Este Adendo de Processamento de Dados é efetivo a partir de 19 de setembro de 2025
Este Adendo de Processamento de Dados e seus Anexos (o “Adendo” ou “DPA”) refletem o acordo das partes com relação ao Processamento de Dados Pessoais pela Gather Presence, Inc. (“Gather”, também “nós” ou “nos”) em nome do Cliente (também “você”) em conexão com o site Termos de Serviço, Política de Privacidade da Gather, Política de Privacidade da Grapevine, Termos de Serviço da Grapevine, ou outro acordo escrito ou eletrônico entre a Gather e você que regulamenta seu uso dos Serviços Gather (coletivamente, o “Acordo”).
Precisa de uma cópia assinada? Envie um e-mail para support@gather.town
1. Definições
“Afiliada” significa qualquer entidade que controla direta ou indiretamente, é controlada por, ou está sob controle comum com a entidade em questão. “Controle,” para fins desta definição, significa propriedade ou controle direto ou indireto de mais de 50% dos direitos de voto da entidade em questão.
“Serviços Gather” significa os serviços escolhidos pelo Cliente conforme especificado no Acordo.
“CCPA” significa a Lei de Privacidade do Consumidor da Califórnia, Cal. Civ. Code §1798.100 et seq, e seus regulamentos de implementação.
“Controlador” significa a entidade que determina os propósitos e meios do Processamento de Dados Pessoais, incluindo, quando aplicável, qualquer “negócio” conforme definido pelo CCPA.
“Cliente” significa a entidade que celebrou o Acordo juntamente com suas Afiliadas que assinaram Formulários de Pedido.
“Dados do Cliente” significa qualquer coisa definida no Acordo como “Dados do Cliente”, desde que tais dados sejam eletrônicos ou informações submetidas pelo Cliente ou para o Cliente aos Serviços Gather.
“Leis de Proteção de Dados” significa as leis de proteção ou privacidade de dados, regras e regulamentos da União Europeia, do Espaço Econômico Europeu e seus estados membros, Suíça, Reino Unido, e Estados Unidos e seus estados, aplicáveis ao Processamento de Dados Pessoais sob este Adendo.
“Titular dos Dados” significa a pessoa identificada ou identificável a quem os Dados Pessoais se referem.
“GDPR” significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e revogando a Diretiva 95/46/EC (Regulamento Geral de Proteção de Dados).
“Dados Pessoais” significa qualquer informação relativa a uma pessoa natural identificada ou identificável que o Cliente fornece à Gather como parte dos Serviços Gather, onde tal dado é Dados do Cliente.
“Processar” ou “Processamento” significa qualquer operação ou conjunto de operações realizadas pela Gather como parte dos Serviços Gather em Dados Pessoais ou em conjuntos de Dados Pessoais, com ou sem meios automatizados.
“Processador” significa a entidade que Processa Dados Pessoais em nome do Controlador, incluindo, quando aplicável, qualquer “fornecedor de serviços” conforme definido pelo CCPA.
“Incidente de Segurança” significa uma violação confirmada de segurança que levou à destruição, perda, alteração, divulgação não autorizada de, ou acesso a, Dados Pessoais transmitidos, armazenados ou de outra forma Processados por um indivíduo não autorizado.
“Cláusulas Contratuais Padrão” significa o acordo firmado entre o Cliente e a Gather anexado a este Adendo como Anexo 1, de acordo com a Decisão da Comissão Europeia de 4 de junho de 2021 sobre cláusulas contratuais padrão para a transferência de dados pessoais para processadores estabelecidos em países terceiros sob a Decisão de Implementação da Comissão 914/2021/EU.
“Subprocessador” significa um terceiro, incluindo uma entidade sob controle comum com ou controlada pela Gather, nomeada para Processar Dados Pessoais em conexão com o Acordo.
“Autoridade de Supervisão” deverá ter o significado atribuído no GDPR.
Os termos em maiúsculas usados, mas não definidos neste Adendo, terão os significados fornecidos no Acordo.
2. Processamento de Dados Pessoais
2.1. As partes reconhecem e concordam que, com relação ao Processamento de Dados Pessoais, o Cliente é o Controlador e a Gather é o Processador.
