Versão 5, em vigor a partir de 30 de dezembro de 2022

A Cloudflare, Inc. ("Cloudflare") e a contraparte que concorda com estes termos ("Customer") celebraram um Contrato de Assinatura Empresarial, Contrato de Assinatura de Autosserviço ou outro contrato escrito ou eletrônico para os Serviços fornecidos pela Cloudflare (o "Main Agreement"). Este Adendo de Processamento de Dados, incluindo os anexos (o "DPA"), faz parte do Contrato Principal.

Este DPA entrará em vigor e substituirá e prevalecerá sobre quaisquer termos anteriormente aplicáveis relacionados ao seu objeto (incluindo qualquer alteração de processamento de dados, contrato ou adendo relacionado aos Serviços), a partir da data em que o Cliente assinou ou as partes concordaram com este DPA ("DPA Effective Date").

Se estiver aceitando este DPA em nome do Cliente, você garante que: (a) você tem plena autoridade legal para vincular o Cliente a este DPA; (b) você leu e entendeu este DPA; e (c) você concorda, em nome do Cliente, com este DPA. Se você não tiver autoridade legal para vincular o Cliente, não aceite este DPA.

TERMOS DE PROCESSAMENTO DE DADOS

Este DPA se aplica quando a Cloudflare processa Dados Pessoais como um Processador (ou subprocessador, conforme aplicável) em nome do Cliente para fornecer os Serviços e tais Dados Pessoais estão sujeitos às Leis de Proteção de Dados Aplicáveis (conforme definido abaixo).

As partes concordaram em firmar este DPA a fim de garantir que as salvaguardas adequadas estejam em vigor para proteger esses Dados Pessoais de acordo com as Leis de Proteção de Dados Aplicáveis. Dessa forma, a Cloudflare concorda em cumprir as seguintes disposições com relação a quaisquer Dados Pessoais que ela processe como Processadora (ou subprocessadora, conforme aplicável) em nome do Cliente.

1. Definições

1.1 As definições a seguir são usadas neste DPA:

a) "Adequate Country" significa um país ou território que é reconhecido pelas Leis Europeias de Proteção de Dados como fornecendo proteção adequada aos Dados Pessoais.

b) "Affiliate" significa, com relação a uma parte, qualquer entidade corporativa que, direta ou indiretamente, Controle, seja Controlada por, ou esteja sob Controle Comum com tal parte (mas somente enquanto tal Controle existir).

c) "Leis de Proteção de Dados Aplicáveis" significa todas as leis e regulamentos aplicáveis ao processamento de Dados Pessoais nos termos do Contrato Principal, incluindo as Leis de Proteção de Dados Europeias e as Leis de Proteção de Dados dos Estados Unidos.

d) "Cloudflare Group" significa a Cloudflare e qualquer uma de suas Afiliadas.

e) "Controlador" significa uma entidade que determina as finalidades e os meios de processamento de Dados Pessoais e inclui "controlador", "empresa" ou termo análogo conforme definido nas Leis de Proteção de Dados Aplicáveis.

f) "Customer Group" significa o Cliente e qualquer uma de suas Afiliadas.

g) "Leis Europeias de Proteção de Dados" significa todas as leis e regulamentações da União Europeia, do Espaço Econômico Europeu, de seus estados membros, da Suíça e do Reino Unido aplicáveis ao processamento de Dados Pessoais nos termos do Contrato Principal (incluindo, quando aplicável, (i) o Regulamento 2016/679 do Parlamento Europeu e do Conselho sobre a proteção de pessoas físicas com relação ao Processamento de Dados Pessoais e sobre a livre circulação desses dados (Regulamento Geral de Proteção de Dados) (o "EU GDPR" ); (ii) o GDPR da UE conforme salvo na legislação do Reino Unido em virtude da seção 3 da Lei da União Europeia (Retirada) de 2018 do Reino Unido e da Lei de Proteção de Dados do Reino Unido de 2018 (o "GDPR do Reino Unido" ); (iii) a Lei Federal de Proteção de Dados da Suíça de 19 de junho de 1992 e suas portarias correspondentes ("Swiss DPA"); (iv) a Diretiva de Privacidade Eletrônica da UE (Diretiva 2002/58/CE); e (v) toda e qualquer lei nacional de proteção de dados aplicável feita sob, de acordo com ou que se aplique em conjunto com qualquer um dos itens (i), (ii), (iii), (iv).

h) "Personal Data" significa todos os dados que são definidos como 'personal data', 'personal information', ou 'personally identifiable information' (ou termo análogo) de acordo com as Leis de Proteção de Dados Aplicáveis.

i) "processing", "data subject", e "supervisory authority" terão os significados atribuídos a eles na Lei Europeia de Proteção de Dados.

j) "Processador" significa uma entidade que processa Dados Pessoais em nome do Controlador, incluindo uma entidade para a qual outra entidade divulga informações pessoais de uma pessoa física para uma finalidade comercial, de acordo com um contrato por escrito que exige que a entidade que recebe as informações apenas retenha, use ou divulgue informações de Dados Pessoais com a finalidade de fornecer os Serviços, e inclui "processador", "provedor de serviços" ou termo análogo definido de acordo com as Leis de Proteção de Dados Aplicáveis.

k) "Services" se refere a todas as soluções baseadas em nuvem oferecidas, comercializadas ou vendidas pela Cloudflare ou seus parceiros autorizados que são projetadas para aumentar o desempenho, a segurança e a disponibilidade de propriedades, aplicativos e redes da Internet, juntamente com qualquer software, kits de desenvolvimento de software e interfaces de programação de aplicativos ("APIs") disponibilizados em conexão com o acima exposto.

l) "EUSCCs" significa as cláusulas contratuais anexadas à Decisão de Execução 2021/914 da Comissão Europeia, de 4 de junho de 2021, sobre cláusulas contratuais padrão para a transferência de Dados Pessoais para países terceiros, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho.

