AVALIAÇÃO DE IMPACTO
DA TRANSFERÊNCIA DE DADOS
Revisado em 01 de agosto de 2025
Visão Geral
Este documento fornece informações para ajudar os clientes da iSpring a realizar avaliações de impacto da transferência de dados em relação ao uso Produtos e Serviços da iSpring, coletivamente denominados como “Produtos”, à luz da Decisão “Schrems II” do Tribunal de Justiça da União Europeia e as recomendações do Conselho Europeu de Proteção de Dados.
Em particular, este documento descreve os regimes legais aplicáveis à iSpring nos EUA, as salvaguardas que a iSpring implementa em relação às transferências de dados pessoais de clientes do Espaço Econômico Europeu, Reino Unido e Suíça ("Europa") e a capacidade da iSpring de cumprir suas obrigações como "importador de dados" de acordo com as Cláusulas Contratuais Padrão ("SCCs").
Passo 1: Conheça sua transferência
Onde a iSpring processa dados pessoais regidos pelas Leis Europeias de proteção de dados como processador de dados (em nome de nossos clientes), a iSpring cumpre suas obrigações sob seu Contrato de Processamento de Dados (doravante CPD).
O CPD da iSpring incorpora os SCCs e fornece as seguintes informações:
- descrição do processamento de dados pessoais do cliente pela iSpring; e
- descrição das medidas de segurança da iSpring;
Por favor, consulte o CPD para obter informações sobre a natureza das atividades de processamento da iSpring relacionadas ao fornecimento dos Produtos, os tipos de dados pessoais de clientes que processamos e transferimos e as categorias de titulares de dados. Podemos transferir dados pessoais do cliente onde quer que nós ou nossos prestadores de serviços terceirizados operemos com a finalidade de fornecer os Produtos aos Clientes. Os locais dependerão dos produtos da iSpring específicos que os Clientes usam, conforme descrito no gráfico abaixo.
| Produto da iSpring | Em quais países a iSpring armazena dados pessoais do cliente? | Em quais países a iSpring processa (por exemplo, acessa, transfere ou processa) os dados pessoais do cliente? |
| iSpring LMS | Irlanda (Dublin), Alemanha (Frankfurt), França (Paris) | EUA |
| iSpring Suite Max (inclusive o iSpring Cloud) | Irlanda (Dublin), Alemanha (Frankfurt), França (Paris) | EUA |
| iSpring Cloud | Irlanda (Dublin), Alemanha (Frankfurt), França (Paris) | EUA |
| iSpring Presenter | Irlanda (Dublin), Alemanha (Frankfurt), França (Paris) | EUA |
| Quiz Maker gratuito | Irlanda (Dublin), Alemanha (Frankfurt), França (Paris) | EUA |
| iSpring Presenter Pro | Irlanda (Dublin), Alemanha (Frankfurt), França (Paris) | EUA |
| iSpring Quiz Maker | Irlanda (Dublin), Alemanha (Frankfurt), França (Paris) | EUA |
| iSpring Cam Pro | Irlanda (Dublin), Alemanha (Frankfurt), França (Paris) | EUA |
| iSpring Free | Irlanda (Dublin), Alemanha (Frankfurt), França (Paris) | EUA |
Passo 2: Identificação da ferramenta de transferência.
Quando os dados pessoais originários do Espaço Econômico Europeu são transferidos para a iSpring, a iSpring depende das SCCs da Comissão Europeia para fornecer uma proteção adequada para a transferência. Quando os dados pessoais do cliente originários do Espaço Econômico Europeu são transferidos pela iSpring para subprocessadores de terceiros, a iSpring entra em SCCs com essas partes.
Passo 3: Identificação das Leis e Regulamentos Aplicáveis à luz da transferência.
