Termos de Tratamento de Dados de Publicidade do Google

O Google e a contraparte que aceita estes termos (o “Cliente”) celebraram um contrato de prestação de Serviços de Operador (conforme periodicamente alterado, o “Contrato”).

Estes Termos de Tratamento de Dados de Publicidade do Google (juntamente com os apêndices, os “Termos de Tratamento de Dados”) são celebrados pelo Google e pelo Cliente e complementam o Contrato. Estes Termos de Tratamento de Dados entrarão em vigor e substituirão quaisquer termos anteriormente aplicáveis relativos ao objeto em questão (incluindo quaisquer adendos ou alterações ao tratamento de dados com relação aos Serviços de Operador), a partir da data de Início da Vigência dos Termos.

Se você está aceitando estes Termos de Tratamento de Dados em nome do Cliente, você garante que: (a) tem plenos poderes legais para vincular o Cliente a estes Termos de Tratamento de Dados; (b) leu e entendeu estes Termos de Tratamento de Dados; e (c) aceita estes Termos de Tratamento de Dados, em nome do Cliente. Se você não tem poderes legais para vincular o Cliente, não aceite estes Termos de Tratamento de Dados.

1. Introdução

Estes Termos de Tratamento de Dados refletem o acordo celebrado entre as partes sobre os termos que regem o tratamento de Dados Pessoais do Cliente.

2. Definições e interpretação

2.1 Nestes Termos de Tratamento de Dados:

Afiliada” significa uma entidade que, direta ou indiretamente, controla, é controlada por ou está sob controle comum de uma parte.

Certificação ISO 27001” significa a certificação ISO/IEC 27001:2013 ou qualquer certificação equivalente para os Serviços de Operador.

Dados Pessoais do Cliente” significa os dados pessoais tratados pelo Google em nome do Cliente no âmbito da prestação dos Serviços de Operador por parte do Google.

Data de Início da Vigência dos Termos” significa a data em que o Cliente clicou para aceitar ou a data em que as partes, de outra forma, aceitaram estes Termos de Tratamento de Dados.

Documentação de Segurança” significa o certificado emitido para a Certificação ISO 27001 e qualquer outra certificação ou documento de segurança que o Google possa disponibilizar relativamente aos Serviços de Operador.

Endereço de E-mail para Recebimento de Notificações” significa o endereço de e-mail designado pelo Cliente, na interface do usuário dos Serviços de Operador ou em outros meios fornecidos pelo Google, para receber notificações do Google relacionadas a estes Termos de Tratamento de Dados.

Entidade do Google” significa a Google LLC, a Google Ireland Limited ou qualquer outra Afiliada da Google LLC.

FDPA da Suíça” significa, conforme aplicável, a Lei Federal de Proteção de Dados de 19 de junho de 1992 (Suíça) (com a Portaria da Lei Federal de Proteção de Dados de 14 de junho de 1993) ou a Lei Federal de Proteção de Dados revisada de 25 de setembro de 2020 (com a Portaria da Lei Federal de Proteção de Dados de 31 de agosto de 2022).

Ferramenta dos Titulares dos Dados” significa uma ferramenta (se houver) disponibilizada por uma Entidade do Google aos titulares dos dados que permite ao Google responder direta e padronizadamente a determinadas solicitações feitas pelos titulares dos dados com relação aos Dados Pessoais do Cliente. Por exemplo, configurações de publicidade on-line ou desativação do plug-in de um navegador.

GDPR” significa, conforme aplicável: (a) o GDPR da UE; e/ou (b) o GDPR do Reino Unido.

GDPR da União Europeia” significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE.

GDPR do Reino Unido” significa o GDPR da UE conforme alterado e incorporado na legislação do Reino Unido, de acordo com os termos da Lei de Saída do Reino Unido da União Europeia de 2018 (UK European Union (Withdrawal) Act 2018), e a legislação secundária aplicável elaborada de acordo com essa lei.

Google” significa a Entidade do Google que é uma parte do Contrato.

Incidente com Dados” significa uma violação de segurança do Google que gera destruição, perda, alteração, divulgação não autorizada ou acesso acidentais ou ilegais a Dados Pessoais do Cliente em sistemas gerenciados ou controlados pelo Google. “Incidentes com Dados” não incluem atividades ou tentativas malsucedidas que não comprometam a segurança dos Dados Pessoais do Cliente, incluindo tentativas não concretizadas de login, pings, verificação de portas, ataques de negação de serviço e outros ataques de rede em firewalls ou sistemas de rede.

Instruções” tem o significado atribuído na Seção 5.2 (Instruções do Cliente).

Legislação Aplicável em matéria de Proteção de Dados” significa, conforme aplicável ao tratamento de Dados Pessoais do Cliente, qualquer lei ou regulamento sobre privacidade, segurança de dados ou proteção de dados, a nível nacional, federal, da UE, estadual, provincial ou outros, incluindo a Legislação Europeia em matéria de Proteção de Dados, a LGPD e as Leis Estaduais de Privacidade dos EUA.

Legislação Europeia em matéria de Proteção de Dados” significa, conforme aplicável, (a) o GDPR; e/ou (b) a FDPA da Suíça.

Leis Estaduais de Privacidade dos EUA” significa, conforme aplicável: (i) a Lei de Privacidade do Consumidor da Califórnia de 2018 (incluindo a alteração criada pela Lei de Direitos de Privacidade da Califórnia de 2020) e todas as regulamentações de implementação (“CCPA”, na sigla em inglês); (ii) a Lei de Proteção de Dados do Consumidor do Estado da Virgínia, do Código Anotado da Virgínia, § 59.1-571 et seq.; (iii) a Lei de Privacidade do Colorado, Estatutos Revisados do Colorado § 6-1-1301 et seq.; (iv) a Lei de Privacidade de Dados e Monitoramento On-line de Connecticut, Ato Público nº 22015; e (v) a Lei de Privacidade do Consumidor de Utah, Código Anotado de Utah § 13-61-101 et seq.

LGPD” significa a Lei Geral de Proteção de Dados Pessoais brasileira.

Medidas de Segurança” tem o significado definido na Seção 7.1.1 (Medidas de Segurança do Google).

Novo Sub-Operador” tem o significado atribuído na Seção 11.1 (Autorização para Engajamento de Sub-operadores).

Período de Vigência” significa o período entre a Data de Início da Vigência dos Termos e o final do fornecimento dos Serviços de Operador por parte do Google ao abrigo do Contrato.

Produto Adicional” significa um produto, serviço ou aplicativo fornecido pelo Google ou por um terceiro que: (a) não faz parte dos Serviços de Operador; e (b) está acessível para uso na interface do usuário dos Serviços de Operador ou, de alguma forma, integrado a eles.

Serviços de Operador” significa os serviços aplicáveis listados em business.safety.google/adsservices.

Sub-operadores” significa os terceiros autorizados por estes Termos de Tratamento de Dados a ter acesso lógico e a tratar Dados Pessoais do Cliente a fim de fornecer partes dos Serviços de Operador e qualquer suporte técnico relacionado.

Termos Adicionais” significa os termos adicionais mencionados no Apêndice 3, que refletem o acordo entre as partes sobre os termos que regem o tratamento dos Dados Pessoais do Cliente ao abrigo de determinada Legislação de Proteção de Dados Aplicável.

2.2 Os termos “controlador”, “titular dos dados pessoais”, “dados pessoais”, “processamento”/“tratamento” e “operador” usados nestes Termos de Tratamento de Dados terão os significados atribuídos a eles (a) na Legislação Aplicável em matéria de Proteção de Dados ou, (b) se não houver descrição do significado ou lei, no GDPR.

2.3As palavras “incluir” e “incluindo” significam “incluindo, mas não se limitando a”. Todos os exemplos nestes Termos de Tratamento de Dados são ilustrativos, e não exemplos únicos de um conceito específico.

2.4 Qualquer referência a um regime legal, estatuto ou outro ato legislativo é uma referência a ele conforme periodicamente alterado ou promulgado.

2.5 Em caso de inconsistência entre a versão traduzida e a versão em inglês destes Termos de Tratamento de Dados, a versão em inglês terá precedência.

3. Duração destes Termos de Tratamento de Dados

Estes Termos de Tratamento de Dados entrarão em vigor na Data de Início da Vigência dos Termos. Não obstante a rescisão ou expiração do Contrato, estes Termos de Tratamento de Dados permanecerão em vigor até a eliminação de todos os Dados Pessoais do Cliente por parte do Google e expirarão automaticamente após esse fato, conforme descrito nesses Termos.

4. Aplicação destes Termos de Tratamento de Dados

4.1 Geral. Estes Termos de Tratamento de Dados só serão aplicados aos Serviços de Operador no âmbito dos quais as partes aceitaram estes Termos de Tratamento de Dados, por exemplo, (a) os Serviços de Operador para os quais o Cliente tenha aceitado estes Termos de Tratamento de Dados ou, (b) se o Contrato incorpora estes Termos de Tratamento de Dados por referência, os Serviços de Operador que são objeto do Contrato.

4.2 Incorporação de Termos Adicionais. Os Termos Adicionais complementam estes Termos de Tratamento de Dados.

5. Tratamento de Dados

5.1 Funções e Conformidade Regulatória; Autorização.

5.1.1 Responsabilidades do Operador e do Controlador. As partes confirmam e concordam que:

(a) o Apêndice 1 descreve o objeto e os detalhes do tratamento de Dados Pessoais do Cliente; o Google é um operador de Dados Pessoais do Cliente;

(b) o Cliente é um controlador ou um operador, conforme aplicável, de Dados Pessoais do Cliente; e

(c) cada parte cumprirá as obrigações que para si decorrem ao abrigo da Legislação Aplicável em matéria de Proteção de Dados no que diz respeito ao tratamento de Dados Pessoais do Cliente.