m) "Transferência restrita" significa: (i) quando o GDPR da UE ou a Lei Federal Suíça de Proteção de Dados se aplicar, uma transferência de Dados Pessoais do Espaço Econômico Europeu ou da Suíça (conforme aplicável) para um país fora do Espaço Econômico Europeu ou da Suíça (conforme aplicável) que não esteja sujeita a uma determinação de adequação pela Comissão Europeia ou pelo Comissário Federal Suíço de Proteção de Dados e Informações (conforme aplicável); e (ii) quando o GDPR do Reino Unido se aplicar, uma transferência de Dados Pessoais do Reino Unido para qualquer outro país que não esteja baseada em regulamentos de adequação de acordo com a Seção 17A da Lei de Proteção de Dados do Reino Unido de 2018.

n) "UK Addendum" significa o Adendo Internacional de Transferência de Dados (Versão B1.0) emitido pelo Gabinete do Comissário de Informações nos termos da s.119(A) da Lei de Proteção de Dados do Reino Unido de 2018, conforme atualizado ou alterado periodicamente.

o) "Leis de Proteção de Dados dos Estados Unidos" significa todas as leis e regulamentos dos Estados Unidos aplicáveis ao processamento de Dados Pessoais no âmbito do Contrato Principal, incluindo (a) a Lei de Privacidade do Consumidor da Califórnia de 2018, conforme alterada pela Lei de Direitos de Privacidade da Califórnia de 2020 (Cal. Civ. Code § 1798.100 - 1798.199, 2022) e suas regulamentações de implementação (coletivamente, a "CCPA"), (b) a Lei de Proteção de Dados do Consumidor da Virgínia, quando em vigor, (c) a Lei de Privacidade do Colorado e suas regulamentações de implementação, quando em vigor, (d) a Lei de Privacidade do Consumidor de Utah, quando em vigor; e (e) Connecticut SB6, An Act Concerning Personal Data Privacy and Online Monitoring, quando em vigor.

1.2 Uma entidade "Controla" outra entidade se ela: (a) detiver a maioria dos direitos de voto da entidade; (b) for membro ou acionista da entidade e tiver o direito de destituir a maioria de seu conselho de administração ou órgão de gestão equivalente; (c) for membro ou acionista da entidade e controlar, sozinha ou em virtude de um acordo com outros acionistas ou membros, a maioria dos direitos de voto da entidade; (d) tem o direito de exercer uma influência dominante sobre ela de acordo com seus documentos constitucionais ou de acordo com um contrato; e duas entidades são tratadas como estando em "Common Control" se uma delas controlar a outra (direta ou indiretamente) ou ambas forem controladas (direta ou indiretamente) pela mesma entidade.

1.3 Para os fins deste DPA, "fornecer" ou "prestar" os Serviços significa prestar os Serviços conforme definido no Contrato Principal;

2. {Status das partes

2.1 O tipo de Dados Pessoais processados de acordo com este DPA e o assunto, a duração, a natureza e a finalidade do processamento, bem como as categorias de titulares de dados, estão descritos no Anexo 1.

2.2 Cada parte garante, em relação aos Dados Pessoais, que cumprirá e fornecerá o mesmo nível de proteção de privacidade exigido pelas Leis de Proteção de Dados Aplicáveis. Entre as partes, o Cliente será o único responsável pela precisão, qualidade e legalidade dos Dados Pessoais e pelos meios pelos quais o Cliente adquiriu os Dados Pessoais.

2.3 Com relação aos direitos e obrigações das partes nos termos deste DPA com relação aos Dados Pessoais, as partes reconhecem e concordam que o Cliente é o Controlador (ou um Processador que processa Dados Pessoais em nome de um Controlador terceirizado), e a Cloudflare é um Processador (ou subprocessador, conforme aplicável).

2.4 Se o Cliente for um Processador, o Cliente garante à Cloudflare que as instruções e ações do Cliente com relação aos Dados Pessoais, incluindo a nomeação da Cloudflare como outro Processador e, quando aplicável, a conclusão das CECs da UE (inclusive conforme possam ser alteradas nas cláusulas 6.2(b) e (c) abaixo), foram (e continuarão a ser, durante a vigência deste DPA) autorizadas pelo Controlador terceirizado relevante.

3. {Obrigações da Cloudflare

3.1 Com relação a todos os Dados Pessoais que processa em sua função de Processador ou sub-Processador, a Cloudflare garante que

(a) somente processará os Dados Pessoais para o propósito comercial limitado e especificado de fornecer os Serviços e de acordo com: (i) as instruções escritas do Cliente, conforme estabelecido no Contrato Principal e neste DPA, a menos que seja exigido pela legislação aplicável da União ou do Estado Membro à qual a Cloudflare está sujeita, e (ii) os requisitos das Leis de Proteção de Dados Aplicáveis. ​​No caso de a Cloudflare ser obrigada a processar Dados Pessoais de acordo com as Leis de Proteção de Dados Aplicáveis, a Cloudflare informará o Cliente sobre essa exigência legal antes do processamento, a menos que essa lei proíba tais informações por motivos importantes de interesse público;

(b) não usar os Dados Pessoais para fins de marketing ou publicidade;

(c) implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado aos riscos apresentados pelo processamento de Dados Pessoais, em particular proteção contra destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais. Tais medidas incluem, sem limitação, as medidas de segurança estabelecidas no Anexo 2 ("Security Measures"). O Cliente reconhece que as Medidas de Segurança estão sujeitas a progresso e desenvolvimento técnico e que a Cloudflare pode atualizar ou modificar as Medidas de Segurança de tempos em tempos, desde que tais atualizações e modificações não degradem ou diminuam a segurança geral do Serviço;

(d) garantir que somente o pessoal autorizado tenha acesso a esses Dados Pessoais e que todas as pessoas autorizadas a ter acesso aos Dados Pessoais estejam sob obrigações contratuais ou legais de confidencialidade;

(e) sem atrasos indevidos, notificar o Cliente ao tomar conhecimento de qualquer violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou processados de outra forma com a finalidade de fornecer os Serviços ao Cliente pela Cloudflare, seus subprocessadores, ou qualquer outro terceiro identificado ou não identificado (uma "Violação de Dados Pessoais") e fornecer ao Cliente cooperação e assistência razoáveis em relação a essa Violação de Dados Pessoais, incluindo todas as informações razoáveis em posse da Cloudflare em relação a essa Violação de Dados Pessoais, na medida em que afeta os Dados Pessoais;

