Termos de Processamento de Dados do YouTube

Em vigor a partir de 24 de novembro de 2020 (ver a versão anterior)

Os presentes Termos de Processamento de Dados do Youtube (incluindo os anexos, “Termos de Processamento de Dados”) serão aplicáveis ao processamento dos Dados Pessoais do Cliente. Estes termos servirão como um adendo ao contrato celebrado entre você ("Cliente") e a Google com relação ao seu uso do serviço YouTube (“Contrato”). Tal Contrato poderá incluir os Termos de Serviço do YouTube ou um contrato de licenciamento de conteúdo, conforme aplicável ao Cliente. Leia atentamente estes Termos de Processamento de Dados.

1. Introdução

Estes Termos de Processamento de Dados refletem o acordo das partes sobre os termos que regem o processamento e a segurança dos Dados Pessoais do Cliente relacionados à Legislação Europeia de Proteção de Dados.

2. Definições e Interpretação

2.1 Nestes Termos de Processamento de Dados:

“Coligada”, se não tiver sido anteriormente definida no Contrato, significa uma entidade que, direta ou indiretamente, controle ou seja controlada por uma parte ou está sob controle comum dessa parte.

“Dados Pessoais do Cliente” significa conteúdo de áudio ou audiovisual carregado pelo Cliente no YouTube de acordo com os termos do Contrato e processado pela Google em nome do Cliente no fornecimento de Serviços do Processador pela Google.

“Incidente com Dados” significa uma violação da segurança da Google ocasionando, de forma acidental ou ilegal, a destruição, perda, alteração, divulgação não autorizada de ou acesso aos Dados Pessoais do Cliente em sistemas gerenciados ou de outra forma controlados pela Google. “Incidentes com Dados” não incluem tentativas inócuas ou atividades que não comprometam a segurança dos Dados Pessoais do Cliente, incluindo-se tentativas malsucedidas de log-in, pings, port scans, ataques de negativa de serviços, e outros ataques por redes a firewalls ou a sistemas em rede.

“Ferramenta dos Titulares dos Dados” significa uma ferramenta (se houver) disponibilizada pela Google para titulares de dados que permite à Google responder diretamente e de maneira padronizada a certas solicitações de titulares de dados relacionadas com Dados Pessoais do Cliente (por exemplo, configurações de anúncios online ou um plugin de navegador com opção de cancelamento).

“AEE” significa a Área Econômica Europeia.

“GDPR UE” significa a Regulamentação (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção das pessoas naturais em relação ao processamento de dados pessoais e à livre movimentação desses dados e que revoga a Diretiva 95/46/EC.

"Legislação Europeia de Proteção de Dados" significa, conforme aplicável, (a) a GDPR; (b) a Lei Federal de Proteção de Dados de 19 de junho de 1992 (Suíça); (c) a Lei Geral de Proteção de Dados Brasileira (Lei n. 13.709/2018); e/ou (d) qualquer outra lei ou regulação de proteção de dados modelada na Regulação Geral de Proteção de Dados.

“Leis Europeias ou Nacionais” significa, conforme aplicável, (a) a legislação da UE ou de Estado Membro da UE (caso a GDPR UE seja aplicável ao processamento de Dados Pessoais do Cliente); e/ou (b) a lei do Reino Unido ou de uma parte do Reino Unido (caso a GDPR Britânica seja aplicável ao processamento de Dados Pessoais do Cliente).

“GDPR” significa, conforme aplicável: (a) a GDPR UE; e/ou (b) a GDPR Britânica.

“Google” significa a pessoa jurídica Google que é uma parte do seu Contrato.

“Subprocessadores Coligados da Google” possui o significado dado na Cláusula 11.1 (Consentimento à Participação de Subprocessadores).

“Entidade Google” significa a Google LLC (anteriormente conhecida como Google Inc.), Google Ireland Limited, YouTube, LLC ou qualquer outra coligada da Google LLC.

"Certificação ISO 27001” significa a certificação ISO/IEC 27001:2013 ou uma certificação equivalente para os Serviços do Processador.

“Endereço de E-mail para Notificações” significa o endereço de e-mail (se houver) designado pelo Cliente, por meio da interface do usuário dos Serviços do Processador ou outros meios fornecidos pela Google, para receber determinadas notificações da Google relacionadas com estes Termos de Processamento de Dados.

“Serviços do Processador” significa o processamento dos Dados Pessoais do Cliente de acordo com estes Termos de Processamento de Dados.

“Documentação de Segurança” significa o certificado emitido para a Certificação ISO 27001, se houver, e quaisquer outras certificações ou documentações de segurança que a Google venha a disponibilizar em relação aos Serviços do Processador.

“Medidas de Segurança” tem o significado estipulado na Cláusula 7.1.1 (Medidas de Segurança da Google).

"Cláusulas Contratuais Padrão" significa as cláusulas contratuais padrão da Comissão Europeia disponíveis em https://privacy.google.com/businesses/gdprprocessorterms/sccs/, que são os termos padrão de proteção de dados para a transferência de dados pessoais para processadores estabelecidos em países terceiros que não asseguram nível adequado de proteção de dados, conforme descrito no art. 46 da GDPR EU.

“Subprocessadores” significa terceiros autorizados de acordo com estes Termos de Processamento de Dados para obter acesso lógico aos Dados Pessoais do Cliente e processá-los a fim de fornecer partes dos Serviços do Operador e eventuais suportes técnicos relacionados aos serviços.

“Autoridade Supervisora” significa, conforme aplicável: (a) uma “autoridade supervisora” conforme definição na GDPR UE; e/ou (b) o “Comissário” conforme definição na GDPR Britânica.

“Terceiros Subprocessadores” possui o significado dado na Cláusula 11.1 (Consentimento à Participação de Subprocessadores).

“GDPR Britânica” significa a GDPR UE conforme aditada e incorporada à legislação britânica, de acordo com os termos da UK European Union (Withdrawal) Act 2018 (Lei de Saída do Reino Unido da União Europeia de 2018), caso em vigor.

