E-MAIL DE SINCH Acordo de Tratamento de Dados - “DATA PROCESSING AGREEMENT” (“DPA”)

Este Acordo de Tratamento de Dados (este “DPA“) faz parte dos Termos de Serviço da SINCH Email (o “Contrato Principal“) entre a SINCH Email e o Cliente e está sujeito ao Contrato Principal. A Sinch Email é a unidade de negócios de Desenvolvedor e E-mail da Sinch e é composta pelas marcas Mailgun, Mailjet, Email on Acid e InboxReady.

Definições. Para os fins deste DPA, os termos em maiúsculas terão os seguintes significados. Os termos em maiúsculas não definidos de outra forma terão o significado que lhes é atribuído no Contrato Principal.
1. “Dados Pessoais do Cliente” significa quaisquer dados pessoais processados pela SINCH Email em nome do Cliente para executar os Serviços sob o Contrato Principal.
2. “Leis de Proteção de Dados Aplicáveis” significa o GDPR, conforme transposto para a legislação nacional de cada Estado-Membro (e do Reino Unido) e conforme alterado, substituído ou substituído de tempos em tempos, e as leis que implementam, substituem ou complementam o GDPR e todas as leis aplicáveis à coleta, armazenamento, Tratamento e uso dos Dados Pessoais do Cliente, incluindo a Lei de Privacidade do Consumidor da Califórnia de 2018, Cal. Civ. Código § 1798.100 et seq.
3. “GDPR” significa o Regulamento Geral de Proteção de Dados da UE 2016/679.
4. “Infraestrutura da SINCH-EMAIL” significa (i) as instalações físicas da SINCH EMAIL; (ii) infraestrutura de nuvem hospedada; (iii) a rede corporativa da SINCH e a rede interna não pública, software e hardware necessários para fornecer os Serviços e que são controlados pela SINCH Email; em cada caso, na medida em que for usado para fornecer os Serviços.
5. “Transferência Restrita” significa uma transferência dos Dados Pessoais do Cliente da SINCH Email para um suboperador onde tal transferência seria proibida pelas Leis de Proteção de Dados Aplicáveis (ou pelos termos dos contratos de transferência de dados implementados para lidar com as restrições de transferência de dados das Leis de Proteção de Dados Aplicáveis) na ausência de salvaguardas apropriadas exigidas para tais transferências de acordo com as Leis de Proteção de Dados Aplicáveis.
6. “Serviços” significa os serviços prestados ao Cliente pelo E-mail da SINCH de acordo com o Contrato Principal.
7. “Cláusulas Contratuais Padrão” significa a versão mais recente das cláusulas contratuais padrão para a transferência de dados pessoais para processadores estabelecidos em países terceiros sob o GDPR (a versão atual na data deste DPA é anexada à Decisão 2021/914 da Comissão Europeia (UE) de 4 de junho de 2021).
8. “Adendo do Reino Unido” significa o Adendo do Reino Unido (Adendo de Transferência Internacional de Dados às Cláusulas Contratuais Padrão da Comissão da UE) estabelecido em https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf
9. Os termos “consentimento“, “controlador“, “titular dos dados“, “Estado-Membro“, “dados pessoais“, “violação de dados pessoais“, “operador“, “suboperador”, “tratamento“, “autoridade supervisora” e “terceiro” têm os significados que lhes são atribuídos no artigo 4.º do Tratado de Desenvolvimento Civil. GDPR.
Conformidade com as leis de proteção de dados aplicáveis
1. A SINCH Email e o Cliente devem cumprir as disposições e obrigações impostas a eles pelas Leis de Proteção de Dados Aplicáveis e devem garantir que seus funcionários e suboperadores observem as disposições das Leis de Proteção de Dados Aplicáveis.
Detalhes e escopo do Tratamento
1. O Tratamento dos Dados Pessoais do Cliente no âmbito do Contrato será realizado de acordo com as seguintes estipulações e conforme exigido pelo Artigo 28(3) do GDPR. As partes podem alterar essas informações de tempos em tempos, conforme as partes possam razoavelmente considerar necessário para atender a esses requisitos.
  1. Objeto e duração do Tratamento de Dados Pessoais: O assunto e a duração do Tratamento dos Dados Pessoais estão definidos no Contrato Principal.
  2. A natureza e a finalidade do Tratamento de Dados Pessoais: De acordo com o Contrato Principal, a SINCH Email presta ao Cliente determinados serviços como mensageria, e-mail, chamadas de voz e outros serviços de comunicação, que envolvem o Tratamento de dados pessoais. Tais atividades de Tratamento incluem (a) prestação dos Serviços; b) Detecção, prevenção e resolução de problemas técnicos e de segurança; e (c) atendimento às solicitações de suporte do Cliente.
  3. Os tipos de Dados Pessoais a serem tratados: Os dados pessoais enviados, cuja extensão é determinada e controlada pelo Controlador a seu exclusivo critério, incluem nome, e-mail, números de telefone, endereço IP e outros dados pessoais incluídos nas listas de contatos e conteúdo da mensagem.
  4. As categorias de titulares de dados a quem os Dados Pessoais se referem: Remetentes e destinatários de mensagens de e-mail e sms, chamadas de voz ou outras formas de comunicação.
2. A SINCH Email, apenas tratará os Dados Pessoais do Cliente (i) para fins de cumprimento de suas obrigações nos termos do Contrato Principal e (i) de acordo com as instruções documentadas descritas neste DPA ou conforme instruído pelo Cliente de tempos em tempos. As instruções desse Cliente devem ser documentadas no pedido aplicável, na descrição dos serviços, no tíquete de suporte, em outra comunicação por escrito ou conforme indicado pelo Cliente usando os Serviços (como por meio de uma API ou painel de controle).