2.2. O objeto do Processamento sob este Adendo são os Dados Pessoais. A duração do Processamento sob este Adendo é pelo prazo do Acordo, sujeito ao direito de a Gather reter os Dados Pessoais conforme descrito neste Adendo. O propósito do Processamento de Dados Pessoais sob este Adendo é para que a Gather forneça os Serviços Gather ao Cliente de acordo com o Acordo. A natureza do Processamento é a prestação dos Serviços Gather, conforme descrito mais especificamente no Acordo. O tipo de Dados Pessoais são os dados coletados e processados pelo Cliente, a seu exclusivo critério, através do uso dos Serviços Gather pelo Cliente. Os titulares dos dados são os usuários finais do Cliente que acessam e usam o(s) aplicativo(s) móvel(is), site(s), plataforma, IoT ou outro(s) aplicativo(s) do Cliente.
2.3. A Gather somente Processará Dados Pessoais de acordo com as disposições deste Adendo, as instruções do Cliente e as Leis de Proteção de Dados aplicáveis à prestação de Serviços Gather por parte da Gather. O Cliente deverá garantir que quaisquer instruções fornecidas pelo Cliente à Gather com relação ao Processamento de Dados Pessoais cumpram todas as Leis de Proteção de Dados aplicáveis, incluindo (se aplicável) o CCPA. O Cliente concorda ainda que qualquer instrução fornecida à Gather com respeito ao Processamento de Dados Pessoais não fará com que a Gather viole qualquer Lei de Proteção de Dados aplicável, incluindo (se aplicável) o CCPA.
2.4. O Cliente, ao usar os Serviços Gather, deve Processar Dados Pessoais de acordo com os requisitos das Leis de Proteção de Dados e, se aplicável, o CCPA, incluindo, mas não se limitando a, fornecer todos os avisos necessários e obter todos os consentimentos necessários dos Titulares dos Dados relacionados ao uso da Gather como um Processador. As decisões e ações do Cliente concernentes ao Processamento e uso de Dados Pessoais devem cumprir as Leis de Proteção de Dados, o CCPA e os termos do Acordo e deste Adendo. O Cliente terá responsabilidade exclusiva pela precisão, qualidade e legalidade dos Dados Pessoais e pelos meios pelos quais o Cliente adquiriu os Dados Pessoais.
3. Transferências Internacionais de Dados Pessoais
Os Dados Pessoais que a Gather Processa em nome do Cliente serão transferidos, armazenados e Processados nos Estados Unidos. O Cliente consente com a transferência dos Dados Pessoais para os Estados Unidos e consente com o armazenamento e Processamento dos Dados Pessoais nos Estados Unidos pela Gather para que a Gather forneça os Serviços Gather. Se o Cliente estiver transferindo Dados Pessoais da União Europeia, Espaço Econômico Europeu e/ou seus estados membros (“EEA”), Suíça e Reino Unido, a transferência será feita através das Cláusulas Contratuais Padrão anexadas como Anexo 1 a este Adendo. As Cláusulas Contratuais Padrão não se aplicarão a Dados Pessoais que não são transferidos fora da União Europeia, EEA e/ou seus estados membros, Suíça e Reino Unido.
4. Solicitações de Terceiros e Confidencialidade
4.1. A Gather não divulgará Dados Pessoais para qualquer indivíduo ou terceiro, exceto: (i) a pedido do Cliente; (ii) conforme previsto neste Adendo; (iii) conforme necessário para fornecer os Serviços Gather; ou (iv) conforme exigido por lei aplicável ou uma ordem válida e obrigatória de uma agência de aplicação da lei. Exceto se de outra forma exigido por lei, a Gather notificará prontamente o Cliente de qualquer intimação, ordem judicial, administrativa ou arbitral de uma agência executiva ou administrativa ou outra autoridade governamental (“Demanda”) que receba, e que se relacione aos Dados Pessoais. A pedido do Cliente, a Gather fornecerá ao Cliente informações razoáveis em seu poder que possam ser relevantes para a Demanda e qualquer assistência razoavelmente necessária para que o Cliente responda à Demanda em tempo hábil. O Cliente reconhece que a Gather não tem responsabilidade de interagir diretamente com a entidade que faz a Demanda.
4.2. A Gather garantirá que todos os funcionários ou aqueles que têm a autoridade para acessar ou Processar os Dados Pessoais sejam obrigados por obrigações de confidencialidade com relação aos Dados Pessoais. A Gather garantirá que seus funcionários ou aqueles que têm a autoridade para Processar Dados Pessoais não os processem exceto sob as instruções do Cliente. A Gather garantirá que todos os funcionários tenham recebido treinamento sobre as leis relacionadas ao manuseio de Dados Pessoais; e estejam cientes tanto das obrigações da Gather quanto de suas obrigações pessoais sob tais leis e este Adendo.
