Pular para o conteúdo principal

Acordo de Processamento de Dados

Versão 2.0Última atualização:

Este Acordo de Processamento de Dados ("APD" ou "Adendo"), incluindo as Cláusulas Contratuais Padrão (conforme definidas abaixo) a ele anexadas (coletivamente, o "APD"), é celebrado e entra em vigor na data efetiva ("Data de Vigência") da aceitação dos Termos de Serviço pelo cliente aplicável ("Cliente") entre a Zenovay ("Empresa" ou "Zenovay") e o Cliente ao qual este APD está anexado e incorporado (o "Acordo"). Todos os termos em maiúscula não definidos de outra forma neste APD terão o significado a eles atribuído no Acordo.

Este Adendo tornará-se legalmente vinculante quando o Cliente celebrar o Acordo ou após a assinatura deste Adendo.

1. Definições

Para os fins deste APD, os seguintes termos têm os significados estabelecidos abaixo:

  • "Afiliada" significa (i) uma entidade da qual uma parte direta ou indiretamente detém cinquenta por cento (50%) ou mais das ações ou outras participações societárias, (ii) uma entidade que detém pelo menos cinquenta por cento (50%) ou mais das ações ou outras participações societárias de uma parte, ou (iii) uma entidade que está sob controle comum com uma parte por meio da detenção de pelo menos cinquenta por cento (50%) ou mais das ações ou outras participações societárias de tal entidade e de uma parte pelo mesmo titular, desde que tal entidade seja considerada uma Afiliada enquanto tal propriedade existir.
  • "Titular dos Dados" significa (i) uma pessoa física identificada ou identificável que esteja no EEE ou cujos direitos sejam protegidos pelas Leis de Proteção de Dados da UE; ou (ii) um "Consumidor" conforme o termo é definido na CCPA.
  • "Dados do Cliente" significa qualquer conteúdo, dado, informação ou outros materiais (incluindo Informações Pessoais) que o Cliente, Usuários Finais ou Afiliadas do Cliente enviem, ou que sejam coletados pelos Serviços para processamento pela Zenovay em conexão com os Serviços.
  • "EEE" significa o Espaço Econômico Europeu.
  • "Leis de Proteção de Dados da UE" significa todas as leis e regulamentos de proteção de dados aplicáveis ao processamento de Informações Pessoais sob o Acordo, incluindo, quando aplicável, a Diretiva 95/46/CE da UE, o Regulamento (UE) 2016/679 (GDPR), a Diretiva de ePrivacy da UE (Diretiva 2002/58/CE), a Lei Federal Suíça de Proteção de Dados ("nDSG", em vigor desde 1º de setembro de 2023) e quaisquer leis nacionais de implementação.
  • "Informações Pessoais" ou "Dados Pessoais" significa informações que identificam, relacionam-se a, descrevem, são razoavelmente capazes de ser associadas ou poderiam ser razoavelmente vinculadas, direta ou indiretamente, a um determinado Titular dos Dados. As Informações Pessoais incluem informações consideradas "dados pessoais", "informações de identificação pessoal" ou termos similares conforme definidos pelas Leis de Proteção de Dados aplicáveis.
  • "Processamento" significa qualquer operação ou conjunto de operações realizadas sobre Informações Pessoais, seja por meios automatizados ou não, como coleta, registro, organização, estruturação, armazenamento, adaptação, recuperação, consulta, uso, divulgação, disseminação, restrição, exclusão ou destruição.
  • "Cláusulas Contratuais Padrão" ou "CCS" significa as cláusulas contratuais padrão para a transferência de dados pessoais para processadores estabelecidos em países terceiros aprovadas pela Decisão 2021/914 da Comissão Europeia, de 4 de junho de 2021.
  • "Subprocessador" significa qualquer processador terceirizado contratado pela Zenovay ou suas Afiliadas para processar Informações Pessoais em nome do Cliente sob o Acordo.

