Proteção de Dados – TMF Group

Política de Proteção de Dados Pessoais – TMF Group

1. Introdução e Alcance

Esta Política de Proteção de Dados Pessoais (“Política”) descreve as práticas de privacidade da TMF em relação ao Processamento de Dados Pessoais dos diretores, executivos e funcionários e – na medida cabível – dos clientes do Cliente e/ou das respectivas Afiliadas do Cliente, no contexto da prestação de Serviços da TMF a seus Clientes. Esses Dados Pessoais podem ser armazenados em sistemas da TMF, sistemas do Cliente ou sistemas de terceiros aos quais a TMF der acesso no âmbito da/para a prestação dos Serviços. Quando a TMF prestar Serviços a seus Clientes, a TMF atuará como Processador e o Cliente atuará como Controlador.

Esta Política se aplica em nível global a todos e quaisquer Serviços prestados pela TMF a seus Clientes nos termos dos Contratos de Serviço firmados a partir da data de vigência desta Política (inclusive esta data).

A TMF processa dados pessoais em nome do Cliente nos termos das Leis de Proteção de Dados. Na medida do necessário, o Contrato de Prestação de Serviços será complementado por um adendo para definir quaisquer outros assuntos específicos do Cliente e que não possam ser regulamentados na presente Política.

A presente Política não se aplica à coleta de Dados Pessoais pelo nosso site ou por cookies, em relação aos quais a TMF pode ser considerada a Controladora; consulte a nossa Declaração de Privacidade do Site e a Política de Cookies para obter mais informações a esse respeito.

A presente Política está disponível no site da TMF Group, no seguinte link: https://www.tmf- group.com/pt-br/legal/data-protection/. A TMF reserva para si o direito de atualizar a presente Política sem consultar seus Clientes ou informá-los com antecedência. Não obstante o acima exposto, a versão da Política que se aplica e continuará a ser aplicada a um Contrato específico será a versão da Política que estava em vigor na data de início da vigência de tal Contrato, a menos que sejam necessárias alterações para cumprir com as Leis de Proteção de Dados, caso em que se aplica a versão mais recente da Política publicada no site.

A presente Política está disponível no site da TMF Group, no seguinte link: https://www.tmf- group.com/pt-br/legal/data-protection/. A TMF reserva para si o direito de atualizar a presente Política sem consultar seus Clientes ou informá-los com antecedência. 

2. Definições

Os termos com inicial maiúscula enumerados abaixo têm o seguinte significado na presente Política:

a. “Cliente” significa a outra parte do Contrato de Prestação de Serviços com a TMF;
b. “Afiliada do Cliente” significa qualquer pessoa jurídica afiliada ao Cliente;
c. “Titulares de Dados do Cliente” significa os diretores, executivos e funcionários anteriores e atuais, os clientes do Cliente e as Afiliadas do Cliente;
d. “Controlador” significa a pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, por si ou em conjunto com outros, determina as finalidades e os meios do Processamento de Dados Pessoais;
e. “Auditoria de Proteção de Dados” significa auditorias, incluindo questionários de conformidade de proteção de dados, realizadas pelo Cliente ou um terceiro em nome do Cliente, com o objetivo de verificar a conformidade da TMF com as obrigações de proteção de dados estabelecidas no Contrato de Serviço e nesta Política;
f. “Leis de Proteção de Dados” significa, em relação a quaisquer Dados Pessoais que forem Processados no cumprimento do Contrato de Prestação de Serviços, e a (“GDPR”) Regulamento Geral de Proteção de Dados (UE) 2016/679, a (“LGPD”) Lei Geral de Proteção de Dados nº 13.709/2018, e todas as leis de implementação e qualquer outra proteção de dados, leis de privacidade ou normas de privacidade pertinentes;
g. “Dados Pessoais” significa qualquer informação através da qual um Titular de Dados do Cliente possa ser direta ou indiretamente identificado;
h. “Violação de Dados Pessoais” significa uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada de, ou acesso a, Dados Pessoais transmitidos, armazenados ou de outra forma processados;
i. “Processamento” significa qualquer operação ou conjunto de operações que se realize com Dados Pessoais ou em conjuntos de Dados Pessoais, seja por meios automatizados ou não, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização a outro título, alinhamento ou combinação, restrição, apagamento ou destruição;
j. “Processador” significa a parte que processa Dados Pessoais em nome do Controlador, equivalente a figura do Operador na LGPD;
k. “Serviços” significa os serviços que a TMF presta ao Cliente nos termos do Contrato de Prestação de Serviços;
l. “Contrato de Prestação de Serviços” significa qualquer contrato por escrito, descrição de trabalho por escrito ou qualquer outro contrato vinculativo por escrito, incluindo seus anexos, que se celebre entre a TMF e o Cliente;
m. “Subprocessador” significa qualquer processador de dados designado pelo Processador para processar Dados Pessoais em nome do Controlador.
n. “TMF” significa a Afiliada da TMF que é a pessoa jurídica contratante do Contrato de Prestação de Serviços;
o. “Afiliada da TMF” significa, com relação a qualquer pessoa física ou jurídica, qualquer outra pessoa física ou jurídica que, direta ou indiretamente, controle, seja controlada ou esteja sob o controle comum direto ou indireto dessa pessoa física ou jurídica especificada. Para os fins desta definição, “controle”, quando usado em relação a qualquer pessoa física ou jurídica especificada, significa o poder de dirigir ou providenciar a direção da administração ou das políticas dessa pessoa física ou jurídica, pela propriedade de valores mobiliários com direito de voto, por contrato ou de outra maneira. Os termos "controlador" e "controle" têm significados correlativos aos anteriores. Especificamente excluídas desta definição estão as empresas que controlam o TMF Group B.V.