3. Quando a SINCH acreditar razoavelmente que uma instrução do Cliente é contrária às disposições do Contrato Principal ou deste DPA, ou que infringe o GDPR ou outras disposições de proteção de dados aplicáveis, deverá informar o Cliente sem demora. Em ambos os casos, a SINCH estará autorizada a adiar a execução da instrução relevante até que ela seja alterada pelo Cliente ou seja mutuamente acordada pelo Cliente e pela SINCH.
4. O Cliente é o único responsável pela utilização e gestão dos Dados Pessoais submetidos ou transmitidos pelos Serviços, incluindo: (i) verificar as informações dos destinatários e se eles foram inseridos corretamente nos Serviços (ii) notificar de forma clara e razoável qualquer destinatário sobre a natureza insegura do e-mail como meio de transmissão de Dados Pessoais (conforme aplicável), (iii) limitar razoavelmente a quantidade ou o tipo de informação divulgada por meio dos Serviços (iv) criptografar quaisquer Dados Pessoais transmitidos por meio de os Serviços quando apropriado ou exigido pela lei aplicável (como por meio do uso de anexos criptografados, conjuntos de ferramentas PGP ou S/MIME). Quando o Cliente decidir não configurar a criptografia obrigatória, o Cliente reconhece que os Serviços podem incluir a transmissão de e-mails não criptografados em texto simples pela Internet pública e redes abertas. As informações carregadas nos Serviços, incluindo o conteúdo da mensagem, são armazenadas em um formato criptografado quando processadas pela Infraestrutura de E-mail da SINCH.
5. Desvios (regras específicas com base na legislação nacional aplicável):
  1. Desvios (regras específicas com base na legislação nacional aplicável):
    1. As definições destacadas abaixo deverão substituir as definições utilizadas no presente DPA:
      1. “Categorias Especiais de Dados Pessoais” significa “Dados Pessoais Sensíveis”: que devem ser interpretados como dados relativos à origem racial ou étnica, convicções religiosas, opiniões políticas, filiação a organizações sindicais ou religiosas, filosóficas ou políticas, dados relativos à saúde ou à vida sexual de uma pessoa física, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
      2. “Tratamento de Dados” significa toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, tratamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração
    2. As disposições contidas na Cláusula 13(b) não serão aplicáveis.
  2. para Clientes e contratos na Colômbia, além do que está acordado neste DPA, o seguinte é aplicável em relação ao tratamento e transferência de dados pessoais: “O Controlador reconhece que o Operador pode tratar, transferir, armazenar e processar dados pessoais para territórios fora da Colômbia, onde estarão sujeitos às leis das jurisdições estrangeiras em que estes são mantidos. O Controlador reconhece que possui todas as autorizações prévias necessárias dos titulares dos dados e dos registros de bancos de dados que permitiriam ao Operador tratar os dados pessoais e transferi-los e/ou transmiti-los para países que atendam, no mínimo, ao mesmo padrão de proteção de dados pessoais (nível adequado de proteção) previstos nas regulamentações colombianas, tais como, mas não se limitando, a Lei Estatutária 1581 de 2012, ao Decreto Regulamentar 1377 de 2013, ao Decreto 90 de 2018, a Circular Única da Superintendência da Indústria e Comércio, a Circular Externa Nº 005 de 2017 da Superintendência da Indústria e Comércio e outros regulamentos que modificam, substituem ou complementam o acima exposto.”
  3. para Clientes e contratos na Argentina, além do que está acordado neste DPA, o seguinte é aplicável em relação ao tratamento e transferência de dados pessoais: as partes concordam em celebrar as seguintes Cláusulas Contratuais Padrão da Argentina para a transferência internacional caso o Controlador dos dados pessoais seja da Argentina e/ou as Leis de Proteção de Dados Aplicáveis e/ou a autoridade de proteção de dados da Argentina exija que essas cláusulas sejam cumpridas. Contrato modelo de transferencia internacional de datos personales con motivo de prestación de servicios Entre, por una parte, ______________________________________, con domicilio en la calle________, localidad_____________, provincia de __________, Argentina, (en adelante, “el exportador de datos”) y, por la otra, ____________________________ (nombre), __________ (dirección y país), (“en adelante, el importador de datos”), en conjunto “las partes”, convienen el presente contrato de transferencia internacional de datos personales para la prestación de servicios, sometiéndola a los términos y condiciones que se detallan a continuación.
  4. para Clientes e contratos no México, as obrigações estabelecidas nas seções 13(b) não são aplicáveis.
Controlador e operador
1. Para os fins deste DPA, o Cliente é o controlador dos Dados Pessoais do Cliente e a SINCH Email é a operadora de tais dados, exceto quando o Cliente atua como operador dos Dados Pessoais do Cliente, caso em que a SINCH Email é um suboperador.
2. A SINCH terá sempre um representante que será responsável por auxiliar o Cliente (i) na resposta a perguntas sobre o Tratamento de Dados recebidas dos Titulares dos Dados; e, (ii) no preenchimento de todas as informações legais e requisitos de divulgação que se aplicam e estão associados ao Tratamento de Dados. O responsável pela proteção de dados pode ser contactado diretamente através do privacy@mailgun.com.
3. O Cliente garante que:
  1. O Tratamento dos Dados Pessoais do Cliente é baseado em fundamentos legais para o Tratamento, conforme exigido pelas Leis de Proteção de Dados Aplicáveis, bem como que detém e deverá manter durante toda a vigência do Contrato Principal todos os direitos, permissões, registros e consentimentos necessários de acordo com e conforme exigido pelas Leis de Proteção de Dados Aplicáveis com relação ao Tratamento dos Dados Pessoais do Cliente pela SINCH Email sob este DPA e o Contrato Principal;
