "importador de dados" e "exportador de dados" têm os significados atribuídos nas SCCs (cláusulas contratuais padrão) do Controlador.
3. Controladores Finais do Google
Os Controladores Finais do Google são: (i) para os Dados Pessoais Processados pelo Controlador Europeu tratados pelo Google, a Google Ireland Limited; e (ii) para os Dados Pessoais Processados pelo Controlador do Reino Unido tratados pelo Google, a Google LLC. Cada parte garantirá compliance dos Controladores Finais com as SCCs (cláusulas contratuais padrão) do Controlador, quando aplicável.
4. Transferências de Dados
4.1 Transferências Restritas na Europa. Qualquer uma das partes pode fazer Transferências Restritas na Europa desde que obedeçam às disposições sobre Transferências Restritas na Europa conforme a Legislação Europeia de Proteção de Dados.
4.2 Solução de Transferência Alternativa.
- (a) Se o Google tiver adotado uma Solução de Transferência Alternativa para quaisquer Transferências Restritas na Europa, (i) o Google garantirá que essas Transferências Restritas na Europa sejam feitas de acordo com a Solução de Transferência Alternativa; e (ii) o parágrafo 5, SCCs (cláusulas contratuais padrão) do Controlador, deste Apêndice 1A não se aplicará a essas Transferências Restritas na Europa.
- (b) Se o Google não adotar, ou informar ao Cliente que não está mais adotando, uma Solução de Transferência Alternativa para as Transferências Restritas na Europa, o parágrafo 5 deste Apêndice 1A, SCCs (cláusulas contratuais padrão) do Controlador, será aplicado a essas Transferências Restritas na Europa.
4.3 Disposições de Transferência Progressiva.
- (a) Aplicação do Parágrafo 4.3. Os parágrafos 4.3(b) (Uso de Dados Pessoais do Provedor de Dados) e 4.3(c) (Proteção dos Dados Pessoais do Provedor de Dados) deste Apêndice 1A só serão aplicáveis se:
- (i) uma parte ("Destinatário dos Dados") processar os Dados Pessoais Processados pelo Controlador disponibilizados pela outra parte ("Provedor de Dados") nos termos do Contrato (como os Dados Pessoais Processados pelo Controlador, os "Dados Pessoais do Provedor de Dados");
- (ii) o Provedor de Dados ou seu Afiliado for certificado em uma Solução de Transferência Alternativa; e
- (iii) o Provedor de Dados notificar o Destinatário dos Dados sobre essa certificação da Solução de Transferência Alternativa por escrito.
- (b) Uso de Dados Pessoais do Provedor de Dados.
- (i) Se uma Solução de Transferência Alternativa aplicável incluir um princípio de transferência progressiva, então, de acordo com esses princípios de transferência progressiva conforme a Solução de Transferência Alternativa relevante, o Destinatário dos Dados só usará os Dados Pessoais do Provedor de Dados conforme o consentimento fornecido pelos Titulares dos Dados Processados pelo Controlador relevantes.
- (ii) Se o Provedor de Dados não tiver o consentimento dos Titulares dos Dados Processados pelo Controlador conforme exigido pelo Contrato, isso não significará que o Destinatário dos Dados violou o parágrafo 4.3(b)(i) se ele usar os Dados Pessoais do Provedor de Dados conforme o consentimento necessário.
- (c) Proteção dos Dados Pessoais do Provedor de Dados.
- (i) O Destinatário dos Dados aplicará um nível de proteção para os Dados Pessoais do Provedor de Dados no mínimo equivalente ao exigido pela Solução de Transferência Alternativa aplicável.
- (ii) Se o Destinatário dos Dados determinar que não consegue obedecer ao parágrafo 4.3(c)(i), ele: (A) notificará o Provedor de Dados por escrito; e (B) deixará de processar os Dados Pessoais do Provedor de Dados ou tomará medidas razoáveis e apropriadas para corrigir esse problema.
- (d) Adoção e Certificação da Solução de Transferência Alternativa. Informações sobre casos em que o Google e/ou seus Afiliados adotaram ou foram certificados por qualquer Solução de Transferência Alternativa podem ser encontradas em https://policies.google.com/privacy/frameworks?hl=pt-BR. Este parágrafo 4.3(d) constitui um aviso por escrito das certificações atuais do Google e dos Afiliados do Google no Início da Vigência dos Termos para fins do parágrafo 4.3(a)(iii).
5. SCCs (cláusulas contratuais padrão) do Controlador
5.1 Transferências de Dados Pessoais Processados pelo Controlador Europeu para o Cliente. Quando:
- (a) o Google transferir os Dados Pessoais Processados pelo Controlador Europeu para o Cliente; e
- (b) isso constituir uma Transferência Restrita na Europa, o Cliente, na condição de importador de dados, será considerado parte das SCCs (cláusulas contratuais padrão) do Controlador com a Google Ireland Limited (o Controlador Final do Google aplicável) como exportadora de dados, e as transferências estarão sujeitas às SCCs do Controlador.
