Data Processing Addendum

Este Adendo de Tratamento de Dados ("DPA") complementa o acordo firmado entre a CircleCo, Inc. ("Circle") e o cliente que concorda (ou o cliente em nome de quem um Administrador concorda) (o "Cliente") com os Termos de Serviço do Criador, no que diz respeito à transferência e ao tratamento de Dados Abrangidos em conexão com a prestação dos Serviços.

DEFINIÇÕES
1. Termos em em destaque usados, mas não definidos neste DPA, terão o significado estabelecido nos Termos de Serviço da Circle. Os seguintes termos em maiúscula usados neste DPA terão os significados abaixo:
  1. "Acordo" significa o acordo entre a Circle e o Cliente composto pelos Termos de Serviço da Circle.
  2. "Leis de Proteção de Dados Aplicáveis" significa todas as leis, normas, regulamentos e exigências governamentais aplicáveis relacionadas à privacidade, confidencialidade ou segurança de Dados Pessoais, conforme possam ser alterados ou atualizados periodicamente, incluindo (sem limitação): o GDPR, as Leis Suíças de Proteção de Dados e as Leis de Proteção de Dados dos EUA.
  3. "CCPA" significa a California Consumer Privacy Act de 2018, Cal. Civ. Code § 1798.100 e seguintes, conforme alterada, incluindo seus regulamentos de implementação e a California Privacy Rights Act de 2020.
  4. "Dados de Administração de Contrato e Marketing" significa os Dados Pessoais coletados pela Circle diretamente dos Administradores, conforme descrito na Parte 2 do Anexo 1.
  5. "Finalidades do Controlador" significa as finalidades identificadas na Parte 2 do Anexo 1.
  6. "Dados Abrangidos" significa Dados Pessoais que: (a) são fornecidos pelo Cliente ou em seu nome à Circle em conexão com os Serviços; ou (b) são obtidos, desenvolvidos, produzidos ou de outra forma Tratados pela Circle, ou seus agentes ou subcontratados, para fins de prestação dos Serviços, conforme descrito na Parte 1 do Anexo 1.
  7. "Titular dos Dados" significa a pessoa física cujos Dados Pessoais são Tratados.
  8. "Dados Desidentificados" significa dados criados a partir de Dados Abrangidos que não podem ser razoavelmente associados a tais Dados Abrangidos, direta ou indiretamente.
  9. "EEE" significa o Espaço Econômico Europeu, incluindo a União Europeia ("UE").
  10. "Data de Vigência" significa a data de vigência do Acordo.
  11. "GDPR" significa o Regulamento (UE) 2016/679 ("GDPR da UE") ou, quando aplicável, o "GDPR do RU", conforme definido na seção 3 do Data Protection Act de 2018, ou o equivalente aplicável sob a lei suíça de proteção de dados.
  12. "Estado-Membro" significa um estado membro do EEE, sendo um estado membro da União Europeia, Islândia, Noruega ou Liechtenstein.
  13. "Dados Pessoais" significa qualquer dado ou informação que: (a) esteja vinculado ou seja razoavelmente vinculável a uma pessoa física identificada ou identificável; ou (b) seja considerado "dados pessoais", "informações pessoais", "informações pessoalmente identificáveis" ou conceito similar sob as Leis de Proteção de Dados Aplicáveis.
  14. "Tratamento" ou "Processamento" significa qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais ou conjuntos de Dados Pessoais, com ou sem meios automatizados. "Tratar", "Trata" e "Tratado", devem ser interpretados de acordo.
  15. "Dados Pessoais Proibidos" significa: (a) Dados Pessoais que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, condenações criminais e quaisquer outras categorias especiais de dados pessoais identificadas no Artigo 9 do GDPR ou Dados Pessoais considerados sensíveis sob as Leis de Proteção de Dados Aplicáveis; (b) identificadores ou templates biométricos; (c) informações financeiras (incluindo, sem limitação, informações de cobrança e dados de portadores de cartão ou dados de autenticação sensíveis, conforme definidos no Payment Card Industry Data Security Standard); (d) informações financeiras pessoalmente identificáveis, conforme definidas e sujeitas ao Gramm-Leach-Bliley Financial Modernization Act de 1999; (e) números de identificação nacional (incluindo, sem limitação, números de Seguro Social, Seguro Nacional, carteira de motorista, passaporte ou outros números de identificação emitidos pelo governo); (f) informações relacionadas a indivíduos com menos de 13 anos; (g) registros educacionais, conforme definidos na Family Educational Rights and Privacy Act de 1974; (h) informações de saúde protegidas, conforme definidas e sujeitas ao Health Insurance Portability and Accountability Act (HIPAA).
  16. "Incidente de Segurança" significa uma violação de segurança real ou suspeita que leve à destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso não autorizado (incluindo acesso interno não autorizado) a Dados Abrangidos.
  17. "Cláusulas Contratuais Padrão" ou "SCCs" significa as Cláusulas Contratuais Padrão anexadas à Decisão de Implementação (UE) 2021/914 da Comissão Europeia.
  18. "Suboperador" significa uma entidade nomeada pela Circle para Tratar Dados Abrangidos em seu nome.
  19. "Leis Suíças de Proteção de Dados" significa a Swiss Federal Act on Data Protection de 19 de junho de 1992 e a Swiss Ordinance to the Swiss Federal Act on Data Protection de 14 de junho de 1993, bem como quaisquer versões novas ou revisadas dessas leis que entrem em vigor periodicamente.
  20. "RU" significa Reino Unido.
  21. "Leis de Proteção de Dados dos EUA" significa todas as leis federais e estaduais aplicáveis, regras, regulamentos e exigências governamentais relacionadas à proteção de dados, ao Tratamento de Dados Pessoais, à privacidade e/ou à proteção de dados em vigor periodicamente nos Estados Unidos, incluindo (sem limitação): a CCPA, a Virginia Consumer Data Protection Act, Code of Virginia Título 59.1 Capítulo 52 § 59.1-571 e seguintes; a Colorado Privacy Act, Colorado Revised Statute Título 6 Artigo 1 Parte 13 § 6-1-1301 e seguintes; a Utah Consumer Privacy Act, Utah Code § 13-6-101 e seguintes; e a Connecticut Senate Bill 6, An Act Concerning Personal Data Privacy and Online Monitoring (conforme promulgada e consolidada).
  22. "Dados de Uso e Feedback" significa os Dados Pessoais coletados pela Circle diretamente dos Administradores e Usuários Autorizados, conforme descrito na Parte 2 do Anexo 1.
2. Os termos "Controlador", "Titular dos Dados", "Dados Pessoais", "Operador" e "Tratamento" terão os significados atribuídos pelas Leis de Proteção de Dados Aplicáveis.
INTERAÇÃO COM O ACORDO
1. Este DPA é incorporado ao Acordo e constitui parte integrante dele. Este DPA complementa e (em caso de contradições) prevalece sobre o Acordo no que diz respeito a qualquer Tratamento de Dados Abrangidos.
PAPEL DAS PARTES
1. As Partes reconhecem e concordam que:
  1. salvo conforme disposto nas Seções 3.1.2 e 3.1.3, a Circle atua como Operadora ou prestadora de serviços no desempenho de suas obrigações sob o Acordo e este DPA, e o Cliente atua como Controlador ou empresa;
  2. a Circle atua como Controladora ou empresa em relação ao seu Tratamento dos Dados de Administração de Contrato e Marketing para as Finalidades do Controlador; e
  3. para fins do GDPR e das Leis Suíças de Proteção de Dados, a Circle atua como Controladora em relação ao seu Tratamento dos Dados de Uso e Feedback para as Finalidades do Controlador.