  2. tem todos os direitos, permissões e consentimentos necessários para transferir os Dados Pessoais do Cliente para a SINCH Email e, de outra forma, permitir que a SINCH EMAIL trate os Dados Pessoais do Cliente em seu nome, para que a SINCH possa legalmente usar, tratar e transferir os Dados Pessoais do Cliente para realizar os Serviços e executar outros direitos e obrigações da SINCH sob este DPA e o Contrato Principal;
  3. informará seus Titulares dos Dados sobre a utilização de operadores de dados no Tratamento de seus Dados Pessoais, na medida exigida pelas Leis de Proteção de Dados Aplicáveis; e
  4. responderá de forma e em prazo razoável às perguntas dos Titulares dos Dados sobre o Tratamento de seus Dados Pessoais e dará instruções apropriadas à Sinch em tempo hábil.
Confidencialidade
1. A SINCH deve garantir que cada um de seus funcionários e suboperadores autorizados a tratar os Dados Pessoais do Cliente esteja sujeito a compromissos de confidencialidade ou obrigações profissionais ou estatutárias de confidencialidade e seja treinado com os requisitos relevantes de segurança e proteção de dados.
Medidas técnicas e organizacionais
1. A SINCH deverá, em relação aos Dados Pessoais do Cliente, (a) tomar e documentar, conforme apropriado, as medidas razoáveis e apropriadas exigidas nos termos do Anexo 2 do DPA em relação à segurança da Infraestrutura da SINCH Email e das plataformas usadas para fornecer os Serviços conforme descrito no Contrato Principal, e (b) mediante solicitação razoável às custas do Cliente, ajudar o Cliente a garantir o cumprimento das obrigações do Cliente nos termos do Artigo 32 do GDPR.
2. Os procedimentos operacionais internos da SINCH Emails devem atender aos requisitos específicos de uma gestão eficaz de Proteção de Dados.
Solicitações de titulares de dados
1. O Sinch Email fornece ferramentas específicas para auxiliar os clientes a responder às solicitações recebidas dos titulares dos dados. Isso inclui nossas APIs e interfaces para pesquisar dados de eventos, supressões e recuperar o conteúdo da mensagem. Quando a SINCH recebe uma reclamação, consulta ou solicitação (incluindo solicitações feitas por titulares de dados para exercer seus direitos de acordo com as Leis de Proteção de Dados Aplicáveis) relacionadas aos Dados Pessoais do Cliente diretamente dos titulares dos dados, a SINCH notificará o Cliente dentro de 14 (quatorze) dias a partir do recebimento da reclamação, consulta ou solicitação. Considerando a natureza do tratamento, a SINCH prestará assistência ao Cliente, através de medidas técnicas e organizacionais adequadas, na medida do razoavelmente possível, para o cumprimento da obrigação do Cliente de responder às solicitações para exercer os direitos de tais titulares de dados.
Violações de dados pessoais
1. A SINCH notificará o Cliente sem demora injustificada assim que tomar conhecimento de uma violação de dados pessoais que afete os Dados Pessoais do Cliente. A SINCH deverá, levando em consideração a natureza do Tratamento e as informações disponíveis para a SINCH, envidar esforços comercialmente razoáveis para fornecer ao Cliente informações suficientes para permitir que o Cliente, às custas do Cliente, cumpra quaisquer obrigações de comunicar ou informar autoridades reguladoras, titulares de dados e outras entidades sobre tal violação de dados pessoais na medida exigida pelas Leis de Proteção de Dados Aplicáveis.
Avaliações de impacto da proteção de dados
1. A SINCH deverá, levando em consideração a natureza do Tratamento e as informações disponíveis, fornecer assistência razoável ao Cliente às custas do Cliente, com quaisquer avaliações de impacto de proteção de dados e consultas prévias com autoridades de supervisão ou outras autoridades reguladoras competentes, conforme necessário para que o Cliente cumpra suas obrigações nos termos das Leis de Proteção de Dados Aplicáveis.
Auditorias
1. A SINCH disponibilizará ao Cliente, mediante solicitação razoável, as informações que forem razoavelmente necessárias para demonstrar a conformidade com este DPA.
2. O Cliente, ou um auditor terceirizado mandatado, pode, mediante solicitação razoável por escrito, realizar uma inspeção em relação ao Tratamento dos Dados Pessoais do Cliente pela SINCH Email e na medida necessária de acordo com as Leis de Proteção de Dados e sem interromper as operações comerciais da SINCH e garantir a confidencialidade.
3. O direito de auditoria conforme descrito no Parágrafo 10(b) acima se tornará aplicável ao Cliente, caso a SINCH não tenha fornecido evidências suficientes de sua conformidade com as medidas técnicas e organizacionais. Evidências suficientes incluem o fornecimento: (i) de uma certificação de conformidade com a ISO 27001 ou outras normas implementadas pela Sinch Email (escopo conforme definido no certificado); ou (ii) um relatório de auditoria ou atestado de um terceiro independente. Uma auditoria conforme descrito neste Cláusula 10 deve ser realizada às custas e despesas do Cliente.
Devolução ou destruição dos dados pessoais do cliente
1. O Cliente poderá, mediante comunicação por escrito ao E-mail da SINCH, solicitar a devolução e/ou certificado de exclusão de todas as cópias dos Dados Pessoais do Cliente sob o controle ou posse do E-mail da SINCH e suboperadores. A SINCH fornecerá uma cópia dos Dados do Controlador em um formato que possa ser lido e processado posteriormente.