5.2 Transferências de Dados Pessoais Processados pelo Controlador do Reino Unido para o Cliente. Quando:
- (a) o Google transferir os Dados Pessoais Processados pelo Controlador do Reino Unido para o Cliente; e
- (b) isso constituir uma Transferência Restrita na Europa, o Cliente, na condição de importador de dados, será considerado parte das SCCs (cláusulas contratuais padrão) do Controlador com a Google LLC (o Controlador Final do Google aplicável) como exportadora de dados, e as transferências estarão sujeitas às SCCs do Controlador.
5.3 Transferências de Dados Pessoais Processados pelo Controlador Europeu para o Google. As partes confirmam que, nos casos em que o Cliente transfere os Dados Pessoais Processados pelo Controlador Europeu para o Google, as SCCs (cláusulas contratuais padrão) do Controlador não são obrigatórias, porque a Google Ireland Limited (o Controlador Final do Google aplicável) tem sede em um País Adequado, e as transferências em questão são Transferências Europeias Permitidas. Isso não afeta as obrigações do Google conforme o parágrafo 4.1 (Transferências Restritas na Europa) deste Apêndice 1A.
5.4 Transferências de Dados Pessoais Processados pelo Controlador do Reino Unido ao Google. Quando o Cliente transferir os Dados Pessoais Processados pelo Controlador do Reino Unido para o Google, será considerado que o Cliente, na condição de exportador de dados, é parte das SCCs (cláusulas contratuais padrão) do Controlador, em que a Google LLC (o Controlador Final do Google aplicável) será importadora de dados. Como a Google LLC não tem sede em um País Adequado, as transferências estarão sujeitas às SCCs do Controlador.
5.5 Contato com o Google e Informações do Cliente.
- (a) O Cliente pode contatar a Google Ireland Limited e/ou a Google LLC para tratar das SCCs (cláusulas contratuais padrão) do Controlador em https://support.google.com/policies/troubleshooter/9009584 (link em inglês) ou por outros meios fornecidos pelo Google periodicamente.
- (b) O Cliente reconhece que o Google precisa gravar determinadas informações de acordo com as SCCs do Controlador, incluindo (i) a identidade e os detalhes de contato do importador de dados, bem como de qualquer contato responsável pela proteção de dados; e (ii) as medidas técnicas e organizacionais implementadas pelo importador de dados. Da mesma forma, o Cliente, quando solicitado e se aplicável, enviará essas informações ao Google por meios disponibilizados pelo Google e garantirá que todas as informações fornecidas estejam corretas e atualizadas.
5.6 Resposta a Consultas do Titular dos Dados. O importador de dados apropriado precisará responder às consultas dos titulares dos dados e da autoridade supervisora referentes ao processamento, pelo importador, de Dados Pessoais Processados pelo Controlador.
5.7 Exclusão de Dados na Rescisão. Quando:
- (a) a Google LLC atuar como importadora de dados e o Cliente atuar como exportador de dados de acordo com as SCCs (cláusulas contratuais padrão) do Controlador; e
- (b) o Cliente rescindir o Contrato de acordo com a Cláusula 16(c) das SCCs do Controlador, então, para os fins da Cláusula 16(d) das SCCs do Controlador, o Cliente instruirá o Google a excluir os Dados Pessoais Processados pelo Controlador e, a menos que a Legislação Europeia exija o armazenamento, o Google ajudará com tal exclusão assim que for razoavelmente viável, quando tal exclusão for razoavelmente possível, considerando que o Google é um Controlador independente desses dados, bem como a natureza e a funcionalidade dos Serviços de Medição.
6. Responsabilidade Caso as SCCs do Controlador Sejam Aplicáveis
Caso as SCCs do Controlador sejam aplicáveis conforme o parágrafo 5, SCCs (cláusulas contratuais padrão) do Controlador, do Apêndice 1A, a responsabilidade total combinada:
- (a) do Google, da Google LLC e da Google Ireland Limited com o Cliente; e
- (b) do Cliente com o Google, a Google LLC e a Google Ireland Limited, de acordo com o Contrato e com as SCCs do Controlador combinadas, estará sujeita à Seção 5 (Responsabilidade). A Cláusula 12 das SCCs do Controlador não afeta a disposição anterior.
