Política de protección de datos – TMF Group

Esta política se aplica al Procesamiento de Datos Personales de los Interesados en TMF en nombre de los Clientes de TMF donde TMF actuará en calidad de Procesador y el Cliente actuará en calidad de Controlador (la política).

Todos los términos en mayúsculas tendrán los significados atribuidos a los términos de esta Política o según se definen en el acuerdo de servicio entre TMF y el Cliente.

1. El Cliente autoriza e instruye a TMF o cualquier Afiliado a TMF a:

(A) Procesar Datos personales para todos los fines legítimos y pertinentes en relación con los Servicios de TMF,

(B) Procesar Datos personales en la medida necesaria para cumplir con una obligación legal del Cliente o TMF, incluyendo la divulgación de Datos Personales a las autoridades locales competentes;

(C) Transferir los Datos Personales según sea necesario o relevante para cualquier sub-procesador, denominado sucesivamente como los Fines Autorizados.

TMF no va a seguir el Procesamiento de Datos Personales de una manera que es incompatible con los Fines Autorizados.

A petición del Cliente, TMF deberá proporcionar al Cliente la información en cuanto a los nombres y direcciones de los Sub-Procesadores, así como la naturaleza de las actividades de Procesamiento realizadas por tales Sub-Procesadores.

2. TMF mantendrá la confidencialidad de Datos Personales y dará las mismas instrucciones a su personal y Sub-Procesadores. TMF aplicará las medidas y precauciones necesarias para proteger los Datos Personales contra la pérdida accidental, mal uso, acceso y divulgación no autorizada, alteración o destrucción ilegal, particularmente cuando el Procesamiento involucra la transmisión de datos Personales a través de una red y contra cualquier otra forma de tratamiento ilícito. Tales medidas deberán cumplir con la ley aplicable. Las medidas de seguridad se describen con más detalle y se especifican en el documento - Declaración de Continuidad -.

El documento - Declaración de Continuidad - se publica en el sitio web de TMF (www.tmf-group.com/en/data-protection) y forma parte integrante de la presente Política.

3. TMF deberá sin demora, pero dentro del plazo establecido por la ley aplicable, informar al Cliente de cualquier pérdida o violación de la seguridad de los Datos Personales. TMF deberá prever como mínimo los siguientes datos:

(A) la naturaleza de la infracción o la pérdida y

(B) una estimación de la cantidad de los Datos del Sujeto implicado, y, cuando sea posible, sus nombres.

4. El Cliente y cada Afiliado del Cliente implicado requiere que:

(A) el Cliente tiene derecho a proporcionar los Datos Personales a TMF o a la Afiliada de TMF correspondiente y que el Cliente está autorizado a involucrar a TMF o la(s) Afiliada(s) TMF como Procesador(es);

(B) el Cliente cumple y seguirá cumpliendo con todas las leyes aplicables, así como a otros requisitos aplicables con respecto del Tratamiento y protección de Datos Personales, incluyendo pero no limitado a cualquier obligación contractual o acuerdos o protocolos acordados con los representantes de los trabajadores;

(C) el Cliente ha informado a TMF e informará a TMF de todas las obligaciones y restricciones establecidas en la subsección 4 (B) de haber establecido, que son aplicables a los Datos Personales y relevante para los Servicios, incluyendo, pero no limitado a, TMF con el(los) aviso(s) aplicable(s) de privacidad;

(D) el tratamiento de los Datos Personales es legal y no infringe los derechos de terceros;

(E) no más tarde de la fecha efectiva, el Cliente ha informado debidamente o se informará debidamente a los interesados que sus Datos Personales serán tratados por TMF o - como ya sea el caso - Sub-Procesadores de TMF para los fines autorizados que el cliente ha obtenido todos los consentimientos de los Datos de los Sujetos requeridos por la Ley Aplicable, el cual incluye el tratamiento de los datos personales por TMF o sus Sub-procesadores;

(F) no más tarde de la fecha efectiva, el Cliente ha informado debidamente o se informará debidamente a los Sujetos de Datos que los servicios pueden requerir la transferencia de los Datos Personales, específicamente cualquier información confidencial en su caso, a una afiliada a TMF o un Sub-Procesador de un tercer país proporcionando un nivel de protección diferente a la protección de los Datos Personales tales por las leyes de la jurisdicción en la que se establece el Cliente o en el que los empleados del Cliente residen, y que el Cliente ha obtenido todos los consentimientos de los Sujetos de Datos que a tales transferencia establezca la legislación aplicable;

(G) los Datos Personales facilitados a TMF son exactos.

