Começe já
Instagram
WhatsApp
Criadores
Preços
Privacidade e Segurança
Manychat logo
AI icosave logo as svg
AI icobecome a partner
Data efetiva: 1 de maio de 2023
Versão anterior

Adendo de Tratamento de Dados

Durante a prestação de serviços da Manychat, a Manychat trata determinados Dados Pessoais relacionados a clientes, seus representantes, usuários finais e assinantes do cliente. Com isso, a Manychat atua como operador em nome dos cliente e como controlador. Este Adendo de Tratamento de Dados ("ADP") estabelece os termos e condições do Tratamento pela Manychat.

O ADP é parte integrante dos Termos de Serviço ("Contrato") celebrado entre a Manychat, Inc., suas subsidiárias ou afiliadas, conforme aplicável ("Manychat") e o cliente, que é parte do Contrato ("Cliente").

Índice

  1. Adendo de Tratamento de Dados

1.1. Definições

1.2. Relação das partes

1.3. Subtratamento

1.4. Medidas de Segurança

1.5. Avaliações e relatórios de segurança

1.6. Violação de Dados e notificação

1.7. Direitos e cooperação de Titulares de Dados

1.8. Devolução ou exclusão de dados

1.9. Disposições diversas

ANEXO 1. Informações do Tratamento

1A. A Manychat na qualidade de Operador

1B. A Manychat na qualidade de Controlador

ANEXO 2. Medidas de Segurança

ANEXO 3. Disposições internacionais e termos específicos de jurisdição

1. Definições

"Leis Aplicáveis de Proteção de Dados" significa todas as leis e regulamentos de privacidade e proteção de dados aplicáveis às partes nos termos do Contrato. Cada parte escolhe sua Lei Aplicável de Proteção de Dados e entende que a Manychat e o Cliente podem estar sujeitos a Leis Aplicáveis de Proteção de Dados diferentes.

"Controlador" significa uma pessoa física ou jurídica que determina as finalidades e os meios do Tratamento dos Dados Pessoais.

"Cliente" significa a Parte do Contrato celebrado com a Manychat. O Cliente pode ser um cliente, uma agência de marketing, um empreendedor individual ou uma pessoa jurídica em nome da qual os Usuários Finais utilizam os Serviços.

"Informações de Conta do Cliente" significa os Dados Pessoais relacionados ao Cliente, seus representantes e Usuários Finais que são tratados pela Manychat na qualidade de Controlador independente, conforme previsto com mais detalhes neste ADP.

"Conteúdo do Cliente" significa os Dados Pessoais relacionados a Usuários Finais e Assinantes do Cliente tratados pela Manychat na qualidade de Operador em nome do Cliente durante a prestação dos Serviços, conforme previsto com mais detalhes neste ADP.

"Assinantes do Cliente" são os Titulares de Dados com os quais o Cliente se comunica durante a utilização dos Serviços e/ou cujos dados o Cliente envia aos Serviços (clientes, possíveis clientes, contatos de redes sociais e plataformas de mensagens ou outras pessoas).

"Violação de Dados" significa qualquer violação de segurança confirmada, não autorizada ou ilegal, que resulte em destruição, perda, alteração, divulgação ou acesso não autorizados ou ilegais dos Dados Pessoais tratados pela Manychat. Uma Violação de Dados não inclui tentativas ou atividades malsucedidas que não comprometem a segurança dos Dados Pessoais, inclusive tentativas de login malsucedidas, pings, testes de porta, ataques de negação de serviços ou outros ataques de rede em firewalls ou sistemas em rede.

"Titular de Dados" significa uma pessoa física identificada ou identificável a quem os Dados Pessoais se referem.

"Usuários Finais" significa o Cliente e outros Titulares de Dados com acesso autorizado aos Serviços em nome ou mediante autorização legal de um Cliente.

"Dados Pessoais" significa "dados pessoais", "informações pessoais", "informações pessoalmente identificáveis" ou informações semelhantes definidas e regidas pelas Leis Aplicáveis de Proteção de Dados. O termo significa todas as informações relacionadas a um Titular de Dados. Neste ADP, o termo "Dados Pessoais" inclui o Conteúdo do Cliente e as Informações de Conta do Cliente. Se o termo "Dados Pessoais" for utilizado, a disposição relevante será aplicável ao Conteúdo do Cliente e às Informações de Conta do Cliente.

"Tratamento" significa todas as operações ou conjunto de operações realizadas em Dados Pessoais ou conjuntos de Dados Pessoais, por meios automatizados ou não, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, disseminação ou outro tipo de disponibilização, alinhamento ou combinação, restrição, exclusão ou destruição.

"Operador" significa a empresa que trata os Dados Pessoais em nome de um Controlador.

"Serviços" significa quaisquer produtos ou serviços oferecidos ou prestados pela Manychat ao Cliente nos termos do Contrato.

"Suboperador" significa qualquer Operador contratado pela Manychat para ajudar no cumprimento de suas obrigações de prestação dos Serviços de acordo com o Contrato ou este ADP.

Todos os termos grafados com letra maiúscula neste ADP têm os significados atribuídos a eles no Contrato.

2. Relação das partes

2.1. A Manychat na qualidade de Operador. As partes reconhecem e concordam que, no que diz respeito ao Tratamento do Conteúdo do Cliente, a Manychat é um Operador atuando em nome do Cliente (seja ele um Controlador ou um Operador). A Manychat trata o Conteúdo do Cliente de acordo com as instruções do Cliente previstas na Cláusula 2.4. A Manychat poderá tratar o Conteúdo do Cliente apenas para as finalidades previstas neste ADP e de acordo com as instruções do Cliente.

2.2 A Manychat na qualidade de Controlador. As partes reconhecem que, em relação ao Tratamento das Informações de Conta do Cliente, a Manychat é um controlador independente e não um controlador conjunto com o Cliente. A Manychat tratará as Informações de Conta do Cliente na qualidade de Controlador para desempenhar as funções necessárias, como celebração do contrato, gerenciamento da conta, cumprimento da lei, contabilidade, tributação, cobrança, auditoria, vendas e comunicações de marketing com o Cliente. A Manychat tratará os dados de acordo com sua Política de Privacidade, disponível no endereço www.manychat.com/pt/legal/privacy, e com as disposições aplicáveis deste ADP.

