view in:

OBRIGAÇÕES GLOBAIS DE PRIVACIDADE

ÚLTIMA ATUALIZAÇÃO: 24 de agosto de 2023
1. INTRODUÇÃO
  1. Estas obrigações globais de privacidade ("Obrigações Globais de Privacidade") estabelecem certas obrigações de proteção de dados que esperamos que nossos fornecedores e outros parceiros (denominados, em conjunto, "Parceiros") cumpram em relação ao fornecimento de produtos e serviços para nós. Estas Obrigações Globais de Privacidade integram e são complementares a qualquer contrato que tenhamos celebrado com nossos Parceiros a que estas Obrigações Globais de Privacidade sejam incorporadas ("Contrato").
  2. As diferentes seções dessas Obrigações Globais de Privacidade se aplicam a depender de nosso relacionamento com o Parceiro. Cada seção indica em que circunstâncias é aplicável.
2. DEFINIÇÕES
  1. Esta seção se aplica a todos os Parceiros.
  2. Para os fins destas Obrigações Globais de Privacidade, os seguintes termos terão os seguintes significados:
    1. "Controlador" significa uma pessoa física ou jurídica que, individualmente ou em conjunto com outras, determine as finalidades e os meios do Tratamento de Informações Pessoais;
    2. "Cliente", "nós", "nos" e "nosso" significam: (i) a entidade Warner Bros. Discovery identificada no Contrato e que é parte do Contrato; e (ii) qualquer afiliada ou subsidiária que controle, seja controlada pela entidade Warner Bros. Discovery mencionada no Contrato ou ainda esteja sob seu controle comum;
    3. "Lei de Proteção de Dados" significa qualquer constituição, lei, estatuto, tratado, regra, regulamento, portaria, código e diretriz federal, estadual, provincial, local, municipal, estrangeiro(a), internacional, multinacional ou outro(a) emitido(a) por autoridades reguladoras competentes para interpretá-lo(a) ou aplicá-lo(a), referente ao Tratamento de dados pessoais, privacidade, proteção de dados (proteção de Informações Pessoais) ou segurança cibernética, conforme eventualmente alterado(a);
    4. "Titular de Dados" significa o indivíduo ao qual se refiram as Informações Pessoais;
    5. "Solicitação de Titular de Dados" significa uma solicitação de um Titular de Dados para obter informações, acesso, retificação, exclusão, restrição, portabilidade, objeção, restrição de venda, eliminação e quaisquer outras solicitações análogas;
    6. "Descrição do Tratamento" significa a descrição das Informações Pessoais Tratadas pelo Parceiro sob o Contrato;
    7. "EEE" significa o Espaço Econômico Europeu;
    8. "Transferência de Dados do EEE" significa uma transferência de Informações Pessoais: (a) sujeitas ao RGPD; (b) a um destinatário em um país ou território fora do EEE; e (c) que não esteja sujeita a uma decisão de adequação da Comissão da União Europeia;
    9. "Cláusulas Contratuais Padrão do EEE" (SCC) significam cláusulas contratuais padrão referentes à transferência de dados pessoais para países terceiros nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho adotadas pela decisão da Comissão Europeia de 4 de junho de 2021 C (2021) 3972, disponíveis em https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?url=CELEX:32021D0914&locale= en;
    10. "RGPD" significa o Regulamento (da UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 (Regulamento Geral de Proteção de Dados);
    11. "Obrigações de Segurança da Informação" significam quaisquer obrigações de segurança da informação aplicáveis anexadas ao Contrato ou que de outra forma façam parte do Contrato;
    12. "Outra Transferência de Dados" significa uma transferência de Informações Pessoais: (i) sujeita às leis de um país que restrinja a transferência de Informações Pessoais a outro país que não seja considerado adequado para receber tais Informações Pessoais (um "País Restrito"); e (ii) que não seja uma Transferência de Dados do EEE ou uma Transferência de Dados do Reino Unido;
    13. "Informações Pessoais" significam qualquer informação relacionada a uma pessoa física identificada ou identificável, incluindo qualquer informação definida como "informações de identificação pessoal", "informações pessoais", "dados pessoais" ou termos semelhantes, conforme definidos nas Leis de Proteção de Dados, limitados às Informações Pessoais Tratadas pelo Parceiro em conexão com o Contrato;
    14. "Tratar" ou "Tratamento" significa qualquer operação ou conjunto de operações realizadas sobre Informações Pessoais, seja por meios automáticos ou não, incluindo a coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, consulta, uso, divulgação por transmissão, transferência, disseminação ou disponibilização, alinhamento ou combinação, restrição, exclusão ou destruição de Informações Pessoais;
    15. "Operador" significa uma pessoa física ou jurídica que Trate Informações Pessoais em nome do Controlador;
