Proteção de Dados – TMF Group

Política de Proteção de Dados Pessoais – TMF Group

1. Introdução e Escopo

Esta Política de Proteção de Dados Pessoais (“Política”) descreve as práticas de privacidades da TMF em termos do Processamento de Dados Pessoais de diretores, representantes e colaboradores e – para o alcance aplicável – os consumidores do Cliente e/ou os Afiliados relevantes do Cliente, como parte da provisão dos Serviços da TMF para seus Clientes. Estes Dados Pessoais podem ser armazenados em sistemas da TMF, sistemas do Cliente ou em sistemas de terceiros para os quais a TMF recebeu acesso para a provisão de Serviços. Onde a TMF presta Serviços aos seus Clientes, ela agirá como Processadora e o Cliente agirá como Controlador. Esta Política se aplica globalmente para todo e qualquer Serviço prestado pela TMF aos seus Clientes.

Esta Política não se aplica à coleta de Dados Pessoais por meio de nosso website ou de cookies e para quais dados pessoais a TMF pode ser considerada Controladora; nós fazemos referência à nossa Política do Website e Política de Cookies separadamente para mais informações neste sentido.

Esta Política está disponível por meio do website da TMF Group no seguinte link: https://www.tmf-group.com/pt-br/legal/data-protection/. A TMF reserva o direito de atualizar esta política sem consultar ou informar antecipadamente seus Clientes.

2. Definições

Os termos capitalizados listados abaixo têm os seguintes significados nesta Política:

a. Cliente” significa a contraparte do Contrato de Prestação de Serviços com a TMF;
b. Afiliado do Cliente” significa qualquer entidade legal afiliada ao Cliente;
c. Titular de Dados de Clientes” significam os atuais e antigos diretores, representantes e colaboradores e consumidores do Cliente ou de Afiliados dos Clientes;
d. Controlador” significa a pessoa física ou jurídica, autoridade pública, agência ou outro corpo que, por si só ou em conjunto com outros, determina os propósitos e significados do Processamento de Dados Pessoais;
e. Leis de Proteção de Dados” se referem a qualquer Dado Pessoal que seja Processado na execução do Contrato de Prestação de Serviços, a Regulamentação Geral de Proteção de Dados (General Data Protection Regulation – GDPR) (UE) 2016/679, juntamente com todas as leis implementadas e qualquer outra proteção de dados aplicável, leis de privacidade ou regulações de privacidade;
f. Dados Pessoais” significam quaisquer informações por meio das quais Titular de Dados de Clientes podem ser identificados direta ou indiretamente;
g. Processamento” significa qualquer operação ou conjunto de operações que seja realizado sobre Dados Pessoais ou em conjuntos de Dados Pessoais, quer seja por meios automatizados ou não, tais como a coleta, gravação, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou qualquer outra disponibilização, alinhamento ou combinação, restrição, deleção ou destruição;
h. Processador” significa a parte que processa Dados Pessoais em nome do Controlador;
i. Serviços” significam serviços que a TMF presta ao Cliente sob o Contrato de Prestação de Serviços;
j. Contrato de Prestação de Serviços” significa qualquer contrato escrito, qualquer declaração de trabalho ou qualquer outro acordo escrito vinculativo, incluindo quaisquer anexos a ele, entre a TMF e o Cliente;
k. Subprocessador” significa qualquer processador de dados designado pelo Processador para processar Dados Pessoais em nome do Controlador;
l. TMF” significa a afiliada da TMF que seja a entidade contratada para o Contrato de Prestação de Serviços;
m. Afiliada da TMF” diz respeito a qualquer pessoa ou entidade especificada, qualquer outra pessoa ou entidade direta ou indiretamente controlando ou controlada por ou sob controle comum direto ou indireto tais como a pessoa ou entidade especificada. Para o propósito desta definição, “controle”, quando usado em relação a qualquer pessoa ou entidade especificada significa o poder de direcionar ou causar a direção do gerenciamento ou políticas de tal pessoa ou entidade, quer seja por direito a voto, por contrato ou de qualquer outra maneira. Os termos “controlando” e “controlador” têm significado correlativo ao precedente. Estão especificamente excluídos desta definição as empresas que têm participação no controle da TMF Group B.V.

