“Conteúdo do cliente” (ou “Seu conteúdo”) é qualquer conteúdo que você, como cliente, ou seus usuários carregam em um serviço de nuvem para processamento, armazenamento ou hospedagem em conexão com sua conta. No contexto de serviços de suporte, “Conteúdo do cliente” é qualquer conteúdo que você fornece à VMware como parte dos serviços de suporte. A definição de “Conteúdo do cliente” pode ser encontrada nos Termos gerais da VMware. Por exemplo, o “Conteúdo do cliente” inclui dados que você ou seus usuários armazenam no Workspace ONE. O importante é que as informações da conta, incluindo nomes, nomes de usuário, telefone comercial e informações de cobrança associadas a ela, não fazem parte da definição de “Conteúdo do cliente”, tampouco quaisquer informações que a VMware coleta em relação ao seu uso dos serviços de computação em nuvem da empresa. Em vez disso, a VMware processará as informações conforme previsto no Aviso de privacidade.

Você sempre detém a propriedade do “Conteúdo do cliente”. Você determina quais VMware Cloud Services usará para processar, armazenar e hospedar o “Conteúdo do cliente” e quais informações serão carregadas no serviço de nuvem como “Conteúdo do cliente”. Além disso, a VMware não acessará nem usará o "Conteúdo do cliente" para nenhuma finalidade, exceto conforme necessário para fornecer o serviço de nuvem a você e de acordo com o previsto e permitido nos Termos de gerais da VMware firmados com você. Por fim, a VMware não usará o “Conteúdo do cliente” para ações de marketing ou publicidade.

A VMware oferece soluções corporativas que permitem a seus clientes criar, gerenciar, proteger e executar aplicativos em vários sistemas e ambientes. Embora a VMware acredite que a natureza das ofertas de serviço que fornece a seus clientes geralmente não garanta uma solicitação de acesso direto do governo ao "Conteúdo do cliente, a VMware tomou as seguintes medidas para cumprir a norma Schrems II e ajudar os clientes em suas próprias iniciativas de conformidade em relação aos dados que processam como controladores:

Compromissos contratuais reforçados em relação às solicitações de acesso do governo
A VMware atualizou a seção "Divulgação obrigatória" dos Termos gerais da VMware para esclarecer como a VMware lida com as solicitações de acesso do governo adicionando os seguintes compromissos:

Quando a notificação do cliente não for legalmente proibida, a VMware:

• Notificará o cliente: notifique seus clientes sobre qualquer demanda de divulgação de conteúdo do cliente.

• Indicará a agência governamental ao cliente: comunique à autoridade governamental relevante que a VMware é uma provedora de serviços que atua em nome do cliente e que todas as solicitações de acesso ao conteúdo do cliente devem ser encaminhadas por escrito à pessoa de contato que o cliente informou a nós ou ao departamento jurídico dele.

• Limitará o acesso: forneça acesso ao conteúdo do cliente apenas com a autorização do cliente. Se o cliente solicitar, nós, às custas do cliente, tomaremos as medidas cabíveis para contestar qualquer demanda.

Se a VMware for legalmente proibida de notificar o cliente, a VMware:

• Avaliará se a validade é legal: a VMware avaliará a demanda de divulgação para determinar se é legalmente válida e vinculativa.

• Contestará solicitações ilegais: a VMware contestará o pedido se chegar à conclusão de que ele não está em conformidade com a legislação aplicável.

• Limitará o escopo da divulgação: a VMware limitará o escopo das divulgações apenas às informações que somos obrigados a divulgar e divulgará as informações de acordo com a legislação aplicável.

Transparência em relação ao processo para lidar com solicitações de acesso do governo e autoridades dos EUA

Para ajudar os clientes a entender melhor os compromissos e processos da VMware para lidar com solicitações de acesso do governo, incluindo os compromissos estabelecidos nas RCVs da VMware, a VMware elaborou os Princípios de processamento das solicitações de acesso do governo ao conteúdo do cliente.