2.3. Informações do Tratamento dos Dados. As informações do Tratamento do Conteúdo do Cliente e das Informações de Conta do Cliente estão disponíveis no Anexo 1. Ele descreve com mais detalhes a natureza e a finalidade do Tratamento, o prazo do Tratamento, os tipos de Dados Pessoais e categorias de Titulares de Dados, as fontes dos Dados Pessoais e os Operadores e Suboperadores contratados pela Manychat.

2.4. Instruções do Cliente. A Manychat tratará o Conteúdo do Cliente apenas de acordo com as instruções do Cliente. Ao celebrar o Contrato, inclusive este ADP, o Cliente consente com o Tratamento, pela Manychat, do Conteúdo do Cliente para fins de prestação dos Serviços.

2.5. O Cliente na qualidade de Operador. Se o Cliente for um operador atuando em nome de outro Controlador, o Cliente garante, continuamente, que o Controlador em questão autorizou (i) as instruções previstas no ADP e a nomeação da Manychat como suboperador e (ii) a contratação, pela Manychat, de Suboperadores, conforme previsto na Cláusula 3. O Cliente encaminhará, prontamente, ao Controlador relevante, quaisquer notificações enviadas pela Manychat ao Cliente nos termos deste ADP (sobre a contratação de um novo Suboperador, uma Violação de Dados, pedidos de Titulares de Dados etc.).

2.6. Cumprimento da lei. Cada parte cumprirá suas obrigações nos termos de suas respectivas Leis Aplicáveis de Proteção de Dados no que se refere ao Tratamento de Dados Pessoais.

2.7. Obrigações do Cliente. O Cliente concorda que cumprirá suas obrigações de acordo com as Leis Aplicáveis de Proteção de Dados do Cliente no que se refere ao Tratamento de Dados Pessoais e quaisquer instruções de Tratamento que enviar à Manychat. Especificamente, o Cliente deve fornecer e obter todos os consentimentos (ou outras bases legais) e direitos que forem necessários, de acordo com as Leis Aplicáveis de Proteção de Dados do Cliente, para (i) contratar a Manychat para tratar o Conteúdo do Cliente em nome do Cliente e (ii) transferir as Informações de Conta do Cliente à Manychat de acordo com o Contrato e este ADP.

O Cliente deve informar à Manychat quaisquer requisitos para o Tratamento do Conteúdo do Cliente pela Manychat que estejam previstos nas Leis Aplicáveis de Proteção de Dados do Cliente e não estejam previstos expressamente neste ADP.

3. Subprocesamiento

3.1. Suboperadores autorizados. O Cliente autoriza e concorda expressamente que a Manychat poderá contratar Suboperadores para tratar o Conteúdo do Cliente. A lista de Suboperadores atualmente contratados pela Manychat e autorizados pelo Cliente está disponível no endereço www.manychat.com/pt/legal/service-providers. De maneira geral, o Cliente também autoriza a Manychat a contratar Suboperadores para tratar o Conteúdo do Cliente de acordo com o procedimento previsto na Cláusula 3.3 do ADP.

3.2. Obrigações de Suboperadores. No que diz respeito aos Suboperadores, a Manychat deve:

  • celebrar contratos legalmente vinculantes com os Suboperadores, impondo obrigações de proteção de dados semelhantes em conteúdo às obrigações previstas neste ADP; e
  • permanecer responsável pelo cumprimento, pelo Suboperador, das obrigações previstas neste ADP e por quaisquer atos ou omissões do Suboperador que resultem em violação, pela Manychat, de suas obrigações previstas neste ADP.

3.4. Contratação de novos Suboperadores. A Manychat notificará o Cliente sobre a contratação de novos Suboperadores se o Cliente se cadastrar para receber essas notificações no endereço www.manychat.com/pt/legal/subscribe-subprocessor-updates. A Manychat enviará essa notificação com no mínimo 10 (dez) dias corridos de antecedência do acesso do novo Suboperador ao Conteúdo do Cliente. Se a Manychat acreditar razoavelmente que a contratação de um novo Suboperador e a concessão mais rápida possível de acesso ao Conteúdo do Cliente são ações necessárias para proteger a confidencialidade, a integridade ou a disponibilidade do Conteúdo do Cliente ou evitar interrupções significativas dos Serviços, a Manychat enviará essa notificação assim que possível.

3.4. Objeção. Se, em até 5 (cinco) dias corridos do recebimento de uma notificação da Manychat, o Cliente notificar a Manychat sobre sua objeção à nomeação, pela Manychat, de um novo Suboperador com base em preocupações razoáveis relacionadas à proteção dos dados, as partes deverão discutir essas preocupações de boa-fé e decidir se elas podem ser resolvidas. Se as partes não conseguirem sanar as preocupações de comum acordo, o Cliente poderá, como seu único e exclusivo recurso, rescindir o Contrato e o ADP por conveniência e sem direito a reembolso. O Cliente permanecerá responsável por pagar todas as tarifas acordadas em pedidos, solicitações, declarações de trabalho ou outros documentos semelhantes.

Se o Cliente não apresentar objeções à Manychat no prazo indicado, será considerado que a Manychat foi autorizada pelo Cliente a contratar um novo Suboperador.

4. Medidas de Segurança

4.1. Medidas adequadas. A Manychat implementará e manterá, durante o prazo deste ADP, as medidas de segurança técnicas e organizacionais previstas no Anexo 2 ("Medidas de Segurança") para proteger os Dados Pessoais de qualquer Violação de Dados e preservar a segurança e a confidencialidade dos Dados Pessoais de acordo com os padrões de segurança da Manychat.

4.2. Confidencialidade do Tratamento. A Manychat deve garantir que todas as pessoas que estiverem autorizadas por ela a tratar os Dados Pessoais (inclusive empregados, agentes, subcontratados e Suboperadores) estejam vinculados a uma obrigação de confidencialidade apropriada (seja ela contratual ou prevista em lei).

