Loading…
Este Adendo de Tratamento de Dados ("DPA") é celebrado entre a RegulatoryBridge Global Ltd. ("Operador" ou "RegulatoryBridge") e o cliente que aceita os Termos de Serviço ou assina um Pedido (Order Form) ("Controlador" ou "Cliente").
O DPA aplica-se ao tratamento de dados pessoais pela RegulatoryBridge em nome do Cliente em conexão com os Serviços. O Cliente é o controlador (ou, quando aplicável, um operador atuando em nome de seus próprios clientes-controladores). A RegulatoryBridge é o operador (ou, conforme aplicável, um suboperador). Quando os dados pessoais forem tratados por ambas as partes para finalidades conjuntas, as partes celebrarão um acordo separado de controle conjunto nos termos do Art. 26 GDPR.
"Lei de Proteção de Dados Aplicável" significa o GDPR; UK GDPR + Data Protection Act 2018; California CCPA/CPRA; LGPD do Brasil; DPDPA da Índia; PDPA de Singapura; APPI do Japão; FADP suíça; e qualquer outra lei de privacidade aplicável ao tratamento sob este DPA.
Os termos em maiúscula utilizados, mas não definidos, têm os significados constantes dos Termos de Serviço ou da Lei de Proteção de Dados Aplicável (o que se aplicar ao termo específico).
O objeto, a natureza, a finalidade, a duração, as categorias de titulares dos dados e as categorias de dados pessoais estão estabelecidos no Anexo A.
A RegulatoryBridge tratará os dados pessoais apenas mediante instruções documentadas do Cliente, conforme especificado em (a) o Pedido (Order Form), (b) este DPA e (c) quaisquer instruções adicionais por escrito aceitas pela RegulatoryBridge. Notificaremos o Cliente se, em nossa opinião, uma instrução violar a Lei de Proteção de Dados Aplicável, e poderemos suspender o tratamento até uma decisão do Cliente.
Todo o pessoal e contratados da RegulatoryBridge com acesso a dados pessoais estão sujeitos a obrigações de confidencialidade por escrito ou a um dever legal de confidencialidade adequado, e recebem treinamento regular em proteção de dados e segurança.
Implementaremos e manteremos medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco, levando em conta o estado da técnica, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do tratamento. As medidas atuais estão descritas no Anexo B e alinhadas às famílias de controle da ISO/IEC 27001:2022 e da SOC 2 Type II.
O Cliente autoriza a RegulatoryBridge a contratar os suboperadores listados na página de Suboperadores (e refletidos no Anexo C). Cada suboperador está sujeito a termos por escrito que preveem obrigações de proteção de dados pelo menos tão protetivas quanto as deste DPA. Forneceremos aviso prévio de pelo menos 30 dias sobre novos suboperadores. O Cliente pode se opor por motivos razoáveis dentro desse prazo, e as partes negociarão de boa-fé; caso não se chegue a uma solução, o Cliente poderá rescindir o Serviço afetado.
Levando em conta a natureza do tratamento, a RegulatoryBridge prestará assistência razoável por meio de medidas técnicas e organizacionais apropriadas para permitir que o Cliente cumpra sua obrigação de responder a solicitações de titulares dos dados que exerçam seus direitos. Quando um titular dos dados entrar em contato diretamente com a RegulatoryBridge com uma solicitação relativa aos dados do Cliente, encaminharemos prontamente a solicitação ao Cliente.
A RegulatoryBridge notificará o Cliente sem demora indevida — e, em qualquer caso, dentro de 48 horas após tomar conhecimento — de qualquer violação de dados pessoais que afete os dados pessoais do Cliente. A notificação incluirá as informações especificadas no Artigo 33(3) GDPR (ou equivalente sob outra Lei de Proteção de Dados Aplicável), na medida então conhecida. Prestaremos assistência razoável ao Cliente no cumprimento de suas próprias obrigações de notificação às autoridades supervisoras e aos titulares dos dados.
