Anexo de Proteção de Dados da Twilio
ESTA VERSÃO EM PORTUGUÊS DO ANEXO DE PROTEÇÃO DE DADOS DA TWILIO É DISPONIBILIZADO APENAS PARA REFERÊNCIA. EM CASO DE CONFLITOS OU INCONSISTÊNCIAS ENTRE A VERSÃO EM INGLÊS DISPONÍVEL EM HTTPS://WWW.TWILIO.COM/EN-US/LEGAL/DATA-PROTECTION-ADDENDUM E ESTA VERSÃO EM PORTUGUÊS, A VERSÃO EM INGLÊS PREVALECERÁ.
Última atualização: 9 de abril de 2026
Este Anexo de Proteção de Dados (“Adendo”) faz parte do(s) contrato(s) entre o Cliente e a Twilio que abrange o uso dos Serviços (conforme definido abaixo) pelo Cliente (“Acordo”) e rege o uso dos Dados do Cliente (conforme definido abaixo), bem como o processamento dos Dados Pessoais do Cliente (conforme definido abaixo), pela Twilio.
1. Definições
“Afiliada” significa qualquer entidade que controla direta ou indiretamente, seja controlada, ou esteja sob controle comum, parte especificada, ou esteja sob controle comum com ela. Para os fins desta definição, “controle” significa a propriedade direta ou indireta de mais de cinquenta por cento (50%) dos direitos de voto da entidade em questão.
“Lei de Proteção de Dados Aplicável” significa todas as leis e regulamentos aplicáveis ao processamento de dados pessoais (conforme definido abaixo) pela Twilio nos termos do Acordo, incluindo, sem limitação, e conforme alterados ou substituídos periodicamente:
(a) Austrália: Lei de Privacidade da Austrália de 1988;
(b) Brasil: Lei Geral de Proteção de Dados;
(c) Canadá: Lei Federal de Proteção de Informações Pessoais e Documentos Eletrônicos;
(d) Espaço Econômico Europeu: Regulamento Geral de Proteção de Dados UE 2016/679 e a Diretiva sobre Privacidade e Comunicações Eletrônicas 2002/CE/58;
(e) Israel: Lei de Proteção da Privacidade;
(f) Japão: Lei de Proteção de Informações Pessoais;
(g) México: Lei Federal de Proteção de Dados Pessoais em Posse de Entidades Privadas e seus Regulamentos;
(h) Cingapura: Lei de Proteção de Dados Pessoais de 2012;
(i) Suíça: Lei Federal Suíça sobre Proteção de Dados, conforme revisada;
(j) Reino Unido: Regulamento Geral de Proteção de Dados do Reino Unido, Lei de Proteção de Dados de 2018 e Regulamentos de Privacidade e Comunicações Eletrônicas de 2003; e
(k) Estados Unidos da América: Todas as leis estaduais relativas à proteção e ao tratamento de dados pessoais em vigor nos Estados Unidos da América, que podem incluir, sem limitação, 28 CFR Parte 202 (Acesso a Dados Pessoais Sensíveis dos EUA e Dados Relacionados ao Governo por Países de Interesse ou Pessoas Abrangidas), a Lei de Privacidade do Consumidor da Califórnia, conforme alterada pela Lei de Direitos de Privacidade da Califórnia, a Lei de Proteção de Dados do Consumidor da Virgínia, a Lei de Privacidade do Colorado, a Lei de Privacidade de Dados de Connecticut e a Lei de Privacidade do Consumidor de Utah.
“Controlador” significa a pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina as finalidades e os meios do tratamento de dados pessoais, ou conforme definido ou interpretado de outra forma nos termos da Lei de Proteção de Dados Aplicável.
“Dados da Conta do Cliente” significa dados pessoais relacionados ao relacionamento do Cliente com a Twilio, incluindo (a) dados de contato do Cliente (se for uma pessoa física), de indivíduos ou de indivíduos autorizados pelo Cliente a configurar e acessar a conta do Cliente; (b) dados relacionados à gestão de faturamento e histórico de compras; (c) dados pessoais de que a Twilio possa necessitar para administrar a conta do Cliente, prestar os Serviços (conforme definido abaixo) ou verificar a identidade dos Usuários Finais (conforme definido abaixo) para fins de segurança e verificação, tais como, informações coletadas em conexão com o cumprimento dos requisitos de cadastramento do Cliente (“KYC”), como parte da obrigação da Twilio de reter Registros de Assinantes (conforme definido abaixo), e outros requisitos legais aplicáveis, conforme descrito neste Adendo.
“Conteúdo do Cliente” significa dados, incluindo dados pessoais, (a) contidos em qualquer conteúdo de comunicação trocado em decorrência da utilização dos Serviços, tais como o corpo de mensagens de texto, áudio, som, mídia de vídeo, imagens, o corpo de e-mails, linhas de assunto e destinatários e, quando aplicável, em quaisquer dados (x) que o Cliente envie aos Serviços a partir de seus aplicativos de software designados ou de outros produtos e serviços, ou (y) gerados para uso do Cliente como parte dos Serviços; e (b) armazenados em nome do Cliente, tais como, (i) conteúdo de comunicações, transcrições, gravações ou registros de comunicações, dentro dos Serviços, ou (ii) dados de campanhas de marketing que o Cliente tenha carregado nos Serviços.
“Dados de Uso de Comunicações” significa dados, incluindo dados pessoais, processados pela Twilio para transmitir, distribuir ou trocar Conteúdo do Cliente por meio da rede pública comutada de telefonia ou outra rede de comunicações, bem como para otimizar e manter o desempenho do Serviço, investigar e prevenir abusos do sistema e identificar a origem das solicitações de Serviço, incluindo (a) metadados de comunicações eletrônicas, tais como registros de tráfego e detalhes de roteamento usados para identificar a origem e o destino de uma comunicação, como informações do remetente/destinatário, e registros de comunicação de números de telefone, e outros metadados relativos ao tipo, data, hora, duração e status de uma comunicação (por exemplo, entregue, aberta ou rejeitada) ou (b) dados de dispositivos gerados no contexto da prestação dos Serviços ou do uso das interfaces de programação de aplicativos da Twilio, tais como sistemas operacionais, detalhes do navegador, endereços IP, identificadores, dados gerais de localização e registros de atividade.
“Dados do Cliente” significa quaisquer dados (a) disponibilizados pelo Cliente ou pelos Usuários Finais do Cliente à Twilio em decorrência da utilização dos Serviços pelo Cliente, ou (b) gerados para uso do Cliente como parte dos Serviços.
“Dados Pessoais do Cliente” significa dados pessoais, incluindo Dados Sensíveis, contidos nos Dados do Cliente.
“Usuário Final” significa qualquer usuário dos Serviços, incluindo por meio de qualquer aplicativo de software ou outros produtos e serviços, fornecidos pelo Cliente, e utilizados em conexão com o uso dos Serviços pelo Cliente nos termos do Acordo.
“Dados Pessoais” significa quaisquer dados ou outras informações relacionadas a uma pessoa física identificada ou identificável (“titular de dados”), ou conforme ambos os termos sejam definidos ou interpretados nos termos da Lei de Proteção de Dados Aplicável. Uma pessoa física identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online, ou um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa física.
“Processador” significa a entidade que processa dados pessoais em nome do Controlador, ou conforme definido ou interpretado nos termos da Legislação de Proteção de Dados Aplicável.
“Processamento” (e “Processar”) significa qualquer operação ou conjunto de operações realizadas sobre dados pessoais, ou sobre conjuntos de dados pessoais, por meios automatizados ou não, tais como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, difusão ou disponibilização de outra forma, alinhamento ou combinação, restrição, deleção ou destruição.
“Incidente de Segurança” significa uma destruição, perda, alteração, divulgação não autorizada, ou acesso não autorizado, acidental ou ilegal, aos(dos) Dados Pessoais do Cliente, ou conforme definido na Lei de Proteção de Dados Aplicável.
“Dados Sensíveis” significa (a) o número de registro nacional (“social security”), número de passaporte, número de carta de condução ou identificador semelhante (ou qualquer parte dos mesmos) de um indivíduo; (b) o número de cartão de crédito ou débito (exceto a parte truncada, ou seja, os últimos quatro dígitos de um número de cartão de crédito ou débito), informações financeiras, números de contas bancárias ou senhas; (c) informações laborais, financeiras, genéticas, biométricas ou de saúde; (d) informações relacionadas à raça, etnia, filiação política ou religiosa, filiação sindical, ou informações sobre vida orientação sexual; (e) senhas de contas, nome de solteira da mãe, ou data de nascimento; (f) antecedentes criminais; ou (g) quaisquer outras informações, ou combinações de informações, que se enquadrem na definição de “categorias sensíveis” ou “categorias especiais de dados” nos termos da Lei de Proteção de Dados Aplicável.