4.3. Responsabilidades do Cliente. O Cliente reconhece e concorda que:

  • Analisou e avaliou a lista de Medidas de Segurança e considera que ela é adequada para proteger os Dados Pessoais nos termos das Leis Aplicáveis de Proteção de Dados do Cliente e oferece medidas de segurança adequadas para a transferência internacional dos Dados Pessoais (se aplicável). Mediante solicitação do Cliente, a Manychat poderá implementar medidas de segurança adicionais conforme exigidas de maneira razoável para permitir a transferência legal dos Dados Pessoais.
  • Exceto se previsto de outro modo neste ADP, o Cliente é responsável pelo uso com segurança dos Serviços, inclusive por manter suas credenciais de autenticação de conta seguras e proteger a segurança dos Dados Pessoais em trânsito e os sistemas e dispositivos do Cliente utilizados para acessar os Serviços.

4.4. Atualizações às Medidas de Segurança. O Cliente reconhece que as Medidas de Segurança estão sujeitas a progressos e desenvolvimentos técnicos e que a Manychat pode atualizar ou modificar as Medidas de Segurança de tempos em tempos, ficando estabelecido que essas atualizações e modificações não devem prejudicar a segurança geral dos Serviços comprados pelo Cliente. O Cliente é responsável por revisar as informações disponibilizadas à Manychat sobre dados de segurança atualizados e determinar, de maneira independente, se os Serviços atendem às exigências do Cliente e cumprem as obrigações legais previstas nas Leis Aplicáveis de Proteção de Dados do Cliente.

5. Avaliações e relatórios de segurança

5.1. Relatórios de segurança. A Manychat conta com auditores externos para verificar a suficiência de suas medidas de segurança e obteve a certificação ISO 27001 para os Serviços. Essas auditorias são realizadas pelo menos uma vez por ano por profissionais de segurança terceirizados independentes escolhidos pela Manychat. As auditorias resultam em um relatório de auditoria confidencial ("Relatório de Auditoria"). Mediante solicitação escrita, e sujeita a controles de confidencialidade razoáveis, a Manychat disponibilizará ao Cliente uma cópia resumida do Relatório de Auditoria mais recente da Manychat.

5.2. Diligência prévia de segurança. Além do Relatório de Auditoria, a Manychat responderá a pedidos razoáveis de informação que o Cliente enviar para confirmar o cumprimento, pela Manychat, deste ADP. Ela responderá, também, a questionários sobre segurança da informação e diligência prévia do Cliente. O Cliente não poderá exercer esse direito mais de uma vez por ano civil.

6. Violação de dados e notificação

6.1. Prazo da notificação. Ao tomar conhecimento de uma Violação de Dados, a Manychat deve enviar uma notificação ao Cliente, sem atrasos indevidos e em até, no máximo, 52 horas após a descoberta do incidente, exceto se proibida por lei. Um atraso em fornecer uma notificação solicitada por uma autoridade policial e/ou em face da necessidade legítima da Manychat de investigar ou remediar o incidente antes de enviar a notificação não constitui atraso indevido.

6.2. Conteúdo da notificação. Essas notificações devem conter, na medida do possível, informações sobre a Violação de Dados, inclusive as medidas tomadas para mitigar possíveis riscos e as medidas que a Manychat recomenda que sejam tomadas pelo Cliente para abordar a Violação de Dados.

6.3. Cooperação da Manychat. A Manychat cooperará com o Cliente e tomará medidas comerciais razoáveis para ajudar na investigação, mitigação e remediação de Violações de Dados. Nenhuma notificação de, ou resposta a, uma Violação de Dados por parte da Manychat de acordo com esta cláusula constituirá um reconhecimento, pela Manychat, de culpa ou responsabilidade pela Violação de Dados.

6.4. Notificações sobre Violações de Dados a autoridades e Titulares de Dados. O Cliente é exclusivamente responsável por cumprir suas obrigações de notificação de terceiros relativas a Violações de Dados de acordo com as Leis Aplicáveis de Proteção de Dados do Cliente (como notificações às autoridades de proteção de dados ou comunicados a Titulares de Dados).

7. Direitos e cooperação de Titulares de Dados

7.1. Solicitações de Titulares de Dados. Mediante solicitação do Cliente, a Manychat fornecerá ao Cliente a assistência solicitada por ele para cumprir suas obrigações, previstas nas Leis Aplicáveis de Proteção de Dados do Cliente, de responder a solicitações de Titulares de Dados para exercício de seus direitos previstos nas Leis Aplicáveis de Proteção de Dados do Cliente (como direito de acesso, retificação, exclusão, limitação, portabilidade e objeção de dados) caso o Cliente não seja capaz de atender a essas solicitações de maneira independente com o recurso de autoatendimento dos Serviços.

7.2. Autorização para solicitações diretas à Manychat. Se a Manychat receber uma solicitação de um Titular de Dados relativa ao Conteúdo do Cliente, (i) de cancelamento do recebimento, pelo Titular de Dados, de mensagens enviadas pelo Cliente por meio dos Serviços ou (ii) de exclusão do Conteúdo do Cliente nos Serviços que se refira, parcial ou totalmente, ao Titular de Dados, o Cliente autoriza e instrui a Manychat a cancelar o recebimento ou excluir os Dados do Conteúdo relativos ao Titular de Dados.

7.3. Assistência da Manychat. A Manychat fornecerá ao Cliente assistência razoável conforme expressamente solicitada pelo Cliente para cumprimento de suas obrigações previstas nas Leis Aplicáveis de Proteção de Dados do Cliente, considerando a natureza do Tratamento e as informações disponíveis à Manychat na qualidade de Operador (por exemplo, com relação à segurança do Tratamento, notificações de Violações de Dados, avaliação de impacto sobre proteção de dados, consultas anteriores com autoridades de fiscalização). Se a assistência razoável solicitada exigir que a Manychat utilize recursos significativos, eles serão arcados pelo Cliente.

8. Devolução ou exclusão de dados

8.1. Mediante o recebimento de uma solicitação pelo Cliente e após a rescisão do Contrato, a Manychat deverá excluir ou devolver ao Cliente todo o Conteúdo do Cliente disponível nos sistemas da Manychat. Não obstante o acima exposto, o Cliente entende que a Manychat pode ser obrigada por lei a reter algumas partes do Conteúdo do Cliente de acordo com suas políticas de retenção de dados. Esses dados permanecerão sujeitos aos termos deste ADP.