    16. "Incidente de Segurança" significa: (i) qualquer interrupção grave das operações de Tratamento do Parceiro; (ii) qualquer aquisição, perda, acesso, uso, uso indevido, perda de acesso ou perda de uso não autorizado(a) de Informações Pessoais (incluindo perda de qualquer meio de armazenamento em que sejam armazenadas as Informações Pessoais); ou (iii) qualquer violação de segurança resultante em destruição, perda, alteração, uso, uso indevido, divulgação não autorizada ou acesso acidental ou ilegal em relação às Informações Pessoais;
    17. "Informações Pessoais Sensíveis" significam Informações Pessoais que revelem raça, etnia; opiniões políticas; crenças religiosas ou filosóficas; filiação sindical; saúde física ou mental; vida sexual ou orientação sexual; o Tratamento de dados genéticos, dados biométricos com o objetivo de identificar exclusivamente um Titular de Dados; Informações Pessoais relacionadas a antecedentes criminais, crimes ou medidas de segurança relacionadas; número de identificação emitido pelo governo; credenciais da contas; números de contas financeiras, incluindo números de cartões de pagamento; dados precisos de geolocalização; conteúdos de comunicações não direcionadas ao Parceiro ou Cliente; e subconjuntos de Informações Pessoais que sejam considerados "sensíveis" ou requeiram proteções aprimoradas de acordo com Leis de Proteção de Dados aplicáveis;
    18. "Serviços" têm o significado indicado no Contrato ou, se não estiverem definidos pelo Contrato, significam os produtos ou serviços fornecidos a nós pelo Parceiro de acordo com o Contrato;
    19. "Suboperador" significa uma pessoa física ou jurídica que Trate Informações Pessoais em nome de um Operador;
    20. "Transferência de Dados do Reino Unido" significa uma transferência de Informações Pessoais: (a) sujeitas ao RGPD do Reino Unido; (b) a um destinatário em um país ou território fora do Reino Unido; e (c) que não esteja sujeita a uma decisão de adequação da Secretaria de Estado do Reino Unido;
    21. "RGPD do Reino Unido" significa o RGPD, pois faz parte das leis da Inglaterra, País de Gales, Escócia e Irlanda do Norte em virtude da Seção 3 da Lei da União Europeia (Retirada) de 2018; e
    22. "Adendo das SCC do Reino Unido" significa o modelo de adendo emitido pelo Gabinete do Comissário de Informação do Reino Unido e apresentado ao Parlamento de acordo com a s119A da Lei de Proteção de Dados de 2018 em 2 de fevereiro de 2022, conforme revista na Seção 18; e disponível em https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.
3. TERMOS PARA TODOS OS PARCEIROS
  1. Esta seção se aplica a todos os Parceiros.
  2. Cumprimento da lei. O Parceiro cumprirá todas as Leis aplicáveis de Proteção de Dados e fornecerá proteções de privacidade apropriadas para cumprir suas obrigações a esse respeito. O Parceiro notificará a Cliente pelo e-mail wbdprivacy@wbd.com se verificar que não pode mais cumprir suas obrigações previstas na Lei de Proteção de Dados. A Cliente terá direito de tomar as medidas cabíveis para eliminar e remediar qualquer Tratamento não autorizado de Informações Pessoais por parte do Parceiro.
  3. Segurança. O Parceiro implementará e manterá medidas técnicas e organizacionais apropriadas e adequadas para proteger as Informações Pessoais. As medidas de segurança do Parceiro devem se destinar a: (i) garantir a confidencialidade, disponibilidade e integridade das Informações Pessoais; (ii) proteger contra quaisquer ameaças ou riscos previstos à segurança ou integridade das Informações Pessoais; e (iii) proteger contra Tratamento não autorizado.
  4. Comunicações com terceiros. Caso o Parceiro receba alguma comunicação de um indivíduo, órgão regulador, órgão governamental ou outros terceiros a respeito de:
    1. Tratamento de Informações Pessoais pelo Parceiro em conexão com o Contrato; ou
    2. Tratamento de Informações Pessoais pela Cliente,

    o Parceiro notificará imediatamente (a menos que seja vedado por lei) a Cliente (pelo e-mail wbdprivacy@wbd.com), informando todos os detalhes dessa comunicação e fornecerá toda a cooperação razoavelmente solicitada pela Cliente para responder a tal comunicação. O Parceiro não responderá a comunicações desse cunho diretamente sem autorização prévia da Cliente, a menos que obrigado por lei a fazê-lo.
  5. Respostas a solicitações e incidentes. O Parceiro não fará, sem obter aprovação prévia por escrito da Cliente, menção ao nome da Cliente (incluindo qualquer subsidiária ou afiliada da Cliente) em nenhuma: (i) resposta a um Titular de Dados; (ii) divulgação pública referente ao Tratamento; (iii) notificação de um Incidente de Segurança; ou (iv) divulgação a uma autoridade de proteção de dados ou outro órgão legal relacionado ao Tratamento.
  6. Vigência e duração.
    1. As disposições dessas Obrigações Globais de Privacidade serão encerradas quando o Parceiro deixar de Tratar Informações Pessoais em conexão com o Contrato.
