Este Contrato de Processamento de Dados da AppLovin

Overview

AppLovin provides this translation as a courtesy. In the event of any conflict with the English version, the English version controls.

Data de vigência: 1 de agosto de 2023

Este Contrato de Processamento de Dados da AppLovin (“DPA”) está incorporado e sujeito ao Contrato de Termos de Uso da AppLovin disponível em https://www.applovin.com/terms ou outro contrato offline aplicável (o “Contrato”) entre AppLovin Corporation (“AppLovin”) (mesmo que o Contrato seja firmado com uma outra Afiliada da AppLovin) e o Usuário. Na medida em que você usar os Serviços, presumir-se-á que você aceitou este DPA mediante a aceitação ou execução do Contrato aplicável.

  1. ESCOPO
    1. As Partes concordam em firmar este DPA a fim de assegurar a conformidade com as Leis de Proteção de Dados aplicáveis. Os Usuários firmam este DPA em seus próprios nomes e em nome de suas Afiliadas autorizadas. A AppLovin pode divulgar Dados Pessoais mediante o uso dos Serviços pelo Usuário e, em observância às obrigações mútuas aqui estabelecidas, as Partes concordam em cumprir com as disposições a seguir acerca de quaisquer Dados Pessoais processados em conexão com os Serviços. Exceto conforme modificado a seguir, os Termos do Contrato permanecerão em pleno vigor e efeito.
  2. DEFINIÇÕES

    Além dos termos definidos no Contrato e anteriormente, os termos a seguir terão os seguintes significados para os fins deste DPA:

