OBRIGAÇÕES GLOBAIS DE PRIVACIDADE
ÚLTIMA ATUALIZAÇÃO: 12 de março de 2024
- Estas obrigações globais de privacidade ("Obrigações Globais de Privacidade") estabelecem certas obrigações de proteção de dados que esperamos que nossos fornecedores e outros parceiros (denominados, em conjunto, "Parceiros") cumpram em relação ao fornecimento de produtos e serviços para nós. Estas Obrigações Globais de Privacidade integram e são complementares a qualquer contrato que tenhamos celebrado com nossos Parceiros a que estas Obrigações Globais de Privacidade tenham sido incorporadas ("Contrato").
- As diferentes seções dessas Obrigações Globais de Privacidade se aplicam a depender de nosso relacionamento com o Parceiro. Cada seção indica em que circunstâncias é aplicável.
- Esta seção se aplica a todos os Parceiros.
- Para os fins destas Obrigações Globais de Privacidade, os seguintes termos terão os seguintes significados:
- Salvo de outra forma especificado no Contrato, "IA", ou "Inteligência Artificial" significa e inclui qualquer forma de inteligência artificial ou tecnologia da informação, independentemente das técnicas ou abordagens específicas empregadas, que demonstrem a capacidade de executar tarefas, simular habilidades cognitivas humanas ou gerar resultados como conteúdo, previsões, recomendações ou decisões. Isso inclui, entre outras coisas, tecnologias e metodologias como aprendizado de máquina (com ou sem supervisão e aprendizagem por reforço, incluindo aprendizagem profunda e redes neurais), IA generativa, processamento de linguagem natural, visão computacional, modelos de linguagem grandes ("MLL"), abordagens baseadas na lógica e no conhecimento (incluindo representação do conhecimento, programação em lógica indutiva, bases de conhecimento, motores de inferência, máquinas de dedução, sistemas de raciocínio e especialistas), assim como técnicas estatísticas. A IA inclui todos os avanços, metodologias e aplicações atuais e futuras dentro do campo da inteligência artificial, assim como quaisquer outras tecnologias não mencionadas explicitamente neste documento que sejam desenvolvidas ou venham a surgir;
- "Resultado de IA" refere-se aos resultados gerados por IA a partir de prompts de comandos;
- "Tomada de Decisão Automatizada" significa uma decisão sobre um Titular de Dados usando qualquer sistema, software ou processo (inclusive por meio do uso de IA), tomada sem qualquer envolvimento humano ou que facilite o processo de tomada de decisão humana;
- "Controlador" significa a pessoa física ou jurídica que, individualmente ou em conjunto com outras, determine as finalidades e os meios do Tratamento de Informações Pessoais;
- "Cliente", "nós", "nos" e "nosso" significa: (i) a entidade Warner Bros. Discovery identificada no Contrato e que é parte do Contrato; e (ii) qualquer afiliada ou subsidiária que controle, seja controlada pela entidade Warner Bros. Discovery mencionada no Contrato ou ainda esteja sob seu controle comum;
- "Lei de Proteção de Dados" significa qualquer constituição, lei, estatuto, tratado, regra, regulamento, portaria, código e diretriz federal, estadual, provincial, local, municipal, estrangeiro(a), internacional, multinacional ou outro(a) emitido(a) por autoridades reguladoras competentes para interpretá-lo(a) ou aplicá-lo(a), referente ao Tratamento de Informações Pessoais, privacidade, proteção de dados ou segurança cibernética, sujeito a alterações posteriores que se façam necessárias;
- "Titular de Dados" significa o indivíduo ao qual se refiram as Informações Pessoais;
- "Solicitação de Titular de Dados" significa uma solicitação de um Titular de Dados para obter informações relacionadas às suas Informações Pessoais tais como acesso, retificação, exclusão, restrição, portabilidade, objeção, restrição de venda, eliminação e quaisquer outras solicitações semelhantes;
- "Descrição do Tratamento" significa a descrição das Informações Pessoais Tratadas pelo Parceiro sob o Contrato;
- "EEE" significa o Espaço Econômico Europeu;
- "Transferência de Dados do EEE" significa uma transferência de Informações Pessoais: (a) sujeitas ao RGPD; (b) a um destinatário em um país ou território fora do EEE; e (c) que não esteja sujeita a uma decisão de adequação da Comissão da União Europeia;
- "Cláusulas Contratuais Padrão do EEE" (SCC) se referem às cláusulas contratuais padrão referentes à transferência de dados pessoais para países terceiros conforme estabelecido no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho adotadas pela decisão da Comissão Europeia de 4 de junho de 2021 C (2021) 3972, disponíveis em https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?url=CELEX:32021D0914&locale= en;
- "RGPD" se refere ao Regulamento Geral de Proteção de Dados da União Europeia, estabelecido pelo Regulamento 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016;
- "Obrigações de Segurança da Informação" significam quaisquer obrigações de segurança da informação aplicáveis anexadas ao Contrato ou que de outra forma façam parte do Contrato;
- "Outra Transferência de Dados" significa uma transferência de Informações Pessoais: (i) sujeita às leis de um país que restrinja a transferência de Informações Pessoais a outro país que não seja considerado adequado para receber tais Informações Pessoais (um "País Restrito"); e (ii) que não seja uma Transferência de Dados do EEE ou uma Transferência de Dados do Reino Unido;
