Skip to content
Please check an answer for every question.
Cookie settings

Total may deposit the following categories of cookies: Cookies for statistics, targeted advertising and social networks. You have the possibility to disable these cookies, these settings will only be valid on the browser you are currently using.

Enabling this cookie category allows you to establish statistics of traffic on the site. Disabling them prevents us from monitoring and improving the quality of our services.
Our website may contain sharing buttons to social networks that allow you to share our content on these social networks. When you use these sharing buttons, a link is made to the servers of these social networks and a third-party cookie is installed after obtaining your consent.
Enabling this cookie category would allow our partners to display more relevant ads based on your browsing and customer profile. This choice has no impact on the volume of advertising.

Versão Resumida das Regras Empresariais Vinculativas da Total

VERSÃO RESUMIDA
DAS REGRAS EMPRESARIAIS VINCULATIVAS DA TOTAL

  1.    Introdução

    O Grupo Total (ou “Total”) promove uma cultura e práticas relativamente à protecção de dados pessoais1, de acordo com a legislação aplicável. Para este efeito, a Total implementou Regras Empresariais Vinculativas (“BCR”).

    O presente documento resume os princípios de protecção de dados aplicáveis no âmbito das nossas BCR e os direitos por estas concedidos.

  2.    Objectivo

    As nossas BCR constituem um conjunto de regras internas vinculativas aplicáveis a todas as subsidiárias da Total que as adoptaram. Foram aprovadas pelas autoridades europeias responsáveis pela protecção de dados.

    Estas regras permitem que as subsidiárias da Total transfiram dados pessoais originários do Espaço Económico Europeu (“EEE”)2 para subsidiárias da Total localizadas fora do EEE em conformidade com a legislação aplicável.

  3.    Âmbito de aplicação

    As nossas BCR são aplicáveis a todos os dados pessoais originários do EEE tratados pelas subsidiárias da Total, incluindo dados relativos a antigos e atuais colaboradores, candidatos a emprego, clientes e potenciais clientes, fornecedores e subcontratantes e ao pessoal de empresas terceiras que actuem em nome das subsidiárias do Grupo, assim como aos accionistas (a seguir denominados “titulares dos dados”).

  4.    Princípios de protecção

    Devem ser respeitados os seguintes princípios enunciados nas nossas BCR:

       •   Legalidade

    Todas as operações3 de tratamento de dados têm uma base jurídica prevista na legislação aplicável.

    Os dados pessoais só devem ser tratados para fins lícitos, determinados e legítimos. Os dados não devem ser tratados de forma incompatível com esses fins.

       •   Relevância

    Os dados pessoais devem ser exactos e proporcionados, em termos de qualidade e quantidade, em relação ao objectivo do tratamento.

       •   Transparência

    Os dados pessoais devem ser obtidos licitamente e com lealdade. Os titulares dos dados devem ser informados sobre as características do tratamento dos seus dados pessoais e sobre os seus direitos, a não ser que tal se revele impossível ou implique um esforço desproporcionado.

       •   Segurança

    Os dados pessoais devem ser protegidos por medidas de segurança adequadas para limitar os riscos de acesso não autorizado, destruição, alteração ou perda.

    Para o efeito, é aplicável um conjunto de normas internas que permitem garantir a segurança e a confidencialidade dos dados pessoais:

       •   a política de utilização em matéria de recursos de TI e de comunicação, que exige uma actuação conforme ao regulamento e às regras de confidencialidade;
       •   a política de Segurança dos Sistemas de Informação, que define o modo como é regida a segurança dos sistemas de informação;
       •   o Sistema de Referência em matéria de Segurança dos Sistemas de Informação, que enumera pormenorizadamente, através de 19 temas, os diferentes requisitos do Grupo em termos de segurança dos sistemas de informação;
       •   a política de Protecção das Informações, que apresenta os requisitos relativos à protecção da confidencialidade, integridade e disponibilidade das informações na posse do Grupo e trocadas no seu âmbito.