2. No prazo de noventa (90) dias após o encerramento da conta, a Sinch deverá eliminar e/ou devolver todos os Dados Pessoais tratados de acordo com este DPA. Esta disposição não afetará os possíveis deveres estatutários das Partes de preservar registros por períodos de retenção estabelecidos por lei, estatuto ou contrato.
3. Qualquer custo adicional decorrente da devolução ou exclusão de Dados Pessoais após a rescisão ou expiração do Contrato será arcado pelo Cliente.
Transferências de dados
1. As Cláusulas Contratuais Padrão e, se necessário, o Adendo do Reino Unido, fazendo com que a SINCH Email atue como importador de dados com o Cliente atuando como exportador de dados, são incorporadas como parte deste DPA. Se o acordo da SINCH com um suboperador envolver uma Transferência Restrita, a SINCH deverá garantir que as disposições de transferência subsequente das Cláusulas Contratuais Padrão e/ou Adendo do Reino Unido sejam incorporadas ao Contrato Principal, ou de outra forma celebradas, entre a SINCH Email e o suboperador. O Cliente concorda em exercer seu direito de auditoria nas Cláusulas Contratuais Padrão, instruindo a SINCH Email a realizar a auditoria estabelecida no Parágrafo 10.
2. O Cliente reconhece e concorda que, em conexão com o desempenho dos Serviços nos termos do Contrato, a Sinch pode transferir Dados Pessoais dentro de seu grupo de empresas. Essas transferências são necessárias para fornecer os Serviços globalmente e são justificadas para fins de administração interna.
3. Para transferências de Dados Pessoais da União Europeia, do Espaço Econômico Europeu e/ou de seus estados membros, Suíça e Reino Unido para países que não garantem um nível adequado de Proteção de Dados dentro do significado das Leis de Proteção de Dados dos territórios anteriores, na medida em que tais transferências estejam sujeitas às Leis e Regulamentos de Proteção de Dados e para implementar salvaguardas apropriadas, as seguintes salvaguardas são tomadas: (i) Cláusulas Contratuais Padrão de acordo com a Decisão 2021/914/UE da Comissão Europeia de 4 de junho de 2021, (2) Adendo do Reino Unido e (3) salvaguardas adicionais com relação a medidas de segurança, incluindo criptografia de dados, agregação de dados, separação de controles de acesso e princípios de minimização de dados.
Suboperadores
1. O Cliente autoriza a SINCH a nomear suboperadores de acordo com este Parágrafo 13 e Anexo 1, sujeito a quaisquer restrições no Contrato Principal. A SINCH garantirá que os suboperadores estejam vinculados por acordos escritos que exijam que eles forneçam pelo menos o nível de proteção de dados exigido da SINCH por este DPA. A SINCH pode continuar a usar os suboperadores já contratados na data deste DPA.
2. A SINCH notificará o Cliente com antecedência por escrito sobre a nomeação de qualquer novo suboperador. Se, dentro de dez (10) dias úteis após o recebimento desse aviso, o Cliente notificar a SINCH por escrito sobre quaisquer objeções por motivos razoáveis à nomeação proposta, a SINCH não nomeará esse suboperador proposto até que medidas razoáveis tenham sido tomadas para resolver as objeções levantadas pelo Cliente e o Cliente tenha recebido uma explicação razoável por escrito das medidas tomadas. Se a SINCH e o Cliente não conseguirem resolver a nomeação de um suboperador dentro de um prazo razoável, qualquer uma das partes terá o direito de rescindir o Contrato Principal por justa causa.
3. Esta cláusula não se aplica aos seguintes serviços auxiliares, nomeadamente serviços de telecomunicações, serviços postais ou de transporte, ferramentas de manutenção e de apoio ao utilizador. A SINCH será, no entanto, obrigada a tomar providências contratuais apropriadas e juridicamente vinculativas e tomar medidas de inspeção apropriadas para garantir a proteção e a segurança dos Dados do Cliente, mesmo para esses serviços auxiliares terceirizados.
4. A SINCH será responsável pelos atos e omissões de quaisquer suboperadores, assim como é para o Cliente por seus próprios atos e omissões em relação aos assuntos previstos neste DPA.
Lei aplicável e jurisdição
1. As partes deste DPA se submetem à escolha da jurisdição estipulada no Contrato Principal com relação a quaisquer disputas ou reivindicações decorrentes deste DPA, incluindo disputas sobre sua existência, validade ou rescisão ou as consequências de sua nulidade.
2. Este DPA e todas as obrigações não contratuais ou outras decorrentes ou relacionadas a ele são regidas pelas leis do país ou território estipulado para esse fim no Contrato Principal.
Ordem de precedência
1. No que diz respeito ao objeto deste DPA, em caso de inconsistências entre as disposições deste DPA e quaisquer outros acordos entre as partes, incluindo o Contrato Principal e incluindo (exceto quando explicitamente acordado de outra forma por escrito, assinado em nome das partes) acordos celebrados ou supostamente celebrados após a data deste DPA, as disposições deste DPA prevalecerão.
Disposições independentes
1. Caso qualquer disposição deste DPA seja inválida ou inexequível, o restante deste DPA permanecerá válido e em vigor. A disposição inválida ou inexequível deve ser (i) alterada conforme necessário para garantir sua validade e aplicabilidade, preservando as intenções das partes o mais próximo possível ou, se isso não for possível, (ii) interpretada de maneira como se a parte inválida ou inexequível nunca tivesse sido contida nela.
Término
1. Este DPA e as Cláusulas Contratuais Padrão serão rescindidos automaticamente com a rescisão do Contrato Principal.
2. Qualquer alteração ou variação a este DPA não será vinculativa para as Partes, a menos que seja estabelecida por escrito e assinada por representantes autorizados de cada uma das Partes.