2.2 Os termos “controlador(a)”, "titular dos dados", “dados pessoais”, “processamento” e “processador” conforme utilizados nos presentes Termos de Processamento de Dados têm o significado atribuído a eles na GDPR e os termos "importador de dados" e "exportador de dados" têm o significado atribuído a eles nas Cláusulas Contratuais Padrão.

2.3 Qualquer referência a uma estrutura legal, lei ou outro ato normativo é uma referência àquela estrutura legal, lei ou outro ato normativo e suas alterações periódicas ou reedições.

2.4 Se esses Termos de Processamento de Dados forem traduzidos para qualquer outro idioma e houver discrepância entre o texto em inglês e o texto traduzido, o texto em inglês se aplicará.

3. Duração destes Termos de Processamento de Dados

O prazo (“Prazo”) destes Termos de Processamento de Dados, e o fornecimento pela Google dos Serviços de Processador, iniciam em 25 de maio de 2018 (ou na data do Contrato se for após 25 de maio de 2018) (“Data de Vigência dos Termos”) e continuarão até a eliminação de todos os Dados Pessoais do Cliente pela Google conforme estipulado nos presentes Termos de Processamento de Dados.

4. Aplicação destes Termos de Processamento de Dados

4.1        Aplicação da Legislação Europeia de Proteção de Dados.  Estes Termos de Processamento de Dados são aplicáveis até o limite em que a Legislação Europeia de Proteção de Dados for aplicável ao processamento dos Dados Pessoais do Cliente, incluindo-se os seguintes casos:

(a) se o processamento está no contexto das atividades de um estabelecimento do Cliente na AEE ou no Reino Unido; e/ou

(b) se os Dados Pessoais do Cliente forem dados pessoais relativos a titulares de dados que estejam na AEE ou no Reino Unido e o processamento se relacione com a oferta de bens ou serviços a esses titulares ou ao monitoramento de seu comportamento dentro da AEE ou do Reino Unido.

5. Processamento de Dados

5.1 Funções e Compliance Regulatória; Autorização.

5.1.1 Responsabilidades do Controlador e do Processador

(a) Estes Termos de Processamento de Dados descrevem o objeto e os detalhes do processamento dos Dados Pessoais do Cliente;

(b) A Google é um processador dos Dados Pessoais de Clientes de acordo com a Legislação de Proteção de Dados;

(c) O Cliente é um controlador ou processador, conforme o caso, de Dados Pessoais de Clientes de acordo com a Legislação de Proteção de Dados; e

(d) cada parte cumprirá as obrigações aplicáveis a ela de acordo com a Legislação de Proteção de Dados em relação ao processamento dos Dados Pessoais do Cliente.

5.1.2 Autorização pelo Terceiro Controlador  Se o Cliente for um processador, o Cliente garante à Google que as ações e diretrizes do Cliente em relação aos Dados Pessoais do Cliente, incluindo-se sua indicação da Google como outro processador, foram autorizadas pelo controlador pertinente.

5.2 Diretrizes do Cliente.  O Cliente instrui a Google a processar os Dados Pessoais do Cliente exclusivamente de acordo com a lei aplicável e os presentes Termos de Processamento de Dados: (a) para fornecer os Serviços de Processador e qualquer suporte técnico relacionado; (b) conforme especificado detalhadamente por meio do uso pelo Cliente dos Serviços do Processador (incluídos nas configurações e outras funcionalidades dos Serviços do Processador) e qualquer suporte técnico relacionado; e (c) conforme documentado no texto do Contrato, incluindo-se os presentes Termos de Processamento de Dados.

5.3        Cumprimento das Diretrizes pela Google.  A Google cumprirá as diretrizes descritas na Cláusula 5.2 (Diretrizes do Cliente) (incluindo-se as diretrizes relacionadas às transferências de dados) a não ser que as Leis Europeias ou Nacionais, às quais a Google esteja sujeita, exijam outra forma de processamento dos Dados Pessoais do Cliente pela Google, caso em que a Google informará ao Cliente (a menos que tais leis proíbam a Google de informar o Cliente por motivos relevantes de interesse público).

6. Eliminação de Dados

6.1 Eliminação Durante o Prazo. 

6.1.1 Serviços do Processador Com Funcionalidade de Eliminação.  Durante o Prazo, se:

(a) a funcionalidade dos Serviços do Processador incluir a opção ao Cliente de eliminar os Dados Pessoais do Cliente;

(b) o Cliente utilizar os Serviços do Processador para eliminar determinados Dados Pessoais do Cliente; e

(c) os Dados Pessoais do Cliente que forem eliminados não puderem ser recuperados pelo Cliente (por exemplo, dados da “lixeira”),

então a Google eliminará esses Dados Pessoais do Cliente de seus sistemas assim que for adequadamente possível, a não ser que as Leis Europeias ou Nacionais exijam a armazenagem.

6.1.2 Serviços do Processador Sem Funcionalidade de Eliminação.  Durante o Prazo, se a funcionalidade dos Serviços do Processador não incluir a opção para o Cliente eliminar os Dados Pessoais do Cliente, então a Google atenderá a eventual solicitação adequada do Cliente para facilitar a eliminação, desde que isso seja possível considerando-se a natureza e a funcionalidade dos Serviços do Processador e exceto caso as Leis Europeias ou Nacionais exijam a armazenagem. A Google poderá cobrar uma taxa (baseada nos custos razoáveis da Google) para eliminar quaisquer dados nos termos desta Cláusula 6.1.2 (Serviços do Processador Sem Funcionalidade de Eliminação). A Google fornecerá ao Cliente com antecedência os detalhes adicionais de eventual taxa aplicável, e a respectiva base de cálculo para essa eliminação de dados, antes de qualquer dessas eliminações de dados.

6.2 Eliminação no Vencimento do Contrato.  No vencimento ou rescisão do Contrato, o Cliente instruirá a Google para apagar todos os Dados Pessoais do Cliente (incluindo-se cópias) dos sistemas da Google de acordo com a lei aplicável. A Google cumprirá essa diretriz tão cedo quanto razoavelmente possível, a não ser que: (i) As Leis Europeias ou Nacionais requeiram a armazenagem; ou (ii) o Contrato seja substituído por um novo contrato ou novos termos entre o Cliente e a Google em relação ao uso pelo Cliente do serviço YouTube e o Cliente confirme que os Dados Pessoais do Cliente (incluindo-se cópias já carregadas no Serviço YouTube) devem continuar a ser processados de acordo com estes Termos de Processamento de Dados.

