Política de Protección de datos

1. Introducción y alcance 

Esta Política de Protección de Datos Personales (“Política”) describe las prácticas de privacidad de TMF en relación con el Procesamiento de Datos Personales de los directores, funcionarios y empleados y –en la medida en que sea aplicable– los usuarios de los Clientes y/o los Afiliados del Cliente pertinentes, como parte de la prestación de los Servicios de TMF a sus Clientes. Estos Datos Personales pueden ser almacenados en los sistemas de TMF, los sistemas del Cliente o los sistemas de terceras partes, a los cuales TMF tiene acceso para la prestación de Servicios. Cuando TMF brinda Servicios a sus Clientes, TMF actuará como Procesador y el Cliente actuará como Controlador.

Esta Política se aplica globalmente a todos y cada uno de los Servicios provistos por TMF a sus Clientes bajo los Acuerdos de Servicios, ejecutados en o después de la fecha de vigencia de esta Política. 

TMF procesa Datos Personales en nombre del Cliente de acuerdo con las Leyes de Protección de Datos. En la medida necesaria, el Acuerdo de Servicios se complementará con un Anexo para establecer asuntos adicionales específicos para el Cliente y que no puedan ser regulados en esta Política. 

Esta Política no se aplica a la recolección de Datos Personales a través de nuestro sitio web o a través de cookies con respecto a los Datos Personales de los cuales TMF puede ser considerado Controlador; hacemos referencia nuestra Declaración de Privacidad del Sitio Web y la Política de Cookies para más información al respecto.

Esta Política está disponible en el sitio web de TMF Group en el siguiente enlace: https://www.tmf- group.com/en/legal/data-protection/. TMF se reserva el derecho de actualizar esta Política sin consultar o informar previamente a sus Clientes.

2. Definiciones

Los términos en mayúscula enumerados debajo tienen el siguiente significado en esta Política:

a.  “Cliente” hace referencia a la contraparte del Acuerdo de Servicios con TMF;

b.  “Afiliado del Cliente” es cualquier entidad legal afiliada al Cliente;

c.   “Sujeto de Datos de Clientes” se referirá a los directores, funcionarios y empleados anteriores y actuales del Cliente y los Afiliados del Cliente;

d.  “Controlador” hace referencia a la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o junto con otros, determina los propósitos y medios del Procesamiento de Datos Personales;

e.  “Leyes de Protección de Datos” está relacionado con los Datos Personales que son Procesados en el cumplimiento del Acuerdo de Servicios, la Regulación General de Protección de Datos (EU) 2016/679 ("GDPR"), junto con todas las leyes de implementación y cualquier otra ley de protección de datos aplicable, leyes de privacidad o regulaciones de privacidad;

f.   “Datos Personales” se refiere a cualquier información a través de la cual un Sujeto de Datos de Clientes puede ser identificado directa o indirectamente;

g.  “Procesamiento” se refiere a cualquier operación o conjunto de operaciones que se realiza sobre Datos Personales o en conjuntos de Datos Personales, ya sea por medios automatizados, como recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción, borrado o destrucción;

h.  “Procesador” hará referencia a la parte que procesa Datos Personales en nombre del Controlador;

i.   “Servicios” son los servicios que TMF brinda al Cliente bajo el Acuerdo de Servicios;

j.  “Acuerdo de Servicios” es cualquier contrato por escrito, cualquier declaración de trabajo por escrito, o cualquier acuerdo vinculante por escrito, incluidos los anexos al mismo, entre TMF y el Cliente;

k.   “Subprocesador” es cualquier procesador de datos designado por el Procesador para procesar Datos Personales en nombre del Controlador;

l.    “TMF” hace referencia al Afiliado de TMF que es la entidad contratante del Acuerdo de Servicios;  

m. “Afiliado de TMF” hace referencia a cualquier persona o entidad especificada, cualquier otra persona o entidad que controle directa o indirectamente o esté bajo el control común directo o indirecto con dicha persona o entidad especificada. A los fines de esta definición, "control", cuando se utiliza con respecto a cualquier persona o entidad específica, significa el poder de dirigir o causar la dirección de la administración o las políticas de dicha persona o entidad, ya sea a través de la propiedad de los valores con derecho a voto o por contrato, o de otro modo. Los términos "controlador" y "control" tienen un significado correlativo a lo anterior. Se excluyen específicamente de esta definición las compañías accionarias que controlan TMF Group B.V.