2. Relação entre as Partes; Processamento de Dados

2.1 Funções e Escopo do Processamento

As partes reconhecem e concordam que, em relação ao processamento de Informações Pessoais, o Cliente é o controlador de dados (ou "negócio" nos termos da CCPA) e a Zenovay é o processador de dados (ou "prestador de serviços" nos termos da CCPA). O Cliente deverá, em seu uso dos Serviços, processar Informações Pessoais de acordo com os requisitos das Leis de Proteção de Dados aplicáveis. As instruções do Cliente para o processamento de Informações Pessoais devem estar em conformidade com as Leis de Proteção de Dados aplicáveis. O Cliente é o único responsável pela precisão, qualidade e legalidade das Informações Pessoais e pelos meios pelos quais as obteve.

2.2 Instruções de Processamento do Cliente

Ao celebrar este APD, o Cliente instrui a Zenovay a processar Informações Pessoais apenas de acordo com a lei aplicável: (a) para fornecer os Serviços e suporte técnico relacionado; (b) conforme especificado pelo uso dos Serviços pelo Cliente (inclusive por meio do painel, API ou outras interfaces); (c) conforme documentado no Acordo, incluindo este APD; e (d) conforme documentado em quaisquer outras instruções escritas fornecidas pelo Cliente e reconhecidas pela Zenovay como instruções para os fins deste APD.

2.3 Conformidade da Zenovay com as Instruções

A Zenovay processará Informações Pessoais apenas de acordo com as instruções documentadas do Cliente, a menos que o processamento seja exigido pelas leis aplicáveis às quais a Zenovay esteja sujeita; nesse caso, a Zenovay informará o Cliente sobre esse requisito legal antes do processamento, a menos que tal lei proíba essa informação por razões importantes de interesse público.

2.4 Detalhes do Processamento

O objeto, a natureza, a finalidade, a duração e os tipos de Informações Pessoais e categorias de Titulares de Dados processados sob este APD estão descritos no Anexo A (Detalhes do Processamento) aqui anexado.

3. Confidencialidade

A Zenovay garantirá que quaisquer pessoas autorizadas a processar Informações Pessoais em seu nome estejam sujeitas a um dever de confidencialidade, seja por contrato ou obrigação legal.

4. Segurança

4.1 Medidas de Segurança

Levando em conta o estado da arte, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas, a Zenovay implementará e manterá medidas técnicas e organizacionais adequadas para proteger as Informações Pessoais de Incidentes de Segurança (conforme definido abaixo) e para preservar a segurança e confidencialidade das Informações Pessoais, conforme descrito no Anexo B (Medidas de Segurança) aqui anexado.

4.2 Notificação de Incidente de Segurança

"Incidente de Segurança" significa qualquer destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Informações Pessoais. A Zenovay notificará o Cliente sem atraso indevido (e em qualquer caso dentro de 72 horas) após tomar conhecimento de qualquer Incidente de Segurança. Essa notificação deverá:

  • Descrever a natureza do Incidente de Segurança, incluindo as categorias e o número aproximado de Titulares de Dados e registros de Informações Pessoais envolvidos
  • Comunicar os dados de contato do contato designado de privacidade da Zenovay ([email protected]), do qual mais informações podem ser obtidas
  • Descrever as prováveis consequências do Incidente de Segurança
  • Descrever as medidas tomadas ou propostas para abordar o Incidente de Segurança e mitigar seus possíveis efeitos adversos

5. Subprocessadores

5.1 Subprocessadores Autorizados

O Cliente reconhece e concorda que a Zenovay pode contratar Subprocessadores para processar Informações Pessoais em nome do Cliente. A lista atual de Subprocessadores está disponível em zenovay.com/legal/subprocessors.