- "Informações Pessoais" significam qualquer informação relacionada a uma pessoa física identificada ou identificável, incluindo qualquer informação definida como "informações de identificação pessoal", "informações pessoais", "dados pessoais" ou termos semelhantes, conforme definidos nas Leis de Proteção de Dados, limitados às Informações Pessoais Tratadas pelo Parceiro em conexão com o Contrato;
- "Tratar" ou "Tratamento" significa qualquer operação ou conjunto de operações realizadas com Informações Pessoais, seja por meios automatizados ou não, incluindo a coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, consulta, uso, divulgação por transmissão, transferência, disseminação ou disponibilização, alinhamento ou combinação, restrição, exclusão ou destruição de Informações Pessoais;
- "Operador" significa uma pessoa física ou jurídica que Trate Informações Pessoais em nome do Controlador;
- "Incidente de Segurança" significa (i) qualquer aquisição, perda, acesso, uso, uso indevido, perda de acesso ou perda de uso não autorizado(a) de Informações Pessoais (incluindo perda de qualquer meio de armazenamento em que sejam armazenadas as Informações Pessoais); ou (ii) qualquer violação de segurança resultante em destruição, perda, alteração, uso, uso indevido, divulgação não autorizada ou acesso acidental ou ilegal em relação às Informações Pessoais;
- "Informações Pessoais Sensíveis" significam Informações Pessoais que revelem raça, etnia; opiniões políticas; crenças religiosas ou filosóficas; filiação sindical; saúde física ou mental; vida sexual ou orientação sexual; o Tratamento de dados genéticos, dados biométricos com o objetivo de identificar exclusivamente um Titular de Dados; Informações Pessoais relacionadas a antecedentes criminais, crimes ou medidas de segurança relacionadas; número de identificação emitido pelo governo; credenciais da contas; números de contas financeiras, incluindo números de cartões de pagamento; dados precisos de geolocalização; conteúdos de comunicações não direcionadas ao Parceiro ou Cliente; e subconjuntos de Informações Pessoais que sejam considerados "sensíveis" ou requeiram proteções aprimoradas de acordo com Leis de Proteção de Dados aplicáveis;
- "Serviços" têm o significado indicado no Contrato ou, se não estiverem definidos pelo Contrato, significam os produtos ou serviços fornecidos a nós pelo Parceiro de acordo com o Contrato;
- "Suboperador" significa uma pessoa física ou jurídica que Trate Informações Pessoais em nome de um Operador;
- "Dados de Treinamento" refere-se a informações usadas para treinar, melhorar ou aumentar as capacidades de qualquer IA;
- "Transferência de Dados do Reino Unido" significa uma transferência de Informações Pessoais: (a) sujeitas ao RGPD do Reino Unido; (b) a um destinatário em um país ou território fora do Reino Unido; e (c) que não esteja sujeita a uma decisão de adequação da Secretaria de Estado do Reino Unido;
- "RGPD do Reino Unido" refere-se ao RGPD, que faz parte das leis da Inglaterra, País de Gales, Escócia e Irlanda do Norte em virtude da Seção 3 da Lei da União Europeia (Retirada) de 2018; e
- "Adendo das SCC do Reino Unido" refere-se ao modelo de adendo emitido pelo Gabinete do Comissário de Informação do Reino Unido e apresentado ao Parlamento de acordo com a Seção 119A da Lei de Proteção de Dados de 2018 em 2 de fevereiro de 2022, conforme revista na Seção 18; e disponível em https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.
- Esta seção se aplica a todos os Parceiros.
- Cumprimento da lei. O Parceiro cumprirá todas as Leis de Proteção de Dados aplicáveis e fornecerá proteções de privacidade apropriadas para cumprir com as suas obrigações. O Parceiro notificará a Cliente pelo e-mail wbdprivacy@wbd.com se verificar que não pode mais cumprir com suas obrigações previstas na Lei de Proteção de Dados. A Cliente terá direito de tomar as medidas cabíveis para eliminar e remediar qualquer Tratamento não autorizado de Informações Pessoais por parte do Parceiro.
- Segurança. O Parceiro implementará e manterá medidas técnicas e organizacionais apropriadas e adequadas para proteger as Informações Pessoais. As medidas de segurança do Parceiro devem se destinar a: (i) garantir a confidencialidade, disponibilidade e integridade das Informações Pessoais; (ii) proteger contra quaisquer ameaças ou riscos previstos à segurança ou integridade das Informações Pessoais; e (iii) proteger contra Tratamento não autorizado.
- Comunicações com terceiros. Caso o Parceiro receba alguma comunicação de um Titular de Dados, órgão regulador, órgão governamental ou outros terceiros sobre:
- Tratamento de Informações Pessoais pelo Parceiro em conexão com o Contrato; ou
- Tratamento de Informações Pessoais pela Cliente,
o Parceiro notificará imediatamente (a menos que seja vedado por lei) a Cliente (pelo e-mail wbdprivacy@wbd.com), informando todos os detalhes dessa comunicação e fornecerá toda a cooperação razoavelmente solicitada pela Cliente para responder a tal comunicação. O Parceiro não responderá a comunicações dessa natureza diretamente sem autorização prévia da Cliente, exceto se exigido por lei a fazê-lo.
