Versão: 1 de Fevereiro de 2023
Este Adendo de Processamento de Dados ("DPA") é parte integrante do Contrato entre o Cliente e a CM.com cobrindo o uso dos Serviços pelo Cliente.
Os termos contidos nestes Termos e Condições inicialmente capitalizados são definidos e têm o significado estabelecido nesta Cláusula.
Controlador: a pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina as finalidades e meios do processamento de Dados Pessoais.
Sujeito dos Dados: uma pessoa física identificada ou identificável relacionada aos Dados Pessoais.
Medidas técnicas e organizacionais: medidas para proteger os Dados Pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado e contra todas as outras formas ilegais de processamento.
Quebra de Dados Pessoais: uma quebra de segurança que leve ao acidente ou destruição ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou processados de outra forma.
Processador: pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processe dados pessoais em nome do Controlador.
Processamento/processamento: qualquer operação ou conjunto de operações que sejam realizadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, seja ou não por meios automáticos, tais como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, divulgação ou disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.
Sub-processador: Uma parte contratada pela CM.com para atividades de processamento para as quais a CM.com é um Processador sob esta DPA, conforme listado em: www.cm.com/trust-center/privacy/.
A expressão 'Data Protection Impact Assessment,' terá o significado atribuído a eles na Lei de Proteção de Dados Aplicável.
1.2. As referências às Leis Aplicáveis de Proteção de Dados deverão ser substituídas por ou incorporar referências a quaisquer leis que substituam ou alterem as Leis Aplicáveis de Proteção de Dados, e os termos equivalentes definidos em tais leis, uma vez em vigor e aplicáveis.
1.3. Estes Termos e Condições de Processamento de Dados aplicar-se-ão exclusivamente ao processamento de Dados Pessoais pela CM.com como um Processador em nome do Cliente. Em caso de qualquer conflito, as disposições destes Termos e Condições de Processamento de Dados referentes ao Processamento de Dados Pessoais prevalecerão sobre as disposições do Contrato. Quando as disposições individuais destes Termos e Condições de Processamento de Dados forem inválidas ou inaplicáveis, a validade e aplicabilidade das outras disposições não serão afetadas.Trust Center: www.cm.com/trust-center/.
2.1 Estes Termos e Condições de Processamento de Dados serão aplicáveis às atividades de processamento de Dados Pessoais, para as quais CM.com é um Processador sujeito às Leis de Proteção de Dados Aplicáveis.
2.2 CM.com é um Processador para as atividades de processamento descritas no artigo 6 destes Termos e Condições de Processamento de Dados
3.1 O Cliente deverá, em sua utilização do Serviço, processar os Dados Pessoais de acordo com os requisitos das Leis Aplicáveis de Proteção de Dados. As instruções do Cliente para o Processamento de Dados Pessoais deverão estar de acordo com as Leis de Proteção de Dados Aplicáveis. O Cliente é responsável pela exatidão, qualidade e legalidade dos Dados Pessoais e pelos meios pelos quais o Cliente adquiriu os Dados Pessoais. O Cliente deverá assegurar-se de que os mesmos satisfazem todos os requisitos para o processamento e transferência dos Dados Pessoais nos termos das Leis Aplicáveis, incluindo, mas não se limitando a, assegurar um motivo legal de processamento e/ou transferências transfronteiriças. O Cliente deverá informar a CM.com sem atraso indevido se não puder mais cumprir suas obrigações em relação ao processamento de Dados Pessoais nos termos das Leis Aplicáveis e/ou do Contrato.
3.2 Sem limitar a generalidade de qualquer outra disposição do Contrato, antes da utilização do Serviço, o Cliente deverá obter o consentimento informado verificável dos Usuários Finais ou ser capaz de fornecer confirmação de qualquer outra base legal aplicável para o Processamento, e deverá manter um registro de cada um desses consentimentos e/ou bases legais. Mediante aviso por escrito razoável, o Cliente deverá fornecer informações sobre a base legal conforme solicitado e quando exigido pelo CM.com, qualquer Operador, regulador, ou outra autoridade competente.
