O Google e o Cliente celebraram os Termos de proteção de dados entre controladores de métricas do Google (os "Termos entre Controladores"), que complementam o Contrato. Este Adendo do Controlador de Leis Estaduais de Privacidade dos EUA para os Termos entre Controladores (este "Adendo do Controlador de Leis Estaduais de Privacidade) é firmado pelo Google e pelo Cliente e também complementa o Contrato. Ele entrará em vigor a partir de 1º de janeiro de 2023 ou na data em que o Cliente clicar para aceitar ou as partes concordarem com este Adendo.
1. Introdução.
O Google pode oferecer e o Cliente pode ativar determinadas configurações no produto ou outras funcionalidades dos Serviços de Medição relacionadas ao processamento de dados restrito, conforme descrito na documentação de suporte disponível em business.safety.google/rdp ou atualizações periódicas (“Processamento de Dados Restrito”). Este Adendo do Controlador de Leis Estaduais de Privacidade estabelece as disposições de proteção de dados relacionadas apenas à Configuração do Compartilhamento de Dados (quando o Processamento de Dados Restrito não está ativado) e não se aplica à prestação dos Serviços de Medição. O Cliente é o único responsável por manter a compliance com cada uma das Leis Estaduais de Privacidade Aplicáveis no uso dos Serviços do Google, incluindo o Processamento de Dados Restrito.
Este Adendo do Controlador de Leis Estaduais de Privacidade reflete o contrato entre as partes sobre o processamento de Dados Pessoais do Cliente e Dados Desidentificados (conforme definido abaixo) de acordo com a Configuração do Compartilhamento de Dados em relação às Leis Estaduais de Privacidade Aplicáveis (conforme definido abaixo) e está em vigor somente na medida em que cada Lei Estadual de Privacidade é aplicável.
2. Definições e interpretação.
2.1 "Leis Estaduais de Privacidade Aplicáveis" significa, conforme aplicável: (a) a CCPA; (b) a Lei de Proteção de Dados do Consumidor da Virgínia, Código Anotado da Virgínia, parágrafo 59.1-571 et seq.; (c) a Lei de Privacidade do Colorado, Estatutos Revisados do Colorado, parágrafo 6-1-1301 et seq., com todos os regulamentos em implementação; (d) a Lei de Connecticut sobre privacidade de dados e monitoramento on-line, pub. Lei nº. 22015; e (e) a Lei de Privacidade do Consumidor de Utah, Código Anotado de Utah, parágrafo 13-61-101 et seq.
2.2 "CCPA" significa a Lei de Privacidade do Consumidor da Califórnia de 2018, e alterações, incluindo a mudança na Lei de Direitos de Privacidade da Califórnia de 2020, em conjunto com todos os regulamentos em implementação.
2.3 "Dados Desidentificados" refere-se às informações de dados desidentificadas (conforme o termo definido pela CCPA) e aos "dados não identificados" (conforme definido por outras leis estaduais de privacidade aplicáveis), quando divulgadas por uma parte à outra.
2.4 Os termos "empresa", "consumidor", "controlador", "dados pessoais", "informações pessoais, processar, processamento, vendas e vender", conforme usado neste Adendo do Controlador de Leis Estaduais de Privacidade, têm os significados apresentados nas Leis Estaduais de Privacidade Aplicáveis.
2.5 Os termos iniciados por maiúsculas usados, mas não definidos neste Adendo do Controlador de Leis Estaduais de Privacidade, têm os significados atribuídos nos Termos entre Controladores.
3. Termos da Lei Estadual de Privacidade Aplicável.
3.1 Dados Desidentificados. Cada parte obedecerá aos requisitos de processamento de dados desidentificados estabelecidos na Lei Estadual de Privacidade Aplicável a respeito dos Dados Desidentificados recebidos da outra parte de acordo com a Configuração do Compartilhamento de Dados.
