Este Adendo sobre o Tratamento de Dados (“DPA”) complementa o Contrato Principal de Assinatura ou quaisquer contratos (o “Contrato”) celebrados entre a Entidade da Chainalysis Entidade no Contrato e o Cliente identificado no Contrato. Referidos individualmente como “Parte” e, em conjunto, como “Partes”.
Este Acordo de Tratamento de Dados (DPA) estabelece os termos e condições sob os quais a Chainalysis trata Dados Pessoais em nome do Cliente no âmbito dos Serviços. O tratamento limita-se a dados publicamente disponíveis, agregados ou pseudonimizados, bem como aos metadados técnicos mínimos necessários para o funcionamento e a segurança dos Serviços.
As Partes reconhecem e concordam que, para os fins das leis de proteção de dados aplicáveis, o Cliente atua como Controlador e a Chainalysis atua como Processador.
Este Acordo de Tratamento de Dados (DPA) garante que tal tratamento seja realizado em conformidade com o Artigo 28.º do Regulamento Geral sobre a Proteção de Dados (“RGPD”) e com as disposições correspondentes do RGPD do Reino Unido e de outras leis de proteção de dados aplicáveis.
Os termos em maiúsculas não definidos neste documento têm o mesmo significado que no Contrato.
A Chainalysis tratará os Dados Pessoais exclusivamente de acordo com as instruções documentadas do Cliente, a menos que o tratamento seja exigido pela legislação a que a Chainalysis está sujeita; nesses casos, a Chainalysis informará o Cliente sobre essa exigência legal antes do tratamento, a menos que tal seja proibido por lei.
A Chainalysis deve garantir que todas as pessoas autorizadas a tratar dados pessoais tenham assumido um compromisso de confidencialidade ou estejam sujeitas a uma obrigação legal de confidencialidade adequada.
A Chainalysis deverá implementar e manter medidas técnicas e organizacionais adequadas (“TOMs”) destinadas a proteger os Dados Pessoais contra destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito.
A Chainalysis prestará assistência ao Cliente, na medida do razoavelmente possível, para garantir compliance obrigações do Cliente relacionadas à segurança do tratamento, notificações de violação de dados, avaliações de impacto sobre a proteção de dados e consultas às autoridades de supervisão.
Após o término dos Serviços, a Chainalysis deverá excluir ou tornar anônimos todos os Dados Pessoais e certificar tal exclusão por escrito, a menos que a retenção seja exigida por lei.
A Chainalysis mantém um programa abrangente de segurança da informação que inclui medidas de proteção administrativas, técnicas e organizacionais adequadas ao risco associado ao tratamento de dados. Tais medidas incluem, entre outras:
As práticas de segurança atuais podem ser consultadas em nossa Central de Confiança. A Chainalysis analisa e atualiza periodicamente suas TOMs para garantir sua eficácia e adequação, desde que tais atualizações não prejudiquem significativamente a segurança geral dos Serviços da Chainalysis.
O Cliente autoriza a Chainalysis a contratar subcontratados para auxiliar na prestação dos Serviços, incluindo prestadores de serviços de infraestrutura em nuvem, hospedagem de dados ou análise de dados.
A Chainalysis deverá celebrar um contrato por escrito com cada subcontratado, impondo-lhe obrigações equivalentes às previstas neste Acordo de Tratamento de Dados (DPA), e permanecerá inteiramente responsável perante o Cliente pelo cumprimento das obrigações do subcontratado.
Uma lista atualizada dos subprocessadores autorizados está disponível aqui. A Chainalysis deverá notificar com antecedência razoável quaisquer alterações significativas relativas aos subprocessadores e permitir que o Cliente se oponha a elas com base em motivos razoáveis de privacidade.
Caso o tratamento de dados pessoais envolva uma transferência para fora do Espaço Econômico Europeu (“EEE”), do Reino Unido (“RU”) ou da Suíça, para um país que não seja considerado como oferecendo um nível adequado de proteção nos termos das leis de proteção de dados aplicáveis, as Partes reconhecem e concordam que tais transferências deverão ser realizadas de acordo com um mecanismo de transferência legal.