3. Dados Pessoais processados pela TMF Group

Os detalhes dos Dados Pessoais que serão processados pela TMF em nome do Cliente, incluindo a duração, propósito e categorias de Dados Pessoais, serão estabelecidos no Contrato de Prestação de Serviços ou em adendo a ele.

4. Uso de dados pessoais

A TMF não irá processar, transferir, modificar, corrigir ou alterar os Dados Pessoais, divulgar ou permitir a divulgação de Dados Pessoais a qualquer terceiro a não ser:

  • O que for necessário para processar Dados Pessoais para prestar os Serviços e/ou outras necessidades de acordo com as instruções documentadas do Cliente ou
  • Conforme requerido para se manter em compliance com as Leis de Proteção de Dados ou outras leis às quais a TMF está sujeita. Neste caso, a TMF deverá (de acordo com o que a lei permite) informar o Cliente deste requerimento legal antes de processar os Dados Pessoais.

Além disso, a TMF tem permissão para usar dados agregados – até o ponto em que estes não possam mais ser considerados Dados Pessoais – para fins de análise, website e operações internas, incluindo solução de problemas, análise de dados, testes, pesquisas, propósitos estatísticos e para melhorar a qualidade de seus Serviços.

5. Subprocessamento

A TMF Group pode precisar designar certos provedores terceiros para prestar parte de seus Serviços ao Cliente ou para assistir com suporte técnico, tais como provedores de serviços de TI ou outros fornecedores. Ao assinar o Contrato de Prestação de Serviços, o Cliente autoriza a TMF a subcontratar o Processamento de Dados Pessoais para Subprocessadores. Subprocessadores são sujeitos em cada caso aos termos entre a TMF e eles, que não são menos protecionistas do que aqueles estabelecidos nesta Política e no Contrato de Prestação de Serviços. A TMF informará o Cliente previamente sobre quaisquer possíveis mudanças em relação à adição ou substituição de Subprocessadores e, assim, dará a oportunidade ao Cliente de rejeitar tais mudanças. Se o Cliente não se opor por escrito em cinco (5) dias a partir do recebimento da notificação, será entendido que o Cliente aceitou o novo Subprocessador. Se o Cliente se opor por escrito dentro de cinco (5) dias a partir do recebimento da notificação, a TMF e o Cliente discutirão possíveis resoluções.

6. Confidencialidade e segurança

A TMF manterá a confidencialidade dos Dados Pessoais e instruirá seu estafe e Subprocessadores a fazer a mesma coisa. A TMF implementará as medidas técnicas e organizacionais apropriadas para garantir um nível de segurança de Dados Pessoais adequado ao risco requerido para seguir as Leis de Proteção de Dados aplicáveis e, onde o Processamento se referir a dados pessoais de residentes na União Europeia, deverá tomar todas as medidas necessárias de acordo com o artigo 32 da GDPR. Ao avaliar o nível apropriado de segurança, a TMF deverá levar em conta particularmente os riscos que são apresentados no Processamento, principalmente por destruição acidental ou ilegal, perda, alteração, divulgação não autorizada, ou acesso a Dados Pessoais transmitidos, armazenados ou processados de outra forma. As medidas de segurança são mais extensamente descritas e especificadas no documento “Estatuto de Continuidade”, que está publicado no website da TMF (https://www.tmf-group.com/pt-br/legal/data-protection/) e forma uma parte integral desta Política. 

7. Cooperando com pedidos dos clientes

A TMF deverá, sob demanda e até o limite solicitado sob Leis de Proteção de Dados, cooperar com pedidos do Cliente que se relacionem ao Processamento de Dados Pessoais. Particularmente, a TMF deverá cooperar com pedidos relacionados aos direitos dos Titular de Dados de Clientes, Avaliação de Impacto de Proteção de Dados e direitos de auditoria como descrito abaixo. 

Direitos de Titular de Dados de Clientes:  A TMF deverá cooperar conforme solicitado pelo Cliente para permitir que ele esteja em Compliance com qualquer exercício de direitos um Titular de Dados de Clientes no que diz respeito a Dados Pessoais e estar em compliance com qualquer avaliação, pesquisa, aviso ou investigação sob Leis de Proteção de Dados. Dado, em cada caso, que o Cliente deve reembolsar a TMF completamente por todos os custos (incluindo recursos internos e qualquer custo com terceiros), derivados pelo trabalho da TMF para cumprir a obrigação sob esta sessão.

