A Momentive fornece seus produtos no mundo todo e usa subcontratados globais para ajudar-nos a fornecer esses produtos e serviços. No contrato firmado com você, prometemos que cada transferência de dados pessoais para nós cumpra com as leis de proteção de dados. Também garantimos que, quando fazemos transferências subsequentes de dados pessoais, o destinatário protege os dados pessoais com recursos que não menos rigorosos do que o padrão que aplicamos aos dados pessoais sob nosso poder.

Para ajudar você a determinar se existe um nível de proteção adequado para os dados pessoais transferidos à Momentive e a terceiros, levando em consideração a decisão proferida em 16 de julho de 2020 pelo Tribunal de Justiça da União Europeia (“TJUE”) no Caso C-311/18, Comissão de Proteção de Dados x Facebook Ireland Limited e Maximilian Schrems (“Schrems II”) e a orientação do Conselho de Proteção de Dados Europeu (“CPDE”) com respeito a medidas adicionais - fornecemos algumas informações abaixo sobre como sua informação é protegida durante o tráfego.

Para obter mais informações sobre como processamos os dados pessoais em geral, consulte nosso Aviso de privacidade.

Parte I: Transferências para a Momentive

Parte II: Transferências subsequentes para subprocessadores

Se você é cliente dos EUA, seu contrato incluirá um aditivo de proteção de dados (APD) com a entidade da Momentive nos EUA: Momentive Inc. Se tiver usuários no Espaço Econômico Europeu ("EEE" ou no Reino Unido ("UK") e, portanto, precisa de um mecanismo de transferência para dados de usuários para a Momentive, você pode solicitar que adicionemos as cláusulas contratuais padrão da UE e/ou UK ("CCP").

Se você é cliente residente no EEE ou UK, seu contrato incluirá um aditivo de proteção de dados ("APD") com a entidade da Momentive da Irlanda: Momentive Europe UC. Como a transferência de você para a Momentive é entre entidades europeias  para as quais não é necessário nenhum mecanismo de transferência (ou que reconheceu o status mútuo de adequação), não é necessário nenhum outro mecanismo de transferência.

Se você é cliente residente fora dos EUA, EEE ou UK, mas tem usuários no EEE ou UK e precisa assegurar-se de que existe um mecanismo de transferência para transferências subsequentes, seu contrato incluirá um APD com a entidade Momentive da Irlanda, a Momentive Europe UC, e você pode solicitar que adicionemos CCPs da UE e/ou do UK.

Você transfere dados pessoais à Momentive para que possamos processar os dados pessoais para as seguintes finalidades:

Avalie se você transfere dados para alguma finalidade diferente.

Os dados pessoais do cliente transferidos à Momentive podem ter todas as informações pessoais que você decidir fornecer nas suas perguntas nas pesquisas, formulários e questionários. Como plataforma, pressupomos que uma grande variedade de dados pessoais, inclusive dados de categoria potencialmente especial, é coletada por você. 

As informações que coletamos estão especificadas na seção 2 do nosso Aviso de Privacidade.

Como se indica acima, você firmará um contrato com uma entidade da Momentive nos EUA ou Irlanda, dependendo da sua localização. Com base na assessoria fornecida por consultores externos especializados em proteção de dados e análise das leis às quais a Momentive está sujeita, acreditamos que o risco associado com o regime jurídico nos EUA seja baixo, e o risco associado com o regime jurídico na Irlanda seja de zero risco material ao sujeito dos dados. Veja a seção "Medidas adicionais: organização" abaixo para mais informações sobre a legislação dos EUA especificamente.

Mesmo onde houver um baixo risco material ou nenhum risco devido ao regime jurídico no país de destino, a Momentive implementou medidas adicionais para proteger ainda mais os dados pessoais. As medidas adicionais estão divididas em três categorias: (i) contratual; (ii) organizacional; e (iii) proteções técnicas. 

Conforme descrito acima, a Momentive concorda em celebrar CCPs com seus Clientes. Segundo a resolução Schrems II, as partes podem usar CCPs e, sempre que apropriado, outras proteções para transferir dados pessoais do Reino Unido e do Espaço Econômico Europeu (“Dados Europeus”) para os Estados Unidos. Se você celebrou um contrato com a Momentive ou usa seus serviços de outra maneira de forma que ela precise processar dados pessoais de sujeitos de dados europeus (conforme apropriado dependendo da entidade que você está contratando), a Momentive: 

Para obter mais informações sobre nosso acordo que será vinculado pelas Cláusulas Contratuais Padrão, veja os Termos de Uso (para clientes de autoatendimento), o Contrato principal de serviços (para clientes do SurveyMonkey Enterprise e GetFeedback Digital), ou outro acordo que você possa ter negociado com a Momentive.

