Política de Tratamento de
Dados Pessoais para Fornecedores / Parceiros

1. Introdução

Esta Política de Tratamento de Dados Pessoais para Fornecedores/Parceiros (“Política”) se destina a todos os fornecedores de produtos, prestadores de serviços e parceiros em geral do Grupo 2TM, isto é, a 2TM Participações S.A. e todas as sociedades por ela controladas e a elas coligadas (“Fornecedores/Parceiros” ou “Você”) e objetiva informá-lo sobre a forma como Você deverá tratar os dados pessoais recebidos em nome do Grupo 2TM ou aos quais tenha tido acesso em razão dos serviços prestados. É essencial para nós que todos os nossos Fornecedores/Parceiros estejam em conformidade com as Leis no 13.709/2018 (“LGPD”) e no 12.965/2014 (“MCI”), a fim de garantirmos a proteção dos dados pessoais de todas as pessoas físicas cujos dados os Fornecedores/Parceiros tratem, seja em nome do Grupo 2TM, seja por decisão do Fornecedor/Parceiro em razão da natureza dos serviços.

1. Definições

1.1. Dados Pessoais designam todo dado que identifica ou que possa identificar direta ou indiretamente uma pessoa física e/ou sejam compartilhados pelo Grupo 2TM com Você ou tratados por Você em nome do Grupo 2TM, para o cumprimento do contrato (“Dados Pessoais”);

1.2. Violação de Dados Pessoais consiste em um incidente ou falha de medidas técnicas ou organizacionais de segurança da informação que pode implicar destruição, perda, alteração, modificação ou acesso não autorizado de Dados Pessoais ou comprometimento da confidencialidade, com a divulgação não autorizada de Dados Pessoais tratados sob a égide deste Contrato (“Violação de Dados Pessoais”).

2. Tratamento dos dados pessoais

2.1. Você se obriga a tratar os Dados Pessoais apenas para as finalidades designadas e descritas no contrato celebrado com o Grupo 2TM, não podendo fazê-lo para outras finalidades. Cabe ao Grupo 2TM determinar, modificar ou aditar as finalidades do tratamento de Dados Pessoais. Quando Você, o Fornecedor/Parceiro, identificar a necessidade de novos tratamentos ou para novas finalidades, deve informar o Grupo 2TM previamente, para a devida aprovação.

2.2. Esta Política deverá ser observada por Você durante toda a vigência do contrato celebrado com o Grupo 2TM até a completa eliminação dos Dados Pessoais e demais informações a que Você teve acesso em razão da relação contratual, garantindo que não manterá consigo nenhuma cópia de documentos físicos ou eletrônicos dos Dados Pessoais, sob qualquer pretexto. Na hipótese de tratamento de Dados Pessoais para enriquecimento de base para melhoria de tecnologia do Fornecedor/Parceiro, Você deverá, após o tratamento, anonimizar os dados.

3. Deveres do fornecedor/parceiro

3.1. No Tratamento de Dados Pessoais transferidos pelo Grupo 2TM, Você deverá observar as seguintes diretrizes:

  1. tratar os Dados Pessoais estritamente para as finalidades descritas e minimamente necessárias à execução do contrato;
  2. tratar os Dados Pessoais em conformidade com as instruções informadas pelo Grupo 2TM e/ou nos limites previamente estabelecidos em contrato, sobretudo quando Você pretender realizar enriquecimento de base para melhoria de serviços próprios;
  3. coletar, e de modo geral, tratar Dados Pessoais orientado pelo princípio da minimização e transparência, isto é, tratar apenas dados minimamente necessários para as finalidades eleitas pelo Grupo 2TM ou descritas em seu contrato, sem excesso, informando previamente o Grupo 2TM de modo claro e objetivo quando necessitar fazer outros tratamentos para outras finalidades legítimas, para sua aprovação;
  4. garantir a confidencialidade dos Dados Pessoais tratados no contexto do contrato e zelar para sua adequada proteção contra destruição, perda, alteração e modificação e acesso não autorizado de terceiros;
  5. zelar para que as pessoas designadas para tratar os Dados Pessoais:
    1. sejam devidamente formadas, treinadas e orientadas pelos princípios e deveres prescritos pela LGPD;
    2. comprometam-se a respeitar as mesmas regras desta Política, especialmente, a confidencialidade dos Dados Pessoais sob seu tratamento;
  6. observar na oferta e/ou o desenvolvimento de soluções tecnológicas, considerando seus próprios recursos humanos e físicos, aplicações e infraestrutura, os princípios orientadores da LGPD desde a sua concepção e a privacidade por padrão;
  7. tomar todas as medidas organizacionais e técnicas em matéria de segurança da informação, para proteger os Dados Pessoais e guardá-los em ambiente seguro e controlado contra acesso indevido, modificação e perda de Dados Pessoais;
  8. prestar seus serviços e tratar os Dados Pessoais em conformidade com os princípios da proporcionalidade, minimização e limitação dos Dados Pessoais, assegurando que somente os dados pertinentes serão tratados;
  9. cooperar com o Grupo 2TM nas solicitações de titulares de Dados Pessoais para exercício de direitos;
  10. notificar todo e qualquer incidente ou falha de segurança, para que o Grupo 2TM possa tomar as providências cabíveis, inclusive informando os titulares de Dados Pessoais sobre eventual acesso indevido, modificação ou perda de dados deles em prazo razoável;
  11. informar ao Grupo 2TM sobre qualquer compartilhamento dos Dados Pessoais com outras empresas do grupo, fornecedores/parceiros ou quaisquer terceiros, especificando a finalidade do compartilhamento, que poderá ocorrer somente se estritamente necessário para cumprimento do nosso contrato, sendo vedado o compartilhamento indevido e/ou não informado de Dados Pessoais;
  12. informar prontamente o Grupo 2TM acerca de qualquer novo compartilhamento de Dados Pessoais, em prazo nunca superior a 2 (dois) dias úteis observado o disposto no item acima;
  13. prestar informações sobre o tratamento de Dados Pessoais sempre que solicitado pelo Grupo 2TM, no prazo de até 3 (três) dias úteis; e
  14. caso perceba que será incapaz de cumprir com os requisitos exigidos pela LGPD, comunicar tal fato imediatamente e por escrito ao Grupo 2TM, que poderá, a seu único e exclusivo critério, suspender as atividades dependentes do tratamento dos Dados Pessoais.