(f) não fazer nenhum anúncio público sobre uma Violação de Dados Pessoais (um "Aviso de Violação") sem o consentimento prévio por escrito do Cliente, a menos que exigido pela lei aplicável;

(g) na medida em que a Cloudflare for capaz de verificar se um titular de dados está associado ao Cliente, notificar imediatamente o Cliente se receber uma solicitação de um titular de dados para exercer quaisquer direitos de proteção de dados (incluindo direitos de acesso, retificação ou exclusão) em relação aos Dados Pessoais desse titular de dados (uma "Solicitação do Titular de Dados"). A Cloudflare não responderá a uma Solicitação do Titular dos Dados sem o consentimento prévio por escrito do Cliente, exceto para confirmar que tal solicitação está relacionada ao Cliente, com o que o Cliente concorda por meio deste instrumento;

(h) na medida em que a Cloudflare for capaz, e de acordo com a lei aplicável, fornecer assistência razoável ao Cliente para responder a uma solicitação do titular dos dados para exercer quaisquer direitos de proteção de dados sob as Leis de Proteção de Dados Aplicáveis (incluindo direitos de acesso, retificação ou exclusão) em relação aos Dados Pessoais do titular dos dados, se o Cliente não tiver a capacidade de abordar uma Solicitação do Titular dos Dados sem a assistência da Cloudflare. O Cliente é responsável por verificar se o solicitante é o titular dos dados em relação a cujos Dados Pessoais a solicitação é feita. A Cloudflare não se responsabiliza por informações fornecidas de boa-fé ao Cliente com base nesta subseção. O Cliente cobrirá todos os custos incorridos pela Cloudflare em relação à prestação de tal assistência;

(i) exceto na medida necessária para cumprir a lei aplicável, após a rescisão ou expiração do Contrato Principal ou conclusão do Serviço, a critério do Cliente, excluir ou devolver todos os Dados Pessoais (incluindo cópias dos mesmos) processados de acordo com este DPA;

(j) levando em conta a natureza do processamento e as informações disponíveis para a Cloudflare, fornecer a assistência ao Cliente que o Cliente razoavelmente solicitar em relação às obrigações da Cloudflare sob as Leis de Proteção de Dados Aplicáveis com relação a:

(i) avaliações do impacto da proteção de dados e consultas prévias (conforme esses termos são definidos nas Leis de Proteção de Dados Aplicáveis);

(ii) notificações à autoridade supervisora de acordo com as Leis de Proteção de Dados Aplicáveis e/ou comunicações aos titulares dos dados pelo Cliente em resposta a qualquer Violação de Dados Pessoais; e

(iii) a conformidade do Cliente com suas obrigações de acordo com as Leis de Proteção de Dados Aplicáveis com relação à segurança do processamento;

desde que o Cliente cubra todos os custos incorridos pela Cloudflare em relação à prestação de tal assistência; e

(k) notificar o Cliente se, na opinião da Cloudflare, quaisquer instruções fornecidas pelo Cliente nos termos da cláusula 3.1(a) infringirem as Leis de Proteção de Dados Aplicáveis, ou se a Cloudflare de outra forma determinar que não pode mais cumprir suas obrigações nos termos das Leis de Proteção de Dados Aplicáveis

3.2 Na medida em que a Cloudflare estiver processando Dados Pessoais em nome do Cliente dentro do escopo da CCPA, a Cloudflare assume os seguintes compromissos adicionais com o Cliente: A Cloudflare não reterá, usará ou divulgará esses Dados Pessoais para quaisquer fins que não sejam os fins estabelecidos no Contrato Principal e neste DPA e conforme permitido pela CCPA, inclusive sob qualquer isenção de "venda". A Cloudflare não "venderá" ou "compartilhará" esses Dados Pessoais, conforme esses termos são definidos na CCPA. Esta cláusula 3.2 não limita ou reduz quaisquer compromissos de proteção de dados que a Cloudflare assuma com o Cliente no Contrato Principal ou neste DPA.

3.3 A Cloudflare certifica que entende e cumprirá as obrigações e restrições das cláusulas 2 e 3, e as Leis de Proteção de Dados Aplicáveis.

4. Subprocessamento

4.1 A Cloudflare divulgará Dados Pessoais a subprocessadores apenas para o propósito específico de fornecer os Serviços.

4.2 A Cloudflare garantirá que qualquer subprocessador contratado para fornecer um aspecto do Serviço em seu nome em conexão com este DPA o faça apenas com base em um contrato por escrito que imponha a esse subprocessador termos (ou seja, obrigações de proteção de dados) que não sejam menos protetores dos Dados Pessoais do que aqueles impostos à Cloudflare neste DPA (os "Termos Relevantes do"). A Cloudflare providenciará o cumprimento dos Termos Relevantes por esse subprocessador e será responsável perante o Cliente por qualquer violação de qualquer um dos Termos Relevantes por esse subprocessador.

4.3 O Cliente concede uma autorização geral por escrito: (a) à Cloudflare para nomear outros membros do Grupo Cloudflare como subprocessadores, e (b) à Cloudflare e a outros membros do Grupo Cloudflare para nomear operadores de data center terceirizados e provedores de negócios, engenharia e suporte ao cliente como subprocessadores para apoiar o desempenho do Serviço.

4.4 A Cloudflare manterá uma lista de subprocessadores em https://www.cloudflare.com/gdpr/subprocessors/ e adicionará os nomes de subprocessadores novos e substitutos à lista pelo menos 30 (trinta) dias antes da data em que esses subprocessadores iniciarem o processamento de Dados Pessoais. Se o Cliente se opuser a qualquer subprocessador novo ou substituto por motivos razoáveis relacionados à proteção de dados, ele deverá notificar a Cloudflare de tais objeções por escrito dentro de dez (10) dias da notificação e as partes buscarão resolver a questão de boa fé. Se a Cloudflare for razoavelmente capaz de fornecer o Serviço ao Cliente de acordo com o Contrato Principal sem usar o subprocessador e decidir, a seu critério, fazê-lo, então o Cliente não terá mais direitos sob esta cláusula 4.4 em relação ao uso proposto do subprocessador. Se a Cloudflare, a seu critério, exigir o uso do subprocessador e não puder satisfazer a objeção do Cliente em relação ao uso proposto do subprocessador novo ou substituto, então o Cliente poderá rescindir o Formulário de Pedido aplicável a partir da data em que a Cloudflare começar a usar esse subprocessador novo ou substituto exclusivamente com relação ao(s) Serviço(s) que usará(ão) o novo subprocessador proposto para o processamento de Dados Pessoais. Se o Cliente não apresentar uma objeção em tempo hábil a qualquer subprocessador novo ou substituto, de acordo com esta cláusula 4.4, considerar-se-á que o Cliente consentiu com o subprocessador e renunciou ao seu direito de objeção.