4.1 Instruções
4.1.1 CM.com processará os dados pessoais de acordo com esta DPA e o Contrato, e para os fins e na forma especificada pelo Cliente de tempos em tempos no Contrato e outras instruções dentro do escopo do Contrato.
4.2 Medidas Técnicas e Organizacionais
4.2.1 Levando em consideração o estado da técnica, a natureza, o escopo, o contexto e as finalidades do Processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas, CM.com implementará Medidas Técnicas e Organizacionais apropriadas (incluindo proteção contra Processamento não autorizado ou ilegal e contra destruição acidental ou ilegal, perda ou alteração ou dano, divulgação não autorizada de, ou acesso a Dados Pessoais) para garantir um nível de segurança apropriado ao risco. Informações atualizadas sobre Medidas Técnicas e Organizacionais podem ser encontradas em www.cm.com/trust-center/security/ .
4.2.2 CM.com deve testar, avaliar e avaliar a eficácia das Medidas Técnicas e Organizacionais para garantir a segurança do Processamento em uma base contínua. CM.com deve melhorar e melhorar continuamente as Medidas Técnicas e Organizacionais quando apropriado.
4.3 Requisitos de pessoal
CM.com garante que as pessoas autorizadas a processar os Dados Pessoais se comprometeram com a confidencialidade ou estão sob uma obrigação legal apropriada de confidencialidade. O acesso aos Dados Pessoais é restrito ao pessoal que requer acesso para realizar os Serviços de acordo com o Contrato.
4.4. Confidencialidade
CM.com concorda que manterá os Dados Pessoais em sigilo. Em particular, CM.com concorda que não divulgará quaisquer Dados Pessoais fornecidos à CM.com por, para, ou em nome do Cliente a terceiros sem o consentimento prévio do Cliente, exceto conforme previsto e exigido para a execução do Serviço nos termos do Contrato ou da lei obrigatória.
4.5.Direitos dos sujeitos dos dados
4.5.1 Quando o Cliente assim instruir CM.com, CM.com deverá transferir, corrigir, apagar ou bloquear Dados Pessoais se o Cliente receber uma solicitação de um Sujeito de Dados para exercer o direito de acesso do Sujeito de Dados, direito de retificação, restrição do Processamento, apagamento ("direito a ser esquecido"), portabilidade dos dados, objeto ao Processamento, ou seu direito de não estar sujeito a uma tomada de decisão individual automatizada ("Solicitação de Sujeito de Dados").
4.5.2 CM.com deverá notificar o Cliente se CM.com receber uma Solicitação de Sujeito de Dados. Levando em consideração a natureza do Processamento, CM.com ajudará o Cliente, em resposta a uma Solicitação de Sujeito de Dados de acordo com a Lei de Proteção de Dados Aplicável. CM.com assistirá o Cliente na medida em que CM.com seja legalmente permitido e a resposta a tal Solicitação de Sujeito de Dados é exigida pela Lei de Proteção de Dados.
4.6 Assistência ao Cliente no cumprimento da Lei
CM.com prestará ao Cliente a assistência adicional razoavelmente necessária para assegurar o cumprimento das obrigações do Cliente sob as Leis de Proteção de Dados, inclusive no que diz respeito a:
(a) avaliação do impacto da proteção de dados, fornecendo tais informações e cooperação que o Cliente possa requerer para o propósito de ajudar o Cliente a realizar uma avaliação do impacto da proteção de dados e revisões periódicas para avaliar se o processamento de dados pessoais é realizado em conformidade com a avaliação do impacto da proteção de dados;
(b) consulta prévia a uma autoridade supervisora de proteção de dados com relação ao Processamento de alto risco.
4.7 Conformidade, informação e auditoria
4.7.1 CM.com obteve certificações de terceiros estabelecidas no Trust Center no site da CM.com, disponível em www.cm.com/trust-center/, que fornece informações sobre Medidas Técnicas e Organizacionais, privacidade, conformidade, gerenciamento de riscos e segurança de dados. Mediante solicitação escrita do Cliente, e sujeito às obrigações de confidencialidade estabelecidas no Contrato, CM.com disponibilizará ao Cliente, que não seja um concorrente da CM.com (ou auditor independente de terceiros do Cliente que não seja concorrente da CM.com), uma cópia das mais recentes certificações e informações de terceiros da CM.com relativas à arquitetura e segurança de TI, conforme aplicável e razoavelmente solicitado. O Cliente é responsável por avaliar as informações que são disponibilizadas pela CM.com e determinar se elas atendem aos requisitos e obrigações do Cliente sob as Leis Aplicáveis de Proteção de Dados. O Cliente concorda que as informações aqui fornecidas servirão para cumprir os direitos de auditoria do Cliente nos termos das Leis Aplicáveis de Proteção de Dados.