5.1.2 Clientes Operadores. Se o Cliente for um operador:

(a) o Cliente garante, de maneira contínua, que o controlador relevante autorizou: (i) as Instruções, (ii) a designação por parte do Cliente do Google como outro operador e (iii) o engajamento de Sub-operadores pelo Google, conforme descrito na Seção 11 (Sub-operadores);

(b) o Cliente encaminhará, imediatamente e sem qualquer atraso, ao controlador relevante qualquer notificação fornecida da parte do Google ao abrigo das Seções 7.2.1 (Notificação de Incidentes) ou 11.4 (Oportunidade para se Opor a Alterações aos Sub-operadores); e

(c) o Cliente pode disponibilizar ao controlador relevante qualquer informação disponibilizada pelo Google ao abrigo das Seções 7.4 (Certificação de Segurança), 10.2 (Informações do Data Center) e 11.2 (Informações sobre Sub-operadores).

5.2 Instruções do Cliente. Ao celebrar estes Termos de Tratamento de Dados, o Cliente instrui o Google a tratar os Dados Pessoais do Cliente somente de acordo com a legislação aplicável: (a) a fim de prestar os Serviços de Operador e qualquer outro suporte técnico relacionado; (b) como especificado mais detalhadamente através do uso pelo Cliente dos Serviços de Operador (inclusive nas configurações e em outras funcionalidades dos Serviços de Operador) e em qualquer outro suporte técnico relacionado; (c) conforme documentado no Contrato, incluindo estes Termos de Tratamento de Dados; e (d) conforme documentado mais detalhadamente em quaisquer outras instruções por escrito fornecidas pelo Cliente e reconhecidas pelo Google como constituindo instruções para efeitos destes Termos de Tratamento de Dados (coletivamente, as “Instruções”).

5.3 Cumprimento das Instruções pelo Google. O Google cumprirá as Instruções, exceto quando tal seja proibido ao abrigo da legislação aplicável ou quando a legislação aplicável exigir outro tratamento.

5.4 Produtos Adicionais. Se o Cliente usar qualquer Produto Adicional, os Serviços de Operador poderão permitir que esse produto tenha acesso aos Dados Pessoais do Cliente quando necessário para a interoperação do Produto Adicional com os Serviços de Operador. Para fins de esclarecimento, estes Termos de Tratamento de Dados não se aplicam ao tratamento de dados pessoais relacionado ao fornecimento de qualquer Produto Adicional usado pelo Cliente, incluindo dados pessoais transmitidos para esse Produto Adicional ou por esse Produto Adicional.

6. Exclusão de Dados

6.1 Exclusão Durante o Período de Vigência.

6.1.1 Serviços de Operador com Funcionalidades de Exclusão. Se, durante o Período de Vigência:

(a) as funcionalidades dos Serviços de Operador incluírem a opção que permite ao Cliente excluir Dados Pessoais do Cliente;

(b) o Cliente usar os Serviços de Operador para excluir determinados Dados Pessoais do Cliente; e

(c) os Dados Pessoais do Cliente excluídos não puderem ser recuperados pelo Cliente (por exemplo, da “Lixeira”),

o Google excluirá esses Dados Pessoais do Cliente dos próprios sistemas assim que razoavelmente possível e dentro de um período máximo de 180 dias, exceto se a legislação aplicável exigir o armazenamento.

6.1.2 Serviços de Operador sem Funcionalidades de Exclusão. Durante o Período de Vigência, se as funcionalidades dos Serviços de Operador não incluírem a opção que permita ao Cliente excluir Dados Pessoais do Cliente, o Google cumprirá:

(a) com qualquer solicitação razoável do Cliente para agilizar essa exclusão, na medida em que isso seja possível considerando a natureza e as funcionalidades dos Serviços de Operador e exceto se a legislação aplicável exigir o armazenamento; e

(b) as práticas de retenção de dados descritas em policies.google.com/technologies/ads.

O Google poderá cobrar uma taxa (com base nos custos razoáveis que tenha) por qualquer exclusão de dados realizada de acordo com a Seção 6.1.2(a). O Google dará ao Cliente mais detalhes sobre as taxas aplicáveis e sobre a base de cálculo das taxas antes da exclusão dos dados em questão.

6.2 Exclusão no Final do Período de Vigência. O Cliente instrui o Google a excluir todos os Dados Pessoais do Cliente restantes (incluindo eventuais cópias) dos sistemas do Google no final do Período de Vigência, de acordo com a legislação aplicável. O Google cumprirá essa instrução assim que razoavelmente possível e dentro de um período máximo de 180 dias, exceto se a legislação aplicável exigir o armazenamento.

7. Segurança dos Dados

7.1 Medidas e Assistência de Segurança do Google.

7.1.1 Medidas de Segurança do Google. O Google implementará e manterá medidas técnicas e organizacionais para proteger os Dados Pessoais do Cliente contra destruição, perda, alteração, divulgação não autorizada ou acesso acidentais ou ilegais, conforme descrito no Apêndice 2 (as “Medidas de Segurança”). De acordo com o Apêndice 2, as Medidas de Segurança incluem ações para: (a) criptografar dados pessoais; (b) ajudar a garantir confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços do Google; (c) ajudar a restaurar o acesso a dados pessoais em tempo hábil após um incidente; e (d) fazer testes de eficiência regulares. O Google pode atualizar ou modificar as Medidas de Segurança periodicamente, desde que tais atualizações e modificações não resultem na degradação da segurança geral dos Serviços de Operador.

7.1.2 Acesso e Compliance. O Google: (a) só autorizará os seus funcionários, contratados e Sub-operadores a acessar os Dados Pessoais do Cliente quando tal for estritamente necessário para cumprimento das Instruções; (b) tomará as providências cabíveis para garantir o cumprimento das Medidas de Segurança por parte dos funcionários, contratados e Sub-operadores na medida aplicável ao seu escopo de atuação; e (c) garantirá que todas as pessoas autorizadas a tratar Dados Pessoais do Cliente assumiram um compromisso de sigilo e confidencialidade ou têm uma obrigação legal adequada de confidencialidade.

7.1.3 Assistência de Segurança do Google. O Google, considerando a natureza do tratamento dos Dados Pessoais do Cliente e as informações que dispõe, ajudará o Cliente a garantir o cumprimento das obrigações do Cliente (ou, caso o Cliente seja um operador, as obrigações do controlador relevante) em matéria de segurança e de violações de dados pessoais, de acordo com a Legislação Aplicável em matéria de Proteção de Dados, das seguintes formas:

(a) implementação e manutenção de Medidas de Segurança de acordo com o previsto na Seção 7.1.1 (Medidas de Segurança do Google);

(b) cumprimento dos termos previstos na Seção 7.2 (Incidentes com Dados); e

(c) disponibilização ao Cliente da Documentação de Segurança de acordo com o previsto na Seção 7.5 (Verificação de Compliance) e das informações contidas nestes Termos de Tratamento de Dados.

7.2 Incidentes com Dados.

7.2.1 Notificação de Incidentes. Caso tome conhecimento de um Incidente com Dados, o Google:

(a) notificará o Cliente imediatamente e sem qualquer atraso; e

(b) tomará providências razoáveis imediatas para minimizar os danos e proteger os Dados Pessoais do Cliente.

7.2.2 Detalhes do Incidente com Dados. As notificações feitas de acordo com o previsto na Seção 7.2.1 (Notificação de Incidentes) irão descrever: a natureza do Incidente com Dados, incluindo os recursos do Cliente afetados; as medidas que o Google tomou ou planeja tomar para resolver o Incidente com Dados e mitigar o potencial risco do mesmo; as medidas, se houver, que o Google recomenda que o Cliente tome para resolver o Incidente com Dados; e detalhes de um ponto de contato para a obtenção de mais informações. Se não for possível fornecer todas essas informações ao mesmo tempo, a notificação inicial do Google terá as informações disponíveis no momento, e mais detalhes serão fornecidos sem atrasos indevidos assim que estiverem disponíveis.

7.2.3 Envio da Notificação. O Google enviará a notificação sobre um Incidente com Dados para o Endereço de E-mail para Recebimento de Notificações ou, a critério do Google (incluindo nos casos em que o Cliente não tenha fornecido esse endereço), por qualquer outro meio de comunicação direta (por exemplo, por telefone ou reunião presencial). O Cliente é a única parte responsável por fornecer o Endereço de E-mail para Recebimento de Notificações e garantir que esse endereço está atualizado e válido.

7.2.4 Notificações a Terceiros. O Cliente é a única parte responsável por cumprir o disposto nas leis em matéria de notificação de incidentes que sejam aplicáveis ao Cliente e por cumprir todas as obrigações de notificação a terceiros relacionadas a Incidentes com Dados.

7.2.5 Não Reconhecimento de Falha por parte do Google. A notificação ou resposta do Google a um Incidente com Dados nos termos desta Seção 7.2 (Incidentes com Dados) não será interpretada como um reconhecimento por parte do Google de qualquer falha ou responsabilidade relativamente ao Incidente com Dados em questão.

7.3 Responsabilidades e Avaliação de Segurança do Cliente.

7.3.1 Responsabilidades de Segurança do Cliente. O Cliente concorda que, sem prejuízo das obrigações do Google previstas nas Seções 7.1 (Medidas e Assistência de Segurança do Google) e 7.2 (Incidentes com Dados):

(a) o Cliente é responsável pelo uso que fizer dos Serviços de Operador, incluindo:

(i) pelo uso apropriado dos Serviços de Operador a fim de garantir um nível de segurança adequado ao risco no que diz respeito aos Dados Pessoais do Cliente; e

(ii) pela proteção das credenciais de autenticação de contas, sistemas e dispositivos que o Cliente usa para ter acesso aos Serviços de Operador; e

(b) o Google não tem a obrigação de proteger os Dados Pessoais do Cliente que o Cliente armazenar ou transferir para fora dos sistemas do Google ou dos sistemas dos Sub-operadores do Google.

