Histórias da Seagate Blog Centro de recursos Parceiros
Seagate Legal

ACORDO DE PRIVACIDADE DE DADOS

ANEXO

Este ACORDO DE PRIVACIDADE DE DADOS, incluindo todos os anexos estabelecidos abaixo (este “DPA”), é celebrado entre a empresa Seagate nomeada no Acordo (“Seagate”) e a empresa fornecedora nomeada no Acordo (“Empresa”) (cada uma, uma “parte”, e coletivamente, as “Partes”).

 

A Empresa celebrou um ou mais pedidos de compra, contratos e/ou acordos, incluindo declarações de trabalho (o “Acordo(s)”) com a Seagate, nos termos dos quais a Empresa concordou em fornecer determinados serviços à Seagate, conforme descrito mais detalhadamente no(s) Acordo(s) (“Serviços”).

 

As Partes celebram este DPA para garantir que o Processamento, pela Empresa, das Informações Pessoais fornecidas à Empresa ou coletadas pela Empresa para a Seagate e/ou em seu nome, seja realizado de maneira compatível com a(s) Lei(s) de Proteção de Dados e seus requisitos relativos à coleta, uso e retenção de Informações Pessoais dos titulares dos dados.

Este DPA está incorporado e faz parte do(s) Contrato(s). Todas as palavras em letras maiúsculas não definidas neste DPA terão o significado determinado no(s) Contrato(s).

 

As Partes reconhecem e concordam com o seguinte:

