Jurídico

Contrato de Processamento de Dados

Última atualização: 20 de maio de 2026 CallMama Limited · Hong Kong · CR Nº 77766807

Este Contrato de Processamento de Dados ("DPA") faz parte dos Termos de Serviço entre CallMama Limited ("CallMama", "Processador") e o cliente empresarial que concorda com ele ("Cliente", "Controlador"). Aplica-se onde CallMama processa dados pessoais em nome do Cliente - na prática, quando um Cliente empresarial usa o portal da web CallMama para rotear, armazenar ou gravar comunicações com seus próprios chamadores e contatos.

Para uso comum do CallMama pelo consumidor, CallMama é o controlador e este DPA não se aplica - consulte o política de Privacidade. Este DPA se aplica apenas a Clientes empresariais que processam dados de seus próprios usuários finais por meio do CallMama.

1. Funções

Para os dados pessoais que o Cliente processa através do Serviço sobre seus próprios chamadores e contatos ("Dados Pessoais do Cliente"), o Cliente é o controlador e CallMama é o processador. CallMama processa Dados Pessoais do Cliente apenas de acordo com as instruções documentadas do Cliente, que incluem os Termos de Serviço, este DPA e o uso dos recursos do Serviço pelo Cliente.

2. Assunto e detalhes do processamento

ItemDetalhe
AssuntoFornecimento do serviço de chamadas, mensagens, números, roteamento e gravação (portal web) CallMama
DuraçãoO prazo dos Termos de Serviço
Natureza e propósitoFornecer os Serviços ao Cliente e seus usuários finais, incluindo hospedagem, transmissão, roteamento, armazenamento e (quando o Cliente permitir) gravação das comunicações do Cliente; e para manter a segurança e integridade do Serviço
Tipos de dados pessoaisNúmeros de contato, nomes, metadados e conteúdo de chamadas e mensagens, correio de voz, gravações de chamadas e outros dados que o Cliente decida processar
Categorias de titulares de dadosOs chamadores, contatos, clientes e funcionários do Cliente

Períodos de retenção: Os Registros de Detalhes de Chamadas são retidos pelos períodos exigidos pela legislação tributária e de telecomunicações aplicável (normalmente de 90 dias a 12 meses, dependendo da jurisdição). Todos os outros Dados Pessoais do Cliente são retidos até que o Cliente solicite a exclusão, o DPA termine ou o período de retenção aplicável expire, o que ocorrer primeiro.

3. Obrigações de CallMama

  • Processar Dados Pessoais do Cliente apenas de acordo com as instruções documentadas do Cliente, a menos que exigido de outra forma por lei (nesse caso, CallMama informará o Cliente, a menos que a lei o proíba).
  • Certifique-se de que as pessoas autorizadas a processar os dados estejam sujeitas à confidencialidade.
  • Implementar medidas de segurança técnicas e organizacionais adequadas (Anexo abaixo).
  • Auxiliar o Cliente, tendo em conta a natureza do tratamento, com pedidos do titular dos dados, segurança, notificação de violação e avaliações de impacto na proteção de dados.
  • No prazo de 30 dias após a rescisão dos Termos de Serviço ou solicitação por escrito, exclua ou devolva todos os Dados Pessoais do Cliente e confirme a exclusão por escrito, exceto na medida em que a lei aplicável exija retenção contínua, caso em que CallMama informará o Cliente sobre a base legal e a data de exclusão esperada.
  • Disponibilizar as informações necessárias para demonstrar a conformidade com este DPA e permitir auditorias e inspeções pelo Cliente ou seu auditor autorizado, sujeito a: (i) notificação por escrito com 60 dias úteis de antecedência; (ii) conduta durante o horário comercial sem interrupções indevidas; (iii) auditor vinculado ao sigilo; (iv) O cliente arca com os custos, a menos que a auditoria revele uma violação material. CallMama pode fornecer um relatório ISO 27001 ou SOC 2 em vez de uma auditoria direta.
  • Registros de processamento: CallMama mantém registros de todas as categorias de processamento realizadas em nome do Cliente nos termos do Artigo 30 (2) do GDPR, disponíveis mediante solicitação por escrito.
  • Assistência da DPIA: Quando a gravação de chamadas ou outro processamento exigir uma DPIA nos termos do Artigo 35 do GDPR, CallMama fornecerá assistência razoável, incluindo informações sobre medidas de segurança, subprocessadores e atividades de processamento.