DETALHES DO TRATAMENTO DE DADOS
1. Os detalhes do Tratamento de Dados Pessoais sob o Acordo e este DPA (incluindo objeto, natureza e finalidade do Tratamento, categorias de Dados Pessoais e Titulares dos Dados) estão descritos no Acordo e no Anexo 1 deste DPA.
2. A Circle deverá cumprir com suas obrigações sob as Leis de Proteção de Dados Aplicáveis. Exceto conforme disposto nas Seções 3.1.2 e 3.1.3, a Circle somente tratará os Dados Abrangidos em nome do Controlador e de acordo com as instruções do Controlador e com as Leis de Proteção de Dados Aplicáveis. O Acordo e este DPA constituem as instruções do Cliente para o Tratamento dos Dados Abrangidos. O Cliente pode emitir instruções adicionais por escrito, conforme previsto neste DPA.
3. Sem limitar o acima exposto, exceto conforme disposto nas Seções 3.1.2 e 3.1.3, a Circle não deverá:
  1. vender os Dados Abrangidos ou de outra forma disponibilizá-los a terceiros em troca de contraprestação monetária ou de outro valor;
  2. compartilhar os Dados Abrangidos com qualquer terceiro para publicidade comportamental em diferentes contextos;
  3. reter, usar ou divulgar os Dados Abrangidos para qualquer finalidade que não os fins comerciais especificados no Acordo ou conforme permitido pelas Leis de Proteção de Dados Aplicáveis;
  4. reter, usar ou divulgar os Dados Abrangidos fora da relação comercial direta entre as Partes; e
  5. exceto conforme permitido pelas Leis de Proteção de Dados Aplicáveis, combinar os Dados Abrangidos com Dados Pessoais que a Circle receba de ou em nome de outra pessoa ou pessoas, ou que a Circle colete de sua própria interação com o Titular dos Dados.
4. A Circle deverá:
  1. fornecer ao Cliente informações para permitir que o Cliente conduza e documente quaisquer avaliações de proteção de dados exigidas pelas Leis de Proteção de Dados Aplicáveis; e
  2. informar prontamente o Cliente caso, em sua opinião, uma instrução do Cliente ou do Controlador do Cliente viole as Leis de Proteção de Dados Aplicáveis.
CONFORMIDADE
1. O Cliente cumprirá suas obrigações como Controlador, empresa ou termo equivalente sob as Leis de Proteção de Dados Aplicáveis e deverá:
  1. fornecer aos Titulares de Dados as informações exigidas pelas Leis de Proteção de Dados Aplicáveis sobre o Tratamento de seus Dados Abrangidos em conexão com o uso dos Serviços pelo Cliente;
  2. quando exigido para o Tratamento válido dos Dados Pessoais Abrangidos sob as Leis de Proteção de Dados Aplicáveis, obter consentimentos válidos dos Titulares de Dados, na forma exigida pelas Leis de Proteção de Dados Aplicáveis;
  3. implementar medidas técnicas e organizacionais apropriadas para efetivar os direitos dos Titulares dos Dados previstos nas Leis de Proteção de Dados Aplicáveis, e atender às solicitações dos Titulares dos Dados para exercerem seus direitos conforme as Leis de Proteção de Dados aplicáveis, dentro do prazo e sujeito a quaisquer exceções previstas nessas Leis; e
  4. garantir que os Dados Abrangidos não incluam quaisquer Dados Pessoais Proibidos.
CONFIDENCIALIDADE E DIVULGAÇÃO
1. A Circle deverá:
  1. limitar o acesso aos Dados Abrangidos ao pessoal que tenha necessidade comercial de acessar esses Dados Abrangidos; e
  2. garantir que esse pessoal esteja sujeito a obrigações pelo menos tão protetivas dos Dados Abrangidos quanto os termos deste DPA e do Acordo, incluindo deveres de confidencialidade em relação a quaisquer Dados Abrangidos aos quais tenham acesso.
SUBOPERADORES
1. A Circle poderá Tratar Dados Abrangidos em qualquer local em que a Circle ou seus Suboperadores mantenham instalações, sujeito ao restante desta Seção 7.
2. O Cliente concede à Circle autorização geral para contratar quaisquer Suboperadores listados no Anexo 4, conforme alterado de acordo com a Seção 7.4 (os "Subprocessadores Autorizados"), para Tratar Dados Abrangidos.
3. A Circle deverá:
  1. firmar um acordo por escrito com cada Suboperador Autorizado impondo obrigações de proteção de dados que, em essência, não sejam menos protetivas dos Dados Abrangidos do que as obrigações da Circle sob este DPA; e
  2. permanecer responsável pelo cumprimento, por cada Suboperador Autorizado, das obrigações previstas neste DPA.
4. A Circle fornecerá ao Cliente pelo menos trinta (30) dias de antecedência sobre quaisquer alterações propostas aos Suboperadores Autorizados. O Cliente deverá notificar a Circle caso se oponha à alteração proposta (incluindo, quando aplicável, ao exercer seu direito de objeção sob a cláusula 9(a) das SCCs), enviando à Circle uma notificação escrita da objeção dentro de trinta (30) dias após o aviso da Circle (uma "Objeção").
5. Se o Cliente apresentar uma Objeção, a Circle e o Cliente trabalharão juntos de boa-fé para encontrar uma solução mutuamente aceitável. Caso não seja possível chegar a uma solução dentro de um prazo razoável, não superior a trinta (30) dias a partir da data da Objeção, o Cliente poderá rescindir a parte do Acordo relacionada aos Serviços afetados por tal alteração, mediante notificação por escrito à Circle.
SOLICITAÇÕES DE DIREITOS DE TITULARES DE DADOS
1. A Circle notificará prontamente o Cliente sobre qualquer solicitação recebida pela Circle ou por qualquer Suboperador Autorizado feita por um Titular de Dados para exercer seus direitos em relação aos Dados Abrangidos sob as Leis de Proteção de Dados Aplicáveis (uma "Solicitação de Titular de Dados").
2. Com exceção do Tratamento mencionado nas Seções 3.1.2 e 3.1.3, entre as Partes, o Cliente terá discricionariedade exclusiva para responder à Solicitação de Titular de Dados, e a Circle não responderá à Solicitação de Titular de Dados, exceto para informar ao Titular de Dados que sua solicitação foi encaminhada ao Cliente.
3. A Circle fornecerá ao Cliente a assistência razoável necessária para que o Cliente cumpra sua obrigação de responder às Solicitações de Titulares de Dados de acordo com as Leis de Proteção de Dados Aplicáveis.
SEGURANÇA
1. A Circle implementará e manterá medidas técnicas e organizacionais adequadas de proteção e segurança de dados, projetadas para garantir a segurança dos Dados Abrangidos, incluindo, sem limitação, proteção contra Tratamento não autorizado ou ilegal e contra perda, destruição ou dano acidental de ou aos Dados Abrangidos.
2. Ao avaliar o nível apropriado de segurança, a Circle levará em consideração a natureza, o escopo, o contexto e a finalidade do Tratamento, bem como os riscos apresentados pelo Tratamento, em especial os decorrentes de destruição acidental ou ilegal, perda, alteração, divulgação não autorizada de, ou acesso não autorizado a, Dados Abrangidos.
3. A Circle implementará e manterá, como padrão mínimo, as medidas estabelecidas no Anexo 2.
INFORMAÇÕES E AUDITORIAS
1. A Circle deverá notificar prontamente o Cliente caso determine que não pode mais cumprir suas obrigações sob as Leis de Proteção de Dados Aplicáveis.
2. O Cliente pode tomar medidas razoáveis e apropriadas para:
  1. assegurar que a Circle utiliza os Dados Abrangidos de maneira consistente com as obrigações do Cliente sob as Leis de Proteção de Dados Aplicáveis; e
  2. mediante aviso prévio razoável, interromper e remediar qualquer uso não autorizado dos Dados Abrangidos.