5. Solicitação do Titular dos Dados
A Gather notificará prontamente o Cliente se a Gather receber uma solicitação de um Titular dos Dados para exercer o direito de acesso do Titular dos Dados, direito de correção ou retificação, direito de objeção ao Processamento, direito de apagamento (‘direito ao esquecimento’), portabilidade de dados, restrição de processamento, ou direito de não estar sujeito a uma decisão individual automatizada, cada uma dessas solicitações sendo uma “Solicitação do Titular dos Dados”. A Gather deve fornecer toda assistência razoável e oportuna ao Cliente, incluindo medidas técnicas e organizacionais apropriadas, na medida do possível, para permitir que o Cliente responda a qualquer solicitação de um Titular dos Dados. No caso de qualquer solicitação de um Titular dos Dados ser feita diretamente à Gather, a Gather deverá informar prontamente o Cliente e fornecer todos os detalhes da solicitação ao Cliente.
6. Segurança
A Gather implementou e manterá medidas técnicas e organizacionais apropriadas, controles internos e rotinas de segurança da informação para assegurar um nível de segurança apropriado ao risco de perda acidental, destruição, alteração, divulgação não autorizada ou acesso, ou à destruição ilícita de Dados Pessoais.
7. Notificação de Incidente de Segurança
No caso de um Incidente de Segurança que impacte os Dados Pessoais do Cliente, a Gather notificará o Cliente dentro de 72 horas a partir do momento em que a Gather tomar conhecimento do Incidente de Segurança. Além disso, a Gather investigará o Incidente de Segurança e fornecerá ao Cliente informações sobre o Incidente de Segurança suficientes para que o Cliente cumpra qualquer exigência de notificação de violação de dados sob as Leis de Proteção de Dados. A Gather também tomará medidas razoáveis para mitigar os efeitos e minimizar qualquer dano resultante do Incidente de Segurança. A obrigação da Gather de relatar ou responder a um Incidente de Segurança conforme previsto neste documento não deve ser interpretada como um reconhecimento por parte da Gather de qualquer falha ou responsabilidade em relação ao Incidente de Segurança.
8. Auditoria e Registros
8.1. As partes concordam que qualquer auditoria realizada sob este Adendo, incluindo sob as Cláusulas 5(f) ou 12(2) das Cláusulas Contratuais Padrão da UE, será conduzida de acordo com as especificações identificadas nesta Seção 8.1. O Cliente não poderá realizar uma auditoria mais de uma vez por ano civil, a menos que o Cliente seja obrigado ou solicitado a realizar uma auditoria por uma Autoridade de Supervisão ou qualquer autoridade reguladora similar responsável pela aplicação das Leis de Proteção de Dados em qualquer país ou território. O Cliente poderá entrar em contato com a Gather de acordo com a disposição de “Notificação” do Acordo para solicitar uma auditoria in loco dos procedimentos da Gather relacionados à proteção de Dados Pessoais. Antes que o Cliente possa conduzir uma auditoria in loco dos procedimentos da Gather, a Gather e o Cliente deverão concordar mutuamente sobre o tempo, escopo e duração da auditoria. O Cliente deverá reembolsar a Gather por quaisquer custos e despesas incorridos pela Gather como resultado da auditoria. Além disso, a auditoria deverá ser conduzida de maneira a evitar causar (ou, se isso não puder ser evitado, minimizar) qualquer dano, lesão ou interrupção às instalações virtuais, equipamentos, pessoal e operações comerciais da Gather enquanto o pessoal do Cliente esteja nessas instalações virtuais no curso de tal auditoria ou inspeção. Quaisquer auditorias realizadas sob esta Seção 8.1 deverão ser limitadas às instalações virtuais da Gather (a Gather não possui uma localização comercial física). Se as Cláusulas Contratuais Padrão da UE se aplicarem, então nada aqui deve ser interpretado como afetando quaisquer direitos de uma Autoridade de Supervisão ou de um titular de dados sob as Cláusulas Contratuais Padrão da UE.