7.3.2 Avaliação de Segurança do Cliente. O Cliente reconhece e concorda que as Medidas de Segurança implementadas e mantidas pelo Google, nos termos previstos na Seção 7.1.1 (Medidas de Segurança do Google), oferecem um nível de segurança apropriado ao risco no que diz respeito aos Dados Pessoais do Cliente, considerando as tecnologias atuais, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do tratamento dos Dados Pessoais do Cliente, bem como os riscos para as pessoas físicas.

7.4 Certificação de Segurança. Para avaliar e ajudar a garantir a eficiência contínua das Medidas de Segurança, o Google manterá a Certificação ISO 27001.

7.5 Verificação de Compliance. Para demonstrar o cumprimento pelo Google das respectivas obrigações ao abrigo destes Termos de Tratamento de Dados, e para auxiliar o Cliente a verificar o cumprimento pelo Google (i) das Instruções do Cliente; (ii) das obrigações do Google de acordo com estes Termos de Tratamento de Dados; e (iii) das obrigações do Google de acordo com a Legislação Aplicável em matéria de Proteção de Dados, o Google:

(a) disponibilizará a Documentação de Segurança para análise por parte do Cliente;

(b) fornecerá as informações contidas nos Termos de Tratamento de Dados; e

(c) fornecerá ou disponibilizará, de acordo com as práticas padrão do Google, outros materiais relacionados à natureza dos Serviços de Operador e do tratamento de Dados Pessoais do Cliente (por exemplo, materiais da Central de Ajuda).

O Cliente também pode verificar o cumprimento por parte do Google das respectivas obrigações ao abrigo destes Termos de Tratamento de Dados através da análise do certificado emitido para a Certificação ISO 27001 (que reflete o resultado de uma auditoria realizada por um auditor terceirizado).

8. Relatórios de Impacto e Consultas

O Google (levando em conta a natureza do tratamento e as informações disponíveis para o Google) auxiliará o Cliente a garantir o cumprimento das obrigações do Cliente (ou, caso o Cliente seja um operador, das obrigações do controlador relevante) relacionadas a relatórios de impacto à proteção de dados e consultas regulatórias prévias previstas na Legislação Aplicável em matéria de Proteção de Dados, das seguintes formas:

(a) fornecimento da Documentação de Segurança prevista na Seção 7.5 (Verificação de Compliance);

(b) fornecimento das informações contidas no Contrato (incluindo estes Termos de Tratamento de Dados); e

(c) fornecimento ou disponibilização, de acordo com práticas padrão do Google, de outros materiais referentes à natureza dos Serviços de Operador e do tratamento de Dados Pessoais do Cliente (por exemplo, materiais da Central de Ajuda).

9. Direitos do Titular dos Dados

9.1 Respostas a Solicitações dos Titulares dos Dados. Se o Google receber uma solicitação de um titular dos dados relacionada a Dados Pessoais do Cliente, o Cliente autoriza o Google a (e o Google desde já notifica o Cliente que irá):

(a) responder diretamente à solicitação do titular dos dados de acordo com a funcionalidade padrão da Ferramenta do Titular dos Dados (quando a solicitação tenha sido feita através dessa ferramenta); ou

(b) aconselhar o titular dos dados a enviar a sua solicitação ao Cliente e o Cliente será responsável por responder a tal solicitação (se a solicitação não for feita em uma Ferramenta do Titular dos Dados).

9.2 Assistência por parte do Google a Solicitações dos Titulares dos Dados. O Google ajudará o Cliente a cumprir as respectivas obrigações (ou, se o Cliente for um operador, as obrigações do controlador relevante) previstas na Legislação Aplicável em matéria de Proteção de Dados no sentido de responder às solicitações para exercício dos direitos dos titulares dos dados, tendo em conta, em todo caso, a natureza do tratamento dos Dados Pessoais do Cliente e, se aplicável, o disposto no Artigo 11.º do GDPR, das seguintes formas:

(a) fornecendo a funcionalidade dos Serviços de Operador;

(b) cumprindo os compromissos definidos na Seção 9.1 (Respostas a Solicitações dos Titulares dos Dados); e

(c) disponibilizando as Ferramentas dos Titulares dos Dados, se aplicáveis aos Serviços de Operador.

9.3 Retificação. Se o Cliente tomar conhecimento de que os Dados Pessoais do Cliente estão incorretos ou desatualizados, ele será responsável por retificar ou excluir esses dados, se tal for exigido pela Legislação Aplicável em matéria de Proteção de Dados, usando, inclusive, a funcionalidade dos Serviços de Operador (quando a mesma se encontrar disponível).

10. Transferências de Dados

10.1 Instalações de Armazenamento e Tratamento de Dados. O Google pode tratar Dados Pessoais do Cliente em qualquer país em que o Google ou seus Sub-operadores tenham instalações, sujeito a quaisquer disposições aplicáveis à transferência de dados determinadas nos Termos Adicionais.

10.2 Informações do Data Center. As informações sobre os locais onde estão instalados os data centers do Google estão disponíveis em www.google.com/about/datacenters/locations/.

11. Sub-operadores

11.1 Autorização para Engajamento de Sub-operadores. O Cliente autoriza especificamente o engajamento, como Sub-operadores, das entidades que, na Data de Início da Vigência dos Termos, se encontram listadas no URL especificado na Seção 11.2 (Informações sobre Sub-operadores). Além disso, sem prejuízo do disposto na Seção 11.4 (Oportunidade para se Opor a Alterações em Sub-operadores), o Cliente autoriza, de modo geral, o engajamento de outros terceiros como Sub-operadores (“Novos Sub-operadores”).

11.2 Informações sobre Sub-operadores. As informações relativas aos Sub-operadores estão disponíveis em business.safety.google/adssubprocessors.

11.3 Requisitos para o Engajamento de Sub-operadores. Ao engajar qualquer Sub-operador, o Google:

(a) garantirá, através de um contrato escrito que o Sub-operador só acessa e utiliza os Dados Pessoais do Cliente na medida do necessário para cumprir as obrigações subcontratadas ao mesmo, e o faz em conformidade com o Contrato (incluindo estes Termos de Tratamento de Dados); e

(b) permanecerá totalmente responsável por todas as obrigações subcontratadas e por todos os atos e omissões do Sub-operador.

11.4 Oportunidade para se Opor a Alterações em Sub-operadores.

(a) Quando um novo Sub-operador for engajado durante o Período de Vigência, o Google informará ao Cliente do engajamento (incluindo o nome e a localização do respectivo Novo Sub-operador e as atividades que ele realizará), pelo menos 30 dias antes de o Novo Sub-operador tratar quaisquer Dados Pessoais do Cliente, através do envio de um e-mail para o Endereço de E-mail para Recebimento de Notificações.

(b) O Cliente poderá opor-se a qualquer novo Sub-operador rescindindo unilateralmente o Contrato com efeitos imediatos, mediante notificação por escrito ao Google, desde que o Cliente envie essa notificação em um prazo de até 90 dias após ter sido informado sobre o engajamento do novo Sub-operador, nos termos previstos na Seção 11.4(a).

12. Contato com o Google; Registros do Tratamento

12.1 Contato com o Google. O Cliente pode entrar em contato com o Google relativamente ao exercício de seus direitos previstos nestes Termos de Tratamento de Dados usando os meios descritos em privacy.google.com/businesses/processorsupport ou quaisquer outros meios que possam ser periodicamente disponibilizados pelo Google. O Google fornecerá assistência imediata e razoável para responder às dúvidas do Cliente recebidas por esses meios e que sejam referentes ao tratamento de Dados Pessoais do Cliente no âmbito do Contrato.

12.2 Registros do Tratamento pelo Google. O Google manterá uma documentação apropriada das suas atividades de tratamento, conforme exigido pela Legislação Aplicável em matéria de Proteção de Dados.

12.3 Solicitações de Controladores. Se o Google receber uma solicitação ou instrução pelos meios descritos na Seção 12.1 (ou qualquer outro meio) de um terceiro que se apresente como controlador dos Dados Pessoais do Cliente, o Google orientará o terceiro a entrar em contato com o Cliente.

13. Limitação de responsabilidade

Se o Contrato for regido pela legislação de:

(a) um estado dos Estados Unidos da América, sem prejuízo de qualquer disposição no Contrato, a responsabilidade total de qualquer uma das partes em relação à outra parte decorrente ou relacionada a estes Termos de Tratamento de Dados será limitada ao valor monetário máximo ou ao valor baseado em pagamento a que a responsabilidade dessa parte está limitada ao abrigo do Contrato, não se aplicando, portanto, nenhuma exclusão de pedidos de indenização da limitação de responsabilidade prevista no Contrato a pedidos de indenização efetuados no âmbito do Contrato ao abrigo da Legislação Aplicável em matéria de Proteção de Dados; ou

(b) uma jurisdição que não seja um estado dos Estados Unidos da América, a responsabilidade das partes decorrente ou relacionada a estes Termos de Tratamento de Dados estará sujeita às exclusões e limitações de responsabilidade previstas no Contrato.

14. Efeitos destes Termos de Tratamento de Dados

14.1 Ordem de Precedência. Em caso de qualquer conflito ou inconsistência entre os Termos Adicionais, as restantes disposições destes Termos de Tratamento de Dados e/ou as restantes disposições do Contrato, será aplicada a seguinte ordem de precedência:

(a) os Termos Adicionais (se aplicável);

(b) as restantes disposições destes Termos de Tratamento de Dados; e

(c) as restantes disposições do Contrato.

Sujeito às alterações introduzidas por estes Termos de Tratamento de Dados, o Contrato permanece em vigor e a produzir efeitos.

14.2 Não Produção de Efeitos sobre os Termos Aplicáveis a Controladores. Estes Termos de Tratamento de Dados não afetarão os termos independentes celebrados entre o Google e o Cliente que reflitam uma relação controlador-controlador para um serviço diferente dos Serviços de Operador.