3. O Cliente poderá, não mais do que uma vez por ano, auditar o cumprimento deste DPA pela Circle. As Partes concordam que tais auditorias:
  1. serão conduzidas mediante aviso prévio razoável por escrito à Circle;
  2. ocorrerão apenas durante o horário comercial normal da Circle; e
  3. serão realizadas de forma a não prejudicar de maneira relevante os negócios ou operações da Circle.
4. Com relação às auditorias conduzidas conforme a Seção 10.3:
  1. o Cliente poderá contratar um auditor terceirizado para realizar a auditoria em seu nome;
  2. a Circle não será obrigada a facilitar tal auditoria até que as Partes acordem por escrito sobre o escopo e o cronograma da auditoria.
5. O Cliente deverá notificar prontamente a Circle sobre qualquer não conformidade descoberta durante uma auditoria.
6. Os resultados da auditoria serão considerados Informações Confidenciais da Circle.
7. A Circle poderá, em resposta a qualquer solicitação de auditoria feita pelo Cliente, fornecer:
  1. certificações de conformidade com proteção de dados emitidas por entidade certificadora amplamente reconhecida e auditada por especialista em segurança da informação ou empresa de auditoria certificada; ou
  2. outra documentação que evidencie razoavelmente a implementação de medidas técnicas e organizacionais de segurança de dados em conformidade com os padrões do setor.
8. Se uma auditoria solicitada pelo Cliente for abrangida pelas certificações ou documentos fornecidos pela Circle de acordo com a Seção 10.7 e:
  1. tais certificações ou documentos tiverem sido emitidos nos doze (12) meses anteriores à solicitação de auditoria; e
  2. a Circle confirmar que não houve alterações materiais conhecidas nos controles auditados,
  3. então o Cliente concorda em aceitar tais certificações ou documentação em substituição à realização de uma auditoria presencial dos controles abrangidos.
INCIDENTES DE SEGURANÇA
1. A Circle notificará o Cliente por escrito, sem demora injustificada, após tomar conhecimento de qualquer Incidente de Segurança.
2. A Circle tomará medidas razoáveis para conter, investigar e mitigar qualquer Incidente de Segurança, e enviará ao Cliente informações atualizadas sobre o Incidente de Segurança, incluindo, entre outros, a natureza do Incidente, as medidas adotadas para mitigá-lo ou contê-lo e o status da investigação.
3. A Circle fornecerá assistência razoável à investigação do Cliente sobre quaisquer Incidentes de Segurança e ao cumprimento, pelo Cliente, de quaisquer obrigações relacionadas ao Incidente de Segurança sob as Leis de Proteção de Dados Aplicáveis, incluindo qualquer notificação aos Titulares de Dados ou às autoridades de supervisão.
4. A notificação ou resposta da Circle a um Incidente de Segurança nos termos desta Seção 11 não será interpretada como reconhecimento, pela Circle, de qualquer culpa ou responsabilidade em relação ao Incidente de Segurança.
VIGÊNCIA, EXCLUSÃO E DEVOLUÇÃO
1. Este DPA terá início na Data de Vigência e, não obstante qualquer rescisão do Acordo, permanecerá em vigor até que seja automaticamente encerrado mediante a exclusão, pela Circle, de todos os Dados Abrangidos, conforme descrito neste DPA.
2. A Circle deverá:
  1. se solicitado pelo Cliente dentro de trinta (30) dias após o término do Acordo (o "Período de Retenção"), fornecer uma cópia de todos os Dados Abrangidos em um formato de uso comum solicitado pelo Cliente, ou disponibilizar uma funcionalidade de autoatendimento que permita ao Cliente baixar tais Dados Abrangidos; e
  2. ao término do Período de Retenção, excluir todas as cópias dos Dados Abrangidos Tratados pela Circle ou por qualquer Suboperador Autorizado, exceto quaisquer Dados de Administração Contratual e de Marketing e quaisquer Dados de Uso e Feedback Tratados para as Finalidades de Controlador.
CLÁUSULAS CONTRATUAIS PADRÃO
1. As Cláusulas Contratuais Padrão serão aplicadas, conforme detalhado no Anexo 3, à transferência de quaisquer Dados Abrangidos do Cliente para a Circle, e passam a integrar este DPA, na medida em que:
  1. o GDPR ou a Lei Suíça de Proteção de Dados se aplique ao Cliente ao realizar tal transferência; ou
  2. as Leis de Proteção de Dados Aplicáveis ao Cliente no momento da transferência ("Leis de Proteção de Dados do Exportador") proíbam a transferência de Dados Abrangidos à Circle sob este DPA na ausência de um mecanismo de transferência que implemente salvaguardas adequadas em relação ao tratamento desses Dados Abrangidos e pelo menos uma das seguintes condições se aplique:
    - a autoridade competente com jurisdição sobre a transferência de Dados Abrangidos do Cliente ao abrigo deste DPA não tiver adotado formalmente cláusulas-padrão de proteção de dados ou outro mecanismo de transferência nos termos das Leis de Proteção de Dados do Exportador; ou
    - essa autoridade tiver emitido orientações indicando que a celebração de cláusulas contratuais padrão aprovadas pela Comissão Europeia satisfaria qualquer exigência prevista nas Leis de Proteção de Dados do Exportador para implementar garantias adequadas em relação a essa transferência; ou
    - a prática de mercado estabelecida em relação às transferências sujeitas às Leis de Proteção de Dados do Exportador for a celebração de cláusulas contratuais padrão aprovadas pela Comissão Europeia para satisfazer exigências de garantias de implementação adequadas a respeito das transferências nos termos das Leis de Proteção de Dados do Exportador; ou
    - a transferência constituir uma "transferência subsequente" ("onward transfer"), (conforme definido no módulo aplicável das SCCs).
2. As Partes concordam que a execução do Acordo terá o mesmo efeito que a assinatura das SCCs.
DADOS DESIDENTIFICADOS
1. Se a Circle receber Dados Desidentificados do Cliente ou em nome dele, a Circle deverá:
  1. adotar medidas razoáveis para garantir que as informações não possam ser associadas a um Titular de Dados;
  2. comprometer-se publicamente a tratar os Dados Desidentificados exclusivamente em formato desidentificado e a não tentar reidentificar tais informações; e
  3. obrigar contratualmente quaisquer destinatários dos Dados Desidentificados a cumprir os requisitos acima e as Leis de Proteção de Dados Aplicáveis.
RESPONSABILIDADE
1. Ao atuar como Controladora ou parte que trata quaisquer Dados Pessoais nos termos deste DPA ou do Acordo, cada parte será responsável apenas por sua própria violação das Leis de Proteção de Dados aplicáveis ou deste DPA, e não será solidária com a outra parte por violações desta última.
2. Nos demais casos, a responsabilidade agregada total da Circle perante o Cliente ou terceiros estará sujeita ao limite de responsabilidade previsto no Acordo.
3. As Partes concordam que quaisquer limitações de responsabilidade previstas no Acordo não se aplicam a reclamações, perdas ou danos decorrentes de uma violação das SCCs.
DISPOSIÇÕES GERAIS
1. As Partes certificam que compreenderam os requisitos deste DPA e se comprometem a cumpri-los.
2. As Partes concordam em negociar de boa-fé quaisquer alterações a este DPA que se tornem necessárias em razão de mudanças nas Leis de Proteção de Dados Aplicáveis.