- Respostas a solicitações e incidentes. O Parceiro não mencionará o nome da Cliente (incluindo qualquer subsidiária ou afiliada) sem obter aprovação prévia por escrito da Cliente, em: (i) respostas a solicitações de Titulares de Dados; (ii) divulgações públicas relacionadas ao Tratamento; (iii) notificação de um Incidente de Segurança; ou (iv) comunicações com autoridades de proteção de dados ou outro órgão legal relacionado ao Tratamento.
- Vigência e duração.
- As disposições dessas Obrigações Globais de Privacidade serão encerradas quando o Parceiro deixar de Tratar Informações Pessoais em conexão com o Contrato.
- Não obstante qualquer disposição em contrário nesta Seção 3 (Termos para todos os Parceiros), as Seções 3.4, 3.5, 3.8 e Seção 7 subsistirão à extinção ou vencimento do Contrato e destas Obrigações Globais de Privacidade.
- Traduções. Em caso de conflito entre a versão em inglês destas Obrigações Globais de Privacidade e outra versão em qualquer outro idioma, a versão em inglês prevalecerá.
- Inexistência de limitação de responsabilidade. Para esclarecimento, as responsabilidades das partes conforme estabelecido nestas Obrigações Globais de Privacidade não estarão sujeitas a nenhuma limitação ou exclusão de responsabilidade prevista no Contrato.
- Inexistência de parceria. Nenhuma disposição destas Obrigações Globais de Privacidade deve ser interpretada de modo a criar um vínculo empregatício, uma joint venture, relação de representação ou parceria entre as partes. As partes não estão autorizadas e nem agirão em nome uma da outra perante terceiros, entidades individuais ou o público de forma a indicar qualquer uma dessas relações.
- Esta seção se aplica nas seguintes condições:
- Quando o Parceiro Tratar qualquer Informação Pessoal como um Operador em nome da Cliente; ou
- Quando o Contrato declarar expressamente que esta seção é aplicável.
- Instruções. O Parceiro só Tratará Informações Pessoais de acordo com as instruções por escrito da Cliente (a menos que seja necessário Tratar tais Informações Pessoais com base em uma exigência legal à qual o Parceiro esteja sujeito, hipótese em que o Parceiro deverá informar a Cliente da exigência legal antes de iniciar esse Tratamento, a menos que a exigência legal proíba informar a Cliente). As instruções por escrito da Cliente são para Tratar Informações Pessoais: (i) conforme necessário para que o Parceiro preste Serviços e cumpra quaisquer outras obrigações sob o Contrato; e (ii) conforme eventualmente indicado de outra forma pela Cliente por escrito. O Parceiro informará imediatamente a Cliente se, no entender do Parceiro, uma orientação ou instrução da Cliente infringir a Lei de Proteção de Dados aplicável.
- Descrição do Tratamento. O objeto e a duração do Tratamento, a natureza e a finalidade do Tratamento, o tipo de Informação Pessoal e as categorias de Titulares de Dados estão definidas na Descrição do Tratamento.
- Restrição de uso. O Parceiro não deverá: (i) vender Informações Pessoais ou divulgá-las em troca de contraprestação monetária ou outro tipo de contraprestação; (ii) Tratar Informações Pessoais para nenhuma finalidade que não seja especificamente para a execução dos Serviços, muito menos em desacordo com as instruções da Cliente; (iii) Tratar Informações Pessoais fora do relacionamento comercial direto entre o Parceiro e a Cliente; ou (iv) combinar as Informações Pessoais com Informações Pessoais recebidas de outras pessoas ou em seu nome ou ainda coletadas de consumidores. O Parceiro certifica que compreende e cumprirá as restrições desta seção.
- Solicitações de Titulares de Dados. O Parceiro notificará imediatamente a Cliente a respeito de quaisquer solicitações ou comunicação de Titulares de Dados, ou em seu nome, relacionadas às Informações Pessoais Tratadas em relação aos Serviços, sem responder diretamente ao Titular de Dados, exceto para confirmar o recebimento da comunicação ou solicitação do Titular de Dados (salvo se exigido de forma diversa pela Lei de Proteção de Dados ou instruído pela Cliente). O Parceiro fornecerá assistência à Cliente conforme necessário para permitir que ela responda às solicitações do Titular de Dados, incluindo medidas técnicas e organizacionais apropriadas e quaisquer recursos e funcionalidades do produto. O Parceiro oferecerá essa assistência prontamente e, em qualquer caso, dentro de 5 (cinco) dias, a partir da solicitação do Titular de Dados ou da solicitação de assistência da Cliente. Mediante solicitação da Cliente, o Parceiro fornecerá assistência à Cliente para informar os indivíduos sobre o Tratamento de Informações Pessoais, inclusive fornecendo ou direcionando os Titulares de Dados a uma política de privacidade ou notificação que esteja em conformidade com as Leis de Proteção de Dados. O Parceiro manterá e fornecerá à Cliente acesso a registros completos e corretos das Solicitações do Titular de Dados em relação aos quais o Parceiro oferecer assistência.