7. Segurança dos Dados

7.1 Medidas de Segurança e Assistência da Google.

7.1.1 Medidas de Segurança da Google.  A Google implementará e manterá medidas técnicas e organizacionais para proteger os Dados Pessoais do Cliente contra destruição, perda, modificação, divulgação não autorizada ou acesso não autorizado, acidentais ou ilegais, conforme definidos no Apêndice 2 (as “Medidas de Segurança”). A Google poderá atualizar ou modificar as Medidas de Segurança periodicamente, desde que essas atualizações ou modificações não resultem em degradação da segurança geral dos Serviços do Processador.  

7.1.2 Conformidade de Segurança do Pessoal da Google.  A Google garante que todas as pessoas autorizadas para processar os Dados Pessoais do Cliente comprometeram-se a manter confidencialidade ou estão sujeitas a uma adequada obrigação de confidencialidade prevista em lei.

7.1.3 Assistência de Segurança da Google.  A Google (tendo em vista a natureza do processamento de Dados Pessoais do Cliente e as informações disponíveis à Google) proverá assistência ao Cliente para garantir o cumprimento de quaisquer obrigações do Cliente com respeito à segurança dos dados pessoais e violações dos dados pessoais, incluindo-se (se aplicável) as obrigações do Cliente de acordo com os Artigos 32 a 34 (inclusive) da GDPR, mediante:

(a) implementação e manutenção das Medidas de Segurança de acordo com a Cláusula 7.1.1 (Medidas de Segurança da Google);

(b) cumprimento dos termos da Cláusula 7.2 (Incidentes com Dados); e

(c) fornecimento ao Cliente da Documentação de Segurança de acordo com a Cláusula 7.5.1 (Análises da Documentação de Segurança) e as informações contidas nestes Termos de Processamento de Dados.

7.2 Incidentes com Dados.

7.2.1        Notificação de Incidente.  Se a Google ficar ciente de um Incidente com Dados, então a Google: (a) notificará o Cliente sobre o Incidente com Dados prontamente e sem atraso injustificado; e (b) tomará prontamente providências razoáveis para minimizar o dano e proteger os Dados Pessoais do Cliente.

7.2.2 Detalhes do Incidente com Dados.  As notificações realizadas nos termos da Cláusula 7.2.1 (Notificação de Incidente) descreverão, até o limite possível, os detalhes do Incidente com Dados, incluindo-se as providências tomadas para mitigar os riscos potenciais e providências que a Google recomenda que o Cliente tome para enfrentar o Incidente com Dados.

7.2.3 Entrega da Notificação.  A Google entregará sua notificação de qualquer Incidente com Dados no Endereço de E-mail para Notificações ou mediante outra comunicação direta (por exemplo, por telefone ou reunião presencial). O Cliente tomará todas as providências adequadas para fornecer o Endereço de E-mail para Notificações e assegurará que o Endereço de E-mail para Notificações permaneça atualizado e válido.

7.2.4 Notificações de Terceiros.  O Cliente é o único responsável por cumprir as leis aplicáveis ao Cliente sobre notificação de incidentes e cumprir quaisquer obrigações de notificações a terceiros relacionadas com qualquer Incidente com Dados.  

7.2.5 Sem Reconhecimento de Culpa da Google.  A notificação da Google ou resposta a um Incidente com Dados nos termos desta Cláusula 7.2 (Incidentes com Dados) não será interpretada como um reconhecimento de qualquer culpa ou responsabilidade com respeito ao Incidente com Dados pela Google.

7.3        Responsabilidades por e Avaliação da Segurança do Cliente.         

7.3.1 Responsabilidades de Segurança do Cliente.  Sem prejuízo das Obrigações da Google nos termos das Cláusulas 7.1 (Medidas e Assistência de Segurança da Google) e 7.2 (Incidentes com Dados):

(a) O Cliente é responsável pelo uso dos Serviços do Processador, incluindo-se:

(i) fazer uso adequado dos Serviços do Processador para garantir um nível de segurança apropriado ao risco com respeito aos Dados Pessoais do Cliente; e

(ii) proteger as credenciais de autenticação de contas, os sistemas e os dispositivos que o Cliente utiliza para acessar os Serviços do Processador; e

(b) A Google não tem nenhuma obrigação de proteger os Dados Pessoais do Cliente que o Cliente optar por armazenar externamente ou transferir para fora dos sistemas da Google e de seus Subprocessadores.

7.3.2 Avaliação da Segurança do Cliente.  O Cliente reconhece e concorda que (considerando o estado da arte, os custos de implementação e a natureza, escopo, contexto e finalidades do processamento dos Dados Pessoais do Cliente, bem como os riscos às pessoas) as Medidas de Segurança implantadas e mantidas pela Google conforme estipulado na Cláusula 7.1.1 (Medidas de Segurança da Google) fornecem um nível adequado de segurança ao risco apresentado com relação aos Dados Pessoais do Cliente.

7.4 Certificação da Segurança. A fim de avaliar e auxiliar a garantir a contínua eficácia das Medidas de Segurança, periodicamente, a Google poderá obter a Certificação ISO 27001.

7.5 Análises e Auditorias de Compliance.

7.5.1 Análises da Documentação de Segurança.  Para demonstrar a conformidade da Google com suas obrigações incluídas nestes Termos de Processamento de Dados, a Google disponibilizará a Documentação de Segurança para análise pelo Cliente.

7.5.2 Direitos de Auditoria do Cliente.

(a) A Google autoriza o Cliente ou um auditor terceiro nomeado pelo Cliente a efetuar auditorias (incluindo-se vistorias) para confirmar a conformidade da Google com suas obrigações nos termos destes Termos de Processamento de Dados de acordo com a Cláusula 7.5.3 (Termos Comerciais Adicionais para Auditorias). A Google contribuirá com essas auditorias conforme descrito na Cláusula 7.4 (Certificação de Segurança) e nesta Cláusula 7.5 (Análises e Auditorias de Compliance).

