Transferências posteriores de dados pessoais
Para fornecer nossos serviços de forma eficaz, os dados pessoais que você informou à entidade da Shopify que contratou são transferidos para os seguintes destinatários:
- Outras entidades da Shopify
- Subprocessadores cuidadosamente selecionados e confiáveis.
Esta seção fornece informações sobre como as transferências posteriores são regidas.
Nesta página
Transferências posteriores de dados pessoais do Espaço Econômico Europeu (EEE) e do Reino Unido (UK)
A Shopify International Limited, uma entidade de registro irlandesa, é a principal entidade de contratação da Shopify com lojistas na EMEA (Europa, Oriente Médio e África) e na LATAM (América Latina). Além disso, funciona como o principal estabelecimento da Shopify para fins do Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês).
O GDPR, e seu equivalente do Reino Unido, exige que, quando dados pessoais são compartilhados com uma entidade fora do EEE e do Reino Unido, seja necessário haver um nível de proteção essencialmente equivalente no país de destino. Por esse motivo, tais transferências internacionais precisam estar protegidas por fortes mecanismos legais.
Como a Shopify atende aos requisitos do GDPR para transferências internacionais de dados
Para atender a esse requisito, a Shopify se baseia na decisão de adequação da Comissão Europeia para o Canadá quando a Shopify International Limited transfere dados pessoais para sua empresa registrada no Canadá, a Shopify Inc. Saiba mais sobre decisões de adequação.
Além disso, a Shopify também emprega contratos abrangentes de transferência e processamento de dados (DPAs, na sigla em inglês) que incorporam a versão mais recente das Cláusulas contratuais padrão (SCCs, na sigla em inglês) aprovadas pela Comissão Europeia para reger:
- Transferências dentro do grupo da Shopify
- transferências posteriores para nossos sub-processadores.
Avaliamos cuidadosamente nossos sub-processadores para garantir que eles tenham medidas técnicas e organizacionais apropriadas para proteger dados pessoais e realizar avaliações apropriadas de impacto na transferência. Saiba mais sobre SCCs
A decisão de adequação e as SCCs são consideradas mecanismos de transferência legalmente válidos e suficientes pelas autoridades de proteção de dados do EEE e do Reino Unido.
Como medida complementar, a Shopify também solicitou que as Regras corporativas vinculativas governassem as transferências dentro do grupo da Shopify. Essa solicitação foi feita à autoridade supervisora de lead da Shopify para fins do GDPR, a Comissão de Proteção de Dados da Irlanda. Trata-se de um mecanismo de transferência legal adicional para garantir as transferências para nosso grupo de empresas. Estamos em fase final da solicitação e esperamos que ela seja aprovada em breve.
Transferências posteriores de dados pessoais de todas as outras regiões
Determinadas leis de privacidade em jurisdições diferentes do EEE e do Reino Unido também exigem proteções específicas quando se trata de transferências internacionais de dados pessoais. Para atender a esses requisitos, os DPAs da Shopify que regem transferências dentro do grupo da Shopify e seus DPAs que regem transferências para nossos subprocessadores incluem proteções apropriadas para garantir a conformidade com as leis de privacidade no Canadá, nos Estados Unidos (EUA) e em Singapura, conforme aplicável. Também atualizamos e mantemos esses DPAs conforme necessário.
Locais de hospedagem de dados
A Shopify equilibra dinamicamente o armazenamento entre várias regiões da Plataforma do Google Cloud para garantir que possamos oferecer uma infraestrutura confiável, escalável e que possa lidar com volumes imprevisíveis em todo o nosso banco de dados de lojistas. É preciso poder mover os dados geograficamente para operar nossos serviços, e temos mecanismos para fazer isso de acordo com as leis e regulamentações aplicáveis, incluindo o GDPR.
A Shopify agora armazena determinados dados pessoais de lojistas e clientes na Europa (ou seja, EEE, Reino Unido e/ou Suíça), da seguinte forma:
- Os novos lojistas da Europa aproveitam automaticamente essa nova infraestrutura e agora têm dados da loja, dados de pedido e dados pessoais dos clientes armazenados na Europa por padrão.
- Todos os recursos existentes da Shopify continuarão a funcionar.
- Mesmo quando os dados pessoais do cliente lojista são armazenados na Europa, nós dependeremos de transferências internacionais de dados para processar esses dados pessoais.
Como a Shopify escolhe seus subprocessadores
Em conformidade com o GDPR e outras leis aplicáveis de proteção de dados, a Shopify adota uma série de medidas de práticas recomendadas ao contratar subprocessadores:
- Escolhemos com cuidado as empresas com as quais trabalhamos.
- Usamos apenas um número limitado de provedores de serviços de terceiros.
- Os subprocessadores assinam um DPA completo, incorporando as SCCs, além de proteção adequada, para garantir a conformidade com as leis de privacidade no Canadá, nos EUA e em Singapura.
- Limitamos o uso de nossos subprocessadores a serviços técnicos: hospedagem de nuvem, registro de erros, balanceamento de carga, entrega de conteúdo, entrega de mapeamento, análise de dados e registro interno (arquivos de log).
- A transferência ocorre de forma contínua e segura.
- Nenhuma categoria sensível ou especial de dados pessoais é processada de propósito, a menos que seja direcionada pelo controlador.
- Analisamos cuidadosamente os programas de privacidade e segurança de nossos subprocessadores.
Saiba mais sobre os principais subprocessadores da Shopify.