Departamento Jurídico da Oracle

Privacidade na Oracle
Política de Privacidade de Serviços da Oracle

A presente Política de Privacidade de Serviços da Oracle ("Política de Privacidade de Serviços") está organizada em três secções:

I. A primeira secção (Termos relativos ao Processamento dos Dados de Informações Pessoais para Serviços) descreve as práticas de privacidade e segurança utilizadas pela Oracle Corporation e respetivas afiliadas (“Oracle”) sempre que lidam com Informações Pessoais para Serviços (conforme definido abaixo) para o fornecimento de Assistência Técnica, Consultoria, Cloud ou outros serviços (os “Serviços”) fornecidos aos clientes da Oracle (“Cliente”) durante o período de vigência do pedido de Serviços pelo Cliente.

As Informações Pessoais para Serviços são informações pessoais fornecidas pelo Cliente, que se encontram nos sistemas e ambientes da Oracle, do cliente ou de terceiros e são processadas pela Oracle em nome do Cliente com vista à execução dos Serviços. As Informações Pessoais para Serviços podem incluir, consoante os Serviços: informações relativas à família, estilo de vida e situação social; dados de emprego; dados financeiros; identificadores online, como identificações de dispositivos móveis e endereços IP, bem como o comportamento online e os dados de interesses da primeira parte. As Informações Pessoais para Serviços podem ser referentes a representantes e utilizadores finais do Cliente, como funcionários, candidatos a emprego, subcontratados, colaboradores, parceiros, fornecedores e clientes do mesmo.

II. A segunda secção (Termos Relativos ao Processamento dos Dados Operacionais dos Sistemas) descreve as práticas de privacidade e de segurança aplicáveis às informações pessoais que podem integrar incidentalmente os Dados Operacionais dos Sistemas que são gerados através da interação de utilizadores (finais) dos Serviços (“Utilizadores”) da Oracle com os sistemas e redes da Oracle utilizados para monitorizar, proteger e prestar os Serviços à nossa base de clientes.

Os Dados Operacionais dos Sistemas podem incluir ficheiros de registo, ficheiros de eventos e outros ficheiros de rastreio e diagnóstico, bem como informações estatísticas e agregadas relacionadas com a utilização e o funcionamento dos Serviços da Oracle, bem como os sistemas e redes em que estes Serviços são executados.

III. A terceira secção (Comunicações e Notificações de Clientes e Utilizadores), aplica-se às Informações Pessoais para Serviços e às informações pessoais que integram os Dados Operacionais dos Sistemas, descreve de que forma a Oracle trata os pedidos de divulgação legalmente obrigatórios e informa de que modo o Cliente e os Utilizadores podem comunicar com o Global Data Protection Officer da Oracle ou apresentar uma reclamação.

As definições de Informações Pessoais para Serviços e Dados Operacionais dos Sistemas não incluem os contactos e informações relacionadas do Cliente ou do Utilizador recolhidos a partir da utilização dos websites da Oracle ou de interações do Cliente ou do Utilizador com a Oracle durante o processo de contratação. O tratamento destas informações pela Oracle está sujeito aos termos da Política Geral de Privacidade da Oracle.

I. TERMOS RELATIVOS AO PROCESSAMENTO DOS DADOS DE INFORMAÇÕES PESSOAIS PARA SERVIÇOS

A Oracle trata todas as Informações Pessoais para Serviços em conformidade com os termos previstos nas Secções I e III da presente Política e do pedido de Serviços do Cliente.

Em caso de conflito entre os termos da presente Política de Privacidade de Serviços e quaisquer termos de privacidade incluídos no pedido de Serviços do Cliente, incluindo um Acordo de Processamento de Dados da Oracle, prevalecerão os termos de privacidade do pedido de Serviços do Cliente.

1. Execução dos Serviços

A Oracle pode efetuar o processamento de Informações Pessoais para Serviços para as atividades de processamento necessárias para a execução dos Serviços, incluindo para testar e aplicar novos produtos ou versões, correções, atualizações e melhorias de sistemas, e para a resolução de erros e outros problemas comunicados pelo Cliente à Oracle.