15. Alterações nestes Termos de Tratamento de Dados

15.1 Alterações de URLs. O Google pode periodicamente alterar qualquer URL mencionado nestes Termos de Tratamento de Dados e o conteúdo desses URLs. No entanto, o Google só pode mudar a lista de potenciais Serviços de Operador disponível em business.safety.google/adsservices:

(a) para refletir uma mudança no nome de um serviço;

(b) para adicionar um novo serviço; ou

(c) para remover um serviço (ou um recurso de um serviço) quando: (i) todos os contratos para a prestação desse serviço forem rescindidos; ou (ii) o Google tenha autorização da parte do Cliente; ou (iii) o serviço, ou um determinado recurso do serviço, foi recategorizado como um serviço de controlador.

15.2 Alterações nos Termos de Tratamento de Dados. O Google poderá modificar estes Termos de Tratamento de Dados se a alteração:

(a) for expressamente permitida por estes Termos de Tratamento de Dados, inclusive conforme descrito na Seção 15.1 (Alterações de URLs);

(b) refletir uma alteração no nome ou no tipo de uma entidade legal;

(c) for necessária para cumprir com o disposto numa lei ou regulamento aplicável, numa ordem judicial ou numa orientação expedida por um órgão regulador ou agência do governo, ou para refletir o uso por parte do Google de uma Solução de Transferência Alternativa (conforme definido no Apêndice 3A); ou

(d) não: (i) resultar em degradação da segurança geral dos Serviços de Operador; (ii) ampliar o escopo nem remover qualquer restrição sobre, (x) no caso dos Termos Adicionais, os dados incluídos no escopo dos Termos Adicionais ou, (y) no caso das restantes disposições destes Termos de Tratamento de Dados, o tratamento de Dados Pessoais do Cliente por parte do Google, conforme descrito na Seção 5.3 (Comprimento das Instruções pelo Google); e (iii) tiver um impacto negativo significativo sobre os direitos do Cliente ao abrigo destes Termos de Tratamento de Dados, conforme razoavelmente determinado pelo Google.

15.3 Notificação de Alterações. Caso o Google tenha a intenção de alterar estes Termos de Tratamento de Dados de acordo com o disposto na Seção 15.2(c) ou (d), o Google informará o Cliente pelo menos 30 dias antes de a alteração entrar em vigor, ou em um período menor, quando tal seja exigido por lei ou regulamento aplicável ou por uma ordem judicial ou orientação expedida por um órgão regulador ou agência do governo. Isso precisa ser feito (a) enviando uma mensagem para o Endereço de E-mail para Recebimento de Notificações ou (b) alertando o Cliente na interface do usuário dos Serviços de Operador. Caso o Cliente se oponha a qualquer uma dessas alterações, ele poderá rescindir unilateralmente o Contrato, com efeitos imediatos, enviando uma notificação por escrito ao Google até 90 dias após ter sido informado de tal alteração.

Apêndice 1: Objeto e Detalhes do Tratamento de Dados

Objeto

A Prestação dos Serviços de Operador e de qualquer suporte técnico relacionado pelo Google ao Cliente.

Duração do Tratamento

O Período de Vigência, mais o tempo entre o fim desse período e a data de exclusão de todos os Dados Pessoais do Cliente pelo Google de acordo com estes Termos de Tratamento de Dados.

Natureza e finalidade do Tratamento

O Google tratará os Dados Pessoais do Cliente com a finalidade de prestar os Serviços de Operador e qualquer suporte técnico relacionado ao Cliente de acordo com estes Termos de Tratamento de Dados. O tratamento inclui a coleta, registro, organização, estruturação, armazenamento, alteração, recuperação, uso, divulgação, combinação, exclusão e destruição, conforme aplicável aos Serviços de Operador e às Instruções.

Tipos de dados pessoais

Os Dados Pessoais do Cliente podem incluir os tipos de dados pessoais descritos em business.safety.google/adsservices.

Categorias de titulares dos dados

Os Dados Pessoais do Cliente serão referentes às seguintes categorias de titulares dos dados:

  • titulares dos dados sobre os quais o Google coleta dados pessoais ao prestar os Serviços de Operador e/ou

  • titulares dos dados cujos dados pessoais são transferidos para o Google no âmbito dos Serviços de Operador, quer pelo Cliente, por instrução dele ou em nome dele.

Dependendo da natureza dos Serviços de Operador, esses titulares dos dados podem incluir indivíduos: (a) a quem tenha sido, ou venha a ser direcionada publicidade on-line; (b) que tenham visitado websites ou aplicativos específicos no âmbito dos quais o Google presta os Serviços de Operador; e/ou (c) que sejam clientes ou usuários dos produtos ou serviços do Cliente.

Apêndice 2: Medidas de Segurança

A partir da Data de Início da Vigência dos Termos, o Google implementará e manterá as Medidas de Segurança definidas neste Apêndice 2. O Google pode atualizar ou modificar essas Medidas de Segurança periodicamente, desde que essas atualizações e modificações não resultem na degradação da segurança geral dos Serviços de Operador.

1. Data Center e Segurança de Rede

(a) Data centers.

Infraestrutura. O Google mantém data centers distribuídos geograficamente. Ele armazena todos os dados de produção em data centers fisicamente protegidos.

Redundância. Os sistemas da infraestrutura foram criados para eliminar pontos únicos de falha e minimizar o impacto de riscos ambientais previsíveis. Circuitos duplos, interruptores, redes ou outros dispositivos necessários ajudam a proporcionar essa redundância. Os Serviços de Operador foram criados para permitir que o Google execute certos tipos de manutenção preventiva e corretiva sem interrupções. Todos os equipamentos e instalações ambientais têm procedimentos de manutenção preventiva documentados que detalham o processo e a frequência de desempenho de acordo com as especificações internas ou do fabricante. A manutenção preventiva ou corretiva dos equipamentos dos data centers é agendada por um processo padrão, de acordo com procedimentos documentados.

Energia. Os sistemas de energia elétrica dos data centers são desenvolvidos para serem redundantes e poderem passar por manutenção sem afetar as operações contínuas, 24 horas por dia, 7 dias por semana. Na maioria dos casos, é fornecida uma fonte de energia principal e uma alternativa, cada uma delas com a mesma capacidade, para componentes essenciais da infraestrutura do data center. Uma alimentação de reserva é fornecida por vários mecanismos como, por exemplo, baterias de fonte de alimentação ininterrupta (UPS, na sigla em inglês), que oferecem proteção elétrica consistentemente fiável durante blecautes parciais da concessionária de serviços públicos, blecautes, sobretensão/subtensão e condições de frequência fora da tolerância. Se a energia for interrompida, a alimentação de reserva fornecerá energia momentânea ao data center, na capacidade total, por um período de até 10 minutos, até que os sistemas de geradores de reserva sejam acionados. Os geradores de reserva podem ser inicializados de forma automática, em segundos, para fornecer energia elétrica de emergência suficiente para alimentar o data center na capacidade total normalmente por um período de dias.

Sistemas Operacionais dos Servidores. Os servidores do Google usam sistemas operacionais robustos que são customizados para as necessidades exclusivas dos servidores da atividade. Os dados são armazenados através de algoritmos exclusivos para aumentar a segurança e redundância dos dados. O Google emprega um processo de revisão de código para aumentar a segurança do código usado para prestar os Serviços de Operador e melhorar os produtos de segurança em ambientes de produção.

Continuidade do Negócio. O Google replica dados em vários sistemas para ajudar a protegê-los contra a sua destruição ou perda acidental. O Google desenvolveu, e planeja e testa regularmente os programas para recuperação de desastres/planejamento de continuidade do negócio.

Tecnologias de Criptografia. As políticas de segurança do Google exigem a criptografia em repouso para todos os dados do usuário, incluindo os dados pessoais. Os dados são geralmente criptografados em vários níveis na pilha de armazenamento de produção do Google em data centers, inclusive no nível do hardware, sem necessidade de nenhuma ação por parte dos clientes. O uso de várias camadas de criptografia oferece proteção redundante aos dados e permite que o Google selecione a abordagem ideal com base nos requisitos do aplicativo. Todos os dados pessoais são criptografados quando são armazenados, geralmente usando AES256. O Google usa bibliotecas criptográficas comuns que incorporam o módulo FIPS 140-2 do Google para implementar a criptografia de forma consistente em todos os Serviços de Operador.

(b) Redes e Transmissão.

Transmissão de Dados. Os data centers são geralmente conectados através de links privados de alta velocidade que proporcionam uma transferência de dados segura e rápida entre os data centers. Além disso, o Google criptografa os dados transmitidos entre data centers para evitar que os dados sejam lidos, copiados, alterados ou removidos sem autorização durante o transporte eletrônico. O Google transfere dados através de protocolos padrão da Internet.

Superfície de Ataque Externo. O Google emprega várias camadas de dispositivos de rede e detecção de intrusão para proteger sua superfície de ataques externos. Ele considera os possíveis vetores de ataques e incorpora tecnologias específicas adequadas a sistemas externos.

Detecção de Intrusões. A detecção de intrusões tem o objetivo de fornecer informações sobre atividades de ataque em andamento e informações adequadas para responder a incidentes. A detecção de intrusão do Google consiste em:

1. Controlar de forma rigorosa o tamanho e a composição da superfície de ataque do Google com medidas preventivas;

2. Empregar controles de detecção inteligentes nos pontos de entrada de dados; e

3. Empregar tecnologias que resolvem automaticamente certas situações perigosas.

Resposta a Incidentes. O Google monitora uma variedade de canais de comunicação para incidentes de segurança. O pessoal de segurança do Google reagirá prontamente a incidentes identificados.

Tecnologias de Criptografia. O Google disponibiliza uma criptografia HTTPS, também chamada de “conexão TLS”. Os servidores do Google são compatíveis com troca de chaves criptográficas efêmeras Diffie Hellman com base em curvas elípticas assinadas com RSA e ECDSA. Esses métodos de perfect forward secrecy (PFS) ajudam a proteger o tráfego e a minimizar o impacto de uma chave comprometida ou de uma inovação criptográfica.