7. Terceiros Beneficiários
Quando a Google LLC e/ou a Google Ireland Limited não forem partes do Contrato, mas partes das SCCs do Controlador aplicáveis de acordo com o parágrafo 5 (SCCs (cláusulas contratuais padrão) do Controlador) deste Apêndice 1A, a Google LLC e/ou a Google Ireland Limited (conforme aplicável) será um terceiro beneficiário da Seção 4.4 (Controladores Finais), parágrafos 3 (Controladores Finais do Google), 5 (SCCs (cláusulas contratuais padrão) do Controlador) e 6 (Responsabilidade Caso as SCCs do Controlador Sejam Aplicáveis) deste Apêndice 1A. Em caso de conflito ou inconsistência entre o parágrafo 7 (Terceiros Beneficiários) e qualquer outra cláusula do Contrato, o parágrafo 7 (Terceiros Beneficiários) prevalecerá.
8. Precedência
8.1 Em caso de conflito ou inconsistência entre as SCCs (cláusulas contratuais padrão) do Controlador, este Apêndice 1A, o restante destes Termos entre Controladores e/ou o restante do Contrato, as SCCs do Controlador prevalecerão.
8.2 Cláusulas Comerciais Adicionais. Sujeito às alterações contidas nestes Termos entre Controladores, o Contrato permanece vigente. Os parágrafos de 5.5 (Contato com o Google) a 5.7 (Exclusão de Dados na Rescisão) e o parágrafo 6 (Responsabilidade Caso as SCCs do Controlador Sejam Aplicáveis) deste Apêndice 1A são cláusulas comerciais adicionais relacionadas às SCCs (cláusulas contratuais padrão) do Controlador, conforme permitido pela Cláusula 2(a) (Efeito e invariabilidade das Cláusulas) das SCCs do Controlador.
8.3 Ausência de Modificação das SCCs do Controlador. Nenhuma disposição no Contrato (incluindo estes Termos entre Controladores) visa modificar ou contradizer as SCCs (cláusulas contratuais padrão) do Controlador ou prejudicar os direitos ou as liberdades fundamentais dos titulares dos dados de acordo com a Legislação Europeia de Proteção de Dados.
PARTE B – TERMOS ADICIONAIS PARA AS LEIS ESTADUAIS DE PRIVACIDADE DOS EUA
1. Introdução
O Google pode oferecer e o Cliente pode ativar determinadas configurações no produto ou outras funcionalidades dos Serviços de Medição relacionadas ao processamento de dados restrito, conforme descrito na documentação pertinente disponível em business.safety.google/rdp (link em inglês) ou atualizações periódicas ("Processamento de Dados Restrito"). Este Apêndice 1B reflete o contrato entre as partes sobre o processamento de Dados Pessoais do Cliente e Dados Desidentificados (conforme definido abaixo) nos termos do Contrato com relação às Leis Estaduais de Privacidade dos EUA e é válido somente na medida em que cada Lei Estadual de Privacidade dos EUA for aplicável.
2. Definições e Interpretação Adicionais.
Neste Apêndice 1B:
- (a) "Dados Pessoais do Cliente" são os dados pessoais processados pelo Google em nome do Cliente no fornecimento dos Serviços de Medição pelo Google;
- (b) "Dados Desidentificados" são as informações de dados "desidentificadas" (conforme definição do termo pela CCPA) e os "dados desidentificados" (conforme definido por outras Leis Estaduais de Privacidade dos EUA), quando divulgados por uma parte à outra;
- (c) "Instruções" significa, coletivamente, as instruções do Cliente para que o Google processe os Dados Pessoais do Cliente apenas conforme as Leis Estaduais de Privacidade dos EUA: (a) para fornecer os Serviços de RDP e qualquer suporte técnico relacionado; (b) conforme especificado pelo uso dos Serviços de RDP pelo Cliente (inclusive nas configurações e em outras funcionalidades desses Serviços de RDP) e qualquer suporte técnico relacionado; (c) conforme documentado na forma do Contrato, incluindo este Apêndice 1B; (d) conforme documentado em qualquer outra instrução por escrito fornecida pelo Cliente e confirmada pelo Google como instrução constituinte para os fins deste Apêndice 1B; e (e) processar Dados Pessoais do Cliente conforme permitido pelas Leis Estaduais de Privacidade dos EUA para provedores de serviços e operadores;
- (d) "Serviços de RDP" são os Serviços de Controlador que operam conforme o Processamento de Dados Restrito;
- (e) "Período" é o tempo entre o Início da Vigência dos Termos e o final do fornecimento dos Serviços de Medição pelo Google de acordo com o Contrato;
- (f) os termos "empresa", "consumidor", "informações pessoais", "vendas", "vender", "provedor de serviços" e "compartilhar", conforme usados neste Apêndice 1B, têm os significados atribuídos pelas Leis Estaduais de Privacidade dos EUA;
- (g) o Cliente é o único responsável por obedecer cada uma das Leis Estaduais de Privacidade dos EUA no uso dos Serviços do Google, incluindo o Processamento de Dados Restrito.
