AVALIAÇÃO DO IMPACTO
DA TRANSFERÊNCIA DE DADOS
Visão geral
Este documento fornece informações para ajudar os clientes da iSpring a realizar avaliações de impacto de transferência de dados em conexão com o uso de Produtos e Serviços iSpring (coletivamente “Produtos”), à luz da decisão “Schrems II” do Tribunal de Justiça da União Europeia e das recomendações do Conselho Europeu de Proteção de Dados.
Em particular, este documento descreve os regimes legais aplicáveis à iSpring nos EUA, as salvaguardas que a iSpring implementa em relação às transferências de dados pessoais de clientes do Espaço Econômico Europeu, Reino Unido e Suíça (“Europa”) e a capacidade da iSpring de cumprir com suas obrigações como “importador de dados” no âmbito das Cláusulas Contratuais Padrão (“SCCs”).
Passo 1: Conheça sua transferência
Onde a iSpring processa dados pessoais regidos pelas Leis Europeias de proteção de dados como processador de dados (em nome de nossos clientes), a iSpring cumpre com suas obrigações no âmbito de seu Contrato de Processamento de Dados (doravante CPD).
O CPD da iSpring incorpora as SCCs e fornece as seguintes informações:
- descrição do processamento de dados pessoais do cliente pela iSpring; e
- descrição das medidas de segurança da iSpring;
Consulte o CPD para obter informações sobre a natureza das atividades de processamento da iSpring relacionadas ao fornecimento dos Produtos, os tipos de dados pessoais de clientes que processamos e transferimos e as categorias de titulares de dados. Podemos transferir dados pessoais do cliente onde quer que nós ou nossos prestadores de serviços terceirizados operemos com a finalidade de fornecer os Produtos aos Clientes. As localizações dependerão dos Produtos iSpring específicos que os Clientes usam, conforme descrito no gráfico abaixo.
| Produto iSpring | Em quais países a iSpring armazena dados pessoais do cliente? | Em quais países a iSpring processa (por exemplo, acessa, transfere ou processa) os dados pessoais do cliente? |
| Aprendizado da iSpring | Irlanda (Dublin), Alemanha (Frankfurt) | EUA |
| iSpring Suite Max | Irlanda (Dublin), Alemanha (Frankfurt) | EUA |
| iSpring Market | Irlanda (Dublin), Alemanha (Frankfurt) | EUA |
| iSpring Presenter | Irlanda (Dublin), Alemanha (Frankfurt) | EUA |
| Quiz Maker gratuito | Irlanda (Dublin), Alemanha (Frankfurt) | EUA |
| iSpring Presenter Pro | Irlanda (Dublin), Alemanha (Frankfurt) | EUA |
| iSpring Quiz Maker | Irlanda (Dublin), Alemanha (Frankfurt) | EUA |
| iSpring Cam Pro | Irlanda (Dublin), Alemanha (Frankfurt) | EUA |
| iSpring Free | Irlanda (Dublin), Alemanha (Frankfurt) | EUA |
Passo 2: Identificação da ferramenta de transferência.
3.1 Leis de Vigilância dos EUA
3.2 FISA 702 e Ordem Executiva 12333
As seguintes leis dos EUA foram identificadas pelo Tribunal de Justiça da União Europeia no Schrems II como sendo potenciais obstáculos para garantir uma proteção essencialmente equivalente para dados pessoais nos EUA:
- Seção 702 da FISA (“FISA 702”) – permite que as autoridades governamentais dos EUA obriguem a divulgação de informações sobre pessoas não americanas localizadas fora dos EUA para fins de coleta de informações de inteligência estrangeira. Essa coleta de informações deve ser aprovada pelo Tribunal de Vigilância de Inteligência Estrangeira em Washington, DC. Os provedores no escopo sujeitos ao FISA 702 são prestadores de serviços de comunicação eletrônica (“ECSP”) dentro do significado da 50 U.S.C §1881(b)(4), que pode incluir prestadores de serviços de computação remota (“RCSP”), conforme definido na 18 U.S.C. § 2510 e 18 U.S.C. § 2711.