Além disso, a VMware elaborou a Declaração da VMware sobre a aplicação da Seção 702 da FISA e da Ordem Executiva 12333 com base no Schrems II a fim de abordar as preocupações sobre o acesso das agências de inteligência dos EUA a dados em trânsito da UE para os EUA e de ajudar os clientes a entender a provável aplicação de dois regulamentos dos EUA: Ordem Executiva (EO) 12333 e Seção 702 da Lei de Vigilância de Inteligência Estrangeira (FISA). A VMware acredita firmemente que há uma pequena probabilidade de ela estar sujeita à Seção 702 ou à EO 12333 quanto ao aprovisionamento das ofertas de serviço, dada a natureza dos serviços que fornece.

Contratos atualizados com subencarregados do tratamento dos dados para garantir uma base jurídica para a transferência de dados pessoais

Desde a invalidação do Privacy Shield UE-EUA, a VMware implementou cláusulas contratuais padrão com todos os seus subencarregados de tratamento de dados, que anteriormente contavam com o Privacy Shield UE-EUA como mecanismo de transferência de dados. Como subencarregada do tratamento dos dados, a VMware baseia-se nas regras corporativas vinculativas para transferir dados pessoais para fora da UE como parte do aprovisionamento das ofertas de serviço aplicáveis da VMware, conforme estabelecido no Adendo de processamento de dados da VMware.

Medidas técnicas e organizacionais

A VMware confirma seu compromisso em implementar e manter medidas técnicas e organizacionais adequadas, conforme estabelecido no Adendo de processamento de dados da VMware. O Trust Center da VMware descreve as certificações e auditorias de terceiros que a VMware mantém em relação às suas ofertas de serviço. Dada a natureza das ofertas de serviço da VMware, os clientes também têm controle sobre como configuram as ofertas de serviço e podem implementar os controles administrativos e técnicos necessários para proteger os dados processados como parte do uso da oferta de serviço aplicável. Em muitos casos, a VMware fornece soluções locais e hospedadas para que os clientes gerenciem seus sistemas e infraestrutura.

Avaliações de impacto de transferências
A VMware implementou um processo para realizar avaliações de impacto de transferências conforme descrito nas Perguntas frequentes sobre TIA. Além disso, a VMware atualizou suas regras corporativas vinculativas para subencarregados do tratamento de dados (RCV-Ps), conforme aprovado pelas autoridades de supervisão, para incluir o compromisso de realizar avaliações de impacto de transferências. Consulte o procedimento de avaliação de impacto de transferências da VMware estabelecido nas RCV-Ps.

Transparência em relação aos tipos de dados processados pelo VMware Service: datasheets
Em suas perguntas frequentes sobre o "Schrems II", o Conselho Europeu de Proteção de Dados (EDPB, pela sigla em inglês) destacou que é necessário considerar os tipos de dados transferidos como um dos fatores para determinar se existe um nível adequado de proteção em torno da transferência de dados pessoais para fora da UE. Ele destacou também que os controladores devem realizar uma análise caso a caso para determinar os riscos dessa transferência. Para ajudar os clientes a compreender os tipos de dados processados como parte do uso de ofertas de serviço da VMware, a VMware fornece descrições de serviço para cada oferta e disponibiliza datasheets para algumas ofertas na seção Privacidade do VMware Trust Center. Para as ofertas de serviço do Workspace ONE, a VMware também disponibiliza a Divulgação sobre o Workspace ONE.

A VMware contrata e usa terceiros para prestar serviços em seu nome como parte do aprovisionamento de ofertas de serviços ou serviços de suporte e assinatura da VMware. Como parte da contratação de terceiros que processam dados pessoais como subencarregados do tratamento dos dados (conforme esses termos são definidos no Adendo de processamento de dados), a VMware implementou os seguintes processos e procedimentos:

1. Compromisso contratual e transferências internacionais de dados: a VMware celebra acordos de processamento de dados com todos os seus subencarregados do tratamento de dados, o que exige que os subencarregados mantenham a privacidade, a segurança e a confidencialidade dos dados pessoais em termos substancialmente semelhantes aos compromissos contratuais que a VMware firma com seus próprios clientes no Adendo de processamento de dados. A VMware baseia-se nas cláusulas contratuais padrão da UE, a menos que haja outro mecanismo legítimo de transferência de dados e o subencarregado do tratamento dos dados assuma os compromissos contratuais adequados.
   