3. Termos das Leis Estaduais de Privacidade dos EUA (conforme o Processamento de Dados Restrito).
3.1 Processamento de Dados.
3.1.1
- (a) Responsabilidades do Operador e do Controlador. As partes confirmam e concordam que:
- (i) o Parágrafo 7 (Objeto em Questão e Detalhes do Processamento de Dados conforme as Leis Estaduais de Privacidade dos EUA) deste Apêndice 1B descreve o objeto em questão e os detalhes do processamento de Dados Pessoais do Cliente;
- (ii) o Google é um provedor de serviços e operador de Dados Pessoais do Cliente conforme as Leis Estaduais de Privacidade dos EUA; e
- (iii) o Cliente é um controlador ou operador, conforme aplicável, de Dados Pessoais do Cliente, conforme as Leis Estaduais de Privacidade dos EUA.
- (b) Clientes Operadores. Se o Cliente for um operador:
- (i) o Cliente garantirá, de maneira contínua, que o controlador relevante autorizou: (A) as Instruções, (B) a designação do Google como outro operador por parte do Cliente e (C) o envolvimento do Google com subcontratados, conforme descrito no parágrafo 3.6 (Subcontratados) deste Apêndice 1B;
- (ii) o Cliente encaminhará imediatamente ao controlador relevante qualquer notificação enviada pelo Google de acordo com os parágrafos 3.3.2(a) (Notificação de Incidentes) e 3.6 (Subcontratados); e
- (iii) o Cliente poderá disponibilizar ao controlador relevante quaisquer informações disponibilizadas pelo Google conforme os parágrafos 3.3.3(c) (Direitos de Auditoria do Cliente) e 3.6 (Subcontratados).
3.1.2 Instruções do Cliente. Ao celebrar este Apêndice 1B, o Cliente instrui o Google a processar os Dados Pessoais do Cliente apenas de acordo com as Instruções.
3.1.3 Compliance do Google com as Instruções. O Google cumprirá as Instruções, a menos que seja proibido pelas Leis Estaduais de Privacidade dos EUA.
3.1.4 Produtos Adicionais. Se o Cliente usar qualquer produto, serviço ou aplicativo fornecido pelo Google ou por um terceiro que: (a) não faça parte dos Serviços de RDP; e (b) esteja acessível para uso na interface do usuário dos Serviços de RDP ou esteja integrado de qualquer outra forma aos Serviços de RDP ("Produto Adicional"), os Serviços de RDP poderão permitir que esse Produto Adicional acesse os Dados Pessoais do Cliente conforme exigido para a interoperação do Produto Adicional com os Serviços de RDP. Para fins de esclarecimento, este Apêndice 1B não se aplica ao processamento de dados pessoais relacionado ao fornecimento de qualquer Produto Adicional usado pelo Cliente, incluindo dados pessoais transmitidos do Produto Adicional ou para o Produto Adicional.
3.2. Exclusão de Dados no Término da Vigência. O Cliente instruirá o Google a excluir todos os Dados Pessoais do Cliente restantes (incluindo cópias) dos sistemas do Google no término da Vigência, de acordo com a legislação aplicável. O Google cumprirá essa instrução assim que razoavelmente possível e dentro de um período máximo de 180 dias, exceto se a legislação aplicável exigir o armazenamento.
3.3. Segurança de Dados.
3.3.1 Medidas e Assistência de Segurança do Google.
- (a) Medidas de Segurança do Google. O Google implementará e manterá medidas técnicas e organizacionais para proteger os Dados Pessoais do Cliente contra destruição, perda, alteração, divulgação ou acesso não autorizado, de maneira acidental ou ilegal ("Medidas de Segurança"). As Medidas de Segurança incluem medidas para: (i) criptografar dados pessoais; (ii) ajudar a garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços do Google; (iii) ajudar a restaurar o acesso em tempo hábil a dados pessoais após um incidente; e (iv) realizar testes regulares de eficácia. O Google pode atualizar ou modificar as Medidas de Segurança periodicamente, desde que tais atualizações e modificações não resultem na degradação da segurança geral dos Dados Pessoais do Cliente.
- (b) Acesso e Compliance. O Google garantirá que todas as pessoas autorizadas a processar Dados Pessoais do Cliente se comprometam com a confidencialidade ou estejam sob obrigação estatutária apropriada de confidencialidade.