5. Auditoria e registros

5.1 A Cloudflare, de acordo com as Leis de Proteção de Dados Aplicáveis, disponibilizará ao Cliente as informações em posse ou controle da Cloudflare que o Cliente possa razoavelmente solicitar com o objetivo de demonstrar a conformidade da Cloudflare com as obrigações dos Processadores sob as Leis de Proteção de Dados Aplicáveis em relação ao seu processamento de Dados Pessoais.

5.2 A Cloudflare pode cumprir o direito de auditoria do Cliente sob as Leis de Proteção Aplicáveis em relação aos Dados Pessoais, fornecendo:

(a) um relatório de auditoria com não mais de 13 (treze) meses, preparado por um auditor externo independente, demonstrando que as medidas técnicas e organizacionais da Cloudflare são suficientes e estão de acordo com um padrão de auditoria aceito pelo setor;

(b) informações adicionais em posse ou controle da Cloudflare para uma autoridade supervisora de proteção de dados quando esta solicitar ou exigir informações adicionais em relação ao processamento de Dados Pessoais realizado pela Cloudflare sob este DPA; e

(c) Na medida em que os Dados Pessoais do Cliente estejam sujeitos às SCCs da UE e as informações disponibilizadas de acordo com esta cláusula 5.2 sejam insuficientes, no julgamento razoável do Cliente, para confirmar a conformidade da Cloudflare com suas obrigações nos termos deste DPA ou das Leis de Proteção de Dados Aplicáveis, a Cloudflare permitirá que o Cliente solicite uma auditoria no local por período anual durante o Prazo (conforme definido no Contrato Principal) para verificar a conformidade da Cloudflare com suas obrigações nos termos deste DPA, de acordo com a cláusula 5.3.

5.3 Os seguintes termos adicionais se aplicam às auditorias solicitadas pelo Cliente:

(a) O Cliente deve enviar qualquer solicitação de revisão dos relatórios de auditoria da Cloudflare para customer-compliance@cloudflare.com.

(b) Após o recebimento pela Cloudflare de uma solicitação de auditoria nos termos da cláusula 5.2(c), a Cloudflare e o Cliente discutirão e concordarão com antecedência sobre a data de início razoável, o escopo, a duração e os controles de segurança e confidencialidade aplicáveis a qualquer auditoria nos termos da cláusula 5.2(c). Sempre que possível, as evidências para essa auditoria serão limitadas às evidências coletadas para a auditoria terceirizada mais recente da Cloudflare.

(c) A Cloudflare poderá cobrar uma taxa (com base nos custos razoáveis da Cloudflare) por qualquer auditoria nos termos da cláusula 5.2(c). A Cloudflare fornecerá ao Cliente mais detalhes sobre qualquer taxa aplicável e a base de seu cálculo, antes de qualquer auditoria. O Cliente será responsável por quaisquer taxas cobradas por qualquer auditor nomeado pelo Cliente para executar tal auditoria.

(d) A Cloudflare pode se opor por escrito a um auditor nomeado pelo Cliente para conduzir qualquer auditoria nos termos da cláusula 5.2(c) se o auditor for, na opinião razoável da Cloudflare, não adequadamente qualificado ou independente, um concorrente da Cloudflare, ou de outra forma manifestamente inadequado (ou seja, um auditor cuja contratação pode ter um impacto prejudicial sobre os negócios da Cloudflare comparável aos aspectos acima mencionados). Qualquer objeção desse tipo por parte da Cloudflare exigirá que o Cliente indique outro auditor ou realize a auditoria por conta própria. Se as Cláusulas Contratuais Contratuais da UE (inclusive conforme possam ser alteradas nas cláusulas 6.2(a) e (b) abaixo) se aplicarem, nada nesta cláusula 5.3 varia ou modifica as Cláusulas Contratuais da UE nem afeta os direitos de qualquer autoridade supervisora ou titular de dados nos termos das Cláusulas Contratuais da UE.

6. {Transferências de dados do EEE, da Suíça e do Reino Unido

6.1 Em conexão com o Serviço, as partes preveem que a Cloudflare (e seus subprocessadores) poderá processar fora do Espaço Econômico Europeu ("EEA"), Suíça e Reino Unido, determinados Dados Pessoais protegidos pelas Leis Europeias de Proteção de Dados em relação aos quais o Cliente ou um membro do Grupo do Cliente pode ser um Controlador (ou Processador em nome de um Controlador de terceiros, conforme aplicável).

6.2 As partes concordam que, quando a transferência de Dados Pessoais protegidos pelas Leis Europeias de Proteção de Dados do Cliente ou de qualquer membro do Grupo do Cliente para a Cloudflare for uma Transferência Restrita, ela estará sujeita às SCCs da UE apropriadas, conforme segue:

(a) Transferências da UE: em relação aos Dados Pessoais que são protegidos pelo GDPR da UE, as SCCs da UE serão aplicadas e completadas da seguinte forma:

(i) O Módulo Dois se aplicará quando o Cliente (ou o membro relevante do Grupo de Clientes) for um Controlador e o Módulo Três se aplicará quando o Cliente (ou o membro relevante do Grupo de Clientes) for um Processador;

(ii) na Cláusula 7, a cláusula de acoplamento opcional será aplicada;

(iii) na Cláusula 9, a Opção 2 será aplicada, e o período de tempo para aviso prévio das alterações do subprocessador será conforme estabelecido na Cláusula 4.3 deste DPA;

(iv) na Cláusula 11, a linguagem opcional não se aplicará;

(v) na Cláusula 17, a Opção 2 será aplicada e, se o Estado Membro do exportador de dados não permitir direitos de terceiros beneficiários, a lei da Alemanha será aplicada;

(vi) na Cláusula 18(b), as disputas deverão ser resolvidas perante os tribunais da jurisdição que rege o Contrato Principal entre as partes ou, se essa jurisdição não for um Estado Membro da UE, os tribunais de Munique, Alemanha. Em qualquer caso, as Cláusulas 17 e 18 (b) serão consistentes no sentido de que a escolha do foro e da jurisdição recairá sobre o país da lei aplicável;

(vii) O Anexo I das EU SCCs será considerado preenchido com as informações estabelecidas no Anexo 1 desta DPA; e

(viii) O Anexo II das SCCs da UE deve ser considerado preenchido com as informações estabelecidas no Anexo 2 desta DPA.