    2. Não obstante qualquer disposição em contrário nesta Seção 3 (Termos para todos os Parceiros), as Seções 3.4, 3.5, 3.8 e 7 subsistirão à extinção ou vencimento do Contrato e destas Obrigações Globais de Privacidade.
  7. Traduções. Em caso de conflito entre a versão em inglês destas Obrigações Globais de Privacidade e outra versão em qualquer outro idioma, a versão em inglês prevalecerá.
  8. Inexistência de limitação de responsabilidade. Para fins de elucidação, as responsabilidades das partes de acordo com estas Obrigações Globais de Privacidade não ficarão sujeitas a nenhuma limitação ou exclusão de responsabilidade contida no Contrato.
  9. Inexistência de parceria. Nenhuma disposição destas Obrigações Globais de Privacidade será interpretada de modo a criar um vínculo empregatício, uma joint venture, relação de representação ou parceria entre as partes e nenhuma das partes está autorizada nem atuará perante terceiros, entidades individuais ou o público de qualquer maneira que indicaria qualquer uma dessas relações uma com a outra.
4. TERMOS PARA OPERADORES
  1. Esta seção se aplica na medida em que:
    1. o Parceiro Tratar qualquer Informação Pessoal como um Operador em nome da Cliente; ou
    2. o Contrato declarar expressamente que esta seção é aplicável.
  2. Instruções. O Parceiro só Tratará Informações Pessoais de acordo com as instruções documentadas da Cliente (a menos que seja necessário Tratar tais Informações Pessoais com base em uma exigência legal à qual o Parceiro esteja sujeito, hipótese em que o Parceiro deverá informar a Cliente da exigência legal antes de iniciar esse Tratamento, a menos que a exigência legal proíba informar a Cliente). As instruções documentadas da Cliente são para Tratar Informações Pessoais: (i) conforme necessário para que o Parceiro preste Serviços e cumpra quaisquer outras obrigações sob o Contrato; e (ii) conforme eventualmente indicado de outra forma pela Cliente por escrito. O Parceiro informará imediatamente a Cliente se, no entender do Parceiro, uma orientação ou instrução da Cliente infringir a Lei de Proteção de Dados aplicável.
  3. Descrição do Tratamento. Uma descrição do assunto e duração do Tratamento, a natureza e finalidade do Tratamento, o tipo de Informação Pessoal e as categorias de Titulares de Dados são definidas na Descrição do Tratamento.
  4. Restrição de uso. O Parceiro não deverá: (i) vender Informações Pessoais ou revelá-las de outra forma em troca de contraprestação monetária ou outra contraprestação valiosa; (ii) Tratar Informações Pessoais para nenhuma finalidade que não seja especificamente para a execução dos Serviços, muito menos em desacordo com as instruções da Cliente; (iii) Tratar Informações Pessoais fora do relacionamento comercial direto entre o Parceiro e a Cliente; ou (iv) combinar as Informações Pessoais com informações pessoais recebidas de outras pessoas ou em seu nome ou ainda coletadas de consumidores. O Parceiro certifica que compreende e cumprirá as restrições desta seção.
  5. Solicitações de Titulares de Dados. O Parceiro notificará imediatamente a Cliente a respeito de quaisquer Solicitações de Titulares de Dados ou comunicação de Titulares de Dados, ou em seu nome, relacionadas às Informações Pessoais Tratadas por ele em relação aos Serviços, sem responder ao Titular de Dados, exceto para confirmar o recebimento da comunicação ou Solicitação do Titular de Dados (salvo se exigido de forma diversa pela Lei de Proteção de Dados ou como instruído pela Cliente). O Parceiro fornecerá assistência à Cliente como necessário para permitir que ela responda às Solicitações do Titular de Dados, incluindo o fornecimento de medidas técnicas e organizacionais apropriadas e quaisquer recursos e funcionalidades do produto necessários. O Parceiro oferecerá essa assistência prontamente e, em qualquer caso, dentro de 5 (cinco) dias, a partir da solicitação do Titular de Dados ou da solicitação de assistência da Cliente. Nos casos apropriados, e mediante solicitação razoável da Cliente, o Parceiro fornecerá assistência à Cliente para informar os indivíduos sobre o Tratamento de Informações Pessoais, inclusive fornecendo ou direcionando os Titulares de Dados aplicáveis a uma política de privacidade ou notificação que esteja em conformidade com as Leis de Proteção de Dados. O Parceiro manterá e fornecerá à Cliente acesso razoável a registros completos e corretos das Solicitações do Titular de Dados em relação aos quais o Parceiro oferecer assistência.
  6. Confidencialidade de funcionários. O Parceiro garantirá que cada um de seus funcionários esteja sujeito a obrigações de confidencialidade aplicáveis às Informações Pessoais.
  7. Segurança. O Parceiro implementará e manterá os procedimentos e práticas de segurança da informação estabelecidos nas Obrigações de Segurança da Informação.