As preocupações do CJEU sobre as transferências de dados para os Estados Unidos basearam-se na coleta de dados nos EUA sob a Ordem Executiva 12333 (“EO 12333”) e sob a Seção 702 da Lei de Vigilância da Inteligência Estrangeira (“FISA § 702”), especialmente a vigilância “upstream” no âmbito da FISA § 702.  Os riscos presentados por essas cláusulas legais dos EUA não se aplicam ao processamento da Momentive de dados pessoais ou podem ser suficientemente mitigados pelas proteções organizacionais que a Momentive oferece.

A Momentive não é elegível para receber pedidos de vigilância "upstream" ou em massa sob a FISA § 702. A Momentive Inc. atua, em parte, como um serviço de comunicações eletrônicas ("SCE") e também, potencialmente, um serviço de computação remota ("SCR") (como se define nas Seções 2510 e 2711 do Título 18 USC, respectivamente) em conexão com certos serviços ou recursos de produtos que fornecemos aos Clientes. A Momentive Inc. está entre o grande grupo de empresas sobre a qual o governo dos Estados Unidos poderia servir uma diretriz específica sob o FISA § 702. Porém, à medida que o governo interpretou e aplicou o FISA § 702, a Momentive não é elegível para receber o tipo de pedido que foi a principal preocupação para o CJEU na decisão do Schrems II, por exemplo, uma  ordem do FISA § 702 para vigilância "upstream".  Como o governo dos EUA aplicou o FISA § 702, ele usa as ordens upstream apenas para segmentar o tráfego que passa pelos fornecedores estruturais da internet que transportam o tráfego da Internet para terceiros (por exemplo, operadoras de telecomunicações). Por exemplo, veja o relatório do Conselho de Supervisão de Privacidade e Liberdades Civis, o Relatório sobre o Programa de Vigilância Operado Segundo a Seção 702 da Lei de Vigilância da Inteligência Exterior (2 de julho de 2014), páginas 35-40, disponível em https://fas.org/irp/offdocs/pclob-702.pdf. A Momentive não fornece esses serviços estruturais da Internet, pois apenas transportamos tráfego que envolvam nossos próprios clientes.  Portanto, não somos elegíveis para receber o tipo de ordem principalmente abordada, e considerada problemática na decisão do Schrems II.

A Momentive não recebeu nenhuma diretriz no âmbito do FISA § 702, e é improvável que recebamos alguma. Até a data desta declaração, a Momentive não recebeu nenhuma diretriz no âmbito do FISA § 702 e não há motivo para acredita que em algum momento a Momentive poderia receber essa diretriz. É altamente improvável que os dados pessoais que a Momentive processa para nossos clientes – dados de feedback – sejam relevantes para as atividades de inteligência estrangeira regidas pelo FISA § 702. Além disso, caso algum dado pessoal seja relevante para alguma investigação, é mais provável que o governo procure esses dados por outros meios jurídicos (como um mandato de busca aprovado por um juiz) que satisfaçam os altos padrões para o acesso governamental aos dados descritos na resolução do Schrems II. Isso se deve a que seria muito mais rápido e fácil para o governo aplicar uma ordem ou mandato antes que o FISA § 702 para implementar mecanismos exigidos para o governo para apresentar diretrizes à Momentive no âmbito do FISA § 702.

A Momentive não assiste — e não pode ser obrigada a assistir — às autoridades dos EUA para coletar informações sob a Ordem Executiva 12333. A Momentive não presta e não prestará nenhuma assistência às autoridades dos EUA que conduzem vigilância no âmbito da EO 12333.  A EO 12333 não dá ao governo dos EUA a possibilidade de obrigar as empresas a prestar assistência com essas atividades, e a Momentive não fará isso voluntariamente.  Consequentemente, a Momentive não toma, nem pode ser obrigada a tomar, nenhuma medida para facilitar o tipo de vigilância em massa prevista na resolução Schrems II da EO 12333 considerada problemática.

A Momentive fornece uma variedade de medidas técnicas que erradicam as principais deficiências citadas na resolução do Schrems II referente ao citado (vigilância em massa prevista no FISA § 702 e intercepções em massa previstas no EO 12333).  

A Momentive criptografa todos os dados inativos em nossos centros de dados usando criptografia AES-256. Ela também criptografa todos os dados ativos com: (i) certificados RSA-2048 gerados por uma Autoridade de Certificação pública em comunicações com entidades de fora de seus centros de dados; e (ii) certificados RSA-256 gerados pela Autoridade de Certificação Interna com todos os dados do centro de dados. Esses esforços de criptografia visam a prevenir a aquisição não autorizada de dados de forma inteligível e a prevenção de grampos/adulterações quando os dados estão em trânsito entre dois pontos. 

Alguns clientes da Momentive (por exemplo, clientes da GetFeedback Digital) têm seus dados armazenados apenas na União Europeia. Nesses casos, os dados não são armazenados nos EUA e um mínimo acesso a esses dados ocorre nos Estados Unidos para fins limitados (por exemplo, para prestar suporte ao cliente sob pedido para seguir o suporte do sun.security e/ou recursos de engenharia limitados para resolver problemas/bugs técnicos ou criar sistemas).