(b) Transferências para o Reino Unido: Em relação aos Dados Pessoais protegidos pelo GDPR do Reino Unido, as SCCs da UE serão aplicadas conforme estabelecido acima na cláusula 6.2(a) deste DPA, serão aplicadas às transferências de tais Dados Pessoais, exceto que:

(i) As SCCs da UE serão consideradas alteradas conforme especificado pelo Adendo do Reino Unido, que será considerado executado entre o Cliente transferidor (ou o membro relevante do Grupo de Clientes) e a Cloudflare;

(ii) Qualquer conflito entre os termos das SCCs da UE e do Adendo do Reino Unido deverá ser resolvido de acordo com a Seção 10 e a Seção 11 do Adendo do Reino Unido;

(iii) Para fins do Adendo do Reino Unido, as Tabelas 1 a 3 da Parte 1 do Adendo do Reino Unido devem ser consideradas preenchidas usando as informações contidas nos Anexos deste DPA; e

(iv) A Tabela 4 na Parte 1 do Adendo do Reino Unido será considerada preenchida ao selecionar "nenhuma das partes".

(c) Transferências da Suíça: em relação aos Dados Pessoais que são protegidos pela Lei Federal Suíça sobre Proteção de Dados (conforme emendada ou substituída), as SCCs da UE, completadas conforme estabelecido na cláusula 6.2(a) deste DPA, deverão se aplicar às transferências de tais Dados Pessoais, exceto que:

(i) a autoridade supervisora competente com relação a esses Dados Pessoais será o Comissário Federal Suíço de Proteção de Dados e Informações;

(ii) na Cláusula 17, a lei aplicável será a legislação da Suíça;

(iii) as referências a "Estado(s)-Membro(s)" nas Cláusulas Contratuais Contratuais Contratuais da UE devem ser interpretadas como se referindo à Suíça, e os titulares de dados localizados na Suíça devem ter o direito de exercer e fazer valer seus direitos nos termos das Cláusulas Contratuais Contratuais Contratuais da UE na Suíça; e

(iv) referências à "Regulamentação Geral de Proteção de Dados", "Regulamentação 2016/679" ou "GDPR" nas SCCs da UE devem ser entendidas como referências à Lei Federal Suíça sobre Proteção de Dados (conforme alterada ou substituída).

(d) Os termos a seguir se aplicarão às EU SCCs (inclusive conforme possam ser alteradas de acordo com as cláusulas 6.2(b) e (c) acima):

(i) O Cliente poderá exercer seu direito de auditoria nos termos das CSCs da UE, conforme estabelecido e sujeito às exigências da cláusula 5 deste DPA; e

(ii) A Cloudflare poderá nomear subprocessadores conforme estabelecido e sujeito às exigências das cláusulas 4 e 6.3 deste DPA, e o Cliente poderá exercer seu direito de se opor aos subprocessadores nos termos das Cláusulas ESC da UE da maneira estabelecida na cláusula 4.3 deste DPA.

(e) No caso de qualquer disposição deste DPA contradizer, direta ou indiretamente, as Cláusulas Contratuais Contratuais da UE (e o Adendo do Reino Unido, conforme apropriado), estas últimas prevalecerão.

6.3 Com relação às Transferências Restritas feitas para a Cloudflare nos termos da cláusula 6.2, a Cloudflare não participará (nem permitirá que qualquer subprocessador participe) de quaisquer outras Transferências Restritas de Dados Pessoais (seja como "exportador" ou "importador" dos Dados Pessoais), a menos que essa Transferência Restrita adicional seja feita em total conformidade com as Leis Europeias de Proteção de Dados e de acordo com as CECs da UE implementadas entre o exportador e o importador dos Dados Pessoais ou se aplique um Mecanismo de Transferência Alternativo (conforme definido na cláusula 6.5) adotado pelo importador.

6.4 Caso o Cliente busque realizar qualquer avaliação da adequação das SCCs da UE para transferências para quaisquer países ou regiões em particular, a Cloudflare deverá, na medida de sua capacidade, fornecer assistência razoável ao Cliente para fins de tal avaliação, desde que o Cliente cubra todos os custos incorridos pela Cloudflare em conexão com sua prestação de tal assistência.

6.5 Na medida em que a Cloudflare adote um mecanismo alternativo de exportação de dados (incluindo qualquer nova versão ou sucessor do Privacy Shield adotado de acordo com as Leis Europeias de Proteção de Dados aplicáveis) para a transferência de Dados Pessoais não descritos neste DPA ("Mecanismo Alternativo de Transferência" ), o Mecanismo de Transferência Alternativo deverá ser aplicado em vez de qualquer mecanismo de transferência aplicável descrito neste DPA (mas somente na medida em que esse Mecanismo de Transferência Alternativo esteja em conformidade com as Leis Europeias de Proteção de Dados e se estenda aos territórios para os quais os Dados Pessoais são transferidos), e o Cliente concorda em executar outros documentos e tomar outras ações que possam ser razoavelmente necessárias para dar efeito legal a esse Mecanismo de Transferência Alternativo.