* * *

Este DPA e os Anexos são celebrados e se tornam uma parte vinculativa do Contrato Principal com efeito a partir da data estabelecida acima.

ANEXO 1

CLÁUSULAS CONTRATUAIS PADRÃO

Com relação às Cláusulas Contratuais Padrão, as Partes concordam que:

O Módulo 2 (Controlador para Operador) será aplicado quando a SINCH Email atuar como operador de dados do Cliente; O Módulo 3 (Operador para Operador) será aplicado quando a SINCH Email atuar como suboperador do Cliente. Para cada módulo, se aplicável:
A cláusula 7 (cláusula de adesão) é incorporada;
Para os fins da Cláusula 9.a) (Uso de suboperadores), aplica-se a Opção 2: Autorização geral por escrito. O importador de dados tem a autorização geral do exportador de dados para a contratação de suboperadores de uma lista acordada. O importador de dados deve informar especificamente o exportador de dados por escrito sobre quaisquer alterações pretendidas nessa lista por meio da adição ou substituição de suboperadores com pelo menos dez (10) dias úteis de antecedência;
A redação opcional da Cláusula 11 (Retificação) sobre órgãos de resolução independentes não é incorporada;
Para os fins da Cláusula 13 (Supervisão), a CNIL, a Autoridade Nacional de Proteção de Dados (Commission Nationale de l’Informatique et des Libertés) atuará como autoridade supervisora competente;
A opção 1 da Cláusula 17 (Lei aplicável) será aplicada e as leis da França regerão as Cláusulas Contratuais Padrão;
Para os fins da Cláusula 18 (Escolha do foro e jurisdição), os tribunais da França resolverão qualquer disputa decorrente das Cláusulas Contratuais Padrão;
O Anexo IA (Lista das Partes) e o Anexo I B (Descrição da Transferência) devem ser preenchidos com base nas informações e detalhes especificados no Acordo Principal e enumerados na Cláusula 3 do DPA;
O anexo I B (Descrição da transferência) deve ser completado especificando que não devem ser transferidos dados sensíveis. A frequência da transferência deve ser contínua. Para transferências para suboperadores, o objeto, a natureza e a duração do Tratamento devem ser os mesmos do importador de dados;
Para efeitos do Anexo IC, a autoridade de controlo competente, de acordo com a Cláusula 13, é a CNIL, a Autoridade Francesa de Proteção de Dados (Commission Nationale de l’Informatique et des Libertés);
Para efeitos do anexo II, as medidas técnicas e organizativas são descritas no anexo 2 do DPA;
Para efeitos do anexo III, a lista de suboperadores ulteriores é incluída no anexo 3 do DPA;
quando a Transferência Restrita estiver sujeita ao Regulamento, pois faz parte da lei da Inglaterra e País de Gales, Escócia e Irlanda do Norte (GDPR do Reino Unido), as Cláusulas Contratuais Padrão devem incorporar o Adendo do Reino Unido preenchido da seguinte forma:
1. Para efeitos do Quadro 1, a data de início é a data da assinatura do DPA e os dados das Partes devem ser preenchidos com base nas informações e nos detalhes especificados no Contrato Principal;
2. Para os fins da Tabela 2, a versão das Cláusulas Contratuais Padrão da UE aprovadas à qual o Adendo do Reino Unido está anexado serão as Cláusulas Contratuais Padrão conforme preenchidas de acordo com este Anexo 1, sendo a data de vigência deste Adendo;
3. Para efeitos da Tabela 3, as informações do apêndice são as descritas nas alíneas “h” a “l” do presente anexo 1; e
4. Para os fins da Tabela 4, a Mailgun, como Importadora, pode rescindir o Adendo do Reino Unido quando o Adendo Aprovado for alterado.