    1. Jurisdição Adequada” significa um país que garante um nível adequado de proteção para os direitos e liberdades de titulares de dados em relação ao processamento de dados pessoais, conforme determinado pela Comissão Europeia nos casos em que o GDPR se aplica, e conforme determinado pelo Gabinete do Comissário da Informação do Reino Unido nos casos em que o GDPR Britânico se aplica.
    2. Afiliadas” são uma entidade que, direta ou indiretamente, controla, é controlada ou está sob controle comum de uma Parte.
    3. Adendo Aprovado” significa o adendo de modelo (versão B.1.0) emitido pelo Gabinete do Comissário Internacional do Reino Unido (ICO) e apresentado ao Parlamento do Reino Unido de acordo com o s119A da Lei de Proteção de Dados de 2018 em 2 de fevereiro de 2022, conforme revisado na Seção 18 de tal adendo.
    4. CCPA” significa a Lei de Privacidade do Consumidor da Califórnia de 2018, Código Civil da Califórnia §1798.100 e seguintes, todos os quais implementam regulamentos, conforme emendado periodicamente, por exemplo, pela Lei de Direitos de Privacidade da Califórnia de 2020 (“CPRA”).
    5. Leis de Proteção de Dados” referem-se à Lei de Proteção de Dados da UE, à CCPA, à Lei Geral de Proteção de Dados Pessoais do Brasil, n. 13.709/2018 (“LGPD”), e qualquer outra legislação de proteção à privacidade de pessoas físicas em relação ao processamento de Dados Pessoais na extensão aplicável ao Processamento de Dados Pessoais de uma Parte em conexão com os Serviços.
    6. Direitos do Titular dos Dados” são os direitos garantidos aos Titulares de Dados pelas Leis de Proteção de Dados.
    7. Lei de Proteção de Dados da UE” significa o GDPR, a Diretiva de Privacidade Eletrônica, a legislação nacional de implementação e a Lei Federal Suíça de Proteção de Dados.
    8. GDPR” significa o Regulamento Geral de Proteção de Dados 2016/679 do Parlamento Europeu e do Conselho (“GDPR da UE”) e, quando aplicável, o “GDPR Britânico”, conforme definido pelo Regulamento relativo à Proteção de Dados, Privacidade e Comunicações Eletrônicas (Emenda Etc.) (EU Exit) de 2019.
    9. Estado Membro” significa um Estado Membro do Espaço Econômico Europeu, juntamente com a Suíça e o Reino Unido.
    10. SCCs” significa (a) no que diz respeito às transferências de dados da União Europeia para países terceiros que não são considerados jurisdição adequada pela Comissão Europeia, Módulo 1 (controlador para controlador) das Cláusulas Contratuais Padrão anexadas à Decisão de Execução da Comissão (UE) 2021/914 (as “SCCs da UE”); (b) com relação às transferências de dados do Reino Unido, Módulo 1 (controlador para controlador) das SCCs da UE conforme alterado pela Parte 2: Cláusulas Obrigatórias do Adendo Aprovado (as “Cláusulas Obrigatórias do RU”), juntamente com quaisquer outras mudanças de conformidade necessárias das SCCs da UE (coletivamente, as “SCCs do RU”); e (c) quaisquer cláusulas atualizadas, revisadas ou separadas relacionadas aos requisitos de transferência de dados do GDPR emitidas periodicamente pela Comissão Europeia, Gabinete do Comissário de Informações do Reino Unido, qualquer outra autoridade de proteção de dados aplicável ou outro órgão com autoridade e jurisdição competentes.
    11. Dados Pessoais Compartilhados” abrangem os Dados Pessoais Processados por uma Parte na medida em que esta parte tenha recebido tais Dados Pessoais da outra Parte (a outra parte, o “Compartilhador” segundo esta definição) em conexão com a execução do Contrato. Para que não restem dúvidas, também se presume que uma Parte “recebe” Dados Pessoais de um Compartilhador quando este permite o acesso a tais Dados Pessoais à Parte receptora.
    12. Avisos de Transparência” têm o significado atribuído pela cláusula 3.2(a).
    13. Os termos “Controlador”, “Processamento”, “Operador”, “Titular de Dados” e “Dados Pessoais” terão os significados atribuídos pela Lei de Proteção de Dados da UE. Na medida em que as Leis de Proteção de Dados usam termos diferentes para abordar conceitos similares àqueles apresentados em negrito na Seção 2.13, “Controlador”, “Processamento”, “Operador”, “Titular de Dados” e “Dados Pessoais” terão o significado atribuído a esses diferentes termos sob tais Leis de Proteção de Dados.
  3. PROCESSAMENTO DE DADOS; CONTROLADORES INDEPENDENTES
    1. AppLovin e Usuário: (a) são Controladores independentes no que se refere aos Dados Pessoais Compartilhados; e (b) determinarão individualmente os objetivos e meios do processamento dos Dados Pessoais.
    2. Todas as Partes, no que diz respeito ao Processamento de quaisquer Dados Pessoais Compartilhados, cumprirão as Leis de Proteção de Dados, incluindo o que se segue:
      1. todas as Partes fornecerão todos os avisos aplicáveis aos Titulares de Dados, conforme exigido pelas Leis de Proteção de Dados, para o seu Processamento legal dos Dados Pessoais Compartilhados (“Avisos de Transparência”).  O Usuário informará sobre o seu uso dos Serviços e de que forma a AppLovin processa os Dados Pessoais em seus Avisos de Transparência. Por exemplo, para Usuários que incorporaram Serviços de publicidade da AppLovin em seus aplicativos móveis, isso pode ser feito mediante a inclusão da seguinte mensagem nos Avisos de Transparência do Usuário: “Trabalhamos com a AppLovin para veicular anúncios em nosso aplicativo móvel. Para obter mais informações sobre a coleta e utilização das suas informações pela AppLovin, acesse: https://www.applovin.com/privacy/”;
      2. todas as Partes fornecerão todos os mecanismos necessários para garantir e validar os Direitos do Titular de Dados de acordo com as Leis de Proteção de Dados e responderão a questionamentos das autoridades governamentais;
      3. nenhuma Parte processará os Dados Pessoais Compartilhados para qualquer finalidade que não esteja determinada pelo Aviso de Transparência, a menos que tal Processamento seja também autorizado pelas Leis de Proteção de Dados e pelo Contrato;
      4. todas as Partes garantirão que os funcionários envolvidos no Processamento de tais Dados Pessoais Compartilhados ajam em conformidade com este DPA;