8.2. A Gather manterá um registro de qualquer Processamento de Dados Pessoais que realizar em nome do Cliente, que disponibilizará à Autoridade de Supervisão relevante a pedido, e que deverá incluir:
o nome e dados de contato da Gather e do Cliente em cujo nome atua, e, quando aplicável, o representante e o oficial de proteção de dados do Cliente;
as categorias de Processamento realizadas em nome do Cliente;
transferências de Dados Pessoais para um terceiro país ou organização internacional e a base sobre a qual essas transferências são conformes; e
uma descrição das medidas de segurança de dados tomadas pela Gather.
9. Subprocessadores
Você concorda que podemos engajar Subprocessadores para Processar Dados Pessoais em seu nome. Atualmente, nomeamos, como Subprocessadores, os terceiros listados no Anexo 3 deste DPA. Notificaremos você se adicionarmos ou substituirmos qualquer Subprocessador listado no Anexo 3, pelo menos 30 dias antes de tais alterações, caso você opte por receber tais e-mails antes de quaisquer alterações, preenchendo o formulário disponível aqui.
Quando contratarmos Subprocessadores, imporemos termos de proteção de dados aos Subprocessadores que ofereçam pelo menos o mesmo nível de proteção para os Dados Pessoais como aqueles neste DPA (incluindo, quando apropriado, as Cláusulas Contratuais Padrão), na medida aplicável à natureza dos serviços prestados por tais Subprocessadores. Permaneceremos responsáveis pelo cumprimento dos Subprocessadores com as obrigações deste DPA e por quaisquer atos ou omissões de tal Subprocessador que nos levem a violar qualquer uma das obrigações sob este DPA.
O Cliente pode objetar ao uso de um novo Subprocessador pela Gather, notificando a Gather prontamente por escrito, dentro de trinta (30) dias após o recebimento da notificação da Gather sobre o novo Subprocessador. Se o Cliente objeta ao novo Subprocessador, a Gather fará esforços razoáveis para disponibilizar uma alteração nos Serviços ou no uso dos Serviços pelo Cliente para evitar o Processamento de Dados Pessoais pelo Subprocessador objeção do Cliente. Se a Gather não puder disponibilizar tal alteração dentro de trinta (30) dias de recebimento da notificação do Cliente, o Cliente poderá rescindir os Serviços que não podem ser prestados sem o uso do Subprocessador objetado. Se o Cliente rescindir os Serviços, a Gather reembolsará o Cliente quaisquer taxas pré-pagas referentes ao restante do prazo especificado no documento de pedido aplicável após a data efetiva da rescisão. Não obstante qualquer coisa aqui fornecida, o Cliente reconhece e concorda, que a Gather pode utilizar os Subprocessadores identificados no Anexo 3 para fornecer os Serviços Gather. A Gather permanece responsável por seus Subprocessadores e passível por seus atos e omissões como por seus próprios atos e omissões, e quaisquer referências às obrigações, atos e omissões da Gather neste Adendo devem ser interpretadas como se referindo também aos Subprocessadores da Gather. As partes concordam que quaisquer direitos de auditoria fornecidos sob os termos deste Adendo não se estendem às instalações dos Subprocessadores da Gather.
10. Avaliação de Impacto de Proteção de Dados e Consulta Prévia
A pedido do Cliente, a Gather fornecerá assistência razoável ao Cliente com quaisquer avaliações de impacto de proteção de dados, e consultas prévias com autoridades de supervisão, que o Cliente consideraria razoavelmente necessárias sob o Artigo 35 ou 36 do GDPR, em cada caso unicamente em relação ao Processamento de Dados Pessoais por e levando em consideração a natureza do Processamento e as informações disponíveis à Gather.
11. Rescisão
11.1 Este Adendo continuará em pleno vigor até a expiração ou rescisão do Acordo.
11.2 Após a expiração ou rescisão do Acordo, o Cliente pode extrair Dados Pessoais dos Serviços Gather. Dentro de trinta (30) dias a partir da exclusão de um espaço virtual pelo Cliente, a Gather excluirá os Dados Pessoais de acordo com os termos do Acordo, exceto conforme exigido por lei ou, se permitido por lei aplicável, para resolver disputas ou aplicar os acordos e políticas legais da Gather. A Gather pode reter Dados Pessoais necessários para fornecer os Serviços ou informações que são disponibilizadas a outros Clientes, como através de postagens ou conversas públicas, incluindo conforme descrito na Seção 5.5(d) dos Termos de Serviço.