ANEXO 2

SEGURANÇA DA INFORMAÇÃO – MEDIDAS TÉCNICAS E ORGANIZACIONAIS

Quando os dados pessoais são tratados ou usados automaticamente, a organização interna da SINCH Email garante que eles atendam aos requisitos específicos de proteção de dados, utilizando as melhores práticas de segurança. Em particular, a Sinch Email implementa as seguintes medidas para proteger dados pessoais ou outras categorias de dados sensíveis.

Controle de acesso físico

Para impedir que pessoas não autorizadas tenham acesso aos sistemas de Tratamento de dados com os quais os dados pessoais são tratados ou usados:

A Sinch Email aproveita os provedores de infraestrutura de nuvem e data center líderes do setor. O acesso a todos os data centers é estritamente controlado. Todos os data centers estão equipados com sistemas de vigilância e controle de acesso biométrico 24x7x365. Além disso, todos os provedores possuem certificações padrão do setor.
Os data centers são equipados com redundância de pelo menos N+1 para infraestrutura de energia, rede e refrigeração.
Dentro de uma região, o Tratamento de dados ocorre em pelo menos três zonas de disponibilidade distintas. Os serviços são projetados para suportar a falha de uma zona de disponibilidade sem interrupção do cliente.

Controle de acesso ao sistema

Para evitar que os sistemas de Tratamento de dados sejam usados sem autorização:

O acesso administrativo aos sistemas e serviços da Sinch Email segue o princípio do menor privilégio. O acesso aos sistemas é baseado na função e nas responsabilidades do trabalho. O Sinch Email utiliza nomes de usuário/identificadores exclusivos que não podem ser compartilhados ou reatribuídos a outra pessoa.
VPN e autenticação multifator são usadas para acesso a ferramentas de suporte interno e infraestrutura de produtos.
As listas de controle de acesso à rede (ACLs) e os grupos de segurança são usados para limitar o tráfego de entrada e saída da infraestrutura de produção.
Os sistemas de detecção de intrusão (IDS) são usados para detectar possíveis acessos não autorizados.
As proteções de rede foram implantadas para mitigar o impacto dos ataques distribuídos de negação de serviço (DDoS).
Os processos de integração e desligamento são documentados e seguidos de forma consistente para garantir que o acesso seja gerenciado adequadamente a ferramentas e sistemas hospedados interna e externamente. Sempre que possível, os serviços de terceiros aproveitam a funcionalidade de logon único (SSO), que permite o gerenciamento centralizado e impõe a autenticação multifator.

Controle de acesso a dados

Para garantir que os usuários autorizados com direito a usar os sistemas de Tratamento de dados tenham acesso apenas aos dados aos quais têm direito de acesso e que os dados pessoais não possam ser lidos, copiados, modificados ou removidos sem autorização durante o Tratamento ou uso e após o armazenamento:

O Sinch Email utiliza um sistema de gerenciamento de senhas que impõe comprimento mínimo de senha, complexidade, tempo de expiração e mínimo último uso.
As estações de trabalho dos funcionários são bloqueadas automaticamente após um período prolongado de inatividade. Os sistemas desconectam os usuários após um período prolongado de inatividade.
Os logs são armazenados e indexados centralmente. Logs críticos, como logs de segurança, são retidos por pelo menos um ano.
O processo de gerenciamento de patches do Sinch Email garante que os sistemas sejam corrigidos pelo menos uma vez por mês. O monitoramento, os alertas e a verificação rotineira de vulnerabilidades ocorrem para garantir que toda a infraestrutura do produto seja corrigida de forma consistente.
O software antivírus padrão do setor é utilizado para garantir que os ativos internos que acessam dados pessoais sejam protegidos contra vírus conhecidos. O software antivírus é atualizado regularmente.
O Sinch Email utiliza dispositivos de firewall para segregar o tráfego indesejado de entrar na rede. Uma DMZ é utilizada usando firewalls para proteger ainda mais os sistemas internos que protegem dados confidenciais.