“Abuso do Serviço” significa qualquer abuso ou uso indevido dos Serviços, incluindo spam, fraude, atividades ilegais ou violações da Política de Uso Aceitável da Twilio, cuja versão atual está disponível em https://www.twilio.com/pt-br/legal/aup.
“Serviços” significa os produtos, serviços e plataformas fornecidos pela Twilio ou suas Afiliadas, conforme aplicável, incluindo todas as respectivas atualizações, modificações ou melhorias, que o Cliente adquire por meio de um Formulário de Solicitação, ou que sejam de outra forma utilizados pelo Cliente.
“Registros de Assinantes” significa os Dados da Conta do Cliente que contêm comprovante de identificação e de endereço físico, necessários para que a Twilio forneça ao Cliente ou aos Usuários Finais do Cliente números de telefone em determinados países.
“Subprocessador” significa (a) a Twilio e suas Afiliadas, quando a Twilio ou sua Afiliada estiver processando Dados Pessoais do Cliente e o Cliente for um processador desses dados, ou (b) qualquer processador terceirizado contratado pela Twilio para processar Dados Pessoais do Cliente como subprocessador da Twilio, a fim de fornecer os Serviços ao Cliente. Os provedores de telecomunicações utilizados pela Twilio para fornecer os Serviços não são considerados subprocessadores.
“Solicitação de Terceiros” significa qualquer solicitação, correspondência, consulta ou reclamação de um Titular de Dados, autoridade reguladora, ou terceiro.
“Aviso de Privacidade da Twilio” significa o aviso de privacidade aplicável aos Serviços, cuja versão atual está disponível em https://www.twilio.com/legal/privacy.
Qualquer termo em maiúscula não definido nesta Cláusula 1 terá o significado previsto neste Adendo ou no Acordo, conforme aplicável. As referências neste Adendo a Cláusulas ou Anexos referem-se às cláusulas ou anexos deste Adendo.
2. Papel da Twilio e do Cliente em relação aos Dados Pessoais do Cliente. O Cliente e a Twilio reconhecem e concordam que (a) a Twilio é um processador ou subprocessador (atuando em nome do Cliente), exceto quando a Twilio processa Dados Pessoais do Cliente como controlador, conforme estabelecido na Cláusula 3 (Processamento de Dados Pessoais do Cliente como Controlador), e (b) o Cliente pode atuar como controlador ou processador em nome de seus Usuários Finais dos Dados Pessoais do Cliente. O processamento dos Dados Pessoais do Cliente pela Twilio na qualidade de processador ou subprocessador está estabelecido na Seção 4 (Processamento dos Dados Pessoais do Cliente na qualidade de subprocessador).
3. Processamento de Dados Pessoais do Cliente na qualidade de Controlador
3.1 A Twilio como Controlador dos Dados Pessoais do Cliente. O Cliente e a Twilio reconhecem e concordam que a Twilio atua como controlador independente dos Dados Pessoais do Cliente:
(a) na medida necessária para os fins comerciais legítimos descritos na Cláusula 3.2 (A Twilio como Controlador dos Dados da Conta do Cliente), na Cláusula 3.3 (A Twilio como Controlador dos Dados de Uso de Comunicações), e na Cláusula 3.4 (A Twilio como Controlador do Conteúdo do Cliente), desde que tal processamento esteja em conformidade com o Acordo, o Aviso de Privacidade da Twilio, e a legislação ou regulamentação aplicável, incluindo a Lei de Proteção de Dados Aplicável;
(b) conforme permitido de outra forma pela Lei de Proteção de Dados Aplicável e de acordo com este Adendo, o Acordo e o Aviso de Privacidade da Twilio; e
(c) conforme de outra forma autorizado ou solicitado pelo Cliente, incluindo conforme acordado nos termos específicos do Serviço ou no uso e configuração, pelo Cliente, de determinados recursos dos Serviços.
O Cliente e a Twilio, individualmente, possuem todos os direitos e obrigações relativos aos Dados Pessoais do Cliente na qualidade de controladores independentes dos Dados Pessoais do Cliente, e não como controladores conjuntos.
3.2 A Twilio como Controlador dos Dados da Conta do Cliente. O Cliente e a Twilio concordam que a Twilio é um controlador independente dos Dados da Conta do Cliente que processa:
(a) para gerenciar o faturamento, a conta do Cliente, e o relacionamento da Twilio com o Cliente, incluindo o cadastramento do Cliente (“KYC”), e a verificação de identidade necessária para acessar ou utilizar os Serviços;
(b) para realizar as principais operações comerciais da Twilio, tais como contabilidade, auditoria e declaração de impostos;
(c) para prevenir, detectar ou investigar incidentes de segurança e gerenciar a segurança da plataforma e dos serviços da Twilio;
(d) para prevenir, detectar ou investigar Abusos do Serviço, por meio do desenvolvimento ou aprimoramento das ferramentas internas da Twilio e do treinamento de modelos relacionados para tais fins, ou para auxiliar provedores de telecomunicações, órgãos reguladores ou autoridades policiais no combate a spam, fraudes ou atividades ilegais;
(e) para análise de negócios, relatórios internos, relatórios financeiros, previsão de capacidade e planejamento de receita, e estratégia de produtos;
(f) para desenvolver e aprimorar novos produtos e serviços, e melhorar o desempenho, a funcionalidade, a segurança, e a proteção dos Serviços; e
(g) para cumprir as obrigações legais e regulatórias da Twilio, incluindo, sem limitação, a manutenção de Registros de Assinantes.
3.3 A Twilio como Controlador dos Dados de Uso de Comunicações. O Cliente e a Twilio concordam que a Twilio é um controlador independente dos Dados de Uso de Comunicações que processa com o objetivo de:
(a) desempenhar as funções necessárias como prestadora de serviços de comunicações eletrônicas, tais como (i) para fins de contabilidade, tributação, faturamento, auditoria e compliance da Twilio; (ii) para fornecer, otimizar e manter os Serviços; e (iii) para prevenir, detectar ou investigar incidentes de segurança, e gerenciar a segurança da plataforma e dos serviços da Twilio;
(b) prevenir, detectar ou investigar Abusos do Serviço, inclusive por meio do desenvolvimento ou aprimoramento das ferramentas internas da Twilio e do treinamento de modelos relacionados para tais fins, ou para auxiliar provedores de telecomunicações, órgãos reguladores ou autoridades policiais no combate a spam, fraudes ou atividades ilegais;
(c) cumprir as obrigações legais e regulatórias da Twilio, incluindo, sem limitação, a manutenção de Registros de Assinantes, códigos de conduta do setor de comunicações, e compromissos contratuais com provedores de telecomunicações;
(d) desenvolver e aprimorar novos produtos e serviços, e melhorar o desempenho, a funcionalidade, a segurança, e a proteção dos Serviços; e
(e) tornar anônimos, desidentificar ou agregar Dados de Uso de Comunicações, de forma que não identifiquem o Cliente, os Usuários Finais do Cliente, ou qualquer Titular de Dados.
3.4 A Twilio como Controlador do Conteúdo do Cliente. O Cliente e a Twilio reconhecem e concordam que a Twilio é um controlador independente do Conteúdo do Cliente, o qual processa na medida do necessário:
(a) para prevenir, detectar ou investigar incidentes de segurança, e gerenciar a segurança da plataforma e dos serviços da Twilio;
(b) para prevenir, detectar ou investigar Abusos do Serviço, por meio do desenvolvimento ou aprimoramento das ferramentas internas da Twilio e do treinamento de modelos relacionados para tais fins, ou para auxiliar provedores de telecomunicações, órgãos reguladores ou autoridades policiais no combate a spam, fraudes ou atividades ilegais;
(c) para cumprir as obrigações legais e regulatórias da Twilio, incluindo, sem limitação, a manutenção de Registros de Assinantes, códigos de conduta do setor de comunicações, e compromissos contratuais com provedores de telecomunicações;
(d) para desenvolver e aprimorar novos produtos e serviços, e melhorar o desempenho, a funcionalidade, a segurança e a proteção dos Serviços;
(e) para análise de negócios, relatórios internos, relatórios financeiros, capacidade de previsão e planejamento de receita, e estratégia de produto; e
(f) conforme de outra forma autorizado ou solicitado pelo Cliente, incluindo conforme acordado nos termos específicos do Serviço ou no uso e configuração pelo Cliente de determinados recursos dos Serviços.
3.5 Métodos de Minimização de Dados e Preservação da Privacidade. Quando razoavelmente necessário, a Twilio aplicará medidas apropriadas para minimizar, tornar anônimos, desidentificar, pseudonimizar, e/ou agregar os Dados Pessoais do Cliente utilizados para os fins acima mencionados nas Cláusulas 3.1 (Twilio como Controlador de Dados Pessoais do Cliente) até 3.4 (Twilio como Controlador do Conteúdo do Cliente), de modo que não (a) identifique o Cliente, os Usuários Finais do Cliente, ou qualquer titular de dados; e (b) constitua dados pessoais nos termos da Lei de Proteção de Dados Aplicável.