   
2. Processo de análise de privacidade e privacidade inerente: a VMware estabeleceu um processo completo e centralizado de gerenciamento de fornecedores de terceiros para integrar novos fornecedores: iniciar, conduzir e monitorar análises de privacidade e segurança de terceiros por meio de ferramentas centralizadas para auxiliar em seus esforços de conformidade. A equipe de privacidade da VMware conduz análises detalhadas de privacidade dos serviços fornecidos pelos subencarregados de tratamento de dados, incluindo a determinação das categorias de dados pessoais processados e as finalidades do processamento. As análises incluem a implementação de controles de privacidade para mitigar os riscos associados ao acesso e processamento de dados pessoais por parte dos subencarregados e garantir a conformidade normativa.
   
   
3. Processo de análise de segurança: a VMware mantém uma política e um processo para conduzir análises de segurança dos subencarregados do tratamento dos dados. A equipe de soluções de segurança da VMware conduz uma análise inicial de segurança de todos os novos subencarregados e um monitoramento contínuo com base no nível de risco de segurança identificado.
   
   
4. Lista de subencarregados do tratamento dos dados e notificação de novos subencarregados: a VMware mantém uma lista dos subencarregados usados em cada oferta de serviço e em relação aos serviços de suporte e assinatura. A VMware avisa com antecedência de todas as novas contratações de subencarregados de tratamento de dados aos clientes que se inscreveram para receber notificações de um serviço específico.

A VMware tem um processo interno para acompanhar, analisar e avaliar novas leis, regulamentos, orientações vinculativas e casos jurídicos que podem se aplicar à VMware, seja no fornecimento de seus serviços ou na operação de seus negócios. A equipe de privacidade conta com assessoria jurídica externa, ferramentas externas de pesquisa de privacidade e alertas de notícias de escritórios de advocacia para saber quando novas leis e regulamentos são promulgados.

Após determinar que uma lei de privacidade específica se aplica à VMware, como aconteceu com as leis da China, do Japão, da Califórnia, do Colorado, da Virgínia e de Utah, a VMware acompanha os requisitos legais e implementa um plano de projeto para garantir a conformidade. Como parte do processo de implementação, a equipe de privacidade da VMware envolve as partes interessadas internas relevantes e identifica os processos e controles que precisam ser atualizados para atender aos novos requisitos legais. A equipe de privacidade da VMware conta com seu ecossistema de consultores de privacidade (orientados por áreas funcionais como marketing, RH e vendas) na empresa para ajudar na implementação de leis novas ou alteradas de maneira oportuna e eficiente.

A equipe de privacidade da VMware também aproveita seu treinamento de privacidade padrão e outros treinamentos da empresa para garantir que todos os seus funcionários e prestadores de serviços sejam adequadamente treinados sobre quaisquer novos requisitos legais que possam afetar suas atividades. Por exemplo, como parte da conformidade normativa da VMware com suas regras corporativas vinculativas para encarregados do tratamento de dados, a VMware implementou os treinamentos necessários por meio do treinamento anual obrigatório de segurança e conscientização, além de ter atualizado seu código de conduta de negócios de acordo com os novos requisitos.

A segurança de seus serviços de computação em nuvem é de suma importância para a VMware. Para obter mais informações sobre como a VMware protege seus serviços de computação em nuvem, consulte a página de segurança do Trust Center. A VMware mantém um programa de gerenciamento da segurança da informação alinhado ao padrão ISO 27001 e revisado no mínimo uma vez por ano para garantir o uso dos controles, das práticas e dos procedimentos apropriados.

No uso do VMware Cloud Services, você é responsável por configurar e implementar os controles técnicos, organizacionais e administrativos necessários para que possa cumprir todas as leis aplicáveis ao seu uso do serviço de nuvem, que pode depender dos tipos de dados que você optar por processar no serviço. Suas responsabilidades em relação à segurança do "Conteúdo do cliente" são estabelecidas no contrato vigente e incluem (a) o controle do acesso concedido a seus usuários, (b) a configuração adequada do serviço de nuvem, (c) a garantia da segurança do "Conteúdo do cliente" durante o fluxo de/para o serviço de nuvem, (d) o uso de tecnologia de criptografia para proteger o “Conteúdo do cliente” de acordo com o que você julgar necessário e (e) o backup do “Conteúdo do cliente”.