5.2 Obrigações dos Subprocessadores

A Zenovay deverá:

  • Celebrar um acordo por escrito com cada Subprocessador impondo obrigações de proteção de dados substancialmente similares às impostas à Zenovay sob este APD
  • Permanecer totalmente responsável perante o Cliente pelo cumprimento das obrigações de cada Subprocessador
  • Realizar a devida diligência adequada em cada Subprocessador antes do engajamento

5.3 Alterações nos Subprocessadores

A Zenovay fornecerá ao Cliente pelo menos 30 dias de aviso prévio por escrito sobre a adição de qualquer novo Subprocessador. O Cliente pode objetar ao uso de um novo Subprocessador pela Zenovay notificando a Zenovay por escrito dentro de 10 dias do recebimento do aviso da Zenovay, desde que tal objeção se baseie em motivos razoáveis relacionados à proteção de dados. Se o Cliente objetar razoavelmente a um novo Subprocessador e a Zenovay não puder fornecer uma alternativa comercialmente razoável, o Cliente poderá rescindir os Serviços afetados fornecendo aviso por escrito à Zenovay.

6. Direitos dos Titulares de Dados

A Zenovay deverá, na medida em que for legalmente permitido e dentro do escopo de sua função como processadora, notificar prontamente o Cliente se receber uma solicitação de um Titular de Dados para acesso, correção, alteração ou exclusão de suas Informações Pessoais. A Zenovay deverá, levando em conta a natureza do processamento, auxiliar o Cliente por meio de medidas técnicas e organizacionais adequadas, na medida do possível, para o cumprimento das obrigações do Cliente de responder a solicitações de exercício dos direitos dos Titulares de Dados sob as Leis de Proteção de Dados, incluindo o direito de acesso, retificação, exclusão, restrição do processamento, portabilidade de dados e objeção ao processamento.

7. Devolução e Exclusão de Dados

7.1 Períodos de Retenção de Dados

As Informações Pessoais são retidas de acordo com o plano de assinatura do Cliente:

  • Plano Gratuito: 1 ano (365 dias)
  • Plano Pro: 2 anos (730 dias)
  • Plano Scale: 4 anos (1.460 dias)
  • Plano Enterprise: Período de retenção personalizado conforme acordado no Formulário de Pedido aplicável

7.2 Processo de Exclusão em Duas Fases

Quando as Informações Pessoais excedem o período de retenção aplicável ao plano do Cliente, a Zenovay implementa um processo de exclusão em duas fases:

  • Fase 1 - Ocultação Temporária: As Informações Pessoais mais antigas que o período de retenção são marcadas como ocultas e excluídas das consultas de análise do Cliente. Os dados permanecem nos sistemas da Zenovay, mas não estão acessíveis por meio dos Serviços.
  • Fase 2 - Período de Carência: O Cliente é notificado por e-mail de que os dados foram ocultados. Um período de carência de 30 dias começa, durante o qual o Cliente pode fazer upgrade para um plano superior para recuperar os dados ocultos.
  • Fase 3 - Exclusão Permanente: Após o término do período de carência de 30 dias, as Informações Pessoais ocultas são permanentemente excluídas usando métodos de exclusão segura.

7.3 Recuperação de Dados

Se o Cliente fizer upgrade para um plano com período de retenção maior durante o período de carência, a Zenovay recuperará automaticamente (tornará visíveis) as Informações Pessoais que se enquadrem no novo período de retenção. Os dados que foram permanentemente excluídos não podem ser recuperados.

7.4 Exclusão após Rescisão

Após a rescisão ou expiração do Acordo, a Zenovay deverá (a critério do Cliente): (a) devolver ao Cliente todas as Informações Pessoais na posse ou controle da Zenovay por meio de exportação de dados; ou (b) excluir todas as Informações Pessoais na posse ou controle da Zenovay. Este requisito não se aplicará na medida em que a Zenovay for obrigada pela lei aplicável a reter algumas ou todas as Informações Pessoais; nesse caso, a Zenovay isolará e protegerá as Informações Pessoais de qualquer processamento adicional, exceto na medida exigida por tal lei.