(b) Se as Cláusulas Contratuais Padrão forem aplicáveis conforme a Cláusula 10.2 (Transferência de Dados), a Google autorizará o Cliente ou terceiro por ele indicado a conduzir auditoria conforme descrito nas Cláusulas Contratuais Padrão, em conformidade com a Cláusula 7.5.3 (Termos Comerciais Adicionais para Auditorias).

(c) O Cliente também poderá realizar uma auditoria para confirmar a conformidade da Google com suas obrigações nos termos destes Termos de Processamento de Dados mediante a análise do certificado emitido com relação à Certificação ISO 27001 (que reflete o resultado de uma auditoria realizada por um auditor independente), se essa certificação estiver disponível na época da solicitação do Cliente.

7.5.3 Termos Comerciais Adicionais para Auditorias.  

(a) O Cliente enviará qualquer solicitação de auditoria nos termos da Cláusula 7.5.2(a) ou 7.5.2(b) à Google conforme descrito na Cláusula 12.1 (Contato com a Google).

(b) Após o recebimento pela Google de uma solicitação nos termos da Cláusula 7.5.3(a), a Google e o Cliente devem discutir e pactuar previamente uma data de início adequada, o escopo e a duração de qualquer auditoria nos termos da Cláusula 7.5.2(a) ou 7.5.2(b), bem como os controles de segurança e confidencialidade aplicáveis.

(c) A Google poderá cobrar uma taxa (com base em custos razoáveis da Google) para qualquer auditoria nos termos da Cláusula 7.5.2(a) ou 7.5.2(b). A Google fornecerá ao Cliente mais detalhes de eventual taxa aplicável, e sua base de cálculo, previamente a qualquer auditoria. O Cliente será responsável por eventuais taxas cobradas por qualquer auditor indicado pelo Cliente para realizar a auditoria.

(d) A Google poderá se opor a qualquer auditor independente nomeado pelo Cliente para realizar uma auditoria nos termos da Cláusula 7.5.2(a) ou 7.5.2(b) se o auditor, na opinião razoável da Google, não for apropriadamente qualificado ou independente, se for um concorrente da Google ou se for de qualquer outra forma notoriamente inapto. Eventual oposição da Google exigirá a indicação de outro auditor pelo Cliente ou que o próprio Cliente realize a auditoria.

(e) Nada nestes Termos de Processamento de Dados exige que a Google divulgue ao Cliente ou a seu auditor terceiro, ou autorize o Cliente ou seu auditor terceiro a acessarem:

(i) quaisquer dados de qualquer outro cliente de uma Entidade Google;

(ii) a contabilidade interna ou informações financeiras de qualquer Entidade Google;

(iii) qualquer segredo de negócio de uma Entidade Google;

(iv) quaisquer informações que, na opinião razoável da Google, poderiam: (A) comprometer a segurança de quaisquer sistemas ou instalações de qualquer Entidade Google; ou (B) fazer com que qualquer Entidade Google descumpra suas obrigações sob a Legislação sobre Proteção de Dados ou suas obrigações de segurança e/ou privacidade perante o Cliente ou qualquer terceiro; ou

(v) quaisquer informações que o Cliente ou seu auditor terceiro procurem acessar por qualquer motivo que não seja o cumprimento de boa-fé das obrigações do Cliente nos termos da Legislação sobre Proteção de Dados.

7.5.4 Nenhuma Alteração nas Cláusulas Contratuais Padrão. Se as Cláusulas Contratuais Padrão forem aplicáveis conforme a Cláusula 10.2 (Transferência de Dados), nada nesta Cláusula 7.5 (Análises e Auditoria de Compliance) altera ou modifica os direitos e obrigações do Cliente ou da Entidade Google previstos nas Cláusulas Contratuais Padrão.

8. Avaliações de Impacto e Consultas

A Google (tendo em vista a natureza do processamento de Dados Pessoais do Cliente e as informações disponíveis à Google) proverá assistência ao Cliente para garantir o cumprimento de quaisquer obrigações do Cliente com respeito às avaliações de impacto na proteção dos dados e consulta prévia, incluindo-se (conforme o caso) as obrigações do Cliente de acordo com os Artigos 35 e 36 da GDPR, mediante:

(a) fornecimento da Documentação de Segurança de acordo com a Cláusula 7.5.1 (Análises da Documentação de Segurança);

(b) fornecimento das informações contidas nestes Termos de Processamento de Dados; e

(c) fornecimento ou de outra forma disponibilização, de acordo com as práticas padronizadas da Google, de outros materiais relacionados à natureza dos Serviços do Processador e ao processamento dos Dados Pessoais do Cliente (por exemplo, materiais da central de ajuda).

9. Direitos dos Titulares dos Dados

9.1 Respostas às Solicitações dos Titulares dos Dados.  Se a Google receber uma solicitação de um titular dos dados em relação aos Dados Pessoais do Cliente, a Google:

(a) se a solicitação for efetuada por meio de uma Ferramenta do Titular dos Dados, atenderá diretamente a solicitação do titular dos dados de acordo com a funcionalidade padrão da Ferramenta do Titular dos Dados; ou

(b) se a solicitação não for efetuada por meio de uma Ferramenta do Titular dos Dados, fará uma recomendação ao titular dos dados para que apresente sua solicitação ao Cliente, e o Cliente será responsável por responder a essa solicitação.

9.2 Assistência na Solicitação de um Titular dos Dados da Google.  A Google (tendo em vista a natureza do processamento de Dados Pessoais do Cliente e, conforme o caso, o Artigo 11 da GDPR) dará assistência ao Cliente no cumprimento de qualquer obrigação do Cliente de responder a solicitações de titulares dos dados, incluindo-se (conforme o caso) a obrigação do Cliente de responder a solicitações para o exercício dos direitos do titular dos dados estipulados no Capítulo III da GDPR, mediante:

(a) o fornecimento da funcionalidade dos Serviços do Processador;

(b) o cumprimento dos compromissos estabelecidos na Cláusula 9.1 (Respostas a Solicitações de Titulares dos Dados); e

(c) se aplicável aos Serviços do Processador, a disponibilização de Ferramentas do Titular dos Dados.