7. {Solicitações de acesso a dados de terceiros

7.1 Se a Cloudflare tomar conhecimento de qualquer processo legal de terceiros que solicite Dados Pessoais que a Cloudflare processa em nome do Cliente em sua função de Processador ou subprocessador (conforme aplicável), a Cloudflare o fará:

(a) notificar imediatamente o Cliente sobre a solicitação, a menos que tal notificação seja legalmente proibida;

(b) informar ao terceiro que ele é um Processador ou subprocessador (conforme aplicável) dos Dados Pessoais e que não está autorizado a divulgar os Dados Pessoais sem o consentimento do Cliente;

(c) divulgar ao terceiro os detalhes de contato mínimos necessários do Cliente para permitir que o terceiro entre em contato com o Cliente e instruir o terceiro a direcionar sua solicitação de dados ao Cliente; e

(d) na medida em que a Cloudflare fornecer acesso ou divulgar Dados Pessoais em resposta a um processo legal de terceiros, seja com a autorização do Cliente ou devido a uma compulsão legal obrigatória, a Cloudflare divulgará a quantidade mínima de Dados Pessoais na medida em que for legalmente obrigada a fazê-lo e de acordo com o processo legal aplicável.

7.2 Na função da Cloudflare como Processadora ou subprocessadora, conforme aplicável, ela pode estar sujeita a um processo legal de terceiros emitido por uma autoridade governamental (incluindo uma autoridade judicial) e solicitando acesso ou divulgação de Dados Pessoais. Se a Cloudflare tomar conhecimento de qualquer processo legal de terceiros emitido por uma autoridade governamental (incluindo uma autoridade judicial) solicitando Dados Pessoais que a Cloudflare processa em nome do Cliente em sua função de Processador ou subprocessador (conforme aplicável), então, na medida em que a Cloudflare analise a solicitação com esforços razoáveis e, como resultado, seja capaz de identificar que tal processo legal de terceiros solicitando Dados Pessoais levanta um conflito de leis, a Cloudflare irá:

(a) tomar todas as medidas identificadas na cláusula 7.1 acima;

(b) buscar recursos legais antes de produzir Dados Pessoais até o nível de tribunal de apelação; e

(c) não divulgará Dados Pessoais até que (e somente na medida em que) seja necessário fazê-lo de acordo com as regras processuais aplicáveis.

7.3 As Cláusulas 7.1 e 7.2 não se aplicarão no caso de a Cloudflare acreditar de boa-fé que a solicitação do governo é necessária devido a uma emergência envolvendo o perigo de morte ou lesão física grave a um indivíduo. Nesse caso, a Cloudflare notificará o Cliente sobre a divulgação de dados o mais rápido possível após a divulgação e fornecerá ao Cliente todos os detalhes da mesma, a menos que tal divulgação seja legalmente proibida.

7.4 A Cloudflare fornecerá ao Cliente atualizações regulares sobre processos legais de terceiros que solicitem Dados Pessoais na forma do Relatório de Transparência semestral da Cloudflare, que está disponível em https://www.cloudflare.com/transparency/.

7.5 A partir da data em que o Cliente firmou este DPA com a Cloudflare, a Cloudflare assume os compromissos listados abaixo. A Cloudflare atualizará esses compromissos conforme necessário em https://www.cloudflare.com/transparency/:

(a) A Cloudflare nunca entregou nossas chaves de criptografia ou autenticação ou as chaves de criptografia ou autenticação de nossos clientes a ninguém.

(b) A Cloudflare nunca instalou qualquer software ou equipamento de aplicação da lei em qualquer lugar de nossa rede.

(c) A Cloudflare nunca forneceu a nenhuma organização de aplicação da lei um feed do conteúdo de nossos clientes que transita em nossa rede.

(d) A Cloudflare nunca enfraqueceu, comprometeu ou subverteu nenhuma de suas criptografias a pedido de autoridades policiais ou de terceiros.

8. Geral

8.1 Este DPA não prejudica os direitos e as obrigações das partes nos termos do Contrato Principal, que continuará a ter pleno vigor e efeito. No caso de qualquer conflito entre os termos deste DPA e os termos do Contrato Principal, os termos deste DPA prevalecerão na medida em que o assunto se refira ao processamento de Dados Pessoais.

8.2 A responsabilidade da Cloudflare nos termos ou em conexão com este DPA, inclusive nos termos das SCCs da UE, está sujeita às exclusões e limitações de responsabilidade contidas no Contrato Principal. Em nenhum caso a Cloudflare limita ou exclui sua responsabilidade perante os titulares dos dados ou as autoridades competentes de proteção de dados.

8.3 Exceto quando e na medida em que expressamente previsto nas Cláusulas Contratuais Suplementares da UE ou exigido pelas Leis de Proteção de Dados Aplicáveis, este DPA não confere nenhum direito de beneficiário a terceiros; ele se destina apenas ao benefício das partes e de seus respectivos sucessores e cessionários permitidos, e não se destina ao benefício de qualquer outra pessoa, nem qualquer disposição deste documento poderá ser executada por ela.

8.4 Este DPA e qualquer ação relacionada a ele serão regidos e interpretados de acordo com as leis especificadas no Contrato Principal, sem dar efeito a quaisquer princípios de conflitos de leis. As partes concordam com a jurisdição pessoal e o foro dos tribunais especificados no Contrato Principal.

8.5 Se qualquer disposição deste DPA for, por qualquer motivo, considerada inválida ou inexequível, as demais disposições do DPA permanecerão aplicáveis. Sem limitar a generalidade do acima exposto, o Cliente concorda que a cláusula 8.2 (Limitação de responsabilidade) permanecerá em vigor, não obstante a inexequibilidade de qualquer disposição deste DPA.

8.6 Este DPA é o acordo final, completo e exclusivo das partes com relação ao assunto aqui tratado e substitui e incorpora todas as discussões e acordos anteriores entre as partes com relação a esse assunto.

Anexo 1

Descrição do processamento de dados

Este Anexo 1 faz parte do DPA e descreve o processamento que a Cloudflare realizará em nome do Cliente.

A. LISTA DE PARTES

Anexo 2

Medidas de segurança técnicas e organizacionais

A Cloudflare implementou e manterá um programa de segurança da informação de acordo com as normas ISO/IEC 27000. O programa de segurança da Cloudflare deve incluir:

Medidas de criptografia de dados pessoais

A Cloudflare implementa criptografia para proteger adequadamente os Dados Pessoais usando:

• Protocolos de criptografia de última geração projetados para fornecer proteção eficaz contra ataques ativos e passivos com recursos reconhecidamente disponíveis para as autoridades públicas;

• autoridades e infraestrutura de certificação de chave pública confiáveis;

• algoritmos de criptografia e parametrização eficazes, como um mínimo de comprimentos de chave de 128 bits para criptografia simétrica e pelo menos 2048 bits de RSA ou 256 bits de ECC para algoritmos assimétricos.