8. Direitos de Auditoria

A Zenovay disponibilizará ao Cliente, mediante solicitação razoável e sujeita a obrigações de confidencialidade, todas as informações necessárias para demonstrar conformidade com este APD e permitirá e contribuirá para auditorias, incluindo inspeções, conduzidas pelo Cliente ou por um auditor por ele designado. O Cliente pode exercer seus direitos de auditoria sob esta Seção:

  • Revisando as certificações de segurança mantidas pelos provedores de infraestrutura da Zenovay (Cloudflare: SOC 2 Tipo II, ISO 27001, ISO 27018; Supabase: SOC 2 Tipo II), fornecidas mediante solicitação razoável. A própria Zenovay não está atualmente certificada SOC 2; atualizaremos esta divulgação quando uma auditoria for concluída.
  • Enviando à Zenovay um questionário sobre as práticas de proteção de dados da Zenovay (limitado a uma vez por ano, salvo exigência das Leis de Proteção de Dados)
  • Em circunstâncias excepcionais, realizando uma auditoria presencial ou remota das práticas de proteção de dados da Zenovay, sujeita a aviso razoável, obrigações de confidencialidade e reembolso dos custos razoáveis da Zenovay

9. Transferências Internacionais

9.1 Transferências de Dados

A Zenovay pode transferir e processar Informações Pessoais globalmente conforme necessário para fornecer os Serviços. Se a Zenovay transferir Informações Pessoais do EEE ou da Suíça para um país fora do EEE/Suíça que não tenha sido reconhecido pela Comissão Europeia ou pelo Conselho Federal Suíço como fornecendo um nível adequado de proteção de dados, tais transferências estarão sujeitas a salvaguardas adequadas conforme exigido pelas Leis de Proteção de Dados, incluindo:

  • Estrutura de Privacidade de Dados UE-EUA (DPF) / DPF Suíça-EUA: Para transferências para subprocessadores sediados nos EUA certificados sob o DPF, com base na Decisão de Adequação da Comissão Europeia de 10 de julho de 2023 e no reconhecimento correspondente da Suíça.
  • Cláusulas Contratuais Padrão (CCS): Conforme detalhado na Seção 9.2 abaixo.
  • Medidas Suplementares: Avaliações de Impacto de Transferência, criptografia em trânsito e em repouso, controles de acesso e outras medidas recomendadas pelo EDPB e EDOEB em vista da decisão Schrems II.

9.2 Cláusulas Contratuais Padrão

Na medida em que a Zenovay processar Informações Pessoais protegidas pelas Leis de Proteção de Dados da UE (incluindo o GDPR e o nDSG) e transferir tais Informações Pessoais para um país não reconhecido pela Comissão Europeia ou pelo Conselho Federal Suíço como fornecendo um nível adequado de proteção, as Cláusulas Contratuais Padrão (Módulo Dois: Controlador para Processador) se aplicarão e são incorporadas por referência a este APD. Para os fins das Cláusulas Contratuais Padrão:

  • O Cliente é o "exportador de dados" e a Zenovay é o "importador de dados"
  • As partes concordam com as cláusulas opcionais da Cláusula 7, Cláusula 11 e Cláusula 9(a)
  • A lei do Estado Membro aplicável será a lei do Estado Membro em que o Cliente está estabelecido ou, se o Cliente não estiver estabelecido em um Estado Membro, a lei da Irlanda
  • A autoridade supervisora competente será a autoridade supervisora do Estado Membro em que o Cliente está estabelecido; para Clientes suíços, o EDOEB (Comissário Federal de Proteção de Dados e Informação); para Clientes não estabelecidos em um Estado Membro ou na Suíça, a Comissão de Proteção de Dados da Irlanda
  • Para transferências sujeitas ao nDSG, as referências às disposições do GDPR são interpretadas como referências às disposições equivalentes do nDSG, e as referências à UE/EEE são interpretadas como referências à Suíça
  • A descrição da transferência está estabelecida no Anexo A (Detalhes do Processamento)
  • As medidas técnicas e organizacionais estão estabelecidas no Anexo B (Medidas de Segurança)

10. Limitação de Responsabilidade

A responsabilidade de cada parte sob este APD estará sujeita às exclusões e limitações de responsabilidade estabelecidas no Acordo.