10. Transferências de Dados.

10.1 Instalações de Armazenamento e Processamento de Dados.  A Google poderá, sujeito à Cláusula 10.2 (Transferências de Dados), armazenar e processar os Dados Pessoais do Cliente nos Estados Unidos da América e em qualquer outro país no qual a Google ou qualquer um de seus Subprocessadores tenha instalações.

10.2 Transferências de Dados.  Se o armazenamento e/ou o processamento dos Dados Pessoais do Cliente envolver transferência de Dados Pessoais do Cliente da AEE, Suíça ou Reino Unido para países terceiros que não estão sujeitos a uma decisão de adequação nos termos da Legislação Europeia de Proteção de Dados:

(a) será considerado que o Cliente (como exportador de dados) celebrou as Cláusulas Contratuais Padrão com a Google LLC (como importador de dados);

(b) as transferências serão feitas com base nas Cláusulas Contratuais Padrão; e

(c) a Google assegurará que a Google LLC cumpra suas obrigações conforme as Cláusulas Contratuais Padrão no que se refere a essas transferências.

10.3 Informações sobre Centros de Dados.  Informações sobre a localização dos centros de dados da Google estão disponíveis em: www.google.com/about/datacenters/inside/locations/index.html.

11. Subprocessadores

11.1 Anuência para Contratação de Subprocessadores.  O Cliente especificamente autoriza a contratação das Coligadas da Google como Subprocessadores (“Subprocessadores Coligados da Google”). Além disso, o Cliente autoriza de maneira geral a contratação de quaisquer outros terceiros como Subprocessadores (“Subprocessadores Terceiros”). Se as Cláusulas Contratuais Padrão forem aplicáveis nos termos da Cláusula 10.2 (Transferências de Dados), a autorização acima constitui o consentimento prévio por escrito do Cliente para que a Google LLC subcontrate o processamento de Dados Pessoais do Cliente.

11.2 Informações sobre Subprocessadores.  As informações sobre Subprocessadores estão disponíveis em privacy.google.com/businesses/subprocessors.

11.3 Requisitos para a Contratação de Subprocessadores.  Ao contratar qualquer Subprocessador, a Google:

(a) exigirá num contrato por escrito que:

(i) o Subprocessador somente tenha acesso aos Dados Pessoais do Cliente e os utilize até o limite exigido para cumprir as obrigações subcontratadas a ele, e assim proceda de acordo com o Contrato (incluindo-se estes Termos de Processamento de Dados) e, se aplicáveis nos termos da Cláusula 10.2 (Transferências de Dados), as Cláusulas Contratuais Padrão; e

(ii) se a GDPR for aplicável ao processamento dos Dados Pessoais do Cliente, as obrigações de proteção de dados estipuladas no Artigo 28(3) da GDPR são atribuídas ao Subprocessador; e

(b) permanecerá integralmente responsável por todas as obrigações subcontratadas ao Subprocessador e por todas as ações e omissões desse Subprocessador.

12. Contato com a Google; Registros de Processamentos

12.1 Contato com a Google.  O Cliente poderá entrar em contato com a Google em relação ao exercício de seus direitos nos termos deste Termos de Processamento de Dados pelos meios descritos em https://support.google.com/youtube/answer/2801895 ou por outros meios conforme venham a ser fornecidos pela Google periodicamente.

12.2 Registros de Processamentos da Google.  O Cliente reconhece que a Google é obrigada pela GDPR a: (a) coletar e manter registros de determinadas informações, incluindo-se o nome e os detalhes de contato de cada processador e/ou controlador em nome dos quais a Google está atuando e (se aplicável) dos representantes locais e do diretor de proteção de dados destes processadores ou controladores; e (b) disponibilizar essas informações a qualquer  Autoridade Supervisora. Consequentemente, o Cliente, nos casos em que for solicitado e conforme aplicável ao Cliente, fornecerá essas informações à Google pela interface do usuário dos Serviços do Processador ou por outro meio conforme venha a ser fornecido pela Google, e utilizará esta interface do usuário ou este outro meio para assegurar que todas as informações fornecidas mantenham sua precisão e sejam atualizadas.

13. Responsabilidade

13.1 Limitação de responsabilidade. Não obstante qualquer outro dispositivo no Contrato, a responsabilidade total no agregado de cada uma das partes em relação à outra parte sob os presentes Termos de Processamento de Dados, ou em relação a estes, está limitada ao valor monetário máximo ou ao valor de pagamento máximo ao qual a responsabilidade daquela parte está sujeita nos termos do Contrato (para clareza, qualquer exclusão de confidencialidade ou reivindicações de indenização do limite de responsabilidade do Contrato não será aplicável às reivindicações nos termos do Contrato relacionadas à Legislação Europeia de Proteção de Dados). Nada nesta Cláusula 13 (Responsabilidade) excluirá ou limitará a responsabilidade de cada uma das partes por: (a) morte ou dano pessoal resultante da negligência de qualquer das partes ou de seus empregados ou representantes; (b) fraude ou declaração fraudulenta; ou (c) questões para as quais a responsabilidade não pode ser excluída nem limitada nos termos da lei aplicável.

13.2 Responsabilidade se as Cláusulas Contratuais Padrão Forem Aplicáveis. Se as Cláusulas Contratuais Padrão forem aplicáveis nos termos da Cláusula 10.2 (Transferências de Dados), o total somado da responsabilidade de cada parte e suas Afiliadas com relação à outra parte e suas Afiliadas sob ou em relação ao Contrato e as Cláusulas Contratuais Padrão somados estará sujeito à Cláusula 13.1 (Limitação de Responsabilidade).