2. Instruções do cliente

O Cliente é o responsável pelas Informações Pessoais para Serviços processadas pela Oracle para a execução dos Serviços. A Oracle irá processar as Informações Pessoais para Serviços do Cliente conforme especificado no respetivo pedido de Serviços e nas instruções adicionais documentadas por escrito do Cliente, na medida do necessário para que a Oracle (i) cumpra as suas obrigações de subcontratante nos termos da legislação aplicável relativa à proteção de dados, ou (ii) auxilie o Cliente no cumprimento das obrigações que lhe incumbem enquanto responsável pelas informações pessoais nos termos da legislação aplicável relativa à proteção de dados e relevante para a utilização dos Serviços pelo Cliente. A Oracle informará de imediato o Cliente se, de acordo com o seu parecer razoável, as instruções deste violarem a legislação aplicável relativa à proteção de dados. Poderão aplicar-se taxas adicionais.

3. Direitos dos indivíduos

O Cliente controla o acesso às respetivas Informações Pessoais para Serviços pelos respetivos utilizadores finais. Os utilizadores finais do Cliente devem encaminhar para este qualquer pedido relacionado com as respetivas Informações Pessoais para Serviços. Na medida em que este acesso não esteja disponível para o Cliente, a Oracle irá fornecer a assistência razoável para pedidos individuais para aceder, eliminar ou excluir, restringir, retificar, receber e transmitir, bloquear o acesso a ou opor-se ao processamento das Informações Pessoais para Serviços nos sistemas da Oracle.

4. Segurança e confidencialidade

A Oracle implementou, e irá manter, medidas de natureza técnica e organizacional destinadas a evitar a destruição acidental ou ilícita, a perda, a alteração, a divulgação ou o acesso não autorizado às Informações Pessoais para Serviços. Estas medidas, que de uma forma geral estão em linha com a norma ISO/IEC 27001:2013, regem todos os domínios da segurança aplicáveis aos Serviços, incluindo o acesso físico, o acesso ao sistema, o acesso aos dados, a transmissão, os contributos, a supervisão da segurança e a aplicação.

Os colaboradores da Oracle são obrigados a manter a confidencialidade das informações pessoais. As obrigações dos colaboradores incluem acordos de confidencialidade por escrito, formação regular sobre a proteção da informação e conformidade com políticas da empresa sobre a proteção de informações confidenciais.

Veja as informações adicionais disponíveis para consulta sobre as medidas específicas de segurança aplicáveis aos Serviços que estão estabelecidas nas práticas de segurança relativas a esses Serviços, nomeadamente no que se refere à conservação e eliminação de dados.

5. Gestão de incidentes e notificação de violação de dados.

A Oracle avalia e responde, prontamente, a incidentes que criem suspeitas de, ou apontem para, o tratamento ou acesso não autorizado a Informações Pessoais para Serviços.

Se a Oracle tomar conhecimento e determinar que um incidente em que estejam envolvidas Informações Pessoais para Serviços se qualifica como uma violação da segurança conducente à apropriação indevida ou à destruição acidental ou ilícita, à perda, à alteração, à divulgação ou ao acesso não autorizado às Informações Pessoais para Serviços transmitidas, armazenadas ou processadas de outra forma em sistemas da Oracle que comprometa a segurança, confidencialidade ou integridade das Informações Pessoais para Serviços em questão, a Oracle comunicará tal violação ao Cliente sem demora injustificada.

À medida que as informações relativas à violação sejam recolhidas ou forem, de outra forma, razoavelmente disponibilizadas à Oracle, e na medida do permitido por lei, a Oracle facultará ao Cliente informações suplementares pertinentes sobre a violação razoavelmente conhecida pela Oracle ou a esta disponibilizadas.

6. Subcontratados para o processamento

Na medida em que a Oracle contratar outros subcontratados para processamento para acederem a Informações Pessoais para Serviços no sentido de ajudarem na prestação de Serviços, esses subcontratados para processamento estarão sujeitos ao mesmo nível de segurança e proteção de dados que a Oracle, nos termos do pedido de Serviços do Cliente. A Oracle é responsável por garantir o cumprimento dos termos do pedido de Serviços do Cliente por parte dos seus subcontratados para processamento.

A Oracle possui listas de subcontratados para processamento e afiliadas da Oracle que podem efetuar o processamento de Informações Pessoais para Serviços. O Cliente pode consultar informações adicionais através do My Oracle Support (https://support.oracle.com), no documento com ID 2121811.1, ou através de outra ferramenta principal de apoio facultada para os Serviços.