    Quando recorre aos serviços de terceiros para o tratamento de dados pessoais, a subsidiária da Total certifica-se de que este oferece garantias suficientes no que respeita à segurança e à confidencialidade dos dados.

       •   Conservação

    Os dados pessoais devem ser conservados unicamente por um período de tempo razoável e não excessivo em relação à finalidade do tratamento.

    No termo do período de conservação, os dados são destruídos, anonimizados ou arquivados.

       •   Transferências internacionais4 de dados pessoais

    A Total não transfere dados pessoais originários de um país do EEE directamente para uma subsidiária da Total localizada num país terceiro que não assegure um nível de protecção adequado, salvo se a subsidiária em causa tiver aderido formalmente às BCR ou utilizar outro instrumento jurídico reconhecido pela Comissão Europeia.

    A Total não transfere dados pessoais originários do EEE directamente para uma empresa que não pertença ao Grupo localizada num país que não assegure um nível de protecção de dados adequado (responsável pelo tratamento de dados ou subcontratante) sem uma base legal ao abrigo da legislação aplicável e instrumentos que ofereçam garantias suficientes, tais como cláusulas contratuais-tipo.

    De igual modo, quando um importador de dados transfere dados pessoais originários do EEE para uma empresa que não pertença ao Grupo (responsável pelo tratamento de dados ou subcontratante) localizada num país que não assegure um nível de protecção de dados adequado, o importador de dados deve concluir um acordo com a empresa em causa, mediante o qual se compromete a respeitar os princípios das BCR.

  5.    Direitos dos titulares dos dados

    Nos termos das nossas BCR, os titulares dos dados cujos dados pessoais sejam tratados possuem os seguintes direitos:

       •   direito de acesso aos dados

       •   direito de rectificar, apagar e bloquear os dados;

       •   direito de se opor ao tratamento;

       •   direito de limitar o tratamento.

    [Uma lista exaustiva e pormenorizada dos direitos conferidos pelas BCR é apresentada no ANEXO 1, abaixo].

    Os titulares dos dados podem exercer estes direitos mediante pedido, apresentado com recurso aos contactos indicados na advertência jurídica relativa ao tratamento dos seus dados. As subsidiárias da Total comprometem-se a responder dentro do prazo legal às perguntas relacionadas com o tratamento de dados fora do EEE.

    Além disso, se os titulares dos dados considerarem que uma subsidiária da Total desrespeitou as BCR, têm o direito de apresentar uma reclamação enviando:

       -   um e-mail para: data-protection@total.com

    ou

       -   uma carta para TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.

    Os titulares dos dados serão informados acerca do estado da sua reclamação e de eventuais diligências a realizar.

    O procedimento interno de reclamações encontra-se descrito no ANEXO 2 abaixo.

    O facto de os titulares dos dados apresentarem uma reclamação à Total não prejudica o seu direito de apresentar uma reclamação junto das autoridades de protecção de dados competentes do EEE ou de intentar uma acção perante os tribunais do país do EEE onde se encontra estabelecida a subsidiária da Total responsável pela exportação dos dados pessoais.

  6.    Governação

    Uma “rede de protecção de dados pessoais” interna é responsável por monitorizar e controlar a implementação das BCR no Grupo. É composta por:
       •   um Responsável pela Privacidade de Dados da Empresa que monitoriza e acompanha as acções de conformidade ao nível do Grupo;
       •   Responsáveis pela Privacidade de Dados da Filial que determinam e coordenam as acções de conformidade ao nível da Filial;
       •   Agentes de Ligação da Privacidade de Dados que determinam e coordenam as acções de conformidade ao nível das filiais.

  7.    Controlo e auditoria internos

    No sentido de assegurar a aplicação adequada das BCR foram implementados alguns mecanismos de controlo e auditoria internos.

    A rede de protecção de dados pessoais define um plano anual de controlo interno para avaliar o nível de conformidade do tratamento do Grupo com as nossas BCR. De igual modo, é estabelecido um sistema de relatórios para comunicar periodicamente os planos de acção elaborados após as avaliações.

