Acordo de Processamento de Dados

Os termos utilizados neste DPA têm os significados estabelecidos no GDPR (Regulamento (UE) 2016/679). Especificamente:

• Dados Pessoais: qualquer informação relativa a uma pessoa natural identificada ou identificável.
• Controlador: o cliente que determina as finalidades e os meios do processamento.
• Operador: o HummingDeck, processando Dados Pessoais em nome do Controlador.
• Subprocessador: qualquer terceiro contratado pelo HummingDeck para processar Dados Pessoais, listado em hummingdeck.com/sub-processors.
• Titular dos dados: a pessoa natural a quem os Dados Pessoais se referem, incluindo os funcionários, contatos do Controlador e os destinatários que visualizam documentos compartilhados via HummingDeck ("Visualizadores de Documentos").

O HummingDeck atua como Operador em nome do Controlador para todos os Dados Pessoais processados em conexão com o serviço, incluindo:

• Titulares de conta e membros da equipe que o Controlador adiciona a um workspace.
• Contatos e leads que o Controlador importa ou cria.
• Visualizadores de Documentos que abrem links compartilhados pelo Controlador.
• Eventos de engajamento gerados por Visualizadores de Documentos (visualizações de página, tempo na página, visitas de retorno, localização em nível de país, sinais derivados de IP).

O Controlador permanece responsável pela legalidade do processamento, pela escolha da base legal nos termos do Artigo 6 do GDPR e pelos direitos dos Titulares dos dados.

O Controlador declara e garante que:

• Possui uma base legal válida nos termos do Artigo 6 do GDPR para o processamento que instrui o HummingDeck a realizar.
• Forneceu todas as informações exigidas aos Titulares dos dados nos termos dos Artigos 13 e 14 do GDPR, incluindo informar os Visualizadores de Documentos sobre o rastreamento de engajamento realizado por meio dos links do HummingDeck. O Controlador é o único responsável por essa divulgação, seja por meio de sua própria política de privacidade, do e-mail ou da mensagem que acompanha o link de compartilhamento, ou de qualquer outro canal apropriado.
• Não instruirá o HummingDeck a processar Dados Pessoais em violação à legislação de proteção de dados aplicável.

Para apoiar o Controlador no cumprimento de sua obrigação de divulgação, o HummingDeck disponibiliza:

• Uma política de privacidade pública em hummingdeck.com/privacy descrevendo o que é coletado dos Visualizadores de Documentos e em que base.
• Texto-modelo que o Controlador pode adotar ou adaptar para sua própria política de privacidade, disponível mediante solicitação.
• Uma lista pública de subprocessadores em hummingdeck.com/sub-processors.

Como Operador, o HummingDeck deverá:

• Processar Dados Pessoais somente com base em instruções documentadas do Controlador, inclusive aquelas dadas por meio do uso do próprio serviço.
• Garantir que as pessoas autorizadas a processar Dados Pessoais estejam sujeitas a obrigações de confidencialidade.
• Implementar medidas de segurança técnicas e organizacionais apropriadas (Seção 5).
• Contratar subprocessadores apenas mediante contratos escritos que imponham obrigações equivalentes de proteção de dados, e notificar o Controlador sobre alterações pretendidas conforme a Seção 6.
• Auxiliar o Controlador, considerando a natureza do processamento, no cumprimento de suas obrigações de responder a solicitações dos Titulares dos dados nos termos do Capítulo III do GDPR.
• Auxiliar o Controlador em segurança, notificação de violações, avaliações de impacto sobre a proteção de dados e obrigações de consulta prévia nos termos dos Artigos 32 a 36 do GDPR.
• Notificar o Controlador sem atraso indevido (e em até 72 horas, sempre que viável) após tomar conhecimento de uma Violação de Dados Pessoais que afete os dados do Controlador.
• À escolha do Controlador, excluir ou devolver todos os Dados Pessoais após o término do serviço, e excluir cópias existentes, salvo quando a retenção for exigida por lei.
• Disponibilizar ao Controlador todas as informações necessárias para demonstrar o cumprimento deste DPA, e permitir auditorias ou inspeções pelo Controlador ou por um auditor por ele indicado (sujeito à Seção 7).