  1. DEFINIÇÕES
    1. Afiliada” significa qualquer entidade que controla, é controlada por, ou está sob controle comum com a parte em questão.
    2. Controle” significa uma participação de propriedade, voto ou semelhante representando 50% (cinquenta por cento) ou mais do total de interesses (conforme medido em uma base completamente diluída) então em circulação da entidade em questão. O termo “Controlado” será interpretado de acordo.
    3. Violação de Privacidade de Dados” significa a destruição, perda, alteração, divulgação não autorizada, acesso ou aquisição acidental ou ilegal de Informações Pessoais da Seagate, ou qualquer outro Processamento não autorizado de Informações Pessoais da Seagate.
    4. Lei(s) de Proteção de Dados” significa todas as leis, regras e regulamentos mundiais de proteção de dados, segurança de dados e privacidade, aplicáveis ​​às Informações Pessoais em questão, incluindo, quando aplicável: (i) Lei Europeia de Proteção de Dados; (ii) todas as leis, regras e regulamentos dos Estados Unidos, incluindo as Leis de Privacidade Estaduais dos EUA, conforme alteradas, substituídas ou atualizadas de tempos em tempos; (iii) o Programa de Segurança de Dados; e (iv) padrões da indústria aplicáveis ​​e apropriados à natureza das Informações Pessoais.
    5. Programa de Segurança de Dados” ou “DSP” significa a regra do Departamento de Justiça dos Estados Unidos intitulada “Prevenção de Acesso a Dados Pessoais Sensíveis dos EUA e Dados Relacionados ao Governo por Países de Preocupação ou Pessoas Abrangidas” (28 CFR Parte 202), publicada em 8 de janeiro de 2025, implementando a Ordem Executiva 14117 de 28 de fevereiro de 2024 (Prevenção de Acesso a Dados Pessoais Sensíveis em Massa de Americanos e Dados Relacionados ao Governo dos Estados Unidos por Países de Preocupação), conforme alterada e atualizada.
    6. Lei(s) Europeia(s) de Proteção de Dados" significa todas as leis e regulamentos de proteção de dados aplicáveis à União Europeia (“UE”) ou ao Espaço Econômico Europeu (“EEE”), inclusive:
      1. o Regulamento Geral de Proteção de Dados 2016/679 (“GDPR da UE”);
      2. o RGPD da UE, tal como incorporado na legislação do Reino Unido por força da secção 3 da Lei de Retirada da União Europeia de 2018 do Reino Unido e da Lei de Proteção de Dados do Reino Unido de 2018 (o “RGPD do Reino Unido”);
      3. a Lei Federal Suíça de Proteção de Dados de 19 de junho de 1992 e suas respectivas portarias (“Lei Suíça de Proteção de Dados”);
      4. Diretiva 2002/58/EC relativa ao processamento de dados pessoais e à proteção de privacidade no setor de comunicações eletrônicas; e
      5. implementações nacionais aplicáveis ​​de (A) e (D).
    7. SCCs da UE” significa as cláusulas contratuais anexadas à Decisão de implementação 2021/914 da Comissão Europeia, de 4 de junho de 2021, sobre cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros conforme o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho.
    8. Informação Pessoal” significa qualquer informação que identifique ou se relacione com uma pessoa singular identificada ou identificável, incluindo informações associadas a dispositivos ou identificadores online, e qualquer informação definida como “dados pessoais”, “informações pessoalmente identificáveis” ou um termo semelhante nas Leis de Proteção de Dados aplicáveis.
    9. Processamento” ou “Processar” significa, sem limitação, operações realizadas em Informações Pessoais da Seagate, por meios automatizados ou não, tais como coletar, registrar, organizar, estruturar, alterar, usar, acessar, divulgar, disseminar, copiar, transferir, armazenar ou reter de outra forma, excluir, alinhar, combinar, restringir, adaptar, recuperar, consultar, destruir ou descartar Informações Pessoais.
    10. Transferência Restrita” significa:
      1. Nos casos em que se aplica o RGPD da UE, trata-se de uma transferência de Informações Pessoais do EEE para um país fora do EEE que não esteja sujeito a uma determinação de adequação por parte da Comissão Europeia;
      2. onde se aplica o RGPD do Reino Unido, uma transferência de Informações Pessoais do Reino Unido para qualquer outro país que não esteja sujeito ou baseado em regulamentos de adequação nos termos da Seção 17A da Lei de Proteção de Dados do Reino Unido de 2018; e
      3. Nos casos em que se aplica a Lei Suíça de Proteção de Dados, considera-se ilegal a transferência de Informações Pessoais da Suíça para qualquer outro país que não seja baseada em uma decisão de adequação reconhecida pela legislação suíça de proteção de dados.
    11. Informações Pessoais da Seagate” significa qualquer Informação Pessoal que seja criada, detida ou fornecida pela Seagate ou para a Seagate, e que a Empresa tenha acesso, obtenha, use, mantenha ou processe em nome da Seagate em conexão com quaisquer Acordos entre as Partes e/ou suas Afiliadas.
    12. Informações Sensíveis” significa qualquer Informação Pessoal da Seagate que seja classificada como sensível de acordo com as Leis de Proteção de Dados aplicáveis, incluindo: (i) números de identificação emitidos pelo governo (como números de segurança social, passaporte, identificação fiscal e carteira de motorista); (ii) detalhes de contas financeiras ou cartões de pagamento, com ou sem código ou senha que permitam o acesso à conta ou ao histórico de crédito; (iii) informações de saúde, genéticas ou biométricas; (iv) informações que revelem raça, etnia, religião, orientação sexual ou vida sexual, crenças políticas ou filosóficas ou filiação sindical; (v) verificação de antecedentes ou registros judiciais, incluindo registros criminais ou informações sobre outros processos judiciais ou administrativos; e (vi) quaisquer informações designadas como "informações pessoais sensíveis", "dados pessoais sensíveis", "dados sensíveis" ou "categorias especiais de dados" de acordo com as Leis de Proteção de Dados aplicáveis, incluindo o GDPR da UE, o GDPR do Reino Unido e a DPA suíça.
    13. Cláusulas Padrão” significa (conforme aplicável) as Cláusulas Padrão da UE, o Adendo do Reino Unido e as modificações suíças estabelecidas na Seção 4.1 (Cláusulas Padrão do Espaço Econômico Europeu, Reino Unido e Suíça) deste DPA.
    14. Subprocessador” significa quaisquer terceiros envolvidos pela Seagate ou por qualquer outro Subprocessador que terá acesso, receberá ou Processará quaisquer Informações Pessoais da Seagate.
    15. “Autoridade Supervisora” significa qualquer agência regulatória, supervisora, governamental, estatal, Procurador Geral ou outra autoridade competente com jurisdição ou supervisão sobre o cumprimento das Leis de Proteção de Dados.
    16. Pessoal da Empresa” significa qualquer funcionário, contratado, prestador de serviços, fornecedor, subcontratado ou agente da Empresa que a Empresa autorize a processar informações pessoais da Seagate.
    17. Adendo do Reino Unido” significa o Adendo de Transferência Internacional de Dados (versão B1.0) emitido pelo Gabinete do Comissário de Informação ao abrigo da Secção 119(A) da Lei de Proteção de Dados do Reino Unido de 2018, conforme atualizado ou alterado de tempos em tempos.
    18. Leis de Privacidade do Estado dos EUA” significa todas as leis, regras e regulamentos aplicáveis ​​de privacidade de dados, proteção de dados e segurança cibernética aos quais as Informações Pessoais da Seagate estão sujeitas.
    19. Os termos “Controlador”, “Titular dos Dados”, “Processador”, “Empresa”, “Coleta”, “Consumidor”, “Compartilhamento”, “Venda”, “Vender”, “Autoridade Supervisora” e “Prestador de Serviços” terão os significados que lhes são atribuídos pelas Leis de Proteção de Dados.
    20. Os termos “Dados Pessoais Sensíveis dos EUA em Massa”, “País de Interesse”, “Transação de Dados Abrangidos”, “Pessoa Abrangida”, “Corretagem de Dados”, “Contrato de Trabalho”, “Pessoa Estrangeira”, “Dados Relacionados ao Governo”, “Contrato de Investimento”, “Requisitos de Segurança”, “Transação” e “Contrato de Fornecedor” terão os significados que lhes são atribuídos pelo DSP.
    21. A palavra “incluir” será interpretada como inclusão sem limitação, e os termos relacionados serão interpretados de acordo.
  2. PROTEÇÃO E SEGURANÇA DE DADOS
    1. Status das Partes. Com relação às Informações Pessoais da Seagate, as Partes reconhecem e concordam que a Empresa processará tais Informações Pessoais como Processadora, em nome da Seagate. A Empresa fica, por meio deste instrumento, instruída a processar as Informações Pessoais na medida necessária para prestar os Serviços conforme estabelecido no(s) Contrato(s) e neste DPA.
    2. CCPARoles. Para os fins da Lei de Privacidade do Consumidor da Califórnia de 2018 (Código Civil da Califórnia §§ 1798.100 et seq (“CCPA”), conforme alterada pela Lei de Direitos de Privacidade da Califórnia (“CPRA”) (quando aplicável)), a Empresa deverá processar informações pessoais como um provedor de serviços agindo sob instruções da Seagate como uma empresa.
    3. Não divulgação de informações pessoais da Seagate. A Empresa não divulgará as informações pessoais da Seagate de nenhuma forma ou para qualquer finalidade a terceiros sem obter autorização prévia por escrito da Seagate, exceto para divulgações a subprocessadores de acordo comSeção 2.5 (Requisitos de Processamento)Sem prejuízo do disposto anteriormente, em hipótese alguma a Empresa poderá vender ou divulgar Informações Pessoais da Seagate a terceiros para benefício comercial da Empresa ou de terceiros. Qualquer pessoa autorizada a processar Informações Pessoais da Seagate deverá concordar contratualmente em manter a confidencialidade de tais informações ou estar sujeita a uma obrigação legal de confidencialidade.
    4. Limitações ao Processamento. A Empresa somente processará as Informações Pessoais da Seagate para fins de prestação dos Serviços à Seagate, nos termos do(s) Contrato(s) e de acordo com as instruções legais documentadas da Seagate (“Finalidades Permitidas”). Para esses fins, a Seagate instrui a Empresa a processar as Informações Pessoais da Seagate para os fins descritos emParte VB (DESCRIÇÃO DA TRANSFERÊNCIA)deAnexo I (Descrição do Processamento de Dados)A Empresa não deverá processar ou permitir o processamento de Informações Pessoais da Seagate, exceto quando necessário para prestar serviços à Seagate de acordo com qualquer Contrato entre as Partes e/ou suas Afiliadas ou outras instruções escritas da Seagate.
    5. Requisitos de Processamento. A empresa deverá, em todos os momentos: (a) Processar as Informações Pessoais da Seagate exclusivamente para os Fins Permitidos; e (b) não processar as Informações Pessoais da Seagate para seus próprios fins ou para fins de terceiros. A Empresa não deverá: (i) Vender ou compartilhar informações pessoais da Seagate; (ii) reter, usar ou divulgar informações pessoais da Seagate para quaisquer fins que não sejam os fins permitidos, incluindo reter, usar ou divulgar informações pessoais da Seagate para fins comerciais que não sejam a prestação dos serviços previstos no(s) Contrato(s); ou (iii) reter, usar ou divulgar informações pessoais da Seagate fora da relação comercial direta entre a Seagate e a Empresa. A Empresa deverá notificar a Seagate caso não possa mais cumprir suas obrigações nos termos da CCPA/CPRA. A Empresa certifica que compreende e cumprirá os requisitos e restrições estabelecidos neste documento.Seção 2e cumprirá integralmente os requisitos aplicáveis ​​aos Prestadores de Serviços sob a CCPA/CPRA. Além disso, as Partes reconhecem e concordam que a troca de Informações Pessoais entre elas não constitui uma Venda, nem faz parte de qualquer contraprestação monetária ou outra contraprestação valiosa trocada entre as Partes com relação ao(s) Contrato(s) ou a este DPA. Em todos os casos, a Empresa não combinará as Informações Pessoais da Seagate recebidas da Seagate com as Informações Pessoais que a Empresa recebe de, ou em nome de, outra(s) pessoa(s), ou que a Empresa coleta de qualquer interação entre ela e um Consumidor. Tanto a Seagate quanto a Empresa declaram que leram e compreenderam os requisitos estabelecidos pela CCPA/CPRA.
    6. Programa de Segurança da Informação. A Empresa implementará, manterá, monitorará e, quando necessário, atualizará um programa abrangente de segurança da informação por escrito que contenha salvaguardas administrativas, técnicas e físicas apropriadas para proteger as Informações Pessoais da Seagate contra ameaças ou riscos previstos à sua segurança, confidencialidade ou integridade (como acesso, coleta, uso, cópia, modificação, descarte ou divulgação não autorizados, perda, destruição, aquisição ou dano não autorizados, ilegais ou acidentais ou qualquer outra forma não autorizada de Processamento) (“Programa de Segurança da Informação”). O Programa de Segurança da Informação incluirá os requisitos e medidas listados nas normas de segurança anexas.Anexo II (Normas de Segurança).
    7. Restrições aos Subprocessadores. A Empresa poderá divulgar as Informações Pessoais da Seagate aos Subprocessadores, conforme necessário para a prestação de seus serviços à Seagate, sujeitas às condições estabelecidas neste documento.Seção 2.7A Empresa deverá manter uma lista dos Subprocessadores aos quais divulga as Informações Pessoais da Seagate e fornecerá essa lista à Seagate mediante solicitação desta. A partir da data de vigência do(s) Contrato(s), se aplicável, uma lista atualizada dos Subprocessadores da Empresa estará incluída no(s) Contrato(s) ou em qualquer outro documento fornecido pela Empresa à Seagate e assinado por ambas as Partes, contendo a lista de Subprocessadores. A Empresa deverá notificar a Seagate pelo endereço de e-mail [email protected] com pelo menos 30 dias úteis de antecedência da inclusão de qualquer Subprocessador na lista. Caso a Seagate não apresente objeção ao Subprocessador proposto dentro de 30 dias úteis após o recebimento da notificação, o Subprocessador será considerado aprovado. Caso a Seagate se oponha ao acesso de qualquer Subprocessador às Informações Pessoais da Seagate, a Empresa não divulgará as Informações Pessoais da Seagate ao Subprocessador. Se, a qualquer momento, qualquer uma das partes constatar que um Subprocessador não está fornecendo garantias de segurança suficientes e adequadas ao risco associado às Informações Pessoais da Seagate que estão sendo processadas, a Seagate poderá, a seu exclusivo critério, remover o Subprocessador da lista. Caso um Subprocessador seja contestado ou removido pela Seagate, a Empresa terá um prazo razoável para substituí-lo. Se a Empresa não puder prestar os Serviços sem divulgar as Informações Pessoais da Seagate ao Subprocessador, a Seagate poderá rescindir qualquer Contrato aplicável entre as Partes e/ou suas Afiliadas, sem custos ou responsabilidades para a Empresa.