3. Dados Pessoais processados pela TMF Group

Os detalhes dos Dados Pessoais que serão Processados pela TMF em nome do Cliente, inclusive a duração, a finalidade e os tipos e as categorias de Dados Pessoais, bem como os Subprocessadores, se houver, serão apresentados nas páginas do site da TMF Group Detalhes do Processamento (https://www.tmf-group.com/en/legal/data-protection/details-of-processing) e, respectivamente, Subprocessadores (https://www.tmf-group.com/en/legal/data-protection/subprocessors).

4. Uso de dados pessoais

A TMF não processará, transferirá, modificará, alterará ou aditará os Dados Pessoais nem divulgará nem permitirá a divulgação dos Dados Pessoais a terceiros, exceto:

• na medida necessária para processar os Dados Pessoais para prestar os Serviços e/ou a outro título, de acordo com as instruções documentadas do Cliente, ou
• conforme exigido para cumprir as Leis de Proteção de Dados ou outras leis às quais a TMF esteja sujeita; nesse caso, a TMF deverá (na medida permitida por lei) informar o Cliente sobre essa exigência legal antes de processar os Dados Pessoais. 

Além disso, a TMF poderá usar dados agregados – na medida em que não possam mais ser considerados Dados Pessoais – para fins de análise, em sites e operações internas, inclusive solução de problemas, análise de dados, testes, pesquisas, para fins estatísticos, e para melhorar a qualidade de seus serviços.

5. Subprocessamento

A TMF pode ser requerida a nomear determinados terceiros, incluindo Afiliadas da TMF, para prestar parte dos Serviços ao Cliente ou auxiliar na prestação de suporte técnico, como prestadores de serviços de TI ou outros fornecedores. Ao assinar o Contrato de Prestação de Serviços, o Cliente autoriza a TMF a subcontratar o Processamento de Dados Pessoais de Subprocessadores nos respectivos países onde os Serviços serão prestados, conforme indicado em Subprocessadores (https://www.tmf-group.com/en/legal/data-protection/subprocessors). Os subprocessadores estão, em todos os casos, sujeitos ao disposto no contrato entre a TMF e o subprocessador, que não são menos rigorosos do que os termos estabelecidos nesta Política e no Contrato de Prestação de Serviços. A TMF informará ao Cliente dos detalhes de tais Subprocessadores, mediante solicitação por escrito do Cliente. A TMF informará o Cliente com antecedência sobre quaisquer alterações pretendidas em relação à inclusão ou substituição de Subprocessadores e, assim, dará ao Cliente a oportunidade de se opor a tais alterações. Caso o Cliente não se oponha por escrito no prazo de 15 (quinze) dias após o recebimento do aviso, considerar-se-á aceito o novo Subprocessador pelo Cliente. Caso o Cliente se oponha por escrito no prazo de 15 (quinze) dias após o recebimento do aviso, a TMF e o Cliente discutirão possíveis resoluções dentro de um prazo razoável e sem prejuízo para as partes e para o cumprimento de cada uma de suas respectivas obrigações estabelecidas no Contrato de Prestação de Serviços.