Anexo 1: Detalhes do Tratamento

Parte 1: Dados Abrangidos

A. LISTA DAS PARTES

	Cliente	Circle
Função	Exportador de Dados (Controlador)	Importador de Dados (Operador)
Pessoa de contato	O Administrador	Karthik Ganesh, Chief of Staff, legal@circle.so
Atividades relevantes para a transferência	Recebimento dos Serviços nos termos do Acordo.	Prestação dos Serviços nos termos do Acordo.

B. DESCRIÇÃO DO TRATAMENTO

Categorias de Titulares de Dados	Administradores Usuários Autorizados
Categorias de Dados Pessoais	Nome e endereço de e-mail Informações de perfil e de conta Conteúdo enviado pelo Administrador ou Usuário Autorizado Comentários, perguntas, feedback e solicitações de suporte
Categorias especiais de Dados Pessoais	Nenhuma
Frequência da transferência	Contínua
Natureza do Tratamento	Coleta, registro, organização, estruturação, armazenamento, exclusão e destruição
Finalidades da transferência de dados e do Processamento adicional	Fornecimento dos Serviços, especificamente: facilitar a criação de comunidades online e o compartilhamento de conteúdo dentro dessas comunidades configuradas pelo Cliente Prestação de suporte de TI
Período de retenção	Durante a vigência do Acordo
Suboperadores	Conforme listado no Anexo 4

C. DESCRIÇÃO DO TRATAMENTO

A autoridade supervisora competente é: o Comissário de Proteção de Dados (Irlanda).

Parte 2: Dados de Marketing e Administração de Contrato

Categorias de Titulares de Dados	Administradores Usuários Autorizados
Categorias de Dados Pessoais	Administradores Nome e endereço de e-mail Preferências de marketing Quando o Administrador também for o Cliente: Informações da conta e do perfil Informações de pagamento e transações Produtos e serviços adquiridos Token de autenticação de login em redes sociais Usuários Autorizados Informações sobre o dispositivo usado para acessar os Serviços Informações sobre o acesso e o uso dos Serviços pelo Usuário.
Finalidades do tratamento	Comunicação com os Administradores (incluindo envio de comunicações relacionadas ao serviço e promocionais) Administração do contrato com o Cliente (incluindo autenticação e concessão de acesso aos Serviços, processamento de renovações, cobrança e pagamentos, detecção de uso fraudulento) Promoção e marketing dos Serviços.

Categorias de Titulares de Dados

Administradores
Usuários Autorizados

Categorias de Dados Pessoais

Administradores

Nome e endereço de e-mail
Preferências de marketing

Quando o Administrador também for o Cliente:

Informações da conta e do perfil
Informações de pagamento e transações
Produtos e serviços adquiridos
Token de autenticação de login em redes sociais

Usuários Autorizados

Informações sobre o dispositivo usado para acessar os Serviços
Informações sobre o acesso e o uso dos Serviços pelo Usuário.

Finalidades do tratamento

Comunicação com os Administradores (incluindo envio de comunicações relacionadas ao serviço e promocionais)
Administração do contrato com o Cliente (incluindo autenticação e concessão de acesso aos Serviços, processamento de renovações, cobrança e pagamentos, detecção de uso fraudulento)
Promoção e marketing dos Serviços.

Dados de Uso e Feedback

Categorias de Titulares de Dados	Administradores Usuários Autorizados
Categorias de Dados Pessoais	Nome e endereço de e-mail Informações sobre o dispositivo usado para acessar os Serviços Informações sobre o acesso e o uso dos Serviços pelo Usuário.
Finalidades do processamento	Monitoramento do desempenho dos Serviços, identificação de erros e melhorias nos Serviços e suporte ao desenvolvimento de produtos.