- Confidencialidade de funcionários. O Parceiro garantirá que seus funcionários estejam sujeitos a obrigações de confidencialidade em relação às Informações Pessoais.
- Segurança. O Parceiro implementará e manterá os procedimentos e práticas de segurança da informação conforme estabelecido nas Obrigações de Segurança da Informação.
- Auditoria e assistência. Não obstante quaisquer disposições de auditoria nas Obrigações de Segurança da Informação, compete ao Parceiro:
- fornecer à Cliente as informações e assistência necessárias para confirmar sua conformidade com esta Obrigações Globais de Privacidade, incluindo assistência para concluir avaliações de impacto de proteção de dados e consultar autoridades de proteção de dados, bem como oferecer assistência para garantir que a Cliente cumpra a Lei de Proteção de Dados; e,
- por instrução da Cliente, submeter-se a auditorias de seu programa de proteção de dados e instalações de Tratamento de Informações Pessoais a fim de garantir conformidade com estas Obrigações Globais de Privacidade e/ou Leis de Proteção de Dados aplicáveis. A auditoria poderá ser realizada pela Cliente ou por um representante nomeado em seu nome, desde que o representante celebre um acordo de confidencialidade com o Parceiro. A Cliente notificará com antecedência razoável e conduzirá a auditoria durante o horário comercial sem interromper as operações do Parceiro sem motivo razoável. Para fins de elucidação, esta disposição não exigirá que o Parceiro conceda a Cliente acesso às informações confidenciais de outros clientes do Parceiro.
- Incidentes de Segurança. O Parceiro informará imediatamente e, em todas as hipóteses, até 48 (quarenta e oito) horas após tomar conhecimento, a Cliente pelo e-mail cybersecurity@wbd.com na eventualidade de qualquer Incidente de Segurança ocorrido ou suspeita razoável da ocorrência de um Incidente de Segurança. Por instrução da Cliente, o Parceiro oferecerá todas as informações e assistência razoavelmente exigidas pela Cliente para investigar, mitigar e responder a um Incidente de Segurança, incluindo, no mínimo, qualquer informação ou assistência exigida pela Lei de Proteção de Dados aplicável ou necessária para que a Cliente forneça quaisquer notificações do Incidente de Segurança. O Parceiro obriga-se a consultar a Cliente antes de fazer qualquer notificação ou declaração pública sobre o Incidente de Segurança a uma autoridade de proteção de dados ou Titular de Dados. O Parceiro será responsável e pagará à Cliente, mediante demanda, por todos os custos, responsabilidades, perdas, danos e despesas (incluindo honorários advocatícios) incorridos pela Cliente em decorrência ou a respeito de um Incidente de Segurança que afete as Informações Pessoais Tratadas pelo Parceiro, seus afiliados, cessionários ou Suboperadores.
- Suboperador. O Parceiro pode contratar ou permitir que um Suboperador Trate Informações Pessoais em seu nome, desde que o Parceiro:
- celebre um contrato por escrito com cada Suboperador, impondo obrigações não menos protetoras do que aquelas contidas nas disposições destas Obrigações Globais de Privacidade aplicáveis ao Parceiro;
- execute o processo de due diligence para garantir que cada Suboperador possa atuar conforme necessário para que o Parceiro cumpra suas obrigações sob as disposições destas Obrigações Globais de Privacidade aplicáveis ao Parceiro;
- notifique a Cliente previamente e por escrito sobre qualquer novo Suboperador que o Parceiro se proponha a contratar. A Cliente terá um prazo de 30 (trinta) dias a partir do recebimento de tal notificação para se opor à contratação do novo Suboperador. Se a Cliente não apresentar objeção dentro desse prazo, o Parceiro poderá permitir que o Suboperador Trate Informações Pessoais. Se a Cliente apresentar objeção ao uso de um Suboperador, o Parceiro deverá resolver imediatamente as objeções da Cliente no prazo de 10 (dez) dias após o recebimento. Se o Parceiro não puder resolver a objeção da Cliente satisfatoriamente à Cliente dentro desse prazo de 10 (dez) dias, a Cliente terá o direito de rescindir imediatamente o Contrato sem penalidades, a qualquer momento, mediante notificação por escrito ao Parceiro. Durante (i) os 30 (trinta) dias após a notificação da intenção de usar um novo Suboperador, ou (ii) qualquer período em que a objeção da Cliente ao uso de um Suboperador permanecer sem solução satisfatória, o Parceiro não permitirá que o novo Suboperador Trate Informações Pessoais; e
- permanecerá totalmente responsável por todo o Tratamento de Informações Pessoais realizado por cada Suboperador.
- Descarte ou devolução. Após a rescisão ou término do Contrato, ou conforme instruído de outra forma pela Cliente, o Parceiro deverá, por instrução da Cliente: (i) devolver à Cliente (ou terceiros indicados pela Cliente) uma cópia completa das Informações Pessoais Tratadas em conexão com o Contrato, na forma e no formato razoavelmente estipulados pelas partes; e (ii) descartar de forma segura as Informações Pessoais (incluindo todas as cópias) em seu poder ou sob seu controle que tenham sido Tratadas em conexão com o Contrato.