- (c) Assistência de Segurança do Google. O Google (considerando a natureza do processamento de Dados Pessoais do Cliente e as informações disponibilizadas ao Google) ajudará o Cliente a cumprir as obrigações do Cliente (ou, caso o Cliente seja um operador, do controlador relevante) com relação à segurança de dados pessoais e vazamentos de dados pessoais, incluindo as obrigações do Cliente (ou, caso o Cliente seja um operador, do controlador relevante) relacionadas à segurança de dados pessoais e vazamentos de dados pessoais de acordo com as Leis Estaduais de Privacidade dos EUA ao:
- (i) implementar e manter as Medidas de Segurança, de acordo com o parágrafo 3.3.1(a) (Medidas de Segurança do Google);
- (ii) cumprir os termos do parágrafo 3.3.2 (Incidentes de Dados); e
- (iii) fornecer ao Cliente os direitos concedidos nos termos do parágrafo 3.3.3(c) (Direitos de Auditoria do Cliente).
3.3.2 Incidentes de Dados
- (a) Notificação de Incidentes. Se o Google tomar conhecimento de um Incidente de Dados (conforme definido abaixo), ele: (i) notificará o Cliente sobre o Incidente de Dados sem atrasos indevidos; e (ii) tomará medidas razoáveis imediatas para minimizar danos e proteger os Dados Pessoais do Cliente. Neste Apêndice 1B, "Incidente de Dados" significa uma violação da segurança do Google que leva a destruição, perda, alteração, divulgação ou acesso não autorizado, de maneira acidental ou ilegal, a Dados Pessoais do Cliente em sistemas gerenciados ou de outra forma controlados pelo Google. "Incidentes de Dados" não incluem atividades ou tentativas malsucedidas que não comprometem a segurança dos Dados Pessoais do Cliente, incluindo tentativas não concretizadas de login, pings, verificação de portas, ataques de negação de serviço e outros ataques de rede em firewalls ou sistemas de rede.
- (b) Envio de Notificação. O Google enviará uma notificação sobre qualquer Incidente de Dados ao endereço de e-mail designado pelo Cliente usando a interface do usuário dos Serviços de RDP ou outros meios fornecidos pelo Google para receber determinadas notificações do Google relacionadas a este Apêndice 1B ("Endereço de E-mail de Notificação") ou, a critério do Google (inclusive se o Cliente não tiver fornecido um Endereço de E-mail de Notificação), por comunicação direta (por exemplo, chamada telefônica, e-mail ou reunião presencial). O Cliente é a única parte responsável por fornecer o Endereço de E-mail de Notificação e garantir que esse endereço esteja atualizado e seja válido.
- (c) Notificações a Terceiros. O Cliente é a única parte responsável por obedecer à legislação de notificação de incidentes aplicável ao Cliente e cumprir todas as obrigações de notificação a terceiros relacionadas a Incidentes de Dados.
- (d) Não Reconhecimento de Falha por parte do Google. A notificação ou resposta do Google a um Incidente de Dados nos termos deste parágrafo 3.3.2 (Incidentes de Dados) não será interpretada como um reconhecimento por parte do Google de qualquer falha ou responsabilidade relacionada ao Incidente de Dados.
3.3.3 Responsabilidades e Avaliação de Segurança do Cliente.
- (a) Responsabilidades de Segurança do Cliente. O Cliente concorda que, sem prejuízos às obrigações do Google conforme previsto nos parágrafos 3.3.1 (Medidas e Assistência de Segurança do Google) e 3.3.2 (Incidentes de Dados):
- (i) o Cliente é responsável pelo uso que faz dos Serviços de RDP, incluindo: (1) o uso adequado dos Serviços de RDP para garantir um nível de segurança adequado ao risco relacionado aos Dados Pessoais do Cliente; e (2) a proteção das credenciais, sistemas e dispositivos de autenticação de conta que o Cliente usa para acessar os Serviços de RDP; e
- (ii) o Google não tem obrigação de proteger Dados Pessoais do Cliente que o Cliente escolha armazenar ou transferir para fora dos sistemas do Google ou dos subcontratados do Google.
- (b) Avaliação de Segurança do Cliente. O Cliente confirma e concorda que as Medidas de Segurança implementadas e mantidas pelo Google, conforme definido no parágrafo 3.3.1(a) (Medidas de Segurança do Google), oferecem um nível de segurança apropriado ao risco relacionado aos Dados Pessoais do Cliente, considerando as tecnologias atuais, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do processamento dos Dados Pessoais do Cliente, bem como os riscos aos indivíduos.
- (c) Direitos de Auditoria do Cliente.
- (i) O Cliente pode realizar uma auditoria para verificar compliance do Google com as obrigações dele de acordo com o Apêndice 1B, solicitando e analisando (1) um certificado emitido para verificação de segurança que reflita o resultado de uma auditoria realizada por um auditor terceirizado, por exemplo, certificação SOC 2 Type II ou ISO/IEC 27001 ou outra certificação similar, ou outra certificação de segurança referente a uma auditoria realizada por um auditor terceirizado aceito pelo Cliente e pelo Google, em até 12 meses a partir da data de solicitação do Cliente e (2) qualquer outra informação que o Google determinar que é razoavelmente necessária para o Cliente verificar compliance.
