Declaração da GDPR

Esforços que a TMF Group está realizando para garantir o compliance duradouro com a GDPR

A fim de garantir o processamento correto e transparente de dados pessoais, levando em conta as circunstancias e contextos específicos nos quais os dados pessoais estão sendo processados, nós melhoramos as medidas técnicas organizacionais já existentes e implementamos novas a fim de nos assegurarmos que os fatores que resultariam em potenciais riscos para dados pessoais sejam minimizados tanto quanto possível.

Para garantir o compliance com a GDPR, nós elaboramos políticas internas e manuais novos, além de atualizarmos os existentes, bem como implementamos medidas que atendem especificamente os princípios de privacidade por design e privacidade por padrão. Tais medidas, entre outras afetam: (i) a minimização de processamento de dados pessoais, (ii) aumento da segurança de processamento, (iii) transparência com relação aos dados processados, (iv) acomodação adequada e respostas rápidas a solicitações de proprietários dos dados, (v) suporte para respostas rápidas a procedimentos de incidentes, e (vi) supervisão de atividades de processamento de dados em compliance para garantir o processamento legítimo e adequado.

Quando desenvolvendo, desenhando, selecionando e usando aplicações de negócios ou prestando serviços e entregando produtos aos nossos clientes que incluam o processamento de dados pessoais, nós garantimos cumprir nossas obrigações legais com relação à GDPR. Os princípios de privacidade por design e privacidade por padrão são respeitados ao longo de todo o processo, e as medidas organizacionais e técnicas sobretudo utilizadas pela TMF Group – como listadas abaixo – estão continuamente sendo avaliadas e melhoradas.

Medidas organizacionais relacionadas à GDPR

• Foi estruturada uma governança de privacidade, introduzindo o cargo de Chief Privacy Officer e o Time Global de Privacidade, que estão garantindo o compliance com a GDPR e o compliance com leis locais de privacidade em todas as jurisdições onde operamos.
• Políticas internas e externas de privacidade e declarações foram atualizadas para refletir os requerimentos da GDPR.
• Nós implementamos processos, procedimentos e diretrizes para dar suporte a solicitações de nossos clientes, prospectos e funcionários com seus direitos no Capítulo III da GDPR: direito à portabilidade de dados, direito à deleção (‘direito de ser esquecido’), direito à informação e transparência, direito de acesso e retificação, direito ao processamento restrito e o direito à objeção ao processamento (automático) de dados pessoais.
• Um inventário de dados (registros de atividades de processamento, “RoPA” em inglês) foi estabelecido por experts de boa reputação e líderes da indústria de acordo com boas práticas da indústria financeira. Ele está sendo mantido em compliance com a GDPR e oferece uma visão dos fluxos de dados ao longo da organização. As atualizações necessárias do RoPA estão enraizadas nos processos organizacionais.
• Avaliações de Impactos de Proteção de Dados (“DPIA”, em inglês) podem ser realizadas conforme requerido e sob demanda – para dar suporte ao cliente em relação ao seu compliance. Para processos internos, exames rápidos de DPIA e DPIAs são realizados antes de começar quaisquer atividades de processamento de alto risco.
• Diretrizes, procedimentos e processos estão em vigor para lidar com incidentes envolvendo dados pessoais. Estes procedimentos e resolução de incidentes são supervisionados por nossos Diretores de Privacidade e de Segurança.
• Acordos de serviço com nossos clientes e fornecedores (subprocessadores) refletem os requerimentos da GDPR. Nós buscamos apenas nos engajar com subprocessadores que oferecem garantias suficientes, especialmente em termos de conhecimento expert, confiança e recursos e requeremos que eles implementem medidas técnicas e organizacionais que atendem os requerimentos da GDPR e de nossos clientes, incluindo para a segurança de processamento.
• A autoridade supervisora holandesa (que rege a TMF Group) aprovou as Regras Corporativas Obrigatórias da TMF Group (BCRs) para o controle e processamento de transferências dentro do Grupo de dados pessoais de e para países que oferecem níveis inadequados de proteção comparados àqueles aplicáveis na União Europeia.
• O compliance com a GDPR de cada escritório local está sujeito a auditorias internas frequentes sob a supervisão do Chief Privacy Officer.
• Treinamentos e campanhas de conscientização direcionadas a todos os funcionários foram realizadas, e todos os funcionários são obrigados a completar o treinamento mandatório da GDPR. Os treinamentos estão sendo atualizados anualmente.
• As campanhas de marketing direto da TMF Group são adequadas com a GDPR, de forma que elas são realizadas com uma avaliação anterior direcionada à privacidade e sob a supervisão de profissionais de marketing treinados em relação à GDPR.

Medidas técnicas e de segurança relacionadas à GDPR

• Todos os funcionários assinaram declarações de confidencialidade, e é requerido que eles cumpram políticas internas.
• A atividade dos funcionários e seus acessos a sistemas de TI e a localidades físicas de armazenamento de dados pessoais (“Armazéns”) são protegidos, alinhados com (múltiplos) requerimentos de autenticação e separáveis.
• É implementada uma divisão de papéis e responsabilidades de funcionários que reduz a possibilidade de um único indivíduo comprometer um processo crítico.
• Todos os membros do quadro de funcionários estão realizando apenas tarefas autorizadas relevantes para seus respectivos trabalhos e posições.
• Os direitos de acesso dos funcionários a sistemas de TI e a Armazéns estão em linha com necessidades do negócio pré-definidas e documentadas, e os requerimentos de trabalho estão anexos às identidades dos usuários.
• A gestão de contas dos funcionários é restrita a pessoas autorizadas e revisada periodicamente.

Nós encorajamos clientes, fornecedores e parceiros a revisar nossas Políticas de Proteção de Dados Pessoais em compliance e nossa Declaração de Continuidade, que contém a descrição das medidas técnicas e de segurança da TMF Group estabelecidas juntamente com as Regras Corporativas Obrigatórias que nos permitem transferir dados pessoais dentro do Grupo sem quaisquer restrições legais ou técnicas.

Para todas as outras questões de contratos, por favor não hesite em entrar em contato com seu escritório local ou com nosso time dedicado por meio do e-mail dataprotection@tmf-group.com.