3.6 Dados Anonimizados, Desidentificados e Agregados. Os Dados Pessoais do Cliente que forem anonimizados, desidentificados ou agregados pela Twilio de acordo com a Cláusula 3.5 (Métodos de Minimização de Dados e Preservação da Privacidade), ou com o Acordo, não estão sujeitos a este Adendo; desde que, no entanto, a Twilio não re-identifique, nem tente re-identificar, os Dados Pessoais do Cliente.
4. Processamento de Dados Pessoais do Cliente na qualidade de Subprocessador
4.1 A Twilio como Processador de Dados Pessoais do Cliente. O Cliente e a Twilio concordam que a Twilio processará os Dados Pessoais do Cliente como processador ou subprocessador, e não como controlador, exceto conforme estabelecido na Cláusula 3 (Processamento de Dados Pessoais do Cliente como Controlador). Na qualidade de processador ou subprocessador, a Twilio processará os Dados Pessoais do Cliente de acordo com as instruções do Cliente, conforme estabelecido na Cláusula 4.2 (Instruções do Cliente), com os termos que o Cliente tenha aceito para determinados Serviços ou por meio do uso e da configuração de determinados recursos dentro dos Serviços.
4.2 Instruções do Cliente. Salvo disposição em contrário na Cláusula 3 (Processamento de Dados Pessoais do Cliente como Controlador), o Cliente nomeia a Twilio como processador ou subprocessador para processar os Dados Pessoais do Cliente em nome e de acordo com as instruções do Cliente, conforme estabelecido no Acordo, neste Adendo (incluindo o Anexo 1 (Detalhes do Processamento)), e conforme necessário para prestar os Serviços ao Cliente, o que inclui fornecer recomendações ou demonstrações de outros produtos, serviços ou recursos da Twilio ao Cliente.
4.3 Legalidade das instruções. O Cliente garantirá que suas instruções para o processamento dos Dados Pessoais do Cliente estejam em conformidade com a Lei de Proteção de Dados Aplicável. Caso o Cliente seja um processador dos Dados Pessoais do Cliente, ele garantirá que a designação da Twilio como subprocessador, bem como suas instruções, tenham sido autorizadas pelo respectivo controlador. O Cliente reconhece que a Twilio não é responsável por determinar quais leis ou regulamentos são aplicáveis aos negócios do Cliente, nem se a prestação dos Serviços pela Twilio atende, ou atenderá, aos requisitos de tais leis ou regulamentos. O Cliente garantirá que o processamento de Dados Pessoais do Cliente pela Twilio, quando realizado de acordo com as instruções do Cliente, não levará a Twilio a violar qualquer lei ou regulamento aplicável, incluindo a Lei de Proteção de Dados Aplicável. A Twilio informará o Cliente caso tome conhecimento, ou tenha motivos razoáveis para acreditar, que as instruções do Cliente violam qualquer lei ou regulamento aplicável, incluindo a Lei de Proteção de Dados Aplicável.
4.4 Instruções Adicionais. Instruções adicionais para o processamento de Dados Pessoais do Cliente fora do escopo do Acordo e deste Adendo serão acordadas por escrito entre o Cliente e a Twilio, incluindo quaisquer valores adicionais eventualmente devidos pelo Cliente à Twilio para a execução de tais instruções adicionais.
5. Confidencialidade
5.1 Resposta a Solicitações de Terceiros. Caso qualquer Solicitação de Terceiros seja feita diretamente à Twilio em relação ao processamento de Dados Pessoais do Cliente pela Twilio na qualidade de processador ou subprocessador, a Twilio informará imediatamente o Cliente e fornecerá detalhes sobre tal Solicitação de Terceiros, na medida permitida por lei. A Twilio não responderá a nenhuma Solicitação de Terceiros sem o consentimento prévio do Cliente, a menos que a Twilio seja legalmente obrigada a fazê-lo, ou a confirmar que tal Solicitação de Terceiros se refere ao Cliente. Quando aplicável, a Twilio (a) cumprirá suas diretrizes de aplicação da lei, cuja versão atual está disponível em https://www.twilio.com/legal/law-enforcement-guidelines, e (b) limitará quaisquer Dados Pessoais do Cliente fornecidos como parte de uma Solicitação de Terceiros ao mínimo necessário e estritamente para a finalidade exigida por tal Solicitação de Terceiros.
5.2 Registros de Assinantes. Quando exigido pela legislação ou regulamentação aplicável, os Registros de Assinantes são compartilhados com provedores de telecomunicações locais, que prestam serviços de conectividade local, ou com autoridades governamentais locais. Informações adicionais sobre esses requisitos regulatórios estão disponíveis em https://www.twilio.com/guidelines/regulatory.
5.3 Obrigações de Confidencialidade do Pessoal da Twilio. A Twilio garantirá que qualquer pessoa por ela autorizada a processar Dados Pessoais do Cliente tenha concordado em proteger os Dados Pessoais do Cliente de acordo com as obrigações de confidencialidade da Twilio previstas no Acordo.
6. Subprocessadores
6.1 Autorização para subprocessamento. O Cliente concede, por meio deste, uma autorização geral para que a Twilio terceirize o processamento dos Dados Pessoais do Cliente que a Twilio processa como processador ou subprocessador, sujeito aos seguintes requisitos:
(a) A Twilio restringirá o acesso e o processamento dos Dados Pessoais do Cliente por parte de seus subprocessadores apenas ao estritamente necessário para a prestação dos Serviços;
(b) A Twilio concorda em impor obrigações contratuais de proteção de dados aos seus subprocessadores, incluindo medidas técnicas e organizacionais adequadas, destinadas a proteger os Dados Pessoais do Cliente de acordo com o padrão exigido pela Lei de Proteção de Dados Aplicável, incluindo, sem limitação, os requisitos estabelecidos no Anexo 4 (Termos Específicos da Califórnia); e
(c) A Twilio permanecerá responsável por qualquer violação deste Adendo que seja causada por um ato, erro, ou omissão de seus subprocessadores.
6.2 Subprocessadores atuais e notificação de alterações de subprocessadores. A Twilio mantém uma lista atualizada de seus subprocessadores disponível em https://www.twilio.com/legal/sub-processors, podendo o Cliente se inscrever para receber notificações sobre novos subprocessadores ou a substituição de subprocessadores existentes. Se o Cliente se inscrever para receber tais notificações, a Twilio fornecerá detalhes sobre qualquer alteração em seus subprocessadores assim que for razoavelmente possível. Com relação a qualquer alteração quanto aos provedores de infraestrutura dos Serviços, a Twilio enviará uma notificação por escrito ao Cliente assim que for razoavelmente possível, mas não menos de trinta (30) dias antes de tal alteração. Com relação a qualquer alteração nos subprocessadores da Twilio que não sejam provedores de infraestrutura dos Serviços, a Twilio enviará uma notificação por escrito ao Cliente assim que for razoavelmente possível, mas não menos de dez (10) dias antes de tal alteração.
6.3 Direito de oposição em relação a subprocessadores. O Cliente poderá opor-se à nomeação de um novo subprocessador pela Twilio ou à substituição de um subprocessador existente durante o prazo de notificação aplicável previsto na Cláusula 6.2 (Subprocessadores atuais e notificação de alterações de subprocessadores), desde que tal oposição seja feita por escrito e com base em motivos razoáveis relacionados à proteção de dados. Nesse caso, o Cliente e a Twilio concordam em discutir, de boa-fé, soluções alternativas comercialmente razoáveis. Se o Cliente e a Twilio não conseguirem chegar a uma resolução dentro do prazo de notificação aplicável estabelecido na Cláusula 6.2 (Subprocessadores atuais e notificação de alterações de subprocessadores), o Cliente poderá interromper o uso dos Serviços afetados mediante notificação por escrito à Twilio. Qualquer interrupção do uso dos Serviços afetados não prejudicará a cobrança de quaisquer valores incorridos pelo Cliente antes da interrupção do uso. Se nenhuma objeção for feita pelo Cliente antes do término do prazo de notificação aplicável estabelecido na Cláusula 6.2 (Subprocessadores atuais e notificação de alterações de subprocessadores), a Twilio considerará que o Cliente autorizou o novo subprocessador ou o subprocessador atualizado, conforme aplicável.
7. Direitos dos Titulares de Dados. A Twilio fornece ao Cliente uma série de recursos de autoatendimento por meio dos Serviços para excluir, obter uma cópia, ou restringir o uso dos Dados Pessoais do Cliente para os quais a Twilio é processador ou subprocessador. O Cliente pode usar esses recursos de autoatendimento para auxiliar no cumprimento de suas obrigações nos termos da Lei de Proteção de Dados Aplicável no que diz respeito à resposta a Solicitações de Terceiros feitas por titulares de dados por meio dos Serviços, sem custo adicional. Mediante solicitação por escrito do Cliente, a Twilio prestará assistência adicional razoável e oportuna ao Cliente no cumprimento de suas obrigações de proteção de dados no que diz respeito aos direitos dos titulares de dados nos termos da Lei de Proteção de Dados Aplicável, na medida em que o Cliente não tenha a capacidade de resolver uma Solicitação de Terceiros feita por um titular de dados por meio dos recursos de autoatendimento disponibilizados pelos Serviços.