11. Disposições Gerais

11.1 Ordem de Precedência

Em caso de qualquer conflito ou inconsistência entre este APD e o Acordo, as disposições deste APD prevalecerão na medida de tal conflito ou inconsistência.

11.2 Modificação

A Zenovay pode atualizar este APD periodicamente para refletir mudanças nas Leis de Proteção de Dados, orientações regulatórias ou melhores práticas do setor. Alterações relevantes serão notificadas ao Cliente com pelo menos 30 dias de antecedência antes de entrarem em vigor.

11.3 Divisibilidade

Se qualquer disposição deste APD for considerada inválida ou inexequível, as disposições restantes permanecerão em pleno vigor e efeito.

11.5 Lei Aplicável e Jurisdição

Este APD será regido e interpretado de acordo com as disposições de lei aplicável e jurisdição do Acordo, exceto quando as Cláusulas Contratuais Padrão especificarem de outra forma.

Anexo A: Detalhes do Processamento

Lista das Partes

Exportador de dados: Cliente (conforme definido no Acordo)

Importador de dados: Zenovay, Suíça

Descrição da Transferência

Objeto: O objeto do processamento de dados é a prestação de serviços de análise de sites.

Natureza e finalidade do processamento: A Zenovay processará Informações Pessoais para fornecer serviços de análise de sites e aplicativos, incluindo:

  • Coleta e análise de dados de visitantes de sites
  • Geração de relatórios e insights de análise
  • Fornecimento de painel e serviços de visualização de dados
  • Armazenamento e manutenção de dados de análise
  • Pontuação automatizada de valor do visitante (escala de 0 a 100 com base em sinais comportamentais, localização geográfica e dados do dispositivo)
  • Insights de análise baseados em IA (via Cloudflare AI Gateway e OpenAI, quando habilitado pelo Cliente)
  • Fornecimento de suporte ao cliente e gerenciamento de conta

Duração do processamento: A duração do processamento é pelo prazo do Acordo mais o período de retenção de dados aplicável ao plano de assinatura do Cliente (1 ano para Gratuito, 2 anos para Pro, 4 anos para Scale ou personalizado para Enterprise). Os dados que excedem o período de retenção estão sujeitos ao processo de exclusão em duas fases descrito na Seção 7.

Categorias de Informações Pessoais: As categorias de Informações Pessoais transferidas podem incluir:

  • Dados de Rede: Endereços IP (armazenados para análise geográfica e segurança), geolocalização aproximada (país, região, cidade)
  • Dados do Dispositivo: Strings de agente do usuário, tipo de dispositivo, navegador, sistema operacional, resolução de tela
  • Dados de Navegação: URLs de páginas visitadas, títulos de páginas, URLs de referência, horários, tempo gasto nas páginas
  • Dados Comportamentais: Profundidade de rolagem, contagens de cliques, interações com formulários (excluindo campos sensíveis), métricas de engajamento
  • Dados de Campanha: Parâmetros UTM, identificadores de cliques de plataformas de publicidade (por ex., Google, Facebook, TikTok)
  • Dados de Conversão: Eventos personalizados, conclusões de metas e valores associados conforme configurado pelo Cliente
  • Dados de Sessão: Identificadores de sessão, duração, páginas por sessão, status de visitante recorrente

Dados Opcionais (quando recursos habilitados pelo Cliente):

  • Repetição de Sessão: Capturas de DOM, movimentos do mouse, cliques e comportamento de rolagem (campos sensíveis são automaticamente mascarados)
  • Mapas de Calor: Dados agregados de posição de cliques e rolagem
  • Identificação de Usuário: Nome, e-mail, telefone, empresa e identificadores personalizados quando fornecidos pela implementação do Cliente
  • Enriquecimento B2B: Nome da empresa, domínio, setor, tamanho e outros atributos comerciais derivados de serviços de enriquecimento de terceiros

O Cliente é responsável por determinar quais Informações Pessoais são coletadas e garantir a conformidade com as leis de privacidade aplicáveis.