Avaliação de Impacto de Proteção de Dados: A TMF deverá prestar a assistência devida ao Cliente com qualquer avaliação de impacto de proteção de dados que sejam requeridos sob o Artigo 35 da GDPR e com quaisquer consultorias anteriores a qualquer Autoridade Supervisora do Cliente que seja requerida sob o Artigo 36 da GDPR, em cada caso a relação de Processamento de Dados Pessoais pela TMF em nome do Cliente e levando em conta a natureza do processamento e informação disponível para a TMF.

Direitos de auditoria: Sob pedido e aviso razoável e pago pelo Cliente, a TMF cooperará na condução de qualquer audição ou inspeção, necessária para demonstrar o compliance da TMF com as obrigações descritas nesta Política, dado sempre que este requerimento não obrigue a TMF a prover ou permitir acesso à informação relacionada a: (i) informações internas sobre preços de fornecedores; (ii) informações relacionadas a outros Clientes da TMF; (iii) qualquer dos relatórios externos não públicos da TMF; (iv) informações confidenciais da TMF, ou (v) quaisquer relatórios internos preparados pela função de audição interna da TMF.

Os pedidos dos Clientes providos nesta seção 7 serão atendidos em cooperação e sob supervisão do Chief Information Security Officer, Chief Privacy Officer ou oficiais similares locais da TMF.

8. Deleção ou devolução de dados pessoais do cliente

A TMF Group irá, à escolha do Cliente, deletar ou devolver os Dados Pessoais ao fim da prestação dos Serviços relacionados ao Processamento, até o alcance possível, a não ser que (i) Leis de Proteção de Dados, (ii) qualquer lei, estatuto, ordem, regulação, regra, requerimento, prática e orientação de qualquer governo, autoridade regulatória ou organização com regulações próprias que se aplica aos Serviços no país onde estão sendo prestados (“Lei Aplicável”), ou (iii) júri competente, supervisor ou corpo regulador, peçam a retenção de tais Dados Pessoais pela TMF Group.

9. Gerenciamento de incidentes

A TMF notificará o Cliente sem atrasos indevidos depois de ficar sabendo de um vazamento de dados pessoais, oferecendo ao Cliente informação suficiente que permita que ele cumpra quaisquer obrigações de relatórios de vazamentos de dados sob Leis de Proteção de Dados. A pedido do Cliente e a total custo do Cliente para todos os gastos da TMF (incluindo recursos internos e qualquer custo com terceiros), a TMF deverá cooperar completamente com o Cliente e tomar as medidas necessárias direcionadas pelo Cliente para assistir na investigação, mitigação e remediação de cada vazamento de dados, a fim de permitir que o Cliente (i) realize uma investigação detalhada sobre o vazamento de dados, (ii) formule uma resposta correta e tome os passos adequados adicionais no que diz respeito ao vazamento de dados para cumprir quaisquer requerimentos sob as Leis de Proteção de Dados. 

10. Transferências internacionais de dados pessoais de clientes

No evento de transferências internacionais de Dados Pessoais entre a TMF e qualquer Subprocessador, o seguinte se aplicará (onde for relevante):

a. Transferência para Afiliados da TMF dentro ou oriundos da UE. Os Dados Pessoais podem, a escolha da TMF, ser transferidos para (i) uma ou mais das Afiliadas da TMF em um ou mais membros da Área Econômica Europeia (AEE) ou na Suíça em acordo com as Leis de Proteção de Dados, ou para (ii) uma ou mais das Afiliadas da TMF em um ou mais países terceiros de acordo com as Regras Corporativas Obrigatórias, que estão publicadas no website da TMF Group (https://www.tmf-group.com/pt-br/legal/data-protection/). O Cliente ou Afiliada da TMF deverá, sob demanda de Titular de Dados de Clientes, oferecer ao mesmo uma cópia das Regras Corporativas Obrigatórias e desta Política (sem qualquer informação crítica ou confidencial em relação ao serviço). Onde for permitido pelas Leis de Proteção de Dados, a TMF deverá obter todas as autorizações e permissões relevantes para tal transferência de Dados Pessoais baseadas nas Regras Corporativas Obrigatórias. Onde as Leis de Proteção de Dados não permitirem que a TMF obtenha tais autorizações ou permissões por si mesma, o Cliente deverá, em tempo, conceder poder de representação à Afiliada da TMF em nome do Cliente. Onde o uso de um representante não for aceito sob as Leis de Proteção de Dados, o Cliente garantirá que obteve todas as autorizações e permissões necessárias para permitir que a TMF compartilhe os Dados Pessoais com as Afiliadas da TMF em um país terceiro. 