8. Avaliações de Impacto e Consultas. Quando a Twilio processar Dados Pessoais do Cliente na qualidade de processador ou subprocessador, a Twilio cooperará razoavelmente com o Cliente em relação a qualquer avaliação de impacto sobre a proteção de dados (às custas do Cliente apenas se tal cooperação razoável exigir que a Twilio aloque recursos significativos para esse esforço), ou consulta a qualquer autoridade reguladora conforme exigível pela Lei de Proteção de Dados Aplicável.
9. Devolução ou Exclusão de Dados Pessoais do Cliente. Quando a Twilio processar Dados Pessoais do Cliente na qualidade de processador ou subprocessador, a Twilio, de acordo com a Cláusula 6 (Duração do Processamento) do Anexo 1 (Detalhes do Processamento), excluirá ou devolverá ao Cliente quaisquer Dados Pessoais do Cliente armazenados nos Serviços.
9.1 Prorrogação do Adendo. Após a rescisão do Acordo, a Twilio poderá reter e armazenar os Dados Pessoais do Cliente pelos períodos estabelecidos no Anexo 1 (Detalhes do Processamento), desde que a Twilio garanta que os Dados Pessoais do Cliente sejam tratados apenas na medida do necessário para os fins estabelecidos no Anexo 1 (Detalhes do Processamento) e permaneçam protegidos de acordo com os termos do Acordo, deste Adendo, e da Lei de Proteção de Dados Aplicável.
9.2 Retenção exigida por lei. Não obstante qualquer disposição em contrário nesta Cláusula 9, a Twilio poderá reter os Dados Pessoais do Cliente, ou qualquer parte deles, se exigido pela legislação ou regulamentação aplicável, incluindo a Lei de Proteção de Dados Aplicável, desde que tais Dados Pessoais do Cliente permaneçam protegidos de acordo com os termos do Acordo, deste Adendo, e da Lei de Proteção de Dados Aplicável.
10. Segurança
10.1 Medidas de Segurança. A Twilio implementou, e manterá, as medidas de segurança técnicas e organizacionais estabelecidas no Acordo, destinadas a proteger os Dados do Cliente, incluindo os Dados Pessoais do Cliente. Informações adicionais sobre as medidas de segurança técnicas e organizacionais da Twilio estão estabelecidas no Anexo 2 (Medidas de Segurança Técnicas e Organizacionais).
10.2 Determinação dos Requisitos de Segurança. O Cliente reconhece que os Serviços incluem certos recursos e funcionalidades que o Cliente pode optar por utilizar, e que afetam a segurança dos Dados do Cliente processados como resultado do uso dos Serviços pelo Cliente, incluindo, sem limitação, criptografia de gravações de voz, disponibilidade de autenticação multifatorial na conta do Cliente, ou criptografia opcional Transport Layer Security (TLS). O Cliente é responsável por analisar as informações que a Twilio disponibiliza sobre sua segurança de dados, incluindo seus relatórios de auditoria, e por determinar de forma independente se os Serviços atendem aos requisitos e obrigações legais do Cliente, incluindo suas obrigações nos termos da Lei de Proteção de Dados Aplicável. O Cliente é ainda responsável por configurar adequadamente os Serviços e utilizar os recursos e funcionalidades disponibilizados pela Twilio para manter a segurança apropriada, tendo em vista a natureza dos Dados do Cliente processados como resultado do uso dos Serviços pelo Cliente.
10.3 Notificação de Incidente de Segurança. A Twilio notificará o Cliente quando da ocorrência de um Incidente de Segurança, conforme a seguir:
(a) A Twilio notificará o Cliente sobre qualquer Incidente de Segurança envolvendo Dados Pessoais do Cliente que a Twilio processe na qualidade de processador ou subprocessador, sem demora injustificada, após a descoberta de tal Incidente de Segurança pela Twilio;
(b) A Twilio, na medida do permitido e exigido pela legislação ou regulamentação aplicável, incluindo a Lei de Proteção de Dados Aplicável, notificará o Cliente, sem demora injustificada, sobre qualquer Incidente de Segurança envolvendo Dados Pessoais do Cliente que sejam processados pela Twilio na qualidade de Controlador; e
(c) A Twilio notificará o Cliente sobre qualquer Incidente de Segurança por e-mail, para o(s) endereço(s) de e-mail designado(s) pelo Cliente na conta do Cliente.
A Twilio prestará assistência razoável ao Cliente caso este seja obrigado, nos termos da Lei de Proteção de Dados Aplicável, a notificar uma autoridade reguladora ou quaisquer titulares de dados afetados por um Incidente de Segurança.
11. Auditorias. O Cliente terá os seguintes direitos de auditoria quando a Twilio atuar como processadora ou subprocessadora dos Dados Pessoais do Cliente.
11.1 Programa de Auditoria da Twilio. A Twilio utiliza auditores externos para verificar a adequação de suas medidas de segurança técnicas e organizacionais no que diz respeito ao processamento de Dados Pessoais do Cliente, nos casos em que a Twilio atua como processador ou subprocessador. Quaisquer auditorias são realizadas pelo menos uma vez por ano calendário, às custas da Twilio, por profissionais de segurança terceirizados independentes selecionados pela Twilio, e resultam na geração de um relatório de auditoria confidencial (“Relatório de Auditoria”). Mediante solicitação por escrito do Cliente em intervalos razoáveis, e sujeito a controles de confidencialidade razoáveis, a Twilio disponibilizará ao Cliente uma cópia resumida do Relatório de Auditoria mais recente da Twilio. Além disso, no máximo uma vez por ano calendário, a Twilio fornecerá respostas por escrito, de forma confidencial, às solicitações razoáveis de informações feitas por escrito pelo Cliente que sejam necessárias para confirmar o cumprimento, pela Twilio dos termos deste Adendo relacionado ao processamento de Dados Pessoais do Cliente pela Twilio na qualidade de processador ou subprocessador.
11.2 Auditoria do Cliente. O Cliente concorda que somente quando quaisquer direitos de auditoria exigidos pela Lei de Proteção de Dados Aplicável não puderem ser razoavelmente satisfeitos por meio do exercício dos direitos estabelecidos na Cláusula 11.1 (Programa de Auditoria da Twilio), o Cliente, ou seus representantes autorizados, poderá realizar uma auditoria (cada uma, uma “Auditoria do Cliente”), durante a vigência do Acordo, para avaliar o cumprimento, pela Twilio, dos termos deste Adendo. Na medida em que o Cliente e a Twilio determinarem que o exercício dos direitos estabelecidos na Cláusula 11.1 (Programa de Auditoria da Twilio) não satisfaça os direitos de auditoria exigidos pela Lei de Proteção de Dados Aplicável, o Cliente aceitará um plano de auditoria mutuamente acordado com a Twilio que inclua o seguinte:
(a) exija o uso de um auditor terceirizado independente;
(b) exija que o Cliente forneça à Twilio um aviso prévio por escrito razoável sobre o exercício de seu direito, nos termos desta Cláusula 11.2, de realizar uma Auditoria do Cliente;
(c) limite o acesso do Cliente às instalações gerenciadas pela Twilio e ao pessoal da Twilio apenas durante o horário comercial normal;
(d) exija que o Cliente pague os valores então vigentes da Twilio para auxiliar na Auditoria do Cliente;
(e) limite a realização de uma Auditoria do Cliente a no máximo uma vez por ano calendário;
(f) restrinja as conclusões da Auditoria do Cliente apenas aos Dados Pessoais do Cliente que sejam relevantes para o Cliente, nos casos em que a Twilio atue como processador ou subprocessador; e
(g) obrigue o Cliente, na medida do permitido por lei ou regulamentação, a manter em sigilo qualquer informação obtida em uma Auditoria do Cliente que, por sua natureza, deva ser confidencial.
12. Disposições Internacionais
12.1 Termos Específicos da Califórnia. Na medida em que a Twilio processe informações pessoais, conforme definido pela Lei de Privacidade do Consumidor da Califórnia (“California Consumer Privacy Act”), pelo Código Civil da Califórnia § 1798.100 e seguintes, conforme alterado pela Lei de Direitos de Privacidade da Califórnia (“California Privacy Rights Act”) e seu regulamento de implementação (coletivamente, “CCPA”), serão aplicáveis os termos estabelecidos no Anexo 4 (Termos Específicos da Califórnia).
12.2 Mecanismos de transferência internacional de dados. Na medida em que o uso dos Serviços pelo Cliente exija um mecanismo de transferência para transferir legalmente dados pessoais de uma jurisdição (por exemplo, o Espaço Econômico Europeu, o Reino Unido, a Suíça, Guernsey e Jersey) para as operações da Twilio localizadas fora desta jurisdição (“Mecanismos de Transferência”), serão aplicáveis os termos estabelecidos no Anexo 3 (Mecanismos de Transferência Internacional de Dados).