- Ordem Executiva 12333 (“EO 12333”) – autoriza agências de inteligência (como a Agência de Segurança Nacional dos EUA) a realizar vigilância fora dos EUA. Em particular, concede autoridade aos órgãos de inteligência dos EUA para coletar informações de “inteligência de sinais” de outros países, sendo informações coletadas de comunicações e outros dados transmitidos ou acessíveis por rádio, fio e outros meios eletromagnéticos. Isso pode incluir o acesso a cabos submarinos que transportam dados da Internet em trânsito para os EUA. A EO 12333 não depende da assistência obrigatória de prestadores de serviços, mas parece contar com a exploração de vulnerabilidades na infraestrutura de telecomunicações.
Para obter detalhes sobre a implementação, consulte as salvaguardas de privacidade dos EUA relevantes para SCCs e outras bases jurídicas da UE para transferências de dados UE-EUA após Schrems II ( https://www.commerce.gov/sites/default/files/2020-09/SCCsWhitePaperFORMATTEDFINAL508COMPLIANT.PDF)1
3.3 Lei Cloud dos EUA
A Clarifying Lawful Overseas Use of Data (CLOUD) Act (em tradução livre, “Lei para Esclarecer o Uso Legal de Dados no Exterior”) alterou o Electronic Communications Privacy Act (ECPA, em tradução livre “Lei de Privacidade de Comunicações Eletrônicas”), que é o estatuto dos EUA que rege como os órgãos de aplicação da lei podem obter informações mantidas por determinadas empresas de tecnologia, incluindo provedores de serviços de nuvem.
A lei CLOUD tem duas partes. A primeira parte esclarece que as ordens emitidas no âmbito da estrutura estatutária existente na ECPA podem chegar aos dados independentemente de onde esses dados estejam armazenados. A segunda parte cria uma nova estrutura para acordos entre governos para reger solicitações de aplicação da lei transfronteiriça2.
A FISA 702, EO 12333 se aplicam à iSpring?
A iSpring, como a maioria das empresas de SaaS, pode tecnicamente estar sujeita à FISA 702. No entanto, a iSpring não processa dados pessoais que possam ser de interesse os órgãos de inteligência dos EUA.
Passo 4: Identificação das medidas técnicas, contratuais e organizacionais aplicadas para proteger os dados transferidos.
4.1 Medidores técnicos A iSpring é obrigada a adotar medidas técnicas e organizacionais adequadas para proteger os dados pessoais (tanto no âmbito do Contrato de Processamento de Dados quanto nas SCCs que celebramos com clientes, prestadores de serviços). Para medidores técnicos, consulte o anexo que contém os iSpring Web Services: Visão geral dos processos de segurança.
4.2 Medidores contratuais
As medidas contratuais são incorporadas ao CPD da iSpring. Principais requisitos:
- Medidas técnicas: a iSpring é contratualmente obrigada a adotar medidas técnicas e organizacionais adequadas para proteger os dados pessoais (tanto no âmbito do Contrato de Processamento de Dados quanto nas SCCs que celebramos com clientes, prestadores de serviços e fornecedores).
- Transparência: de acordo com as SCCs, a iSpring é obrigada a notificar seus clientes caso seja submetida a uma solicitação de acesso governamental a dados pessoais de clientes de uma autoridade governamental. Caso a iSpring seja legalmente proibida de fazer tal divulgação, a iSpring é contratualmente obrigada a contestar tal proibição e buscar uma isenção.
- Ações para contestar o acesso: de acordo com as SCCs, a iSpring é obrigada a analisar a legalidade das solicitações de acesso de autoridades governamentais e contestar essas solicitações quando consideradas ilegais.
4.3 Medidores organizacionais
- Transferências seguintes: Sempre que compartilhamos seus dados com partes afiliadas da iSpring, permanecemos responsáveis perante você quanto à forma como eles são usados. Exigimos que todos os nossos fornecedores e vendedores passem por um processo completo de due diligence.