Anexo 2: Medidas Técnicas e Organizacionais

Introdução
1. A Circle emprega uma combinação de políticas, procedimentos, diretrizes e controles técnicos e físicos para proteger os dados pessoais que trata contra perda acidental e acesso, divulgação ou destruição não autorizados.
Governança e Políticas
1. A Circle designa pessoal responsável pela determinação, revisão e implementação de políticas e medidas de segurança.
2. A Circle:
  1. documentou as medidas de segurança que implementou em uma política de segurança e/ou em outras diretrizes e documentos relevantes;
  2. revisa regularmente suas medidas e políticas de segurança para garantir que continuem apropriadas para os dados que estão sendo protegidos.
3. A Circle estabelece e segue configurações seguras para sistemas e softwares, garantindo que as medidas de segurança sejam consideradas durante a iniciação de projetos e o desenvolvimento de novos sistemas de TI.
Resposta a Incidentes
1. A Circle possui um plano de resposta a incidentes de violação de dados. O plano é testado e atualizado pelo menos anualmente.
Defesas contra intrusão, vírus e malware
1. Os sistemas de TI da Circle utilizados para tratar dados pessoais possuem softwares de segurança adequados instalados, incluindo:
  1. O tráfego de entrada e saída passa por firewalls monitorados e protegidos por sistemas de detecção/prevenção de intrusão que permitem o registro do tráfego que flui pelos firewalls;
  2. Os sistemas de TI possuem softwares apropriados de antivírus, anti-spyware e anti-malware instalados. Esses softwares são atualizados pelo menos diariamente e realizam verificações contínuas em busca de ameaças e programas maliciosos;
  3. A Circle realiza testes de penetração em seus sistemas de TI pelo menos anualmente;
  4. A Circle realiza varreduras de vulnerabilidade regularmente, com frequência mínima mensal;
  5. A Circle coleta, mantém, revisa e audita logs de eventos;
  6. A Circle implementa ferramentas de prevenção contra perda de dados em nível de rede e de hosts;
  7. A Circle monitora todo o tráfego que sai da organização e o uso não autorizado de criptografia.
Controles de Acesso
1. A Circle limita o acesso aos dados pessoais por meio da implementação de controles de acesso apropriados, incluindo:
  1. Limitação dos privilégios de acesso administrativo e do uso de contas administrativas;
  2. Alteração de todas as senhas padrão antes da implantação do sistema operacional;
  3. Exigir autenticação e autorização para acessar os sistemas de TI (ou seja, exigir que os usuários insiram um ID de usuário e senha antes de obter acesso aos sistemas de TI);
  4. Permitir acesso do usuário apenas aos dados pessoais que ele precisa para sua função ou para o propósito pelo qual recebeu acesso aos sistemas de TI da Circle (ou seja, a Circle implementa medidas para garantir o acesso com o princípio do menor privilégio);
  5. Ter procedimentos apropriados para controlar a concessão e a revogação de direitos de acesso a dados pessoais. Por exemplo, procedimentos para revogar o acesso de um funcionário aos sistemas de TI quando ele deixa o emprego ou muda de função;
  6. Aplicar políticas de senha que exijam senhas fortes, incluindo mais de oito caracteres, combinação de letras maiúsculas e minúsculas, números e caracteres especiais;
  7. Exigir renovação regular de senhas;
  8. Utilização de autenticação multifatorial;
  9. Bloqueio e timeout automáticos de terminais de usuários quando inativos;
  10. Bloqueio do acesso ao sistema após múltiplas tentativas de autenticação e/ou autorização incorretas;
  11. Monitoramento e registro do acesso aos sistemas de TI; e
  12. Monitoramento e registro de alterações em dados ou arquivos nos sistemas de TI.
Disponibilidade e Backup de Dados Pessoais
1. A Circle possui um plano documentado de recuperação de desastres que garante que sistemas e dados essenciais possam ser restaurados em tempo hábil no caso de um incidente físico ou técnico. O plano é testado regularmente e atualizado pelo menos anualmente.
2. A Circle realiza backups regulares das informações nos sistemas de TI e mantém cópias de segurança em locais separados. Os backups são testados pelo menos uma vez ao ano.
Segmentação de Dados Pessoais
1. A Circle:
  1. separa e limita o acesso entre os componentes de rede e, quando apropriado, implementa medidas para permitir o tratamento separado (armazenamento, alteração, exclusão, transmissão) de dados pessoais coletados e utilizados para diferentes finalidades; e
  2. não utiliza dados reais para testar seus sistemas.
Descarte de Equipamentos de TI
1. A Circle:
  1. possui processos para remover com segurança todos os dados pessoais antes de descartar sistemas de TI; e
  2. utiliza tecnologia apropriada para apagar os dados dos equipamentos e/ou destruir discos rígidos.
Criptografia
1. A Circle utiliza tecnologia de criptografia para proteger dados pessoais em repouso e em trânsito, incluindo:
  1. aplicação de criptografia AES-256 para dados em repouso e TLS 1.2 ou superior para dados em trânsito; e
  2. criptografia de dispositivos portáteis utilizados para tratar dados pessoais.
  3. As chaves de criptografia são armazenadas separadamente das informações criptografadas e estão sujeitas a medidas de segurança apropriadas.
Transmissão ou Transporte de Dados Pessoais
1. A Circle implementa controles adequados para proteger dados pessoais durante a transmissão ou transporte, incluindo:
  1. uso de VPNs;
  2. criptografia em trânsito utilizando TLS 1.2 ou superior;
  3. registro (logging) de dados pessoais transmitidos eletronicamente;
  4. registro (logging) de dados pessoais transportados fisicamente; e
  5. garantia de segurança física para dados pessoais transportados em dispositivos eletrônicos portáteis ou em formato papel.
Endurecimento de Dispositivos (Device Hardening)
1. A Circle remove softwares e serviços não utilizados dos dispositivos utilizados para tratar dados pessoais.
2. A Circle garante que senhas padrão fornecidas por fabricantes de hardware e software não sejam utilizadas.
3. A Circle garante que todos os sistemas operacionais sejam endurecidos de acordo com as recomendações de configuração publicadas pelo Center for Internet Security (CIS).
Gestão de Ativos e Softwares
1. A Circle mantém um inventário de ativos de TI e dos dados armazenados neles, juntamente com a lista de responsáveis pelos respectivos ativos de TI.
2. A Circle:
  1. documenta e implementa regras para o uso aceitável de ativos de TI;
  2. exige autenticação a nível de rede e utiliza certificados de cliente para validar e autenticar sistemas;
  3. implementa listas de aplicativos permitidos (application whitelisting);
  4. utiliza ferramentas automatizadas de gerenciamento de patches e atualização de softwares e sistemas operacionais;
  5. monitora proativamente vulnerabilidades de software e aplica prontamente patches fora do ciclo regular, quando necessário; e
  6. permite o uso apenas das versões mais recentes de navegadores e clientes de e-mail totalmente compatíveis.
3. A Circle armazena todas as chaves de API de forma segura, incluindo:
  1. armazenamento direto das chaves de API em suas variáveis de ambiente;
  2. não armazenamento de chaves de API no lado do cliente;
  3. não publicação de credenciais de chave de API em repositórios de código online (privados ou não); e
  4. uso de ferramentas de gerenciamento de chaves de API para recuperar e gerenciar credenciais em projetos de desenvolvimento de grande porte.
Treinamento e Conscientização de Pessoal
1. Os contratos da Circle com funcionários e prestadores de serviço, bem como os manuais de colaboradores, definem as responsabilidades do pessoal em relação à segurança da informação.
2. A Circle realiza:
  1. treinamentos regulares do pessoal sobre questões de segurança e privacidade de dados relevantes para suas funções, garantindo que novos colaboradores recebam treinamento adequado antes de iniciar suas atividades (como parte do processo de onboarding); e
  2. triagem e verificações de antecedentes apropriadas para indivíduos que têm acesso a dados pessoais sensíveis.
3. A Circle garante que as responsabilidades relacionadas à segurança da informação, aplicáveis imediatamente antes da rescisão ou mudança de função e após a rescisão/mudança, sejam comunicadas e implementadas.
Seleção de Fornecedores e Contratação de Serviços
1. A Circle avalia a capacidade dos fornecedores de atender aos seus requisitos de segurança antes de contratá-los.
2. A Circle possui contratos escritos com fornecedores que exigem a implementação de medidas de segurança adequadas para proteger os dados pessoais aos quais têm acesso e limitar o uso desses dados conforme as instruções da Circle.
3. A Circle realiza auditorias anuais em fornecedores (incluindo suboperadores) que têm acesso a dados, seja por inspeção física realizada por auditores de segurança qualificados ou pela revisão de certificações de segurança do fornecedor (como ISO 27001 ou relatórios SOC II).
4. O protocolo de resposta a incidentes da Circle e os contratos com fornecedores preveem auditoria dos fornecedores (e suboperadores) após o recebimento de qualquer notificação de incidente de segurança por parte do fornecedor.
Assistência com Solicitações de Direitos dos Titulares de Dados
1. A Circle implementou políticas e medidas apropriadas para identificar e tratar solicitações de direitos de titulares de dados, incluindo:
  1. os dados tratados em nome de cada Cliente são armazenados separadamente dos dados tratados pela Circle;
  2. a Circle mantém registros precisos que permitem identificar rapidamente todos os dados pessoais tratados em nome de um Cliente; e
  3. os backups de dados pessoais tratados pela Circle são sobrescritos regularmente para garantir que solicitações de exclusão e retificação sejam totalmente atendidas.