13. Disposições Diversas
13.1 Conformidade. O Cliente é responsável por garantir que (a) cumpriu, e continuará a cumprir, a Legislação Aplicável de Proteção de Dados na utilização dos Serviços, e no seu próprio processamento de dados pessoais; e (b) tem, e continuará a ter, o direito de transferir ou fornecer acesso a dados pessoais à Twilio para processamento, de acordo com os termos do Acordo e deste Adendo.
13.2 Conflito. Em caso de qualquer conflito ou inconsistência entre os documentos a seguir, a ordem de precedência será a seguinte: (1) os Mecanismos de Transferência; (2) os termos aplicáveis estabelecidos no Anexo 4 (Termos Específicos da Califórnia); (3) os termos deste Adendo fora do Anexo 4 (Termos Específicos da Califórnia); (4) o Acordo; e (5) o Aviso de Privacidade da Twilio. Quaisquer reclamações apresentadas em relação a este Adendo estarão sujeitas aos termos, incluindo, sem limitação, as exclusões e limitações, estabelecidos no Acordo.
13.3 Acordo Integral. Este Adendo substitui os termos de proteção de dados ou os termos relativos ao tratamento de dados pessoais previamente acordados entre o Cliente e a Twilio.
13.4 Atualizações. A Twilio poderá atualizar os termos deste Adendo periodicamente, mediante notificação por escrito com antecedência mínima de trinta (30) dias ao Cliente. Os termos então vigentes deste Adendo estão disponíveis em https://www.twilio.com/pt-br/legal/data-protection-addendum.
Anexo 1
Detalhes do Processamento
Quando aplicável, este Anexo 1 servirá como Anexo 1 às Cláusulas Contratuais Padrão da União Europeia, ao Acordo de Transferência Internacional de Dados do Reino Unido, e às Cláusulas Contratuais Padrão do Brasil (cada um dos quais definido no Anexo 3 (Mecanismos de Transferência Internacional de Dados)).
1. Categorias de Titulares de Dados. Usuários Finais do Cliente e consumidores finais do Cliente.
2. Categorias de Dados Pessoais do Cliente. Dados da Conta do Cliente, Dados de Uso de Comunicações e Conteúdo do Cliente.
3. Dados Sensíveis ou Categorias Especiais de Dados. O Conteúdo do Cliente pode constituir Dados Sensíveis nos termos da Legislação de Proteção de Dados Aplicável e, ocasionalmente, pode incluir Dados Sensíveis a serem processados por meio dos Serviços, caso o Cliente, ou os Usuários Finais do Cliente, opte por incluir Dados Sensíveis no Conteúdo do Cliente. O Cliente é responsável por garantir que medidas de segurança adequadas estejam em vigor antes de transmitir ou processar, ou antes de permitir que os Usuários Finais do Cliente transmitam ou processem, quaisquer Dados Sensíveis por meio dos Serviços.
4. Frequência da transferência: contínua
5. Natureza e finalidade do processamento. Os Dados Pessoais do Cliente estarão sujeitos às seguintes atividades básicas de processamento:
A Twilio, na qualidade de processador ou subprocessador, processará os Dados Pessoais do Cliente de acordo com as instruções do Cliente, conforme estabelecido na Cláusula 4.2 (Instruções do Cliente). Na qualidade de controlador, a Twilio processará os Dados Pessoais do Cliente conforme necessário para cumprir seus objetivos comerciais legítimos estabelecidos na Cláusula 3 (Processamento de Dados Pessoais do Cliente na qualidade de Controlador).
6. Duração do processamento. O período durante o qual os dados pessoais serão retidos pela Twilio e os critérios utilizados para determinar esse período são os seguintes:
Quando a Twilio atuar como processador ou subprocessador, os Dados Pessoais do Cliente serão retidos pelo tempo necessário para cumprir os objetivos para os quais tais dados pessoais foram coletados e/ou recebidos pela Twilio, conforme estabelecido na Cláusula 6.1 e na Cláusula 6.2 deste Anexo 1, e conforme disposto de outra forma na documentação de retenção e exclusão de dados para os Serviços disponível em https://help.twilio.com/articles/4410585868443 e https://segment.com/docs/privacy/account-deletion.
6.1 Serviços. Antes da rescisão do Acordo, (a) a Twilio processará o Conteúdo do Cliente armazenado para os fins estabelecidos na Cláusula 4.2 (Instruções do Cliente) até que o Cliente opte por excluir tal Conteúdo do Cliente por meio dos Serviços; e (b) o Cliente concorda que é o único responsável pela exclusão do Conteúdo do Cliente por meio dos Serviços. Exceto conforme estabelecido na Cláusula 6.2 (Serviços SendGrid) deste Anexo 1, após a rescisão do Acordo, a Twilio irá (i) conceder ao Cliente um prazo de trinta (30) dias a partir da data efetiva da rescisão para obter uma cópia de qualquer Conteúdo do Cliente armazenado por meio dos Serviços; (ii) excluir automaticamente qualquer Conteúdo do Cliente armazenado trinta (30) dias após a data efetiva da rescisão; e (iii) excluir automaticamente qualquer Conteúdo do Cliente armazenado nos sistemas de backup da Twilio sessenta (60) dias após a data efetiva da rescisão. Qualquer Conteúdo do Cliente arquivado nos sistemas de backup da Twilio será isolado de forma segura, e protegido contra qualquer processamento posterior, salvo se exigido de outra forma pela legislação ou regulamentação aplicável, incluindo a Lei de Proteção de Dados Aplicável.
6.2 Serviços SendGrid. Após a rescisão do Acordo, a Twilio irá (a) a critério do Cliente, excluir ou devolver ao Cliente qualquer Conteúdo do Cliente (incluindo cópias) armazenado em quaisquer serviços e interfaces de programação de aplicativos com a marca “SendGrid” ou “Twilio SendGrid” (coletivamente, “Serviços SendGrid”) e (b) excluir automaticamente qualquer Conteúdo do Cliente armazenado nos Serviços SendGrid nos sistemas de backup da Twilio um (1) ano após a data efetiva da rescisão.
Quando a Twilio atuar como controlador, os Dados Pessoais do Cliente serão retidos pelo tempo necessário para cumprir as finalidades para as quais tais dados pessoais foram coletados e/ou recebidos pela Twilio e de acordo com as políticas de retenção de dados da Twilio.
Anexo 2
Medidas de Segurança Técnicas e Organizacionais
O texto completo das medidas de segurança técnicas e organizacionais da Twilio para proteger os Dados do Cliente, incluindo os Dados Pessoais do Cliente, está disponível em https://www.twilio.com/pt-br/legal/security-overview (“Visão Geral de Segurança da Twilio”). A Política de Regras Corporativas Vinculantes da Twilio para Processadores está disponível em https://www.twilio.com/en-us/legal/bcr/processor.
Quando aplicável, este Anexo 2 servirá como Anexo II às Cláusulas Contratuais Padrão da União Europeia, Tabela 3 do Acordo de Transferência Internacional de Dados do Reino Unido, e às medidas de segurança exigidas pelas Cláusulas Contratuais Padrão do Brasil.
Em caso de conflito ou inconsistência entre a Visão Geral de Segurança da Twilio e quaisquer termos relacionados à segurança estabelecidos no Acordo, prevalecerão os termos relacionados à segurança estabelecidos no Acordo.
A tabela a seguir fornece mais informações sobre as medidas de segurança técnicas e organizacionais da Twilio.
