Tratamento de Dados Adendo

Termos com inicial maiúscula não definidos aqui têm o significado estabelecido no GDPR (Regulation (EU) 2016/679) e, conforme aplicável, no UK GDPR / Lei de Proteção de Dados de 2018, na Lei de Privacidade do Consumidor da Califórnia conforme alterada pela CPRA (“CCPA”) e nas leis equivalentes de outras jurisdições.

“Dados Pessoais” significa dados enviados pelo Cliente ou gerados pelo Serviço que identificam ou se referem a uma pessoa física identificada ou identificável. “Suboperador” significa um terceiro contratado pelo FixVibe para processar Dados Pessoais em nome do FixVibe — listados em /legal/privacy.

Cada parte é independentemente responsável pela conformidade com as Leis de Proteção de Dados aplicáveis a ela. O Cliente é o Controlador e o FixVibe é o Operador dos Dados Pessoais processados sob este Adendo. O FixVibe processará Dados Pessoais apenas conforme as instruções documentadas do Cliente (a configuração do Serviço constitui tais instruções), exceto quando exigido por lei.

O FixVibe garante que o pessoal autorizado a processar Dados Pessoais está vinculado por obrigações de confidencialidade. O acesso aos dados de produção é restrito a um subconjunto de mínimo privilégio da equipe de operações, registrado via audit_logs e revisado periodicamente. Funcionários do FixVibe não acessam dados do Cliente, exceto para investigar tickets de suporte, responder a incidentes de segurança ou cumprir processo legal.

O FixVibe implementa medidas técnicas e organizacionais apropriadas consistentes com o GDPR Art. 32, incluindo:

• criptografia de Dados Pessoais em trânsito (TLS 1.2+) e em repouso (criptografia em disco no banco de dados + criptografia em nível de coluna AES-256-GCM para cabeçalhos de scan autenticado e tokens OAuth);
• segurança em nível de linha forçada em todas as tabelas do banco de dados — o código da aplicação não pode ler nem escrever entre fronteiras organizacionais, mesmo por engano;
• autenticação multifator por usuário via o provedor OAuth upstream (Google ou GitHub) quando o Cliente escolhe login social;
• análise estática contínua e varredura de vulnerabilidades de dependências do próprio código-fonte do FixVibe;
• backups via o provedor de banco de dados com recuperação de ponto no tempo; testados anualmente;
• períodos de retenção definidos (consulte a Política de Privacidade) aplicados por um cron diário automatizado, não por uma promessa em papel.

O Cliente autoriza o FixVibe a contratar os Suboperadores listados na Política de Privacidade para os fins ali descritos. O FixVibe celebra um contrato por escrito com cada Suboperador que impõe obrigações de proteção de dados não menos protetoras do que as deste Adendo, e permanece responsável perante o Cliente pelos atos e omissões do Suboperador no que diz respeito ao seu processamento de Dados Pessoais.

O FixVibe notificará o Cliente (via aviso no aplicativo ou e-mail) sobre qualquer adição ou substituição pretendida de Suboperadores com pelo menos 30 dias de antecedência, dando ao Cliente a oportunidade de se opor. Se o Cliente se opuser por razões razoáveis de proteção de dados, o Cliente poderá rescindir o Serviço com relação ao processamento afetado.

O FixVibe processa Dados Pessoais principalmente nos Estados Unidos. Quando Dados Pessoais são transferidos do EEA, UK ou Suíça para um terceiro país que não recebeu uma decisão de adequação, o FixVibe se baseia em:

• as Cláusulas Contratuais Padrão da Comissão Europeia (Decision (EU) 2021/914), Módulo 2 (controlador para operador), incorporadas a este Adendo por referência;
• o Adendo de Transferência Internacional de Dados do UK às SCCs da UE (ou o IDTA autônomo), conforme publicado pelo ICO;
• as medidas técnicas e organizacionais suplementares descritas na Seção 4.

O Cliente autoriza o FixVibe a celebrar as SCCs / IDTA com cada Suboperador subsequente em nome do Cliente.

O FixVibe auxiliará o Cliente (levando em conta a natureza do processamento e as informações disponíveis) a responder às solicitações dos titulares de dados nos termos dos Articles 15–22 GDPR. A maioria dos direitos é de autoatendimento em Conta → Privacidade; para solicitações residuais, o Cliente pode enviar e-mail para support@fixvibe.app com o assunto “Privacy request”. Respondemos em 30 dias.

O FixVibe notificará o Cliente sem demora indevida (e em qualquer caso dentro de 72 horas após tomar conhecimento) de uma violação de Dados Pessoais que afete os Dados Pessoais do Cliente, fornecendo as informações que o Cliente razoavelmente necessite para cumprir suas próprias obrigações nos termos do Article 33 / 34, incluindo a natureza da violação, as categorias e o número aproximado de titulares de dados e registros envolvidos, as consequências prováveis e as medidas tomadas ou propostas para resolvê-la.

O FixVibe disponibilizará ao Cliente as informações necessárias para demonstrar conformidade com este Adendo, incluindo este documento, a Política de Privacidade, a Política de Uso Aceitável, os Termos e quaisquer relatórios de segurança de terceiros que possuirmos (compartilharemos estes sob NDA mediante solicitação). O FixVibe permitirá e contribuirá para auditorias, incluindo inspeções, realizadas pelo Cliente ou outro auditor mandatado pelo Cliente, com aviso prévio razoável e durante o horário comercial, não mais de uma vez por ano civil (exceto quando um regulador exigir de outra forma ou em caso de violação de Dados Pessoais).

Após a rescisão do Serviço, e conforme a escolha do Cliente, o FixVibe excluirá ou devolverá todos os Dados Pessoais processados em nome do Cliente dentro de 30 dias, exceto na medida em que o FixVibe seja obrigado por lei aplicável a retê-los (por exemplo, registros fiscais/de faturamento). O fluxo de exclusão de conta de autoatendimento em Conta → Privacidade aciona isso imediatamente.

Para fins da CCPA, o FixVibe é um “Provedor de Serviços” e o Cliente é uma “Empresa” com relação a qualquer Informação Pessoal processada sob este Adendo. O FixVibe não irá:

• vender ou compartilhar (conforme esses termos são definidos pela CCPA) Informações Pessoais;
• reter, usar ou divulgar Informações Pessoais para qualquer finalidade além da finalidade comercial específica de fornecer o Serviço, incluindo fora da relação comercial direta entre o FixVibe e o Cliente;
• combinar Informações Pessoais recebidas do Cliente com Informações Pessoais recebidas de qualquer outra fonte, exceto conforme expressamente permitido pela CCPA.

O FixVibe certifica que compreende e cumprirá essas restrições.

Em caso de conflito entre este Adendo e os Termos de Serviço, este Adendo prevalece na extensão do conflito. As SCCs / IDTA prevalecem sobre ambos onde se aplicam.

Para todos os assuntos de proteção de dados, incluindo o exercício de direitos dos titulares de dados e consultas sobre Suboperadores, contate a EGO HERO LLC:

• e-mail: support@fixvibe.app (use o assunto “DPA” para roteamento)
• endereço postal: disponível mediante solicitação pelo e-mail acima