- Esta seção se aplica nas seguintes condições:
- Quando o Parceiro determinar independentemente as finalidades e meios de Tratamento de quaisquer Informações Pessoais Tratadas por ele em conexão com o Contrato; ou
- Quando o Contrato declarar expressamente que esta seção é aplicável.
- Aviso e transparência. O Parceiro deve manter uma política de privacidade clara e visível que informe os Titulares de Dados (cujas Informações Pessoais são Tratadas pelo Parceiro em conexão com o Contrato) sobre como o Parceiro Trata suas Informações Pessoais, em conformidade com todas as leis aplicáveis.
- Incidentes de Segurança. O Parceiro notificará prontamente a Cliente sobre qualquer Incidente de Segurança ocorrido ou de qualquer suspeita razoável da ocorrência de Incidente de Segurança que afete as Informações Pessoais Tratadas no âmbito do Contrato, e fornecerá imediatamente à Cliente informações sobre a natureza do Incidente de Segurança, as Informações Pessoais afetadas, a resposta do Parceiro ao Incidente de Segurança e suas medidas de mitigação.
- Confidencialidade. O Parceiro garantirá que seus funcionários estejam sujeitos a obrigações de confidencialidade em relação às Informações Pessoais.
- Esta seção se aplica aos Parceiros quando ocorrer uma Transferência de Dados do EEE, uma Transferência de Dados do Reino Unido ou Outra Transferência de Dados.
- Transferências de Dados (Operadores). Este parágrafo se aplica quando a Seção 4 (Termos para Operadores) for aplicável.
- Transferências de Dados do EEE. No caso de as Informações Pessoais Tratadas pelo Parceiro estarem sujeitas a uma Transferência de Dados do EEE, as Cláusulas Contratuais Padrão do EEE serão incorporadas a este documento por referência e devem ser aplicadas da seguinte forma:
- Aplicação. O Parceiro atuará como importador de dados e a Cliente atuará como exportadora de dados;
- Integração. Para os fins da Cláusula 7 da Seção I, aplica-se a cláusula opcional de integração de novas partes;
- Módulos. É aplicável o MÓDULO DOIS (transferência do controlador ao operador);
- Instruções. Para efeitos da Cláusula 8.1 da Seção II (Módulo Dois), as instruções fornecidas ao importador de dados serão consideradas como instruções para o Tratamento de Informações Pessoais, conforme necessário para a prestação dos Serviços e/ou o fornecimento dos produtos oferecidos pelo Parceiro, conforme especificado no Contrato;
- Suboperadores. Para efeitos da Cláusula 9 da Seção II (Módulo Dois), aplica-se a Opção 2 (sendo que o prazo para o importador de dados informar o exportador de dados a respeito de quaisquer alterações pretendidas será de 30 (trinta) dias de antecedência);
- Reparação. Para fins da Cláusula 11 da Seção II, a redação opcional não é aplicável;
- Escolha da lei aplicável. Para os fins das Cláusulas 17 e 18 da Seção IV, na medida permitida pela Lei de Proteção de Dados aplicável, as partes concordam que suas respectivas obrigações sob as Cláusulas Contratuais Padrão do EEE serão regidas pela(s) lei(s) da República da Irlanda e estarão sujeitas à jurisdição dos foros da República da Irlanda;
- Preenchimento completo da Parte A do Anexo I. A Parte A do Anexo I (lista de partes) é considerada neste ato completa com: (i) os detalhes da Cliente (como exportadora de dados); e (ii) os detalhes do Parceiro (como importador de dados), em cada caso, conforme disposto no Contrato;
- Preenchimento completo da Parte B do Anexo I. A Parte B do Anexo I (Descrição da transferência) das Cláusulas Contratuais Padrão do EEE é considerada neste ato completa com as informações fornecidas na Descrição do Tratamento;
- Preenchimento completo da Parte C do Anexo I. Com relação à Parte C do Anexo I (Autoridade Supervisora Competente) das Cláusulas Contratuais Padrão do EEE, na medida permitida pela Lei de Proteção de Dados aplicável, as partes selecionam a autoridade de proteção de dados da República da Irlanda;
- Preenchimento completo do Anexo II. O Anexo II das Cláusulas Contratuais Padrão do EEE (as medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais para garantir a segurança de dados) é considerado neste ato completo com as disposições constantes das Obrigações de Segurança da Informação; e
- Conflitos de termos. Em caso de qualquer discrepância ou conflito entre as Cláusulas Contratuais Padrão do EEE e esta seção, as disposições serão interpretadas da maneira que ofereça a maior proteção aos Titulares de Dados.
- Interpretação das Cláusulas Contratuais Padrão do EEE para Países Restritos. Se o compartilhamento de Informações Pessoais pela Cliente com o Parceiro resultar em Outra Transferência de Dados, as Cláusulas Contratuais Padrão do EEE serão incorporadas neste ato por referência e serão aplicáveis conforme o disposto neste parágrafo desta Seção 6, com exceção de que: (i) referências a "UE", "União", "Estado-Membro da UE" ou "Estado-Membro" nas Cláusulas Contratuais Padrão do EEE serão entendidas como referentes a esse País Restrito; (ii) referências ao "Regulamento (UE) 2016/679" ou "esse Regulamento" serão entendidas como referentes às Leis de Proteção de Dados desse País Restrito, e referências a disposições específicas do RGPD devem ser substituídas pela disposição ou artigo equivalente mais próximo(a) da Lei de Proteção de Dados do País Restrito; (iii) "autoridade supervisora" significará a autoridade de proteção de dados desse País Restrito; (iv) referências a "Cláusulas" neste contexto se aplicam a este parágrafo, pois ele incorpora e modifica as Cláusulas.