14. Terceiros Beneficiários

Se uma Afiliada de uma das partes for parte nas Cláusulas Contratuais Padrão, aplicáveis nos termos da Cláusula 10.2 (Transferências de Dados), essa Afiliada será uma terceira beneficiária das Cláusulas 6.2 (Eliminação no Vencimento do Contrato), 7.5 (Análise e Auditoria de Compliance), 9.1 (Respostas às Solicitações dos Titulares de Dados), 10.2 (Transferência de Dados), 11.1 (Anuência para Contratação de Subprocessadores) e 13.2 (Responsabilidade se as Cláusulas Contratuais Padrão Forem Aplicáveis). Caso esta Cláusula 14 (Terceiros Beneficiários) seja conflitante ou inconsistente com qualquer outra cláusula deste Contrato, esta Cláusula 14 (Terceiros Beneficiários) será a aplicável.

15. Efeito destes Termos de Processamento de Dados

Se houver qualquer conflito ou inconsistência entre as Cláusulas Contratuais Padrão, os termos destes Termos de Processamento de Dados e o restante do Contrato, a seguinte ordem de precedência deverá ser seguida:

1. as Cláusulas Contratuais Padrão;
2. o restante destes Termos de Processamento de Dados; e
3. o restante deste Contrato.

Sujeito às alterações destes Termos de Processamento de Dados, o Contrato permanece em vigor.

16. Alterações nestes Termos de Processamento de Dados

16.1 Alterações nos Serviços do Processador. A Google somente poderá alterar a lista de potenciais Serviços do Processador:

(a) para refletir uma alteração no nome de um serviço;

(b) para acrescentar um novo serviço; ou

(c) para remover um serviço nos casos em que: (i) todos os contratos para fornecimento daquele serviço tenham sido encerrados; ou (ii) a Google tenha o consentimento do Cliente.

16.2 Alterações nos Termos de Processamento de Dados.  A Google poderá alterar estes Termos de Processamento de Dados se a alteração:

(a) estiver expressamente autorizada por estes Termos de Processamento de Dados, incluindo-se as alterações previstas na Cláusula 16.1 (Alterações nos Serviços do Processador);

(b) refletir uma alteração no nome ou na forma societária de uma pessoa jurídica;

(c) for obrigatória para respeitar a lei aplicável, regulamento aplicável, uma decisão judicial ou diretriz emitida por uma agência ou regulador governamental; ou

(d) não (i) resultar num rebaixamento da segurança geral dos Serviços do Processador; (ii) estender o escopo do processamento pela Google dos Dados Pessoais do Cliente, nem remover quaisquer restrições a este processamento, conforme descrito na Cláusula 5.3 (Cumprimento das Diretrizes pela Google); e (iii) tiver de outra forma um impacto adverso substancial sobre os direitos do Cliente sob estes Termos de Processamento de Dados, conforme decidido pela Google razoavelmente.

16.3 Alterações às Cláusulas Contratuais Padrão. A Google somente poderá alterar as Cláusulas Contratuais Padrão conforme as Cláusulas 16.2(b) a 16.2(d) (Alterações nos Termos de Processamento de Dados) ou para incluir alguma nova versão das Cláusulas Contratuais Padrão que venha a ser adotada nos termos da Legislação Europeia de Dados Pessoais, em cada caso de forma que não afete a validade das Cláusulas Contratuais Padrão conforme a Legislação Europeia de Dados Pessoais.

Apêndice 1:  Objeto e Detalhes do Processamento de Dados

Objeto

Fornecimento pela Google dos Serviços de Processador e de qualquer suporte técnico relacionado ao Cliente.

Duração do Processamento

O Prazo mais o período a partir do vencimento do Prazo até a eliminação de todos os Dados Pessoais do Cliente pela Google de acordo com estes Termos de Processamento de Dados.

Natureza e Finalidade do Processamento

A Google processará (incluindo-se, se aplicável aos Serviços de Processador e às diretrizes descritas na Cláusula 5.2 (Diretrizes do Cliente), coleta, registro, organização, estruturação, armazenamento, alteração, recuperação, utilização, divulgação, combinação, remoção e destruição) os Dados Pessoais do Cliente com a finalidade de fornecer os Serviços de Processador e qualquer suporte técnico ao Cliente de acordo com estes Termos de Processamento de Dados.

Tipos de Dados Pessoais

Os tipos de dados pessoais que constituem os Dados Pessoais do Cliente são conteúdo de áudio ou audiovisual carregados pelo Cliente no YouTube de acordo com os termos do Contrato e processados pela Google em nome do Cliente no fornecimento de Serviços de Processador pela Google.

 Apêndice 2:  Medidas de Segurança

A partir da Data de Vigência dos Termos, a Google implantará e manterá as Medidas de Segurança estipuladas neste Apêndice 2. A Google poderá atualizar ou alterar estas Medidas de Segurança periodicamente, desde que as atualizações e alterações não resultem na degradação da segurança geral dos Serviços.

1.         Centros de Dados e Segurança da Rede

(a) Centros de Dados.

Infraestrutura. A Google mantém centros de dados distribuídos geograficamente. A Google armazena todos os dados de produção em centros de dados fisicamente seguros.

Redundância. Os sistemas de infraestrutura são projetados para eliminar pontos isolados de falha e minimizar o impacto de riscos ambientais previsíveis. Circuitos duplicados, switches, redes ou outros dispositivos necessários auxiliam a gerar essa redundância. Os Serviços do Processador são projetados para permitir que a Google realize determinados tipos de manutenção preventiva e corretiva sem interrupção. Todos os equipamentos ambientais e instalações possuem procedimentos de manutenção preventiva documentados que trazem detalhes do processo e a frequência de realização de acordo com as especificações do fabricante ou da própria Google. A manutenção preventiva e corretiva dos equipamentos dos centros de dados é programada por meio de um processo padrão de acordo com os procedimentos documentados.