  8. Auditoria e assistência. Não obstante quaisquer disposições de auditoria nas Obrigações de Segurança da Informação, compete ao Parceiro:
    1. fornecer à Cliente as informações e assistência que possam ser razoavelmente necessárias para confirmar a conformidade do Parceiro com essas Obrigações Globais de Privacidade, incluindo assistência para concluir avaliações de impacto de proteção de dados e consultar autoridades de proteção de dados. O Parceiro ainda oferecerá a assistência razoavelmente necessária para que a Cliente cumpra a Lei de Proteção de Dados; e,
    2. por instrução da Cliente, submeterá à auditoria seu programa de proteção de dados e suas instalações de Tratamento de Informações Pessoais quanto à sua conformidade com estas Obrigações Globais de Privacidade e/ou Leis de Proteção de Dados aplicáveis. A auditoria poderá ser realizada pela Cliente ou por um representante nomeado em seu nome, desde que o representante celebre um acordo de confidencialidade aceitável ao Parceiro. A Cliente notificará com antecedência razoável e conduzirá qualquer auditoria durante o horário comercial normal sem interromper as operações do Parceiro sem motivo razoável. Para fins de elucidação, esta disposição não exigirá que o Parceiro conceda a nenhuma Cliente acesso às informações confidenciais de outros clientes do Parceiro.
  9. Incidentes de Segurança. O Parceiro informará imediatamente e, em todas as hipóteses, até 48 (quarenta e oito) horas após tomar conhecimento, a Cliente pelo e-mail cybersecurity@wbd.com na eventualidade de qualquer Incidente de Segurança real ou suspeita razoável de um Incidente de Segurança. Por instrução da Cliente, o Parceiro oferecerá todas as informações e assistência razoavelmente exigidas pela Cliente para investigar, mitigar e responder a um Incidente de Segurança, incluindo, no mínimo, qualquer informação ou assistência exigida pela Lei de Proteção de Dados aplicável ou necessária para que a Cliente forneça quaisquer notificações do Incidente de Segurança. O Parceiro obriga-se a consultar a Cliente antes de fazer qualquer notificação ou declaração pública de Incidente de Segurança a uma autoridade de proteção de dados ou Titular de Dados. O Parceiro será responsável e pagará à Cliente, mediante demanda, por todos os custos, responsabilidades, perdas, danos e despesas (incluindo honorários advocatícios) incorridos pela Cliente em decorrência ou a respeito de um Incidente de Segurança que afete as Informações Pessoais Tratadas pelo Parceiro, seus afiliados, cessionários ou Suboperadores.
  10. Suboperador. O Parceiro pode contratar ou permitir que um Suboperador Trate Informações Pessoais em seu nome, desde que o Parceiro:
    1. celebre um contrato por escrito com cada Suboperador que imponha obrigações não menos protetoras do que aquelas contidas nas disposições destas Obrigações Globais de Privacidade aplicáveis ao Parceiro;
    2. execute o devido processo de due diligence para garantir que cada Suboperador possa atuar conforme necessário para que o Parceiro cumpra suas obrigações sob as disposições destas Obrigações Globais de Privacidade aplicáveis ao Parceiro;
    3. notifique a Cliente com antecedência e por escrito sobre qualquer novo Suboperador que o Parceiro se proponha a contratar. A Cliente terá 30 (trinta) dias a partir do recebimento de tal notificação para se opor à contratação do novo Suboperador pelo Parceiro. Se a Cliente não apresentar objeção dentro desse prazo, o Parceiro poderá permitir que o Suboperador Trate Informações Pessoais. Se a Cliente apresentar objeção ao uso de um Suboperador, o Parceiro abordará imediatamente as objeções da Cliente dentro de 10 (dez) dias após o recebimento. Se o Parceiro não puder resolver a objeção da Cliente satisfatoriamente à Cliente dentro desse prazo de 10 (dez) dias, a Cliente terá a opção de rescindir imediatamente o Contrato sem penalidade a qualquer momento, mediante notificação por escrito ao Parceiro. O Parceiro não permitirá que o novo Suboperador Trate Informações Pessoais durante (i) 30 (trinta) dias após a notificação de sua intenção de usar um novo Suboperador, ou (ii) qualquer período em que a objeção da Cliente ao uso de um Suboperador permaneça sem uma solução satisfatória à Cliente; e
    4. permanecerá totalmente responsável por todo o Tratamento de Informações Pessoais realizado por cada Suboperador.
  11. Descarte ou devolução. Após a rescisão ou vencimento do Contrato ou conforme instruído de outra forma pela Cliente, caberá ao Parceiro, por instrução da Cliente: (i) devolver à Cliente (ou terceiros indicados pela Cliente) uma cópia completa das Informações Pessoais Tratadas em conexão com o Contrato, na forma e no formato razoavelmente estipulados pelas partes; e (ii) descartar com segurança as Informações Pessoais (incluindo todas as cópias) em seu poder ou sob seu controle que houverem sido Tratadas em conexão com o Contrato.