- Transferências de Dados do Reino Unido. Se, e na medida em que, as Informações Pessoais Tratadas pelo Parceiro estiverem sujeitas a uma Transferência de Dados do Reino Unido, o Adendo das SCC do Reino Unido será incorporado a este documento por referência e deve ser aplicado da seguinte forma:
- Preenchimento completo da Tabela 1. A Tabela 1 do Adendo das SCC do Reino Unido é considerada completa com os dados da Cliente (como exportadora de dados) e os dados do Parceiro (como importador de dados), conforme disposto no Contrato. A "data de início" refere-se à data de início, data de entrada em vigor ou data equivalente do Contrato. O "contato principal" da Cliente é o "Encarregado" ou o representante desse indivíduo que pode ser contatado pelo e-mail wbdprivacy@wbd.com, e o "contato principal" do Parceiro será comunicado à Cliente de periodicamente, incluindo o cargo específico do contato e o endereço de e-mail.
- Preenchimento completo das Tabelas 2 e 3. A Tabela 2 do Adendo das SCC do Reino Unido é considerada completa selecionando-se "as SCCs aprovadas da União Europeia, incluindo as Informações do Apêndice e apenas com os seguintes módulos, cláusulas ou disposições opcionais das SCCs aprovadas da União Europeia, em vigor para os fins deste Adendo". Para os fins da Tabela 2 e da Tabela 3 do Adendo das SCC do Reino Unido, as "SCCs aprovadas da União Europeia" são consideradas completas conforme estabelecido acima neste parágrafo da Seção 6.
- Preenchimento completo da Tabela 4. A Tabela 4 do Adendo das SCC do Reino Unido é considerada completa ao selecionar "nenhuma parte".
- Conflitos de termos. Em caso de qualquer discrepância ou conflito entre o Adendo das SCC do Reino Unido e estas Obrigações Globais de Privacidade, o Adendo das SCC do Reino Unido prevalecerá.
- Transferências de Dados (Controladores). Este parágrafo se aplica quando a Seção 5 (Termos para Controladores) for aplicável.
- Transferências de Dados do EEE. Se, e na medida em que, as Informações Pessoais Tratadas pelo Parceiro estiverem sujeitas a uma Transferência de Dados do EEE, as Cláusulas Contratuais Padrão do EEE serão incorporadas a este documento por referência e devem ser aplicadas da seguinte forma:
- Aplicação. O Parceiro atuará como importador de dados e a Cliente atuará como exportadora de dados;
- Integração. Para os fins da Cláusula 7 da Seção I, aplica-se a cláusula opcional de integração de novas partes;
- Módulos. É aplicável o MÓDULO UM (transferência de controlador para controlador);
- Reparação. Para fins da Cláusula 11 da Seção II, a redação opcional não é aplicável;
- Escolha da lei aplicável. Para os fins das Cláusulas 17 e 18 da Seção IV, na medida permitida pela Lei de Proteção de Dados aplicável, as partes concordam que suas respectivas obrigações sob as Cláusulas Contratuais Padrão do EEE serão regidas pela(s) lei(s) da República da Irlanda e estarão sujeitas à jurisdição dos foros da República da Irlanda;
- Preenchimento completo da Parte A do Anexo I. A Parte A do Anexo I (lista de partes) é considerada neste ato completa com: (i) os detalhes da Cliente (como exportadora de dados); e (ii) os detalhes do Parceiro (como importador de dados), em cada caso, conforme disposto no Contrato;
- Preenchimento completo da Parte B do Anexo I. A Parte B do Anexo I (Descrição da transferência) das Cláusulas Contratuais Padrão do EEE é considerada neste ato completa com as informações fornecidas na Descrição do Tratamento;
- Preenchimento completo da Parte C do Anexo I. Com relação à Parte C do Anexo I (Autoridade Supervisora Competente) das Cláusulas Contratuais Padrão do EEE, na medida permitida pela Lei de Proteção de Dados aplicável, as partes selecionam a autoridade de proteção de dados da República da Irlanda;
- Preenchimento completo do Anexo II. O Anexo II das Cláusulas Contratuais Padrão do EEE (as medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais para garantir a segurança de dados) é considerado neste ato completo com as disposições constantes das Obrigações de Segurança da Informação; e
- Conflitos de termos. Em caso de qualquer discrepância ou conflito entre as Cláusulas Contratuais Padrão do EEE e esta seção, as disposições serão interpretadas da maneira que ofereça a maior proteção aos Titulares de Dados.