- (ii) Como alternativa, o Google pode, a critério próprio e em resposta a uma solicitação do Cliente, iniciar uma auditoria terceirizada para verificar compliance do Google com as obrigações dele de acordo com o Apêndice 1B. Durante uma auditoria, o Google disponibilizará ao auditor terceirizado todas as informações necessárias para demonstrar que obedece à lei. Quando o Cliente solicitar essa auditoria, o Google poderá cobrar uma taxa (com base nos custos razoáveis que tenha) para qualquer auditoria. O Google fornecerá ao Cliente mais detalhes sobre qualquer taxa aplicável e sobre a base de cálculo antes de auditorias desse tipo. O Cliente será responsável pelas taxas cobradas por um auditor terceirizado indicado pelo Cliente para realizar a auditoria.
- (iii) Nada neste Apêndice 1B exigirá que o Google divulgue ao Cliente ou ao auditor terceirizado ou permita que o Cliente ou o auditor terceirizado acessem:
- (1) dados de outro cliente de uma Entidade do Google;
- (2) informações financeiras ou contábeis internas de uma Entidade do Google;
- (3) segredos comerciais de uma Entidade do Google;
- (4) informações que, na opinião razoável do Google, possam: (A) comprometer a segurança dos sistemas ou instalações de qualquer Entidade do Google; ou (B) fazer com que uma Entidade do Google não cumpra as obrigações previstas nas Leis Estaduais de Privacidade dos EUA ou as obrigações de segurança e/ou privacidade para com o Cliente ou terceiros; ou
- (5) qualquer informação que o Cliente ou o auditor terceirizado tente acessar por qualquer motivo que não seja o cumprimento de boa-fé das obrigações do Cliente segundo as Leis Estaduais de Privacidade dos EUA.
3.4 Assistência com Avaliações de Impacto. O Google (considerando a natureza do processamento e as informações disponibilizadas ao Google) ajudará o Cliente a cumprir as obrigações do Cliente (ou, quando o Cliente for um operador, do controlador relevante) relacionadas a avaliações de impacto da proteção de dados e consultas regulatórias anteriores, conforme exigido pelas Leis Estaduais de Privacidade dos EUA ao:
- (a) fornecer a Documentação de Segurança;
- (b) fornecer as informações contidas no Contrato (incluindo este Apêndice 1B); e
- (c) fornecer ou disponibilizar, de acordo com práticas padrão do Google, outros materiais referentes à natureza dos Serviços de RDP e do processamento de Dados Pessoais do Cliente (por exemplo, materiais da Central de Ajuda).
3.5. Direitos do Titular dos Dados.
3.5.1 Respostas a Solicitações de Titulares de Dados. Se o Google receber uma solicitação de um titular com relação a Dados Pessoais do Cliente, o Cliente autorizará o Google (que notifica o Cliente nestes Termos) a:
- (a) responder diretamente à solicitação do titular dos dados de acordo com a funcionalidade padrão de uma ferramenta (se houver) disponibilizada por uma Entidade do Google aos titulares dos dados que permite ao Google responder diretamente e de maneira padronizada a determinadas solicitações feitas por titulares com relação aos Dados Pessoais do Cliente (por exemplo, configurações de publicidade on-line ou um plug-in do navegador para desativação) ("Ferramenta de Titulares de Dados") se a solicitação tiver sido feita por uma Ferramenta de Titulares de Dados; ou
- (b) aconselhar o titular dos dados a enviar uma solicitação ao Cliente, que será responsável pela resposta, caso a solicitação não seja feita por uma Ferramenta de Titulares de Dados.
3.5.2 Assistência a Solicitações de Titulares de Dados do Google. O Google ajudará o Cliente a cumprir as obrigações (ou, quando o Cliente for um operador, as obrigações do controlador relevante) de acordo com as Leis Estaduais de Privacidade dos EUA para responder a solicitações de exercício dos direitos do titular dos dados, em todos os casos considerando a natureza do processamento de Dados Pessoais do Cliente e:
- (a) fornecendo a funcionalidade dos Serviços de RDP;
- (b) cumprindo os compromissos estabelecidos no parágrafo 3.5.1 (Respostas a Solicitações de Titulares de Dados); e
- (c) disponibilizando Ferramentas de Titulares de Dados, se aplicável aos Serviços de RDP.
