Última atualização em 06 de abril de 2021
Esta Política de Tratamento de Dados Pessoais para Fornecedores/Parceiros (“Política”) se destina a todos os fornecedores de produtos, prestadores de serviços e parceiros em geral do Grupo 2TM, isto é, a 2TM Participações S.A. e todas as sociedades por ela controladas e a elas coligadas (“Fornecedores/Parceiros” ou “Você”) e objetiva informá-lo sobre a forma como Você deverá tratar os dados pessoais recebidos em nome do Grupo 2TM ou aos quais tenha tido acesso em razão dos serviços prestados. É essencial para nós que todos os nossos Fornecedores/Parceiros estejam em conformidade com as Leis nº 13.709/2018 (“LGPD”) e nº 12.965/2014 (“MCI”), a fim de garantirmos a proteção dos dados pessoais de todas as pessoas físicas cujos dados os Fornecedores/Parceiros tratem, seja em nome do Grupo 2TM, seja por decisão do Fornecedor/Parceiro em razão da natureza dos serviços.
1.1. Dados Pessoais designam todo dado que identifica ou que possa identificar direta ou indiretamente uma pessoa física e/ou sejam compartilhados pelo Grupo 2TM com Você ou tratados por Você em nome do Grupo 2TM, para o cumprimento do contrato (“Dados Pessoais”);
1.2. Violação de Dados Pessoais consiste em um incidente ou falha de medidas técnicas ou organizacionais de segurança da informação que pode implicar destruição, perda, alteração, modificação ou acesso não autorizado de Dados Pessoais ou comprometimento da confidencialidade, com a divulgação não autorizada de Dados Pessoais tratados sob a égide deste Contrato (“Violação de Dados Pessoais”).
2.1. Você se obriga a tratar os Dados Pessoais apenas para as finalidades designadas e descritas no contrato celebrado com o Grupo 2TM, não podendo fazê-lo para outras finalidades. Cabe ao Grupo 2TM determinar, modificar ou aditar as finalidades do tratamento de Dados Pessoais. Quando Você, o Fornecedor/Parceiro, identificar a necessidade de novos tratamentos ou para novas finalidades, deve informar o Grupo 2TM previamente, para a devida aprovação.
2.2. Esta Política deverá ser observada por Você durante toda a vigência do contrato celebrado com o Grupo 2TM até a completa eliminação dos Dados Pessoais e demais informações a que Você teve acesso em razão da relação contratual, garantindo que não manterá consigo nenhuma cópia de documentos físicos ou eletrônicos dos Dados Pessoais, sob qualquer pretexto. Na hipótese de tratamento de Dados Pessoais para enriquecimento de base para melhoria de tecnologia do Fornecedor/Parceiro, Você deverá, após o tratamento, anonimizar os dados.
3.1. No Tratamento de Dados Pessoais transferidos pelo Grupo 2TM, Você deverá observar as seguintes diretrizes:
4.1. Exceto quando estritamente necessário para a execução de nosso contrato, tal como, mas não exclusivamente o armazenamento de Dados Pessoais sob responsabilidade de provedores de serviços tecnológicos com servidores fora do país, Você se compromete a não transferir os Dados Pessoais para fora do país, especialmente para países onde não há lei de proteção de dados pessoais ou não têm proteção adequada, sem prévia e expressa autorização do Grupo 2TM. Nesse caso, Você se compromete a observar o mesmo nível de proteção do que a lei brasileira.
5.1. Em caso de solicitações de titulares de Dados Pessoais relacionadas ao exercício de seus direitos, objeto ou não de ações judiciais; ou de órgãos públicos formalizados por ofício em processos de fiscalização instaurados em face do Grupo 2TM, e para cujo atendimento o Grupo 2TM precise de alguma providência da sua parte, Você se compromete a cooperar e contribuir em prazo não superior a 5 (cinco) dias, para que o Grupo 2TM tenha condições de atendê-las em até 15 (quinze) dias corridos, em caso de solicitação simples, ou dentro do prazo estipulado pelo Grupo 2TM em comunicação dirigida a Você nesse sentido, caso haja prazo específico para cumprimento da solicitação. Caso tais solicitações sejam direcionadas diretamente a Você, Você deverá informar imediatamente o Grupo 2TM e agir conforme as instruções passadas a Você.
5.2. Você também deverá cooperar com o Grupo 2TM para eventual elaboração de Relatório de Impacto de Tratamento de Dados Pessoais e/ou Relatório de Legítimo Interesse que se façam necessários.
6.1. Você se obriga a registrar e informar ao Grupo 2TM imediatamente, e sempre em prazo inferior a 24 (vinte e quatro) horas, todo incidente de qualquer natureza, físico ou técnico, relacionado à segurança da informação que possa implicar o comprometimento da confidencialidade, integridade e disponibilidade dos Dados Pessoais, com exposição da imagem do Grupo 2TM (ou de qualquer de suas empresas individualmente consideradas) ou prejuízo às suas atividades. Você se compromete a colaborar ativamente com o Grupo 2TM para implementar ações corretivas de qualquer desconformidade motivadora do incidente e impedir que situações semelhantes aconteçam.
6.2. A notificação deverá conter, no mínimo, as seguintes informações:
7.1. Você se obriga a adotar todas as medidas organizacionais e técnicas em segurança previstas pelas Normas ISO da família 27000 e ISSO 15408 para manutenção da confidencialidade, integridade e disponibilidade dos Dados Pessoais, da resiliência dos sistemas de infraestrutura tecnológica, bem como para avaliação periódica tanto dos níveis de maturidade de segurança da informação, quanto dos riscos envolvidos no Tratamento de Dados Pessoais.
7.2. Caso, em qualquer momento, Você deixe de adotar as medidas organizacionais e técnicas em segurança da informação, nos termos desta Política, Você deverá notificar o Grupo 2TM imediatamente desse fato, nunca em prazo superior a 2 (dois) dias úteis, e o Grupo 2TM poderá tomar as medidas que entender adequadas, nos termos do contrato celebrado com Você e desta Política.
8.1. O Grupo 2TM se reserva o direito de revisar e, se for o caso, modificar os termos desta Política a qualquer tempo, para assegurar sua conformidade com a lei, bem como para ajustar-se às orientações da Agência Nacional de Proteção de Dados (ANPD). Sempre que houver uma mudança relevante, o Grupo 2TM enviará a Você a nova versão da Política, conforme alterada, que será considerada imediatamente aplicável, vigente e vinculante para as partes.
9.1. Esta Política é regida, interpretada e regulada pela legislação brasileira e deve ser lida em complemento ao respectivo contrato celebrado com o Fornecedor/Parceiro. Fica eleito o Foro da Comarca São Paulo, se outro não tiver sido eleito no contrato, sede do responsável pelo tratamento de dados pessoais, por ser este o local a partir do qual as relações contratuais são estabelecidas com o Grupo 2TM.
***