Este Contrato de Tratamento de Dados (doravante “DPA”) é celebrado entre a MyScript SAS, uma empresa francesa localizada a 3 rue de la Rainière, 44339, Nantes, França (doravante “MyScript” ou o “Operador”, também conhecido como “Subcontratante” na União Europeia) e Você (doravante “Você”, “Seu(s)”, “Sua(s)” ou o “Controlador”, também conhecido como “Responsável pelo Tratamento” na União Europeia), e ambos conjuntamente referidos como as “Partes”.
Este DPA é parte integrante da Notificação Legal e dos Termos de Uso da MyScript e é legalmente vinculativo para qualquer pessoa que criar uma conta da MyScript. Se Você não criar uma conta da MyScript, este DPA não será aplicável.
Este DPA está em conformidade com os requisitos da estrutura legal atual em relação ao tratamento de dados e com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas físicas, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/EC (Regulamento Geral sobre a Proteção de Dados, GDPR).
1.1 Salvo definição em contrário neste documento, os termos e as expressões em maiúsculas usados neste DPA terão o seguinte significado:
“Leis de Proteção de Dados” se refere a leis e regulamentos da União Europeia, do EEE e seus Estados-membros, da Suíça e do Reino Unido, aplicáveis ao Tratamento de Dados Pessoais, incluindo o GDPR;
“Transferência de dados” significa:
- uma transferência de Dados Pessoais do Usuário de Você para o Operador/Subcontratante; ou
- uma transferência posterior de Dados Pessoais do Usuário a partir do Operador/Subcontratante para um Encarregado/Subcontratante Ulterior ou entre dois estabelecimentos do Operador/Subcontratante, em cada caso, quando essa transferência for proibida pelas Leis de Proteção de Dados (ou pelos termos dos contratos de transferência de dados implementados para tratar das restrições de transferência de dados das Leis de Proteção de Dados);
“DPA” significa este Contrato de Tratamento de Dados, incluindo todos os Anexos;
“EEE” significa o Espaço Econômico Europeu;
“GDPR” significa o Regulamento Geral sobre a Proteção de Dados da União Europeia 2016/679;
“Usuário Final” significa a(s) pessoa(s) física(s) a quem Você concedeu acesso para usar o reconhecimento do MyScript Cloud por meio do portal do desenvolvedor;
“Serviço(s)” significa os serviços que a MyScript fornece (i) por meio da plataforma de compartilhamento e armazenamento na nuvem do Nebo (“Nebo Cloud”) ou (ii) ao gerenciar e responder à solicitação de suporte ao Nebo ou (iii) por meio do portal do desenvolvedor da MyScript para reconhecimento de texto. Esses Serviços só podem ser acessados após Você criar uma conta da MyScript;
“Encarregado”, também conhecido como “Subcontratante Ulterior” na União Europeia, significa qualquer pessoa física ou jurídica indicada por ou em nome do Operador/Subcontratante para tratar dos Dados Pessoais do Usuário em Seu nome, em relação à prestação dos Serviços ou a este DPA;
“Dados Pessoais do Usuário” significa qualquer Dado Pessoal contido em qualquer arquivo, nota ou documento que seja carregado/enviado ao Operador/Subcontratante por meio dos Serviços, como qualquer um dos Seus cadernos que Você carregar no Nebo Cloud. (Isso pode incluir Seus próprios dados pessoais, mas também qualquer dado pessoal de qualquer outra pessoa física que você compartilhar com o Operador/Subcontratante por meio do Serviço.)
1.2 Os termos “Controlador”, também conhecido como “Responsável pelo Tratamento” na União Europeia, “Titular dos Dados“, “Estado-membro”, “Dados Pessoais”, “Violação de Dados Pessoais”, “Tratamento” e “Operador”, também conhecido como “Subcontratante” na União Europeia, terão o mesmo significado que no GDPR, e seus termos relacionados serão interpretados de acordo.
2.1 Para os fins deste DPA, e de acordo com as definições do GDPR, a MyScript atua como Operador/Subcontratante e Você atua como Controlador/Responsável pelo Tratamento.
2.2 O Operador/Subcontratante:
- cumprirá todas as Leis de Proteção de Dados aplicáveis no Tratamento dos Dados Pessoais do Usuário; e
- não fará o Tratamento dos Dados Pessoais do Usuário, a não ser de acordo com as instruções documentadas por Você.