Anexo 3: Cláusulas Contratuais Padrão

Cláusulas Contratuais Padrão da UE

Com relação a quaisquer transferências mencionadas na Seção 13, as Cláusulas Contratuais Padrão deverão ser preenchidas da seguinte forma:
1. O Módulo Dois (controlador para operador) das SCCs será aplicado.
2. A Cláusula 7 das Cláusulas Contratuais Padrão (Docking Clause) não se aplica.
3. A Opção 2 da Cláusula 9(a) (Autorização escrita geral) será aplicada, sendo o período de tempo especificado determinado na Seção 7.4 do DPA.
4. A opção na Cláusula 11(a) das Cláusulas Contratuais Padrão (órgão independente de resolução de disputas) não se aplica.
5. Com relação à Cláusula 17 das Cláusulas Contratuais Padrão (Lei aplicável), as Partes concordam que a Opção 1 será aplicada, sendo a lei aplicável a lei irlandesa.
6. Na Cláusula 18 das Cláusulas Contratuais Padrão (Escolha de foro e jurisdição), as Partes submetem-se à jurisdição dos tribunais da Irlanda.
7. Para os fins do Anexo I das Cláusulas Contratuais Padrão, a Parte 1 do Anexo 1 do DPA contém as especificações relativas às partes, à descrição da transferência e à autoridade supervisora competente.
8. Para os fins do Anexo II das Cláusulas Contratuais Padrão, o Anexo 2 do DPA contém as medidas técnicas e organizacionais.
Adendo do Reino Unido
1. Este parágrafo 2 (Adendo do Reino Unido) será aplicado a qualquer transferência de Dados Abrangidos do Cliente (como exportador de dados) para a Circle (como importador de dados), na medida em que:
  1. as Leis de Proteção de Dados do Reino Unido se apliquem ao Cliente ao realizar essa transferência; ou
  2. a transferência seja uma "transferência subsequente" ("onward transfer") conforme definida no Adendo Aprovado.
2. No contexto deste parágrafo 2:
  
  "Adendo Aprovado" significa o adendo modelo, versão B.1.0, emitido pelo Comissário de Informação do Reino Unido de acordo com o S119A(1) da Data Protection Act 2018 e apresentado ao Parlamento do Reino Unido em 2 de fevereiro de 2022, conforme possa ser revisado de acordo com a Seção 18 do Adendo Aprovado.
  
  "Leis de Proteção de Dados do Reino Unido" significa todas as leis relacionadas à proteção de dados, tratamento de dados pessoais, privacidade e/ou comunicações eletrônicas em vigor no Reino Unido, incluindo o UK GDPR e a Data Protection Act 2018.
3. O Adendo Aprovado fará parte deste DPA com relação a quaisquer transferências mencionadas no parágrafo 2.1, e a assinatura deste DPA terá o mesmo efeito que a assinatura do Adendo Aprovado.
4. O Adendo Aprovado será considerado completo da seguinte forma:
  1. o termo "Adendo das Cláusulas Contratuais Padrão da União Europeia" (Addendum EU SCCs) se refere às SCCs conforme incorporadas neste Acordo de acordo com a Seção 13 e este Anexo 3;
  2. a Tabela 1 do Adendo Aprovado será preenchida com os detalhes da Seção A da Parte 1 do Anexo 1;
  3. o termo "Informação do Anexo" se refere às informações constantes da Parte 1 do Anexo 1 e do Anexo 2;
  4. para os fins da Tabela 4 do Adendo Aprovado, o Cliente (como exportador de dados) poderá encerrar este DPA, na medida em que o Adendo Aprovado se aplique, de acordo com a Seção 19 do Adendo Aprovado; e
  5. a Seção 16 do Adendo Aprovado não se aplica.
Adendo Suíço
1. Este Adendo Suíço será aplicado a qualquer Tratamento de Dados Abrangidos que esteja sujeito às Leis de Proteção de Dados Suíças ou tanto às Leis de Proteção de Dados Suíças quanto ao GDPR da UE.
2. Interpretação deste Adendo
  1. Quando este Adendo utilizar termos definidos nas Cláusulas Contratuais Padrão (SCCs), esses termos terão o mesmo significado que possuem nas Cláusulas Contratuais Padrão. Além disso, os seguintes termos têm os seguintes significados:
    - "Adendo" significa este adendo às Cláusulas;
    - "Cláusulas" significa as Cláusulas Contratuais Padrão conforme incorporadas neste DPA de acordo com a Seção 13 e conforme especificado adicionalmente neste Anexo 3; e
    - "FDPIC" significa o Comissário Federal de Proteção de Dados e Informação.
  2. Este Adendo deve ser lido e interpretado de maneira consistente com as Leis de Proteção de Dados Suíças, de modo a cumprir a obrigação das Partes de fornecer garantias apropriadas conforme exigido pelo Artigo 46 do GDPR e/ou pelo Artigo 6(2)(a) das Leis de Proteção de Dados Suíças, conforme o caso.
  3. Este Adendo não será interpretado de maneira que conflite com os direitos e obrigações previstos nas Leis de Proteção de Dados Suíças.
  4. Quaisquer referências à legislação (ou a disposições específicas da legislação) significam a legislação (ou disposição específica) conforme possa ser alterada ao longo do tempo, incluindo situações em que a legislação (ou disposição específica) tenha sido consolidada, reeditada e/ou substituída após a assinatura deste Adendo Suíço.
  5. No que diz respeito a qualquer Tratamento de Dados Pessoais sujeito às Leis de Proteção de Dados Suíças ou tanto às Leis de Proteção de Dados Suíças quanto ao GDPR, este Adendo altera e complementa as Cláusulas na medida necessária para que elas operem:
    - para transferências realizadas pelo exportador de dados ao importador de dados, na medida em que as Leis de Proteção de Dados Suíças se apliquem ao Tratamento do exportador de dados ao realizar essa transferência; e
    - para fornecer garantias apropriadas para as transferências, de acordo com o Artigo 6(2)(a) das Leis de Proteção de Dados Suíças, conforme o caso.
3. Hierarquia
  