5. A la terminación del Acuerdo en su totalidad o en parte y, a elección del cliente, TMF deberá:

(A) destruir todos los Datos Personales y cualquier copia del mismo y certificar al Cliente a petición escrita del Cliente que se ha hecho; o

(B) de acuerdo con las instrucciones del Cliente devolver todos los Datos Personales Procesados y las copias de los mismos a la Afiliada del Cliente o el Cliente, a menos que alguna ley aplicable, el tribunal competente, órgano de supervisión o regulación impida a TMF a devolver o destruir la totalidad o parte de los Datos Personales transferidos. La obligación de destruir o devolver los Datos Personales no se aplica a las notas, análisis, memorandos, actas u otros documentos corporativos internos, preparados por o en nombre de TMF que se basan en, derivadas de, contienen o no haga referencia a Datos Personales. Por otra parte, TMF tiene derecho a conservar copias de todos los registros y archivos informáticos que contienen datos de carácter personal que se han creado de conformidad con el archivo electrónico automático y procedimientos de copia de seguridad y que no se puede recuperar de inmediato como parte del negocio del día a día. TMF garantiza la confidencialidad de los Datos Personales y que dichos Datos Personales no serán Procesados para los Fines Autorizados o cualesquiera otros fines distintos de su almacenamiento o su protección o según lo requiera la Ley Aplicable.

6.

(A) A solicitud por escrito del Cliente, la Afiliada de TMF procesando los Datos Personales del Cliente deberá permitir, una auditoría (ya sea presencial o de forma remota) para verificar el cumplimiento de TMF con sus obligaciones bajo la Ley Aplicable y el presente Acuerdo, que se llevará a cabo ya sea (i) por una firma de auditoría independiente de tercera parte vinculado por una obligación de confidencialidad y seleccionado por el Cliente y aprobado por la Afiliada de TMF (aprobación que no será irrazonablemente posponer o suspender) y en su caso, de acuerdo con la autoridad competente de protección de Datos o (ii) por una autoridad competente de protección de datos. La auditoría se llevará a cabo en estrecha cooperación con el  Director de Seguridad de la Información de TMF. Las partes acordarán el alcance de la auditoría con antelación. El Cliente deberá notificar a TMF y la Afiliada de TMF por escrito con un mínimo de quince (15) días calendario antes de que se realice cualquier auditoría. El Cliente correrá con los gastos de la auditoría. TMF tiene derecho a una compensación razonable por los costos de la auditoría efectuados por TMF, a ser pagado por el Cliente.

(B) TMF asistirá al Cliente, en una medida razonablemente posible, a (i) cumplir con la ley aplicable en un tiempo razonable y (b) responder a toda solicitud de acceso de materias, rectificación, supresión o bloqueo de solicitudes y objeciones.

7. El Cliente deberá indemnizar y mantener indeme a TMF, las Afiliadas de TMF y Sub-Procesadores de y contra cualquier reclamación de cualquier Sujeto Interesado y/o de terceros relacionados con o derivados del Tratamiento de Datos Personales por TMF y/o que resultan del incumplimiento de cualquiera de las garantías del Cliente en esta Política.

TMF y las Afiliadas de TMF indemnizarán y mantendrán indeme al Cliente, por y contra cualquier reclamación de cualquier Sujeto Interesado y/o de terceros relacionados con o derivados o resultantes del incumplimiento de cualquiera de las obligaciones de TMF en esta Política.

8. Cualquier acuerdo entre TMF y un Sub-Procesador deberá contener al menos obligaciones similares a los de la sección 1, sección 2, sección 3, las secciones 5 y 6 de la presente Política.

9. En el caso de transferencias transfronterizas de Datos Personales entre la Afiliada de TMF y cualquier Sub-Procesador, se aplicará lo siguiente (en la medida pertinente):

(A) Cuando cualquier ley de protección de datos de uno o más de los Estados Miembros del Espacio Económico Europeo o de Suiza se aplique a los Datos Personales (por ejemplo, donde el Cliente o sus Afiliadas pertinentes estén establecidas en dicho Estado Miembro y los Datos Personales son tratados por TMF en el contexto de dicho establecimiento), los Datos Personales pueden, a discreción de TMF, ser transferidos a (i) uno o más Afiliadas de TMF, ya sea en uno o más Estados Miembros del Espacio Económico Europeo o de Suiza sobre la base de la Ley Aplicable, o (ii) uno o más de las Afiliadas de TMF en uno o más países terceros sobre la base de las normas corporativas vinculantes para Procesamiento de Datos Personales del Cliente (Procesador) de TMF Group, que se publicó en el sitio web de TMF Group (www.tmf-group.com/en/dataprotection). En tal caso, la información mencionada en la subsección 4 (F) en esta Política debe incluir una referencia a las Normas Corporativas Vinculantes para el Procesamiento de Datos Personales del Cliente (Procesador) de TMF Group, derechos derivados del Sujeto Interesado y procedimiento de reclamación de TMF. El cliente o la Afiliada de TMF correspondiente, en su caso, deberán a petición del interesado, informar al(los) Sujeto(s) de Datos con una copia de dichas Normas Corporativas Vinculantes y de este Acuerdo (sin ningún tipo de información confidencial o sensible de negocio). Cuando lo permita la Ley Aplicable, TMF deberá, a más tardar en la fecha de entrada en funcionamiento, obtener todas las autorizaciones o permisos pertinentes para dicha transferencia de Datos Personales en base de dichas Reglas Corporativas Vinculantes. Cuando la Ley Aplicable no permita a TMF obtener tal autorización o permiso por sí mismo, el Cliente en un tiempo prudente dará un Poder de Representación a la correspondiente Afiliada de TMF para obtener dicha autorización o permiso en nombre del Cliente. Cuando el uso de un Poder de Representación no es aceptado por la Ley Aplicable, el Cliente garantiza que ha obtenido, no más tarde de la entrada de la fecha de funcionamiento, todas las autorizaciones o permisos necesarios para permitir a TMF compartir los Datos Personales con las Afiliadas de TMF en un país tercero.