7. Transferências de dados transfronteiras

A Oracle é uma empresa global com operações em mais de 80 países e as Informações Pessoais para Serviços podem ser processadas a um nível global, conforme necessário, em conformidade com a presente Política. Se as Informações Pessoais para Serviços forem transferidas para um destinatário da Oracle num país que não proporcione um nível adequado de proteção das informações pessoais, a Oracle adota medidas adequadas concebidas para proteger as Informações Pessoais para Serviços, por exemplo ao garantir que tais transferências estejam sujeitas aos termos das Cláusulas Modelo da UE ou a outro mecanismo de transferência adequado conforme exigido pela proteção de dados relevante.

Caso o acordo de serviços entre o Cliente e a Oracle faça referência ao Acordo de Processamento de Dados da Oracle para Serviços Oracle ("DPA"), é possível encontrar mais detalhes sobre o mecanismo de transferência de dados relevante que se aplica ao pedido de serviços Oracle do Cliente no DPA. Em particular, no caso das Informações Pessoais para Serviços transferidas do Espaço Económico Europeu ("EEE"), da Suíça ou do Reino Unido ("Reino Unido"), essas transferências estão sujeitas às regras empresariais vinculativas da Oracle para processadores (BCR-P) ou aos termos das Cláusulas Modelo da UE.

8. Direitos de auditoria

Na medida do previsto no pedido de Serviços do Cliente, este pode, a expensas suas, efetuar auditorias de conformidade da Oracle relativamente aos termos da presente Política de Privacidade de Serviços, mediante o envio de um pedido por escrito à Oracle (que deverá incluir um plano de auditoria pormenorizado) com uma antecedência mínima de 6 semanas em relação à data de auditoria proposta. O Cliente e a Oracle deverão cooperar mutuamente no sentido de acordar um plano de auditoria final.

A auditoria deverá realizar-se, no máximo, uma vez no decorrer de um período de doze meses, durante o horário normal de expediente, sem prejuízo de políticas e regulamentos locais da Oracle, e não poderá interferir excessivamente com as atividades comerciais. Caso o Cliente pretenda recorrer a um terceiro para a realização da auditoria, esse auditor deverá ser mutuamente acordado pelas partes e deverá celebrar um acordo de confidencialidade por escrito, aceite pela Oracle. Após a conclusão da auditoria, o Cliente fornecerá à Oracle uma cópia do relatório de auditoria, que é classificado como informações confidenciais ao abrigo dos termos do acordo convencionado entre o Cliente e a Oracle.

A Oracle irá colaborar nessas auditorias, facultando ao Cliente as informações e a assistência razoavelmente necessárias para a realização da auditoria, incluindo quaisquer registos relevantes de atividades de processamento aplicáveis aos Serviços. Caso o âmbito da auditoria solicitada seja tratado num SOC 1 ou SOC 2, ISO, NIST, PCI DSS, HIPAA ou num relatório de auditoria semelhante emitido por um auditor terceiro qualificado nos doze meses anteriores e a Oracle forneça esse relatório ao Cliente confirmando que não são conhecidas quaisquer alterações materiais aos controlos auditados, o Cliente concorda em aceitar os resultados apresentadas no relatório de auditoria de terceiros em vez de solicitar uma auditoria dos mesmos controlos abrangidos pelo relatório. O pedido de Serviços do Cliente poderá incluir termos adicionais em matéria de auditoria.

9. Eliminação ou devolução de Informações Pessoais para Serviços

Salvo disposição em contrário especificada num pedido de serviços ou numa exigência legal, após o termo dos serviços ou a pedido do Cliente, a Oracle eliminará os dados de produção do Cliente existentes nos computadores da Oracle de forma a assegurar que não possam ser razoavelmente acedidos ou lidos, a menos que exista uma obrigação legal imposta à Oracle que a impeça de eliminar a totalidade ou parte dos dados. Para obter informações suplementares acerca da eliminação de dados antes da conclusão dos serviços, o Cliente poderá consultar o respetivo contacto da Oracle responsável pelos serviços.

II. TERMOS RELATIVOS AO PROCESSAMENTO DOS DADOS OPERACIONAIS DOS SISTEMAS

1. Responsabilidade e finalidades do processamento de informações pessoais

A Oracle Corporation e as respetivas empresas afiliadas são responsáveis pelo processamento de informações pessoais que possam estar incidentalmente contidas nos Dados Operacionais dos Sistemas nos termos das Secções II e III da presente Política. Consulte a lista de entidades da Oracle. Selecione uma região e um país para ver a sede social e os detalhes de contacto da entidade ou entidades da Oracle situadas nos respetivos países.