      5. todas as Partes implementarão medidas técnicas e organizacionais de segurança para evitar (i) destruição, perda, alteração, divulgação ou acesso acidental, ilegal ou não autorizado a Dados Pessoais Compartilhados ou (ii) qualquer outro incidente de segurança que ocasione uma “violação de dados pessoais” (na forma em que tal termo ou similar, como “violação do sistema de segurança” ou “violação de dados”, seja definido pelas Leis de Proteção de Dados) de Dados Pessoais Compartilhados (tanto no caso (i) quanto no caso (ii), uma “Violação de Dados”); e
      6. todas as Partes concordam que todo contrato com um suboperador cumprirá com as Leis de Proteção de Dados.
    3. Cada Parte notificará em particular, a menos que não seja permitido pela legislação aplicável, à outra Parte, sem atraso indevido, (i) quaisquer solicitações para exercer Direitos de Titulares de Dados recebidos por aquela Parte em relação aos Dados Pessoais Compartilhados, na extensão em que tais avisos sejam necessários sob a Lei de Proteção de Dados; (ii) questionamentos regulatórios envolvendo o Processamento de Dados Pessoais Compartilhados; e (iii) qualquer Violação de Dados envolvendo os Dados Pessoais Compartilhados na medida em que resulte em destruição material, perda, alteração, divulgação ou acesso aos Dados Pessoais Compartilhados.
    4. O Usuário declara e garante que recebeu (e manterá) todos os avisos necessários e que obteve todos os consentimentos e permissões necessários, de acordo com as Leis de Proteção de Dados, dos respectivos Titulares de Dados em nome da AppLovin, a fim de permitir que a AppLovin processe legalmente os Dados Pessoais conforme estabelecido pelo Contrato.
    5. Quando o consentimento for a base legal para o processamento de Dados Pessoais ou for, de outra forma, necessário para o uso dos Serviços, o Usuário declara e garante que sempre disponibilizará, manterá e tornará operacional nas propriedades do Usuário: (i) um mecanismo para obter tal consentimento dos Titulares de Dados conforme exigido pelas Leis de Proteção de Dados; e (ii) um mecanismo para Titulares de Dados retirarem (cancelarem) tal consentimento de acordo com as Leis de Proteção de Dados.
    6. Com relação ao CCPA, (i) sem prejuízo a quaisquer outras restrições estabelecidas no Contrato, os Dados Pessoais Compartilhados são divulgados ao Usuário para os fins limitados e específicos de permitir que o Usuário dê lances em inventário de publicidade ou veicule Anúncios por meio dos Serviços, e o Usuário processará os Dados Pessoais Compartilhados apenas para tais fins; (ii) o usuário cumprirá a CCPA, inclusive fornecendo o mesmo nível de proteção de privacidade exigido das empresas sob a CCPA; (iii) a AppLovin poderá tomar medidas razoáveis​e apropriadas para garantir que o Usuário processe os Dados Pessoais Compartilhados de maneira consistente com as obrigações da AppLovin sob o CCPA; (iv) o Usuário notificará a AppLovin imediatamente caso determine que não pode mais cumprir suas obrigações sob a CCPA; e (v) a AppLovin poderá, mediante notificação, tomar medidas razoáveis e apropriadas para interromper e remediar o processamento não autorizado de informações pessoais compartilhadas.
  4. DISPOSIÇÕES GERAIS
    1. Caso haja algum conflito ou discrepância entre as SCCs, o Contrato e este DPA, será aplicada a seguinte ordem de precedência: (i) as SCCs, (ii) este DPA e (iii) o Contrato.
    2. Este DPA não altera as limitações de responsabilidade definidas no Contrato.
    3. Este DPA entrará em vigor na data em que o Usuário aceitar o Contrato ou na data na qual o Usuário começar a usar os Serviços.  Este DPA será rescindido, de modo simultâneo e automático, ao término ou expiração do Contrato.
    4. Na extensão em que for exigido pela Lei de Proteção de Dados, este DPA será regido pelas leis da jurisdição aplicável.  Em todos os outros casos, este DPA será regido pelas leis da jurisdição determinada no Contrato.
  5. TRANSFERÊNCIAS INTERNACIONAIS
    1. As Partes concordam que as SCCs serão aplicáveis às transferências de Dados Pessoais Compartilhados, incluindo o acesso a esses dados:
      1. em caso de uma tranferência do Usuário à AppLovin, em que o processamento dos Dados Pessoais Compartilhados pelo Usuário esteja sujeito à Lei de Proteção de Dados da UE ou ao LGPD; ou
      2. no caso de uma transferência da AppLovin para o Usuário, em que:
        • o Usuário não esteja estabelecido em uma Jurisdição Adequada;
        • o Processamento dos Dados Pessoais Compartilhados esteja sujeito à Lei de Proteção de Dados da UE ou ao LGPD, ou a AppLovin seja, de outra forma, contratualmente obrigada a celebrar as SCCs.
    2. Para os fins das SCCs:
      1. O Anexo 1.A (Lista das Partes) incorporará presumidamente as informações no Plano I;
      2. O Anexo 1.B (Descrição da Transferência) incorporará presumidamente as informações no Plano III;
      3. O Anexo 1.C (Autoridade Supervisora Competente) referir-se-á presumidamente à autoridade supervisora identificada no Plano II;
      4. O Anexo II (Medidas Técnicas e Organizacionais) incorporará presumidamente as informações no Plano II;
      5. O idioma opcional na cláusula 7 das SCCs não se aplica;
      6. O idioma opcional na cláusula 11(a) das SCCs não se aplica;
      7. De acordo com a cláusula 17, as SCCs serão regidas pelas leis da Irlanda;
      8. De acordo com a cláusula 18(b) das SCCs, as Partes resolverão os litígios referentes às SCCs perante os tribunais do Chipre;
      9. Em relação à Tabela 4 referenciada nas Cláusulas Obrigatórias do RU, nenhuma Parte estará autorizada a extinguir o Adendo Aprovado de acordo com a cláusula 19 das Cláusulas Obrigatórias do RU; e
      10. Para exportadores de dados estabelecidos no Brasil (para fins de transferências de Dados Pessoais Compartilhados sob a LGPD), as SCCs serão regidas pelas leis da República Federativa do Brasil. Além disso, no concernente a tais transferências sob a LGDP, as Leis de Proteção de Dados aplicáveis serão compreendidas como a LGPD e a autoridade supervisora será a Autoridade Nacional de Proteção de Dados no Brasil (ANPD).