b. Transferência para Subprocessadores na UE ou oriundos delaOs Dados Pessoais podem (i) ser transferidos para um ou mais Subprocessadores (além das Afiliadas da TMF) em um ou mais países membros da AEE ou da Suíça de acordo com as Leis de Proteção de Dados e com a permissão dos Clientes conforme a seção 5 desta Política, ou (ii) a um ou mais Subprocessadores em um ou mais países terceiros em linha com exceções nas Leis de Proteção de Dados, ou (iii) de acordo com garantias adicionadas na medida que é permitido por Leis de Proteção de Dados, pela garantia de TMF de proteger os Dados Pessoais ou pelo Cliente, caso no qual a TMF deverá cooperar com o Cliente a fim de encontrar uma base adequada para a transferência de Dados Pessoais além das fronteiras para tal Subprocessador. A pedido do Cliente, a TMF deverá informar o mesmo da base aplicável para a transferência internacional de Dados Pessoais.

c. Outras transferênciasOnde leis de proteção de dados ou de privacidade de qualquer país fora da AEE ou da Suíça se aplicarem a Dados Pessoais, o Cliente garante que qualquer transferência de Dados Pessoais além das fronteiras pela TMF a um Subprocessador deverá ser permitida, implementando-se segurança adicional de acordo com as Leis de Proteção de Dados ou o que mais for permitido por elas.

11. Indenização

O Cliente garante que todos os Dados Pessoais processados pela TMF em nome do Cliente foram e deverão ser Processados pelo Cliente de acordo com as Leis de Proteção de Dados, incluindo, sem limitações: (a) garantir que todas as notificações e aprovações de reguladores requeridas por Leis de Proteção de Dados serão feitas e mantidas pelo Cliente; e (b) garantir que todos os Dados Pessoais sejam processados de maneira justa e legal, sejam precisos e atualizados e que  um aviso seja provido aos Titulares de Dados de Cliente que descrevam os processamentos que serão realizados pela TMF no exercício dos Serviços descritos no Contrato de Prestação de Serviços. 

A TMF será responsabilizada pelos danos causados pelo Processamento somente onde ela não cumprir as obrigações nas Leis de Proteção de Dados especificamente destinadas a processadores ou onde ela tenha agido fora ou contrária às instruções legais do Cliente conforme indicado no Contrato de Serviços. O Cliente será responsabilizado por danos causados pelo Processamento pelo Cliente que infrinja as Leis de Proteção de Dados. Clientes ou Processadores serão isentos de responsabilidade sob esta sessão 11 se for provado que não são responsáveis de maneira alguma pelo evento que gerou os danos. 

Onde mais que um Controlador ou Processador, ou tanto um Controlador quanto um Processador, estejam envolvidos no mesmo processamento e onde eles estejam, sob o Contrato de Serviços, responsáveis por quaisquer danos causados ao Titular de Dados de Clientes pelo Processamento, cada Controlador ou Processador será responsabilizado por toda a extensão do dano a fim de garantir uma compensação efetiva ao Titular de Dados de Clientes. Onde o Controlador ou Processador pagar uma compensação completa pelo dano sofrido, este Controlador ou Processador terá o direito de solicitar do outro Controlador ou Processador envolvido no mesmo Processamento a parte da compensação correspondente à sua parte da responsabilidade pelo dano, de acordo com as condições estabelecidas no parágrafo anterior.

À exceção desta sessão 11, parágrafo terceiro, as indenizações, responsabilidades e exclusões ou limitações estabelecidas no Contrato de Serviços, também serão aplicadas às obrigações das partes ligadas a esta Política e ao Contrato de Serviços, e em caso de qualquer conflito, prevalecerá.

Política de Proteção de Dados Pessoais – TMF Group – versão de abril de 2019

Política de Proteção de Dados Pessoais – TMF Group – versão 29/03/2018