    8. Conformidade e Violação por Subprocessadores. O uso de Subprocessadores pela Empresa não reduz a obrigação da Empresa de cumprir este DPA ou as Leis de Proteção de Dados aplicáveis. A Empresa será responsável perante a Seagate pela prestação dos serviços, pelas Violações de Privacidade de Dados e pelas violações deste DPA e das Leis de Proteção de Dados aplicáveis ​​por seus Subprocessadores, na mesma medida em que seria responsável se a Empresa tivesse violado as mesmas.
    9. Obrigações do Pessoal da Empresa e Subcontratados. A Empresa deverá garantir que qualquer pessoa ou Subprocessador que tiver acesso a Informações Pessoais da Seagate celebre um acordo por escrito contendo termos pelo menos tão restritivos quanto os deste DPA. A Empresa garantirá que todas as obrigações de proteção de dados e privacidade continuem após seu Processamento para a Seagate terminar. Essa obrigação continuará perpetuamente, ou alternativamente, pelo menos até a Empresa certificar que todas as Informações Pessoais da Seagate tenham sido excluídas, destruídas ou são irrecuperáveis.
    10. Acesso Limitado. Acesso Limitado. A Empresa limitará o acesso às Informações Pessoais da Seagate ao Pessoal da Empresa ou Subprocessadores que necessitem de acesso para que a Empresa cumpra suas obrigações sob qualquer Contrato entre as Partes e/ou suas Afiliadas ou instruções escritas da Seagate, que: (a) tenham sido treinados em requisitos de proteção e segurança de dados; e (b) tenham concordado em cumprir requisitos de confidencialidade de dados pelo menos tão restritivos quanto aqueles exigidos pela Seagate durante e após o seu Processamento para a Seagate.
    11. Notificação de Solicitações ou Reclamações. Salvo proibição legal, a Empresa deverá notificar a Seagate em [email protected] no prazo de dois dias úteis após o recebimento de qualquer solicitação ou reclamação relacionada ao Processamento de Informações Pessoais da Seagate, incluindo:
      1. solicitações de um titular de dados para portabilidade de dados e solicitações para acessar, alterar, excluir ou restringir, e solicitações semelhantes; ou
      2. reclamações ou alegações de que o Processamento infringe os direitos de um Titular de Dados.
    12. Respostas da Empresa. A Empresa não responderá a qualquer solicitação ou reclamação sobSeção 2.11 (Notificação de Solicitações ou Reclamações)A menos que expressamente autorizada pela Seagate, a Empresa cooperará com a Seagate em relação a qualquer ação tomada referente a qualquer solicitação ou reclamação, incluindo, sem limitação, solicitações de exclusão. A Empresa buscará implementar processos adequados (incluindo medidas técnicas e organizacionais) para auxiliar a Seagate a responder a solicitações ou reclamações, a menos que seja proibido por lei.
    13. Solicitações de divulgação. A menos que seja proibido por lei, a Empresa notificará a Seagate imediatamente se receber qualquer documento solicitando ou exigindo a divulgação de Informações Pessoais da Seagate (como perguntas orais, interrogatórios, solicitações de informações ou documentos em processos judiciais, intimações, exigências investigativas civis ou outras solicitações ou processos semelhantes; coletivamente, “Solicitações de divulgação”). Se uma Solicitação de divulgação não for compulsória, a Empresa não responderá. Se uma Solicitação de divulgação for compulsória, a Empresa irá notificar a Seagate, a menos que seja proibido pela lei cabível, pelo menos 48 horas antes de responder, para que a Seagate possa exercer seus direitos para impedir ou limitar a divulgação. A Empresa tomará medidas razoáveis para impedir e limitar qualquer divulgação e preservar a confidencialidade das Informações Pessoais da Seagate. A empresa deverá cooperar com a Seagate em relação a qualquer ação tomada em resposta a uma Solicitação de Divulgação, incluindo a cooperação para obter uma ordem de proteção adequada ou outra garantia para proteger a confidencialidade das Informações Pessoais da Seagate.
    14. Cooperação. A Empresa auxiliará a Seagate no cumprimento de suas obrigações sob as Leis de Proteção de Dados no que diz respeito a: (a) registro e notificação; (b) responsabilidade; (c) garantia da segurança das Informações Pessoais da Seagate; e (d) cumprimento das avaliações de impacto sobre privacidade e proteção de dados (incluindo auditorias e avaliações de risco sob as Leis de Proteção de Dados) e consultas relacionadas às Autoridades de Supervisão.
    15. Participação em investigações regulatórias. A Empresa assistirá e apoiará a Seagate em qualquer investigação por qualquer Autoridade supervisora na medida em que a investigação for relacionada a Informações Pessoais da Seagate processadas pela Empresa ou Subprocessador da Empresa.
    16. Notificação de possíveis violações ou incapacidade de conformidade. A Empresa notificará a Seagate imediatamente se:
      1. A Empresa tiver motivos para crer que quaisquer instruções da Seagate com relação ao Processamento de Informações Pessoais da Seagate violaria a lei cabível;
      2. A Empresa tiver motivos para crer que não é capaz de cumprir suas obrigações de acordo com este DPA ou as Leis de Proteção de Dados e não pode remediar sua incapacidade de conformidade em um período de tempo razoável; ou
      3. A Empresa ficar ciente de quaisquer circunstâncias ou alterações na lei cabível que possam impedi-la de cumprir suas obrigações de acordo com este DPA.
    17. Suspensão ou Ajustes para Conformidade. A Seagate poderá suspender o Processamento de Informações Pessoais da Seagate pela Empresa ou por seus Subprocessadores para prevenir potenciais violações ou descumprimento da legislação aplicável, deste DPA ou de qualquer(is) Contrato(s) aplicável(eis) entre as Partes e/ou suas Afiliadas relacionado(s) à privacidade ou proteção de dados. A Empresa deverá cooperar com a Seagate para ajustar o Processamento a fim de remediar qualquer potencial violação ou descumprimento. Caso o ajuste não seja possível, a Seagate poderá rescindir qualquer Contrato aplicável entre as Partes e/ou suas Afiliadas, sem custos ou responsabilidades para com a Empresa.
  3. PROGRAMA DE SEGURANÇA DE DADOS
    1. Conformidade com o DSP. A empresa reconhece que certas Informações Pessoais da Seagate podem constituir Dados Pessoais Sensíveis em Massa dos EUA ou Dados Relacionados ao Governo, sujeitos ao DSP. A empresa declara e garante que cumprirá o DSP na medida em que for aplicável ao seu Processamento de Informações Pessoais da Seagate, incluindo todas as restrições aplicáveis ​​ao acesso, transferência e uso de tais dados, e processará as Informações Pessoais da Seagate exclusivamente de acordo com este DPA. Nada neste DPA permite que a Empresa se envolva em qualquer Processamento ou transferência que seja proibida pelo DSP.
    2. Transações Proibidas. A Empresa não deverá se envolver em corretagem de dados envolvendo grandes volumes de Dados Pessoais Sensíveis dos EUA ou Dados Relacionados ao Governo, quando tal corretagem de dados for proibida pelo DSP, incluindo transações que resultariam em acesso por um País de Preocupação ou Pessoa Abrangida. Esta restrição se aplica independentemente de anonimização, pseudonimização, criptografia ou outras salvaguardas técnicas.
    3. Transações Restritas. Na medida em que a prestação dos Serviços pela Empresa possa envolver um Contrato de Fornecedor, Contrato de Trabalho ou Contrato de Investimento que possa resultar no acesso a Dados Pessoais Sensíveis dos EUA em Massa ou Dados Relacionados ao Governo por uma Pessoa Abrangida ou um País de Preocupação, a Empresa deverá: (a) notificar a Seagate com antecedência; (b) obter a aprovação prévia por escrito da Seagate; e (c) implementar todos os Requisitos de Segurança aplicáveis ​​sob o DSP, além dos Padrões de Segurança neste DPA ou outros requisitos de segurança acordados entre as partes.
    4. Governança e Obrigações Contínuas. A Empresa deverá notificar imediatamente a Seagate caso tome conhecimento de qualquer alteração nas circunstâncias que possa impactar a conformidade com o DSP, incluindo mudanças na propriedade, controle, subcontratação ou acesso geográfico. A Seagate poderá suspender ou restringir o acesso aos dados afetados, quando necessário, para tratar de questões de conformidade com o DSP. O não cumprimento desta obrigação implica em sanções ou penalidades decorrentes do descumprimento desta obrigação.Seção 3constitui uma violação material deste DPA e pode também constituir uma violação do Programa de Segurança de Dados.
  4. TRANSFERÊNCIAS DE DADOS
    1. Cláusulas padrão do Espaço Econômico Europeu, Reino Unido e Suíça.
      1. As Partes concordam que, nos casos em que a transferência de Informações Pessoais da Seagate para a Empresa for considerada uma Transferência Restrita, estará sujeita às Cláusulas Padrão aplicáveis, as quais são automaticamente incorporadas por referência e fazem parte integrante deste DPA, conforme descrito abaixo:
        1. em relação às Informações Pessoais da Seagate que são protegidas pelo GDPR da UE, as SCCs da UE se aplicarão da seguinte forma:
          1. a Seagate será a exportadora de dados e a Empresa será a importadora de dados;
          2. Será aplicado o “Módulo Dois (C2P)”;
          3. na Cláusula 7, a cláusula de ancoragem opcional se aplicará;
          4. Na Cláusula 9 do “Módulo Dois (C2P)”, a “Opção 2” será aplicada, e o período para notificação prévia de alterações de Subprocessadores será conforme estabelecido em 2.7 (Restrições aos Subprocessadores) deste DPA;
          5. Na cláusula 11, a linguagem opcional não se aplicará;
          6. na Cláusula 17;
            1. Para o “Módulo Dois (C2P)”, será aplicada a “Opção 1”, e
            2. as SCCs da UE serão regidas pela lei irlandesa;
          7. na Cláusula 18(b), as disputas serão resolvidas pelos tribunais da Irlanda;
          8. O Anexo I das Cláusulas Contratuais Padrão da UE considera-se completo com as informações nele contidas.Anexo I(Descrição do Processamento de Dados) para este DPA; e
          9. O Anexo II das Cláusulas Contratuais Padrão da UE considera-se completo com as informações nele contidas.Anexo II(Normas de segurança) para este DPA.
        2. Em relação aos dados protegidos pelo RGPD do Reino Unido, as Cláusulas Contratuais Padrão da UE: (i) serão aplicáveis ​​conforme preenchidas de acordo comSeção 4.1Baacima; e (ii) será considerado alterado conforme especificado no Adendo do Reino Unido, que será considerado executado pelas Partes e incorporado e fará parte integrante deste DPA. Qualquer conflito entre os termos das Cláusulas Contratuais Padrão da UE e o Adendo do Reino Unido será resolvido de acordo com a Seção 10 e a Seção 11 do Adendo do Reino Unido. Além disso, as tabelas 1 a 3 da Parte 1 do Adendo do Reino Unido serão preenchidas respectivamente com as informações estabelecidas emAnexo I(Descrição do Processamento de Dados) eII (Normas de Segurança)O presente DPA e a tabela 4 da Parte 1 serão considerados preenchidos caso nenhuma das partes seja selecionada.
        3. Em relação às Informações Pessoais da Seagate que são protegidas pela Autoridade Suíça de Proteção de Dados, aplicam-se as Cláusulas Contratuais Padrão da UE, conforme implementadas em conformidade comSeção 4.1BaO disposto acima será aplicável desde que:
          1. As referências nas Cláusulas Contratuais Padrão da UE ao Regulamento (UE) 2016/679 ou ao [RGPD da UE] devem ser interpretadas como referências à Lei Federal Suíça sobre Proteção de Dados (“FADP”);
          2. As referências a “direito da UE”, “direito da União” e “direito dos Estados-Membros” devem ser interpretadas como referências à Suíça e ao direito suíço, conforme o caso;
          3. O termo “Estado-Membro” não deve ser interpretado de forma a excluir os titulares de dados na Suíça da possibilidade de exercerem os seus direitos no seu local de residência habitual (Suíça);
          4. As cláusulas SCC da UE devem ser interpretadas como protegendo os dados de pessoas jurídicas até a entrada em vigor da FADP revisada; e
          5. As referências à autoridade supervisora ​​competente e aos tribunais competentes devem ser interpretadas como referências ao Comissário Federal Suíço para a Proteção de Dados e Informação e aos tribunais competentes na Suíça.
        4. Caso qualquer disposição deste DPA ou do(s) Contrato(s) contrariar, direta ou indiretamente, as Cláusulas Padrão, as Cláusulas Padrão prevalecerão.
        5. A Empresa garantirá que quaisquer Subprocessadores também executem as Cláusulas Padrão, onde aplicável.
      2. Mecanismos Alternativos de Transferência: Na medida em que a Empresa adote um mecanismo alternativo de exportação de dados não descrito neste DPA (incluindo qualquer nova versão ou sucessor das Cláusulas Padrão adotadas em conformidade com a legislação europeia de proteção de dados aplicável) para a transferência de Informações Pessoais (“Mecanismo Alternativo de Transferência”), o Mecanismo Alternativo de Transferência será aplicado em vez de qualquer mecanismo de transferência aplicável descrito neste DPA (mas apenas na medida em que tal Mecanismo Alternativo de Transferência: (i) esteja em conformidade com a legislação europeia de proteção de dados; (ii) se estenda aos territórios para os quais as Informações Pessoais são transferidas; (iii) satisfaça as considerações de notificação abaixo; e (iv) a Empresa execute outros documentos e tome outras medidas que sejam razoavelmente necessárias para dar efeito jurídico a tal (Mecanismo Alternativo de Transferência). Além disso, se e na medida em que um tribunal de jurisdição competente ou uma autoridade supervisora ​​com poder vinculativo ordenar ou determinar (por qualquer motivo) que as medidas descritas neste DPA não podem ser consideradas válidas para a transferência lícita de dados. Ao aceitar tais Informações Pessoais da Seagate, a Seagate reconhece e concorda que, sujeita às considerações de notificação descritas abaixo, a Empresa poderá implementar quaisquer medidas ou salvaguardas adicionais que sejam razoavelmente necessárias para permitir a transferência legal de tais Informações Pessoais da Seagate. As considerações de notificação exigem que a Empresa notifique a Seagate pelo endereço de e-mail [email protected] com pelo menos 30 dias úteis de antecedência à implementação de Mecanismos Alternativos de Transferência ou quaisquer medidas adicionais. Caso a Seagate não apresente objeção ao Mecanismo Alternativo de Transferência ou às medidas adicionais propostas dentro de 30 dias úteis após o recebimento da notificação, o Mecanismo Alternativo de Transferência ou as medidas adicionais serão considerados aprovados. Caso a Seagate apresente objeção a qualquer Mecanismo Alternativo de Transferência ou medida adicional, a Empresa não deverá utilizar tais Mecanismos Alternativos de Transferência ou quaisquer medidas adicionais. Caso um Mecanismo Alternativo de Transferência ou medida adicional seja contestado pela Seagate, esta, a seu exclusivo critério, poderá rescindir qualquer Contrato aplicável entre as Partes e/ou suas Afiliadas sem qualquer custo ou responsabilidade para com a Empresa.