2. Controles de Acesso e do Local

(a) Controles do Local.

Operação de Segurança Local nos Data Centers. Os data centers do Google mantêm uma operação de segurança local responsável por todas as funções físicas de segurança do data center, 24 horas por dia, 7 dias por semana. A equipe da operação de segurança local monitora câmeras do circuito fechado de TV (ou CCTV, na sigla em inglês) e todos os sistemas de alarme. A equipe da operação de segurança local realiza rondas internas e externas regularmente no data center.

Procedimentos de Acesso aos Data Centers. O Google mantém procedimentos formais para permitir o acesso físico aos data centers. Os data centers estão alojados em instalações que exigem acesso através de cartão eletrônico, com alarmes que estão ligados à operação de segurança local. Todas as pessoas que entram no data center são obrigadas a se identificar e mostrar um comprovante de identidade para a equipe de operações de segurança local. Somente funcionários, contratados e visitantes autorizados têm permissão para entrar nos data centers. Somente funcionários e contratados autorizados têm permissão para solicitar acesso por cartão eletrônico a essas instalações. As solicitações de acesso por cartão eletrônico precisam ser feitas com antecedência e por escrito e exigem autorização da equipe autorizada do data center. Todas as outras pessoas que precisam de acesso temporário ao data center devem: (i) obter autorização prévia da equipe do data center específico e das equipes das áreas internas que querem visitar; (ii) identificar-se em todas as operações de segurança local; e (iii) apresentar um registro de acesso ao data center que identifique a pessoa como aprovada.

Dispositivos de Segurança Local dos Data Centers. Os data centers do Google empregam um sistema de cartão eletrônico e um sistema de controle de acesso biométrico que está ligado a um alarme do sistema. O sistema de controle de acesso monitora e registra a chave eletrônica de cada indivíduo e quando ele acessa as portas do perímetro, a área de envio/recebimento e outras áreas críticas. As atividades não autorizadas e as tentativas frustradas de acesso são registradas pelo sistema de controle de acesso e investigadas, quando adequado. O acesso autorizado às operações comerciais e aos data centers é restrito de acordo com as zonas e as responsabilidades inerentes à função da pessoa em questão. As portas corta-fogo nos data centers estão equipadas com alarmes. As câmeras de CCTV estão em funcionamento tanto dentro como fora dos data centers. O posicionamento das câmeras foi pensado para cobrir áreas estratégicas, incluindo, entre outras, o perímetro, as portas de acesso ao edifício dos data centers e as áreas de envio/recebimento. A equipe de operações de segurança local gerencia os equipamentos de monitoramento, gravação e controle de CCTV. O equipamento de CCTV é conectado por cabos fixos instalados ao longo dos data centers. As câmeras gravam o local 24 horas por dia, 7 dias por semana por meio de filmadoras digitais. Os registros de vigilância são mantidos por pelo menos sete dias, dependendo da atividade.

(b) Controle de Acesso.

Equipe de Segurança da Infraestrutura. O Google tem e mantém uma política de segurança para seu pessoal e exige treinamento de segurança como parte do pacote de treinamento da equipe. A equipe de segurança da infraestrutura do Google é responsável pelo monitoramento contínuo dessa infraestrutura, pela análise dos Serviços de Operador e por responder a incidentes de segurança.

Gerenciamento de Privilégios e Controle de Acesso. Os administradores e usuários do Cliente devem se autenticar através de um sistema de autenticação central ou por logon único para poder usar os Serviços de Operador.

Políticas e Processos Internos de Acesso a Dados — Política de Acesso. As políticas e os processos internos de acesso a dados do Google são criados para evitar que pessoas e/ou sistemas não autorizados tenham acesso aos sistemas usados para tratar dados pessoais. O Google pretende conceber os seus sistemas de forma a: (i) permitir que apenas pessoas autorizadas tenham acesso aos dados que elas têm autorização para acessar; e (ii) garantir que os dados pessoais não possam ser lidos, copiados, alterados nem removidos sem autorização durante o tratamento, uso e posterior gravação. Os sistemas são desenvolvidos para detectar qualquer acesso indevido. O Google emprega um sistema centralizado de gerenciamento de acesso para controlar o acesso da equipe aos servidores de produção e só o concede a um número limitado de pessoas autorizadas. O LDAP, o Kerberos e um sistema próprio e exclusivo que utiliza certificados foram desenvolvidos para fornecer ao Google mecanismos de acesso seguros e flexíveis. Estes mecanismos foram concebidos para só conceder os direitos de acesso aprovados aos anfitriões, registros, dados e informações de configuração do site. O Google exige o uso de códigos de usuários únicos, senhas fortes, autenticação de dois fatores e listas de acesso cuidadosamente monitoradas para minimizar a possibilidade de uso não autorizado de contas. A concessão ou modificação de direitos de acesso se baseia nas responsabilidades inerentes às funções da equipe autorizada, nos requisitos necessários para a execução de tarefas autorizadas e no princípio da necessidade de saber. A concessão ou modificação de direitos de acesso também precisa estar de acordo com as políticas e o treinamento em matéria da acesso a dados internos do Google. As aprovações são gerenciadas por ferramentas de fluxo de trabalho que mantêm registros de auditoria de todas as alterações. O acesso a sistemas é registrado para criar uma trilha de auditoria para efeitos de responsabilização. Sempre que as senhas são empregadas para autenticação (por exemplo, no login em estações de trabalho), são implementadas políticas de senha que seguem pelo menos as práticas padrão do setor. Esses padrões incluem restrições sobre a reutilização e o nível de segurança das senhas.

3. Dados

(a) Armazenamento, Isolamento e Autenticação de Dados.

O Google armazena dados em um ambiente multilocatário em servidores pertencentes ao Google. Os dados, o banco de dados dos Serviços de Operador e a arquitetura do sistema de arquivos são replicados em vários data centers espalhados em diversas áreas geográficas. O Google isola os dados de cada cliente de forma lógica. É usado um sistema de autenticação central em todos os Serviços de Operador para aumentar a segurança uniforme dos dados.

(b) Discos Desativados e Orientações para a Destruição de Discos.

Alguns discos que contêm dados podem apresentar problemas de desempenho, erros ou falhas de hardware que fazem com que eles sejam desativados (“Disco Desativado”). Todos os Discos Desativados são submetidos a uma série de processos de destruição de dados (as “Orientações para a Destruição de Dados”) antes de deixar as instalações do Google para reutilização ou destruição. Os Discos Desativados são apagados em um processo de várias etapas e verificados por pelo menos dois avaliadores independentes. Os resultados da limpeza são registrados para efeitos de rastreamento pelo número de série do Disco Desativado. Por fim, o Disco Desativado apagado é liberado para o inventário para reutilização e reimplementação. Se, devido a uma falha de hardware, o Disco Desativado não puder ser apagado, ele será armazenado em segurança até que possa ser destruído. Cada instalação é auditada regularmente para monitoramento da conformidade com as Orientações para a Destruição de Dados.

(c) Dados Pseudonimizados.

Os dados de publicidade on-line são geralmente associados a identificadores on-line que, por si só, são considerados “pseudonimizados”, ou seja, não podem ser atribuídos a um indivíduo específico sem o uso de informações adicionais. O Google dispõe de um conjunto robusto de políticas e controles técnicos e organizacionais em vigor para garantir a separação entre dados pseudonimizados e informações de identificação pessoal do usuário, ou seja, dados que possam ser usados para identificar ou contatar diretamente ou localizar com precisão um indivíduo, como é o caso dos dados da Conta do Google do usuário. As políticas do Google só permitem fluxos de informações entre dados pseudonimizados e dados pessoais em circunstâncias estritamente limitadas.

(d) Análises de lançamento.

O Google conduz análises antes do lançamento de novos produtos e funcionalidades. O que inclui uma análise de privacidade realizada por engenheiros de privacidade especialmente treinados. Nas análises de privacidade, os engenheiros de privacidade garantem que todas as políticas e diretrizes aplicáveis do Google foram seguidas, incluindo, mas não se limitando as políticas relacionadas à pseudonimização e à retenção e exclusão de dados.

4. Segurança da Equipe

A equipe do Google deve se comportar de maneira consistente com as orientações da empresa em matéria de confidencialidade, ética nos negócios, uso adequado e padrões profissionais. O Google realiza verificações de antecedentes razoavelmente apropriadas na medida do legalmente permitido e de acordo com a legislação trabalhista local e os regulamentos estatutários aplicáveis.

A equipe deve assinar um acordo de confidencialidade e confirmar o recebimento das Políticas de Privacidade e Confidencialidade do Google e que irá cumprir com elas. A equipe recebe treinamento de segurança. Aqueles que lidam com Dados Pessoais do Cliente precisam satisfazer outros requisitos adequados à respetiva função. A equipe do Google não tratará Dados Pessoais do Cliente sem autorização.

5. Segurança do Sub-operador

Antes da integração dos Sub-operadores, o Google realiza uma auditoria às práticas de segurança e privacidade dos Sub-operadores para garantir que eles fornecem um nível de segurança e privacidade adequado ao acesso deles a dados e ao escopo dos serviços que precisam prestar. Depois que o Google avalia os riscos apresentados pelo Sub-operador, este precisa assinar termos contratuais em matéria de segurança, confidencialidade e privacidade adequados, sempre sujeitos aos requisitos definidos na Seção 11.3 (Requisitos para o Engajamento de Sub-operadores).

Apêndice 3: Termos Adicionais para Legislação Aplicável em matéria de Proteção de Dados

PARTE A - TERMOS ADICIONAIS PARA A LEGISLAÇÃO EUROPEIA EM MATÉRIA DE PROTEÇÃO DE DADOS

1. Introdução

Este Apêndice 3A será aplicado apenas quando a Legislação Europeia em matéria de Proteção de Dados for aplicável para o tratamento de Dados Pessoais do Cliente.