PLANO I

PARTES

Parte do contrato e função
Endereço da parte, nome da pessoa de contato, cargo e detalhes de contato e, se for o caso, do responsável pela proteção de dados e/ou representante na UE
Atividades relevantes para os dados transferidos sob estas Cláusulas
AppLovin(Controlador)

AppLovin Corporation

Endereço: 1100 Page Mill Road, Palo Alto, CA 94304 USA

E-mail: [email protected] 

 Os Dados Pessoais são transferidos da AppLovin para o Usuário em conexão com os Serviços.
Usuário(Controlador) Conforme especificado no Contrato. Os Dados Pessoais são disponibilizados ao Usuário em conexão com os Serviços.

PLANO II 

SCCs

Informações presumidamente incorporadas às SCCs
Exportador de dados

O Usuário é o exportador de dados na medida em que o Usuário fornece e processa Dados Pessoais da UE e Titulares de Dados do RU em conexão com o uso de tais Serviços.

A AppLovin é o exportador de dados na medida em que a AppLovin fornece e processa Dados Pessoais da UE e Titulares de Dados do RU em conexão com o uso de tais Serviços.
Importador de dados

A AppLovin é o importador de dados na medida em que o Usuário se qualifica como exportador de dados, de acordo com o estabelecido anteriormente.