2.3 Pelo presente, Você instrui o Operador/Subcontratante a tratar dos Dados Pessoais do Usuário a fim de fornecer os Serviços.
O Operador/Subcontratante tomará medidas razoáveis para garantir a confiabilidade de qualquer funcionário, agente ou contratado do Operador/Subcontratante que possa ter acesso aos Dados Pessoais do Usuário, garantindo, em cada caso, que o acesso seja estritamente limitado aos indivíduos que precisam acessar os Dados Pessoais do Usuário relevantes para a prestação dos Serviços ou para desempenhar sua função dentro da organização do Operador/Subcontratante, e para cumprir as leis aplicáveis no contexto dos deveres desse indivíduo para com o Operador/Subcontratante, garantindo que todos esses indivíduos estejam sujeitos a compromissos de confidencialidade ou obrigações profissionais ou estatutárias de confidencialidade.
4.1 Responsabilidades de Segurança do Operador/Subcontratante
4.1.1 Levando em consideração os últimos avanços, os custos de implementação e a natureza, o escopo, contexto e as finalidades do Tratamento, bem como o risco de gravidade e probabilidade variáveis para os direitos e liberdades das pessoas físicas, o Operador/Subcontratante, em relação aos Dados Pessoais do Usuário, implementará medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado a esse risco, incluindo, conforme apropriado, as medidas mencionadas no Artigo 32(1) do GDPR.
4.1.2 Ao avaliar o nível adequado de segurança, o Operador/Subcontratante levará em conta, em particular, os riscos apresentados pelo Tratamento, especialmente os decorrentes de uma Violação de Dados Pessoais.
4.1.3 As medidas de segurança do Operador/Subcontratante estão detalhadas no Anexo 2 deste DPA.
4.2 Suas Responsabilidades de Segurança
4.2.1. Você concorda que, sem prejuízo das obrigações do Operador/Subcontratante nos termos da Seção 4.1 (Medidas de Segurança) e da Seção 7 (Violação de Dados Pessoais):
4.2.1.1 Você é o único responsável pelo Seu uso do Serviço, inclusive (i) certificando-se de que obteve todas as permissões necessárias de qualquer pessoa física cujos Dados Pessoais sejam tratados por meio do Serviço e (ii) mantendo todas as Suas credenciais de login e senhas em segurança e alterando-as regularmente.
4.2.1.2. O Operador/Subcontratante não tem nenhuma obrigação de proteger os Dados Pessoais do Usuário que Você opta por armazenar ou transferir fora dos sistemas do Operador/Subcontratante (ou dos Encarregados/Subcontratantes Ulteriores).
4.2.2. Você é o único responsável por revisar as medidas de segurança e avaliar por si mesmo se o Serviço, as medidas de segurança, as informações adicionais de segurança e os compromissos do Operador/Subcontratante nos termos desta Seção 4 (Segurança de Dados) atenderão às Suas necessidades, inclusive com relação a qualquer obrigação de segurança das leis de proteção de dados aplicáveis à Sua jurisdição.
5.1 O Operador/Subcontratante não transferirá os Dados Pessoais do Usuário a terceiros e não indicará (ou divulgará quaisquer Dados Pessoais do Usuário a) qualquer Encarregado/Subcontratante Ulterior, a menos que seja solicitado ou autorizado por Você.
5.2 Pelo presente, Você autoriza os Encarregados/Subcontratantes Ulteriores listados no Anexo 1 deste DPA a receber e tratar os Dados Pessoais do Usuário conforme necessário para a prestação dos Serviços. O Operador/Subcontratante informará Você de qualquer alteração no Anexo 1, antes do Tratamento de quaisquer Dados Pessoais do Usuário por qualquer novo Encarregado/Subcontratante Ulterior, e Você poderá deixar de usar os Serviços.
5.3 O Operador/Subcontratante será responsável pelos atos e omissões de seus Encarregados/Subcontratantes Ulteriores na mesma medida em que o Operador/Subcontratante seria responsável, se estivesse executando os serviços de cada Encarregado/Subcontratante Ulterior diretamente nos termos deste DPA e da Notificação Legal e dos Termos de Uso.