Controle de transmissão de dados

Para garantir que os dados pessoais não possam ser lidos, copiados, modificados ou removidos sem autorização durante a transmissão ou transporte eletrônico:

Os dados do cliente são armazenados criptografados em repouso por meio do uso da criptografia AES-256 em dispositivos de bloco.
Os backups do cliente são criptografados em trânsito e em repouso usando criptografia forte.
O Sinch Email suporta TLS 1.2 para criptografar o tráfego de rede entre o aplicativo cliente e a infraestrutura do Sinch Email.
O Sinch Email é alertado sobre problemas de criptografia por meio de avaliações periódicas de risco e testes de penetração de terceiros. A Sinch Email realiza testes de penetração de terceiros anualmente ou conforme necessário devido a mudanças nos negócios.
A Sinch Email opera um programa de recompensas por bugs, incentivando a divulgação responsável de vulnerabilidades de pesquisadores da comunidade.

Controle de entrada

Para garantir que é possível verificar e determinar se e por quem os dados pessoais foram introduzidos nos sistemas de tratamento de dados, alterados ou removidos:

Os sistemas são monitorados quanto a eventos de segurança para garantir uma resolução rápida.
Os logs são armazenados e indexados centralmente. Logs críticos, como logs de segurança, são retidos por pelo menos um ano. Os logs podem ser rastreados até nomes de usuário exclusivos individuais com carimbos de data/hora para investigar não conformidades ou eventos de segurança.

Controle de disponibilidade

Para garantir que os dados pessoais sejam protegidos contra destruição ou perda acidental:

Os dados da conta são copiados pelo menos diariamente. A recuperação incremental/pontual está disponível para todos os bancos de dados primários. Os backups são criptografados em trânsito e em repouso usando criptografia forte.
O processo de gerenciamento de patches do Sinch Email garante que os sistemas sejam corrigidos pelo menos uma vez por mês. O monitoramento, os alertas e a verificação rotineira de vulnerabilidades ocorrem para garantir que toda a infraestrutura do produto seja corrigida de forma consistente.
Quando necessário, o Sinch Email corrige a infraestrutura de maneira rápida em resposta à divulgação de vulnerabilidades críticas para garantir que o tempo de atividade do sistema seja preservado.
Os ambientes do cliente são logicamente separados o tempo todo. Os clientes não podem acessar contas que não sejam aquelas para as quais receberam credenciais de autorização.

Certificação/garantia de processos e produtos

Garantir a governança e o gerenciamento interno de TI e segurança de TI, bem como a garantia de processos e produtos

Certificação ISO 27001
Certificação ISO 27701
Relatório SOC 2 Tipo 2 (apenas marcas Mailgun & Mailjet)
Relatório SOC 2 Tipo 1 (somente e-mail na marca Acid)

Subgrupo de cookies	Cookies	Cookies usados
eu5.mm.sdi.sinch.com	ASP.NET_SessionId	Primeira Parte
community.sinch.com	AWSALB , LiSESSIONID	Primeira Parte
appengage.sinch.com	dd_cookie_test_	Primeira Parte
tickets.sinch.com	atlassian.xsrf.token , JSESSIONID	Primeira Parte
cockpit2.sinch.com	SESSION	Primeira Parte
engage.sinch.com	instapage-variant-xxxxxxxx	Primeira Parte
dashboard.sinch.com	cookietest	Primeira Parte
brand.sinch.com	PHPSESSID , AWSALBCORS	Primeira Parte
sinch.com	__cf_bm , OptanonConsent , TEST_AMCV_COOKIE_WRITE , OptanonAlertBoxClosed , onesaasCookieSettings, QueryString, functional-cookies, performance-cookies, targeting-cookies, social-cookies lastExternalReferrer, lastExternalReferrertime, cookies, receive-cookie-deprecation _gdvisitor, _gd_session, _gcl_au, _fbp, _an_uid, _utm_zzses, lpv	Primeira Parte
mediabrief.com	__cf_bm	Terceiros
recaptcha.net	_GRECAPTCHA	Terceiros
cision.com	__cf_bm	Terceiros
techtarget.com	__cf_bm	Terceiros

Subgrupo de cookies	Cookies	Cookies usados
community.sinch.com	ValueSurveyVisitorCount	Primeira Parte
buzz.sinch.com	instap-spid.8069 , instap-spses.8069	Primeira Parte
appengage.sinch.com	_dd_s	Primeira Parte
sinch.com	AMP_TLDTEST , rl_page_init_referrer , rl_trait , _vis_opt_s , __q_state_dp56h9oqwhna9CoL , cb_user_id , __hstc , rl_anonymous_id , rl_user_id , initialTrafficSource , _vwo_uuid , _vwo_uuid_v2 , rl_page_init_referring_domain , _hjIncludedInSessionSample_xxx , apt.uid , __hssrc , test_rudder_cookie , cb%3Atest , __hssc , rl_group_trait , _hjAbsoluteSessionInProgress , _vwo_referrer , _vwo_sn , _vis_opt_test_cookie , _hjFirstSeen , _hjTLDTest , _hjSession_xxxxxx , s_sq , _vwo_ds , rl_group_id , _vis_opt_exp_n_combi , s_cc , _gclxxxx , cb_anonymous_id , cb_group_id , apt.sid , rl_session , _uetvid , AMP_899c7e29a9 , _hjSessionUser_xxxxxx	Primeira Parte
brand.sinch.com	AMP_TEST	Primeira Parte
engage.sinch.com	no-cache , instap-spses.85bb , instap-spid.85bb	Primeira Parte
www.sinch.com	d-a8e6 , s-9da4	Primeira Parte
nr-data.net	JSESSIONID	Terceiros
sinch-en.newsroom.cision.com	_ga, _gid	Terceiros
sinch.in	_ga_xxxxxxxxxx, _gat_UA-XXXXXX-X, _gid, _ga	Terceiros
g.fastcdn.co	instap-spses.85bb	Terceiros
hello.learn.mailjet.com	pardot, visitor_id, visitor_id#####	Terceiros
www.googletagmanager.com	userId	Terceiros
hello.learn.mailgun.com	visitor_id#####, visitor_id	Terceiros
dev.visualwebsiteoptimizer.com	_vwo_ssm	Terceiros
box.com	box_visitor_id	Terceiros
app.box.com	z, cn	Terceiros
sinch-tfn.paperform.co	laravel_session	Terceiros
go.sinch.in	visitor_id#####, visitor_id	Terceiros
Qualified	__q_local_form_debug	Third party
Rudderstack	rudder.inProgress, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.queue, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.ack, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.reclaimStart, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.reclaimEnd,	Third party
6sense	_6senseCompanyDetauls, _6signalTTL	Third party
Appcues	apc_local_id, apc_user	Third party

