Transferências internacionais de dados

Objetivo

A Smartsheet Inc. (coletivamente com seus afiliados, “Smartsheet”) se compromete a responder às preocupações e solicitações de seus clientes no que diz respeito à privacidade e segurança de dados pessoais. Esta página descreve em detalhes a posição da Smartsheet em relação às transferências internacionais de dados e oferece garantias quanto às práticas de manuseio de dados no uso de seus serviços online e aplicativos, incluindo software relacionado que possa ser baixado (“Ofertas”), sites, como www.smartsheet.com (“Sites”), e operações de negócios em geral.

Esta página não apresenta aconselhamento jurídico. A Smartsheet recomenda procurar orientação jurídica para se informar sobre as leis e os regulamentos que regem sua situação específica. 

Funções de dados da Smartsheet

Assim como muitos fornecedores de aplicativos de software como serviço, a Smartsheet atua de duas formas em relação a dados pessoais: como controladora e como processadora de dados.

Como controladora de dados, a Smartsheet coleta dados de uso técnico, estatístico, histórico e outros, além de dados de pagamento, cobrança, perfil e outras informações de conta relacionadas à compra e ao uso de Ofertas e Sites. O Aviso de Privacidade da Smartsheet comunica às pessoas como exatamente a Smartsheet coleta, usa, compartilha e processa esses dados pessoais para os objetivos legítimos da empresa.

Já em relação a dados, imagens, arquivos e outros conteúdos que você carrega ou envia para as Ofertas da Smartsheet (“Conteúdo do cliente”), a Smartsheet atua como processadora de dados. Os clientes que precisam de termos expressos para o processamento de dados pessoais contidos no Conteúdo do cliente podem escolher celebrar um adendo de processamento de dados (“DPA”) com a Smartsheet. O DPA, junto ao contrato que rege o uso das Ofertas pelo cliente e a legislação relevante, limita a forma como a Smartsheet pode processar o Conteúdo do cliente e é o material escrito das instruções de processamento do cliente para a Smartsheet.
 

Principais atividades de processamento

Ainda que a Smartsheet tenha estabelecido locais e planos internacionais para continuar a expansão da empresa, suas principais operações ocorrem nos Estados Unidos, onde fica a sede. Por isso, como controladora de dados, a Smartsheet pode transferir os dados de uso e as informações de conta coletados para sistemas e profissionais nos Estados Unidos para suas operações de negócios gerais. Além disso, como processadora de dados, a Smartsheet pode acessar o Conteúdo do cliente hospedado em qualquer região da Smartsheet nos Estados Unidos para manter suas Ofertas. 

As principais atividades de processamento realizadas pela Smartsheet nos Estados Unidos são:

  • como controladora de dados, para operações de negócios gerais e outros objetivos legítimos da empresa, como detalhado aqui, em relação a dados coletados quando você interage com o Smartsheet ou os Sites, e aqui, em relação a dados coletados quando você usa as Ofertas; e
  • como processadora de dados, hospedando o serviço, o suporte técnico, os serviços profissionais e a engenharia e apenas até o limite permitido no seu contrato com a Smartsheet que rege suas Ofertas. 
Illustration of a lock on top of a world map

O que é transferência internacional de dados pessoais? 

A transferência internacional de dados pessoais (“Transferência internacional”) acontece quando os dados são disponibilizados fora do Espaço Econômico Europeu (“EEE”). As transferências internacionais podem incluir o armazenamento de dados pessoais em um país fora do EEE, mas também o acesso a dados pessoais armazenados na União Europeia de subprocessadoras localizadas fora do EEE (por exemplo, para serviços de suporte). 

Quais são as cláusulas contratuais padrão da Comissão Europeia?

As cláusulas contratuais padrão (“SCCs”) da Comissão Europeia são contratos jurídicos acordados entre as partes que estão transferindo dados pessoais da União Europeia para fora dos países da UE que não têm uma proteção de dados adequada ou equivalente. As cláusulas contratuais padrão iniciais para transferências do tipo controladora para processadora foram criadas e aprovadas pela Comissão Europeia em 2010. Após a decisão Schrems II, a Comissão Europeia criou outras cláusulas para incorporar as exigências do Regulamento Geral sobre a Proteção de Dados (RGPD) e da decisão Schrems II.  As novas SCCs estavam sujeitas à consulta até o dia 10 de dezembro de 2020, e a versão final foi publicada em 7 de junho de 2021.  A Comissão Europeia oferece às empresas um período transicional de 18 meses para implementar as novas SCCs nos contratos existentes.  O DPA atualizado da Smartsheet incorpora as novas SCCs recentemente adotadas.

Para os clientes com contratos mais antigos que não se referem às SCCs ou que incluem a versão anterior das SCCs, pedimos que revise o DPA atualizado. Se determinar que precisa de um DPA atualizado com a Smartsheet, você poderá enviar um formulário concordando com os termos do DPA aqui.  Ao enviar o formulário, uma cópia do DPA será encaminhada pela DocuSign para o assinante autorizado inserido no formulário. Após assinada, a cópia também será enviada para a pessoa que enviou o formulário para registro.

Map with multiple locations highlighted

Quais são os mecanismos de transferência de dados pessoais usados pela Smartsheet?

Como controladora. Como observado no Aviso de Privacidade, a Smartsheet é a controladora de dados pessoais coletados pela Smartsheet.  Em conformidade com a RGPD e nossa obrigação como controladora de dados, firmamos contratos interempresariais apropriados, que incluem as SCCs, para a transferência de dados entre organizações feita dentro da lei.