- Privacidade por design: A Política de Privacidade da iSpring descreve a abordagem da iSpring à privacidade.
- Ao processar os dados, usamos a ajuda dos subprocessadores. Uma lista de todos os nossos subprocessadores de dados está disponível abaixo:
| Nome | Descrição do processamento (incluindo uma delimitação clara de responsabilidades caso vários subprocessadores sejam autorizados): | Endereço |
| 1. SendGrid, Inc. | serviços de e-mail | 889 Winslow St, Redwood City, CA 94063, EUA |
| 2. Amazon Web Services, Inc. | Data Center | 410 Terry Avenue North, Seattle, WA 98109-5210 |
| 3. Ringcentral, Inc | serviços de comunicação |
20 Davis Dr, Belmont, CA 94002, EUA |
| 4. First Colo GmBH | Data Center | Kruppstraße 105, 60388 Frankfurt am Main, Alemanha |
| 5. Avoxi, Inc. | serviços de comunicação | 1000 Circle 75 Parkway, Suite 500, Atlanta GA 30339, EUA |
| 6. Telephonic Solutions OU | serviços de comunicação | Harju maakond, Tallinn, Kesklinna linnaosa, Narva mnt 5, 10117, Estônia |
| 7. Liquid Web, LLC | Data Center | 2703 Ena Dr. Lansing, MI 48917, EUA |
| 8. Leaseweb USA, Inc. | Data Center | 9301 Innovation Drive / Suite 100 Manassas, VA 20110 |
Passo 5: Etapas processuais necessárias para implementar medidas complementares eficazes.
Levando em consideração as medidas técnicas, contratuais e organizacionais que a iSpring implementou para proteger os dados pessoais dos clientes, a iSpring considera que os riscos envolvidos na transferência e processamento de dados pessoais europeus nos/para os EUA não afetam nossa capacidade de cumprir com nossas obrigações no âmbito das SCCs (como “importador de dados”) ou para garantir que os direitos dos indivíduos permaneçam protegidos.
Passo 6: Reavaliar a intervalos apropriados.
A iSpring revisará e, se necessário, reconsiderará os riscos envolvidos e as medidas que implementou para lidar com mudanças nos regulamentos de privacidade de dados e ambientes de risco associados a transferências de dados pessoais para fora do Espaço Econômico Europeu, Reino Unido e Suíça (“Europa”).
1 Em relação ao FISA 702, o white paper observa: para a maioria das empresas, as preocupações sobre o acesso de segurança nacional aos dados da empresa destacadas pelo Schrems II são “improváveis de surgir porque os dados que eles manipulam não são de interesse para a comunidade de inteligência dos EUA”. As empresas que lidam com “informações comerciais comuns, como registros de funcionários, clientes ou vendas, não teriam base para acreditar que as agências de inteligência dos EUA procurariam coletar esses dados”. Há reparação individual, inclusive para cidadãos da UE, por violações da seção 702 da FISA por meio de medidas não abordadas pelo tribunal na decisão Schrems II, incluindo disposições da FISA que permitem ações privadas por danos compensatórios e punitivos. Em relação à Ordem Executiva 12333, o whitepaper observa: a EO 12333 por si só não “autoriza o governo dos EUA a exigir que qualquer empresa ou pessoa divulgue dados”. Em vez disso, a EO 12333 deve se basear em uma lei, como a FISA 702, para coletar dados. A coleta de dados em massa, o tipo de coleta de dados em questão no Schrems II, é expressamente proibida pela EO 12333.
2 O whitepaper observa: A Lei CLOUD só permite o acesso do governo dos EUA a dados em investigações criminais após a obtenção de um mandado aprovado por um tribunal independente com base na causa provável de um ato criminoso específico. A Lei CLOUD não permite o acesso do governo dos EUA a investigações de segurança nacional, bem como não permite a vigilância em massa.