6.1 Levando em consideração a natureza do Tratamento, o Operador/Subcontratante ajudará Você implementando medidas técnicas e organizacionais apropriadas, na medida do possível, para o cumprimento das Suas obrigações, conforme razoavelmente entendido pelo Operador/Subcontratante, para responder às solicitações de exercício dos direitos do Titular dos Dados de acordo com as Leis de Proteção de Dados, ou seja, direito de acesso, direito de retificação, restrição de Tratamento, apagamento, portabilidade de dados, objeção ao Tratamento ou seu direito de não estar sujeito a uma tomada de decisão individual automatizada (doravante “Solicitação do Titular dos Dados”).
6.2 O Operador/Subcontratante:
- notificará Você prontamente caso ele receba uma solicitação de um Titular dos Dados nos termos de qualquer Lei de Proteção de Dados em relação aos Dados Pessoais do Usuário; e
- garantirá que ele não responda a essa solicitação, exceto de acordo com as Suas instruções documentadas ou conforme exigido pelas leis aplicáveis às quais o Operador/Subcontratante está sujeito, sendo que, nesse caso, o Operador/Subcontratante, na medida permitida pelas leis aplicáveis, informará Você sobre essa exigência legal antes de responder à solicitação.
6.3 Levando em consideração a natureza do Tratamento, o Operador/Subcontratante ajudará Você por meio de medidas técnicas e organizacionais apropriadas, na medida do possível, para o cumprimento da Sua obrigação de responder a uma Solicitação do Titular dos Dados, de acordo com as Leis Europeias de Proteção de Dados. Além disso, na medida em que Você, ao usar o Serviço, não tiver a capacidade de atender a uma Solicitação do Titular dos Dados, o Operador/Subcontratante, mediante Sua solicitação por escrito, fornecerá a Você cooperação e assistência razoáveis a fim de facilitar Sua resposta a essa Solicitação do Titular dos Dados, na medida em que o Operador/Subcontratante tiver permissão legal para fazê-lo e a resposta a essa Solicitação do Titular dos Dados for exigida pelas Leis Europeias de Proteção de Dados. Na medida em que for legalmente permitido, Você será responsável por qualquer custo decorrente do fornecimento de tal assistência pelo Operador/Subcontratante.
7.1 O Operador/Subcontratante notificará Você e a Autoridade Supervisora Competente, sem atrasos indevidos, quando o Operador/Subcontratante tomar conhecimento de uma Violação de Dados Pessoais que afete os Dados Pessoais do Usuário, fornecendo a Você informações suficientes para permitir que Você cumpra todas as obrigações de relatar ou informar os Titulares dos Dados sobre a Violação de Dados Pessoais de acordo com as Leis de Proteção de Dados.
7.2 O Operador/Subcontratante vai cooperar com Você e tomar medidas comerciais razoáveis, conforme a Sua orientação, para auxiliar na investigação, mitigação e remediação de cada uma dessas Violações de Dados Pessoais.
7.3 Notificações de qualquer Violação de Dados Pessoais serão entregues a Você por meio de comunicação direta. Você é o único responsável por garantir que todas as informações de contato, incluindo endereço de e-mail de notificação, fornecidas ao Operador/Subcontratante sejam atuais e válidas.
7.4 O Operador/Subcontratante não avaliará o conteúdo dos Dados Pessoais do Usuário a fim de identificar informações sujeitas a qualquer requisito legal específico. Você é o único responsável pelo cumprimento das leis de notificação de incidentes aplicáveis e pelo cumprimento de qualquer obrigação de notificação de terceiros relacionada a qualquer Violação de Dados Pessoais.
7.5 A notificação ou resposta do Operador/Subcontratante a uma Violação de Dados Pessoais nos termos desta Seção 7.1 (Violação de Dados Pessoais) não será interpretada como um reconhecimento pelo Operador/Subcontratante de qualquer falha ou responsabilidade com relação à Violação de Dados Pessoais.
O Operador/Subcontratante fornecerá a Você assistência razoável com qualquer avaliação de impacto da proteção de dados e consulta prévia com as autoridades supervisoras ou outras autoridades competentes de privacidade de dados, que Você considere razoavelmente exigidas pelo artigo 35 ou 36 do GDPR ou disposições equivalentes de qualquer outra Lei de Proteção de Dados, em cada caso exclusivamente em relação ao Tratamento de Dados Pessoais do Usuário pelo Operador/Subcontratante, e levando em consideração a natureza do Tratamento e as informações disponíveis para o Operador/Subcontratante.