Como processadora. Após a decisão Schrems II, a Smartsheet atualizou seu DPA e incorporou as SCCs como mecanismo de transferência de acordo com a lei. Como mencionado acima, recentemente a Smartsheet atualizou seu DPA e incorporou a versão mais recente das SCCs. Se determinar que precisa de um DPA com a Smartsheet, você poderá enviar um formulário concordando com os termos do DPA aqui.  Ao enviar o formulário, uma cópia do DPA será encaminhada pela DocuSign para o assinante autorizado inserido no formulário. Após assinada, a cópia também será enviada para a pessoa que enviou o formulário para registro. 

Onde as Ofertas estão hospedadas? 

Os clientes podem selecionar o local onde o Conteúdo do cliente será hospedado. Confira o Trust Center ou a página Diferenças regionais para mais informações. A Smartsheet continua estudando outras opções de localização para a hospedagem de dados. Envie uma solicitação de melhoria de um produto da Smartsheet sugerindo uma região ou um país que você gostaria de ver como opção no futuro. 

Compartilhamento de dados pessoais: como previsto na lei

Como observado no Aviso de Privacidade, a Smartsheet pode compartilhar dados pessoais como previsto na lei em conformidade com um processo jurídico válido, como intimação ou processo de falência.

Ao receber uma solicitação de acesso ou preservação de dados pessoais, incluindo solicitações de segurança nacional ou outras aplicações da lei, a Smartsheet, até onde a lei permite, contestará essas solicitações e notificará o cliente a quem pertencem os dados. No entanto, em alguns casos, a Smartsheet pode ser judicialmente obrigada a compartilhar esses dados pessoais em conformidade com uma ordem jurídica válida e sem notificar o cliente sobre essas solicitações. Em todo caso, agiremos de acordo com as nossas obrigações de confidencialidade previstas no contrato que rege o uso das Ofertas pelo cliente (por exemplo, em "Divulgações necessárias" no Contrato do usuário). 

 

Compartilhamento de dados pessoais: para serviços terceirizados e fornecedores de infraestrutura 

Como observado no Aviso de Privacidade, a Smartsheet pode compartilhar dados pessoais com nossos fornecedores de serviços e infraestrutura. A Smartsheet só firma parcerias com fornecedores terceirizados que tenham demonstrado o mesmo comprometimento em proteger os dados pessoais dos clientes e que concordam ou vão além das expectativas de privacidade e manuseio de dados por fornecedores. Além disso, no caso de fornecedores que se qualificam como "subprocessadoras" de acordo com a RGPD, a Smartsheet definiu proteções apropriadas e obrigações contratuais para proteger dados pessoais e estar em conformidade com suas obrigações por lei. A lista atual de subprocessadoras da Smartsheet está disponível aqui.

Em todos os casos, se a Smartsheet for compartilhar dados pessoais com um fornecedor terceirizado, faremos isso de acordo com o contrato válido, o que inclui as obrigações apropriadas de proteção de dados e, ao transferir dados para fora do EEE, as SCCs. 

 

Acesso de agências do governo: apenas quando exigido por lei

Às vezes, a Smartsheet recebe de agências do governo ou autoridades jurídicas solicitações de acesso a conteúdos que pertencem aos usuários. Quando recebemos tais solicitações, nosso objetivo é proteger os clientes enquanto mantemos conformidade com as leis relevantes. Notificaremos os clientes afetados, exceto quando formos explicitamente proibidos de fazer isso por lei. Quando possível, pedimos que a agência do governo em questão fale diretamente com o cliente afetado. A Smartsheet não é a controladora do Conteúdo do cliente, e acreditamos que qualquer agência do governo que busque o acesso a tal conteúdo deve enviar a solicitação diretamente ao cliente quando for possível.

Não oferecemos acesso direto nem divulgamos Conteúdo do cliente a agências do governo, exceto quando exigido por lei, e contestamos solicitações que não cumpram a lei. Revisamos cada uma das solicitações do governo e só concordamos se for determinado que a solicitação está de acordo com a lei. Ao analisar as questões jurídicas de uma solicitação do governo, levamos em conta as leis relevantes, incluindo leis de outras jurisdições, quando é o caso. Exigimos que as agências do governo sigam os processos jurídicos obrigatórios conforme as leis relevantes, como a emissão da solicitação via intimação, ordem judicial ou mandato de busca. Quando acreditamos que uma solicitação do governo por Conteúdo do cliente é inválida ou está fora da lei, tentamos questioná-la.

No que diz respeito a agências do governo dos Estados Unidos, as SCCs exigem que a Smartsheet (como importadora de dados) notifique imediatamente a exportadora de dados se houver solicitações jurídicas feitas por uma autoridade da lei para divulgar dados pessoais, exceto em casos em que é proibido. Em sua história, a Smartsheet nunca recebeu um mandato da United States Foreign Intelligence Surveillance Court (FISA) por dados processados pela Smartsheet que estivessem violando suas obrigações com as SCCs. 

Afiliados da Smartsheet

Para facilitar suas operações globais, a Smartsheet Inc. pode transferir dados pessoais por todo o mundo e permitir acesso a tais dados a escritórios afiliados localizados em jurisdições internacionais. Ao compartilhar dados pessoais entre afiliados da Smartsheet, a Smartsheet Inc. cumpre as SCCs para proteger dados pessoais e garantir que obrigações apropriadas de proteção de dados sejam seguidas entre os afiliados da Smartsheet. Saiba mais sobre os afiliados da Smartsheet aqui.

Outras informações e recursos

Comece hoje mesmo.

Entre em contato com nossos representantes para saber mais.

Fale conosco