9. Disposições diversas

9.1. Tratamento nos Estados Unidos. O Cliente reconhece que a prestação dos Serviços e as atividades relacionadas da Manychat na qualidade de Controlador podem exigir que os Dados Pessoais sejam tratados por Suboperadores ou Operadores nos países fora do EEE, inclusive os Estados Unidos.

9.2. Meio de comunicação. A Manychat enviará todas as notificações mencionadas no ADP para o e-mail indicado pelo Cliente no processo de cadastro ou postará as notificações na interface do usuário nos Serviços. Todas as objeções e solicitações do Cliente previstas no ADP ou outras comunicações sobre o Tratamento dos Dados Pessoais devem ser enviadas pelo Cliente para o mesmo e-mail no qual o Cliente recebeu uma notificação da Manychat ou para privacy@manychat.com.

9.3. Reivindicações. Quaisquer reivindicações feitas ou relacionadas a este ADP estarão sujeitas aos termos e condições do Contrato, inclusive, sem limitação, às suas exclusões e limitações.

9.4. Inexistência de direitos de terceiros beneficiários. Este ADP não concede direitos de terceiros beneficiários e sua intenção é beneficiar apenas as partes contratantes e seus respectivos sucessores e cessionários. Este ADP não pretende beneficiar, nem poderá ser cumprido por, nenhuma outra pessoa.

9.5. Lei aplicável. Este ADP será regido e interpretado de acordo com as disposições sobre lei aplicável e jurisdição do Contrato, a menos que previsto de outro modo nas Leis Aplicáveis de Proteção de Dados do Cliente ou nos termos específicos de jurisdição do Anexo 3.

9.6. Rescisão. Este Adendo será rescindido automaticamente mediante a expiração ou rescisão do Contrato. A rescisão do ADP será possível somente mediante rescisão do Contrato.

9.7. Responsabilidade. O Cliente concorda, ainda, que multas regulatórias incorridas pela Manychat em relação aos Dados Pessoais que resultem do não cumprimento do Cliente de suas obrigações previstas neste ADP ou em quaisquer Leis Aplicáveis de Proteção de Dados do Cliente, ou sejam relacionadas a esse não cumprimento, devem ser contabilizadas e reduzir a responsabilidade da Manychat previstas no Contrato como se fossem responsabilidades do Cliente previstas no Contrato. A Manychat será responsável por multas regulatórias incorridas pelo Cliente ou pela Manychat em relação ao Dados Pessoais que resultem do não cumprimento da Manychat de suas obrigações previstas neste ADP ou em quaisquer Leis Aplicáveis de Proteção de Dados da Manychat ou sejam relacionadas a esse não cumprimento.

Não obstante qualquer disposição em sentindo contrário neste ADP ou no Contrato (inclusive, sem limitação, as obrigações de indenização das partes), nenhuma parte será responsável por multas emitidas ou impostas contra a outra parte por uma autoridade regulatória ou órgão do governo sobre a violação, por essa outra parte, de suas Leis Aplicáveis de Proteção de Dados.

9.8. Relação com o Contrato. Este ADP é parte integrante do Contrato e, exceto se previsto expressamente neste ADP, o Contrato permanecerá inalterado e em pleno vigor. Caso haja um conflito entre este ADP e o Contrato, as disposições do ADP prevalecerão. As partes concordam que este ADP substituirá qualquer ADP existente que as partes tenham celebrado anteriormente em relação aos Serviços.

ANEXO 1. Informações do Tratamento

1A. A Manychat na qualidade de Operador
Finalidade e natureza do Tratamento Para prestação dos Serviços nos termos do Contrato, inclusive prestação de suporte ao Cliente, comunicações relativas à Conta do Cliente (envio de anúncios, avisos técnicos, atualizações, alertas de segurança e mensagens de suporte e administrativas) e respostas a solicitações, perguntas e feedback sobre os Serviços, registro de atividades, rastreamento de erros e incidentes, resolução de bugs e erros, garantia de acessibilidade, segurança e usabilidade dos Serviços e melhorias de interesse para o Cliente.
Prazo de retenção dos Dados Pessoais Até a rescisão ou expiração do Contrato de acordo com seus termos.
Categorias de Titulares de Dados - Usuários Finais
- Assinantes do Cliente
Categorias de Dados Pessoais Usuários Finais: informações de identificação (nome, e-mail), informações públicas de redes sociais, páginas e contas vinculadas, informações de TI (endereços IP, localização geográfica, dados de uso, dados de cookies, dados de navegador), informações financeiras (dados de cartão de crédito, informações de conta, informações de pagamento).
Assinantes do Cliente:
- informações de identificação, informações públicas de redes sociais (foto, nome, data de nascimento, gênero, localização geográfica),
- histórico e conteúdo do chat, informações de uso do chatbot e outros dados eletrônicos enviados, armazenados ou recebidos pelos Usuários Finais e outras informações pessoais, determinadas e controladas pelo Cliente a seu critério exclusivo,
- informações de TI (endereços IP, localização geográfica, dados de uso, dados de cookies, dados de navegador).
Dados sensíveis Não. Outros tipos de Dados Pessoais também não são utilizados indiretamente para relevar informações sobre origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, afiliação a sindicados, saúde, vida sexual ou orientação sexual.
Frequência da transferência De maneira constante até os dados serem excluídos de acordo com os termos do Contrato e do ADP.
Fonte dos dados O processo de cadastro do Cliente (ou dos Usuários Finais) e a utilização dos Serviços pelo Cliente (Usuário Final), inclusive comunicações com assinantes e integrações e aplicativos de terceiros vinculados pelo Cliente (como Facebook, Inc., Instagram, Telegram, Zapier e outras integrações e aplicativos disponíveis no endereço www.apps.manychat.com/ que forem vinculados pelo Cliente à sua conta nos Serviços).
Transferência adicional Consulte a lista de Suboperadores no endereço www.manychat.com/pt/legal/service-providers. A duração do Subtratamento é limitada ao prazo de retenção do Tratamento pela Manychat, conforme previsto nesta tabela.