Quando os dados pessoais forem transferidos do EEE / Reino Unido / Suíça para um país terceiro que não se beneficie de uma decisão de adequação, as partes incorporam por referência as EU Standard Contractual Clauses (Commission Implementing Decision (EU) 2021/914), Módulo 2 (Controlador → Operador) ou Módulo 3 (Operador → Operador), conforme aplicável, juntamente com o UK International Data Transfer Addendum para transferências do Reino Unido, e as adaptações reconhecidas pelo FDPIC suíço para transferências suíças.
Para transferências da Índia (DPDPA), Brasil (LGPD), Japão (APPI) e Singapura (PDPA), as partes recorrerão aos mecanismos reconhecidos pela lei aplicável (consentimento, adequação, salvaguardas contratuais) e a adendos específicos de cada país disponíveis mediante solicitação.
A RegulatoryBridge disponibilizará ao Cliente todas as informações razoavelmente necessárias para demonstrar a conformidade com este DPA, e permitirá e contribuirá para auditorias, incluindo inspeções, conduzidas pelo Cliente ou por um auditor por ele designado. Para minimizar duplicação e interrupção operacional:
À escolha do Cliente, no término dos Serviços, a RegulatoryBridge devolverá todos os dados pessoais ao Cliente ou os excluirá, inclusive dos backups, no prazo de 90 dias, salvo se a retenção for exigida pela Lei de Proteção de Dados Aplicável. O Cliente pode exportar o Conteúdo do Cliente durante o Prazo de Assinatura usando as ferramentas de exportação padrão descritas na Documentação.
A responsabilidade de cada parte sob este DPA está sujeita às limitações de responsabilidade estabelecidas nos Termos de Serviço, exceto quando for exigido que seja ilimitada pela Lei de Proteção de Dados Aplicável.
Este DPA entra em vigor na data de vigência indicada acima e permanece em vigor enquanto a RegulatoryBridge tratar dados pessoais em nome do Cliente. As seções que, por sua natureza, devem sobreviver à rescisão (segurança, confidencialidade, auditoria, notificação de violação de eventos anteriores à rescisão) assim sobreviverão.
Este DPA é regido pela lei de Ireland, sem prejuízo da lei imperativa do local de residência habitual do titular dos dados. As disputas são resolvidas de acordo com os Termos de Serviço.
Objeto: Prestação dos Serviços descritos no Pedido (Order Form), incluindo representação regulatória, serviços de DPO, resposta a violações e software relacionado.
Duração: O Prazo de Assinatura acrescido do período de retenção estabelecido na Seção 12 deste DPA.
Natureza e finalidade do tratamento: Armazenar, acessar, organizar, estruturar, transmitir e de outra forma tratar dados pessoais para prestar os Serviços.
Categorias de titulares dos dados: Usuários finais, funcionários, contratados, prospects, fornecedores do Cliente e quaisquer outras pessoas físicas cujos dados pessoais estejam incluídos no Conteúdo do Cliente.
Categorias de dados pessoais: Identificadores de contato (nome, e-mail corporativo, cargo); dados comportamentais (interações com os Serviços); artefatos de conformidade (registros de DSAR, incidentes de violação, registros de consentimento); conteúdo carregado pelo Cliente (que pode incluir outras categorias, dependendo da configuração do Cliente).
Dados de categoria especial: Geralmente nenhum. Se o Cliente optar por carregar dados pessoais de categoria especial ou sensíveis, o Cliente é responsável por assegurar uma condição legal apropriada nos termos do Artigo 9 GDPR ou equivalente.
Frequência do tratamento: Contínua, durante todo o Prazo de Assinatura.
A lista atual de suboperadores autorizados é publicada e mantida em /sub-processors. A lista no momento da aceitação do Pedido (Order Form) é aqui incorporada por referência. As atualizações são comunicadas conforme estabelecido na Seção 7.
src/lib/legal-entity.ts.