4. Transferência internacional de dados pessoais

4.1. Exceto quando estritamente necessário para a execução de nosso contrato, tal como, mas não exclusivamente o armazenamento de Dados Pessoais sob responsabilidade de provedores de serviços tecnológicos com servidores fora do país, Você se compromete a não transferir os Dados Pessoais para fora do país, especialmente para países onde não há lei de proteção de dados pessoais ou não têm proteção adequada, sem prévia e expressa autorização do Grupo 2TM. Nesse caso, Você se compromete a observar o mesmo nível de proteção do que a lei brasileira.

5. Solicitações de terceiros

5.1. Em caso de solicitações de titulares de Dados Pessoais relacionadas ao exercício de seus direitos, objeto ou não de ações judiciais; ou de órgãos públicos formalizados por ofício em processos de fiscalização instaurados em face do Grupo 2TM, e para cujo atendimento o Grupo 2TM precise de alguma providência da sua parte, Você se compromete a cooperar e contribuir em prazo não superior a 5 (cinco) dias, para que o Grupo 2TM tenha condições de atendê-las em até 15 (quinze) dias corridos, em caso de solicitação simples, ou dentro do prazo estipulado pelo Grupo 2TM em comunicação dirigida a Você nesse sentido, caso haja prazo específico para cumprimento da solicitação. Caso tais solicitações sejam direcionadas diretamente a Você, Você deverá informar imediatamente o Grupo 2TM e agir conforme as instruções passadas a Você.

5.2. Você também deverá cooperar com o Grupo 2TM para eventual elaboração de Relatório de Impacto de Tratamento de Dados Pessoais e/ou Relatório de Legítimo Interesse que se façam necessários.

6. Violações de dados pessoais

6.1. Você se obriga a registrar e informar ao Grupo 2TM imediatamente, e sempre em prazo inferior a 24 (vinte e quatro) horas, todo incidente de qualquer natureza, físico ou técnico, relacionado à segurança da informação que possa implicar o comprometimento da confidencialidade, integridade e disponibilidade dos Dados Pessoais, com exposição da imagem do Grupo 2TM (ou de qualquer de suas empresas individualmente consideradas) ou prejuízo às suas atividades. Você se compromete a colaborar ativamente com o Grupo 2TM para implementar ações corretivas de qualquer desconformidade motivadora do incidente e impedir que situações semelhantes aconteçam.

6.2. A notificação deverá conter, no mínimo, as seguintes informações:

  1. descrição da natureza da violação dos Dados Pessoais, inclusive, se possível, a categoria e o número aproximado tanto dos tipos de tratamento de Dados Pessoais, quanto dos respectivos titulares impactados;
  2. o nome e as informações do Encarregado de Dados Pessoais ou, na sua ausência, de um ponto de contato perante o qual as informações pertinentes podem ser solicitadas;
  3. a descrição das possíveis consequências da violação dos Dados Pessoais; e
  4. a descrição das medidas implementadas para conter consequências danosas e mitigar danos já incorridos.

7. Segurança dos dados pessoais

7.1. Você se obriga a adotar todas as medidas organizacionais e técnicas em segurança previstas pelas Normas ISO da família 27000 e ISSO 15408 para manutenção da confidencialidade, integridade e disponibilidade dos Dados Pessoais, da resiliência dos sistemas de infraestrutura tecnológica, bem como para avaliação periódica tanto dos níveis de maturidade de segurança da informação, quanto dos riscos envolvidos no Tratamento de Dados Pessoais.

7.2. Caso, em qualquer momento, Você deixe de adotar as medidas organizacionais e técnicas em segurança da informação, nos termos desta Política, Você deverá notificar o Grupo 2TM imediatamente desse fato, nunca em prazo superior a 2 (dois) dias úteis, e o Grupo 2TM poderá tomar as medidas que entender adequadas, nos termos do contrato celebrado com Você e desta Política.

8. Alteração na política

8.1. O Grupo 2TM se reserva o direito de revisar e, se for o caso, modificar os termos desta Política a qualquer tempo, para assegurar sua conformidade com a lei, bem como para ajustar-se às orientações da Agência Nacional de Proteção de Dados (ANPD). Sempre que houver uma mudança relevante, o Grupo 2TM enviará a Você a nova versão da Política, conforme alterada, que será considerada imediatamente aplicável, vigente e vinculante para as partes.

9. Outras informações

9.1. Esta Política é regida, interpretada e regulada pela legislação brasileira e deve ser lida em complemento ao respectivo contrato celebrado com o Fornecedor/Parceiro. Fica eleito o Foro da Comarca São Paulo, se outro não tiver sido eleito no contrato, sede do responsável pelo tratamento de dados pessoais, por ser este o local a partir do qual as relações contratuais são estabelecidas com o Grupo 2TM.