6.Sigilo e segurança

A TMF manterá os Dados Pessoais em sigilo e garantirá que sua equipe e os  Subprocessadores se obriguem pelo mesmo dever de sigilo. A TMF deve implementar medidas técnicas e organizacionais apropriadas para garantir aos Dados Pessoais um nível de segurança adequado ao risco necessário, nos termos das Leis de Proteção de Dados pertinentes e, quando o Processamento disser respeito a dados pessoais de residentes na UE, deverá tomar todas as medidas previstas no Artigo 32 da GDPR e Artigo 46 da LGPD. Ao avaliar o nível apropriado de segurança, a TMF deve levar em consideração, especialmente, os riscos apresentados pelo Processamento, em particular os de destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou de outra forma processados. As medidas de segurança são descritas e especificadas mais detalhadamente no documento “Declaração de Continuidade”, publicado no site da TMF Group (https://www.tmf-group.com/pt-br/legal/data-protection/) e parte integrante da presente Política. Quaisquer versões subsequentes do documento “Declaração de Continuidade” devem ser aplicáveis ao Contrato de Prestação de Serviços e seu conteúdo não será menos rigoroso do que seu versão anterior.

7. Atendimento de solicitaçoes do cliente

A TMF deverá, mediante solicitação e na medida exigida pelas Leis de Proteção de Dados, atender as solicitações do Cliente relacionadas ao Processamento de Dados Pessoais. Em particular, a TMF deverá atender solicitações relacionadas aos direitos do Titular dos Dados do Cliente, a Avaliações de Impacto na Proteção de Dados e a direitos de auditoria, conforme descrito abaixo.

Direitos do Titular de Dados do Cliente: A TMF cooperará, conforme solicitado pelo Cliente, para permitir que ele cumpra qualquer exercício de direitos de um Titular de Dados do Cliente em relação a Dados Pessoais e auxiliar o Cliente no cumprimento de qualquer avaliação, consulta, notificação ou investigação como exigido pelas Leis de Proteção de Dados. Desde que, em cada caso, o Cliente deva reembolsar integralmente a TMF por todos os custos (inclusive recursos internos e quaisquer custos de terceiros) razoavelmente incorridos pela TMF no cumprimento da sua obrigação de auxiliar o Cliente conforme disposto nesta seção.

Avaliação de impacto na Proteção de Dados: A TMF deve prestar a assistência razoável ao Cliente com quaisquer avaliações de impacto na proteção de dados conforme exigido pelas Leis de Proteção de Dados, incluindo o Artigo 35 da GDPR e Artigo 5º, XVII da LGPD, e em quaisquer consultas prévias a qualquer Autoridade Supervisora do Cliente conforme exigido pelas Leis de Proteção de Dados, incluindo pelo Artigo 36 da GDPR, em cada caso, em relação ao Processamento de Dados Pessoais pela TMF em nome do Cliente, e levando em consideração a natureza do processamento e as informações disponíveis para a TMF.

Direitos de auditoria: Mediante solicitação e aviso pertinentes, a TMF cooperará com a realização de qualquer auditoria ou inspeção que seja necessária na medida cabível para comprovar que a TMF cumpre as obrigações de processador estabelecidas nas Leis de Proteção de Dados e na presente Política em relação ao Contrato de Prestação de Serviços, desde que essa exigência não obrigue a TMF a conceder ou permitir o acesso a informações relacionadas: (i) a informações internas de apreçamento da TMF; (ii) informações relacionadas a outros Clientes da TMF; (iii) quaisquer relatórios externos reservados da TMF ou (iv) quaisquer relatórios internos preparados pela função de auditoria interna da TMF. O Cliente deve abster-se de causar danos, ferimentos ou perturbações aos equipamentos, ao pessoal e aos negócios da TMF no decorrer de tal auditoria ou inspeção referente a Proteção de Dados. No máximo, uma auditoria de Proteção de Dados pode ser acionada nos termos desta seção em qualquer período de 12 (doze) meses, a menos que a auditoria seja realizada em virtude de uma violação de Dados Pessoais causada pela TMF no mesmo período. Qualquer outra auditoria de Proteção de Dados correrá por conta do Cliente.

As solicitações do Cliente previstas nesta seção 7 serão atendidas em estreita cooperação com o Diretor de Segurança da Informação da TMF, o Diretor Chefe de Privacidade da TMF ou oficiais locais semelhantes da TMF.