5. TERMOS PARA CONTROLADORES
  1. Esta seção se aplica na medida em que:
    1. o Parceiro determinar independentemente as finalidades e meios de Tratamento de quaisquer Informações Pessoais Tratadas por ele em conexão com o Contrato; ou
    2. o Contrato declarar expressamente que esta seção é aplicável.
  2. Aviso e transparência. O Parceiro deve ter em vigor e manter uma política de privacidade clara e visível que informe os Titulares de Dados (cujas Informações Pessoais sejam Tratadas pelo Parceiro em conexão com o Contrato) sobre como o Parceiro Trata suas Informações Pessoais e que cumpra todas as leis aplicáveis.
  3. Incidentes de Segurança. O Parceiro notificará prontamente a Cliente pertinente a respeito de qualquer Incidente de Segurança real ou de qualquer suspeita razoável de Incidente de Segurança que afete as Informações Pessoais Tratadas a respeito do Contrato, e fornecerá imediatamente à Cliente informações sobre a natureza do Incidente de Segurança, as Informações Pessoais afetadas, a resposta do Parceiro ao Incidente de Segurança e suas medidas de mitigação.
  4. Confidencialidade. O Parceiro garantirá que cada um de seus funcionários esteja sujeito a obrigações de confidencialidade aplicáveis às Informações Pessoais.
6. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS
  1. Esta seção se aplica aos Parceiros quando ocorrer uma Transferência de Dados do EEE, uma Transferência de Dados do Reino Unido ou outra Transferência de Dados.
  2. Transferências de Dados (Operadores). Este parágrafo se aplica quando a Seção 4 (Termos para Operadores) for aplicável.
    1. Transferências de Dados do EEE. Se, e na medida em que, as Informações Pessoais Tratadas pelo Parceiro estiverem sujeitas a uma Transferência de Dados do EEE, as Cláusulas Contratuais Padrão do EEE serão incorporadas a este documento por referência e devem ser aplicadas da seguinte forma:
      1. Aplicação. O Parceiro atuará como importador de dados e a Cliente atuará como exportadora de dados;
      2. Integração. Para os fins da Cláusula 7 da Seção I, aplica-se a cláusula opcional de integração de novas partes;
      3. Módulos. É aplicável o MÓDULO DOIS (transferência do controlador ao operador);
      4. Instruções. Para efeitos da Cláusula 8.1 da Seção II (Módulo Dois), as instruções ao importador de dados constituirão instruções de Tratamento de Informações Pessoais conforme necessário para a prestação dos Serviços e/ou o fornecimento dos produtos oferecidos pelo Parceiro e conforme porventura especificado de acordo com o Contrato;
      5. Suboperadores. Para efeitos da Cláusula 9 da Seção II (Módulo Dois), aplica-se a Opção 2 (sendo que o prazo para o importador de dados informar o exportador de dados a respeito de quaisquer alterações pretendidas será de 30 (trinta) dias de antecedência);
      6. Reparação. Para fins da Cláusula 11 da Seção II, a redação opcional não é aplicável;
      7. Escolha da lei aplicável. Para os fins das Cláusulas 17 e 18 da Seção IV, na medida permitida pela Lei de Proteção de Dados aplicável, as partes concordam que suas respectivas obrigações sob as Cláusulas Contratuais Padrão do EEE serão regidas pela(s) lei(s) da República da Irlanda e estarão sujeitas à jurisdição dos foros da República da Irlanda;
      8. Preenchimento completo da Parte A do Anexo I. A Parte A do Anexo I (lista de partes) é considerada neste ato completa com: (i) os detalhes da Cliente (como exportadora de dados); e (ii) os detalhes do Parceiro (como importador de dados), em cada caso, conforme disposto no Contrato;
      9. Preenchimento completo da Parte B do Anexo I. A Parte B do Anexo I (Descrição da transferência) das Cláusulas Contratuais Padrão do EEE é considerada neste ato completa com as informações fornecidas na Descrição do Tratamento;
      10. Preenchimento completo da Parte C do Anexo I. Com relação à Parte C do Anexo I (Autoridade Supervisora Competente) das Cláusulas Contratuais Padrão do EEE, na medida permitida pela Lei de Proteção de Dados aplicável, as partes selecionam a autoridade de proteção de dados da República da Irlanda;
      11. Preenchimento completo do Anexo II. O Anexo II das Cláusulas Contratuais Padrão do EEE (as medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais para garantir a segurança de dados) é considerado neste ato completo com as disposições constantes das Obrigações de Segurança da Informação; e
      12. Conflitos de termos. Em caso de qualquer discrepância ou conflito entre as Cláusulas Contratuais Padrão do EEE e esta seção, as disposições serão interpretadas da maneira que ofereça a maior proteção aos Titulares de Dados.