1B. A Manychat na qualidade de Controlador
Finalidade e natureza do Tratamento Para celebração do Contrato, gerenciamento da conta, cumprimento da lei, inclusive leis de sanção, contabilidade, tributação, cobrança, auditoria, vendas e comunicações de marketing com o Cliente.
Prazo de retenção dos Dados Pessoais Até a rescisão do Contrato, o cancelamento do recebimento de comunicações de marketing e a expiração do prazo de retenção previsto em lei.
Categorias de Titulares de Dados - O Cliente e seus representantes
- Usuários Finais
Categorias de Dados Pessoais O Cliente e seus representantes: nome completo, cargo, empresa, e-mail.
Usuários Finais: informações de identificação (ID, nome, e-mail, status), páginas e contas vinculadas, produtos usados, informações de TI (endereços IP, localização geográfica), informações financeiras (dados de cartão de crédito, informações de conta, informações de pagamento).
Dados sensíveis Outros tipos de Dados Pessoais também não são utilizados indiretamente para relevar informações sobre origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, afiliação a sindicados, saúde, vida sexual ou orientação sexual.
Frequência da transferência De maneira constante até os dados serem excluídos de acordo com os termos do Contrato e do ADP.
Fonte dos dados O processo de cadastro do Cliente e seu uso dos Serviços.
Transferência adicional Consulte a lista de Prestadores de Serviços no endereço www.manychat.com/pt/legal/service-providers.
Podemos, ainda, divulgar Informações Pessoais a autoridades públicas, como autoridades policiais, se assim exigido por lei.

ANEXO 2. Medidas de Segurança

A Manychat implementa e mantém medidas de segurança técnicas e organizacionais projetadas para proteger os Dados Pessoais contra Violações de Dados. Atualmente, aplicamos as Medidas de Segurança previstas neste Anexo 2. Se aplicável, este Anexo 2 atuará como o Anexo II das Cláusulas Contratuais Padrão da UE.

1. Programa e políticas de segurança

1.1. A Manychat mantém e impõe um programa de segurança baseado em riscos e uma estrutura para guiar nossa gestão de segurança.  A estrutura de segurança da Manychat é baseada na ISO 27001 - Sistema de Gestão de Segurança da Informação e inclui as seguintes áreas: Políticas e Procedimentos, Gestão de Ativos, Gestão de Controle de Acesso, Criptografia, Segurança Física, Segurança de Operações, Segurança de Comunicações, Segurança de Recuperação de Desastres de Continuidade de Negócios, Segurança de Pessoas, Segurança de Produtos, Segurança de Infraestrutura de Nuvem e Rede, Conformidade de Segurança, Segurança de Terceiros, Gerenciamento de Vulnerabilidades e Monitoramento de Segurança e Resposta a Incidentes.

1.2. Nosso programa de segurança inclui:

  • políticas documentadas que aprovamos, publicamos e comunicamos internamente à equipe adequada e revisamos pelo menos uma vez por ano,
  • atribuição de responsabilidade documentada e clara e autoridade para atividades do programa de segurança,

2. Gestão de riscos e ativos

2.1. A Manychat utiliza uma abordagem integrada de gestão de riscos focada em práticas de segurança técnicas e operacionais. A avaliação de riscos contínua e sistemática é uma parte consistente da seleção de controles de proteção de melhoria adequados e da garantia de segurança dos Dados Pessoais.

2.2. A Manychat toma medidas razoáveis para identificar os ativos e o nível de criticidade deles. Um inventário completo e categorização são a base que utilizamos para selecionar e implementar as medidas de segurança técnicas e organizacionais ideais que garantem a proteção de ativos e informações.

3. Segurança e conscientização da equipe

3.1. A equipe da Manychat (empregados e contratados) não trata os Dados Pessoais sem autorização. A equipe tem a obrigação de manter a confidencialidade de quaisquer Dados Pessoais. Essa obrigação permanece válida mesmo após o encerramento do envolvimento desse Pessoal.

3.2. A equipe da Manychat (empregados e contratados) reconhece suas responsabilidades de segurança e privacidade de dados de acordo com as políticas da Manychat.

3.3. A Manychat acredita que a conscientização sobre segurança dos empregados é um dos principais fatores que melhoram o nível geral de maturidade e cultura de segurança. A equipe da Manychat (empregados e contratados) realiza treinamentos sobre segurança e privacidade pelo menos uma vez por ano.

3.4. A Manychat conduz verificações anteriores à contratação para todos os novos empregados e contratados.

4. Gestão de controle de acesso

4.1. A Manychat gerencia acessos com base nos princípios de "necessidade de tomar conhecimento" e "privilégios mínimos". Isso significa que a equipe terá acesso aos Dados Pessoais somente quando necessário para o desempenho de suas funções.

4.2. A Manychat desativa as credenciais de autenticação da equipe imediatamente após a rescisão do contrato ou dos serviços.

4.3. Para acessar o ambiente de produção e os sistemas críticos, um usuário deve ter um nome de usuário e uma senha exclusivos e habilitar a autenticação multifator.

4.4. A Manychat implementa medidas para evitar que os sistemas de informação sejam utilizados por pessoas não autorizadas, inclusive: (a) procedimentos de identificação e autenticação do usuário (b) nome de usuário/senha exclusivos (c) políticas de complexidade de senha (caracteres especiais, quantidade mínima de caracteres, alteração de senha) (d) bloqueio automático (por exemplo, senha ou tempo limite).