9.1 Mediante Sua solicitação expressa ou após a exclusão da Sua conta por Você mesmo, o Operador/Subcontratante excluirá os Dados Pessoais do Usuário que tenham sido Tratados ou que estejam sendo Tratados pelo Operador/Subcontratante. A exclusão é definitiva e o Operador/Subcontratante não manterá nenhuma cópia de tais Dados Pessoais do Usuário.
9.2 Após a interrupção dos Serviços, o Operador/Subcontratante prontamente e, em qualquer caso, dentro de 12 meses da data de interrupção de quaisquer Serviços que envolvam o Tratamento de Dados Pessoais do Usuário, excluirá e providenciará a exclusão de todas as cópias (se houver) desses Dados Pessoais do Usuário que tenham sido transferidos para o Operador/Subcontratante (ou qualquer Encarregado/Subcontratante Ulterior) durante a prestação do Serviço.
10.1 O Operador/Subcontratante realizará auditorias regularmente e garantirá que todos os Encarregados/Subcontratantes Ulteriores façam o mesmo, a fim de garantir a conformidade com este DPA e suas obrigações de acordo com as Leis de Proteção de Dados aplicáveis.
10.2 Sujeito a esta Seção 10, o Operador/Subcontratante disponibilizará a Você, mediante solicitação, e desde que um acordo de confidencialidade suficiente esteja em vigor, todas as informações necessárias para demonstrar a conformidade com este DPA, em relação ao Tratamento dos Dados Pessoais do Usuário pelo Operador/Subcontratante e/ou Encarregado/Subcontratante Ulterior.
10.3 Você pode solicitar a realização de qualquer auditoria, incluindo qualquer inspeção. Você tem o direito de solicitar ou ordenar em Seu próprio nome, e em nome de Seus Controladores/Responsáveis pelo Tratamento quando Você estiver atuando como Operador/Subcontratante, de acordo com a Lei de Proteção de Dados aplicável, instruindo o Operador/Subcontratante a realizar a auditoria descrita na Seção 10.1.
10.4 Se desejar alterar essa instrução com relação à auditoria, Você tem o direito de solicitar uma alteração nessa instrução enviando ao Operador/Subcontratante uma notificação por escrito para o e-mail legal@myscript.com. Se o Operador/Subcontratante se recusar a seguir qualquer solicitação e/ou instrução solicitada por Você com relação a auditorias, incluindo inspeções, Você tem o direito de encerrar os Serviços imediatamente.
11.1 O Operador/Subcontratante não poderá transferir ou autorizar a transferência de Dados Pessoais do Usuário para países fora da UE e/ou do EEE, sem o Seu consentimento prévio por escrito. Se os Dados Pessoais Tratados de acordo com este DPA forem transferidos de um país dentro do Espaço Econômico Europeu para um país fora do Espaço Econômico Europeu, as Partes garantirão que os Dados Pessoais do Usuário estejam adequadamente protegidos. Para isso, as Partes, salvo acordo em contrário, vão se basear nas cláusulas contratuais padrão aprovadas pela UE para a transferência de Dados Pessoais.
11.2 Uma lista de Encarregados/Subcontratantes Ulteriores que recebem Dados Pessoais do Usuário, bem como os países em que eles estão sediados, é fornecida no Anexo 1 deste DPA. Para os fins da Seção 11.1 acima, Você consente com a transferência de Dados Pessoais do Usuário para os Encarregados/Subcontratantes Ulteriores listados no Anexo 1.
12.1 Duração. Este DPA entra em vigor quando Você aceita a Notificação Legal e os Termos de Uso e permanecerá em vigor enquanto o Operador/Subcontratante fornecer os Serviços a Você.
12.2 Avisos. Todas as notificações e comunicações feitas nos termos deste DPA devem ser por escrito e enviadas por e-mail para o endereço usado para criar uma conta da MyScript, no caso de a MyScript entrar em contato com Você, e devem ser enviadas para legal@myscript.com, caso Você deseje notificar a MyScript.
12.3 Lei e jurisdição. Este DPA é regido pelas leis da França. Qualquer litígio decorrente ou relacionado a este DPA, que as Partes não consigam resolver de forma amigável, será submetido à jurisdição exclusiva dos tribunais ou autoridades francesas competentes.
12.4 Desdobramento. Caso qualquer disposição deste DPA seja inválida ou inexequível, o restante deste DPA permanecerá válido e em vigor. A disposição inválida ou inexequível será (i) alterada conforme necessário para garantir sua validade e aplicabilidade, preservando as intenções das Partes da forma mais próxima possível ou, se isso não for possível, (ii) interpretada como se a parte inválida ou inexequível nunca tivesse sido incluída nele.