|
Medida de Segurança Técnica e Organizacional |
Evidência das Medidas de Segurança Técnicas e Organizacionais |
|---|---|
|
Medidas de pseudonimização e criptografia de dados pessoais |
Consulte a Cláusula 12 (Criptografia) da Visão Geral de Segurança da Twilio. |
|
Medidas para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento |
Consulte a Cláusula 16 (Resiliência e Continuidade do Serviço) e a Cláusula 17 (Backups de Dados de Clientes) da Visão Geral de Segurança da Twilio. |
|
Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil, no caso de um incidente físico ou técnico |
Consulte a Cláusula 16 (Resiliência e Continuidade do Serviço) e a Cláusula 17 (Backups de Dados de Clientes) da Visão Geral de Segurança da Twilio. |
|
Processos para testar, avaliar e analisar regularmente a eficácia das medidas técnicas e organizacionais, a fim de garantir a segurança do tratamento |
Consulte a Cláusula 3 (Organização e Programa de Segurança), a Cláusula 7 (Certificações e Atestados de Segurança) e a Cláusula 14 (Testes de Penetração) da Visão Geral de Segurança da Twilio. |
|
Medidas para identificação e autorização de usuários |
Consulte a Cláusula 10 (Controles de Acesso) da Visão Geral de Segurança da Twilio. |
|
Medidas para a proteção de dados durante a transmissão |
Consulte a Cláusula 12 (Criptografia) e a Cláusula 17 (Backups de Dados do Cliente) da Visão Geral de Segurança da Twilio. |
|
Medidas para a proteção de dados durante o armazenamento |
Consulte a Cláusula 8 (Arquitetura de hospedagem e segregação de dados) e a Cláusula 12 (Criptografia) da Visão Geral de Segurança da Twilio. |
|
Medidas para garantir a segurança física dos locais onde os dados pessoais são processados |
Consulte a Cláusula 5 (Segurança Física) da Visão Geral de Segurança da Twilio. |
|
Medidas para garantir o registro de eventos |
|
|
Medidas para garantir a configuração do sistema, incluindo a configuração padrão |
|
|
Medidas para governança e gestão interna de TI e segurança de TI |
Consulte a Cláusula 3 (Organização e Programa de Segurança) da Visão Geral de Segurança da Twilio. |
|
Medidas para certificação/garantia de processos e produtos |
Consulte a Cláusula 3 (Organização e Programa de Segurança) e a Cláusula 7 (Certificações e Atestados de Segurança) da Visão Geral de Segurança da Twilio. |
|
Medidas para garantir a qualidade e a minimização dos dados |
Quando a Twilio atua como processador de Dados Pessoais do Cliente e com base nas instruções do Cliente, a Twilio auxiliará o Cliente no cumprimento de sua obrigação de manter os dados pessoais precisos e atualizados. Quando o Cliente informar à Twilio que os Dados Pessoais do Cliente que a Twilio processa em seu nome estão imprecisos, a Twilio auxiliará o Cliente a atualizar, corrigir ou apagar tais dados sem demora injustificada. A Twilio também tomará medidas para informar os membros de seu grupo ou subprocessadores terceirizados aos quais tais dados tenham sido divulgados sobre a necessidade de atualizar, corrigir ou apagar tais dados pessoais. |
|
Medidas para garantir a retenção limitada de dados |
Quando a Twilio atuar como processador dos Dados Pessoais do Cliente e com base nas instruções do Cliente, a Twilio auxiliará o Cliente a armazenar os Dados Pessoais do Cliente apenas pelo tempo necessário para a finalidade para a qual tais dados foram inicialmente coletados. Quando o Cliente instruir a Twilio de que os Dados Pessoais do Cliente que a Twilio processa em seu nome não são mais necessários, a Twilio auxiliará o Cliente a apagar, restringir ou tornar anônimos tais dados sem demora injustificada e de acordo com os termos do Acordo. A Twilio também tomará medidas para informar aos membros de seu grupo ou subprocessadores terceirizados a quem tais dados tenham sido divulgados sobre a necessidade de apagar, restringir ou tornar anônimos esses dados pessoais. |
|
Medidas para garantir a responsabilização |
A Twilio adotou Regras Corporativas Vinculantes que regem o tratamento, o processamento e a transferência globais de dados pessoais dentro da Twilio. |
|
Medidas para permitir a portabilidade de dados e garantir a deleção |
O Cliente pode exportar ou excluir o Conteúdo do Cliente usando os recursos de autoatendimento dos Serviços, conforme estabelecido na documentação aplicável aos Serviços disponível em https://www.twilio.com/docs. Para um exemplo de recursos de autoatendimento de portabilidade de dados, consulte: https://support.twilio.com/hc/en-us/articles/223183588-Exporting-SMS-and-Call-Logs. Para um exemplo de recursos de autoatendimento de portabilidade de dados, consulte: https://docs.sendgrid.com/ui/managing-contacts/create-and-manage-contacts#export-contacts. Para ver um exemplo de recursos de autoatendimento para deleção de dados, consulte: Para um exemplo de recursos de autoatendimento para deleção de dados, consulte: https://www.twilio.com/docs/sendgrid/api-reference/contacts/delete-contacts. |
|
Medidas a serem tomadas por subprocessadores terceirizados |
Quando a Twilio contrata um subprocessador nos termos da Cláusula 6.1 (Autorização para subprocessamento), a Twilio e o subprocessador celebram um contrato com obrigações de proteção de dados substancialmente semelhantes às estabelecidas neste Anexo. Cada contrato de subprocessamento deve garantir que a Twilio seja capaz de cumprir suas obrigações perante o Cliente. Além de implementar medidas técnicas e organizacionais para proteger os dados pessoais, os subprocessadores devem (a) notificar a Twilio em caso de um Incidente de Segurança, para que a Twilio possa notificar o Cliente; (b) excluir dados pessoais quando instruídos pela Twilio, de acordo com as instruções do Cliente à Twilio; (c) não contratar subprocessadores adicionais sem a autorização da Twilio; (d) não alterar o local onde os dados pessoais são processados; ou (e) não processar dados pessoais de maneira que entre em conflito com as instruções do Cliente à Twilio. |
Anexo 3
Mecanismos de Transferência Internacional de Dados
1. Definições
“Serviços BCR” significa todos os Serviços, exceto os Serviços SendGrid e as Ofertas Beta Privadas (conforme definido abaixo).
“Cláusulas Contratuais Padrão do Brasil” significa a Cláusula Contratual Padrão contida no Anexo II da Resolução CD/ANPD nº 19/2024, de 23 de agosto de 2024.
“Ordenamento de Privacidade de Dados” significa o programa de autocertificação da Estrutura de Privacidade de Dados UE-EUA e/ou Suíça-EUA operado pelo Departamento de Comércio dos Estados Unidos da América.
“Princípios de Privacidade de Dados” significa os princípios do Ordenamento de Privacidade de Dados (conforme complementados pelos Princípios Complementares).
“EEA” significa o Espaço Econômico Europeu.
“Cláusulas Contratuais Padrão da União Europeia” significa as Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia na Decisão 2021/914.
“Ofertas Beta Privadas” significa determinados Serviços identificados como alfa, beta, não disponíveis ao público, lançamento limitado, pré-visualização para desenvolvedores, ou quaisquer Serviços semelhantes que, em todos os casos acima, sejam disponibilizados apenas a um número limitado de clientes mediante convite, de forma não pública ou privada.
“BCRs da Twilio” significa as Regras Corporativas Vinculantes da Twilio, conforme estabelecido em https://www.twilio.com/legal/binding-corporate-rules.
“Certificações Twilio Global CBPR e Global PRP” significa a certificação da Twilio sob o Sistema Global de Regras de Privacidade Internacionais (“Global CBPRs”) e o Sistema Global de Reconhecimento de Privacidade para Processadores (“Global PRPs”), conforme registrado no diretório disponível em https://www.globalcbpr.org.
“Acordo de Transferência Internacional de Dados do Reino Unido” significa o Anexo de Transferência Internacional de Dados às Cláusulas Contratuais Padrão da Comissão Europeia, emitido pelo Comissário de Informação do Reino Unido, Versão B1.0, em vigor desde 21 de março de 2022.
2. Mecanismos de transferência internacional de dados
2.1 Ordem de precedência. Caso os Serviços sejam abrangidos por mais de um mecanismo de transferência, a transferência de dados pessoais estará sujeita a um único mecanismo de transferência. Esses mecanismos de transferência serão aplicados na seguinte ordem de precedência, conforme estabelecido neste Anexo 3: (a) o Ordenamento de Privacidade de Dados (Cláusula 2.2); (b) as BCRs da Twilio (Cláusula 2.3); (c) as Cláusulas Contratuais Padrão da União Europeia (Cláusula 2.4); (d) o Acordo de Transferência Internacional de Dados do Reino Unido (Cláusula 2.5); (e) as Cláusulas Contratuais Padrão do Brasil (Cláusula 2.7); (f) as Certificações CBPR ou PRP Globais da Twilio (Cláusula 2.8); ou (g) se nenhuma das opções anteriores se aplicar, qualquer outro mecanismo de transferência de dados permitido pela Lei de Proteção de Dados Aplicável.
2.2 Estrutura de Privacidade de Dados. Na medida em que a Twilio Inc. processe quaisquer dados pessoais por meio dos Serviços originários do EEA, da Suíça ou do Reino Unido, a Twilio declara que a Twilio Inc. é auto-certificada nos termos do Ordenamento de Privacidade de Dados UE-EUA, da Extensão do Reino Unido ao Ordenamento de Privacidade de Dados UE-EUA, e do Ordenamento de Privacidade de Dados Suíça-EUA, e cumpre os Princípios de Privacidade de Dados ao processar tais dados pessoais. Na medida em que o Cliente (a) esteja localizado nos Estados Unidos da América e seja auto-certificado nos termos do Ordenamento de Privacidade de Dados, ou (b) esteja localizado no EEA, na Suíça e no Reino Unido, a Twilio concorda ainda (i) em proteger, todos os dados pessoais, pelo menos no mesmo nível de proteção exigido pelos Princípios de Privacidade de Dados; (ii) notificar o Cliente por escrito, sem demora injustificada, caso sua auto-certificação nos termos do Ordenamento de Privacidade de Dados seja retirada, rescindida, revogada ou de outra forma invalidada (nesse caso, um Mecanismo de Transferência alternativo será aplicado de acordo com a ordem de precedência da Cláusula 2.1 (Ordem de Precedência) deste Anexo 3); e (iii) mediante notificação por escrito, a colaborar com o Cliente para tomar medidas razoáveis e adequadas para interromper e corrigir qualquer processamento não autorizado de dados pessoais.