4.7.2 Caso as informações fornecidas pela CM.com sejam insuficientes para provar a conformidade com esta DPA, o Cliente tem o direito de nomear um especialista externo acreditado no máximo uma vez por ano para auditar os procedimentos relativos ao Processamento de dados para o Cliente. CM.com cooperará com tal auditoria mediante um aviso prévio razoável por escrito de não menos que dez dias úteis. O Cliente deverá reembolsar a CM.com por qualquer tempo gasto pela CM.com para tal auditoria nas tarifas de serviços profissionais então vigentes da CM.com, as quais serão disponibilizadas ao Cliente mediante solicitação. Antes do início de qualquer auditoria, as partes deverão concordar mutuamente sobre o escopo, o tempo e a duração da auditoria, além da taxa de reembolso pela qual o Cliente será responsável.
4.7.3 CM.com tem o direito de solicitar que o perito externo assine uma declaração de confidencialidade em favor do CM.com. A declaração de confidencialidade deve conter os termos e condições que são usuais para este tipo de declaração. Qualquer relatório ou declaração fornecida pelo perito externo deverá ser colocada à disposição do CM.com. O cliente deverá garantir que a auditoria dificulte o mínimo possível as operações do CM.com.
4.8 Registros
CM.com deve manter registros completos, precisos e atualizados das atividades de Processamento realizadas em nome de seus Clientes.
4.9 Afiliados e Sub-processadores
4.9.1 Algumas ou todas as obrigações da CM.com sob o Acordo podem ser cumpridas pelas afiliadas da CM.com. CM.com é responsável pelo cumprimento do Contrato por parte de suas afiliadas.
4.9.2 O Cliente reconhece e concorda que (a) as afiliadas da CM.com podem ser contratadas como Sub-processadores; e (b) as afiliadas da CM.com e CM.com, respectivamente, podem contratar Sub-processadores de terceiros em conexão com a prestação dos Serviços. Desde que a CM.com ou uma afiliada CM.com tenha celebrado um acordo escrito com cada Sub-processador contendo obrigações de proteção de dados não menos protetoras do que aquelas do Acordo com respeito à proteção de Dados Pessoais, na medida aplicável à natureza do Serviço fornecido por tal Sub-processador e a CM.com mantém uma lista atualizada de Sub-processadores. A lista atual de Sub-processadores da CM.com está disponível em: www.cm.com/trust-center/privacy/.CM.com deverá informar ao Cliente trinta (30) dias antes de qualquer alteração com relação à lista de Sub-processadores. Dentro desse prazo, o Cliente poderá se opor à alteração da lista de Sub-processadores, desde que tal objeção seja apresentada por escrito e baseada em fundamentos razoáveis com respeito às Leis de Proteção de Dados Aplicáveis. As partes farão um esforço de boa fé para resolver a objeção do Cliente. Se a objeção não for resolvida dentro de trinta (30) dias, qualquer uma das Partes poderá rescindir o Contrato.
4.9.3 CM.com será responsável por cada um de seus Sub-processadores na mesma medida em que CM.com seria responsável se executasse os serviços de cada Sub-processador diretamente sob os termos do Contrato.
4.10 Notificação de infração
Em relação a uma violação de dados pessoais, CM.com deve:
(a) notificar o Cliente sobre uma Violação de Dados Pessoais envolvendo CM.com ou um subcontratado sem demora indevida (mas em nenhuma hipótese depois de quarenta e oito horas após tomar conhecimento da Violação de Dados Pessoais).