12.5 A Autoridade Supervisora Competente a ser contatada em caso de alegação, reivindicação ou solicitação é a Commission Nationale des Informations et des Libertés (CNIL), que pode ser contatada pelo site https://www.cnil.fr/fr/plaintes/.
1.1 Serviços do Nebo Cloud
| Encarregado/Subcontratante Ulterior | Finalidade | Localização do data center |
|---|---|---|
| AWS | Provedor de infraestrutura em nuvem | UE |
| Freshworks | Receber e gerenciar solicitações de suporte que podem incluir a transferência de arquivos (cadernos) | UE |
| Claranet | Executor de infraestrutura | UE |
1.2 Recursos de inteligência artificial generativa do Nebo
| Encarregado/Subcontratante Ulterior | Finalidade | Localização do data center |
|---|---|---|
| OpenAI | Provedor de serviços | Em todo o mundo (SCC) |
| AWS | Hospedagem de API | UE |
1.3 Reconhecimento do MyScript Cloud por meio do portal do desenvolvedor
| Encarregado/Subcontratante Ulterior | Finalidade | Localização do data center |
|---|---|---|
| AWS | Provedor de infraestrutura em nuvem | Oregon, EUA (SCC) |
| Claranet | Executor de infraestrutura | UE |
O Operador/Subcontratante implementará e manterá as seguintes medidas de segurança técnica e organizacional ao Tratar dos Dados Pessoais do Usuário em Seu nome:
Controles de Acesso Físico
O Operador/Subcontratante tomará medidas razoáveis para impedir o acesso físico, como edifícios seguros e salas de servidores seguras, para impedir que pessoas não autorizadas obtenham acesso aos Dados Pessoais do Usuário, ou garantir que os Encarregados/Subcontratantes Ulteriores que operam data centers em seu nome estejam cumprindo esses controles.
Controles de Acesso ao Sistema
O Operador/Subcontratante tomará medidas razoáveis para evitar que os Dados Pessoais do Usuário sejam usados sem autorização. Esses controles vão variar de acordo com a natureza do Tratamento realizado e podem incluir, entre outros controles, autenticação por meio de senhas, combinada com autenticação multifatores, quando aplicável, processos documentados de autorização, firewalls, processos documentados de gerenciamento de alterações e/ou registro de acesso em vários níveis e atualizações automáticas de segurança.
Controles de Acesso ao Sistema
O Operador/Subcontratante tomará medidas razoáveis para evitar que os Dados Pessoais do Usuário sejam usados sem autorização. Esses controles vão variar de acordo com a natureza do Tratamento realizado e podem incluir, entre outros controles, autenticação por meio de senhas, combinada com autenticação multifatores, quando aplicável, processos documentados de autorização, firewalls, processos documentados de gerenciamento de alterações e/ou registro de acesso em vários níveis e atualizações automáticas de segurança.
Controles de Acesso a Dados
O Operador/Subcontratante tomará medidas razoáveis para garantir que os Dados Pessoais do Usuário sejam acessíveis e gerenciáveis apenas por funcionários devidamente autorizados, que o acesso direto à consulta ao banco de dados seja restrito e que os direitos de acesso ao aplicativo sejam estabelecidos e aplicados para garantir que as pessoas autorizadas a usar um sistema de tratamento de dados tenham acesso apenas aos Dados Pessoais do Usuário para os quais tenham privilégio de acesso, e que os Dados Pessoais do Usuário não possam ser lidos, copiados, modificados ou removidos sem autorização durante o Tratamento.
Controles de Transmissão
O Operador/Subcontratante tomará medidas razoáveis para garantir que seja possível verificar e estabelecer para quais entidades a transferência de Dados Pessoais do Usuário por meio de instalações de transmissão de dados está prevista, de modo que os Dados Pessoais do Usuário não possam ser lidos, copiados, modificados ou removidos sem autorização durante a transmissão ou transporte eletrônico. Essas medidas incluem o uso de conexões de servidor seguras certificadas e limitam o compartilhamento de recursos entre origens em todas as APIs.
Controles de Entrada
O Operador/Subcontratante tomará medidas razoáveis para garantir que seja possível verificar e estabelecer se os metadados foram inseridos nos sistemas de tratamento de dados, modificados ou removidos. O Operador/Subcontratante usará as melhores práticas do setor, como protocolos criptográficos para autenticação e registro seguro de auditoria.