2. Definições Adicionais

2.1 Neste Apêndice 3A:

Autoridade Supervisora” significa, conforme aplicável: (a) uma “autoridade supervisora” conforme definida no GDPR da UE; e/ou (b) o “Comissário” conforme definido no GDPR do Reino Unido e/ou na FDPA da Suíça.

EEE” significa o Espaço Econômico Europeu.

Legislação Europeia” significa, conforme aplicável: (a) a legislação da UE ou de um Estado-Membro da UE, caso o GDPR da UE seja aplicável ao tratamento de Dados Pessoais do Cliente; (b) a legislação do Reino Unido ou de uma parte do Reino Unido, caso o GDPR do Reino Unido seja aplicável ao tratamento de Dados Pessoais do Cliente; e (c) a legislação da Suíça, caso a FDPA da Suíça seja aplicável ao tratamento de Dados Pessoais do Cliente.

País Adequado” significa:

(a) para dados tratados e sujeitos ao GDPR da UE: o EEE ou um país ou território que seja considerado como tendo proteções adequadas de acordo com o GDPR da UE;

(b) para dados tratados e sujeitos ao GDPR do Reino Unido: o Reino Unido ou um país ou território que seja considerado como tendo proteções adequadas de acordo com o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018; e/ou

(c) para dados tratados e sujeitos à FDPA da Suíça: a Suíça ou um país ou território: (i) incluído na lista de estados cuja legislação garante a proteção de dados, conforme publicado pelo Comissário Federal de Proteção e Informação de Dados da Suíça; ou (ii) que cumpre a proteção de dados estabelecida pelo Conselho Federal da Suíça de acordo com a FDPA da Suíça; em todos os casos, exceto quando há uma estrutura opcional de proteção de dados.

SCCs” são as Cláusulas Contratuais Padrão (SCCs, na sigla em inglês) do Cliente e/ou SCCs (Operador para Operador, Exportador do Google), conforme aplicável.

SCCs (Controlador para Operador)” significa os termos disponíveis em business.safety.google/adsprocessorterms/sccs/c2p.

SCCs (Operador para Controlador)” significa os termos disponíveis em business.safety.google/adsprocessorterms/sccs/p2c.

SCCs (Operador para Operador)” significa os termos disponíveis em business.safety.google/adsprocessorterms/sccs/p2p.

SCCs (Operador para Operador, Exportador do Google)” significa os termos disponíveis em business.safety.google/adsprocessorterms/sccs/p2p-intra-group.

SCCs do Cliente” são as SCCs (Controlador para Operador), as SCCs (Operador para Controlado) e/ou as SCCs (Operador para Operador), conforme aplicável.

Solução de Transferência Alternativa” significa uma solução, que não seja as Cláusulas Contratuais Padrão de Controlador, que permita a transferência legal de informações pessoais para um terceiro país de acordo com a Legislação Europeia em matéria de Proteção de Dados, por exemplo, uma estrutura de proteção de dados que garanta que as entidades locais participantes forneçam a proteção adequada.

2.2Os termos “importador de dados” e “exportador de dados” terão os significados atribuídos a eles nas SCCs aplicáveis.

3.Clientes Operadores. Se o Cliente for um operador, o Cliente encaminhará, imediatamente e sem qualquer atraso, ao controlador relevante quaisquer notificações referentes a todas as SCCs.

4. Legislação Europeia. Quando a Legislação Europeia em matéria de Proteção de Dados for aplicável ao tratamento pelo Google dos Dados Pessoais do Cliente, o termo “legislação aplicável” nas Seções 5.3 (Comprimento das Instruções pelo Google), 6.1.1 (Serviços de Operador com Funcionalidades de Exclusão), 6.1.2(a) (Serviços de Operador sem Funcionalidades de Exclusão) e 6.2 (Exclusão no Final do Período de Vigência), se refere à “Legislação Europeia”.

5. Notificações de Instrução. O Google notificará imediatamente o Cliente se, na opinião do Google: (a) a Legislação Europeia proibir o Google de cumprir uma Instrução; (b) uma Instrução não estiver em conformidade com a Legislação Europeia em matéria de Proteção de Dados; ou (c) o Google não puder cumprir uma Instrução por qualquer motivo, a menos que essa notificação seja proibida pela Legislação Europeia. Se o Cliente for um operador, o Cliente encaminhará imediatamente ao controlador relevante quaisquer notificações disponibilizadas pelo Google, ao abrigo deste parágrafo. Este parágrafo 5 (Notificações de Instrução) não reduz os direitos e as obrigações das partes dispostas em outras seções do Contrato.

6.Auditorias de Conformidade

6.1 Direitos de Auditoria do Cliente.

(a) O Google permitirá que o Cliente ou um auditor terceirizado indicado pelo Cliente realize auditorias (incluindo inspeções) para verificar o cumprimento pelo Google das respectivas obrigações ao abrigo destes Termos de Tratamento de Dados, nos termos previstos no parágrafo 6.2 (Termos Comerciais Adicionais para Auditorias) deste Apêndice 3A. Durante uma auditoria, o Google disponibilizará todas as informações necessárias para demonstrar esse cumprimento e contribuirá com as auditorias conforme descrito na Seção 7.4 (Certificação de Segurança) e no parágrafo 6 (Auditorias de Conformidade) deste Apêndice 3A.

(b) Se as SCCs forem aplicáveis, nos termos do disposto no parágrafo 7.1 (Transferências Europeias Restritas) deste Apêndice 3A, o Google permitirá que o Cliente, ou um auditor terceirizado indicado por ele, conduza auditorias nos termos previstos nas SCCs e disponibilizará, durante a auditoria, todas as informações exigidas pelas SCCs, de acordo com o disposto no parágrafo 6.2 (Termos Comerciais Adicionais para Auditorias) deste Apêndice 3A.

6.2 Termos Comerciais Adicionais para Auditorias.

(a) O Cliente enviará ao Google todas as solicitações para a realização de uma auditoria ao abrigo do parágrafo 6.1(a) ou 6.1(b) deste Apêndice 3A, nos termos previstos na Seção 12.1 (Contato com o Google).

(b) Depois de receber uma solicitação ao abrigo do parágrafo 6.2(a) deste Apêndice 3A, o Google e o Cliente conversarão entre si e chegarão a um acordo sobre a data de início, o escopo e duração razoáveis, bem como os controles de confidencialidade e segurança aplicáveis a qualquer auditoria prevista nos parágrafos 6.1(a) ou 6.1(b) deste Apêndice 3A.

(c) O Google poderá cobrar uma taxa, com base nos custos razoáveis que tenha, para qualquer auditoria prevista nos parágrafos 6.1(a) ou 6.1(b) deste Apêndice 3A. O Google fornecerá ao Cliente mais detalhes sobre qualquer taxa aplicável e sobre a base de cálculo antes da realização da auditoria em questão. O Cliente será responsável pelas taxas cobradas por um auditor terceirizado indicado pelo Cliente para a execução da auditoria.

(d) O Google poderá opor-se a qualquer auditor terceirizado indicado pelo Cliente para a realização das auditorias previstas nos parágrafos 6.1(a) ou 6.1(b) deste Apêndice 3A se, segundo opinião razoável do Google, o auditor não estiver devidamente qualificado, não for um auditor independente, for um concorrente do Google ou for claramente inadequado. Qualquer objeção por parte do Google exigirá que o Cliente indique outro auditor ou conduza a auditoria por conta própria.

(e) As disposições contidas nestes Termos de Tratamento de Dados não exigem que o Google dê acesso ou divulgue ao Cliente ou ao auditor independente: (i) dados de qualquer outro cliente de uma Entidade do Google; (ii) informações financeiras ou contábeis internas de uma Entidade do Google; (iii) segredos comerciais de uma Entidade do Google; (iv) informações que, na opinião razoável do Google, possam: (A) comprometer a segurança dos sistemas ou instalações de qualquer Entidade do Google; ou (B) fazer com que uma Entidade do Google incumpra as obrigações decorrentes da Legislação Europeia em matéria de Proteção de Dados ou as obrigações de segurança e/ou privacidade para com o Cliente ou com terceiros; ou (v) informações que o Cliente ou o auditor independente tentem acessar por qualquer motivo que não seja o cumprimento de boa-fé das obrigações do Cliente decorrentes da Legislação Europeia em matéria de Proteção de Dados.

7.Transferências de Dados

7.1 Transferências Europeias Restritas. As partes reconhecem que a Legislação Europeia em matéria de Proteção de Dados não exige as SCCs nem uma Solução de Transferência Alternativa para tratar Dados Pessoais do Cliente em um País Adequado ou para transferir Dados Pessoais do Cliente para um País Adequado. Se os Dados Pessoais do Cliente forem transferidos para qualquer outro país e a Legislação Europeia em matéria de Proteção de Dados se aplicar às transferências (“Transferências Europeias Restritas”):

(a) caso o Google adote uma Solução de Transferência Alternativa para as Transferências Europeias Restritas, o Google informará o Cliente da solução relevante e garantirá que as Transferências Europeias Restritas em questão sejam realizadas de acordo com essa mesma solução; e/ou

(b) caso o Google não tenha adotado, ou tenha informado o Cliente de que não iria mais adotar uma Solução de Transferência Alternativa para as Transferências Europeias Restritas:

(i)se o endereço do Google estiver em um País Adequado:

(A) as SCCs (Operador para Operador, Exportador do Google) serão aplicáveis relativamente a essas mesmas Transferências Europeias Restritas do Google para Sub-operadores; e

(B) além disso, se o Cliente não estiver em um País Adequado, as SCCs (Operador para Controlador) serão aplicáveis relativamente às Transferências Europeias Restritas entre o Google e o Cliente (independentemente de o Cliente ser um controlador e/ou um operador); ou

(ii) se o endereço do Google não for de um País Adequado, as SCCs (Controlador para Operador) e/ou as SCCs (Operador para Operador) serão aplicáveis (desde que o Cliente seja um controlador e/ou um operador) relativamente às Transferências Europeias Restritas em questão entre o Cliente e o Google.