3.1 Leis de Vigilância dos EUA
3.2 FISA 702 e Ordem Executiva 12333
As seguintes leis dos EUA foram identificadas pelo Tribunal de Justiça da União Europeia em Schrems II como sendo potenciais obstáculos para garantir uma proteção essencialmente equivalente para dados pessoais nos EUA:
- FISA Seção 702 (“FISA 702”) – permite que as autoridades do governo dos EUA obriguem a divulgação de informações sobre pessoas não americanas localizadas fora dos EUA para fins de coleta de informações de inteligência estrangeira. Essa coleta de informações deve ser aprovada pelo Tribunal de Vigilância de Inteligência Estrangeira em Washington, DC. Os provedores no escopo sujeitos ao FISA 702 são provedores de serviços de comunicação eletrônica ("ECSP") dentro do significado de 50 U.S.C §1881(b)(4), que pode incluir provedores de serviços de computação remota ("RCSP"), conforme definido em 18 U.S.C. § 2510 e 18 U.S.C. § 2711.
- Ordem Executiva 12333 ("EO 12333") – autoriza agências de inteligência (como a Agência de Segurança Nacional dos EUA) a realizar vigilância fora dos EUA. Em particular, fornece autoridade para as agências de inteligência dos EUA coletarem informações estrangeiras de "inteligência de sinais", sendo informações coletadas de comunicações e outros dados transmitidos ou acessíveis por rádio, fio e outros meios eletromagnéticos. Isso pode incluir o acesso a cabos submarinos que transportam dados da Internet em trânsito para os EUA. A EO 12333 não depende da assistência obrigatória de provedores de serviços, mas parece contar com a exploração de vulnerabilidades na infraestrutura de telecomunicações.
Para detalhes de implementação, por favor consulte as Proteções de privacidade dos EUA relevantes para SCCs e outras bases jurídicas da UE para transferências de dados UE-EUA após Schrems II ( https://www.commerce.gov/sites/default/files/2020-09/SCCsWhitePaperFORMATTEDFINAL508COMPLIANT.PDF)1
3.3 Decreto Cloud dos EUA
O Decreto Esclarecendo o Uso Legal de Dados no Exterior (CLOUD) alterou a Lei de Privacidade das Comunicações Eletrônicas (ECPA), que é o estatuto dos EUA que rege como agências de aplicação da lei podem obter informações mantidas por determinadas empresas de tecnologia, incluindo provedores de serviços em nuvem.
O Decreto CLOUD tem duas partes. A primeira parte esclarece que as ordens emitidas sob a estrutura estatutária existente na ECPA podem chegar aos dados independentemente de onde esses dados estejam armazenados. A segunda parte cria uma nova estrutura para acordos de governo a governo para reger solicitações de aplicação da lei transfronteiriça2.
A FISA 702, EO 12333 aplica-se à iSpring?
A iSpring, como a maioria das empresas de SaaS, pode tecnicamente estar sujeita à FISA 702. No entanto, a iSpring não processa dados pessoais que possam ser de interesse das agências de inteligência dos EUA.
Passo 4: Identificação das medidas técnicas, contratuais e organizacionais aplicadas para proteger os dados transferidos.
4.1 Medidas técnicas: A iSpring é obrigada a adotar medidas técnicas e organizacionais apropriadas para proteger os dados pessoais (nos termos do Contrato de Processamento de Dados e dos SCCs que celebramos com clientes, prestadores de serviços). Para medidas técnicas, consulte em anexo os Serviços da Web da iSpring: Visão geral dos processos de segurança.
1Em relação ao FISA 702, a documentação técnica observa: Para a maioria das empresas, as preocupações sobre o acesso de segurança nacional aos dados da empresa destacadas pelo Schrems II são "improváveis de surgir porque os dados que eles manipulam não são de interesse para a comunidade de inteligência dos EUA.” As empresas que lidam com “informações comerciais comuns, como registros de funcionários, clientes ou vendas, não teriam base para acreditar que as agências de inteligência dos EUA tentariam coletar esses dados.” Há reparação individual, inclusive para cidadãos da UE, por violações da seção 702 da FISA por meio de medidas não abordadas pelo tribunal na decisão Schrems II, incluindo disposições da FISA que permitem ações privadas por danos compensatórios e punitivos. Em relação à Ordem Executiva 12333, a publicação técnica observa: a EO 12333 por si só não “autoriza o governo dos EUA a exigir que qualquer empresa ou pessoa divulgue dados.” Em vez disso, a EO 12333 deve se basear em uma lei, como a FISA 702 para coletar dados. A coleta de dados em massa, o tipo de coleta de dados em questão no Schrems II, é expressamente proibida pela EO 12333.