- Interpretação das Cláusulas Contratuais Padrão do EEE para Países Restritos. Se o compartilhamento de Informações Pessoais pela Cliente com o Parceiro resultar em Outra Transferência de Dados, as Cláusulas Contratuais Padrão do EEE serão incorporadas neste ato por referência e aplicáveis conforme disposto neste parágrafo desta Seção 6, com exceção de que: (i) referências a EEE a "UE", "União", "Estado-Membro da UE" ou "Estado-Membro" nas Cláusulas Contratuais Padrão do EEE serão entendidas como referentes a esse País Restrito; (ii) referências ao "Regulamento (UE) 2016/679" ou "esse regulamento" serão entendidas como referentes às Leis de Proteção de Dados desse País Restrito, e referências a disposições específicas do RGPD devem ser substituídas pela disposição ou artigo equivalente da Lei de Proteção de Dados do País Restrito; (iii) "autoridade supervisora" significará a autoridade de proteção de dados desse País Restrito; (iv) referências a "Cláusulas" neste contexto e se aplicam a este parágrafo, pois ele incorpora e modifica as Cláusulas.
- Transferências de Dados do Reino Unido. Se, e na medida em que, as Informações Pessoais Tratadas pelo Parceiro estiverem sujeitas a uma Transferência de Dados do Reino Unido, o Adendo das SCC do Reino Unido será incorporado a este documento por referência e deve ser aplicado da seguinte forma:
- Preenchimento completo da Tabela 1. A Tabela 1 do Adendo das SCC do Reino Unido é considerada completa com os detalhes da Cliente (como exportadora de dados) e os detalhes do Parceiro (como importador de dados), conforme disposto no Contrato. A "data de início" refere-se a data de início, data de entrada em vigor ou data equivalente do Contrato. O "contato principal" da Cliente é o "Encarregado" ou o representante desse indivíduo que pode ser contatado pelo e-mail wbdprivacy@wbd.com, e o "contato principal" do Parceiro será comunicado à Cliente periodicamente, incluindo o cargo específico do contato e o endereço de e-mail.
- Preenchimento completo das Tabelas 2 e 3. A Tabela 2 do Adendo das SCC do Reino Unido é considerada completa selecionando-se "as SCCs aprovadas da União Europeia, incluindo as Informações do Apêndice e apenas com os seguintes módulos, cláusulas ou disposições opcionais das SCCs aprovadas da União Europeia, em vigor para os fins deste Adendo". Para os fins da Tabela 2 e da Tabela 3 do Adendo das SCC do Reino Unido, as "SCCs aprovadas da União Europeia" são consideradas completas conforme estabelecido acima neste parágrafo da Seção 6.
- Preenchimento completo da Tabela 4. A Tabela 4 do Adendo das SCC do Reino Unido é considerada completa ao selecionar "nenhuma parte".
- Conflitos de termos. Em caso de qualquer discrepância ou conflito entre o Adendo das SCC do Reino Unido e estas Obrigações Globais de Privacidade, o Adendo das SCC do Reino Unido prevalecerá.
- Disposições adicionais sobre transferências internacionais. Este parágrafo aplica-se quando as Informações Pessoais Tratadas pelo Parceiro estiverem sujeitas a uma Transferência de Dados do EEE, a uma Transferência de Dados do Reino Unido ou Outra Transferência de Dados.
Medidas complementares
- As partes reconhecem e concordam que o julgamento do Tribunal de Justiça da União Europeia na Ação C-311/18 esclarece que medidas complementares podem ser necessárias para garantir que Informações Pessoais sujeitas a uma Transferência do EEE ou Transferência do Reino Unido recebam um nível de proteção essencialmente equivalente às proteções que recebe quando Tratadas em seu território de origem (além das salvaguardas contidas nas Cláusulas Contratuais Padrão do EEE). Consequentemente, as partes concordaram com as medidas estabelecidas nas Seções 6.4 (b) a (g) a seguir como sendo medidas complementares para ajudar a garantir essa equivalência essencial.
- Se o Parceiro tomar conhecimento de uma solicitação ou demanda de uma autoridade policial, regulatória, judicial ou governamental (uma "Autoridade") para obter acesso ou cópia de algumas ou todas as Informações Pessoais Tratadas em conexão com o Contrato, seja de forma voluntária ou obrigatória, caberá ao Parceiro:
- notificar imediatamente a Cliente sobre a solicitação dessa Autoridade;
- quando for aplicável a Seção 4 (Termos para Operadores), informar à Autoridade que o Parceiro é um Operador de Informações Pessoais e que a Cliente não o autorizou a divulgar essas Informações Pessoais à Autoridade;
- informar à Autoridade que todas e quaisquer solicitações ou demandas de acesso a essas Informações Pessoais devem ser notificadas ou dirigidas à Cliente (na condição de Controlador) por escrito; e
- observada a Seção 6.4(c), não fornecerá à Autoridade acesso a essas Informações Pessoais, a menos que seja autorizado por escrito pela Cliente.
- Não obstante a Seção 6.4(b)(iv), será facultado ao Parceiro, sem a autorização prévia por escrito da Cliente, divulgar Informações Pessoais a uma Autoridade após o recebimento de solicitação ou demanda dessa Autoridade, desde que (a menos que seja proibido por lei):
- o Parceiro forneça à Cliente aviso prévio razoável dessa solicitação ou demanda para oferecer à Cliente oportunidade razoável de contestar ou buscar uma medida cautelar ou outro recurso apropriado em tempo hábil;
- o Parceiro coopere razoavelmente com a Cliente, à custa da Cliente, para que a Cliente possa contestar ou buscar uma medida cautelar ou outro recurso apropriado; e
- em qualquer circunstância, o Parceiro compartilhe apenas a parte das Informações Pessoais que for obrigado por lei a divulgar.