8. Exclusão ou devolução de dados pessoais do cliente

A TMF deverá, a critério do Cliente, excluir ou devolver os Dados Pessoais ao final da prestação dos Serviços relacionados ao Processamento, a menos que (i) as Leis de Proteção de Dados, (ii) qualquer lei, decreto, ordem, regulamento, regra, requisito, prática e diretriz de qualquer governo, autoridade reguladora ou autarquia que se aplique aos Serviços no país em que esses Serviços estão sendo prestados, ou (iii) um tribunal competente ou órgão regulador ou de supervisão exija a guarda de tais Dados Pessoais pela TMF.

9. Gestão de incidentes

A TMF deverá notificar o Cliente, sem demora injustificada, após tomar conhecimento de uma Violação de Dados Pessoais, fornecendo ao Cliente informações suficientes que permitem ao Cliente cumprir quaisquer obrigações de comunicação de Violação de Dados Pessoais previstas nas Leis de Proteção de Dados. Mediante solicitação do Cliente, a TMF deve cooperar totalmente com o Cliente e tomar as medidas razoáveis conforme orientado pelo Cliente para auxiliar na investigação, mitigação e remediação de cada Violação de Dados Pessoais, a fim de permitir que o Cliente (i) realize uma investigação completa sobre a Violação de Dados Pessoais e apresente detalhes do incidente, conforme exigido pelas Leis de Proteção de Dados, como o Artigo 33 (3) da GDPR e Artigo 48 da LGPD, (ii) formular uma resposta correta e (iii) tomar outras medidas adequadas em relação à Violação de Dados Pessoais, a fim de cumprir qualquer exigência das Leis de Proteção de Dados (“Medidas de Remediação”). Se TMF ou Afiliada da TMF causou a Violação de Dados Pessoais, a TMF arcará com os custos razoáveis da Medidas de Remediação. Se, e na medida em que os custos incorridos pela TMF relativo às Medidas de Remediação, conforme orientado pelo Cliente, estiverem relacionados à violação de Dados Pessoais causada pelo Cliente, o Cliente deverá restituir os custos razoáveis das Medidas de Remediação tomadas pela TMF. Quaisquer custos suportados pela TMF que excedam aqueles custos razoáveis para Medidas de Remediação devem ser mutuamente acordados pelas Partes com antecedência. As Medidas de Remediação devem: (i) ser iniciadas sem demora injustificada, (ii) ser concluídas num prazo razoável após a TMF tomar conhecimento de uma violação de Dados Pessoais e (iii) ser realizadas dentro do horário comercial normal do escritório local onde for necessário realizar as Medidas de Remediação.

10. Transferências internacionais de dados pessoais de clientes

Sempre sem prejuízo do disposto na seção 4 da presente Política, e caso os Serviços exijam transferências internacionais de Dados Pessoais entre a TMF, Afiliada(s) da TMF e/ou qualquer Subprocessador, o seguinte se aplicará (na medida pertinente):

a. Transferência para Afiliadas da TMF na UE ou para a UE. Os Dados Pessoais podem  ser transferidos para (i) uma ou mais Afiliadas da TMF em um ou mais Estados-embros do Espaço Econômico Europeu (“EEE”) ou na Suíça, com base nas Leis de Proteção de Dados, ou para (ii) uma ou mais Afiliadas da TMF em um ou mais países terceiros, com base nas Regras Corporativas Obrigatórias,publicadas no site da TMF Group (https://www.tmf-group.com/pt-br/legal/data-protection/). O Cliente ou a respectiva Afiliada da TMF deverá, mediante solicitação do Titular de Dados do Cliente, fornecer ao Titular de Dados do Cliente uma cópia das Regras Corporativas Obrigatórias e da presente Política (sem nenhuma informação comercial sigilosa ou informação confidencial). Onde for permitido pelas Leis de Proteção de Dados, a TMF deve obter todas as autorizações ou permissões pertinentes para essa transferência de Dados Pessoais com base em tais Regras Corporativas Obrigatórias. Quando as Leis de Proteção de Dados não permitirem que a TMF obtenha tal autorização ou licença para si própria, o Cliente deverá conceder oportunamente uma autorização necessária à respectiva Afiliada da TMF.