2 A publicação técnica observa: o Decreto CLOUD só permite o acesso do governo dos EUA a dados em investigações criminais após a obtenção de um mandado aprovado por um tribunal independente com base na causa provável de um ato criminoso específico. O Decreto CLOUD não permite o acesso do governo dos EUA em investigações de segurança nacional e não permite vigilância em massa.
4.2 Medidores contratuais
As medidas contratuais são incorporadas ao CPD da iSpring. Principais requisitos:
- Medidas técnicas: A iSpring é contratualmente obrigada a adotar medidas técnicas e organizacionais adequadas para proteger os dados pessoais (tanto no âmbito do Contrato de Processamento de Dados quanto nos SCCs que celebramos com clientes, prestadores de serviços e fornecedores)
- Transparência: A iSpring é obrigada de acordo com as SCCs a notificar seus clientes no caso de ser submetida a uma solicitação de acesso governamental a dados pessoais de clientes de uma autoridade governamental. Caso a iSpring seja legalmente proibida de fazer tal divulgação, a iSpring é contratualmente obrigada a contestar tal proibição e buscar uma renúncia.
- Ações para contestar o acesso: De acordo com as SCCs, a iSpring é obrigada a revisar a legalidade das solicitações de acesso de autoridades governamentais e contestar tais solicitações quando consideradas ilegais.
4.3 Medidores organizacionais
- Transferências posteriores: Sempre que compartilharmos seus dados com partes afiliadas da iSpring, permaneceremos responsáveis perante você pela forma como eles são usados. Exigimos que todos os nossos fornecedores e vendedores passem por um completo processo de auditoria.
- Privacidade por design: a Política de Privacidade da iSpring descreve a abordagem da iSpring à privacidade.
- Ao processar os dados, contamos com a ajuda dos subprocessadores. Uma lista de todos os nossos subprocessadores de dados está disponível abaixo:
| Nome | Descrição do processamento (incluindo uma delimitação clara de responsabilidades caso vários subprocessadores sejam autorizados): | Endereço |
| 1. SendGrid, Inc. | Serviços de e-mail | 889 Winslow St, Redwood City, CA 94063, EUA |
| 2. Amazon Web Services, Inc. | Data Center | 410 Terry Avenue North, Seattle, WA 98109-5210 |
| 3. Ringcentral, Inc | serviços de comunicação |
20 Davis Dr, Belmont, CA 94002, EUA |
| 4. First Colo GmBH | Data Center | Kruppstraße 105, 60388 Frankfurt am Main, Alemanha |
| 5. Avoxi, Inc. | serviços de comunicação | 1000 Circle 75 Parkway, Suite 500, Atlanta GA 30339, EUA |
| 6. Telephonic Solutions OU | serviços de comunicação | Harju maakond, Tallinn, Kesklinna linnaosa, Narva mnt 5, 10117, Estônia |
| 7. Liquid Web, LLC | Data Center | 2703 Ena Dr. Lansing, MI 48917, EUA |
| 8. Leaseweb USA, Inc. | Data Center | 9301 Innovation Drive / Suite 100 Manassas, VA 20110 |
| 9. ActiveCampaign LLC | Serviços de e-mail | 1 N Dearborn St, 5th Floor, Chicago, IL 60602, EUA |
| 10. OpenAI, LLC | Serviços baseados em IA | 3180 18th Street, San Francisco, CA 94110, USA, 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irlanda |
| 11. AssemblyAI, Inc. | Serviços baseados em IA | 12 South Michigan Ave, Chicago, IL 60603, EUA 8 Rue de la Ville-l'Évêque, 75008 Paris, França |
| 12. Scaleway SAS | Data center reserva (UE) | 8 Rue de la Ville-l'Évêque, 75008 Paris, França |
| 13. DigitalOcean, LLC | Data center reserva (EUA) | 101 Avenue of the Americas, New York, NY 10013, EUA |
| 14. Amazon Web Services EMEA SARL | Centro de Dados (Dublin, Ireland; Frankfurt, Germany) | Mr. Treublaan 7, Amsterdam, 1097DP, Netherlands |
4.4 Certificações e Compliance
Na iSpring, a proteção dos dados de clientes e usuários finais é uma prioridade, mantendo a conformidade com as regulamentações globais de proteção de dados e adotando os mais altos padrões da indústria. Nossa abordagem de segurança inclui a adesão a certificações internacionalmente reconhecidas, políticas abrangentes e medidas técnicas robustas.