Backup de Dados
Os backups dos bancos de dados no Serviço são feitos regularmente, são protegidos e criptografados em repouso para garantir que os Dados Pessoais do Usuário sejam protegidos contra perda ou destruição acidental. Os instantâneos são tirados a cada 12 horas (AWS). O backup criptografado ocorre a cada três dias em nossos servidores.
Nome:MyScript SAS
Endereço:3 rue de la Rainière 44339, Nantes, França
Nome da pessoa de contato, cargo e detalhes de contato:
Emilie Fowell, DPO, legal@myscript.com
Atividades relevantes aos dados transferidos:Desempenho dos Serviços
Função (Controlador/Responsável pelo Tratamento, Operador/Subcontratante):Operador/Subcontratante
3.1 Serviços do Nebo Cloud
1. Categorias de Titulares dos Dados cujos dados pessoais são transferidos:
Você poderá enviar Dados Pessoais do Usuário aos Serviços, cuja extensão é determinada e controlada exclusivamente por Você.
2. Categorias de dados pessoais transferidos:
- Dados Pessoais do Usuário não estruturados contidos em cadernos enviados por Você ao Operador/Subcontratante por meio do Serviço para compartilhamento com a MyScript ou para armazenamento no Nebo Cloud.
3. Categorias especiais de dados:
A MyScript não coleta nenhuma categoria especial de dados (como origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados genéticos ou biométricos, saúde e vida sexual). No entanto, o conteúdo dos Dados Pessoais do Usuário não estruturados, conforme descrito acima, é desconhecido pela MyScript.
4. Frequência da transferência
Os Dados Pessoais do Usuário não estruturados são transferidos para o(s) nosso(s) Encarregado(s)/Subcontratante(s) Ulterior(es) listado(s) no Anexo 1 e de forma contínua, dependendo da frequência do Seu uso do Serviço.
5. Natureza do Tratamento
A natureza do Tratamento é o desempenho dos Serviços.
6. Finalidades da transferência de dados e do Tratamento posterior
A MyScript fará o Tratamento dos Dados Pessoais do Usuário conforme necessário para executar os Serviços solicitados por Você.
7. O período durante o qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período
Os Dados Pessoais do Usuário não estruturados são transferidos para os servidores do Operador/Subcontratante enquanto Você decidir armazenar ou compartilhar Dados Pessoais do Usuário pelo Nebo Cloud. Se Você excluir sua conta da MyScript, todos os Dados Pessoais do Usuário serão automaticamente excluídos de todos os pontos de armazenamento.
8. Para transferências para Operadores/Subcontratantes e Encarregados/Subcontratantes Ulteriores, especifique também o assunto, a natureza e a duração do Tratamento
O Encarregado/Subcontratante Ulterior fará o Tratamento dos Dados Pessoais do Usuário conforme necessário para executar os Serviços. O Encarregado/Subcontratante Ulterior fará o Tratamento dos Dados Pessoais do Usuário enquanto Você tiver uma conta da MyScript, salvo acordo em contrário por escrito ou se Você tiver solicitado uma exclusão prévia dos Dados Pessoais do Usuário. As identidades dos Encarregados/Subcontratantes Ulteriores utilizados para a prestação dos Serviços e seus países de localização estão listados no Anexo 1 deste DPA.
3.2 Recursos de inteligência artificial generativa do Nebo
1. Categorias de Titulares dos Dados cujos dados pessoais são transferidos:
Você poderá enviar Dados Pessoais do Usuário aos Serviços, cuja extensão é determinada e controlada exclusivamente por Você.
2. Categorias de dados pessoais transferidos:
- Dados Pessoais do Usuário não estruturados contidos em cadernos enviados por Você ao Operador/Subcontratante por meio do Serviço, a fim de gerar conteúdo e importá-lo para Seus cadernos.
3. Categorias especiais de dados:
A MyScript não coleta nenhuma categoria especial de dados (como origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados genéticos ou biométricos, saúde e vida sexual). No entanto, o conteúdo dos Dados Pessoais do Usuário não estruturados, conforme descrito acima, é desconhecido pela MyScript.
4. Frequência da transferência
Os Dados Pessoais do Usuário não estruturados são transferidos para o(s) nosso(s) Encarregado(s)/Subcontratante(s) Ulterior(es) listado(s) no Anexo 1 e de forma contínua, dependendo da frequência do Seu uso do Serviço.