Energia. Os sistemas de energia elétrica dos centros de dados são projetados para serem redundantes e para que a manutenção se realize sem impacto nas operações contínuas, 24 horas por dia e 7 dias por semana. Na maioria dos casos, uma fonte de energia principal bem como uma alternativa, ambas com a mesma capacidade, são fornecidas para os componentes críticos da infraestrutura nos centros de dados. A energia de reserva é fornecida por diversos mecanismos tais como baterias UPS (uninterruptible power supply), que fornecem consistentemente proteção confiável à energia durante semi-apagões, apagões totais, voltagem excessiva, voltagem insuficiente, e condições de frequência fora dos limites de tolerância. Se a energia da concessionária for interrompida, energia de reserva está projetada para suprir energia transitória aos centros de dados, a plena capacidade, por até 10 minutos até que os sistemas de geradores a diesel assumam o fornecimento. Os geradores a diesel são capazes de entrar em funcionamento automaticamente em segundos para fornecer energia elétrica de emergência suficiente para o funcionamento do centro de dados em sua capacidade total geralmente por um período de dias.

Sistemas Operacionais do Servidor. Os servidores da Google utilizam sistemas operacionais fortalecidos (hardened) que são customizados para as necessidades especiais de negócios do servidor. Os dados são armazenados utilizando algoritmos proprietários para aumentar a segurança e redundância dos dados. A Google utiliza um processo de revisão do código para aumentar a segurança do código utilizado para fornecer os Serviços do Processador e aprimorar os equipamentos de segurança em ambientes de produção.

Continuidade dos Negócios. A Google replica os dados em múltiplos sistemas para auxiliar na proteção contra destruição ou perda acidental. A Google projetou e planeja e testa regularmente seu planejamento de continuidade de negócios/ programas de recuperação de desastres.

(b) Redes e Transmissão.

Transmissão de Dados. Os centros de dados estão geralmente conectados por meio de links privados de alta velocidade para fornecerem transferência rápida e segura entre centros de dados. Isto é projetado para impedir que os dados sejam lidos, copiados, alterados ou removidos sem autorização durante a transferência ou transporte eletrônico ou enquanto estão sendo gravados em mídias de armazenamento de dados. A Google transfere os dados por meio de protocolos padrão da internet.

Superfície de Ataque Externa. A Google emprega múltiplas camadas de dispositivos de rede e detecção de intrusos para proteger sua superfície de ataque externa. A Google considera potenciais vetores de ataques e incorpora tecnologias adequadas e construídas especialmente para os sistemas expostos ao exterior.

Detecção de Intrusão. A detecção de intrusão tem o objetivo de fornecer a percepção das atividades de ataques contínuos e fornecer informações adequadas para reagir a incidentes. A detecção de intrusão da Google abrange:

1. O rígido controle do tamanho e constituição da superfície de ataque da Google por meio de medidas preventivas;

2. O emprego de controles de detecção inteligentes nos pontos de entrada de dados; e

3. O emprego de tecnologias que automaticamente fazem o saneamento de determinadas situações perigosas.

Resposta a Incidentes. A Google monitora uma variedade de canais de comunicação para incidentes de segurança, e o pessoal da segurança da Google reagirá prontamente a incidentes conhecidos.

Tecnologias de Criptografia. A Google disponibiliza criptografia HTTPS (também conhecida como conexão SSL ou TLS). Os servidores da Google suportam a troca de chaves criptográficas Diffie Hellman de curva elíptica efêmera assinadas com RSA e ECDSA. Esses métodos perfect forward secrecy (PFS) ajudam na proteção de tráfego e minimizam o impacto de chaves comprometidas, ou uma ruptura criptográfica.

2.         Controles de Locais e Acessos

(a) Controles de Locais.

Operação de Segurança no Local do Centro de Dados. Os centros de dados da Google mantêm uma operação de segurança no local responsável por todas as funções de segurança dos centros de dados físicos 24 horas por dia, 7 dias por semana. O pessoal de operação da segurança no local monitora Câmeras de Circuito Interno de TV (“CCTV”) e todos os sistemas de alarme. O pessoal de operação de segurança no local realiza patrulhamentos internos e externos do centro de dados regularmente.

Procedimentos de Acesso ao Centro de Dados. A Google mantém procedimentos formais de acesso para autorizar acesso físico aos centros de dados. Os centros de dados estão abrigados em instalações que demandam acesso por cartão eletrônico codificado, com alarmes que estão ligados à operação de segurança do local. Exige-se que todos os visitantes do centro de dados se identifiquem bem como apresentem comprovante de identidade aos operadores da segurança no local. Apenas empregados, contratados e visitantes estão autorizados a entrar nos centros de dados. Apenas empregados e contratados autorizados estão autorizados a solicitar acesso com cartão eletrônico codificado a essas instalações. As solicitações de acesso com cartão eletrônico codificado ao centro de dados devem ser efetuadas com antecedência e por escrito, sendo necessária a aprovação do gerente do solicitante e do diretor do centro de dados. Todos os outros visitantes que necessitem de acesso temporário ao centro de dados devem obrigatoriamente: (i) obter aprovação prévia dos gerentes do centro de dados para o centro de dados específico e as áreas internas que desejam visitar; (ii) registrar-se nas operações de segurança no local; e (iii) fazer referência a um registro de acesso ao centro de dados aprovado que identifique o indivíduo como aprovado.

Dispositivos de Segurança dos Centros de Dados no local. Os centros de dados da Google fornecem um sistema de controle de acesso com cartão eletrônico codificado e biometria que está conectado a um sistema de alarme. O sistema de controle de acesso monitora e registra o cartão eletrônico codificado de cada indivíduo e o momento em que acessam as portas do perímetro, embarque e recebimento, e outras áreas críticas. Atividades não autorizadas e tentativas de acessos negados são registradas pelo sistema de controle de acessos e investigadas adequadamente. O acesso autorizado a todas as operações comerciais e aos centros de dados é restrito com base em zoneamentos e nas responsabilidades do trabalho do indivíduo. As portas corta-fogo dos centros de dados são dotadas de alarme. As câmeras de CCTV estão em operação tanto dentro como fora dos centros de dados. A posição das câmeras foi projetada para abranger áreas estratégicas incluindo-se, entre outras, o perímetro, portas de acesso ao prédio do centro de dados e áreas de embarque/recebimento. O pessoal de operações de segurança do local gerencia os equipamentos de monitoramento, gravação e controle de CCTV. Cabos protegidos espalhados pelos centros de dados conectam os equipamentos de CCTV. As câmeras gravam no local por meio de gravadores de vídeo digitais 24 horas por dia, 7 dias por semana. As gravações de vigilância são mantidas por pelo menos 7 dias com base na atividade.