      3. Transferências para fora de países com requisitos de exportação de dados. Se alguma Lei de Proteção de Dados exigir que sejam tomadas medidas adicionais em relação a qualquer restrição de exportação de dados aplicável para permitir a transferência de Informações Pessoais da Seagate para a Empresa (incluindo seus Subprocessadores), a Empresa cumprirá tais requisitos de proteção de dados, incluindo a obtenção dos consentimentos necessários ou a execução de quaisquer contratos de transferência de dados aplicáveis ​​(por exemplo, cláusulas contratuais padrão) ou uma solução alternativa para garantir que as salvaguardas apropriadas estejam em vigor para tal transferência.
    2. Outras Disposições Jurisdicionais. Quando aplicável, a Empresa deverá cumprir os requisitos para jurisdições específicas, anexados comoAnexo III(Requisitos de privacidade de dados para jurisdições específicas).
  5. CONFORMIDADE E RESPONSABILIDADE
    1. Conformidade. A Empresa deverá assegurar que o Processamento de Informações Pessoais da Seagate pela Empresa e seus Subprocessadores esteja em conformidade com todas as leis aplicáveis, estruturas de autorregulamentação e requisitos contratuais aplicáveis ​​à Empresa e aos Subprocessadores, incluindo todas as Leis de Proteção de Dados aplicáveis. A Empresa deverá revisar anualmente as práticas da Empresa e de seus Subprocessadores para garantir que estejam em conformidade com este DPA e com todas as Leis de Proteção de Dados aplicáveis. A Empresa deverá cooperar, às suas próprias custas, com as solicitações da Seagate para que a Empresa demonstre conformidade com os termos de proteção e segurança de dados mencionados neste DPA.
    2. Registros de Atividades de Processamento. A Empresa manterá um registro atualizado dos dados do representante e do encarregado de proteção de dados da Empresa, das categorias de atividades de processamento realizadas, das informações relativas à transferência internacional de dados, de uma descrição geral das medidas de segurança implementadas em relação aos dados processados, do nome, contato e detalhes de processamento de cada Subprocessador de Informações Pessoais da Seagate e, quando aplicável, do representante e do encarregado de proteção de dados de qualquer Subprocessador. Mediante solicitação, a Empresa fornecerá uma cópia histórica e atual deste registro à Seagate ou à Autoridade Supervisora.
    3. Auditoria. A Empresa deverá disponibilizar à Seagate, mediante solicitação por escrito, todas as informações necessárias para demonstrar a conformidade com este DPA e com as Leis de Proteção de Dados, e deverá permitir e contribuir para auditorias, incluindo inspeções no local, realizadas pela Seagate ou por uma auditoria independente de terceiros, ou ainda por ordem da Seagate, em relação ao Processamento de Informações Pessoais da Seagate. Qualquer auditor independente terceirizado deverá celebrar um acordo de confidencialidade com as Partes. A Empresa remediará qualquer não conformidade em um período de tempo razoável. Caso a remediação não seja possível, a Seagate poderá rescindir qualquer Contrato aplicável entre as Partes e/ou suas Afiliadas, sem custos ou responsabilidades para com a Empresa.
  6. RESPONSABILIDADES DA EMPRESA APÓS UMA VIOLAÇÃO DE PRIVACIDADE DE DADOS
    1. Notificação de Violação de privacidade de dados. A Empresa notificará a Seagate por escrito sobre uma Violação de Privacidade de Dados conhecida ou suspeita imediatamente, e de qualquer forma, até 24 horas após saber da possível Violação de Privacidade de Dados e, imediatamente:
      1. notificará a Seagate em [email protected] sobre a Violação de Privacidade de Dados;
      2. investigará ou fornecerá a assistência necessária na investigação da Violação de Privacidade de Dados;
      3. fornecerá à Seagate informações detalhadas sobre a Violação de Privacidade de Dados, inclusive, sem limitação, as categorias, o local e o número aproximado de Titulares de Dados afetados, e as categorias, o local e o número aproximado de registros de Informações Pessoais da Seagate, e continuará fornecendo imediatamente, à Seagate, informações adicionais sobre a Violação de Privacidade de Dados, à medida que estiverem disponíveis;
      4. tomará todas as medidas comercialmente razoáveis para mitigar os efeitos da Violação de Privacidade de Dados, ou assistirá a Seagate nesse sentido; e
      5. implementará um plano de remediação, sujeito à aprovação da Seagate, e monitorará a resolução de Violações de Privacidade de Dados e vulnerabilidades relacionadas a Informações Pessoais da Seagate, para garantir que a ação corretiva apropriada seja realizada em tempo hábil.
    2. Contenção e remediação. A Empresa conterá e remediará, imediatamente, qualquer Violação de Privacidade de Dados e evitar qualquer outra Violação de Privacidade de Dados; e a Empresa tomará todas as medidas necessárias para cumprir as Leis de Proteção de Dados e padrões do setor cabíveis para conter e remediar a Violação de Privacidade de Dados.
    3. Comunicações. A Empresa não publicará quaisquer comunicações relacionadas a uma Violação de Privacidade de Dados de maneira que seja possível identificar ou revelar a identidade da Seagate, sem a aprovação prévia da Seagate.
    4. Preservação de prova. A Empresa manterá um plano de resposta a incidentes. Após a descoberta de uma Violação de Privacidade de Dados, a Empresa preservará a prova relacionada à violação e manterá uma clara cadeia de comandos de acordo com seu plano de resposta ao incidente.
    5. Cooperação. A Empresa cooperará com a Seagate em qualquer litígio, investigação ou outra medida que a Seagate precisar tomar para proteger os direitos da Seagate com relação ao uso, divulgação, proteção e manutenção de Informações Pessoais da Seagate. A Empresa também concorda em prestar assistência razoável e cooperação solicitada pela Seagate e/ou pelos representantes designados da Seagate, para o avanço de qualquer correção, remediação ou investigação de qualquer Violação de privacidade de dados e/ou a mitigação de qualquer possível dano, inclusive qualquer notificação que a Seagate possa determinar apropriada para enviar aos Titulares de Dados afetados, reguladores ou terceiros, e/ou o fornecimento de qualquer serviço de comunicação de crédito que a Seagate considere apropriado para enviar aos Titulares de Dados afetados. A Empresa será responsável pelas despesas razoáveis da Seagate relacionadas a uma Violação de Privacidade de Dados, inclusive, entre outras, despesas com investigação, remediação e notificação.
  7. DEVOLUÇÃO E EXCLUSÃO SEGURA DE INFORMAÇÕES PESSOAIS DA SEAGATE
    1. Integridade dos Dados. A Empresa deverá cumprir todas as instruções da Seagate para manter a integridade dos dados, incluindo: (a) descartar as Informações Pessoais da Seagate que são mantidas pela Empresa, mas que não são mais necessárias para fornecer os Serviços, a menos que a retenção das Informações Pessoais da Seagate seja exigida pelas Leis de Proteção de Dados; (b) garantir que quaisquer Informações Pessoais da Seagate criadas pela Empresa em nome da Seagate sejam precisas e mantidas atualizadas; e (c) mediante solicitação da Seagate, permitir que a Seagate acesse quaisquer Informações Pessoais da Seagate, tudo de acordo com as leis aplicáveis.
    2. Devolução e Exclusão de Informações Pessoais da Seagate. Na data que ocorrer primeiro entre: (a) solicitação da Seagate; ou (b) expiração ou rescisão antecipada do(s) Contrato(s) entre as Partes e/ou suas Afiliadas relacionado(s) ao Processamento de Informações Pessoais da Seagate, a Empresa, sob instrução da Seagate, deverá, e deverá instruir seus Subprocessadores a, exportar as Informações Pessoais da Seagate ou fornecer à Seagate, ou a seu terceiro designado, a capacidade de exportar todas as Informações Pessoais da Seagate em um formato legível por máquina e interoperável determinado pela Seagate, a menos que a retenção das Informações Pessoais da Seagate seja exigida pelas Leis de Proteção de Dados. A Empresa deverá manter as Informações Pessoais da Seagate pelo tempo que a Seagate determinar ser razoavelmente necessário para permitir que a Seagate acesse e exporte integralmente as Informações Pessoais da Seagate, sem custos para a Seagate. Cada parte deverá identificar uma pessoa de contato para migrar as Informações Pessoais da Seagate e deverá trabalhar de forma rápida, diligente e de boa-fé para facilitar uma transferência oportuna. Dentro de 90 dias após a Seagate: (a) confirmar que as Informações Pessoais da Seagate foram recebidas e migradas corretamente; ou (b) informar a Empresa sobre sua opção de não migrar as Informações Pessoais da Seagate, a Empresa e os Subprocessadores deverão destruir com segurança todas as Informações Pessoais da Seagate, desvincular os identificadores do espaço de trabalho da Seagate e sobrescrevê-las com novos dados ou destruí-las de outra forma por meio de um método de higienização aprovado.
    3. Destruição de Informações Pessoais da Seagate. Se a Empresa descartar qualquer registro em papel, eletrônico ou de outra natureza que contenha Informações Pessoais da Seagate, a Empresa o fará tomando todas as medidas razoáveis ​​(com base na sensibilidade das Informações Pessoais da Seagate) para destruir as Informações Pessoais da Seagate, a menos que a retenção das Informações Pessoais da Seagate seja exigida pelas Leis de Proteção de Dados, por meio de: (a) trituração; (b) apagamento e exclusão permanentes; (c) desmagnetização; ou (d) qualquer outra modificação das Informações Pessoais da Seagate nesses registros para torná-las ilegíveis, irrecuperáveis ​​e indecifráveis. Caso a Empresa desative ou descarte um disco rígido que contenha uma cópia das Informações Pessoais da Seagate, a Empresa deverá triturar ou destruir o disco de forma segura, tornando as Informações Pessoais da Seagate ilegíveis e destruídas de acordo com a norma NIST 800-88, revisão 1 (Diretrizes para Higienização de Mídia) do Instituto Nacional de Padrões e Tecnologia. A Empresa deverá certificar por escrito que o disco foi triturado ou destruído e que as Informações Pessoais da Seagate não podem ser lidas, recuperadas ou reconstruídas de qualquer outra forma.
    4. Notificação de retenção. Se a Empresa tiver obrigação legal de reter as Informações Pessoais da Seagate além do período permitido neste DPA, a Empresa notificará a Seagate, por escrito, sobre essa obrigação, não Processará mais as Informações Pessoais da Seagate além de reter tais informações para cumprir a obrigação legal da Empresa, e devolverá ou destruirá as Informações Pessoais da Seagate o mais rápido possível após o término do período de retenção exigido legalmente. Este DPA permanecerá em vigor até que a Empresa não tenha mais custódia ou controle ou acesso a quaisquer Informações Pessoais da Seagate.
    5. Documentação. A Empresa documentará a retenção ou descarte das Informações Pessoais da Seagate de acordo com este DPA. A pedido da Seagate, a Empresa enviará documentação de retenção e uma certificação por escrito de que as Informações Pessoais da Seagate foram destruídas com segurança de acordo com este DPA.
  8. DISPOSIÇÕES GERAIS
    1. Vigência. Este DPA permanecerá em vigor até que: (a) não haja outro(s) Contrato(s) ativo(s) entre as Partes; e (b) a Empresa deixe de ter a custódia, o controle ou o acesso a quaisquer Informações Pessoais da Seagate. A Empresa processará as Informações Pessoais da Seagate até que o relacionamento seja encerrado conforme especificado no Contrato. As obrigações da Empresa e os direitos da Seagate sob este DPA continuarão em vigor enquanto a Empresa processar as Informações Pessoais da Seagate.
    2. Ordem de precedência. Em caso de discrepâncias entre este DPA e quaisquer outros Acordos entre as partes e/ou suas Afiliadas, as disposições deste DPA prevalecerão, exceto em caso de discrepâncias que envolvam Anexo II (Normas de Segurança), caso em que o(s) outro(s) Acordo(s) prevalecerá(ão), na medida em que as normas de segurança no(s) outro(s) Acordo(s) sejam adicionais aos requisitos mínimos estabelecidos em Anexo II. Este DPA não limitará ou restringirá, mas somente será considerado como um suplemento das Cláusulas Padrão.
    3. Atualizações. A Empresa irá cooperar de forma razoável para atualizar este DPA, conforme necessário, para garantir a conformidade com as leis e regulamentos cabíveis.
    4. Beneficiários Terceiros. As Afiliadas da Seagate são consideradas beneficiárias terceiras deste DPA e podem exigir o cumprimento dos termos deste DPA como se cada uma fosse signatária do mesmo. A Seagate também pode exigir o cumprimento das disposições deste DPA em nome de suas Afiliadas, em vez de estas ajuizarem uma ação judicial separadamente contra a Empresa.
    5. Divulgação do DPA para a Autoridade supervisora. A Seagate pode fornecer um resumo ou uma cópia deste DPA a qualquer Autoridade supervisora.
    6. Cessão. Se qualquer disposição neste DPA tornar-se ineficaz ou nula, isso não afetará as disposições restantes. As partes substituirão a disposição ineficaz ou nula por uma disposição legal que reflita a finalidade da disposição ineficaz ou nula. Caso esteja faltando uma disposição necessária, as partes deverão adicionar uma apropriada de boa fé.
    7. Interpretação. Os cabeçalhos deste DPA são apenas para referência e não afetarão a interpretação deste acordo.