(B) En caso de que cualquier ley de protección de datos de uno o más de los Estados Miembros del Espacio Económico Europeo o de Suiza se aplique a los Datos Personales (por ejemplo, donde el Cliente o sus afiliados pertinentes estén establecidas en dicho Estado Miembro y los Datos Personales son tratados por TMF en el contexto de dicho establecimiento), los Datos Personales pueden, a discreción de TMF, transferirse a uno o más Sub-Procesadores (que no sea Afiliadas a TMF) en uno o más Estados Miembros del Espacio Económico Europeo o de Suiza en la base de la Ley Aplicable, o en uno o más de dichos Sub-Procesadores en uno o más países terceros sobre la base de una excepción en virtud de la Ley Aplicable o sobre la base de las garantías adecuadas aducidas o bien, siempre que lo permita la Legislación Aplicable, por TMF garantizar la protección de los Datos Personales, o por el Cliente, en cuyo caso TMF cooperará con el Cliente para buscar una base adecuada para la transferencia transfronteriza de Datos Personales a tales Sub-Procesador. A petición del Cliente, TMF informará al Cliente la base aplicable para la transferencia cruzada de los Datos Personales.

(C) Cuando la protección de datos o la ley de privacidad de cualquier país fuera del Espacio Económico Europeo o de Suiza se aplique a los Datos Personales, el Cliente garantiza que cualquier transferencia transfronteriza de Datos Personales de TMF a un Sub-Procesador se permitirá en una de las siguientes razones, justificaciones o salvaguardas que permite la Ley Aplicable:

(I) la transferencia transfronteriza de los Datos Personales está permitido por la Ley Aplicable, sin ningún tipo de medidas de seguridad adicionales a ser tomadas por el Cliente;
(Ii) el consentimiento de los interesados obtenidos por el Cliente;
(Iii) un contrato entre el Cliente y la recepción de Sub-Procesador de los Datos Personales;
(Iv) la transferencia sea necesaria para la ejecución de un contrato entre el Cliente o una Afiliada de cualquier Cliente y los Datos del Sujeto; o
(V) cualquier otra garantía o instrumento.

La base aplicable, justificación o salvaguardia deberán especificarse en una declaración correspondiente de trabajo o adenda al convenio de servicio entre TMF y el Cliente.

Definiciones

Controlador es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determina los fines y los medios del Tratamiento de Datos Personales; cuando los fines y medios del Tratamiento estén determinados por las leyes o reglamentos nacionales o leyes o reglamentos de la Unión Europea, del Tratamiento o los criterios específicos para su nombramiento podrán ser fijados por dichas leyes o reglamentos.

Sujetos Interesado significa los directores, funcionarios y empleados del Cliente y/o la correspondiente Afiliada del Cliente y, en la medida que sea aplicable, sus clientes.

Datos Personales se entiende cualquier información relativa a una persona física identificada o identificable (el «Sujeto Interesado»); una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular con referencia a un número de identificación o uno o más factores específicos de su físico, fisiología, información de identidad económica, cultural o social y mental en relación con los Sujetos Interesados.

Procesamiento se entiende toda operación o conjunto de operaciones, efectuadas a Datos Personales, sean o no mediante procedimientos automatizados, tales como la recolección, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma acceso, alineación o interconexión, y el bloqueo, supresión o destrucción.

Procesador significa la parte que Procesa los Datos Personales por cuenta de un Controlador.

Datos Sensibles significa los datos sensibles de Datos Personales que revelan el origen racial o étnico, las opiniones políticas, creencias religiosas o filosóficas, la pertenencia a sindicatos, y el procesamiento de los datos relativos a la salud, la vida sexual, o cualquier otro Procesamiento de Datos Personales de los cuales está específicamente restringido o prohibido salvo autorización expresa de la ley aplicable.

Sub-Procesador significa cualquier Afiliada de TMF asistiendo a TMF en la prestación de servicios, así como cualquier contratista contratado por TMF para ayudar TMF en la prestación de los servicios en los países donde TMF no tiene una presencia o para proporcionar tecnología de información, apoyo administrativo o servicios de consultoría a TMF.

TMF se reserva el derecho a actualizar esta política sin consultar ni informar previamente a sus clientes.

Política de Protección de Datos – TMF Group - Versión 09/11/2015