2.3 BCRs da Twilio. A Twilio processará dados pessoais dentro dos Serviços BCR de acordo com as BCRs da Twilio. O Cliente e a Twilio concordam que, no que diz respeito aos Serviços BCR, as BCRs da Twilio serão o mecanismo de transferência legal dos Dados Pessoais do Cliente do EEA ou da Suíça para (a) a Twilio nos Estados Unidos da América, ou (b) qualquer outra entidade da Twilio fora do EEA. Para evitar dúvidas, as BCRs da Twilio não servem como mecanismo de transferência para os Serviços SendGrid ou Ofertas Beta Privadas.
2.4 Cláusulas Contratuais Padrão da União Europeia. As Cláusulas Contratuais Padrão da União Europeia serão aplicáveis aos dados pessoais transferidos por meio dos Serviços a partir do EEA, da Suíça, de Guernsey ou de Jersey, seja diretamente ou por meio de transferência posterior, para qualquer país ou destinatário fora do EEA, da Suíça, de Guernsey ou de Jersey que não seja (a) reconhecido pela autoridade competente relevante como oferecendo um nível adequado de proteção para dados pessoais, e (b) coberto pelas BCRs da Twilio. Para transferências de dados sujeitas às Cláusulas Contratuais Padrão da União Europeia, estas serão consideradas celebradas e incorporadas a este Anexo por meio desta referência, e preenchidas da seguinte forma:
(a) O Módulo Um (Controlador para Controlador) das Cláusulas Contratuais Padrão da União Europeia será aplicável quando (i) a Twilio estiver processando Dados da Conta do Cliente e Dados de Uso de Comunicações, e (ii) o Cliente for um controlador dos Dados Pessoais do Cliente, e a Twilio estiver processando os Dados Pessoais do Cliente de acordo com a Cláusula 3 (Processamento de Dados Pessoais do Cliente na qualidade de Controlador);
(b) O Módulo Dois (Controlador para Processador) das Cláusulas Contratuais Padrão da União Europeia será aplicável quando o Cliente for o controlador dos Dados Pessoais do Cliente e a Twilio estiver processando os Dados Pessoais do Cliente de acordo com a Cláusula 4 (Processamento de Dados Pessoais do Cliente na qualidade de Processador); e
(c) O Módulo Três (Processador para Processador) das Cláusulas Contratuais Padrão da União Europeia será aplicável quando o Cliente for o processador dos Dados Pessoais do Cliente e a Twilio estiver processando os Dados Pessoais do Cliente de acordo com a Cláusula 4 (Processamento dos Dados Pessoais do Cliente na qualidade de Processador);
(d) Para cada Módulo, quando aplicável:
(i) na Cláusula 7 das Cláusulas Contratuais Padrão da União Europeia, a cláusula de acoplamento opcional não se aplicará;
(ii) na Cláusula 9 das Cláusulas Contratuais Padrão da União Europeia, a Opção 2 será aplicável e o prazo para notificação prévia por escrito de alterações relativas a subcontratantes será o estabelecido na Cláusula 6.2 (Subcontratantes atuais e notificação de alterações de Subprocessadores);
(iii) na Cláusula 11 das Cláusulas Contratuais Padrão da União Europeia, a linguagem opcional não se aplicará;
(iv) na Cláusula 17 (Opção 1), as Cláusulas Contratuais Padrão da União Europeia serão regidas pela lei irlandesa;
(v) na Cláusula 18(b) das Cláusulas Contratuais Padrão da União Europeia, os litígios serão resolvidos perante os tribunais da Irlanda;
(vi) no Anexo I, Parte A das Cláusulas Contratuais Padrão da União Europeia:
Exportador de Dados: Cliente
Dados de contato: O(s) endereço(s) de e-mail designado(s) pelo Cliente na conta do Cliente por meio de suas preferências de notificação.
Função do Exportador de Dados: A função do Exportador de Dados está definida na Cláusula 3 (Processamento de Dados Pessoais do Cliente na qualidade de Controlador) e na Cláusula 4 (Processamento de Dados Pessoais do Cliente na qualidade de Processador), conforme aplicável.
Assinatura e data: Ao celebrar o Acordo, considera-se que o Exportador de Dados assinou estas Cláusulas Contratuais Padrão da União Europeia aqui incorporadas, incluindo seus anexos, a partir da data de vigência do Acordo.
Importador de Dados: Twilio Inc.
Dados de contato: Privacidade da Twilio - privacy@twilio.com
Função do Importador de Dados: A função do Importador de Dados está estabelecida na Cláusula 3 (Processamento de Dados Pessoais do Cliente na qualidade de Controlador) e na Cláusula 4 (Processamento de Dados Pessoais do Cliente na qualidade de Processador), conforme aplicável.
Assinatura e data: Ao celebrar o Acordo, considera-se que o Importador de Dados assinou estas Cláusulas Contratuais Padrão da União Europeia, aqui incorporadas, incluindo seus anexos, a partir da data de vigência do Acordo;
(vii) no Anexo I, Parte B das Cláusulas Contratuais Padrão da União Europeia:
As categorias de Titulares de Dados estão definidas na Cláusula 1 (Categorias de Titulares de Dados) do Anexo 1 (Detalhes do Processamento).
Os Dados Sensíveis transferidos estão estabelecidos na Cláusula 3 (Dados Sensíveis ou Categorias Especiais de Dados) do Anexo 1 (Detalhes do Processamento).
A frequência da transferência é contínua durante a vigência do Acordo.
A natureza e a finalidade do tratamento estão definidas na Cláusula 5 (Natureza e Finalidade do Processamento) do Anexo 1 (Detalhes do Processamento).
O período durante o qual os dados pessoais serão retidos está definido na Cláusula 6 (Duração do Processamento) do Anexo 1 (Detalhes do Processamento).
Para transferências a subprocessadores, o objeto, a natureza e a duração do processamento estão estabelecidos em https://www.twilio.com/legal/sub-processors;
(viii) no Anexo I, Parte C das Cláusulas Contratuais Padrão da União Europeia: A Comissão de Proteção de Dados da Irlanda será a autoridade de supervisão competente; e
(ix) o Anexo 2 (Medidas de Segurança Técnicas e Organizacionais) serve como Anexo II das Cláusulas Contratuais Padrão da União Europeia.
2.5 Acordo de Transferência Internacional de Dados do Reino Unido. O Cliente e a Twilio concordam que o Acordo de Transferência Internacional de Dados do Reino Unido se aplicará aos dados pessoais transferidos por meio dos Serviços a partir do Reino Unido, seja diretamente ou por meio de transferência posterior, para qualquer país ou destinatário fora do Reino Unido que não seja (a) reconhecido pela autoridade reguladora competente do Reino Unido ou órgão governamental do Reino Unido, como oferecendo um nível adequado de proteção para dados pessoais; e (b) coberto pelas BCRs da Twilio. Para transferências de dados do Reino Unido que estejam sujeitas ao Acordo de Transferência Internacional de Dados do Reino Unido, o Acordo de Transferência Internacional de Dados do Reino Unido será considerado celebrado, incorporado a este Anexo por meio desta referência, e preenchido da seguinte forma:
(a) Na Tabela 1 do Acordo de Transferência Internacional de Dados do Reino Unido, os detalhes do Cliente e da Twilio, e as principais informações de contato estão estabelecidos na Cláusula 2.4(d)(vi) deste Anexo 3;
(b) Na Tabela 2 do Acordo de Transferência Internacional de Dados do Reino Unido, as informações sobre a versão das Cláusulas Contratuais Padrão da União Europeia aprovadas, módulos e cláusulas selecionadas, às quais o Acordo de Transferência Internacional de Dados do Reino Unido está anexado, estão estabelecidas na Cláusula 2.4 (Cláusulas Contratuais Padrão da União Europeia) deste Anexo 3;
(c) Na Tabela 3 do Acordo de Transferência Internacional de Dados do Reino Unido:
(i) A lista das Partes está estabelecida na Cláusula 2.4(d)(vi) deste Anexo 3.
(ii) A descrição da transferência está estabelecida na Cláusula 5 (Natureza e Finalidade do Processamento) do Anexo 1 (Detalhes do Processamento).
(iii) O Anexo II encontra-se no Anexo 2 (Medidas de Segurança Técnicas e Organizacionais).
(iv) A lista de subprocessadores está disponível em https://www.twilio.com/legal/sub-processors; e
(d) Na Tabela 4 do Acordo de Transferência Internacional de Dados do Reino Unido, tanto o Importador quanto o Exportador podem rescindir o Acordo de Transferência Internacional de Dados do Reino Unido de acordo com os termos do mesmo.