  No caso de conflito ou inconsistência entre este Adendo e as disposições das Cláusulas ou outros acordos relacionados entre as Partes, existentes no momento em que este Adendo é acordado ou celebrado posteriormente, prevalecerão as disposições que proporcionem maior proteção aos Titulares de Dados.
4. Alterações das Cláusulas para transferências exclusivamente sujeitas às Leis Suíças de Proteção de Dados
  
  Na medida em que o Tratamento de Dados Pessoais pelo exportador de dados seja exclusivamente sujeito às Leis Suíças de Proteção de Dados, ou a transferência de Dados Pessoais de um exportador de dados para um importador de dados, de acordo com as Cláusulas, seja uma "transferência subsequente" (onward transfer) (conforme definida nas Cláusulas, conforme alterado pelo restante deste parágrafo 3.3(a)), as seguintes alterações são feitas nas Cláusulas:
  1. Referências às "Cláusulas" ou às "SCCs" significam este Adendo Suíço na medida em que altera as SCCs.
  2. A Cláusula 6, Descrição da(s) transferência(s), é substituída por:
  3. "Os detalhes da(s) transferência(s), e em particular as categorias de Dados Pessoais que são transferidos e as finalidades para as quais são transferidos, são aqueles especificados na Parte 1 do Anexo 1 deste DPA, quando as Leis Suíças de Proteção de Dados se aplicam ao Tratamento do exportador de dados ao realizar essa transferência."
  4. Referências a "Regulamento (UE) 2016/679"/, "o referido Regulamento" ou "GDPR" são substituídas por "Leis Suíças de Proteção de Dados", e referências a Artigos específicos do Regulamento (UE) 2016/679 ou do GDPR são substituídas pelo Artigo ou Seção equivalente das Leis Suíças de Proteção de Dados, na medida aplicável.
  5. Referências ao Regulamento (UE) 2018/1725 são removidas.
  6. Referências à "União Europeia", "União", "UE" e "Estado-Membro da UE" são todas substituídas por "Suíça".
  7. A Cláusula 13(a) e a Parte C do Anexo I não são utilizadas; a autoridade supervisora competente é o FDPIC.
  8. A Cláusula 17 é substituída por:
    
    "Estas Cláusulas são regidas pelas leis da Suíça."
  9. A Cláusula 18 é substituída por:
    
    "Qualquer disputa decorrente destas Cláusulas relacionada às Leis Suíças de Proteção de Dados será resolvida pelos tribunais da Suíça. Um Titular de Dados também poderá iniciar procedimentos legais contra o exportador e/ou importador de dados perante os tribunais da Suíça em cuja jurisdição ele/ela tenha residência habitual. As Partes concordam em se submeter à jurisdição desses tribunais."
5. Disposições suplementares para transferências de Dados Pessoais sujeitos tanto ao GDPR quanto às Leis Suíças de Proteção de Dados
  1. Na medida em que o Tratamento de Dados Pessoais pelo exportador de dados seja sujeito tanto às Leis Suíças de Proteção de Dados quanto ao GDPR, ou a transferência de Dados Pessoais de um exportador de dados para um importador de dados, de acordo com as Cláusulas, seja uma "transferência subsequente" ("onward transfer") nos termos das Cláusulas e das Cláusulas alteradas pelo parágrafo 3.3(c) deste Adendo:
    - Para os fins da Cláusula 13(a) e da Parte C do Anexo I: o FDPIC atuará como autoridade supervisora competente com relação a quaisquer transferências de Dados Pessoais, na medida em que as Leis Suíças de Proteção de Dados se apliquem ao Tratamento do exportador de dados ao realizar essa transferência, ou quando tal transferência for uma "transferência subsequente" conforme definida nas Cláusulas (alteradas pelo parágrafo 3.3 deste Adendo); e
    - Sujeito às disposições do parágrafo 2 deste Anexo 3 (Adendo do Reino Unido), a autoridade supervisora identificada no Anexo 1 atuará como autoridade supervisora competente com relação a quaisquer transferências de Dados Pessoais, na medida em que o GDPR se aplique ao tratamento do exportador de dados, ou quando tal transferência for uma "transferência subsequente" conforme definida nas Cláusulas.
  2. Os termos "União Europeia", "União", "UE" e "Estado-membro da UE" não devem ser interpretados de forma a excluir a possibilidade de os Titulares de Dados na Suíça apresentarem reclamações em seu local de residência habitual, de acordo com a Cláusula 18(c) das Cláusulas.
Transferências sob leis de outras jurisdições
1. Com relação a quaisquer transferências de Dados Pessoais mencionadas na Seção 13.1(b) (cada uma uma "Transferência Global"), as SCCs não devem ser interpretadas de forma a conflitar com os direitos e obrigações previstos nas Leis de Proteção de Dados do Exportador.
2. Para os fins de quaisquer Transferências Globais, as SCCs serão consideradas alteradas na medida necessária para que operem:
  1. para transferências realizadas pelo exportador de dados aplicável ao importador de dados, na medida em que as Leis de Proteção de Dados do Exportador se apliquem ao Tratamento desse exportador de dados ao realizar a transferência; e
  2. para fornecer garantias apropriadas para as transferências, de acordo com as Leis de Proteção de Dados do Exportador.
3. As alterações referidas no parágrafo 4.2 incluem (sem limitação) o seguinte:
  1. referências ao "GDPR" e a Artigos específicos do GDPR são substituídas pelas disposições equivalentes nas Leis de Proteção de Dados do Exportador;
  2. referências à "União", "UE" e "Estado-membro da UE" são todas substituídas pela referência à jurisdição em que as Leis de Proteção de Dados do Exportador foram emitidas (a "Jurisdição do Exportador");
  3. a "autoridade supervisora competente" será a autoridade supervisora aplicável na Jurisdição do Exportador; e
  4. as Cláusulas 17 e 18 das SCCs se referirão, respectivamente, às leis e tribunais da Jurisdição do Exportador.
4. Quando, a qualquer momento durante o Tratamento de Dados Abrangidos pela Circle sob este DPA, um mecanismo de transferência diferente das SCCs for aprovado de acordo com as Leis de Proteção de Dados do Exportador, em relação a transferências de Dados Abrangidos pelo Cliente para a Circle, as Partes deverão celebrar prontamente um acordo suplementar que:
  1. incorpore quaisquer cláusulas padrão de proteção de dados ou outro mecanismo de transferência formalmente adotado pela autoridade competente na Jurisdição do Exportador;
  2. incorpore os detalhes do Tratamento estabelecidos na Parte 1 do Anexo 1;
  3. com relação à transferência de Dados Pessoais sujeitos às Leis de Proteção de Dados do Exportador, tenha precedência sobre este DPA em caso de conflito.
5. Quando exigido pelas Leis de Proteção de Dados do Exportador, o exportador de dados relevante deverá apresentar uma cópia do acordo celebrado de acordo com o parágrafo 4.4 à autoridade nacional competente.