O HummingDeck implementa e mantém medidas técnicas e organizacionais apropriadas, incluindo:

• Criptografia de Dados Pessoais em trânsito (TLS 1.2+) e em repouso (criptografia padrão do Google Cloud Storage).
• Controles de acesso baseados em princípios de privilégio mínimo, com registro do acesso administrativo.
• Autenticação via Google Firebase com gerenciamento seguro de sessões.
• Sistemas de detecção de bots e abusos para filtrar tráfego automatizado das análises de engajamento.
• Procedimentos de backup e recuperação de desastres.
• Revisão regular das práticas de segurança.

O HummingDeck atualmente não possui certificação SOC 2. Clientes que necessitem de certificação formal devem entrar em contato com hello@hummingdeck.com para obter o questionário de segurança atual e o cronograma.

O Controlador autoriza o HummingDeck a contratar os subprocessadores listados em hummingdeck.com/sub-processors. O HummingDeck fornecerá ao Controlador um aviso prévio de pelo menos 30 dias antes de adicionar ou substituir qualquer subprocessador que processe os Dados Pessoais do Controlador, por meio de:

• Atualização da lista pública de subprocessadores, e
• Notificação ao proprietário do workspace por e-mail caso a alteração afete materialmente o processamento.

Se o Controlador, de boa-fé, se opuser a um novo subprocessador por razões de proteção de dados dentro de 30 dias após o aviso, as partes trabalharão em boa-fé para abordar a preocupação. Caso nenhuma solução seja alcançada, o Controlador poderá rescindir, por conveniência, a parte afetada do serviço.

O HummingDeck disponibilizará, mediante aviso razoável e não mais de uma vez a cada período de 12 meses (ou com maior frequência se exigido por um regulador):

• Seus Registros de Atividades de Processamento atuais (documentação do Artigo 30).
• Informações sobre suas medidas de segurança e quaisquer avaliações de terceiros.
• A oportunidade de uma auditoria remota (baseada em questionário ou videoconferência) às custas do Controlador.

Inspeções presenciais são permitidas apenas quando exigidas pela legislação aplicável ou por ordem vinculante de regulador, mediante aviso razoável e às custas do Controlador.

O Controlador reconhece que alguns subprocessadores estão localizados fora do Espaço Econômico Europeu, principalmente nos Estados Unidos. Para tais transferências, o HummingDeck baseia-se nas Cláusulas Contratuais Padrão da Comissão Europeia (Módulo Dois, Controlador para Operador) incorporadas em seus contratos com os subprocessadores relevantes, complementadas pelas medidas técnicas e organizacionais descritas na Seção 5.

Após o término do serviço, o Controlador poderá, em até 30 dias, solicitar uma exportação estruturada de seus dados via aplicativo ou via suporte. Após 30 dias, o HummingDeck excluirá todos os Dados Pessoais do Controlador dos sistemas de produção em até mais 30 dias, exceto quando a retenção for exigida por lei (por exemplo, registros de cobrança). As cópias de backup são mantidas de acordo com os cronogramas padrão de rotação de backups e sobrescritas no devido tempo.

A responsabilidade de cada parte sob este DPA está sujeita às limitações de responsabilidade estabelecidas no contrato subjacente entre as partes.

Em caso de conflito entre este DPA e o contrato subjacente (incluindo os Termos de Serviço do HummingDeck), este DPA prevalecerá na medida do conflito e somente em relação ao processamento de Dados Pessoais.

O HummingDeck pode atualizar este DPA periodicamente para refletir mudanças na legislação aplicável ou em nossas práticas de processamento. Alterações materiais serão comunicadas ao proprietário do workspace por e-mail com pelo menos 30 dias de antecedência da entrada em vigor. O uso continuado do serviço após a data de vigência constitui aceitação.

Dúvidas sobre este DPA, solicitações de uma contrapartida assinada ou solicitações formais de Titulares dos dados devem ser enviadas para hello@hummingdeck.com.