Medidas para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de processamento

A Cloudflare aumenta a segurança dos sistemas e serviços de processamento em ambientes de produção:

• empregar um processo de revisão de código para aumentar a segurança do código usado para fornecer os Serviços; e testar o código e os sistemas quanto a vulnerabilidades antes e durante o uso;

• manter um programa externo de recompensa por bugs;

• usar verificações para validar a integridade dos dados criptografados e

• empregando detecção de intrusão preventiva e reativa.

A Cloudflare implementa sistemas de alta disponibilidade em data centers distribuídos geograficamente.

A Cloudflare implementa medidas de controle de entrada para proteger e manter a confidencialidade dos Dados Pessoais, incluindo:

• uma política de autorização para a entrada, leitura, alteração e exclusão de dados;

• autenticar o pessoal autorizado usando credenciais de autenticação exclusivas (senhas) e hard tokens;

• desconectar automaticamente os IDs de usuário após um período de inatividade;

• proteger a entrada de dados, bem como a leitura, a alteração e a exclusão de dados armazenados; e

• exigir que as instalações de processamento de dados (as salas que abrigam o hardware do computador e os equipamentos relacionados) sejam mantidas trancadas e seguras.

Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico

A Cloudflare implementa medidas para garantir que os Dados Pessoais sejam protegidos contra destruição ou perda acidental, inclusive por meio da manutenção:

• planos e procedimentos de recuperação de desastres e continuidade dos negócios;

• centros de dados distribuídos geograficamente;

• infraestrutura redundante, incluindo fontes de alimentação e conectividade com a Internet;

• backups armazenados em locais alternativos e disponíveis para restauração em caso de falha dos sistemas primários; e

• procedimentos de gerenciamento de incidentes que são testados regularmente.

Processos para testar, avaliar e comprovar regularmente a eficácia das medidas técnicas e organizacionais a fim de garantir a segurança do processamento

As medidas técnicas e organizacionais da Cloudflare são regularmente testadas e avaliadas por auditores externos como parte do Programa de Conformidade de Privacidade & da Cloudflare. Essas auditorias podem incluir auditorias anuais ISO/IEC 27001, AICPA SOC 2 Tipo II, PCI DSS Nível 1 e outras auditorias externas. As medidas também são testadas regularmente por auditorias internas, bem como por avaliações de risco anuais e específicas.

Medidas para identificação e autorização do usuário

A Cloudflare implementa medidas eficazes para autenticação de usuários e gerenciamento de privilégios:

• aplicar uma política obrigatória de controle de acesso e autenticação;

• aplicar um modelo de confiança zero de identificação e autorização;

• autenticar o pessoal autorizado usando credenciais de autenticação exclusivas e autenticação multifatorial forte, inclusive exigindo o uso de tokens físicos;

• alocar e gerenciar privilégios apropriados de acordo com a função, as aprovações e o gerenciamento de exceções; e

• aplicando o princípio do acesso com o mínimo de privilégio.

Medidas para a proteção de dados durante a transmissão

A Cloudflare implementa medidas eficazes para proteger os Dados Pessoais de serem lidos, copiados, alterados ou excluídos por partes não autorizadas durante a transmissão, inclusive por:

• usando protocolos de criptografia de transporte de última geração projetados para oferecer proteção eficaz contra ataques ativos e passivos com recursos reconhecidamente disponíveis para as autoridades públicas;

• usando autoridades e infraestrutura de certificação de chave pública confiáveis;

• implementação de medidas de proteção contra ataques ativos e passivos aos sistemas de envio e recebimento que fornecem criptografia de transporte, como firewalls adequados, criptografia TLS mútua, autenticação de API e criptografia para proteger os gateways e pipelines pelos quais os dados trafegam, bem como testes de vulnerabilidades de software e possíveis backdoors;

• empregar algoritmos de criptografia e parametrização eficazes, como um mínimo de comprimentos de chave de 128 bits para criptografia simétrica e comprimentos de chave RSA de pelo menos 2048 bits ou ECC de 256 bits para algoritmos assimétricos;

• usando software corretamente implementado e mantido, coberto por um programa de gerenciamento de vulnerabilidades e testado quanto à conformidade por meio de auditoria;

• aplicar medidas seguras para gerar, gerenciar, armazenar e proteger chaves de criptografia de forma confiável; e

• registro de auditoria, monitoramento e rastreamento de transmissões de dados.

Medidas para a proteção de dados durante o armazenamento

A Cloudflare implementa medidas eficazes para proteger os Dados Pessoais durante o armazenamento, controlando e limitando o acesso aos sistemas de processamento de dados, e por meio de:

• usando protocolos de criptografia de última geração projetados para oferecer proteção eficaz contra ataques ativos e passivos com recursos reconhecidamente disponíveis para as autoridades públicas;

• usando autoridades e infraestrutura de certificação de chave pública confiáveis;

• testar sistemas de armazenamento de dados quanto a vulnerabilidades de software e possíveis backdoors;

• empregar algoritmos de criptografia e parametrização eficazes, como exigir que todos os discos que armazenam dados pessoais sejam criptografados com AES-XTS usando um comprimento de chave de 128 bits ou mais.

• usando software corretamente implementado e mantido, coberto por um programa de gerenciamento de vulnerabilidades e testado quanto à conformidade por meio de auditoria;

• aplicar medidas seguras para gerar, gerenciar, armazenar e proteger de forma confiável as chaves de criptografia;

• identificação e autorização de sistemas e usuários com acesso a sistemas de processamento de dados;

• desconectar automaticamente os usuários após um período de inatividade; e

• registro de auditoria, monitoramento e rastreamento do acesso aos sistemas de processamento e armazenamento de dados.