ANEXO I

DESCRIÇÃO DO PROCESSAMENTO DE DADOS

Este(a) Anexo I Faz parte das Cláusulas Padrão.

 

MÓDULO 2: Transferência – Controlador para Processador (relevante para Informações Pessoais da Seagate) (C2P)

    A. LISTA DE PARTES

    EXPORTADOR DE DADOS

    Nome e endereço

    Seagate Technology LLC assinando em nome das Afiliadas e subsidiárias 47488 Kato Road, Fremont, CA, 94538

    Nome e detalhes de contato da pessoa de contato

    Seagate Technology LLC assinando em nome das Afiliadas e subsidiárias 47488 Kato Road, Fremont, CA, 94538 [email protected]

    Atividades relevantes aos dados transferidos de acordo com estas Cláusulas Padrão

    A Seagate Technology LLC, assinando em nome das Afiliadas e subsidiárias, é uma provedor de produtos de hardware e soluções de software e serviços para oferecer suporte a processos comerciais de vários segmentos do setor.

    Assinatura e data:

    Ao celebrar o(s) Contrato(s) que incorpora(m) este DPA, o exportador de dados é considerado como tendo assinado estas Cláusulas Padrão aqui incorporadas, incluindo seus Anexos, a partir da data efetiva do(s) Contrato(s).

    Função de exportador de dados (Controlador/Processador):

    Estabelecido em Seção 2.1 (Status das partes) deste DPA.