3. Datos personales procesados por TMF Group

Los detalles de los Datos Personales que serán procesados por TMF en nombre del Cliente, incluyendo la duración, objetivo y tipos y categorías de los Datos Personales, así también como los Subprocesadores, si los hubiere, serán detallados en (en el Anexo) el Acuerdo de Servicios.

4. Uso de datos personales

TMF no procesará, transferirá, modificará, enmendará o alterará los Datos Personales o divulgará o permitirá la divulgación de los Datos Personales a ningún tercero salvo en las siguientes situaciones:

• según sea necesario para procesar los Datos Personales para proporcionar los Servicios y/o de otra manera de acuerdo con las instrucciones documentadas del Cliente, o
• según sea necesario para cumplir con las Leyes de Protección de Datos u otras leyes a las que TMF está sujeto, en cuyo caso TMF deberá (en la medida permitida por la ley) informar al Cliente de ese requisito legal antes de procesar los Datos Personales.

Además, TMF puede usar datos agregados, en la medida en que ya no se puedan considerar Datos Personales, para fines de análisis, para el sitio web y para operaciones internas, incluida la resolución de problemas, análisis de datos, pruebas, investigación, para fines estadísticos y para mejorar la calidad de sus Servicios.

5. Subprocesamiento

Se le puede solicitar a TMF que designe a terceros para que proporcionen parte de los Servicios al Cliente o que brinden asistencia para proporcionar soporte técnico, tales como proveedores de servicios de TI u otros proveedores. Al firmar el Acuerdo de Servicios, el Cliente autoriza a TMF a subcontratar el Procesamiento de Datos Personales a subprocesadores. Los subprocesadores están sujetos en cada caso a los términos entre TMF y el Subprocesador, que no son menos protectores que los establecidos en esta Política y el Acuerdo de Servicios. TMF informará al Cliente de los detalles de dicho (s) Subprocesador (s) a solicitud escrita del Cliente. TMF informará al Cliente con anticipación sobre cualquier cambio previsto relacionado con la incorporación o reemplazo de Subprocesadores y, por lo tanto, le dará la oportunidad de objetar dichos cambios. Si el Cliente no se opone por escrito dentro de los cinco (5) días posteriores a la recepción de la notificación, se considera que ha aceptado el nuevo Subprocesador. Si el Cliente se opone por escrito dentro de los cinco (5) días posteriores a la recepción de la notificación, TMF y el Cliente discutirán las posibles soluciones.

6. Confidencialidad y seguridad

TMF mantendrá la confidencialidad de los Datos Personales y garantizará que su personal y los Subprocesadores estén sujetos a la misma obligación de confidencialidad. TMF implementará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad de los Datos Personales adecuado al riesgo requerido, de conformidad con las Leyes de Protección de Datos aplicables, y cuando el procesamiento concierne a datos personales de residentes de la UE, tomará todas las medidas requeridas de conformidad con el artículo 32 RGPD. Al evaluar el nivel apropiado de seguridad, TMF tendrá en cuenta en particular los riesgos que presenta el procesamiento, en particular de la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los datos personales transmitidos, almacenados o procesados de otra manera. Las medidas de seguridad se describen más detalladamente y se especifican en el documento "Declaración de Continuidad", que se publica en el sitio web de TMF (https://www.tmf-group.com/es-co/legal/data-protection/) y es una parte integral de esta política.

7. Cooperación con las solicitudes del cliente

TMF, previa solicitud y en la medida requerida por las Leyes de Protección de Datos, cooperará con las solicitudes del Cliente relacionadas con el Procesamiento de Datos Personales. En particular, TMF cooperará con las solicitudes que se relacionan con los derechos del Sujeto de Datos del Cliente, las Evaluaciones de Impacto de Protección de Datos y los derechos de auditoría como se describe a continuación.

Derechos del Sujeto de Datos del Cliente: TMF cooperará según lo solicite el Cliente para permitirle cumplir con cualquier ejercicio de los derechos de un Sujeto de Datos del Cliente con respecto a los Datos Personales y cumplir con cualquier evaluación, consulta, notificación o investigación bajo las Leyes de Protección de Datos, siempre que el Cliente reembolse íntegramente a TMF todos los costos (incluidos los recursos internos y los costos de terceros) incurridos razonablemente por TMF en el cumplimiento de su obligación en virtud de esta sección.

Evaluación de Impacto de Protección de Datos: TMF proporcionará asistencia razonable al Cliente con cualquier evaluación de impacto de protección de datos que se requiera en virtud del Artículo 35 GDPR y con cualquier consulta previa a cualquier Autoridad de Supervisión del Cliente que se requiera en virtud del Artículo 36 GDPR, en cada caso en relación con el Procesamiento de Datos Personales por TMF en nombre del Cliente y teniendo en cuenta la naturaleza del procesamiento y la información disponible para TMF.