7.2Informações e Medidas Complementares. O Google fornecerá ao Cliente informações relevantes para as Transferências Europeias Restritas, incluindo informações sobre medidas complementares para a proteção dos Dados Pessoais do Cliente, conforme descrito na Seção 7.5 (Verificação de Compliance), no Apêndice 2 (Medidas de Segurança) e outros materiais relativos à natureza dos Serviços de Operador e do tratamento de Dados Pessoais do Cliente (por exemplo, artigos da Central de Ajuda).

7.3Rescisão. Se o Cliente concluir, com base no seu uso atual ou pretendido dos Serviços de Operador, que a Solução de Transferência Alternativa e/ou as SCCs, conforme aplicável, não fornecem um nível de proteção adequada para os Dados Pessoais do Cliente, o Cliente poderá rescindir unilateralmente o Contrato com efeitos imediatos, mediante notificação por escrito ao Google.

7.4Uso e Certificação da Solução de Transferência Alternativa. Informações sobre o uso de, ou certificação para, Soluções de Transferência Alternativas pelo Google e/ou os Afiliadas dele podem ser encontradas em https://business.safety.google/adsdatatransfers.

8.Sub-operadores. Ao engajar qualquer Sub-operador, o Google garantirá (por um contrato escrito) que, se o tratamento de Dados Pessoais do Cliente estiver sujeito à Legislação Europeia em matéria de Proteção de Dados, o Sub-operador fica sujeito às obrigações em matéria de proteção de dados previstas nestes Termos de Tratamento de Dados (conforme disposto no Artigo 28(3) do GDPR, se aplicável).

9. Registros do Tratamento pelo Google.

O Cliente reconhece que, de acordo com o GDPR, o Google está obrigado a:

(a) coletar e manter registros de determinadas informações, incluindo: (i) o nome e os detalhes de contato de cada operador e/ou controlador em nome do qual o Google está agindo e (se aplicável) do representante local e do oficial de proteção de dados desse operador ou controlador, e (ii) a Autoridade Supervisora do Cliente, se aplicável ao abrigo das SCCs do Cliente; e

(b) disponibilizar essas informações a qualquer Autoridade Supervisora. Da mesma forma, o Cliente, quando solicitado e se aplicável, fornecerá essas informações ao Google na interface do usuário dos Serviços de Operador ou por qualquer outro meio que possa ser disponibilizado pelo Google, e usará essa interface ou tais outros meios para garantir que todas as informações fornecidas sejam mantidas corretas e atualizadas.

10. SCCs

10.1Ordem de Precedência. Em caso de qualquer conflito ou inconsistência entre as SCCs do Cliente e este Apêndice 3A, as restantes disposições destes Termos de Tratamento de Dados e/ou as restantes disposições do Contrato, as SCCs terão precedência.

10.2 Não Introdução de Alterações nas SCCs. O Contrato (incluindo estes Termos de Tratamento de Dados) não tem o objetivo de alterar ou contradizer as SCCs nem de prejudicar os direitos ou as liberdades fundamentais dos titulares dos dados previstos na Legislação Europeia em matéria de Proteção de Dados.

11.Alterações nas SCCs. O Google só pode alterar as SCCs de acordo com as seções 15.2(b) a 15.2(d) (Alterações aos Termos de Tratamento de Dados) ou para incorporar novas versões das SCCs que possam ser adotadas pela Legislação Europeia em matéria de Proteção de Dados. Em cada caso, isso só pode ser realizado de uma maneira que não afete a validade das SCCs sob a Legislação Europeia em matéria de Proteção de Dados.

PARTE B - TERMOS ADICIONAIS PARA AS LEIS ESTADUAIS DE PRIVACIDADE DOS EUA

1. Introdução

O Google pode oferecer e o Cliente pode habilitar determinadas configurações no produto, ajustes ou outras funcionalidades para os Serviços de Operador relacionados ao tratamento de dados restrito, conforme descrito na documentação de apoio disponível em business.safety.google/rdp e atualizada periodicamente (“Tratamento de Dados Restrito”). O Apêndice 3B reflete o acordo entre as partes para o tratamento de Dados Pessoais do Cliente e Dados Desidentificados (conforme definido abaixo) de acordo com o Contrato em conexão com as Leis Estaduais de Privacidade dos EUA e é vigente somente de acordo com a aplicabilidade de cada Lei Estadual de Privacidade dos EUA.

2. Definições Adicionais e Interpretação

Neste Apêndice 3B:

(a)Dados Desidentificados” significa informações de dados que foram “desidentificados”, de acordo com a definição do termo “deidentified” no CCPA e do termo “de-identified” em outras Leis Estaduais de Privacidade dos EUA, quando divulgados de uma parte para outra.

(b)Instruções de RDP” significa, coletivamente, as Instruções (conforme definidas nestes Termos de Tratamento de Dados) e as instruções do Cliente para o Google relacionadas ao tratamento de Dados Pessoais do Cliente conforme permitido pelas Leis Estaduais de Privacidade dos EUA para prestadores de serviços e operadores.

(c)Serviços de RDP” significa os Serviços de Operador sujeitos ao Tratamento de Dados Restrito (RDP, na sigla em inglês).

(d) Os termos “comercial”, “cliente”, “informações pessoais”, “venda(s)”, “vender”, “prestador de serviço” e “compartilhamento” conforme usados neste Apêndice 3B foram definidos nas Leis Estaduais de Privacidade dos EUA aplicáveis.

(e) O Cliente é o único responsável por cumprir cada uma das Leis Estaduais de Privacidade dos EUA ao usar os serviços do Google, incluindo o Tratamento de Dados Restrito.

3. Termos das Leis Estaduais de Privacidade Aplicáveis (sob o Tratamento de Dados Restrito).

3.1Em relação aos Dados Pessoais do Cliente tratados sob o Tratamento de Dados Restrito, e na medida em que uma ou mais das Leis Estaduais de Privacidade dos EUA se aplique ao tratamento de Dados Pessoais do Cliente:

3.1.1 Funções e Compliance Regulatória; Autorização.

(a)Responsabilidades do Operador e do Controlador. As partes reconhecem e concordam que:

(i)o Apêndice 1 destes Termos de Tratamento de Dados descrevem o objeto e os detalhes do tratamento de Dados Pessoais do Cliente, sujeito às seguintes modificações:

(1)todas as referências aos “Serviços de Operador” são substituídas por “Serviços de RDP”; e

(2)a seção “Tipos de dados pessoais” é substituída pelos seguintes termos: “Os Dados Pessoais do Cliente podem incluir os tipos de dados pessoais descritos nas Leis Estaduais de Privacidade dos EUA.”

(ii)o Google é um prestador de serviços e operador de Dados Pessoais do Cliente de acordo com as Leis Estaduais de Privacidade dos EUA; e

(iii)o cliente é um controlador ou operador, conforme aplicável, de Dados Pessoais do Cliente de acordo com as Leis Estaduais de Privacidade dos EUA.

(b)Clientes Operadores. Se o Cliente for um operador:

(i)O Cliente garante, de maneira contínua, que o controlador relevante autorizou: (A) as Instruções, (B) a designação do Google como outro operador por parte do Cliente e (C) o envolvimento do Google com subcontratados, conforme descrito no parágrafo 3.4 (Subcontratados) deste Apêndice 3B.

(ii) O Cliente encaminhará imediatamente ao controlador relevante qualquer notificação fornecida pelo Google de acordo com a Seção 7.2.1 (Notificação de Incidentes) destes Termos de Proteção de Dados e o parágrafo 3.4 (Subcontratados) deste Apêndice 3B.

(iii)O Cliente pode disponibilizar ao controlador relevante qualquer informação fornecida pelo Google de acordo com os parágrafos 3.2(b) (Direitos de Auditoria do Cliente) e 3.4 (Subcontratados) deste Apêndice 3B.

3.1.2Instruções do Cliente para Serviços de RDP. Ao celebrar este Apêndice 3B, e relativamente aos Serviços de RDP, o Cliente instrui o Google a tratar Dados Pessoais do Cliente apenas de acordo com as Instruções de RDP.

3.1.3 Compliance do Google com as Instruções de RDP. Em relação aos Serviços de RDP, o Google cumprirá as Instruções de RDP, exceto quando proibido pelas Leis Estaduais de Privacidade dos EUA.

3.1.4 Produtos Adicionais. Se o Cliente usar qualquer produto, serviço ou aplicativo fornecido pelo Google ou terceiros que: (a) não faça parte dos Serviços de RDP; e (b) esteja acessível para uso em uma interface do usuário dos Serviços de RDP ou integrado de outra forma aos Serviços de RDP (um “Produto Adicional”), os Serviços de RDP podem permitir que o Produto Adicional acesse os Dados Pessoais do Cliente conforme necessário para interoperação do Produto Adicional com os Serviços de RDP. Para deixar claro, o Apêndice 3B não se aplica ao tratamento de dados pessoais relacionado ao fornecimento de qualquer Produto Adicional usado pelo Cliente, incluindo os dados pessoais transmitidos para o Produto Adicional ou pelo Produto Adicional.

3.2 Segurança de dados

3.2.1Responsabilidades e Avaliação de Segurança do Cliente.

(a)Responsabilidades de Segurança do Cliente. Além das responsabilidades de segurança do Cliente descritas na Seção 7.3.1 destes Termos de Tratamento de Dados, o Cliente concorda que, sem prejuízo das obrigações do Google previstas nas Seções 7.1 (Medidas e Assistência de Segurança do Google) e 7.2 (Incidentes com Dados) destes Termos de Tratamento de Dados, o Cliente é responsável pelo próprio uso dos Serviços de RDP, incluindo: (1) pelo uso apropriado dos Serviços de RDP para garantir um nível de segurança adequado ao risco no que diz respeito aos Dados Pessoais do Cliente; e (2) pela proteção das credenciais de autenticação de contas, sistemas e dispositivos que o Cliente usa para ter acesso aos Serviços de RDP.