3.2 Obrigações do Google segundo a CCPA. Com relação aos Dados Pessoais do Cliente processados com o processamento de dados restrito desativado, de acordo com a Configuração do Compartilhamento de Dados e na medida em que a CCPA se aplica ao processamento:
- (a) O Google processará esses Dados Pessoais do Cliente de acordo com a Configuração do Compartilhamento de Dados, conforme descrito no Contrato e na documentação de suporte (por exemplo, artigos da Central de Ajuda) ou conforme permitido pela CCPA, e as partes concordam que o Cliente disponibiliza esses Dados Pessoais ao Google para tais fins;
- (b) O Google permitirá que auditorias verifiquem a compliance do Google com as obrigações, segundo este Adendo do Controlador de Leis Estaduais de Privacidade da seguinte maneira:
- (i) O Cliente pode realizar uma auditoria para verificar a compliance do Google com as obrigações segundo este Adendo do Controlador de Leis Estaduais de Privacidade solicitando e revisando (1) um certificado emitido para verificação de segurança que mostre o resultado de uma auditoria por um auditor independente (por exemplo, certificação ISO/IEC 27001 ou outra certificação similar, ou outra certificação de segurança referente a uma auditoria realizada por um auditor independente aceito pelo Cliente e pelo Google) em até 12 meses a partir da data de solicitação do Cliente e (2) qualquer outra informação que o Google determinar que é razoavelmente necessária para o Cliente verificar a compliance.
- (ii) Como alternativa, o Google pode, a critério exclusivo e em resposta a uma solicitação do Cliente, pedir a um auditor independente para verificar a compliance do Google com as obrigações segundo este Adendo do Controlador de Leis Estaduais de Privacidade. Durante uma auditoria, o Google disponibilizará ao auditor independente todas as informações necessárias para demonstrar que obedece à lei. Quando o Cliente solicitar essa auditoria, o Google poderá cobrar uma taxa (com base nos custos razoáveis que tenha) para qualquer auditoria. O Google fornecerá ao Cliente mais detalhes sobre qualquer taxa aplicável e sobre a base de cálculo antes de auditorias desse tipo. O Cliente será responsável pelas taxas cobradas por um auditor independente para realizar a auditoria.
- (iii) Nenhuma disposição neste Adendo do Controlador de Leis Estaduais de Privacidade exige que o Google divulgue ao Cliente ou ao auditor independente ou permita que eles acessem:
- (1) dados de outro cliente de uma Entidade do Google;
- (2) informações financeiras ou contábeis internas de uma Entidade do Google;
- (3) segredos comerciais de uma Entidade do Google;
- (4) informações que, na opinião razoável do Google, possam: (A) comprometer a segurança dos sistemas ou instalações de qualquer Entidade do Google; ou (B) fazer com que uma Entidade do Google não cumpra as obrigações previstas na Legislação de Proteção de Dados Europeia ou as obrigações de segurança e/ou privacidade para com o Cliente ou terceiros; ou
- (5) qualquer informação que o Cliente ou o auditor independente tente acessar por qualquer motivo que não seja o cumprimento de boa-fé das obrigações do Cliente segundo a Lei Estadual de Privacidade Aplicável;
- (c) O Google notificará o Cliente se determinar que não pode mais cumprir com as obrigações impostas pela CCPA;
- (d) Se o Cliente acreditar razoavelmente que o Google está processando os Dados Pessoais do Cliente de forma não autorizada, o Cliente terá o direito de notificar o Google sobre isso pelos métodos descritos em privacy.google.com/businesses/processorsupport, e as partes trabalharão juntas de boa-fé para corrigir as atividades de processamento supostamente infratoras, se necessário; e
- (e) O Google cumprirá as obrigações aplicáveis de acordo com a CCPA e proporcionará o mesmo nível de proteção de privacidade exigido por ela.
4. Alterações neste Adendo do Controlador de Leis Estaduais de Privacidade.
Além da Seção 9 dos Termos entre Controladores (Alterações nestes Termos entre Controladores), o Google poderá alterar este Adendo do Controlador de Leis Estaduais de Privacidade sem aviso prévio se a mudança (a) tiver como base a legislação aplicável, uma regulamentação aplicável, um mandado ou uma diretriz emitida por um órgão regulador ou agência governamental ou (b) não tiver um impacto material negativo no Cliente segundo os termos das Leis Estaduais de Privacidade Aplicáveis, conforme razoavelmente determinado pelo Google.
1º de janeiro de 2023