3.5.3 Retificação. Se o Cliente souber que os Dados Pessoais do Cliente estão incorretos ou desatualizados, o Cliente será responsável por retificar ou excluir esses dados, se exigido pelas Leis Estaduais de Privacidade dos EUA, incluindo (quando disponível) ao usar a funcionalidade dos Serviços de RDP.
3.6. Subcontratados.
- (a) O Cliente autoriza o Google, em termos gerais, a subcontratar outras entidades para o fornecimento dos Serviços de RDP. Ao subcontratar alguma entidade, o Google:
- (i) garantirá, em um contrato por escrito: (1) que o subcontratado só acesse e use os Dados Pessoais do Cliente conforme necessário para cumprir as obrigações subcontratadas e o faça de acordo com o Contrato (incluindo este Apêndice 1B); e (2) se o processamento de Dados Pessoais do Cliente estiver sujeito às Leis Estaduais de Privacidade dos EUA, assegurará que as obrigações de proteção de dados contidas neste Apêndice 1B sejam impostas ao subcontratado;
- (ii) ao subcontratar uma entidade, notificará sobre os novos subcontratados, quando exigido pelas Leis Estaduais de Privacidade dos EUA e, quando exigido por essas leis, fornecerá ao Cliente uma oportunidade de se opor a esses subcontratados; e
- (iii) permanecerá totalmente responsável por todas as obrigações subcontratadas e por todos os atos e omissões por parte do subcontratado.
- (b) O Cliente pode se opor a qualquer novo subcontratado rescindindo o Contrato por conveniência imediatamente mediante notificação por escrito ao Google, sob a condição de que o Cliente forneça essa notificação em um prazo de 90 dias após ter sido informado sobre a contratação, conforme descrito no parágrafo 3.6(a)(ii) deste documento.
3.7 Contato com o Google. O Cliente pode entrar em contato com o Google sobre o exercício dos próprios direitos previstos neste Apêndice 1B pelos métodos descritos em privacy.google.com/businesses/processorsupport (link em inglês) ou por outros meios que possam ser fornecidos pelo Google periodicamente.
4. Termos das Leis Estaduais de Privacidade dos EUA
4.1 Dados Desidentificados. Com relação aos Dados Pessoais do Cliente processados com ou sem o Processamento de Dados Restrito ativado e na medida em que uma ou mais Leis Estaduais de Privacidade dos EUA se aplicam ao processamento de Dados Pessoais do Cliente, cada parte cumprirá os requisitos de processamento dos Dados Desidentificados de acordo com essas leis em relação aos Dados Desidentificados recebidos da outra parte de acordo com o Contrato. Para os fins deste parágrafo 4.1 (Dados Desidentificados), os Dados Pessoais do Cliente dizem respeito a quaisquer dados pessoais processados por uma parte de acordo com o Contrato com relação à prestação ou ao uso dos Serviços de Medição.
5. Obrigações do Google segundo a CCPA.
5.1 Com relação aos Dados Pessoais do Cliente processados conforme o Processamento de Dados Restrito e na medida em que a CCPA se aplica a esse processamento de Dados Pessoais do Cliente, o Google atuará como o provedor de serviços do Cliente e, como tal, salvo permissão para provedores de serviços de acordo com a CCPA, conforme razoavelmente determinado pelo Google:
- (a) o Google não venderá nem compartilhará Dados Pessoais do Cliente coletados do Cliente com relação ao Contrato;
- (b) o Google não reterá, usará nem divulgará Dados Pessoais do Cliente (inclusive fora do relacionamento comercial direto entre o Google e o Cliente), exceto para fins comerciais de acordo com a CCPA em nome do Cliente e para o objetivo específico de realização dos Serviços de RDP, conforme descrito em documentação pertinente disponível em business.safety.google/rdp, atualizada periodicamente;
- (c) o Google não combinará Dados Pessoais do Cliente que receber do Cliente ou em nome dele com (i) informações pessoais que receber de, ou em nome de, outra pessoa ou pessoas ou (ii) informações pessoais coletadas da interação do Google com um consumidor, conforme descrito em documentação pertinente disponível em business.safety.google/rdp, exceto na medida permitida pela CCPA;
- (d) o Google processará esses Dados Pessoais do Cliente com a finalidade específica de realizar os Serviços de RDP, conforme descrito no Contrato e na documentação pertinente (por exemplo, artigos da Central de Ajuda) ou conforme permitido pela CCPA, e as partes concordam que o Cliente disponibiliza esses Dados Pessoais do Cliente ao Google para tais fins;
- (e) o Google permitirá que auditorias verifiquem compliance do Google com as obrigações de acordo com o Apêndice 1B, parágrafo 3.3.3(c) (Direitos de Auditoria do Cliente), deste documento;
- (f) o Google notificará o Cliente se determinar que não pode mais cumprir com as obrigações impostas pela CCPA. O parágrafo 5.1(f) não reduz os direitos e as obrigações de nenhuma das partes definidos em outras seções do Contrato;
- (g) se o Cliente acreditar razoavelmente que o Google está processando os Dados Pessoais do Cliente de forma não autorizada, o Cliente terá o direito de notificar o Google sobre isso pelos métodos descritos em privacy.google.com/businesses/processorsupport (link em inglês), e as partes trabalharão juntas de boa-fé para corrigir as atividades de processamento supostamente infratoras, se necessário; e
- (h) o Google cumprirá as obrigações aplicáveis de acordo com a CCPA e proporcionará o mesmo nível de proteção de privacidade exigido por ela.