4. Obrigações do cliente

  • O Cliente é responsável por ter uma base legal para o processamento e pela legalidade das suas instruções.
  • Se o Cliente utilizar o recurso de gravação de chamadas do portal web, o Cliente deverá notificar quem liga e obter os consentimentos exigidos por lei - consulte o Aviso de gravação de chamadas.
  • O Cliente não deve enviar dados de categoria especial CallMama ou dados confidenciais além do que o Serviço foi projetado para tratar.

5. Subprocessadores

O Cliente concede autorização geral por escrito para CallMama contratar subprocessadores, incluindo aqueles listados no Lista de subprocessadores publicado em CallMama.com. CallMama impõe obrigações de proteção de dados a cada subprocessador equivalentes às impostas a CallMama por este DPA, incluindo obrigações de confidencialidade. CallMama continua responsável pelo desempenho de seus subprocessadores. CallMama notificará o Cliente pelo menos 14 dias antes de adicionar ou substituir um subprocessador. O Cliente pode se opor a um subprocessador novo ou substituto por motivos razoáveis ​​e documentados de proteção de dados, notificando CallMama por escrito no prazo de 14 dias após o recebimento da notificação. Se as partes não conseguirem resolver a objeção, o Cliente poderá rescindir a parte afetada do Serviço mediante notificação por escrito. O uso continuado do Serviço após o período de objeção de 14 dias constitui aceitação do novo subprocessador.

6. Transferências internacionais

Quando os Dados Pessoais do Cliente são transferidos do EEE ou do Reino Unido para um país sem uma decisão de adequação, a transferência é regida pelas SCCs da UE (Decisão de Implementação da Comissão 2021/914), Módulo 2 (Controlador para Processador) para transferências no EEE, e pela IDTA 2022 do Reino Unido para transferências no Reino Unido. Ambos são incorporados por referência e completados com os detalhes na Seção 2. CallMama conduziu Avaliações de Impacto de Transferência para todos os subprocessadores de países terceiros.

7. Violação de dados pessoais

CallMama notificará o Cliente sem demora injustificada e, sempre que possível, no máximo 24 horas após tomar conhecimento de uma Violação de Dados Pessoais que afete os Dados Pessoais do Cliente. Este cronograma destina-se a permitir que o Cliente avalie a violação e, quando necessário, notifique a autoridade supervisora ​​competente dentro do período de 72 horas exigido pelo Artigo 33 do GDPR e pelo Artigo 33 do GDPR do Reino Unido. A notificação incluirá, na medida conhecida no momento: (a) uma descrição da natureza da violação, incluindo categorias e número aproximado de titulares de dados e registros afetados; (b) as prováveis ​​consequências da violação; e (c) as medidas tomadas ou propostas para resolver a violação. Quando as informações não estiverem imediatamente disponíveis, o CallMama as fornecerá em fases, sem atrasos indevidos.

8. Responsabilidade e prazo

Este DPA complementa e está sujeito aos Termos de Serviço. Em caso de conflito entre este APD e os Termos de Serviço sobre qualquer assunto relacionado ao processamento de dados pessoais, este APD prevalece. Este DPA é regido pelas leis da Região Administrativa Especial de Hong Kong. No entanto, para litígios decorrentes das CCT da UE, a lei aplicável e os tribunais são os especificados nas CCT aplicáveis ​​(cláusula 17 e cláusula 18 da Decisão de Execução 2021/914 da Comissão). Este DPA entra em vigor quando o Cliente aceita os Termos de Serviço (ou, para clientes que exigem um DPA assinado, na data da última assinatura por ambas as partes) e continua enquanto CallMama processar os Dados Pessoais do Cliente.

Anexo — Medidas de segurança

CallMama implementa as seguintes medidas técnicas e organizacionais, conforme exigido pelo Artigo 32 do GDPR e conforme detalhado no Anexo II das SCCs da UE:

A. Criptografia e dados em trânsito

  • Criptografia em trânsito: todos os dados pessoais transmitidos entre o Serviço e os dispositivos do usuário final são criptografados usando TLS 1.2 ou superior. É proibida a transmissão não criptografada de dados pessoais.
  • Criptografia em repouso: dados pessoais confidenciais (incluindo gravações de chamadas e mensagens de voz) são criptografados em repouso usando AES-256 ou equivalente. Todas as mídias de backup são criptografadas.