Derechos de Auditoría: Bajo solicitud y aviso razonables, TMF cooperará en la realización de cualquier auditoría o inspección, razonablemente necesaria para demostrar el cumplimiento de TMF con las obligaciones del procesador establecidas en las Leyes de Protección de Datos y esta Política relacionada con el Acuerdo de Servicios, siempre que este requisito no obligará a TMF a proporcionar o permitir el acceso a información sobre: (i) información de precios internos de TMF; (ii) información relacionada con otros Clientes de TMF; (iii) cualquier informe externo no públicos de TMF, o (iv) cualquier informe interno preparado por la función de auditoría interna de TMF. El Cliente evitará causar daños, lesiones o interrupciones al equipo, al personal y a los negocios de TMF en el transcurso de dicha auditoría o inspección. Se puede realizar un máximo de una auditoría o revisión de cumplimiento de las Leyes de Protección de Datos bajo esta sección en cualquier período de doce (12) meses, a menos que la auditoría se realice por un incumplimiento de Datos Personales causado por TMF en el mismo período. Cualquier otra auditoría de la Ley de Protección de Datos estará a cargo del Cliente.

Las solicitudes del Cliente provistas en la sección 7, se cumplirán en estrecha cooperación con y bajo la supervisión del Director de Seguridad de la Información de TMF, el Director de Privacidad de TMF o los funcionarios locales de TMF.

8. Eliminación o devolución de datos personales del cliente

TMF, a elección del Cliente, eliminará o devolverá los Datos Personales al final de la prestación de los Servicios relacionados con el Procesamiento, a menos que se requiera la retención de dichos Datos Personales por TMF por (i) las Leyes de Protección de Datos, (ii) cualquier ley, estatuto, orden, regulación, regla, requisitos, práctica y pautas de cualquier gobierno, autoridad reguladora u organización autorreguladora que se aplique a los Servicios en el país donde se prestan dichos Servicios, o (iii) un tribunal, un organismo supervisor o regulador competente.

9. Gestión de incidentes

TMF notificará al Cliente sin demora indebida después de advertir un incumplimiento de Datos Personales, brindándole al Cliente información suficiente que le permita cumplir con cualquier obligación de reportar una vulneración de Datos Personales bajo las Leyes de Protección de Datos. A solicitud del Cliente, TMF cooperará plenamente con el Cliente y tomará las medidas razonables que le indique el Cliente para ayudar en la investigación, mitigación y reparación de cada vulneración de Datos Personales, a fin de permitirle al Cliente (i) realizar una investigación exhaustiva sobre la violación de datos personales y proporcionar detalles del incidente según lo requerido por las Leyes de Protección de Datos, como el Artículo 33 (3) GDPR, (ii) formular una respuesta correcta y (iii) tomar medidas adicionales adecuadas con respecto a la vulneración de Datos Personales para cumplir con cualquier requisito bajo las Leyes de Protección de Datos ("Medidas de Recuperación"). En la medida en que los costos incurridos por TMF, relacionados con las Medidas de Recuperación según lo indicado por el Cliente, estén relacionados con la violación de Datos Personales causada por el Cliente, el Cliente deberá compensar los costos razonables de las Medidas de Recuperación adoptadas por TMF. Las medidas de remediación deberán: (i) comenzar sin demoras indebidas, (ii) completarse dentro de un período razonable después de que TMF haya tenido conocimiento de una violación de datos personales y (iii) llevarse a cabo dentro del horario comercial habitual de la oficina local donde se requiere que se tomen las medidas correctivas.

10. Transferencias internacionales de datos personales del cliente

Conforme a la sección 4 de esta Política, y en el caso de que los Servicios requieran transferencias internacionales de Datos Personales entre TMF, Afiliados de TMF y/o cualquier Subprocesador, se aplicará lo siguiente (en la medida en que sea relevante):