A Momentive também mantém procedimentos administrativos, técnicos e físicos rigorosos para proteger as informações armazenadas em seus servidores. O acesso às informações pessoais é limitado por meio de credenciais de login aos colaboradores que precisam delas para realizar seu trabalho. A Momentive implementa técnicas de minimização de dados para limitar o volume de dados pessoais transferidos da UE para jurisdições de terceiros incluindo, quando for o caso, a pseudonimização ou a desidentificação dos dados. Além disso, a Momentive usa controles de acesso, tais como a autenticação de multifatores, o login unificado, o acesso apenas se necessário, fortes controles de senhas e acesso restrito a contas administrativas.  

Além disso, enquanto SCE/SCR, a Momentive está sujeita à Lei de Privacidade de Comunicações Eletrônicas, 18 USC. § 2701, et seq. dos EUA  ("ECPA", na sigla em inglês), que fornece proteção aos Clientes da Momentive. Por exemplo, a ECPA proíbe que órgãos do governo procurem informações sobre Clientes de serviços como a Momentive, a não ser que esses órgãos primeiro passem pelo processo jurídico apropriado, incluindo um mandato judicial ou mandato de busca para as informações, diferente das informações básicas do assinante. Do mesmo modo, tanto o FISA quanto a ECPA fornece aos Clientes da Momentive a reparação contra o governo dos EUA (incluindo danos monetários ou medidas disciplinares contra as autoridades governamentais relevantes) se obtém inadequadamente informações sobre eles (ver 18 USC. § 2712).

Igualmente, a assessoria jurídica externa da Momentive, com a qual trabalha há muito tempo, tem experiência em responder aos pedidos de dados de usuários do governo dos EUA previstos no FISA § 702. A política da Momentive é transferir essas solicitações à própria equipe interna de conformidade legal da Momentive e, se necessário, a essa assessoria externa para avaliação. Sempre que for o caso, a Momentive pretende usar os mecanismos jurídicos disponíveis para contestar as demandas de acesso aos dados usando o FISA § 702 (incluindo quaisquer cláusulas ou ordens de não revelação anexas a elas) no caso improvável de que a Momentive receba essa demanda. A demanda então seria analisada por um tribunal dos EUA (o Tribunal do FISA). 

A Momentive também reconhece que uma ordem para fornecer acesso aos dados no âmbito do FISA § 702 exige que a Momentive notifique nossos Clientes de que não poderíamos cumprir com as Cláusulas Contratuais Padrão, permitindo que rescindam o contrato conosco e suspendam os fluxos de dados para nós. Nunca tivemos de emitir uma notificação desse tipo.

Considerando a análise acima, acreditamos que o risco de danos ao sujeito dos dados não é material.

A tabela abaixo resumo nossa conclusão da avaliação do impacto da transferência.

Um risco "não material" significa que os dados pessoais são transferidos a uma jurisdição que foi considerada apropriada pela Comissão Europeia (e, assim, as proteções jurídicas são equivalentes às da Europa), e que existem medidas contratuais, técnicas e organizacionais vigentes para proteger ainda mais os dados.

Um risco "baixo" significa que os dados pessoais são transferidos a uma jurisdição com um mecanismo do RGPD Capítulo V em vez da adequação. Enquanto as proteções jurídicas são não necessariamente equivalentes às da Europa, a transferência ainda cumpre com as normas legais e é amparada por medidas contratuais, técnicas e organizacionais vigentes para proteger ainda mais os dados.

Os subprocessadores são fornecedores da Momentive que processam os dados pessoais dos seus usuários para ajudar a Momentive a prestar o serviço a você. Todos os subprocessadores da Momentive têm um vínculo contratual para proteger os dados pessoais com medidas de proteção não menos rigorosas do que o padrão que aplicamos aos dados pessoais sob nosso poder.

Quando a Momentive transfere dados pessoais aos subprocessadores, realizamos uma Avaliação do Impacto da Transferência ("AIT") similar às etapas mencionadas acima. Fazemos isso para garantir que seus dados pessoais estejam protegidos em cada etapa, tal como exige a lei de proteção de dados e o contrato que firmamos com você. Fornecemos um resumo dos pontos mais importantes da AIT para cada subprocessador abaixo.

Observe que nem todos os subprocessadores são usados para prestar todos os nossos Serviços. Nossa lista de subprocessadores está segmentada por serviços específicos da Momentive. 

Se quiser receber avisos quando houver atualizações na nossa Lista de subprocessadores, inscreva-se aqui.

Campaign Monitor, Turbine Room Ltd (FirstOfficer.io), e Salesloft, Inc., que antes eram subprocessadores da GetFeedback Direct, foram removidos da lista.