O Usuário é o importador de dados na medida em que a AppLovin se qualifica como exportador de dados, de acordo com o estabelecido anteriormente.
Anexo I.A

Lista das Partes: informações importantes sobre o “Exportador de dados” e o “Importador de dados” segundo o Plano I e o Plano II estão incorporadas aqui para referência.
Anexo I.B

Descrição da Transferência: informações importantes do Plano III a seguir estão incorporadas aqui para referência.
Anexo I.C

Autoridade Supervisora Competente: a autoridade supervisora competente será determinada com base na situação aplicável ao exportador de dados de acordo com a cláusula 13 das Cláusulas Modelo (p. ex., se o exportador de dados estiver estabelecido em um Estado Membro da UE, enquadrar-se no Artigo 3(2) do GDPR e tiver nomeado um representante de acordo com o Artigo 27(1) do GDPR, ou enquadrar-se no Artigo 3(2) do GDPR e não tiver nomeado um representante de acordo com o Artigo 27(1) do GDPR), com a exceção de que, no caso das SCCs do RU, a autoridade supervisora competente sob as SCCs do RU será o Comissário de Informações do RU.
Anexo II

Medidas Técnicas e Organizacionais:

O Importador de dados implementará e manterá garantias técnicas, físicas e administrativas adequadas para a proteção da segurança, confidencialidade e integridade dos Dados Pessoais transmitidos aos Serviços.

Quando a AppLovin atuar como importador de dados, tais medidas serão definidas em uma declaração de segurança da AppLovin. O Importador de dados disponibilizará tal declaração ao Exportador de dados mediante solicitação.

PLANO III

DESCRIÇÃO DA TRANSFERÊNCIA

Categorias de titulares de dados cujos dados são transferidos 

Os dados pessoais transferidos referem-se às seguintes categorias de titulares de dados:

  • Pessoas que são usuários finais do aplicativo móvel do Usuário.
  • Pessoas que são contatos comerciais e de marketing do Usuário.
  • Pessoas cuja navegação de um aplicativo móvel acionou uma solicitação de lance de publicidade.
  • Pessoas que são funcionários, agentes ou representantes do Usuário na plataforma online da AppLovin.

Categorias de dados transferidos

Os dados pessoais transferidos referem-se às seguintes categorias de dados:

Identificadores de publicidade de dispositivos móveis (por exemplo, IDFA/Google Ad ID, endereço IP);

Dados do dispositivo, como marca, modelo, sistema operacional, propriedades e configurações do dispositivo, dados brutos de localização;

Dados transacionais e dados de atribuição por clique;

Idade, ano de nascimento, gênero e interesses do usuário final, se aplicável (quando o editor optar por compartilhar esses dados de acordo com sua política de privacidade);

Contato comercial e informações de cobrança (p. ex., nome, endereço de e-mail, endereço de cobrança, número de telefone, número VAT, número de conta bancária, na medida em que sejam considerados dados pessoais).

Informações sigilosas transferidas (se aplicável)

Os dados pessoais transferidos referem-se às seguintes categorias de dados sigilosos:

Nenhuma.

Frequência da transferência

Caso a AppLovin e o Usuário concordem com os Serviços incorporados em um aplicativo móvel em tempo real, a transferência será realizada em tempo real cada vez que um usuário final acessar e navegar pelo aplicativo. 

Natureza do processamento e finalidade da(s) transferência(s) e processamento posterior

Os Dados Pessoais são processados com a finalidade de fornecer os Serviços de acordo com o Contrato, incluindo todas as finalidades permissíveis determinadas no respectivo Aviso de Transparência do Importador de dados.

O período pelo qual os dados pessoais serão retidos, ou, se isso não for possível, os critérios usados para determinar esse período

As Partes terão acesso a determinados Dados Pessoais Compartilhados por tanto tempo quanto o Usuário mantiver ativos os Serviços. A AppLovin conservará os Dados Pessoais por até 2 (dois) anos.

Para transferências para (sub)operadores, deve-se especificar também o assunto, a natureza e a duração do processamento

Os Dados Pessoais transferidos podem ser revelados somente para os seguintes destinatários ou categorias de destinatários:

Prestadores de serviços empregados pela AppLovin para fornecer os Serviços e aqueles de outra forma descritos neste Aviso de Transparência. 

Prestadores de serviços empregados pelo Usuário para implementar, operar e otimizar os Serviços e aqueles de outra forma descritos neste Aviso de Transparência. 

A duração do processamento estará em conformidade com o período de retenção de dados descrito anteriormente.