A Oracle pode recolher ou criar Dados Operacionais dos Sistemas com as seguintes finalidades:

• a) para ajudar a manter os seus serviços protegidos, incluindo no que se refere ao controlo da segurança e de gestão da identidade;
• b) para investigar e evitar possíveis fraudes ou atividades ilegais que envolvam os seus sistemas e redes, inclusive para evitar ataques informáticos e detetar robôs digitais;
• c) para administrar as suas políticas e planos de segurança para recuperação em caso de catástrofe;
• d) para confirmar a conformidade com o licenciamento e outros termos de utilização (controlo da conformidade das licenças);
• e) para fins de investigação e desenvolvimento, incluindo para analisar, desenvolver, melhorar e otimizar os seus Serviços;
• f) para cumprir as leis e os regulamentos aplicáveis e para gerir a atividade comercial da Oracle, incluindo o cumprimento de obrigações de comunicação legais, divulgação ou outras exigências legais, para efeitos de fusões e aquisições, finanças e contabilidade, arquivo e seguros, consultoria jurídica e empresarial, e no âmbito da resolução de litígios.

No que se refere a informações pessoais que integram os Dados Operacionais dos Sistemas recolhidos na UE, o fundamento jurídico da Oracle para o processamentos destas informações é o seu interesse legítimo na execução, manutenção e proteção dos seus produtos e serviços, bem como no desenvolvimento da respetiva atividade de forma eficaz e adequada. As informações pessoais também podem ser processadas com base nas obrigações legais da Oracle ou no seu interesse legítimo no cumprimento das obrigações legais em questão.

2. Partilhar informações pessoais

As informações pessoais que integram os Dados Operacionais dos Sistemas podem ser partilhadas em toda a organização global da Oracle. Está disponível uma lista de entidades da Oracle conforme indicado acima.

A Oracle pode ainda partilhar estas informações pessoais com os seguintes terceiros:

• fornecedores de serviços externos (por exemplo, fornecedores de serviços de TI, advogados e auditores) para que estes executem funções empresariais em nome da Oracle;
• terceiros relevantes no caso de reorganização, fusão, venda, empreendimento conjunto, atribuição, transferência ou outra disposição da totalidade ou de parte da Oracle, ativos ou ações (incluindo no âmbito de qualquer processo de falência ou semelhante);
• conforme exigido por lei, nomeadamente para cumprir uma intimação ou outro processo legal, sempre que considerar, de boa-fé, que a divulgação é necessária para a proteção dos direitos da Oracle, para a garantia da segurança do consumidor ou a segurança de terceiros, para a investigação de fraude, ou para responder a pedidos governamentais, incluindo autoridades públicas e governamentais fora do país de residência do consumidor, para fins de segurança nacional e/ou de aplicação da lei.

Sempre que seja concedido a terceiros o acesso a informações pessoais contidas nos Dados Operacionais dos Sistemas, a Oracle tomará medidas de natureza contratual, técnica e organizacional adequadas para garantir, por exemplo, que as informações pessoais apenas são processadas na medida do necessário a tal processamento, em harmonia com a presente Política de Privacidade e em conformidade com a legislação aplicável.

3. Transferências de dados transfronteiras

Na eventualidade de as informações pessoais contidas nos Dados Operacionais dos Sistemas serem transferidas para um destinatário da Oracle localizado num país que não apresente um nível adequado de proteção de informações pessoais, a Oracle tomará medidas destinadas a garantir a proteção adequada das informações pessoais acerca de Utilizadores, por exemplo, assegurando que tais transferências são sujeitas aos termos das Cláusulas Modelo da UE.

4. Segurança

A Oracle implementou medidas de natureza técnica, física e organizacional em conformidade com as Práticas de Segurança Empresariais da Oracle, destinadas a proteger as informações pessoais contra a destruição acidental ou ilícita, a perda acidental, danos, a alteração, a divulgação ou o acesso não autorizado, bem como quaisquer outras formas de processamento ilícito (incluindo, sem caráter limitativo, a recolha desnecessária) ou subsequente.