b. Transferência para Subprocessadores na UE ou para a UE. Os Dados Pessoais podem ser transferidos (i) para um ou mais Subprocessadores (que não sejam Afiliadas da TMF) em um ou mais Estados-Membros da UE ou na Suíça, com base nas Leis de Proteção de Dados, de acordo com a permissão do Cliente nos termos da seção 5 da presente Política, ou (ii) a um ou mais desses Subprocessadores em um ou mais países terceiros, com base numa exceção às Leis de Proteção de Dados, ou (iii) com base em salvaguardas adequadas acrescentadas, na medida do permitido pelas Leis de Proteção de Dados, pela TMF para garantir a proteção dos Dados Pessoais ou pelo Cliente, caso em que a TMF deverá cooperar com o Cliente para buscar uma base adequada para a transferência transfronteiriça de Dados Pessoais a esse Subprocessador. A pedido do Cliente, a TMF deve informar o Cliente sobre a base pertinente para a transferência transfronteiriça dos Dados Pessoais.

c. Outras transferências. Quando a lei de proteção de dados ou privacidade de qualquer país fora da UE ou da Suíça se aplicar aos Dados Pessoais, o Cliente deverá garantir que qualquer transferência transfronteiriça de Dados Pessoais da TMF para um Subprocessador seja permitida pela implementação de salvaguardas extras nos termos dos Dados Leis de Proteção de Dados ou conforme permitido pelas Leis de Proteção de Dados.

11. Responabilidade civil

O Cliente garante que todos os Dados Pessoais processados pela TMF em nome do Cliente foram e devem ser processados pelo Cliente de acordo com as Leis de Proteção de Dados, inclusive, entre outra coisas: (a) garantindo que todas as notificações e aprovações dos reguladores que forem exigidas pelas Leis de Proteção de Dados sejam feitas e mantidas pelo Cliente; e (b) garantindo que todos os Dados Pessoais sejam Processados de maneira justa e legal, sejam precisos e atualizados, e que seja dado um aviso justo aos Titulares de Dados do Cliente, que descreva o processamento a ser realizado pela TMF de acordo com os Serviços avençados no Contrato de Prestação de Serviços.

A TMF se responsabilizará pelos danos causados pelo Processamento apenas quando não tiver cumprido as obrigações das Leis de Proteção de Dados especificamente direcionadas aos processadores, ou quando tiver atuado externamente ou contrariamente às instruções legítimas do Cliente, conforme indicado no Contrato de Prestação de Serviços. O Cliente será responsável pelos danos causados pelo Processamento realizado pelo Cliente contrariamente às Leis de Proteção de Dados. O Cliente ou Processador estará isento de responsabilidade nos termos da presente seção 11 caso comprove não ser de forma alguma responsável pelo evento que deu origem ao dano.

Quando Controladores ou Processadores, ou um Controlador e um Processador, estiverem envolvidos no mesmo processamento e, nos termos do Contrato de Prestação de Serviços, forem responsáveis por qualquer dano causado ao Titular de Dados do Cliente pelo Processamento, cada Controlador ou Processador será responsabilizado por todo o dano, a fim de garantir uma indenização efetiva do(s) Titular(es) de Dados do Cliente. Nos casos em que um Controlador ou Processador tenha pago uma indenização total pelo dano sofrido, esse Controlador ou Processador terá o direito de ressarcir-se junto ao(s) outro(s) Controlador(es) ou Processador(es) envolvido(s) no mesmo Processamento pela parte da indenização correspondente à sua parte da responsabilidade pelo dano, de acordo com as condições estabelecidas no parágrafo anterior.

Salvo pelo presente parágrafo terceiro da seção 11, as indenizações, responsabilidades e exclusões ou limitações estabelecidas no Contrato de Prestação de Serviços também se aplicarão às obrigações das partes nos termos da presente Política e do Contrato de Prestação de Serviços, e, em caso de conflito, terão precedência.

12. Entre em contato conosco

Se tiver alguma dúvida sobre a presente Política ou sobre as práticas de privacidade da TMF Group, envie um email para dataprotection@tmf-group.com, indicando a natureza da sua consulta.

Política de Proteção de Dados Pessoais – |TMF Group | versão de agosto de 2022

Política de Proteção de Dados Pessoais – TMF Group – versão de junho de 2021

Política de Proteção de Dados Pessoais – TMF Group – versão de janeiro 2020

Política de Proteção de Dados Pessoais – TMF Group – versão de abril de 2019

Política de Proteção de Dados Pessoais – TMF Group – versão 29/03/2018