4.5. A Manychat monitora e registra acessos ao ambiente de produção e aos sistemas críticos.

5. Medidas de Segurança técnicas e de aplicativos

5.1. A Manychat implementou e manterá medidas adequadas de segurança técnica e de aplicativos, controles internos e rotinas de segurança da informação para proteger os Dados Pessoais contra perda, destruição ou alteração acidental, divulgação ou acesso não autorizado ou destruição ilegal da maneira a seguir:

  • Segregação de ambientes. A Manychat separa os ambientes de desenvolvimento e produção para garantir a proteção dos Dados Pessoais contra qualquer tipo de acesso não autorizado.
  • Criptografia em trânsito. Todas as comunicações de rede externa são protegidas com criptografia. Oferecemos suporte aos pacotes de criptografia recomendados mais recentes para criptografar todo o tráfego em trânsito, inclusive protocolos TLS 1.2, criptografia AES256 e funções de hash SHA2, sempre que suportados pelos clientes.
  • Criptografia em repouso. Os dados inativos do Cliente são criptografados com os padrões de criptografia compatíveis com o FIPS 140-2, aplicáveis a todos os tipos de dados em repouso nos sistemas da Manychat, como bancos de dados relacionais, unidades de arquivo, backups etc. O acesso às chaves de criptografia é restrito a um número limitado de membros da equipe da Manychat.
  • Redundância. A Manychat escolhe fornecedores de infraestrutura de TI comprometidos em oferecer mecanismos com melhores práticas de segurança integradas para garantir confidencialidade, integridade e disponibilidade. O principal provedor de IaaS da Manychat, AWS (Frankfurt, UE), está comprometido em cumprir um Contrato de Nível de Serviço de Recuperação de Desastres (RD) rigoroso.
  • Avaliação de vulnerabilidade. A Manychat conduz testes automatizados e manuais de segurança de aplicativos e infraestrutura para identificar e aplicar patches em possíveis vulnerabilidades de segurança. Patches para softwares críticos são avaliados, testados e aplicados de maneira proativa.
  • Teste de penetração. Contratamos prestadores de serviços independentes para realizar testes de penetração e avaliar possíveis ameaças à segurança do sistema pelo menos uma vez por ano.
  • Desenvolvimento e aquisição de software. A Manychat segue os princípios de design de segurança em diferentes fases do ciclo de vida de criação dos Serviços, desde a reunião de requisitos e design do produto até a implantação do produto. Em softwares desenvolvidos pela Manychat, a Manychat segue padrões e procedimentos de codificação seguros estabelecidos em seus procedimentos operacionais padrão.
  • Armazenamento. Os bancos de dados de produção e os servidores de tratamento de dados da Manychat estão hospedados em um data center localizado na AWS (Frankfurt, UE). A Manychat realiza todo o controle administrativo sobre os bancos de dados e servidores virtuais. Nenhum fornecedor terceiro tem acesso lógico aos Dados Pessoais.
  • Gerenciamento de alterações. A Manychat implementa procedimentos documentados de gerenciamento de alterações que oferecem uma abordagem consistente para controle, implementação e registro de alterações (inclusive emergenciais) de software e de sistemas de informação ou arquitetura de rede da Manychat.
  • Segurança de rede. O acesso à rede entre servidores é restrito e utiliza listas de controle de acesso para permitir que apenas serviços autorizados interajam na rede. Utilizamos ferramentas de terceiros para detectar, mitigar e prevenir ataques distribuídos de negação de serviço (DDoS).

6. Gerenciamento de provedores terceirizados

6.1. A Manychat pode contar com provedores terceirizados na prestação dos Serviços. No processo de seleção dos provedores terceirizados que podem obter acesso, armazenar, transmitir ou utilizar Dados Pessoais, a Manychat conduz uma avaliação de qualidade e segurança de acordo com seus procedimentos operacionais padrão.

6.2. A Manychat celebra contratos por escrito com todos os seus provedores, os quais contêm obrigações de confidencialidade, privacidade e segurança que oferecem um nível adequado de proteção dos Dados Pessoais que esses provedores podem tratar.

7. Segurança física e do ambiente

7.1. A Manychat utiliza os data centers da AWS para hospedar sua infraestrutura de produção. Os data centers da AWS são controlados rigorosamente no perímetro e nos pontos de entrada do edifício por equipes de segurança profissionais que conduzem vigilância por vídeo, sistemas de detecção de intrusão e outros meios eletrônicos. Cada data center conta com sistemas elétricos redundantes, disponíveis 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana.

7.2. Os escritórios da Manychat contam com um programa de segurança física para monitorar visitantes, entradas de edifícios, vigilância por vídeo e a segurança geral dos escritórios. Todos os empregados, contratados e visitantes devem usar crachás de identificação.

7.3. A Manychat analisa relatórios de auditoria de terceiros para verificar se os prestadores de serviços da Manychat mantêm controles de acesso físico adequados para os data centers administrados.

8. Resiliência e continuidade dos Serviços

8.1. A Manychat implementa medidas para garantir sua capacidade de restaurar a disponibilidade e o acesso aos Dados Pessoais em tempo hábil caso ocorra um incidente físico ou técnico, inclusive:

  • Procedimentos contínuos de backup dos Dados Pessoais. Os backups são retidos de maneira redundante em diversas zonas de disponibilidade e criptografados em trânsito e em repouso.
  • A Manychat utiliza ferramentas especializadas para monitorar o desempenho dos Serviços. Um alerta é enviado caso qualquer desempenho abaixo do ideal do servidor ou sobrecarga da capacidade sejam identificados.
  • Existem planos de recuperação de desastres em vigor para recuperação em caso de problemas de disponibilidade dos Dados Pessoais.

9. Certificações e atestados de segurança

9.1. A Manychat recebeu as certificações e os atestados de segurança a seguir:

  • Certificação ISO 27001. A Norma 27001 da Organização Internacional para Padronização (ISO 27001) é um padrão de segurança da informação que garante que escritórios, centros de desenvolvimento, centros de suporte e data centers são gerenciados com segurança. A certificação é válida por três anos (auditorias de recertificação) e está sujeita a auditorias anuais de revisão (auditorias de manutenção).

  • Relatório SOC 2 Type 2. O relatório SOC 2 Type 2, parte do framework de Controle da Organização de Serviço (SOC) do Instituto Americano de Contadores Públicos Certificados (AICPA), avalia a eficácia dos controles de uma organização de serviço ao longo do tempo, focando em segurança, disponibilidade e confidencialidade. O relatório SOC 2 Type 2 examina a eficácia operacional ao longo de um período. Ele fornece garantia sobre a aplicação consistente dos controles, crucial para a confiança de clientes e stakeholders. Este relatório requer renovação anual para manter a conformidade contínua.

10. Gerenciamento de incidentes de segurança da informação

10.1. A Manychat implementa políticas e procedimentos de gerenciamento de incidentes de segurança. Eles ditam como gerenciamos Violações de Dados e outros incidentes de segurança.