5. Opções do utilizador

Dentro dos limites previstos nas legislações aplicáveis, os Utilizadores podem solicitar o acesso, a correção, a atualização ou a eliminação das informações pessoais contidas nos Dados Operacionais dos Sistemas em determinados casos, ou exercer de outro modo as opções de que dispõem em relação às informações pessoais mediante o preenchimento de um formulário de consulta.

III. COMUNICAÇÕES E NOTIFICAÇÕES A CLIENTES E UTILIZADORES

1. Requisitos legais.

A Oracle poderá ser obrigada a disponibilizar o acesso a Informações Pessoais para Serviços e a informações pessoais contidas nos Dados Operacionais dos Sistemas no âmbito de exigências legais, nomeadamente, para responder a uma intimação ou outro processo legal, quando for da nossa opinião, em boa fé, que tal divulgação é necessária para proteger os direitos da Oracle, para a proteção do Cliente ou de um Utilizador, para a investigação de fraudes ou para responder a pedidos governamentais, incluindo de autoridades públicas e governamentais fora do país de residência do Cliente ou de um Utilizador, para fins de segurança nacional e/ou aplicação da lei.

A Oracle informará de imediato o Cliente sobre pedidos de disponibilização de acesso a Informações Pessoais para Serviços, salvo disposição legal em contrário.

2. Global Data Protection Officer

A Oracle nomeou um Global Data Protection Officer que também é o Chief Privacy Officer da Oracle. Caso o Cliente ou um Utilizador considere que as informações pessoais foram utilizadas de forma incompatível com a presente Política de Privacidade, ou caso o Cliente ou um Utilizador tenha questões, comentários ou sugestões adicionais relacionados com o tratamento, pela Oracle, de Informações Pessoais para Serviços ou informações pessoais contidas nos Dados Operacionais dos Sistemas, deverá contactar o Data Protection Officer preenchendo um formulário de consulta.

As consultas por escrito para o Global Data Protection Officer podem ser enviadas para:

Oracle Corporation
Global Data Protection Officer
Willis Tower
233 South Wacker Drive
45th Floor
Chicago, IL 60606
EUA

Relativamente a informações pessoais recolhidas DENTRO da UE/do EEE, podem ser enviadas consultas por escrito ao responsável pela proteção de dados da UE para o seguinte endereço:

Robert Niedermeier
Hauptstraße 4
D-85579 Neubiberg/München
Alemanha

Relativamente a informações pessoais recolhidas DENTRO do Brasil, podem ser enviadas consultas por escrito ao Data Protection Officer brasileiro para o seguinte endereço:

Alexandre Sarte
Rua Dr. Jose Aureo Bustamante, 455
Vila São Francisco
São Paulo, BR

3. Resolução de litígios ou apresentação de reclamação

Caso o Cliente ou um Utilizador tenha alguma reclamação em relação à conformidade da Oracle com as respetivas práticas em matéria de privacidade e segurança, deverá, em primeiro lugar, contactar a Oracle. A Oracle irá investigar e tentar resolver quaisquer reclamações e litígios referentes às suas práticas de privacidade.

Se os Utilizadores tiverem algum problema por resolver relacionado com questões de privacidade ou utilização de dados que a Oracle não tenha abordado de forma satisfatória, podem contactar (gratuitamente) o fornecedor de resolução de litígios nos EUA da Oracle em https://feedback-form.truste.com/watchdog/request.

Em determinadas condições, os Utilizadores poderão invocar arbitragem vinculativa quando os restantes procedimentos de resolução de litígios tiverem sido esgotados. Os Utilizadores também têm o direito de apresentar uma reclamação junto de uma autoridade de proteção de dados competente se residirem num Estado-Membro da União Europeia.

4. Alterações a esta Política de Privacidade de Serviços

A presente Política de Privacidade foi atualizada pela última vez a 9 de abril de 2021. No entanto, a Política de Privacidade de Serviços poderá sofrer alterações ao longo do tempo, nomeadamente a fim de cumprir requisitos legais ou satisfazer novas necessidades empresariais. É possível consultar a versão mais atualizada neste website. Em caso de alterações substanciais, informá-lo-emos também através de outra forma adequada (por exemplo, através de um aviso pop-up ou uma declaração de alterações no nosso website) antes de as alterações entrarem em vigor.

Versões anteriores: 19/01/21 | 20/10/20 | 07/03/19 | 14/02/19