Anexo 4: Suboperadores

Suboperador	Finalidade	Descrição	Localização	Mecanismo de Transferência
Amazon Web Services, Inc. (AWS)	Hospedagem em nuvem	Fornece computação, armazenamento e infraestrutura usada para hospedar a aplicação da Circle e armazenar dados de clientes de forma segura.	EUA	Cláusulas Contratuais Padrão (SCCs)
Braintrust, Inc.	Avaliação de IA	Avalia e monitora o desempenho de funcionalidades de IA usando entradas e saídas de exemplo.	EUA	Cláusulas Contratuais Padrão (SCCs)
Buildkite Pty Ltd.	Pipelines CI/CD	Executa pipelines CI/CD para construir, testar e implantar a aplicação da Circle.	EUA	Cláusulas Contratuais Padrão (SCCs)
Clay Labs, Inc.	Enriquecimento de dados e automações de GTM	Enriquece dados de contatos e contas e é compatível com automações de go-to-market.	EUA	Cláusulas Contratuais Padrão (SCCs)
Cloudflare, Inc.	Observabilidade, monitoramento e segurança	Fornece CDN, otimização de desempenho e proteção de segurança (incluindo mitigação de DDoS e roteamento de tráfego).	EUA	Cláusulas Contratuais Padrão (SCCs)
dbt Labs, Inc. (dbt Cloud)	Transformação de dados e engenharia de relatórios	Executa jobs de transformação de dados nos dados de relatórios da Circle.	EUA	Cláusulas Contratuais Padrão (SCCs)
Fathom Analytics, Inc. (Fathom)	Transcrições de chamadas	Registra reuniões e gera transcrições, resumos e itens de ação.	EUA	Cláusulas Contratuais Padrão (SCCs)
Forethought Technologies, Inc.	Automação de suporte com IA	Fornece ferramentas de suporte com IA que processam tickets de suporte e conteúdos de ajuda.	EUA	Cláusulas Contratuais Padrão (SCCs)
Google Cloud (Google LLC)	Hospedagem em nuvem	Fornece serviços seguros de hospedagem compatível com parte da infraestrutura da Circle.	EUA	Cláusulas Contratuais Padrão (SCCs)
HubSpot, Inc.	CRM e marketing	Processa informações de contato de clientes e prospects para onboarding, comunicação de ciclo de vida e operações de marketing.	EUA	Cláusulas Contratuais Padrão (SCCs)
Last9, Inc.	Observabilidade e monitoramento	Fornece observabilidade da infraestrutura e aplicações da Circle (logs, métricas, traces).	EUA	Cláusulas Contratuais Padrão (SCCs)
LiveKit, Inc.	Infraestrutura de áudio e vídeo	Fornece compatibilidade com vídeo ao vivo (WebRTC, HLS) para sessões, eventos e funcionalidades interativas de vídeo.	EUA	Cláusulas Contratuais Padrão (SCCs)
Mailgun Technologies, Inc.	Serviço de envio de e-mails	Envia e-mails de marketing em nome dos clientes da Circle para membros da Circle através do E-mail Hub (ex.: notificações, e-mails de verificação).	EUA	Cláusulas Contratuais Padrão (SCCs)
New Relic, Inc.	Observabilidade e monitoramento	Fornece monitoramento de aplicações e infraestrutura (APM, registros, métricas)..	EUA	Cláusulas Contratuais Padrão (SCCs)
OpenAI, LLC	LLMs e outras funcionalidades de IA	Processa prompts e conteúdos submetidos pelos usuários quando funcionalidades habilitadas por IA são ativados na Circle.	EUA	Cláusulas Contratuais Padrão (SCCs)
RevenueCat, Inc.	Finanças e pagamentos	Processa dados de cobrança de clientes e membros, eventos de assinatura, análises de receita relacionadas e tokens de métodos de pagamento.	EUA	Cláusulas Contratuais Padrão (SCCs)
SendGrid (Twilio SendGrid, Inc.)	Serviço de envio de e-mails	Envia e-mails transacionais e operacionais para clientes e membros da Circle (ex.: notificações, e-mails de verificação).	EUA	Cláusulas Contratuais Padrão (SCCs)
Stripe, Inc.	Finanças e pagamentos	Processa dados de cobrança de clientes e membros, pagamentos de assinaturas e tokens de métodos de pagamento.	EUA	Cláusulas Contratuais Padrão (SCCs)
Zapier, Inc.	Automações	Processa dados acionados por automações para automatizar operações internas e integrações (orquestração de IA).	EUA	Cláusulas Contratuais Padrão (SCCs)
Zendesk, Inc.	Suporte ao cliente	Processa informações de contato de clientes e conteúdo de tickets de suporte para fornecer troubleshooting e atendimento.	EUA	Cláusulas Contratuais Padrão (SCCs)
100MS	Infraestrutura de áudio e vídeo	Fornece compatibilidade com vídeo ao vivo (WebRTC, HLS) para sessões, eventos e funcionalidades interativas de vídeo.	EUA	Cláusulas Contratuais Padrão (SCCs)

Adendo de Tratamento de Dados (DPA)

Anexo 1: Detalhes do Tratamento

Anexo 2: Medidas Técnicas e Organizacionais

Anexo 3: Cláusulas Contratuais Padrão

Anexo 4: Suboperadores

Site

Comunidade

Escala e Receita

IA e Automação

Saiba mais

Ajuda