(b) prestar cooperação e assistência razoável ao Cliente em relação a qualquer ação a ser tomada em resposta a uma Violação de Dados Pessoais sob as Leis Aplicáveis de Proteção de Dados, tais como o Art. 33(3) e 34(3) GDPR, inclusive em relação a qualquer comunicação da Violação de Dados Pessoais ao Sujeito dos Dados e às autoridades de proteção de dados.
CM.com investigará imediatamente uma Violação de Dados Pessoais e tomará medidas razoáveis para identificar sua(s) causa(s) raiz(s) e prevenir uma recorrência. Conforme as informações são coletadas ou tornam-se disponíveis, a menos que proibido por lei, CM.com fornecerá ao Cliente uma descrição da Violação de Dados Pessoais, o tipo de dados que foi objeto da Violação de Dados Pessoais e outras informações que o Cliente possa razoavelmente solicitar. As Partes concordam em coordenar de boa fé o desenvolvimento do conteúdo de quaisquer declarações públicas relacionadas ou quaisquer avisos necessários para os Sujeitos dos Dados afetados e/ou para as autoridades de proteção de dados relevantes.
Na medida em que o compromisso de um Sub-processador sob a arte. 4.9 exige um mecanismo de transferência transfronteiriça sob as Leis Aplicáveis de Proteção de Dados para transferir legalmente dados pessoais de uma jurisdição (isto é, o Espaço Econômico Europeu, o Reino Unido ou qualquer outra jurisdição relevante) a um terceiro localizado fora dessa jurisdição, os seguintes termos serão aplicáveis.Cliente autoriza a CM.com a transferir dados pessoais fora da jurisdição na qual a CM.com está localizada e os dados pessoais foram recebidos pela primeira vez, desde que a CM.com garanta que tais transferências serão executadas de acordo com esta DPA e um mecanismo legal de transferência de dados que forneça um nível adequado de proteção sob as Leis Aplicáveis de Proteção de Dados.
CM.com deve processar e reter dados, incluindo dados pessoais, de acordo com a legislação aplicável, regulamentos, incluindo mas não limitado à legislação nacional de telecomunicações e leis de proteção de dados aplicáveis. Os dados, incluindo Dados Pessoais, submetidos à plataforma da CM.com serão processados e armazenados de acordo com a política de retenção de dados da CM.com. Os Dados Pessoais serão retidos por não mais tempo do que o necessário para a prestação dos Serviços sob o Contrato, para os fins declarados no Contrato e na medida do necessário e/ou permitido pela Lei Aplicável. CM.com deverá desidentificar ou despersonalizar os dados em dados anonimizados após o período de retenção aplicável. Isto resulta em dados que não incluem dados pessoais ou identificadores únicos que poderiam ser usados posteriormente para se referir aos dados pessoais aos quais os dados foram associados uma vez.
7.1 Natureza e Objetivo do Processamento
CM.com processará os Dados Pessoais conforme necessário para executar os Serviços de acordo com o Contrato, conforme especificado no Contrato, e conforme instruído pelo Cliente dentro do escopo do Contrato.
7.2 Duração do Processamento
CM.com processará Dados Pessoais durante a vigência do Acordo e de acordo com a cláusula 6 desta DPA.
7.3 Categorias de Dados Sujeitos
O Cliente pode submeter dados à CM.com na utilização do Serviço, cujo conteúdo é determinado e controlado pelo Cliente a seu exclusivo critério, e que pode incluir, mas não está limitado aos Dados Pessoais relacionados com as categorias de Assuntos de Dados listados no Anexo 1
7.4 Tipo de Dados Pessoais O Cliente pode submeter Dados Pessoais aos Serviços, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério, e que pode incluir, mas não está limitado às categorias de Dados Pessoais listadas no Anexo 1
Sujeitos dos dados:
Nuvem de IA Conversacional
Canais Conversacionais
Plataforma de dados do cliente
Nuvem do Marketing Móvel
Nuvem de serviços móveis
Plataforma de pagamentos
Assine
SMS
Ticketing
Voz
Categorias de dados pessoais:
Nuvem de IA Conversacional
Canais Conversacionais
Plataforma de dados do cliente
Nuvem do Marketing Móvel
Nuvem de serviços móveis
Plataforma de pagamentos
Assine
SMS
Emissão de bilhetes
Voz