    2. Interpretação das Cláusulas Contratuais Padrão do EEE para Países Restritos. Se o compartilhamento de Informações Pessoais pela Cliente ao Parceiro resultar em Outra Transferência de Dados, as Cláusulas Contratuais Padrão do EEE serão incorporadas neste ato por referência e serão aplicáveis como disposto acima neste parágrafo desta Seção 6, à exceção de que: (i) referências nas Cláusulas Contratuais Padrão do EEE a "UE", "União", "Estado-Membro da UE" ou "Estado-Membro" serão uma alusão a esse País Restrito; (ii) referências ao "Regulamento (UE) 2016/679" ou "esse Regulamento" serão uma alusão às Leis de Proteção de Dados desse País Restrito, e referências a disposições ou artigos específicos do RGPD devem ser substituídas pela disposição ou artigo equivalente mais próximo(a) da Lei de Proteção de Dados do País Restrito; (iii) "autoridade supervisora" significará a autoridade de proteção de dados desse País Restrito; (iv) referências a "Cláusulas" significam este parágrafo, pois ele incorpora e modifica as Cláusulas.
    3. Transferências de Dados do Reino Unido. Se, e na medida em que, as Informações Pessoais Tratadas pelo Parceiro estiverem sujeitas a uma Transferência de Dados do Reino Unido, o Adendo das SCC do Reino Unido será incorporado a este documento por referência e deve ser aplicado da seguinte forma:
      1. Preenchimento completo da Tabela 1. A Tabela 1 do Adendo das SCC do Reino Unido é considerada completa com os dados da Cliente (como exportadora de dados) e os dados do Parceiro (como importador de dados), conforme disposto no Contrato. A "data de início" é a data de início, data de entrada em vigor ou data equivalente do Contrato. O "contato principal" da Cliente é o "Chefe de Privacidade" ou o representante desse indivíduo que pode ser contatado pelo e-mail wbdprivacy@wbd.com, e o "contato principal" do Parceiro será comunicado à Cliente de tempos em tempos, incluindo o cargo específico do contato e o endereço de e-mail.
      2. Preenchimento completo das Tabelas 2 e 3. A Tabela 2 do Adendo das SCC do Reino Unido é considerada completa selecionando-se "as SCCs aprovadas da União Europeia, incluindo as Informações do Apêndice e apenas com os seguintes módulos, cláusulas ou disposições opcionais das SCCs aprovadas da União Europeia, em vigor para os fins deste Adendo". Para os fins da Tabela 2 e da Tabela 3 do Adendo das SCC do Reino Unido, as "SCCs aprovadas da União Europeia" são consideradas completas conforme estabelecido acima neste parágrafo da Seção 6.
      3. Preenchimento completo da Tabela 4. A Tabela 4 do Adendo das SCC do Reino Unido é considerada completa ao selecionar "nenhuma parte".
      4. Conflitos de termos. Em caso de qualquer discrepância ou conflito entre o Adendo das SCC do Reino Unido e estas Obrigações Globais de Privacidade, o Adendo das SCC do Reino Unido prevalecerá.
  3. Transferências de Dados (Controladores). Este parágrafo se aplica quando a Seção 5 (Termos para Controladores) for aplicável.
    1. Transferências de Dados do EEE. Se, e na medida em que, as Informações Pessoais Tratadas pelo Parceiro estiverem sujeitas a uma Transferência de Dados do EEE, as Cláusulas Contratuais Padrão do EEE serão incorporadas a este documento por referência e devem ser aplicadas da seguinte forma:
      1. Aplicação. O Parceiro atuará como importador de dados e a Cliente atuará como exportadora de dados;
      2. Integração. Para os fins da Cláusula 7 da Seção I, aplica-se a cláusula opcional de integração de novas partes;
      3. Módulos. É aplicável o MÓDULO UM (transferência de controlador para controlador);
      4. Reparação. Para fins da Cláusula 11 da Seção II, a redação opcional não é aplicável;
      5. Escolha da lei aplicável. Para os fins das Cláusulas 17 e 18 da Seção IV, na medida permitida pela Lei de Proteção de Dados aplicável, as partes concordam que suas respectivas obrigações sob as Cláusulas Contratuais Padrão do EEE serão regidas pela(s) lei(s) da República da Irlanda e estarão sujeitas à jurisdição dos foros da República da Irlanda;
      6. Preenchimento completo da Parte A do Anexo I. A Parte A do Anexo I (lista de partes) é considerada neste ato completa com: (i) os detalhes da Cliente (como exportadora de dados); e (ii) os detalhes do Parceiro (como importador de dados), em cada caso, conforme disposto no Contrato;
      7. Preenchimento completo da Parte B do Anexo I. A Parte B do Anexo I (Descrição da transferência) das Cláusulas Contratuais Padrão do EEE é considerada neste ato completa com as informações fornecidas na Descrição do Tratamento;
      8. Preenchimento completo da Parte C do Anexo I. Com relação à Parte C do Anexo I (Autoridade Supervisora Competente) das Cláusulas Contratuais Padrão do EEE, na medida permitida pela Lei de Proteção de Dados aplicável, as partes selecionam a autoridade de proteção de dados da República da Irlanda;
      9. Preenchimento completo do Anexo II. O Anexo II das Cláusulas Contratuais Padrão do EEE (as medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais para garantir a segurança de dados) é considerado neste ato completo com as disposições constantes das Obrigações de Segurança da Informação; e
      10. Conflitos de termos. Em caso de qualquer discrepância ou conflito entre as Cláusulas Contratuais Padrão do EEE e esta seção, as disposições serão interpretadas da maneira que ofereça a maior proteção aos Titulares de Dados.