     

     

    IMPORTADOR DE DADOS

    Nome e endereço

    Nome e endereço da empresa (conforme especificado nos Contratos)

    Nome, cargo e detalhes de contato da pessoa de contato:

    Nome e endereço da empresa (conforme especificado nos Contratos)

    Atividades relevantes aos dados transferidos de acordo com estas Cláusulas Padrão:

    A Empresa é um provedor de serviços que presta serviços e suporte ao exportador de dados, conforme descrito no(s) Contrato(s).

    Assinatura e data:

    Ao celebrar o(s) Contrato(s) que incorpora(m) este DPA, o importador de dados é considerado como tendo assinado estas Cláusulas Padrão aqui incorporadas, incluindo seus Anexos, a partir da data efetiva do(s) Contrato(s).

    Função do importador de dados

    Estabelecido em SSeção 2.1 (Status das partes) deste DPA.

    B. DESCRIÇÃO DA TRANSFERÊNCIA

    Categorias de titulares de dados:

    Os dados pessoais transferidos podem dizer respeito às seguintes categorias de titulares de dados - atuais e antigos:

    • funcionários, conselheiros, consultores, fornecedores, contratados, subcontratados e agentes da Seagate;
    • parceiros de negócios e possíveis parceiros de negócios da Seagate e seus funcionários, parceiros, conselheiros, consultores, fornecedores, contratados, subcontratados e agentes;
    • leads de marketing em potencial e consumidores antigos e atuais;
    • clientes antigos e atuais da Seagate e seus funcionários, parceiros, conselheiros, consultores, fornecedores, contratados, subcontratados e agentes.

    Categorias de dados pessoais transferidos

    Os dados pessoais fornecidos pela Seagate ou em nome da Seagate à Empresa, ou coletados pela Empresa, que se relacionem com as Categorias de titulares de dados determinadas acima, conforme necessário para a Empresa fornecer os Serviços à Seagate conforme o(s) Contrato(s) e de acordo com com as instruções legais documentadas da Seagate, que podem incluir informações de contato, como nome, sobrenome, endereço de email, endereço comercial, número de telefone e quaisquer outros dados pessoais fornecidos pela Seagate.

    Dados sensíveis transferidos (se aplicável) e restrições ou proteções aplicadas que levam completamente em consideração a natureza dos dados e os riscos envolvidos:**

    Conforme estabelecido no(s) Contrato(s)

    Frequência da transferência

    Contínua, a menos que seja estabelecido de outra forma no(s) Contrato(s) ou em um documento entre as partes.

    Natureza do processamento/atividades de processamento

    Conforme descrito no(s) Contrato(s).

    Finalidade da transferência e do processamento de dados

    Para fornecer os Serviços de acordo com o(s) Contrato(s) relevante(s).

    Período durante o qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período:

    Os dados pessoais serão retidos:

    (a) de acordo comSeção 7.2 (Devolução e exclusão de Informações Pessoais da Seagate) deste DPA; ou

    (b) conforme exigido pela lei; ou

    (c) pela duração estabelecida no(s) Contrato(s) ou em outro documento entre as partes que contenha as informações relevantes aplicáveis aos Serviços relevantes;

    o que for mais longo.

    Se transferir para subcontratados, especifique também o assunto, a natureza e a duração do processamento

    A Empresa deve fornecer o assunto, a natureza e a duração do processamento para transferências a subprocessadores para [email protected] se essas informações já não estiverem estabelecidas no(s) contrato(s) ou em um documento adicional acordado entre as partes.

    C. AUTORIDADE SUPERVISORA COMPETENTE

    A autoridade de supervisão competente, de acordo com a Cláusula 13 das Cláusulas Contratuais Padrão da UE, é: (i) a autoridade de supervisão aplicável ao exportador de dados no seu país de estabelecimento no EEE; (ii) caso o exportador de dados não esteja estabelecido no EEE, a autoridade de supervisão aplicável no país do EEE onde o representante do exportador de dados na UE tenha sido nomeado nos termos do Artigo 27(1) do RGPD da UE; ou (iii) caso o exportador de dados não seja obrigado a nomear um representante, a autoridade de supervisão aplicável no país do EEE onde se encontrem os titulares dos dados relevantes para a transferência. No que diz respeito ao tratamento de dados pessoais ao qual se aplica o RGPD do Reino Unido, a autoridade de supervisão competente é o Gabinete do Comissário para a Informação. No que diz respeito ao tratamento de dados pessoais ao qual se aplica a Lei Suíça de Proteção de Dados, a autoridade de supervisão competente é o Comissário Federal Suíço para a Proteção de Dados e Informação.

ANEXO II

PADRÕES DE SEGURANÇA

Este(a) Anexo II Faz parte das Cláusulas Padrão.

 

EstaAnexo IIrepresenta omedidas mínimas de segurançaque será tomada pela Empresa. Se algum acordo entre as Partes exigir que a Empresa adote um nível mais elevado ou medidas de segurança mais abrangentes, a Empresa cumprirá esses termos. A Empresa deve manter e aplicar diversas políticas, normas e processos concebidos para proteger as Informações Pessoais da Seagate e outros dados, de acordo com os padrões da indústria, por exemplo, o NIST Cybersecurity Framework 2.0 do Instituto Nacional de Padrões e Tecnologia e as normas ISO 27001 ou 27002, às quais os funcionários da Empresa têm acesso.

  1. Políticas e padrões de segurança da informação. A Empresa deverá implementar requisitos de segurança para a equipe e todos os subcontratados, fornecedores ou agentes que têm acesso às Informações Pessoais da Seagate, desenvolvidos para:
    1. impedir que pessoas não autorizadas tenham acesso aos sistemas de processamento de Informações Pessoais da Seagate (controle de acesso físico);
    2. impedir que os sistemas de processamento de Informações Pessoais da Seagate sejam usados sem autorização (controle de acesso lógico);
    3. garantir que as pessoas qualificadas para usar um sistema de processamento de Informações Pessoais da Seagate podem ter acesso às Informações Pessoais da Seagate apenas se estiverem qualificadas para acessar, de acordo com seus direitos de acesso aprovados e que, no decorrer do processamento ou uso e após o armazenamento, as Informações Pessoais da Seagate não possam ser lidas, copiadas, modificadas ou excluídas sem autorização (controle de acesso a dados);
    4. garantir que as Informações Pessoais da Seagate não possam ser lidas, copiadas, modificadas ou excluídas sem autorização durante a transmissão eletrônica, o transporte ou o armazenamento, e que as entidades encarregadas de qualquer transferência de Informações Pessoais da Seagate por meio de instalações de transmissão de dados possam ser estabelecidas e verificadas (controle de transferência de dados);
    5. garantir o estabelecimento de uma trilha de auditoria para documentar se e por quem as Informações Pessoais da Seagate foram inseridas, modificadas, transferidas ou removidas do processamento de Informações Pessoais da Seagate (controle de entrada);
    6. garantir que as Informações Pessoais da Seagate sejam processadas somente de acordo com as instruções (controle de instruções);
    7. garantir que as Informações Pessoais da Seagate sejam protegidas contra destruição ou perda acidental (controle de disponibilidade); e
    8. garantir que as Informações Pessoais da Seagate coletadas para diferentes finalidades possam ser processadas separadamente (controle de separação).

    A Empresa realizará avaliações e revisões periódicas de risco e, conforme apropriado, revisará suas práticas de segurança de informação pelo menos anualmente ou sempre que houver uma alteração material nas práticas de negócios da Empresa que possam afetar razoavelmente a segurança, confidencialidade ou integridade de Informações Pessoais da Seagate, contanto que a Empresa não modifique suas práticas de segurança de informação de uma forma que enfraqueça ou comprometa a integridade, disponibilidade ou confidencialidade de Informações Pessoais da Seagate.