    Além disso, a Direcção de Auditoria Interna do Grupo também contempla o controlo do padrão de protecção de dados pessoais no seu plano de auditoria periódico.

  8.    Alterações das regras da Total

    Se necessário, as nossas BCR podem ser completadas ou actualizadas.

  9.    Informações complementares
    Pode obter uma cópia da versão integral das nossas BCR, assim como uma lista das subsidiárias da Total que as adoptaram, enviando um e-mail para: data-protection@total.com
     

    1 Por dados pessoais entende-se quaisquer informações que permitam a identificação directa ou indirecta de uma pessoa singular.
    2 O EEE abrange os Estados-Membros da União Europeia, a Islândia, o Liechtenstein e a Noruega.
    3 Por tratamento entende-se qualquer operação realizada sobre dados pessoais, por meios automatizados ou não (ou seja, recolha, registo, conservação, destruição, etc.).
    4 Por transferência entende-se qualquer intercâmbio, virtual ou físico, de dados pessoais originários do EEE de um país para outro.

ANEXO 1
DIREITOS DE TERCEIRO BENEFICIÁRIO

As nossas BCR concedem aos titulares dos dados direitos para fazerem cumprir as regras na qualidade de terceiros beneficiários.

Mais concretamente, de acordo com os termos e condições estabelecidos nas nossas BCR, podem fazer valer os princípios que preconizam que:

  • qualquer operação de tratamento realizada no Grupo deve ter uma base jurídica prevista na legislação aplicável;
  • a Total deve recolher e tratar dados pessoais para fins legítimos, determinados e explícitos e não deve tratar quaisquer dados pessoais de forma incompatível com a finalidade para que foram recolhidos;
  • a Total deve tratar dados pessoais que sejam relevantes e não excessivos relativamente aos fins para os quais são recolhidos, devendo os dados em causa ser exactos e, sempre que necessário, actualizados;
  • os titulares dos dados devem aceder facilmente e de forma permanente às informações relacionadas com os seus direitos no âmbito destas BCR;
  • os titulares dos dados cujos dados pessoais sejam originários do EEE devem ter direito de acesso, rectificação e oposição ao tratamento dos respectivos dados pessoais, de acordo com a legislação aplicável;
  • os titulares dos dados cujos dados pessoais sejam originários do EEE não devem estar sujeitos a uma decisão que produza efeitos na sua esfera jurídica ou que os afecte significativamente e que se baseie exclusivamente num tratamento automatizado de dados pessoais destinado a avaliar determinados aspectos pessoais relacionados com os mesmos, a não ser que essa decisão:
    • seja tomada no âmbito da celebração ou execução de um contrato, desde que o pedido de celebração ou execução do contrato, apresentado pelo titular dos dados, tenha sido atendido ou existam medidas adequadas para salvaguardar os seus interesses legítimos, tais como acordos que lhe permitam expressar o seu ponto de vista; ou
    • seja autorizada pela legislação aplicável, que também prevê medidas para salvaguardar os interesses legítimos do titular dos dados;
  • a Total deve implementar medidas adequadas para garantir a segurança e confidencialidade dos Dados Pessoais, tendo em conta a tecnologia avançada e o custo da sua implementação;
  • a Total deve concluir com os prestadores de serviços utilizados para tratar dados pessoais acordos de tratamento escritos que especifiquem que o prestador de serviços em causa deve actuar exclusivamente de acordo com as instruções da Total e deve implementar medidas de segurança e de confidencialidade adequadas;
  • a Total não deve transferir dados pessoais de um Estado-Membro do EEE ou originários do EEE para uma empresa que não pertença ao Grupo e localizada num país terceiro que não assegure um nível de protecção de dados adequado (responsável pelo tratamento de dados ou subcontratante externo) sem uma base legal ao abrigo da legislação aplicável e instrumentos que assegurem medidas de protecção suficientes;
  • as subsidiárias da Total devem informar imediatamente o exportador de dados se considerarem que a legislação aplicável na sua jurisdição pode impedir o cumprimentos das suas obrigações em conformidade com as BCR da Total e prejudica as garantias oferecidas por essas BCR, salvo em caso de proibição por uma autoridade responsável pela aplicação da lei, nomeadamente na sequência de uma proibição ao abrigo do direito penal para preservar a confidencialidade de uma investigação policial ou judicial;
  • qualquer titular dos dados pode apresentar uma reclamação à Total através do mecanismo de reclamação interno, de acordo com os termos estabelecidos no Capítulo “Tratamento de reclamações”;
  • as subsidiárias da Total que tenham aderido às BCR devem cooperar com as autoridades de controlo competentes, seguir as suas recomendações relativamente às transferências internacionais de dados em caso de reclamação ou de um pedido específico dessas autoridades e aceitar ser auditadas pela autoridade de controlo do país onde se encontram estabelecidas;
  • qualquer titular dos dados pode apresentar uma reclamação junto das autoridades nacionais de controlo ou intentar uma acção perante os tribunais do Estado-Membro do EEE em que o exportador dos Dados se encontra estabelecido para fazer cumprir os princípios supra e, se for caso disso, receber uma indemnização pelos danos incorridos na sequência de uma violação das BCR da Total. Se, durante uma transferência de dados pessoais fora do EEE, o importador de dados não respeitar as BCR da Total, incumbirá ao exportador dos dados contestar a reclamação, determinar que o importador dos dados não violou as BCR e pagar uma indemnização ao titular dos dados pelos danos incorridos na sequência dessa violação.