5. Natureza do Tratamento
A natureza do Tratamento é o desempenho dos Serviços.
6. Finalidades da transferência de dados e do Tratamento posterior
A MyScript fará o Tratamento dos Dados Pessoais do Usuário conforme necessário para executar os Serviços solicitados por Você.
7. O período durante o qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período
Os Dados Pessoais do Usuário não estruturados são transferidos temporariamente para os servidores do Encarregado/Subcontratante Ulterior quando Você os inclui em uma solicitação para gerar conteúdo por meio dos recursos de inteligência artificial.
8. Para transferências para Operadores/Subcontratantes e Encarregados/Subcontratantes Ulteriores, especifique também o assunto, a natureza e a duração do Tratamento
As identidades dos Encarregados/Subcontratantes Ulteriores utilizados para a prestação dos Serviços e seus países de localização estão listados no Anexo 1 deste DPA. Os Encarregados/Subcontratantes Ulteriores farão o Tratamento dos Dados Pessoais do Usuário conforme necessário para executar os Serviços. Os Dados Pessoais do Usuário são mantidos pelo Encarregado/Subcontratante Ulterior OpenAI por 30 dias para monitorar conteúdo ilegal e/ou abusivo e, em seguida, são excluídos. Os Dados Pessoais do Usuário só transitam pelos servidores AWS do Encarregado/Subcontratante Ulterior e são excluídos instantaneamente.
3.3 Reconhecimento do MyScript Cloud por meio do portal do desenvolvedor
1. Categorias de Titulares dos Dados cujos dados pessoais são transferidos:
Você poderá enviar Dados Pessoais do Usuário aos Serviços, cuja extensão é determinada e controlada exclusivamente por Você.
2. Categorias de dados pessoais transferidos:
- Dados Pessoais do Usuário não estruturados contidos em documentos enviados por Você ao Operador/Subcontratante pelo Serviço para transformação de notas escritas à mão em texto digitado.
- Endereço IP do Usuário Final.
3. Categorias especiais de dados:
A MyScript não coleta nenhuma categoria especial de dados (como origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados genéticos ou biométricos, saúde e vida sexual). No entanto, o conteúdo dos Dados Pessoais do Usuário não estruturados, conforme descrito acima, é desconhecido pela MyScript.
4. Frequência da transferência (por exemplo, se os dados são transferidos de forma única ou contínua)
Todas as categorias de dados listadas acima são transferidas para o(s) nosso(s) Encarregado(s)/Subcontratante(s) Ulterior(es) listado(s) no Anexo 1 e de forma contínua, dependendo do uso do Serviço.
5. Natureza do Tratamento
A natureza do Tratamento é o desempenho dos Serviços.
6. Finalidades da transferência de dados e do Tratamento posterior
A MyScript fará o Tratamento dos Dados Pessoais conforme necessário para executar os Serviços.
7. O período durante o qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período
Os Dados Pessoais do Usuário não estruturados são transferidos para os servidores do Operador/Subcontratante no momento em que o Tratamento é realizado, são então devolvidos ao Usuário Final e não são armazenados pelo Operador/Subcontratante. Os endereços IP são mantidos em registros de log por 12 meses. Os Dados Pessoais do Usuário não estruturados não são armazenados pelo Operador/Subcontratante, a menos que especificamente e expressamente solicitado por Você por escrito.
8. Para transferências para Operadores/Subcontratantes e Encarregados/Subcontratantes Ulteriores, especifique também o assunto, a natureza e a duração do Tratamento
O Encarregado/Subcontratante Ulterior fará o Tratamento dos Dados Pessoais do Usuário conforme necessário para executar os Serviços. O Encarregado/Subcontratante Ulterior fará o Tratamento dos Dados Pessoais pelo tempo em que Você utilizar os Serviços, salvo acordo em contrário por escrito. As identidades dos Encarregados/Subcontratantes Ulteriores utilizados para a prestação dos Serviços e seus países de localização estão listados no Anexo 1 deste DPA.
Autoridade Supervisora Competente
A Autoridade Supervisora Competente a ser contatada em caso de alegação, reivindicação ou solicitação é a Commission Nationale des Informations et des Libertés (CNIL), que pode ser contatada pelo site https://www.cnil.fr/fr/plaintes/.