2.6 Aplicação das Cláusulas Contratuais Padrão da União Europeia. As Cláusulas Contratuais Padrão da União Europeia aplicam-se a todos os Dados Pessoais do Cliente que sejam transferidos de, ou acessados remotamente a partir de, qualquer país cujas leis ou regulamentos de proteção de dados exijam meios de adequação para a transferência ou acesso internacional. Os meios de adequação exigidos podem ser atendidos mediante a celebração das Cláusulas Contratuais Padrão da União Europeia, seja diretamente ou por meio de transferência posterior para qualquer país ou destinatário, respectivamente, em que tal transferência ou acesso seria proibido pela Lei de Proteção de Dados Aplicável na ausência das Cláusulas Contratuais Padrão da União Europeia. As Cláusulas Contratuais Padrão da União Europeia devem ser ligeiramente modificadas (por exemplo, em termos de terminologia) para garantir que todo este Anexo se aplique a todas as partes, independentemente da localização das partes, seja dentro ou fora do EEA, da Suíça, de Guernsey ou de Jersey. Tais modificações, no entanto, não se aplicam a transferências de dados regidas pelas leis ou regulamentos de proteção de dados do EEA, da Suíça, de Guernsey ou de Jersey.
2.7 Aplicação das Cláusulas Contratuais Padrão do Brasil. As Cláusulas Contratuais Padrão do Brasil serão aplicáveis aos dados pessoais transferidos por meio dos Serviços a partir do Brasil, seja diretamente ou por meio de transferência posterior, para qualquer país ou território terceiro, ou para qualquer destinatário localizado em um país ou território terceiro, (a) sujeitas a uma determinação de adequação pela Autoridade Nacional de Proteção de Dados (“ANPD”); ou (b) conforme de outra forma abrangidas por um mecanismo de transferência reconhecido ou aprovado pela ANPD como fornecendo salvaguardas adequadas para dados pessoais, de acordo com o Artigo 33 da Lei Geral de Proteção de Dados. Para transferências de dados sujeitas às Cláusulas Contratuais Padrão do Brasil, as Cláusulas Contratuais Padrão do Brasil serão consideradas celebradas e incorporadas a este Anexo por meio desta referência, e preenchidas da seguinte forma:
(i) A Cláusula 2 das Cláusulas Contratuais Padrão do Brasil é satisfeita pelas informações estabelecidas na Cláusula 2.4(d)(vi) deste Anexo 3, que descreve a transferência de dados;
(ii) Na Cláusula 3 das Cláusulas Contratuais Padrão do Brasil, será aplicada a OPÇÃO B, com transferências posteriores permitidas de acordo com a Cláusula 6 (Subprocessadores) deste Anexo. O objeto, a natureza e a duração do processamento estão estabelecidos em https://www.twilio.com/legal/sub-processors;
(iii) A Cláusula 4 das Cláusulas Contratuais Padrão do Brasil é cumprida pelas informações estabelecidas na Cláusula 2.4(d)(vi) deste Anexo 3. Quando a Twilio for controlador, ela será a “Parte Designada”, conforme definido nas Cláusulas Contratuais Padrão do Brasil, e para os fins da Cláusula 14 (Transparência), da Cláusula 15 (Direitos do Titular de Dados) e da Cláusula 16 (Notificação de Incidentes) das Cláusulas Contratuais Padrão do Brasil. O Cliente continua responsável pelo cumprimento da Cláusula 14 (Transparência), da Cláusula 15 (Direitos do Titular de Dados), e da Cláusula 16 (Notificação de Incidentes) das Cláusulas Contratuais Padrão do Brasil em relação a quaisquer dados pessoais dos quais ele possa ser o controlador;
(iv) Na Cláusula 9 das Cláusulas Contratuais Padrão do Brasil, a cláusula de acoplamento opcional não se aplicará; e
(v) A Seção III (Medidas de Segurança) das Cláusulas Contratuais Padrão do Brasil será considerada preenchida com as informações estabelecidas no Anexo 2 (Medidas de Segurança Técnicas e Organizacionais).
2.8 Aplicação das Regras Globais de Privacidade Internacional. O programa de privacidade da Twilio foi certificado de acordo com o Global CBPR e Global PRP, que são certificações de privacidade de dados apoiadas pelo governo que demonstram conformidade com proteções de privacidade de dados reconhecidas internacionalmente. A Twilio processará os dados pessoais transferidos de uma economia participante do Global CBPRs para a Twilio de acordo com as Certificações Twilio Global CBPR e Global PRP, na medida do aplicável.
2.9 Conflito. Em caso de qualquer conflito ou inconsistência entre (a) as Cláusulas Contratuais Padrão da União Europeia, o Acordo de Transferência Internacional de Dados do Reino Unido, ou as Cláusulas Contratuais Padrão do Brasil, conforme aplicável; (b) quaisquer outros termos deste Anexo, incluindo o Anexo 4 (Termos Específicos da Califórnia); (c) o Acordo; ou (d) o Aviso de Privacidade da Twilio, prevalecerão as Cláusulas Contratuais Padrão da União Europeia, o Acordo de Transferência Internacional de Dados do Reino Unido, ou as Cláusulas Contratuais Padrão do Brasil, conforme aplicável.
Anexo 4
Termos Específicos da Califórnia
1. A Twilio é uma “empresa” independente que processa Dados Pessoais do Cliente sujeitos à CCPA na qualidade de controlador, nos termos da Cláusula 3 (Processamento de Dados Pessoais do Cliente na qualidade de Controlador).
2. Os seguintes termos se aplicam quando a Twilio estiver processando Dados Pessoais do Cliente sujeitos à CCPA na qualidade de processador, nos termos da Cláusula 4 (Processamento de Dados Pessoais do Cliente na qualidade de Processador), e atuando como “prestador de serviços”:
(a) O termo “dados pessoais”, conforme utilizado neste Anexo 4, terá o significado previsto na CCPA;
(b) A Twilio processará quaisquer informações pessoais contidas nos Dados Pessoais do Cliente exclusivamente para os fins comerciais estabelecidos no Acordo, incluindo a finalidade do processamento e as atividades de processamento estabelecidas neste Anexo (“Finalidade”). Ao atuar como prestador de serviços, a Twilio não venderá nem compartilhará informações pessoais contidas nos Dados Pessoais do Cliente, nem irá reter, utilizar, ou divulgar tais dados (i) para qualquer finalidade que não seja a Finalidade, incluindo reter, utilizar, ou divulgar os dados para fins comerciais que não sejam a Finalidade, ou conforme de outra forma permitido pela CCPA ou (ii) fora da relação comercial direta entre o Cliente e a Twilio;
(c) a Twilio irá (i) cumprir as obrigações que lhe são aplicáveis quando atuar como prestadora de serviços nos termos da CCPA e (ii) fornecer informações pessoais com o mesmo nível de proteção de privacidade exigido pela CCPA. O Cliente é responsável por garantir que cumpriu, e continuará a cumprir, os requisitos da CCPA no uso dos Serviços e no seu próprio tratamento de informações pessoais;
(d) o Cliente terá o direito de tomar medidas razoáveis e adequadas para ajudar a garantir que a Twilio utilize as informações pessoais de maneira consistente com as obrigações do Cliente nos termos da CCPA;
(e) A Twilio notificará o Cliente caso determine que não pode mais cumprir suas obrigações como prestadora de serviços nos termos da CCPA;
(f) Mediante notificação, o Cliente terá o direito de tomar medidas razoáveis e adequadas, de acordo com o Acordo, para interromper e corrigir o uso não autorizado de informações pessoais;
(g) A Twilio prestará assistência adicional razoável e oportuna para auxiliar o Cliente no cumprimento de suas obrigações relativas às solicitações dos consumidores, conforme estabelecido no Acordo;
(h) Para qualquer subprocessador utilizado pela Twilio para processar informações pessoais sujeitas à CCPA, a Twilio garantirá que o contrato da Twilio com tal subprocessador esteja em conformidade com a CCPA, incluindo, sem limitação, os requisitos contratuais para prestadores de serviços e contratados;
(i) A Twilio não combinará os Dados Pessoais do Cliente que receba do Cliente, ou em nome dele, com informações pessoais que receba de outra pessoa ou pessoas, ou em nome delas, ou que colete a partir de sua própria interação com o consumidor, a menos que tal combinação seja necessária para cumprir qualquer finalidade comercial permitida pela CCPA, incluindo quaisquer regulamentos a ela referentes, ou por regulamentos adotados pela Agência de Proteção à Privacidade da Califórnia; e
(j) A Twilio certifica que compreende e cumprirá suas obrigações nos termos da CCPA.
3. A Twilio reconhece e confirma que não recebe informações pessoais contidas nos Dados Pessoais do Cliente como contraprestação por quaisquer Serviços prestados ao Cliente.