a. Transferencia a Afiliados de TMF en o desde la UE. Los Datos Personales pueden transferirse a (i) uno o más Afiliados de TMF en uno o más Estados Miembro del Espacio Económico Europeo ("EEE") o Suiza sobre la base de las Leyes de Protección de Datos, o a (ii) uno o más Afiliados de TMF en uno o más terceros países de acuerdo con las Reglas Corporativas Vinculantes, que se publican en el sitio web de TMF Group (https://www.tmf-group.com/es-co/legal/data-protection/). El Cliente o Afiliado de TMF correspondiente, a solicitud del Sujeto de Datos del Cliente, proporcionará al Sujeto de Datos del Cliente una copia de dichas Reglas Corporativas Vinculantes y esta Política (sin ninguna información comercial sensible o confidencial). Cuando las Leyes de Protección de Datos lo permitan, TMF obtendrá todas las autorizaciones o permisos relevantes para dicha transferencia de Datos Personales con base en dichas Reglas Corporativas Vinculantes. Cuando las Leyes de Protección de Datos no permitan que TMF obtenga dicha autorización o permiso para sí mismo, el Cliente expedirá oportunamente una autorización requerida al Afiliado de TMF correspondiente.

b. Transferencia a Subprocesadores en o desde la UE. Los Datos Personales pueden transferirse (i) a uno o más Subprocesadores (que no sean Afiliados de TMF) en uno o más Estados Miembro del EEE o Suiza en virtud de las Leyes de Protección de Datos de conformidad con el permiso de los Clientes en la sección 5 de esta Política, o (ii) a uno o más de tales Subprocesadores en uno o más terceros países sobre la base de una excepción bajo las Leyes de Protección de Datos, o (iii) sobre la base de garantías adecuadas agregadas por TMF, en la medida en que las Leyes de Protección de Datos lo permitan, para garantizar la protección de los Datos Personales, o por parte del Cliente, en cuyo caso TMF cooperará con el Cliente para buscar una base adecuada para la transferencia transfronteriza de Datos Personales a dicho Subprocesador. A solicitud del Cliente, TMF informará al Cliente de la base aplicable para la transferencia cruzada de los Datos Personales.

c. Otras transferencias. Cuando la ley de protección de datos o privacidad de cualquier país fuera del EEE o Suiza se aplique a los Datos Personales, el Cliente se asegurará de que se permita cualquier transferencia transfronteriza de Datos Personales de TMF a un Subprocesador, mediante la implementación de garantías adicionales de conformidad con las Leyes de Protección de Datos o según lo permitido por las Leyes de Protección de Datos.

11. Responsabilidad

El Cliente garantiza que todos los Datos Personales procesados por TMF en nombre del Cliente han sido y serán procesados por el Cliente de acuerdo con las Leyes de Protección de Datos que incluyen, entre otros: (a) garantizar que todas las notificaciones y aprobaciones de los reguladores que sean requeridas por las Leyes de Protección de Datos son realizadas y mantenidas por el cliente; y (b) asegurar que todos los Datos Personales se procesen de manera justa y legal, sean precisos y actualizados y que se proporcione una notificación a los Sujetos de Datos del Cliente que describan el procesamiento que TMF llevará a cabo de conformidad con los Servicios acordados en el Acuerdo de Servicios.

TMF será responsable del daño causado por el procesamiento solo cuando no haya cumplido con las obligaciones de las Leyes de Protección de Datos específicamente dirigidas a los procesadores, o cuando haya actuado fuera o en contra de las instrucciones legales del Cliente como se indica en el Acuerdo de Servicios. El cliente será responsable por el daño causado por el procesamiento por parte del Cliente que infringe las leyes de protección de datos. El Cliente o Procesador estará exento de responsabilidad bajo esta sección 11 si demuestra que no es responsable de ninguna manera por el evento que ocasionó el daño.

Cuando más de un Controlador o Procesador, o tanto un Controlador como un Procesador, estén involucrados en el mismo procesamiento y donde, bajo el Acuerdo de Servicios, sean responsables de cualquier daño causado al Sujeto de Datos del Cliente por Procesamiento, cada Controlador o Procesador será responsable de todo el daño a fin de garantizar una compensación efectiva de los Sujetos de Datos del Cliente. Cuando un Controlador o Procesador haya pagado una compensación total por el daño sufrido, ese Controlador o Procesador tendrá derecho a reclamar a los otros Controladores o Procesadores involucrados en el mismo Procesamiento, la parte de la compensación correspondiente a su parte de responsabilidad por el daño, de acuerdo con las condiciones establecidas en el párrafo anterior.

Salvo para este tercer párrafo de la sección 11, las indemnizaciones, responsabilidades y exclusiones o limitaciones de las mismas establecidas en el Acuerdo de Servicios, también se aplicarán a las obligaciones de las partes de conformidad con esta Política y el Acuerdo de Servicios, y prevalecerá en caso de conflicto.

Política de Protección de Datos Personales – |TMF Group | versión abril 2019

Política de Protección de Datos Personales – |TMF Group | versión 29/03/2018