5.2 Com relação aos Dados Pessoais do Cliente processados sem a ativação do Processamento de Dados Restrito e na medida em que a CCPA se aplica ao processamento de Dados Pessoais do Cliente:
- (a) o Google processará esses Dados Pessoais do Cliente com a finalidade específica de realizar os Serviços de Medição, conforme aplicável e descrito no Contrato e na documentação pertinente (por exemplo, artigos da Central de Ajuda) ou conforme permitido pela CCPA, e as partes concordam que o Cliente está disponibilizando esses Dados Pessoais do Cliente ao Google para tais fins;
- (b) o Google permitirá que auditorias verifiquem compliance do Google com as obrigações dele de acordo com o Apêndice 1B, parágrafo 3.3.3(c) (Direitos de Auditoria do Cliente), deste documento;
- (c) o Google notificará o Cliente se determinar que não pode mais cumprir com as obrigações impostas pela CCPA;
- (d) se o Cliente acreditar razoavelmente que o Google está processando os Dados Pessoais do Cliente de forma não autorizada, o Cliente terá o direito de notificar o Google sobre isso pelos métodos descritos em privacy.google.com/businesses/processorsupport, e as partes trabalharão juntas de boa-fé para corrigir as atividades de processamento supostamente infratoras, se necessário; e
- (e) o Google cumprirá as obrigações aplicáveis de acordo com a CCPA e proporcionará o mesmo nível de proteção de privacidade exigido por ela.
6. Alterações neste Apêndice 1B.
Além da Seção 7 dos Termos entre Controladores (Alterações nestes Termos entre Controladores), conforme aplicável, o Google poderá alterar este Apêndice 1B sem aviso prévio se a mudança (a) tiver como base a legislação aplicável, uma regulamentação aplicável, um mandado judicial ou uma orientação emitida por um órgão regulador ou agência governamental ou (b) não tiver um impacto negativo relevante sobre o Cliente, de acordo com as Leis Estaduais de Privacidade dos EUA, conforme razoavelmente determinado pelo Google.
7. Objeto em Questão e Detalhes do Processamento de Dados conforme as Leis Estaduais de Privacidade dos EUA
Prestação dos Serviços de RDP e de qualquer suporte técnico relacionado pelo Google ao Cliente.
Duração do Processamento
A Vigência mais o período entre o fim da Vigência e a exclusão de todos os Dados Pessoais do Cliente pelo Google de acordo com o Apêndice 1B.
Natureza e Finalidade do Processamento
O Google processará (incluindo, conforme aplicável aos Serviços de RDP e às Instruções, a coleta, registro, organização, estruturação, armazenamento, alteração, recuperação, uso, divulgação, combinação, exclusão e destruição) os Dados Pessoais do Cliente com a finalidade de fornecer ao Cliente os Serviços de RDP e qualquer suporte técnico relacionado de acordo com o Apêndice 1B ou conforme permitido pelos operadores de acordo com as Leis Estaduais de Privacidade dos EUA.
Tipos de Dados Pessoais
Os Dados Pessoais do Cliente podem incluir os tipos de dados pessoais descritos nas Leis Estaduais de Privacidade dos EUA.
Categorias de Titulares dos Dados
Os Dados Pessoais do Cliente poderão ser enquadrados nestas categorias de titulares de dados:
- titulares de quem o Google coleta dados pessoais ao prestar os Serviços de RDP; e/ou
- titulares cujos dados pessoais são transferidos para o Google em relação aos Serviços de RDP pelo Cliente, por instrução dele ou em nome dele.
Dependendo da natureza dos Serviços de RDP, esses titulares dos dados podem incluir indivíduos: (a) a quem uma publicidade on-line tenha sido ou será direcionada; (b) que tenham visitado sites ou aplicativos específicos para os quais o Google presta os Serviços de RDP; e/ou (c) que sejam clientes ou usuários de produtos ou serviços do Cliente.
Termos de Proteção de Dados entre Controladores de Métricas do Google, versão 4.0
Versões anteriores