10.2. Caso ocorra uma Violação de Dados, a Manychat investigará o incidente imediatamente após tomar conhecimento dele. Conforme permitida pela lei aplicável, a Manychat notificará o Cliente sobre qualquer Violação de Dados. Notificações de incidentes de Violação de Dados serão enviadas aos Clientes por e-mail ou de outra maneira acordada com o Cliente.

ANEXO 3. Disposições internacionais e termos específicos de jurisdição

1. Califórnia

Se as Leis Aplicáveis de Proteção de Dados do Cliente incluírem a Lei de Privacidade de Clientes da Califórnia ("CCPA"), as disposições a seguir serão aplicáveis. Os termos "empresa", "finalidade comercial", "prestador de serviços", "venda" e "informações pessoais" têm os significados atribuídos a eles na CCPA. No que diz respeito ao Conteúdo do Cliente, a Manychat é um prestador de serviços de acordo com a CCPA.

A Manychat não poderá (i) vender Dados do Cliente; (ii) reter, usar ou divulgar quaisquer Dados do Cliente para qualquer finalidade, exceto a finalidade específica de prestar os Serviços, inclusive reter, usar ou divulgar o Conteúdo do Cliente para uma finalidade comercial que não seja a prestação dos Serviços; ou (iii) reter, usar ou divulgar o Conteúdo do Cliente para partes terceiras do relacionamento comercial direto entre a Manychat e o Cliente.

As partes reconhecem e concordam que o Tratamento do Conteúdo do Cliente autorizado de acordo com as instruções do Cliente previstas na Cláusula 2.4 do ADP é necessário e englobado na prestação dos Serviços pela Manychat e no relacionamento comercial direto entre as partes.

Não obstante qualquer disposição do Contrato, as partes reconhecem e concordam que o acesso da Manychat ao Conteúdo do Cliente não constitui parte da contraprestação entre as partes relacionada ao Contrato.

Não obstante qualquer restrição de uso prevista em outras partes desta cláusula, a Manychat pode desidentificar ou agregar o Conteúdo do Cliente como parte da prestação dos Serviços descrita neste ADP e no Contrato.

Em relação ao Tratamento dos Dados Pessoais pelos Suboperadores, a Manychat toma medidas para garantir que os Suboperadores sejam Prestadores de Serviços no escopo da CCPA com os quais a Manychat celebrou contratos por escrito em termos semelhantes aos desta cláusula "Califórnia" ou estejam isentos da definição de "venda" prevista na CCPA. A Manychat conduz diligência prévia adequada em relação a seus Suboperadores.

Com relação às Informações de Conta do Cliente, a Manychat é a empresa relacionada aos dados e tratará os dados de acordo com sua Política de Privacidade, disponível no endereço www.manychat.com/pt/legal/privacy.

2. Espaço Econômico Europeu, Suíça e Reino Unido

Se as Leis Aplicáveis de Proteção de Dados do Cliente incluírem o Regulamento Geral de Proteção de Dados (UE 2016/679) ("GDPR"), a Lei Federal de Proteção de Dados da Suíça ("FADP") ou leis correspondentes do Reino Unido (inclusive o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018) ("GDPR do Reino Unido"), as disposições a seguir serão aplicáveis.

A transferência dos Dados Pessoais para a Manychat de acordo com o Contrato é regida pelas Cláusulas Contratuais Padrão anexadas a seguir:

  1. para transferências de Dados Pessoais sujeitas ao GDPR, as partes utilizam as Cláusulas Contratuais Padrão aprovadas pela Decisão de Execução do Conselho (UE) 2021/914, de 4 de junho de 2021, publicada no endereço https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=en ("CCP da UE"):

    • para o Conteúdo do Cliente: Módulo 2 (transferência Controlador para Operador) ou Módulo 3 (transferência Operador para Operador), dependendo do status do Cliente em relação ao Conteúdo do Cliente.
    • para Informações de Conta do Cliente (por exemplo, se o Cliente transferir dados à Manychat sobre seus Usuários Finais ou representantes): Módulo 1 (transferência Controlador para Controlador).

    As disposições a seguir se aplicam a todos os Módulo das CCP da UE (se aplicável):

    • na Cláusula 7 das CCP da UE, a cláusula opcional sobre encaixe não será aplicável;
    • na Cláusula 9 das CCP da UE, a Opção 2 será aplicável e o prazo para aviso prévio por escrito de mudança de suboperadores será aquele previsto na Cláusula 3.3 do ADP (Contratação de novos Suboperadores);
    • na Cláusula 11 das CCP da UE, a parte opcional sobre reclamações feitas a órgãos independentes para resolução de controvérsias não será aplicável;
    • na Cláusula 17 (Opção 1), as CCP da UE serão regidas pelas leis da Alemanha;
    • na Cláusula 18(b) das CCP da UE, as controvérsias serão resolvidas perante os tribunais da Alemanha;
    • para o Anexo I, Parte A, das CCP da UE, a Lista das Partes é a seguinte:
      • Atividades relevantes aos dados transferidos de acordo com as CCP da UE: O importador de dados presta os Serviços ao exportador de dados de acordo com o Contrato (Termos de Serviço e Adendo de Tratamento de Dados);
      • Assinatura e data: As Partes concordam que a aceitação dos Termos de Serviço pelo Cliente, conforme previsto nos Termos de Serviço, constituirá a assinatura das CCP da UE por ambas as partes;
      • Nome e endereço dos exportadores de dados: O Cliente, conforme definição no ADP, o endereço do Cliente;
      • Nome, cargo e informações de contato da pessoa de contato: As informações de contato do exportador de dados estão previstas nos Termos de Serviço ou disponíveis para o importador de dados no console de administração dos Serviços (no qual as informações foram fornecidas pelo exportador de dados);
      • Função: para o Módulo 1 (transferência de Informações de Conta do Cliente): controlador; para o Módulo 2 (transferência de Conteúdo do Cliente): controlador; para o Módulo 3 (transferência de Conteúdo do Cliente): operador;
      • Nome e endereço dos importadores de dados: MANYCHAT, INC., 2301 W Anderson Ln #102-105, Austin, TX 78757;
      • Nome, cargo e informações de contato da pessoa de contato: E-mail da Rickert Rechtsanwaltsgesellschaft mbH (representante na UE): art-27-rep-manychat@rickert.law;
      • Função: para o Módulo 1 (transferência de Informações de Conta do Cliente): controlador; para os Módulos 2 e 3 (transferência de Conteúdo do Cliente): operador;
      • para o Anexo I, Parte B das CCP da UE, a Descrição da transferência está disponível no Anexo 1A do ADP para o Conteúdo do Cliente e no Anexo 1B do ADP para transferência de Informações de Conta do Cliente.
      • para o Anexo I, Parte C das CCP da UE, a autoridade supervisora competente do Cliente será escolhida de acordo com o GDPR e a Cláusula 13 das CCP da UE.
    • para o Anexo II das CCP da UE, a lista de medidas técnicas e organizacionais, inclusive medidas para garantir a segurança dos dados, está disponível no Anexo 2 do ADP.
    • para o Anexo III das CCP da UE, a lista de suboperadores (para transferência de Conteúdo do Cliente de acordo com os Módulos 2 e 3) autorizados pelo controlador está disponível no endereço www.manychat.com/pt/legal/service-providers.