  2. Segurança física. A Empresa deverá manter sistemas de segurança comercialmente razoáveis em todos os seus locais que incluam um sistema de informação que utilize ou abrigue Informações Pessoais da Seagate. A Empresa deve restringir, razoavelmente, o acesso às Informações Pessoais da Seagate adequadamente.
  3. Segurança organizacional.
    1. Quando for necessário descartar ou reutilizar mídia, procedimentos deverão ser implementados para prevenir qualquer recuperação subsequente de quaisquer Informações Pessoais da Seagate armazenadas na mídia antes de ela ser removida do inventário. Se a mídia tiver que deixar as instalações em que arquivos estão localizados como resultado de operações de manutenção, procedimentos deverão ser implementados para prevenir a recuperação indevida de Informações Pessoais da Seagate nela armazenadas.
    2. A Empresa deverá implementar políticas e procedimentos de segurança para classificar ativos de Informações sensíveis, esclarecer responsabilidades relacionadas à segurança e promover a conscientização entre os funcionários.
    3. Todos os incidentes de segurança de Informações Pessoais da Seagate devem ser gerenciados de acordo com os procedimentos apropriados de resposta a incidentes.
    4. A Empresa deverá criptografar, usando as ferramentas de criptografia padrão do setor, todas as Informações sensíveis em trânsito e em repouso.
  4. Segurança da rede. A Empresa deve manter a segurança da rede usando equipamento comercialmente disponível e técnicas padrão do setor, inclusive firewalls, sistemas de detecção de intrusão e prevenção, listas de controle de acesso e protocolos de roteamento.
  5. Controle de acesso. A Empresa deve manter controles de acesso apropriados, inclusive, entre outros, restringir o acesso a Informações Pessoais da Seagate a um número mínimo de Pessoal da Empresa que necessita desse acesso.
    1. Somente a equipe autorizada pode conceder, modificar ou revogar acesso a um sistema de informação que utilize ou abrigue Informações Pessoais da Seagate. A Empresa deve manter registros de acesso adequados, que serão apresentados à Seagate mediante solicitação.
    2. Os procedimentos de administração de usuários deverão definir funções de usuário e seus privilégios e como o acesso é concedido, alterado ou encerrado; tratar da segregação apropriada de tarefas e definir os requisitos e mecanismos de registro/monitoramento.
    3. Todos os funcionários da Empresa deverão receber IDs de usuário exclusivos.
    4. Os direitos de acesso devem ser implementados aderindo à abordagem de “privilégio mínimo”.
    5. A Empresa deve implementar segurança física e eletrônica comercialmente razoável para criar e proteger senhas.
  6. Controles de vírus e malware. A Empresa deve instalar e manter o software de proteção contra vírus e malware mais recente no sistema e ter uma programação em vigor para monitorar malware e verificar o sistema para proteger as Informações Pessoais da Seagate contra ameaças ou riscos antecipados e proteger contra o acesso ou uso não autorizado de Informações Pessoais da Seagate.
  7. Pessoal. Antes de fornecer acesso a Informações Pessoais da Seagate ao Pessoal da Empresa, a Empresa deve exigir que o Pessoal da Empresa esteja conforme com o programa de segurança de informações da Empresa. A Empresa deve implementar um programa de conscientização sobre segurança para treinar o pessoal com relação às suas obrigações de segurança. Esse programa incluirá treinamento sobre obrigações de classificação de dados, controles de segurança física, práticas de segurança e relatórios de incidentes de segurança. A Empresa terá funções e responsabilidades claramente definidas para os funcionários. Uma triagem será implementada antes da contratação com termos e condições de emprego aplicadas adequadamente. Os funcionários da Empresa devem seguir estritamente as políticas e procedimentos de segurança. Um processo disciplinar deve ser aplicado se os funcionários cometerem uma Violação de privacidade de dados.
  8. Continuidade dos negócios. A Empresa implementa planos apropriados de back-up, recuperação de desastres e continuidade de negócios. A Empresa revisa o plano de continuidade de negócios e a avaliação de riscos com regularidade. Os planos de continuidade de negócios estão sendo testados e atualizados com regularidade para garantir que estejam atualizados e eficazes.
  9. Gerente de Segurança Principal. A Empresa deve notificar a Seagate sobre seu gerente de segurança principal designado. O gerente de segurança será responsável por gerenciar e coordenar o desempenho das obrigações da Empresa estabelecidas no programa de segurança da informação da Empresa e neste DPA.
  10. Auditoria. A Seagate reserva-se o direito de auditar os compromissos da Empresa, conforme declarado neste documento.  Anexo II, conformeSeção 5.3 (Auditoria) deste DPA.
  11. Violação. Caso seja determinado que a Empresa violou este DPA, a Empresa deverá remediar tal violação sem demora indevida e, em qualquer caso, dentro de 30 dias corridos. Qualquer violação de privacidade de dados conhecida ou suspeita será regida porSeção 6 (Responsabilidades da empresa após uma violação de privacidade de dados) deste DPA.

Anexo III

REQUISITOS DE PRIVACIDADE DE DADOS PARA JURISDIÇÕES ESPECÍFICAS

Os seguintes requisitos se aplicam às jurisdições especificadas:

  1. AUSTRÁLIA
    1. Aplicabilidade. As disposições desteSeção 1aplicam-se quando: (a) a Empresa recebe ou acede a Informações Pessoais da Seagate de uma Afiliada da Seagate localizada na Austrália; ou (b) a Seagate notifica a Empresa de que as Informações Pessoais da Seagate estão sujeitas a estes requisitos.
    2. Filiação a uma associação profissional ou comercial. O termo “Informação sensível” também inclui informações pessoais sobre a filiação de um indivíduo a uma associação profissional ou comercial.
    3. Princípios de Privacidade Australianos. A Empresa deve cumprir todas as obrigações aplicáveis ​​nos termos da Lei de Privacidade de 1988 (Cth), incluindo os “Princípios de Privacidade Australianos”, ao lidar com Informações Pessoais da Seagate ou ao fornecer os serviços de acordo com este DPA.
    4. Aviso de uso ou divulgação para fins de aplicação da lei. Se a Empresa usar ou divulgar Dados Pessoais para uma ou mais atividades de aplicação da lei conduzidas por, ou em nome de, um órgão de aplicação da lei, a Empresa deverá manter um registro escrito do uso e da divulgação e fornecer prontamente uma cópia do registro à Seagate, a menos que seja proibido por lei.
    5. Identificadores relacionados ao governo australiano. Quando o Pessoal inclui identificadores relacionados ao governo australiano, a Empresa: (a) não deverá adotar o identificador relacionado ao governo australiano para um indivíduo como seu próprio identificador do indivíduo, a menos que seja expressamente instruída a fazê-lo pela Seagate; e (b) não deverá usar ou divulgar o identificador relacionado ao governo australiano, exceto quando razoavelmente necessário para verificar a identidade do indivíduo, ou de outra forma quando instruído a fazê-lo pela Seagate.
    6. Coleta de Informações Pessoais. Quando as instruções da Seagate para a Empresa exigirem que a Empresa colete informações pessoais em nome da Seagate, a Empresa deverá: (a) solicitar instruções da Seagate com relação a: (i) quaisquer informações que devam ser fornecidas ao Titular dos Dados em conexão com a coleta das informações pessoais do Titular dos Dados; e (ii) quaisquer consentimentos de adesão necessários para fins de marketing direto; e (b) não coletar nenhuma Informação Sensível ou sem o consentimento do Titular dos Dados.
    7. Contratos da Empresa com o governo australiano. Se a Seagate for uma prestadora de serviços contratada por um órgão do governo australiano em nível federal, estadual ou territorial, e na medida em que a Seagate seja obrigada a cumprir obrigações adicionais de proteção de dados em virtude de um contrato com o órgão relevante do governo, a Seagate imporá obrigações equivalentes a Empresa, conforme exigido pela lei australiana cabível. A Seagate e a Empresa concordam em celebrar contratos adicionais, se necessário, para refletir essas obrigações.
  2. CHINA
    1. Aplicabilidade. As disposições desteSeção 2Aplicam-se quando a Empresa recebe ou acessa Informações Pessoais da Seagate de uma Afiliada da Seagate localizada na China, ou quando a Seagate notifica a Empresa de que as Informações Pessoais da Seagate estão sujeitas a esses requisitos.
    2. Funções da PIPL. Nos termos da Lei de Proteção de Informações Pessoais da RPC, a Seagate atuará como “Processador de Informações Pessoais”, que decidirá as finalidades e as formas de processamento. A Empresa será a “Parte Contratante” que processará as Informações Pessoais em nome da Seagate, de acordo com os requisitos deste DPA e as instruções da Seagate.
    3. Subprocessadores. Não obstanteSeção 2.4 (Limitações de ProcessamentoEm conformidade com a DPA, a Empresa não contratará nenhum Subprocessador para Processar Informações Pessoais da Seagate sem o consentimento expresso da Seagate. Os termos desse consentimento estão sujeitos à DPA.Seção 2.5 (Requisitos de processamento). 
    4. Tempo de Processamento limitado. A Empresa processará as Informações Pessoais da Seagate apenas pelo período de tempo necessário para atingir as finalidades do Processamento, a menos que as Partes tenham acordado uma duração diferente.
    5. Transferências restritas. A Empresa não deverá transferir as Informações Pessoais da Seagate para fora da China sem o consentimento expresso da Seagate, caso as Informações Pessoais da Seagate estejam armazenadas ou mantidas na China. A Seagate, por meio deste instrumento, autoriza a Empresa a transferir tais Informações Pessoais da Seagate quando necessário, desde que a Empresa tenha tomado todas as medidas para cumprir as Leis de Proteção de Dados para a proteção de tais Informações Pessoais da Seagate.
  3. ÍNDIA
    1. Aplicabilidade. As disposições desteSeção 3aplicam-se onde a Lei de Tecnologia da Informação de 2000 e as Regras de Tecnologia da Informação (Práticas e Procedimentos de Segurança Razoáveis ​​e Dados ou Informações Pessoais Sensíveis) de 2011 (“Regras de PrivacidadeA presente lei, conforme alterada e substituída periodicamente, aplica-se ao processamento de informações pessoais da Seagate fornecidas por uma afiliada da Seagate na Índia, independentemente de o processamento ocorrer na Índia.
    2. Seção 1.12A Lei de Proteção de Dados (DPA) deverá ser modificada para incluir as categorias de Informações Pessoais especificadas na Seção 3 das Regras de Privacidade.
  4. JAPÃO
    1. Aplicabilidade. As disposições desteSeção 4Aplicam-se às Informações Pessoais da Seagate que a Empresa recebe ou acessa de uma Afiliada da Seagate localizada no Japão.
    2. Pessoal da Empresa . A Empresa será responsável por supervisionar seu Pessoal da Empresa quanto à sua conformidade com o DPA.
    3. Medidas de Gestão de Emprego. A Empresa deverá proteger as Informações Pessoais da Seagate relacionadas à gestão de emprego, conforme previsto nas “Diretrizes de Gestão de Emprego” do Ministério da Saúde, Trabalho e Bem-Estar.
    4. Informações Pessoais obtidas por emprego. A Empresa garante que seus funcionários não divulgarão ou utilizarão indevidamente as Informações Pessoais da Seagate obtidas por meio de seu emprego.
    5. Consentimento antes de transferência ou divulgação. A Empresa obterá consentimento prévio, por escrito, da Seagate, antes de divulgar ou transferir dados de seguro social e números fiscais a quaisquer terceiros (inclusive qualquer Afiliada) que não façam parte deste DPA, inclusive quaisquer Subprocessadores.
    6. Devolução ou destruição após cumprimento da finalidade. A Empresa interromperá o Processamento e devolverá ou destruirá as Informações Pessoais da Seagate que estiverem em sua posse quando alcançar a finalidade para a qual elas foram coletadas.
    7. Finalidades de backup. A Empresa não irá copiar ou reproduzir Informações Pessoais da Seagate, exceto para finalidades de backup.
  5. COREIA DO SUL
    1. Aplicabilidade. As disposições desteSeção 5Aplicam-se às Informações Pessoais da Seagate que a Empresa recebe ou acessa de uma Afiliada da Seagate localizada na Coreia do Sul.
    2. Acesso Limitado. A Empresa limitará o acesso às Informações Pessoais ao Pessoal da Empresa que razoavelmente necessite de tal acesso para os fins do Processamento.
    3. Salvaguardas necessárias. A Empresa estabelecerá a manterá salvaguardas, inclusive:
      1. procedimentos internos para o manuseio seguro de Informações Pessoais;
      2. proteções técnicas, como firewalls, antivírus e software anti-malware;
      3. restrições de acesso físico, como cadeados;
      4. medidas para prevenir a alteração ou falsificação de registros de acesso ou de processamento; e
      5. medidas para armazenar e transmitir informações pessoais com segurança, como criptografia de informações pessoais quando exigido pela Lei de Proteção de Informações Pessoais (“PIPA”), o “Regulamento de Execução” da PIPA, a Lei de Promoção da Utilização da Rede de Informação e Comunicações e Proteção de Informações (“PICNU”), o “Regulamento de Execução” da PICNU, a Lei de Utilização e Proteção de Informações de Crédito ou outra lei coreana, conforme aplicável.
    4. Criptografia de dados de identificação peculiares. A Empresa irá criptografar números de registro de residente, números de carteira de habilitação e números de passaporte, quando:
      1. forem transmitidos por meio de uma rede de informações ou comunicações;
      2. forem armazenados em mídia de armazenamento portátil ou periféricos;
      3. forem armazenados em qualquer rede de computação externa ou em uma zona desmilitarizada, ou em qualquer computador pessoal ou dispositivo móvel; ou
      4. forem armazenados na rede interna da Empresa, se os sistemas da Empresa não cumprirem os critérios de risco especificados pela Seagate.
    5. Criptografia de senhas e dados biométricos. A Empresa criptografará todas as senhas e dados biométricos armazenados em qualquer formato.
    6. Informações antes da divulgação. Antes de divulgar ou transferir Informações Pessoais da Seagate a um processador de dados terceirizado, a Empresa informará a Seagate razoavelmente de antemão. Mediante solicitação da Seagate, a Empresa enviará as seguintes informações: (a) as atividades de Processamento a serem subcontratadas; (b) a identidade do processador de dados terceirizado; e (c) quaisquer alterações em (a) ou (b).
    7. Treinamento. A Empresa participará de qualquer treinamento que a Seagate possa escolher oferecer à Empresa para proteger as Informações Pessoais da Seagate contra roubo, vazamento, alteração ou dano durante o Processamento de tais Informações Pessoais da Seagate.
  6. SINGAPURA
    1. Aplicabilidade. As disposições desteSeção 6Aplicam-se os casos em que a Lei de Proteção de Dados Pessoais de Singapura de 2012 (nº 26 de 2012) se aplica ao processamento de informações pessoais da Seagate pela empresa.
    2. Seção 1.3 O DPA será substituído pelo seguinte:

      1.3 “Violação de Privacidade de Dados” significa qualquer violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada, acesso, aquisição de Informações Pessoais da Seagate, inclusive: (a) o acesso, coleta, uso, divulgação, cópia, modificação ou descarte não autorizados de Informações Pessoais da Seagate; ou (b) a perda de qualquer mídia ou dispositivo de armazenamento no qual as Informações Pessoais da Seagate estejam armazenadas, em circunstâncias em que seja provável o acesso, coleta, uso, divulgação, cópia, modificação ou descarte não autorizados de Informações Pessoais da Seagate.

    3. Seção 6.1A Notificação de Violação de Privacidade de Dados (DPA) será substituída pela seguinte:

      6.1 Notificação de Violação de Privacidade de Dados. Nos casos em que houver motivos para crer que uma Violação de Privacidade de Dados ocorreu, a Empresa notificará a Seagate por escrito sobre a Violação de Privacidade de Dados, sem demora, e deverá:

      1. investigar ou fornecer a assistência necessária na investigação da Violação de Privacidade de Dados;
      2. fornecer à Seagate informações sobre a Violação de Privacidade de Dados e fornecer imediatamente informações adicionais relevantes assim que estiverem disponíveis; e
      3. tomará medidas comercialmente razoáveis para conter a Violação de Privacidade de Dados, mitigar os efeitos da Violação de Privacidade de Dados ou assistir a Seagate nesse sentido às custas da Empresa.
  7. TAIWAN
    1. Aplicabilidade. As disposições desteSeção 7aplicam-se às Informações Pessoais da Seagate que a Empresa recebe ou acessa de uma Afiliada da Seagate localizada em Taiwan.
    2. Subprocessadores. Não obstanteSeção 2.4(Limitações de Processamento) da DPA, a Empresa não divulgará ou transferirá as Informações Pessoais da Seagate para nenhum Subprocessador, nem permitirá o acesso a essas Informações Pessoais a qualquer Subprocessador sem o consentimento expresso por escrito da Seagate.
    3. Tempo de Processamento limitado. A Empresa processará as Informações Pessoais da Seagate apenas pelo período de tempo necessário para atingir as finalidades do Processamento, a menos que as Partes tenham acordado uma duração diferente.
    4. Preservação de registros de acesso. A Empresa preservará registros de acesso pelo tempo necessário para garantir que sejam revisados periodicamente para casos de acesso não autorizado.
  8. TAILÂNDIA
    1. Aplicabilidade. As disposições desteSeção 8aplica-se onde a Lei de Proteção de Dados Pessoais da Tailândia, BE 2562 (2019) (“PDPA”), conforme alterada e substituída de tempos em tempos, se aplica às Informações Pessoais da Seagate que a Empresa recebe ou acessa de uma Afiliada da Seagate localizada na Tailândia.
    2. A Seção 1.3 da DPA será substituída pela seguinte:

      1.3 “Violação de Privacidade de Dados” significa uma violação de medidas de segurança que causa perda, acesso, uso, modificação ou divulgação de dados pessoais ilegalmente ou sem autorização, resultante de um ato intencional, negligente, acidental, não autorizado ou ilegal, ou um ato relacionado a crimes de computador, ameaças cibernéticas, erros ou acidentes, ou qualquer outro ato, conforme determinado pela notificação emitida conforme a PDPA.

    3. Seção 1.12A Lei de Proteção de Dados Pessoais (DPA) deverá ser modificada para incluir as categorias de dados pessoais especificadas na Seção 26 da Lei de Proteção de Dados Pessoais (PDPA).
    4. Normas de Segurança. A Empresa deverá envidar os melhores esforços e tomar todas as medidas razoáveis ​​para implementar e manter as normas de segurança, que deverão, no mínimo, estar em conformidade com os requisitos emAnexo II(Normas de Segurança) e com as disposições e requisitos estipulados na PDPA e quaisquer outras regras, regulamentos, notificações e/ou ordens emitidas em virtude da mesma, incluindo, sem limitação, a “Notificação do Comitê de Proteção de Dados Pessoais sobre: Medidas de segurança do controlador de dados BE 2565 (2022)”, conforme possam ser alteradas, complementadas ou substituídas de tempos em tempos.  

O Acordo de Privacidade de Dados entra em vigor a partir de 1º de junho de 2025. Versões anteriores podem ser encontradas nos seguintes locais:

 

Publicado em 31 de julho de 2025

Publicado em 20 de junho de 2024

Publicado em 8 de dezembro de 2022

RELATÓRIO DESCARBONIZAÇÃO DE DADOS

Sustentabilidade do data center na era da IA
Sobre a Seagate Nossa história  Sustentabilidade  Central de confiança  Garantia de qualidade 
Suporte  Suporte ao produto  Downloads de software da Seagate  Downloads de software da LaCie  Registro de produto da Seagate  Registro de produto da LaCie  Garantia e substituições  Sistemas Seagate  Contato 
Recursos de notícias Sala de imprensa  Histórias da Seagate  Blog 
Investidores 
Parceiros  Parceiros indiretos e revendedores  Seagate Direct e fornecedores  Seagate Technology Alliance Program 
Oportunidades  A vida na Seagate  Cultura da Seagate  Programas universitários 
Onde comprar  Localizador de produtos 
Facebook logo LinkedIn logo YouTube logo X logo Instagram logo
©2026 Seagate Technology LLC Jurídico Privacidade Divulgação de vulnerabilidade
Mapa do site Portal da marca Seagate