Certificações e Estruturas de Compliance
- Certificação ISO 27001: A iSpring atende a ISO 27001, um padrão reconhecido em todo o mundo para a gestão de segurança da informação. Essa certificação comprova nossa capacidade de proteger ativos de informação e demonstra nosso compromisso com a manutenção da confidencialidade, integridade e disponibilidade dos dados dos clientes.
- Certificação ISO 27701: Como uma extensão da ISO 27001, essa certificação estabelece nossa conformidade com os requisitos do Sistema de Gestão da Informação de Privacidade (PIMS), reduzindo riscos aos direitos de privacidade dos indivíduos e garantindo controles de privacidade eficazes.
- Regulamento Geral de Proteção de Dados (GDPR): A iSpring garante conformidade com o GDPR, adotando princípios de tratamento lícito, minimização de dados e proteção adequada a todos os dados pessoais originados do Espaço Econômico Europeu (EEE), da União Europeia (UE), da Suíça e do Reino Unido. Nosso Contrato de Tratamento de Dados (CTD) e as Cláusulas Contratuais Padrão (CCPs)abordam todos os requisitos previstos nos Artigos 28(3) e 29(3) da GDPR.
4.5 Práticas de Segurança de Dados
- Infraestrutura segura: A iSpring utiliza conexões HTTPS, firewalls e monitoramento em tempo real para garantir a integridade e a disponibilidade dos dados. Nossos sistemas contam com múltiplos provedores de hospedagem para assegurar a redundância e o redirecionamento de tráfego em situações de emergência.
- Backup e Recuperação de Dados: A iSpring adota tecnologias avançadas de backup para evitar a perda de dados e minimizar interrupções nos serviços causadas por falhas de hardware.
- Monitoramento 24h: Realizamos o monitoramento contínuo do desempenho, inclusive carga de CPU, uso de memória RAM e o espaço em disco, o que garante que nossos serviços se mantenham eficientes e seguros.
- Testes de Penetração: Avaliações regulares de segurança, realizadas internamente e por terceiros, identificam vulnerabilidades e fortalecem nossa postura de segurança.
4.6 Controle de Acesso de Funcionários
A iSpring restringe o acesso administrativo a funcionários, contratados e agentes que comprovadamente necessitam dele para exercer suas funções. Verificações de antecedentes e revisões periódicas são realizadas para assegurar que apenas profissionais confiáveis tenham acesso aos dados dos clientes.
4.7 Transparência e Atendimento ao Cliente
Nossos clientes podem contar com total transparência em relação às atividades de tratamento de dados. Documentações detalhadas e certificações estão disponíveis mediante solicitação. Para mais informações ou assistência técnica, entre em contato com suporte técnico ou nossa equipe de privacidade em privacy@ispring.com.
Passo 5: Etapas processuais necessárias para implementar medidas suplementares eficazes.
Levando em consideração as medidas técnicas, contratuais e organizacionais que a iSpring implementou para proteger os dados pessoais dos clientes, a iSpring considera que os riscos envolvidos na transferência e processamento de dados pessoais europeus nos/para os EUA não afetam nossa capacidade de cumprir nossas obrigações sob o SCCs (como "importador de dados") ou para garantir que os direitos dos indivíduos permaneçam protegidos.
Passo 6: Reavaliar a intervalos apropriados.
A iSpring revisará e, se necessário, reconsiderará os riscos envolvidos e as medidas que implementou para lidar com mudanças nas regulamentações de privacidade de dados e ambientes de risco associados à transferências de dados pessoais para fora do Espaço Econômico Europeu, Reino Unido e Suíça ("Europa").