  2. para transferências de Dados Pessoais sujeitas à FADP, as partes utilizam as CCP da UE previstas acima para o Conteúdo do Cliente e as Informações de Conta do Cliente com as alterações a seguir:

    • as referências ao "Regulamento (UE) 2016/679" serão interpretadas como referências à FADP;
    • as referências às "leis da UE", "leis federais" e "leis dos Estados-Membros" serão interpretadas como referências às leis da Suíça;
    • as referências à "UE", ao "governo" e aos "Estados-Membro" serão interpretadas como referências à Suíça. Além disso, a Cláusula 18 das CCP da UE, especificamente, deve ser interpretada como se autorizasse os Titulares de Dados a exercer seus direitos no seu local de residência habitual na Suíça;
    • as referências à "autoridade supervisora competente" e aos "tribunais competentes" serão substituídas por referências ao "Comissário Federal Suíço para Proteção e Informação de Dados" e aos "tribunais competentes na Suíça".

  3. para transferências de Dados Pessoais sujeitas ao GDPR do Reino Unido, as partes utilizam as CCP da UE previstas acima para o Conteúdo do Cliente e as Informações de Conta do Cliente, em conjunto com o Adendo de transferências internacionais de dados às cláusulas contratuais padrão do Conselho Europeu para transferências internacionais de dados (adotado pelo Escritório do Comissário de Informação (ICO), versão B1.0, em vigor a partir de 21 de março de 2022), publicado no endereço https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf, da seguinte maneira:

Parte 1: Tabelas

Tabela 1: Partes
Data de início A data de entrada em vigor dos Termos de Serviço e do Adendo de Tratamento de Dados.
As Partes Exportador (parte que faz a Transferência Restrita) Importador (parte que recebe a Transferência Restrita)
Informações das Partes Razão social completa: MANYCHAT INC.
Nome fantasia (se diferente): n/a
Endereço principal (endereço da sede caso seja uma empresa): 2301 W Anderson Ln #102-105, Austin, TX 78757
Número de registro oficial (se houver) (número da empresa ou identificador semelhante): 81-1410171		 Razão social completa: Cliente (conforme previsto nos Termos de Serviço)
Nome fantasia (se diferente):
Endereço principal (endereço da sede caso seja uma empresa): previsto nos Termos de Serviço
Número de registro oficial (se houver) (número da empresa ou identificador semelhante):
Pessoa de contato principal Denominação completa (opcional): Rickert Rechtsanwaltsgesellschaft m.b.H
Cargo: Representante na UE
Informações de contato, inclusive e-mail::
art-27-rep-manychat@rickert.law		 Denominação completa (opcional):
Cargo: previsto nos Termos de Serviço
Informações de contato, inclusive e-mail: previsto nos Termos de Serviço
Assinatura (se exigida para os fins da Cláusula 2)

Tabela 2: CCP selecionadas, módulos e cláusulas selecionadas
Adendo às CCP da UE ☑ A versão das CCP da UE Aprovadas à qual este Adendo foi anexado, indicada abaixo, inclusive as Informações do Apêndice:
As CCP da UE previstas na Cláusula 2A deste Anexo 3:
- Para o Conteúdo do Cliente: (Módulo 2: Transferência controlador para operador, Módulo 3: Transferência operador a operador)
- Para as Informações de Conta do Cliente (Módulo 1: Transferência controlador para controlador).

Tabela 3: Informações do Apêndice

"Informações do Apêndice" significa as informações que devem ser fornecidas para os módulos escolhidos, conforme previsto no Apêndice das CCP da UE Aprovadas (exceto as Partes), e que, para este Adendo, estão previstas em:
Anexo 1A: Lista das Partes: vide Cláusula 2A deste Anexo 3.
Anexo 1B: Descrição da transferência: vide Anexo 1 do ADP.
Anexo II: Medidas técnicas e organizacionais, inclusive medidas técnicas e organizacionais para garantir a segurança dos dados: vide www.manychat.com/pt/legal/dpa
Anexo III: Lista de Suboperadores (apenas Módulos 2 e 3): consulte a Lista de Suboperadores no endereço www.manychat.com/pt/legal/service-providers.

Tabela 4: Rescisão deste Adendo mediante Alteração do Adendo Aprovado
Rescisão deste Adendo mediante alteração do Adendo Aprovado Quais Partes podem rescindir este Adendo de acordo com a Cláusula 19:
☑ Importador
☑ Exportador
☐ nenhuma

Cláusulas Obrigatórias Alternativas da Parte 2:
Cláusulas Obrigatórias Parte 2: Cláusulas Obrigatórias do Adendo Aprovado, o qual é o modelo do Adendo B.1.0 emitido pelo ICO e apresentado ao Parlamento de acordo com o artigo 119A da Lei de Proteção de Dados de 2018, em 2 de fevereiro de 2022, conforme revisado de acordo com a Cláusula 18 das Cláusulas Obrigatórias.

Experimente o Manychat gratuitamente

Transforme mais conversas em vendas, leads e conversões hoje mesmo

COMEÇAR A USAR