Subgrupo de cookies	Cookies	Cookies usados
investors.sinch.com	visitor_id	Primeira Parte
community.sinch.com	VISITOR_BEACON , LithiumVisitor	Primeira Parte
sinch.com	_uetsid , ajs_user_id , _gcl_aw , ajs_group_id , AMCV_ , __utmzzses , _fbp , _gcl_au , AMCVS_	Primeira Parte
go.latam.sinch.com	visitor_id##### , pardot	Primeira Parte
linkedin.com	li_gc, bcookie, lidc, AnalyticsSyncHistory, UserMatchHistory, li_sugr	Terceiros
pi.pardot.com	lpv151751, pardot	Terceiros
hsforms.com	_cfuvid	Terceiros
google.com	CONSENT	Terceiros
sinch.in	_gclxxxx, _gcl_au	Terceiros
www.linkedin.com	bscookie	Terceiros
bing.com	MUID, MSPTC	Terceiros
www.facebook.com		Terceiros
hello.learn.mailgun.com	pardot	Terceiros
www.youtube.com	TESTCOOKIESENABLED	Terceiros
dev.visualwebsiteoptimizer.com	uuid	Terceiros
g2crowd.com	__cf_bm	Terceiros
pardot.com	visitor_id#####, visitor_id	Terceiros
tracking.g2crowd.com	_session_id	Terceiros
hubspot.com	__cf_bm, _cfuvid	Terceiros
doubleclick.net	test_cookie, IDE	Terceiros
youtube.com	CONSENT, VISITOR_PRIVACY_METADATA, VISITOR_INFO1_LIVE	Terceiros
go.sinch.in	pardot	Terceiros
liadm.com	lidid	Terceiros
www.google.com	_GRECAPTCHA	Terceiros

Subgrupo de cookies	Cookies	Cookies usados
portal.sinch.com	pnctest	Primeira Parte
partner.appengage.sinch.com	_dd_s	Primeira Parte
investors.sinch.com	Primeira Parte
community.sinch.com	LithiumUserInfo , LithiumUserSecure	Primeira Parte
tickets.sinch.com	selectedidp	Primeira Parte
engage.sinch.com	ln_or	Primeira Parte
cockpit2.sinch.com	CSRF-TOKEN , NG_TRANSLATE_LANG_KEY	Primeira Parte
sinch.com	apt.temp-xxxxxxxxxxxxxxxxxx , hubspotutk , ajs%3Acookies , cf_clearance , ajs%3Atest , __tld__ , __q_domainTest , pfjs%3Acookies , ajs_anonymous_id	Primeira Parte
auth.appengage.sinch.com	AUTH_SESSION_ID , KEYCLOAK_3P_COOKIE , KEYCLOAK_3P_COOKIE_SAMESITE , KC_RESTART , AUTH_SESSION_ID_LEGACY	Primeira Parte
www.recaptcha.net	_GRECAPTCHA	Terceiros
boxcdn.net	__cf_bm	Terceiros
d2oeshgsx64tgz.cloudfront.net	cookietest	Terceiros
sinch-np.paperform.co	XSRF-TOKEN, laravel_session	Terceiros
vimeo.com	__cf_bm, vuid	Terceiros
sinch-ca-sc.paperform.co	XSRF-TOKEN, laravel_session	Terceiros
box.com	site_preference	Terceiros
app.box.com	bv	Terceiros
sinch-tfn.paperform.co	XSRF-TOKEN	Terceiros
cision.com	cf_clearance	Terceiros

Subgrupo de cookies	Cookies	Cookies usados
community.sinch.com	ln_or	Primeira Parte
sinch.in	_fbp	Terceiros
youtube-nocookie.com	CONSENT	Terceiros
youtube.com	YSC	Terceiros

E-MAIL DE SINCH Acordo de Tratamento de Dados – “DATA PROCESSING AGREEMENT” (“DPA”)

Legal and Compliance

Privacy Notices

Other