- Se o Parceiro divulgar Informações Pessoais a uma Autoridade, o Parceiro só divulgará tais Informações Pessoais na medida em que o Parceiro seja obrigado por lei a fazê-lo e somente de acordo com o devido processo legal.
- O Parceiro não divulgará intencionalmente Informações Pessoais em massa ou de maneira indiscriminada, exceto quando estritamente necessário e proporcional em uma sociedade democrática.
- O Parceiro deve estabelecer, manter e cumprir uma política por escrito que regulamente solicitações de Informações Pessoais por Autoridades que, no mínimo, proíba:
- a divulgação em massa ou indiscriminada de Informações Pessoais relacionadas a Titulares de Dados na Europa; e
- divulgação de Informações Pessoais relacionadas a Titulares de Dados na Europa a uma Autoridade sem intimação, mandado, despacho, decreto, citação ou outra ordem juridicamente vinculante que obrigue a divulgação dessas Informações Pessoais.
- O Parceiro deve implementar e manter, de acordo com as boas práticas de mercado, medidas para proteger as Informações Pessoais contra interceptação (inclusive durante o trânsito entre a Cliente e o Parceiro, bem como entre diferentes sistemas e serviços). Isso inclui manter uma proteção de rede para negar a invasores a capacidade de interceptar dados e criptografar dados durante o tráfego para impedir a leitura de dados por invasores.
Disposições adicionais de transferência de dados
- O Parceiro concorda em cooperar de boa-fé para estabelecer documentos adicionais, aplicar proteções extras, ou restringir o Tratamento a determinados territórios, conforme a Cliente julgar necessário para efetuar as Transferências do EEE, Transferências do Reino Unido ou Outras Transferências (conforme aplicável).
- Se o Parceiro, a qualquer momento, Tratar Informações Pessoais originárias de qualquer país que restrinja a transferência de Informações Pessoais a outra jurisdição que não seja considerada adequada para receber tais Informações Pessoais, então o Parceiro, por instrução da Cliente:
- tomará todas as medidas necessárias e celebrará os acordos que possam ser necessários com base na Lei de Proteção de Dados aplicável desse país para tornar legítimo qualquer Tratamento; e
- garantirá um nível adequado de proteção às Informações Pessoais da Cliente.
- Se qualquer autoridade de proteção de dados competente considerar inválido o mecanismo de transferência de dados empregado pelas partes, ou se qualquer autoridade de proteção de dados competente ou lei aplicável exigir a suspensão ou restrição das transferências de Informações Pessoais para uma jurisdição específica, será facultado à Cliente, a seu critério, exigir que o Parceiro cesse o Tratamento de Informações Pessoais, e o Parceiro irá cooperar com a Cliente de boa-fé para facilitar o uso de um mecanismo alternativo de transferência de dados, celebrar documentos adicionais, aplicar proteções extras ou restringir o Tratamento a determinadas jurisdições.
- Esta seção se aplica a todos os Parceiros.
- Além de quaisquer obrigações de indenização do Parceiro previstas no Contrato, o Parceiro defenderá, manterá indene e isentará a Cliente de todas as reivindicações, ações, custos, responsabilidades, perdas, danos e despesas de terceiros (incluindo honorários advocatícios) incorridos pela Cliente em decorrência ou a respeito de: (i) um Incidente de Segurança; ou (ii) uma violação destas Obrigações Globais de Privacidade pelo Parceiro, seus afiliados, Suboperadores (incluindo Suboperadores nomeados pelos afiliados do Parceiro) e cessionários, incluindo, sem limitação, uma reivindicação ou ação de uma autoridade de proteção de dados ou Titular de Dados.
- Esta seção se aplica nas seguintes condições quando o Parceiro:
- oferece ao Cliente, de acordo com o Contrato, IA ou acesso à IA; ou
- usa a IA para oferecer Serviços de acordo com o Contrato, parcial ou integralmente.
- O Parceiro deve fornecer tais informações conforme razoavelmente solicitadas pelo Cliente em relação ao uso da IA pelo Parceiro para cumprir suas obrigações, de acordo com o Contrato, inclusive quando solicitado pelo Cliente para realizar avaliações de impacto na proteção de dados e avaliações de tendenciosidade de IA;
- O Parceiro declara e garante que: (i) todos os Dados de Treinamento para IA fornecidos pelo Cliente no âmbito do Contrato, ou usados pelo Parceiro no cumprimento de suas obrigações, de acordo com este Contrato: (A) foram obtidos em cumprimento à lei vigente e sem violar quaisquer direitos de terceiros; (B) não contiveram e nem contêm Informações Pessoais; (ii) não usará (nem facilitará ou permitirá o uso por terceiros de) Informações Pessoais obtidas em conexão com o Contrato a fim de treinar, melhorar, aumentar ou informar Resultados de qualquer IA; e (iii) não conduz, nem facilita que o Cliente conduza, qualquer Tomada de Decisão Automatizada no cumprimento de suas obrigações sob o Contrato.
VER VERSÕES ANTERIORES