B. Controles de acesso e autenticação

  • Autenticação multifator: obrigatório para todos os funcionários que acessam sistemas que contenham Dados Pessoais do Cliente, incluindo acesso remoto.
  • Controle de acesso baseado em função: o acesso aos Dados Pessoais do Cliente é limitado ao pessoal cuja função assim o exija. Os direitos de acesso são revisados ​​trimestralmente e revogados imediatamente após rescisão ou mudança de função.
  • Contas de usuário exclusivas: cada membro da equipe possui um identificador exclusivo. Contas compartilhadas são proibidas. Requisitos de complexidade de senha aplicados.
  • Gerenciamento de sessão: sessões inativas expiram automaticamente. O máximo de tentativas de login com falha aciona o bloqueio da conta.

C. Monitoramento, registro e resposta a incidentes

  • Monitoramento de segurança: os sistemas são monitorados continuamente para eventos de segurança. Sistemas de detecção e prevenção de intrusões são implantados.
  • Registro de auditoria: todo o acesso e modificação dos Dados Pessoais do Cliente são registrados. Os registros são retidos por no mínimo 12 meses e são invioláveis.
  • Resposta a incidentes: um plano documentado de resposta a incidentes é mantido e testado pelo menos uma vez por ano. Os incidentes são classificados, contidos e relatados de acordo com este DPA.

D. Segurança física e de infraestrutura

  • Segurança do data center: Os Dados Pessoais do Cliente são hospedados em data centers certificados pela ISO 27001 (Hetzner) com controles de acesso físico, CFTV, controles ambientais e fonte de alimentação ininterrupta.
  • Backup e recuperação: backups regulares são feitos e armazenados com segurança. Os procedimentos de recuperação de desastres são documentados e testados. Os objetivos do tempo de recuperação são definidos e revisados.

E. Controles de pessoal e fornecedores

  • Confidencialidade do pessoal: todos os funcionários e contratados com acesso aos Dados Pessoais do Cliente estão sujeitos a obrigações contratuais de confidencialidade. As verificações de antecedentes são realizadas quando permitido pela lei aplicável.
  • Treinamento de segurança: todos os funcionários com acesso a dados pessoais recebem treinamento de conscientização sobre proteção de dados e segurança anualmente.
  • Devida diligência do fornecedor: todos os subprocessadores são avaliados quanto à proteção de dados e conformidade de segurança antes da contratação e monitorados continuamente.

F. Desenvolvimento e gestão de mudanças

  • Desenvolvimento seguro: a segurança é incorporada ao ciclo de vida de desenvolvimento de software. As revisões de código incluem avaliação de segurança. Existem procedimentos de gerenciamento de vulnerabilidades e de patches.
  • Teste de penetração: testes de penetração independentes são realizados pelo menos anualmente. Vulnerabilidades críticas são corrigidas em 30 dias.
  • Minimização de dados: os sistemas são projetados para minimizar os dados pessoais processados. A pseudonimização é usada quando apropriado.

Como executar este DPA

Um cliente empresarial que precise de um DPA assinado deve entrar em contato legal@CallMama.com. A aceitação dos Termos de Serviço por um Cliente empresarial que processa os dados dos seus próprios utilizadores finais através do Serviço também constitui aceitação deste DPA.

9. Disposições adicionais para jurisdições específicas

Estados Unidos – CCPA/CPRA

Quando os Dados Pessoais do Cliente incluem informações pessoais de residentes da Califórnia, CallMama é um "provedor de serviços" sob CCPA/CPRA, e não um "terceiro". CallMama não venderá ou compartilhará Dados Pessoais do Cliente, não os reterá, usará ou divulgará fora do relacionamento comercial direto e certifica a conformidade com as restrições CCPA/CPRA. Os subprocessadores que lidam com informações pessoais da Califórnia estão sujeitos a restrições equivalentes de provedores de serviços.

Canadá — PIPEDA e Lei 25 de Quebec

Onde os Dados Pessoais do Cliente incluem informações pessoais de residentes canadenses:

  • PIPEDA: A Lei de Proteção de Informações Pessoais e Documentos Eletrônicos do Canadá (PIPEDA) exige que CallMama implemente salvaguardas de segurança consistentes com o Princípio 7 (Salvaguardas). O Cliente continua responsável por obter consentimento significativo e responder às solicitações de acesso e correção.
  • Lei 25 de Quebec: Para os residentes de Quebec, a Lei 25 (em vigor em setembro de 2023) impõe uma obrigação de notificação de violação de 72 horas à Commission d'accès à l'information (CAI). CallMama notificará o Cliente dentro de 24 horas após tomar conhecimento de uma violação que afeta os dados dos residentes de Quebec.

Esta página faz parte da documentação de conformidade do CallMama. Veja também nosso política de Privacidade, Termos de Serviço, e opções de contato.

Pegue onde você
parou.

Um toque para instalar. Mais um para ligar. É realmente tão simples.

Ajustes