(b)Direitos de Auditoria do Cliente.

(i)O Cliente pode realizar uma auditoria para verificar a compliance do Google com as obrigações segundo este Apêndice 3B. Ele fará isso solicitando e analisando (1) um certificado emitido para verificação de segurança que mostre o resultado de uma auditoria por um auditor independente (por exemplo, certificação SOC 2 Tipo II ou ISO/IEC 27001 ou outra certificação similar, ou outra certificação de segurança referente a uma auditoria realizada por um auditor independente aceito pelo Cliente e pelo Google) em até 12 meses a partir da data de solicitação do Cliente e (2) qualquer outra informação que o Google determinar que é razoavelmente necessária para o Cliente verificar a compliance.

(ii)Como alternativa, o Google pode, a seu único e exclusivo critério e em resposta à solicitação do Cliente, iniciar uma auditoria independente para verificar a compliance do Google com suas obrigações listadas neste Apêndice 3B. Durante tal auditoria, o Google disponibilizará ao auditor independente todas as informações necessárias para demonstrar a compliance. Quando o Cliente solicitar esse tipo de auditoria, o Google pode cobrar uma taxa (baseada nos custos razoáveis do Google). O Google fornecerá ao Cliente mais detalhes sobre qualquer taxa aplicável e sobre a base de cálculo antes da realização da auditoria em questão. O Cliente será responsável por quaisquer taxas cobradas por um auditor independente indicado pelo Cliente para a execução da auditoria.

(iii)Nada neste Apêndice 3B requer que o Google dê acesso ou divulgue ao Cliente ou ao auditor independente:

(1)dados de outro cliente de uma Entidade do Google;

(2)informações internas financeiras ou contábeis de uma Entidade do Google;

(3)segredos comerciais de uma Entidade do Google;

(4)informações que, na opinião razoável do Google, possam: (A) comprometer a segurança dos sistemas ou instalações de qualquer Entidade do Google; ou (B) fazer com que uma Entidade do Google incumpra as obrigações decorrentes das Leis Estaduais de Privacidade dos EUA ou as obrigações de segurança e/ou privacidade para com o Cliente ou terceiros; ou

(5)informações que o Cliente ou o auditor independente tentem acessar por qualquer motivo que não seja o cumprimento de boa-fé das obrigações do Cliente decorrentes das Leis Estaduais de Privacidade dos EUA.

3.3Direitos dos Titulares dos Dados. Para o cumprimento deste Apêndice 3B, o Google obedecerá aos procedimentos listados na Seção 9 (Solicitações dos Titulares dos Dados) na medida em que tais solicitações, pedidos de ajuda ou retificações sejam aplicáveis aos Serviços de RDP.

3.4Subcontratados.

(a) O Cliente autoriza, em geral, o Google a contratar outras entidades como subcontratados para o fornecimento dos Serviços de RDP. Nessas contratações, o Google:

(i) vai garantir em um contrato escrito que: (A) o subcontratado use e acesse os Dados Pessoais do Cliente apenas para o que for necessário para executar as obrigações contratadas, seguindo o Contrato (incluindo o Apêndice 3B); e, (B) se o tratamento dos Dados Pessoais do Cliente estiver sujeito às Leis Estaduais de Privacidade dos EUA, garantir que as obrigações de proteção de dados neste Apêndice 3B sejam impostas ao subcontratado;

(ii) ao envolver novos subcontratados, o Google avisará ao Cliente sobre essas contratações e fornecerá a oportunidade de se opor às contratações, quando e onde for exigido pelas Leis Estaduais de Privacidade dos EUA; e

(iii) continuará totalmente responsável por todas as obrigações passadas ao subcontratado e por todos os atos e omissões do subcontratado.

(b) O Cliente poderá opor-se a qualquer novo subcontratado rescindindo unilateralmente o Contrato imediatamente mediante notificação por escrito ao Google, sob a condição de fornecer essa notificação em um prazo de até 90 dias após ter sido informado sobre o envolvimento do novo subcontratado, conforme descrito no parágrafo 3.4(a)(ii).

4. Termos das Leis Estaduais de Privacidade Aplicáveis

4.1 Dados Desidentificados. Em relação aos Dados Pessoais do Cliente tratados com ou sem ativação do Tratamento de Dados Restrito, e na medida em que uma ou mais das Leis Estaduais de Privacidade dos EUA se aplique ao tratamento de Dados Pessoais do Cliente, cada parte cumprirá os requisitos para o tratamento de Dados Desidentificados descritos nas Leis Estaduais de Privacidade dos EUA, respeitando todos os Dados Desidentificados recebidos da outra parte, de acordo com o Contrato. Para os propósitos deste parágrafo 4, os Dados Pessoais do Cliente são todos os dados pessoais tratados por uma das partes de acordo com este Contrato no âmbito da prestação ou do uso dos Serviços de Operador.

5. Obrigações do Google relacionadas à CCPA.

5.1Em relação aos Dados Pessoais do Cliente tratados sob o Tratamento de Dados Restrito, e na medida em que a CCPA se aplique a tal tratamento, o Google agirá como prestador de serviços do Cliente e, portanto, a menos que permitido para prestadores de serviço pela CCPA, conforme razoavelmente determinado pelo Google:

(i)o Google não venderá ou compartilhará os Dados Pessoais do Cliente que forem recebidos do Cliente e relacionados ao Contrato;

(ii)o Google não armazenará, usará ou divulgará os Dados Pessoais do Cliente (incluindo fora do relacionamento comercial direto entre o Google e o Cliente), exceto para fins comerciais provisionados na CCPA em nome do Cliente e para o propósito específico de executar os Serviços de RDP, conforme descrito na documentação de apoio disponível em business.safety.google/rdp e atualizado periodicamente;

(iii)o Google não combinará Dados Pessoais do Cliente que o Google receber do Cliente ou em nome dele com (i) informações pessoais que o Google receber de outra(s) pessoa(s) ou em nome dela(s), ou (ii) informações pessoais coletados da própria interação do Google com um cliente, conforme descrito em mais detalhes na documentação de apoio disponível em business.safety.google/rdp , exceto no limite do permitido pela CCPA;

(iv)o Google tratará esses Dados Pessoais do Cliente para a finalidade específica de realizar os Serviços de RDP, conforme descrito no Contrato e na documentação de apoio (por exemplo, artigos da Central de Ajuda) ou conforme permitido pela CCPA, e as partes concordam que o Cliente está disponibilizando os Dados Pessoais do Cliente ao Google para tais fins;

(v)o Google permitirá auditorias para verificar a compliance do Google com suas obrigações de acordo com este Apêndice 3B, conforme descrito no parágrafo 3.2.1(b) (Direitos de Auditoria do Cliente) deste Apêndice 3B;

(vi) o Google notificará o Cliente se determinar que não pode mais cumprir suas obrigações de acordo com a CCPA. Este parágrafo 5.1(vi) não reduz os direitos e as obrigações das partes dispostas em outras seções do Contrato;

(vii)se o Cliente acreditar razoavelmente que o Google está tratando Dados Pessoais do Cliente de maneira não autorizada, o Cliente tem o direito de notificar o Google sobre tal crença usando os métodos descritos em privacy.google.com/businesses/processorsupport, e as partes trabalharão juntas em boa-fé para remediar as atividades de tratamento supostamente violadoras, se necessário; e

(viii)o Google cumprirá as obrigações aplicáveis de acordo com a CCPA e fornecerá o mesmo nível de proteção de privacidade exigido pela CCPA.

5.2 Em relação aos Dados Pessoais do Cliente tratados sem a ativação do Tratamento de Dados Restrito, e na medida em que a CCPA se aplica ao tratamento de Dados Pessoais do Cliente:

(i)o Google tratará esses Dados Pessoais do Cliente para a finalidade específica de realizar os Serviços de Operador, conforme descrito no Contrato e na documentação de apoio (por exemplo, artigos da Central de Ajuda) ou conforme permitido pela CCPA, e as partes concordam que o Cliente está disponibilizando os Dados Pessoais do Cliente ao Google para tais fins;

(ii)o Google permitirá auditorias para verificar a compliance do Google com as obrigações de acordo com este Apêndice 3B, conforme descrito no parágrafo 3.2.1(b) (Direitos de Auditoria do Cliente);

(iii)o Google notificará o Cliente se determinar que não pode mais cumprir suas obrigações de acordo com a CCPA;

(iv)se o Cliente acreditar razoavelmente que o Google está tratando Dados Pessoais do Cliente de maneira não autorizada, o Cliente tem o direito de notificar o Google sobre tal crença usando os métodos descritos em privacy.google.com/businesses/processorsupport, e as partes trabalharão juntas em boa-fé para remediar as atividades de tratamento supostamente violadoras, se necessário; e

(v)o Google cumprirá as obrigações aplicáveis de acordo com a CCPA e fornecerá o mesmo nível de proteção de privacidade exigido pela CCPA.

6. Alterações no Apêndice 3B.

Além da Seção 15 dos Termos de Tratamento de Dados (Alterações nestes Termos de Tratamento de Dados), o Google pode alterar este Apêndice 3B sem aviso prévio se a alteração (a) for baseada na legislação aplicável, em regulamentos aplicáveis, numa ordem judicial ou numa orientação emitida por um órgão regulador ou agência do governo, ou (b) não tenha um impacto material adverso sobre o Cliente de acordo com as Leis Estaduais de Privacidade dos EUA, conforme determinado razoavelmente pelo Google.

Termos de Tratamento de Dados de Publicidade do Google, Versão 7.0

1º de setembro de 2023

Versões anteriores