A Cloudflare implementa controles de acesso a áreas específicas dos sistemas de processamento de dados para garantir que somente usuários autorizados possam acessar os Dados Pessoais dentro do escopo e na extensão coberta por sua respectiva permissão de acesso (autorização) e que os Dados Pessoais não possam ser lidos, copiados, modificados ou removidos sem autorização. Isso deve ser feito por meio de várias medidas, inclusive:

• políticas e treinamento de funcionários com relação aos direitos de acesso de cada funcionário aos Dados Pessoais;

• aplicar um modelo de confiança zero de identificação e autorização de usuários;

• autenticar o pessoal autorizado usando credenciais de autenticação exclusivas e autenticação multifatorial forte, inclusive exigindo o uso de tokens físicos;

• monitorar as ações das pessoas autorizadas a excluir, adicionar ou modificar Dados Pessoais;

• liberar dados somente para pessoas autorizadas, incluindo a alocação de direitos e funções de acesso diferenciados; e

• controle de acesso aos dados, com destruição controlada e documentada dos dados.

Medidas para garantir a segurança física dos locais em que os dados pessoais são processados

A Cloudflare mantém e implementa políticas e medidas eficazes de controle de acesso físico para evitar que pessoas não autorizadas obtenham acesso ao equipamento de processamento de dados (ou seja, servidores de banco de dados e aplicativos e hardware relacionado) onde os Dados Pessoais são processados ou usados, inclusive por:

• estabelecer áreas seguras;

• proteger e restringir os caminhos de acesso;

• estabelecer autorizações de acesso para funcionários e terceiros, incluindo a respectiva documentação;

• todos os acessos aos centros de dados onde os Dados Pessoais estão hospedados são registrados, monitorados e rastreados; e

• os data centers onde os Dados Pessoais estão hospedados são protegidos por sistemas de alarme de segurança e outras medidas de segurança apropriadas.

Medidas para garantir o registro de eventos

A Cloudflare implementou um programa de registro e monitoramento para registrar, monitorar e rastrear o acesso a dados pessoais, inclusive por administradores de sistema, e para garantir que os dados sejam processados de acordo com as instruções recebidas. Isso é feito por meio de várias medidas, incluindo:

• autenticar o pessoal autorizado usando credenciais de autenticação exclusivas e autenticação multifatorial forte, inclusive exigindo o uso de tokens físicos;

• aplicar um modelo de confiança zero de identificação e autorização de usuários;

• manter listas atualizadas de detalhes de identificação dos administradores de sistemas;

• adotar medidas para detectar, avaliar e responder a anomalias de alto risco;

• manter registros de acesso seguros, precisos e não modificados à infraestrutura de processamento por doze meses; e

• testar a configuração de registro, o sistema de monitoramento, o processo de alerta e de resposta a incidentes pelo menos uma vez por ano.

Medidas para garantir a configuração do sistema, incluindo a configuração padrão

A Cloudflare mantém linhas de base de configuração para todos os sistemas que suportam o ambiente de processamento de dados de produção, incluindo sistemas de terceiros. As linhas de base de configuração devem estar alinhadas com as práticas recomendadas do setor, como as referências de nível 1 do Center for Internet Security (CIS). Mecanismos automatizados devem ser usados para impor configurações de linha de base em sistemas de produção e para evitar alterações não autorizadas. As alterações nas linhas de base são limitadas a um pequeno número de funcionários autorizados da Cloudflare e devem seguir os processos de controle de alterações. As alterações devem ser auditáveis e verificadas regularmente para detectar desvios das configurações de linha de base.

A Cloudflare configura linhas de base para o sistema de informações usando o princípio do menor privilégio. Por padrão, as configurações de acesso são definidas como "negar tudo", e as senhas padrão devem ser alteradas para atender às políticas da Cloudflare antes da instalação do dispositivo na rede da Cloudflare ou imediatamente após a instalação do software ou do sistema operacional. Os sistemas são configurados para sincronizar os relógios de tempo do sistema com base no Tempo Atômico Internacional ou no Tempo Universal Coordenado (UTC), e o acesso para modificar os dados de tempo é restrito ao pessoal autorizado.

Medidas para governança e gerenciamento internos de TI e segurança de TI

A Cloudflare mantém políticas internas sobre o uso aceitável de sistemas de TI e segurança geral das informações. A Cloudflare exige que todos os funcionários realizem um treinamento geral de conscientização sobre segurança e privacidade pelo menos a cada ano. A Cloudflare restringe e protege o processamento de Dados Pessoais, e documentou e implementou:

• um Sistema de Gerenciamento de Segurança da Informação (ISMS) formal para proteger a confidencialidade, a integridade, a autenticidade e a disponibilidade dos dados e sistemas de informação da Cloudflare e para garantir a eficácia dos controles de segurança sobre os dados e sistemas de informação que dão suporte às operações; e

• um Sistema de Gerenciamento de Informações de Privacidade (PIMS) formal para proteger a confidencialidade, a integridade, a autenticidade e a disponibilidade das políticas e dos procedimentos que dão suporte à rede gerenciada global da Cloudflare, tanto como processador quanto como controlador das informações dos clientes.

A Cloudflare manterá a documentação das medidas técnicas e organizacionais em caso de auditorias e para a conservação de evidências. A Cloudflare tomará medidas razoáveis para garantir que as pessoas empregadas por ela, e outras pessoas no local de trabalho em questão, estejam cientes e cumpram as medidas técnicas e organizacionais estabelecidas neste Anexo 2.

Medidas para certificação/garantia de processos e produtos

A implementação do ISMS da Cloudflare e os processos de gerenciamento de riscos de segurança relacionados foram certificados externamente de acordo com a norma ISO/IEC 27001 do setor. A implementação do PIMS abrangente da Cloudflare foi certificada externamente de acordo com a norma ISO/IEC 27701 do setor, tanto como processador quanto como controlador de informações de clientes.

A Cloudflare mantém a conformidade com o PCI DSS Nível 1, para o qual a Cloudflare é auditada anualmente por um Avaliador de Segurança Qualificado terceirizado. A Cloudflare obteve outras certificações, como a certificação SOC 2 Tipo II da AICPA, de acordo com os Critérios de Serviço de Confiança da AICPA, e os detalhes dessas e de outras certificações que a Cloudflare possa obter periodicamente serão disponibilizados no site da Cloudflare.

Para transferências para (sub) Processadores, descreva também as medidas técnicas e organizacionais específicas a serem tomadas pelo (sub) Processador para poder prestar assistência ao controlador (e, para transferências de um Processador para um subprocessador, para o exportador de dados).