    2. Interpretação das Cláusulas Contratuais Padrão do EEE para Países Restritos. Se o compartilhamento de Informações Pessoais pela Cliente ao Parceiro resultar em Outra Transferência de Dados, as Cláusulas Contratuais Padrão do EEE serão incorporadas neste ato por referência e serão aplicáveis como disposto acima neste parágrafo desta Seção 6, à exceção de que: (i) referências nas Cláusulas Contratuais-Padrão do EEE a "UE", "União", "Estado-Membro da UE" ou "Estado-Membro" serão uma alusão a esse País Restrito; (ii) referências ao "Regulamento (UE) 2016/679" ou "esse regulamento" serão uma alusão às Leis de Proteção de Dados desse País Restrito, e referências a disposições ou artigos específicos do RGPD devem ser substituídas pela disposição ou artigo equivalente da Lei de Proteção de Dados do País Restrito; (iii) "autoridade supervisora" significará a autoridade de proteção de dados desse País Restrito; (iv) referências a "Cláusulas" significam esta seção, pois ela incorpora e modifica as Cláusulas.
    3. Transferências de Dados do Reino Unido. Se, e na medida em que, as Informações Pessoais Tratadas pelo Parceiro estiverem sujeitas a uma Transferência de Dados do Reino Unido, o Adendo das SCC do Reino Unido será incorporado a este documento por referência e deve ser aplicado da seguinte forma:
      1. Preenchimento completo da Tabela 1. A Tabela 1 do Adendo das SCC do Reino Unido é considerada completa com os detalhes da Cliente (como exportadora de dados) e os detalhes do Parceiro (como importador de dados), conforme disposto no Contrato. A "data de início" é a data de início, data de entrada em vigor ou data equivalente do Contrato. O "contato principal" da Cliente é o "Chefe de Privacidade" ou o representante desse indivíduo que pode ser contatado pelo e-mail wbdprivacy@wbd.com, e o "contato principal" do Parceiro será comunicado à Cliente de tempos em tempos, incluindo o cargo específico do contato e o endereço de e-mail.
      2. Preenchimento completo das Tabelas 2 e 3. A Tabela 2 do Adendo das SCC do Reino Unido é considerada completa selecionando-se "as SCCs aprovadas da União Europeia, incluindo as Informações do Apêndice e apenas com os seguintes módulos, cláusulas ou disposições opcionais das SCCs aprovadas da União Europeia, em vigor para os fins deste Adendo". Para os fins da Tabela 2 e da Tabela 3 do Adendo das SCC do Reino Unido, as "SCCs aprovadas da União Europeia" são consideradas completas conforme estabelecido acima neste parágrafo da Seção 6.
      3. Preenchimento completo da Tabela 4. A Tabela 4 do Adendo das SCC do Reino Unido é considerada completa ao selecionar "nenhuma parte".
      4. Conflitos de termos. Em caso de qualquer discrepância ou conflito entre o Adendo das SCC do Reino Unido e esta seção, o Adendo das SCC do Reino Unido prevalecerá.
  4. Disposições adicionais sobre transferências internacionais. Este parágrafo se aplica se, e na medida em que, as Informações Pessoais Tratadas pelo Parceiro estiverem sujeitas a uma Transferência de Dados do EEE, a uma Transferência de Dados do Reino Unido ou Outra Transferência.
    Medidas complementares
    1. As partes reconhecem e concordam que o julgamento do Tribunal de Justiça da União Europeia na Ação C-311/18 esclarece que medidas complementares podem ser necessárias para garantir que Informações Pessoais sujeitas a uma Transferência do EEE ou Transferência do Reino Unido recebam um nível de proteção essencialmente equivalente às proteções que recebe quando Tratadas em seu território de origem (além das salvaguardas contidas nas Cláusulas Contratuais Padrão do EEE). Consequentemente, as partes concordaram com as medidas estabelecidas nas Seções 6.4 (b) a (g) a seguir como sendo medidas complementares para ajudar a garantir essa equivalência essencial.
    2. Se o Parceiro tomar conhecimento de uma solicitação ou demanda de uma autoridade policial, regulatória, judicial ou governamental (uma "Autoridade") para obter acesso ou cópia de algumas ou todas as Informações Pessoais Tratadas em conexão com o Contrato, seja de forma voluntária ou obrigatória, caberá ao Parceiro:
      1. notificar imediatamente a Cliente sobre a solicitação dessa Autoridade;
      2. quando for aplicável a Seção 4 (Termos para Operadores), informar à Autoridade que o Parceiro é um Operador de Informações Pessoais e que a Cliente não o autorizou a divulgar essas Informações Pessoais à Autoridade;
      3. informar à Autoridade que todas e quaisquer solicitações ou demandas de acesso a essas Informações Pessoais devem ser notificadas ou dirigidas à Cliente (como o Controlador) por escrito; e
      4. observada a Seção 6.4(c), não fornecerá à Autoridade acesso a essas Informações Pessoais, a menos e até que autorizado por escrito pela Cliente.