A Chainalysis Inc. participa e cumpre o Data Privacy Framework (“DPF”), a Extensão do Reino Unido ao DPF e o Swiss–U.S. Data Privacy Framework, conforme administrado pelo Departamento de Comércio dos Estados Unidos, para a transferência de Dados Pessoais do EEE, do Reino Unido e da Suíça para os Estados Unidos. A Chainalysis mantém sua certificação sob essas estruturas e se compromete a aderir aos Princípios do DPF para todos os Dados Pessoais recebidos dessas jurisdições com base no DPF. A Chainalysis manterá sua certificação durante a vigência deste DPA e notificará imediatamente o Cliente caso sua certificação venha a expirar ou seja revogada.
Caso o DPF não se aplique ou seja considerado insuficiente para abranger uma determinada transferência ou categoria de Dados Pessoais, as Partes deverão recorrer às Cláusulas Contratuais Padrão da UE (SCCs), juntamente com o Adendo sobre Transferência Internacional de Dados do Reino Unido e/ou as Modificações às SCCs da Suíça, conforme aplicável.
Na medida do razoavelmente possível, e levando em consideração a natureza do Tratamento, a Chainalysis prestará assistência ao Cliente no cumprimento de sua obrigação de responder às solicitações dos Titulares de Dados nos termos do Capítulo 3 do RGPD (incluindo os direitos de acesso, retificação, apagamento, limitação, portabilidade e oposição).
Após a rescisão ou o término do Contrato, a Chainalysis deverá excluir ou tornar anônimos todos os Dados Pessoais do Cliente, a menos que a retenção seja exigida pela legislação aplicável ou de acordo com suas políticas padrão de backup ou retenção de registros. Caso a exclusão seja impossível ou impraticável, a Chainalysis deverá continuar a proteger os dados de acordo com este DPA e limitar o processamento posterior à medida do necessário para cumprir as obrigações de retenção.
A Chainalysis mantém certificações de terceiros e Relatórios de auditoria Relatórios SOC 2, SOC 3 ou equivalentes), que estão listados no Centro de Confiança. Mediante solicitação por escrito, a Chainalysis disponibilizará ao Cliente uma cópia resumida dos Relatórios certificações relevantes, para que os clientes possam verificar compliance as normas de auditoria e compliance este DPA.
Caso tal documentação não comprove de forma razoável compliance, o Cliente poderá solicitar informações adicionais. O Cliente arcará com quaisquer custos razoáveis associados ao seu pedido de informações adicionais ou auditorias.
A Chainalysis deverá notificar o Cliente sem demora injustificada após tomar conhecimento de uma violação de dados pessoais que afete os dados pessoais do Cliente. A notificação deverá incluir as informações que a Chainalysis for razoavelmente capaz de fornecer naquele momento, incluindo a natureza da violação e as medidas tomadas ou propostas para resolver a situação.
A Chainalysis deverá cooperar de forma razoável com o Cliente e fornecer as informações adicionais que este venha a solicitar para cumprir suas obrigações legais nos termos das Leis de Proteção de Dados aplicáveis em relação à Violação de Dados Pessoais. Tal cooperação limitar-se-á às informações e ações sob o controle da Chainalysis e não exigirá que a Chainalysis (a) divulgue quaisquer informações confidenciais, proprietárias ou sensíveis em termos de segurança, (b) tome qualquer medida que comprometa a segurança ou a integridade de seus sistemas ou dos de seus outros clientes, ou (c) incorra em custos ou esforços além do que for razoavelmente necessário para cumprir suas próprias obrigações legais.
A responsabilidade de cada Parte nos termos deste DPA estará sujeita às limitações e exclusões de responsabilidade estabelecidas no Contrato e será limitada de acordo com as mesmas.
A responsabilidade total e acumulada de cada Parte e de suas Afiliadas decorrente deste DPA (incluindo todos os adendos de tratamento de dados celebrados entre qualquer uma das Partes e qualquer uma de suas Afiliadas), seja por contrato, ato ilícito (incluindo negligência) ou com base em qualquer outra teoria de responsabilidade, não excederá os limites de responsabilidade aplicáveis a essa Parte nos termos do Contrato.
Para evitar dúvidas, qualquer referência à responsabilidade de uma Parte na seção “Limitação de Responsabilidade” do Contrato deve ser entendida como incluindo a responsabilidade total dessa Parte e de todas as suas Afiliadas, tanto nos termos do Contrato quanto de todos os DPAs associados. As referências a “este DPA” devem incluir seus Anexos e quaisquer termos incorporados.
Este Acordo de Tratamento de Dados (DPA) será regido e interpretado de acordo com as leis aplicáveis ao Contrato. Qualquer litígio decorrente ou relacionado a este DPA estará sujeito à jurisdição exclusiva nele prevista.