(b) Controle de Acesso.

Pessoal de Segurança da Infraestrutura. A Google possui e mantém uma política de segurança para o seu pessoal e exige treinamento em segurança como parte do pacote de treinamento para o seu pessoal. O pessoal da segurança de infraestrutura da Google é responsável pelo monitoramento contínuo da infraestrutura de segurança da Google, a análise dos Serviços do Processador e a reação a incidentes de segurança.

Controle de Acesso e Gerenciamento de Sigilo. Os administradores e usuários do Cliente devem obrigatoriamente identificar-se por meio de um sistema de identificação ou por meio de um sinal único de entrada no sistema a fim de utilizar os Serviços do Processador.

Processos e Políticas Internas de Acesso aos Dados – Política de Acesso. Os processos e políticas internas da Google de acesso a dados são planejados para impedir que pessoas e/ou sistemas não autorizados tenham acesso aos sistemas utilizados para processar dados pessoais. A Google busca projetar seus sistemas para: (i) permitir apenas a pessoas autorizadas o acesso apenas aos dados que possuem autorização para acessar; e (ii) garantir que os dados pessoais não possam ser lidos, copiados, modificados ou removidos sem autorização durante o processamento, uso e após a gravação. Os sistemas são projetados para detectar qualquer acesso inapropriado. A Google emprega um sistema de gestão de acesso centralizado para controlar o acesso do pessoal aos servidores de produção, e fornece acesso apenas a um número limitado de pessoas autorizadas. LDAP, Kerberos e um sistema proprietário que utiliza certificados SSH são destinados a fornecer à Google mecanismos de acesso seguros e flexíveis. Estes mecanismos são projetados para conceder apenas direitos de acesso aprovados para hospedagens de sites, logs, dados e informações de configuração. A Google exige o uso de identidades de usuário exclusivas, senhas fortes, autenticação com dois fatores e listas de acesso cuidadosamente monitoradas para minimizar o potencial de utilização não autorizada de contas. A concessão ou modificação de direitos de acesso toma por base: as responsabilidades do trabalho do pessoal autorizado; requisitos do trabalho para efetuar as tarefas autorizadas; e a necessidade do acesso para a realização do trabalho. A concessão ou modificação de direitos de acesso também deve obrigatoriamente estar de acordo com as políticas internas de acesso a dados e treinamento. As aprovações são gerenciadas por ferramentas de fluxo do trabalho (workflow) que conservam registros auditados de todas as alterações. O acesso aos sistemas é registrado para criar um rastreamento auditável para casos de responsabilização. Nos casos em que as senhas são empregadas para autenticação (por exemplo, logar nas estações de trabalho), as políticas sobre senhas que seguem no mínimo as práticas padrão da indústria estão implementadas. Esses padrões incluem restrições sobre reutilização da senhas e senhas suficientemente fortes.

3.         Dados

(a) Armazenamento, Isolamento e Autenticação de Dados.

A Google armazena dados num ambiente multiusuário em servidores de propriedade da Google. Os dados, as bases de dados dos Serviços do Processador e a arquitetura do sistema de arquivamento são replicados em múltiplos centros de dados geograficamente dispersos. A Google isola de maneira lógica os dados de cada cliente. Um sistema de autenticação central é utilizado entre todos os Serviços do Processador para aumentar a segurança uniforme dos dados.

(b) Diretrizes sobre Discos Desativados e Destruição de Discos.

Determinados discos que contêm dados poderão sofrer problemas de performance, erros ou falhas de hardware que resultam em sua desativação ("Discos Desativados"). Todo Disco Desativado está sujeito a uma série de processos de destruição de dados (as "Diretrizes sobre Destruição de Dados") antes de saírem das instalações da Google para serem reutilizados ou destruídos. Os Discos Desativados são apagados num processo de múltiplas fases e confirmado como concluído por, no mínimo, dois validadores independentes. Os resultados da eliminação são controlados pelo número de série do Disco Desativado para rastreamento. Finalmente, o Disco Desativado apagado é lançado no estoque para reutilização e reimplantação. Se, devido a falha de hardware, o Disco Desativado não puder ser apagado, ele é armazenado de maneira segura até que possa ser destruído. Cada instalação é auditada regularmente para monitoramento do cumprimento das Diretrizes sobre Destruição de Dados.

4.         Segurança do Pessoal

Exige-se do pessoal da Google que se comporte de uma maneira consistente com as diretrizes da empresa em relação a confidencialidade, ética nos negócios, utilização apropriada, e normas profissionais. A Google realiza checagens de histórico (background checks) de maneira adequada e apropriada na medida permitida e de acordo com as leis trabalhistas locais e requisitos legais aplicáveis.

O pessoal deve obrigatoriamente assinar um contrato de confidencialidade e confirmar o recebimento das políticas de privacidade e confidencialidade da Google e cumprir essas políticas. O pessoal recebe treinamento sobre segurança. O pessoal que manuseia os Dados Pessoais do Cliente deve obrigatoriamente atender aos requisitos adicionais adequados à sua função (por exemplo, certificações). O pessoal da Google não processará Dados Pessoais do Cliente sem autorização.

5.         Segurança dos Subprocessadores

Antes de integrar os Subprocessadores, a Google realiza uma auditoria das práticas de segurança e privacidade dos Subprocessadores para garantir que os Subprocessadores proporcionem um nível adequado de segurança e privacidade para seu acesso a dados e para o escopo dos serviços que são contratados para fornecer. Após a Google ter avaliado os riscos apresentados pelo Subprocessador, então, sujeito sempre aos requisitos estipulados na Cláusula 11.3 (Requisitos para a Contratação de Subprocessadores), o Subprocessador deve obrigatoriamente aderir aos termos contratuais adequados de segurança, confidencialidade e privacidade.