Categorias de Titulares de Dados: Os Titulares de Dados cujas Informações Pessoais são processadas incluem:

  • Visitantes dos sites e aplicativos do Cliente
  • Usuários dos serviços online do Cliente
  • Clientes dos produtos ou serviços do Cliente
  • Funcionários ou representantes do Cliente (para fins de gerenciamento de conta)

Dados sensíveis: A Zenovay não pretende processar dados pessoais sensíveis (por ex., informações de saúde, dados biométricos, dados de contas financeiras). O Cliente está proibido de transmitir dados pessoais sensíveis à Zenovay sem acordo prévio por escrito e salvaguardas adequadas.

Frequência de transferência: A frequência de transferência dos dados pessoais é contínua, até o término do acordo.

Anexo B: Medidas de Segurança

A Zenovay implementou e manterá as seguintes medidas técnicas e organizacionais de segurança:

1. Controles de Acesso Físico

  • Infraestrutura de nuvem hospedada na rede de borda global da Cloudflare, certificada segundo padrões do setor (SOC 2, ISO 27001)
  • Serviços de banco de dados fornecidos pela Supabase, hospedados em infraestrutura de nuvem certificada
  • Controles de acesso físico gerenciados pelos provedores de infraestrutura (Cloudflare, Supabase)
  • Monitoramento de segurança e vigilância 24/7 das instalações do data center

2. Controles de Acesso ao Sistema

  • Autenticação multifator (MFA) obrigatória para acesso administrativo
  • Controles de acesso baseados em função (RBAC) limitando o acesso com base na função do cargo
  • Credenciais de usuário exclusivas para todo acesso ao sistema
  • Revisões regulares de acesso e revogação de permissões desnecessárias
  • Registro e monitoramento de todos os acessos e atividades do sistema

3. Controles de Acesso a Dados

  • Criptografia de dados em trânsito usando TLS 1.2 ou superior
  • Criptografia de dados sensíveis em repouso usando criptografia AES-256
  • Acesso a Informações Pessoais restrito apenas a pessoal autorizado
  • Segregação de dados para evitar acesso não autorizado a dados entre clientes

4. Controles de Transmissão

  • Criptografia de transmissão de dados usando protocolos TLS/SSL
  • APIs seguras com controles de autenticação e autorização
  • Registro e monitoramento de transmissões de dados

5. Controles de Entrada

  • Registro de auditoria de criação, modificação e exclusão de dados
  • Procedimentos de controle de versão e gerenciamento de mudanças
  • Backups automatizados com capacidade de recuperação ponto a ponto

6. Controles de Disponibilidade

  • Rede de borda global da Cloudflare com failover automático em mais de 300 data centers
  • Banco de dados gerenciado pela Supabase com recuperação ponto a ponto
  • Backups regulares armazenados em locais geograficamente distribuídos
  • Procedimentos de recuperação de desastres e continuidade de negócios
  • Procedimentos de monitoramento do sistema e resposta a incidentes
  • Observação: Nenhum SLA de disponibilidade específico é fornecido, a menos que acordado separadamente em um contrato Enterprise

7. Medidas Organizacionais

  • Treinamento regular de conscientização de segurança para funcionários
  • Acordos de confidencialidade assinados por todos os funcionários
  • Procedimentos de resposta a incidentes e notificação de violação
  • Revisões e avaliações periódicas de segurança
  • Programa de gerenciamento de riscos de fornecedores para Subprocessadores

Informações de Contato

Para dúvidas sobre este APD ou práticas de processamento de dados, entre em contato:

Email: [email protected]

Support: [email protected]

Address: Zenovay, Suíça

Políticas relacionadas:Política de privacidadeTermos de serviçoPolítica de cookiesAcordo de processamento de dadosUso aceitávelSubprocessadoresSegurança e PrivacidadeImpressum