    3. observada a Seção 6.4(c), não fornecerá à Autoridade acesso a essas Informações Pessoais, a menos e até que autorizado por escrito pela Cliente.
      1. o Parceiro forneça à Cliente aviso prévio razoável dessa solicitação ou demanda para oferecer à Cliente oportunidade razoável de contestar ou buscar uma medida cautelar ou outro recurso apropriado;
      2. o Parceiro coopere razoavelmente com a Cliente, à custa da Cliente, para que a Cliente possa contestar ou buscar uma medida cautelar ou outro recurso apropriado; e
      3. em qualquer circunstância, o Parceiro compartilhe apenas a parte das Informações Pessoais que for obrigado por lei a divulgar.
    4. Se o Parceiro divulgar Informações Pessoais a uma Autoridade, o Parceiro só divulgará tais Informações Pessoais na medida em que o Parceiro seja obrigado por lei a fazê-lo e somente de acordo com o processo legal aplicável.
    5. O Parceiro não divulgará intencionalmente Informações Pessoais em massa ou de maneira indiscriminada além do necessário e proporcional em uma sociedade democrática.
    6. O Parceiro deve estabelecer, manter e cumprir uma política por escrito que regulamente solicitações de Informações Pessoais por Autoridades que, no mínimo, proíba:
      1. a divulgação em massa ou indiscriminada de Informações Pessoais relacionadas a Titulares de Dados na Europa; e
      2. divulgação de Informações Pessoais relacionadas a Titulares de Dados na Europa a uma Autoridade sem intimação, mandado, despacho, decreto, citação ou outra ordem juridicamente vinculante que obrigue a divulgação dessas Informações Pessoais.
    7. O Parceiro deve implementar e manter, de acordo com as boas práticas da indústria, medidas para proteger as Informações Pessoais contra interceptação (inclusive no trânsito entre a Cliente e o Parceiro e entre diferentes sistemas e serviços). Isso inclui ter e manter uma proteção de rede para negar a invasores a capacidade de interceptar dados e criptografar dados durante o trânsito para impedir a leitura de dados por invasores.
      Disposições adicionais de transferência de dados
    8. O Parceiro concorda em cooperar de boa-fé para firmar documentos adicionais e aplicar proteções adicionais, ou restringir o Tratamento a determinados territórios, conforme a Cliente julgar necessário para efetuar as Transferências do EEE, Transferências do Reino Unido ou Outras Transferências (conforme aplicável).
    9. Se o Parceiro, a qualquer momento, Tratar Informações Pessoais originárias de qualquer país que restrinja a transferência de Informações Pessoais a outra jurisdição que não seja considerada adequada para receber tais Informações Pessoais, então o Parceiro, por instrução da Cliente:
      1. tomará todas as medidas necessárias e celebrará os acordos que possam ser necessários com base na Lei de Proteção de Dados aplicável desse país para tornar legítimo qualquer Tratamento; e
      2. garantirá um nível adequado de proteção às Informações Pessoais da Cliente.
    10. Se qualquer autoridade de proteção de dados competente considerar inválido o mecanismo de transferência de dados empregado pelas partes, ou se qualquer autoridade de proteção de dados competente ou lei aplicável exigir que transferências de Informações Pessoais sejam suspensas ou restritas a uma jurisdição específica, será facultado à Cliente, a seu critério, exigir que o Parceiro cesse o Tratamento de Informações Pessoais, e o Parceiro irá co-operar com a Cliente de boa-fé para facilitar o uso de um mecanismo alternativo de transferência de dados, celebrar documentos adicionais, aplicar proteções adicionais ou restringir o Tratamento a determinadas jurisdições.
7. INDENIZAÇÃO
  1. Esta seção se aplica a todos os Parceiros.
  2. Além de quaisquer obrigações de indenização do Parceiro previstas no Contrato, o Parceiro defenderá, manterá indene e isentará a Cliente em relação a todas e quaisquer reivindicações, ações, custos, responsabilidades, perdas, danos e despesas de terceiros (incluindo honorários advocatícios) incorridos pela Cliente em decorrência ou a respeito de: (i) um Incidente de Segurança; ou (ii) uma violação destas Obrigações Globais de Privacidade pelo Parceiro ou afiliados do Parceiro, Suboperadores (incluindo Suboperadores nomeados pelos afiliados do Parceiro) e cessionários, incluindo, sem limitação, uma reivindicação ou ação de uma autoridade de proteção de dados ou Titular de Dados.
VOLTAR