ANEXO 2
PROCEDIMENTO INTERNO DE TRATAMENTO DE RECLAMAÇÕES

Se um titular dos dados estiver convicto de que uma subsidiária da Total não observou as BCR da Total, pode apresentar uma reclamação em conformidade com o procedimento de reclamações estipulado na política de privacidade ou no contrato pertinente ou com o procedimento descrito infra.

  1.    Como apresentar uma reclamação

    Os titulares dos dados podem apresentar uma reclamação enviando:

       -   um e-mail para: data-protection@total.com

    ou

       -   uma carta para TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.

    A reclamação deve expor claramente o maior número de informações possível sobre a questão levantada, incluindo:

       -   o país e a subsidiária da Total em causa, o entendimento do titular dos dados sobre a violação das BCR e a indemnização pedida;

       -   o nome completo e os contactos do titular dos dados, bem como uma cópia do seu bilhete de identidade ou de qualquer outro documento de identificação;

       -   qualquer correspondência anterior sobre esta questão específica.

  2.    Resposta da Total/strong>

    No prazo de três meses a contar da recepção da reclamação pela Total, o Responsável pela Privacidade de Dados da Filial (“BDPL”) pertinente informará, por escrito, o titular dos dados sobre a admissibilidade da sua reclamação e, se esta for admissível, sobre as medidas correctivas que a Total tomou ou tomará em resposta. O BDPL pertinente deve assegurar que, se necessário, sejam tomadas medidas correctivas adequadas para garantir a observância das BCR.

    O BDPL pertinente deve enviar uma cópia da reclamação e da eventual resposta escrita à mesma para o Responsável pela Privacidade de Dados da Empresa (“CDPL”).

  3.    Acção regressiva de recurso

    Se o titular dos dados não estiver satisfeito com a resposta do BDPL pertinente (ou seja, se a reclamação tiver sido rejeitada), pode contactar o CDPL por envio de um e-mail ou por carta, conforme indicado supra. O CDPL analisará a reclamação e tomará uma decisão no prazo de três meses a contar da data de recepção do pedido. Após este período, o CDPL informará o titular dos dados se a resposta inicial foi mantida ou comunicará uma nova resposta.

    O facto de os titulares dos dados apresentarem uma reclamação à Total não prejudica o seu direito de apresentar uma reclamação junto da autoridade nacional de controlo competente ou de intentar uma acção nos tribunais do Estado-Membro do EEE em que o exportador dos dados se encontra estabelecido.