12. Disposições Específicas do CCPA
12.1 A Gather está atuando como um “Provedor de Serviços” em nome do Cliente, um “Negócio”, de acordo com o CCPA. A Gather não reterá, usará ou divulgará Dados do Cliente divulgados a ela pelo Cliente para qualquer outro propósito que não o específico de fornecer os Serviços Gather de acordo com os termos do Acordo ou conforme estabelecido no CCPA.
12.2 A Gather não venderá nenhum Dado do Cliente a um terceiro por consideração monetária ou outro valor valioso.
12.3 A Gather não reterá, usará ou divulgará qualquer Dado do Cliente fora da relação direta de negócios entre a Gather e o Cliente, exceto conforme previsto no CCPA.
13. Diversos
As partes não antecipam a transferência de dados sensíveis como parte do Acordo. A responsabilidade de cada parte decorrente ou relacionada a este Adendo, seja em contrato, delito ou sob qualquer teoria de responsabilidade, está sujeita à seção 'Limitação de Responsabilidade' do Acordo. Se houver um conflito entre qualquer disposição deste Adendo e qualquer disposição no Acordo, este Adendo deverá prevalecer. Exceto pelas alterações feitas por este Adendo, o Acordo permanece inalterado e em pleno vigor e efeito. Este Adendo não deve restringir quaisquer Leis de Proteção de Dados aplicáveis. Se qualquer disposição neste Adendo for ineficaz ou nula, isso não deve afetar as demais disposições. As partes devem substituir a disposição ineficaz ou nula por uma disposição legal que reflita o propósito comercial da disposição ineficaz ou nula. Caso uma disposição necessária esteja faltando, as partes devem agregar uma apropriada de boa fé. Em caso de conflito, a ordem de precedência em relação ao Processamento de Dados Pessoais será este Adendo e em seguida o Acordo. Se as Cláusulas Contratuais Padrão da UE forem uma parte integral deste Adendo, então as Cláusulas Contratuais Padrão da UE deverão prevalecer. Este Adendo substitui e substitui todos os acordos anteriores escritos e orais, comunicações e outros entendimentos relacionados ao objeto deste Adendo. Este Adendo pode ser executado em uma ou mais contrapartes, cada uma das quais será considerada um original e todas as quais, juntas, serão consideradas como constituindo um único e mesmo documento.
Cláusulas Contratuais Padrão
SEÇÃO I
Cláusula 1
Propósito e escopo
(a) O propósito destas cláusulas contratuais padrão é garantir a conformidade com os requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas naturais em relação ao processamento de dados pessoais e à livre circulação desses dados (Regulamento Geral de Proteção de Dados) (1) para a transferência de dados pessoais para um país terceiro.
(b) As Partes:
a(s) pessoa(s) física(s) ou jurídica(s), autoridade(s) pública(s), agência(s) ou outro(s) corpo(s) (doravante 'entidade(s)') transferindo os dados pessoais, conforme listado no Anexo I.A (doravante cada um 'exportador de dados'), e
a(s) entidade(s) em um país terceiro recebendo os dados pessoais do exportador de dados, direta ou indiretamente via outra entidade também Parte destas Cláusulas, conforme listado no Anexo I.A (doravante cada um 'importador de dados') concordaram com estas cláusulas contratuais padrão (doravante: 'Cláusulas').
(c) Estas Cláusulas aplicam-se com respeito à transferência de dados pessoais conforme especificado no Anexo I.B.
(d) O Apêndice destas Cláusulas contendo os Anexos referidos nele faz parte integrante destas Cláusulas.
Cláusula 2
Efeito e invariabilidade das Cláusulas
(a) Estas Cláusulas estabelecem garantias adequadas, incluindo direitos de titular de dados aplicáveis e recursos legais eficazes, de acordo com o Artigo 46(1) e Artigo 46(2)(c) do Regulamento (UE) 2016/679 e, com respeito a transferências de dados de controladores a processadores e/ou processadores a processadores, cláusulas contratuais padrão de acordo com o Artigo 28(7) do Regulamento (UE) 2016/679, desde que não sejam modificadas, exceto para selecionar o(s) Módulo(s) apropriado(s) ou para adicionar ou atualizar informações no Apêndice. Isso não impede que as Partes incluam as cláusulas contratuais padrão estabelecidas nestas Cláusulas em um contrato mais amplo e{